Recientemente un viejo conocido ha vuelto a las andadas. Se trata del Ransomware “Locky”, el cual hace cerca de un año estuvo muy activo a través de campañas de #Malspam (Correo Spam con la finalidad de instalar malware en el sistema de la víctima ) mayoritariamente con ficheros de scripting como “.js”, “.wsf” o “.vbe”. Desde entonces ha seguido manteniendo actividad, aunque en menor medida.
Recientemente han empezado una nueva campaña en la que utilizan ficheros .doc (MSOffice Word) con macros, como el siguiente:
Droppers de Locky Ransomware con extra de anti-Sanboxing
19 de Septiembre de 2017 by Leave a Comment
Facebook y la protección de datos: una de cal y una de arena
14 de Septiembre de 2017 by 3 Comments
Hemos de admitirlo: hace tiempo que se sabe que los datos personales son el petróleo de la sociedad 2.0, y en este sentido Facebook es el emporio de la información de personal; sin duda es la red social que más datos almacena, gestiona y monetiza en la red.
Lo supo hace tiempo y por eso no es casual que en 2014 desembolsaran nada menos que 22.000 millones de dólares para adquirir WhatsApp. Los registros obtenidos con esa adquisición convirtieron a la red social en todo un coloso monopólico en el mercado de la información personal, y hemos de recordar que Facebook también es el dueño de Instagram.
Todos recordamos aquellas vehementes promesas de nuestro ilustre amigo de Palo Alto Marc Zuckerberg, garantizando públicamente que ambas plataformas no intercambiarían los datos de los usuarios ni habría sesiones de datos entre ambas. No sé si coincidirían con el día de los inocentes, pero inocente el que lo creyó. ¿Cómo se justificaría una inversión de 22.000 millones de dólares por una aplicación gratuita sin la explotación de la única fuente clara de ingresos?
También dijeron entonces que no tenían una forma “fiable” y automática de relacionar las cuentas de WhatsApp y Facebook de sus usuarios, y claro, como no le íbamos a creer…
El caso es que WhatsApp no tardó en cambiar las condiciones de uso para que debiéramos aceptar sin rechistar y sin opción al pataleo el intercambio de información con Facebook, no hubo alternativa, ni siquiera, desmarcando la opción de dar permiso a Facebook para obtener nuestros datos. El plazo para aceptar estas nuevas condiciones fue de treinta días, en caso de no ser aceptadas, se desactivaría la cuenta de WhatsApp. Toda una declaración de principios.
Para más inri, el texto legal correspondiente a la cesión de datos a Facebook aparecía junto a una casilla premarcada, algo que contradice de forma flagrante los requisitos del consentimiento legítimo que exige el nuevo reglamento.
Essential Reading for the Security Professional
12 de Septiembre de 2017 by Leave a Comment
Hace ya algún tiempo, desde la cuenta de twitter @securityartwork lanzamos una petición para crear lista de libros imprescindibles en el ámbito de seguridad
(https://www.securityartwork.es/2016/02/12/recopilacion-de-algunos-libros-imprescindibles-para-aprender-seguridad-informatica-secbook)... Leer Más
Tendencias de malware. Agosto 2017
11 de Septiembre de 2017 by Leave a Comment
Tras un breve descanso, desde el laboratorio de malware queremos volver a compartir una vez más con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.
A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:
Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros las siguientes gráficas, las cuales consideramos interesantes. La idea es sencilla, y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después, esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]
La CCI rusa (XVIII). Conclusiones
7 de Septiembre de 2017 by 5 Comments
Durante unos meses hemos publicado en SecurityArtWork una serie de posts sobre la ciberinteligencia rusa, que esperamos que os hayan gustado y hayan ayudado a comprender mejor las capacidades, grupos, estructuras, APT… rusas; sin duda, Rusia ha sido y sigue siendo uno de los principales actores en el ámbito de la seguridad, inteligencia y defensa (y obviamente en la ciberseguridad, ciberinteligencia y ciberdefensa… o ciber cosas en general) y, como tal, debemos conocerlo bien si trabajamos en estos temas.
Como hemos visto en esta serie, Rusia es una potencia mundial en muchos campos (como en su día lo fue la URSS) y sigue manteniendo reminiscencias soviéticas; el “Modo Guerra Fría”, al que hemos hecho referencia en diferentes posts, define a la perfección su estrategia actual en el ámbito ciber y en el manejo de la información que históricamente ha hecho el país, que se aplican en ese amplio concepto de information warfare al que también nos hemos referido en múltiples ocasiones, significativamente diferente al occidental y que incluye propaganda o decepción, por poner sólo unos ejemplos. Si Rusia es tu madre y tu madre está en peligro harás todo lo necesario para salvarla. Punto. No hay discusión posible.
Análisis de TrumpBot
4 de Septiembre de 2017 by Leave a Comment
(Este año no hemos publicado la habitual imagen de la playa como aviso de vacaciones, aunque creo que es evidente que no hemos estado mucho por aquí. Sea como fuere, ya estamos aquí de nuevo).... Leer Más
Security On Air (Episodio III)
3 de Agosto de 2017 by
Nuestro Episodio III ya está aquí, y parece que fue ayer cuando empezamos, nos estamos haciendo mayores… Vale, vale, tenéis razón, tener 3 episodios igual no es para ponerse así, toda la razón, pero estamos contentos con que el proyecto haya salido adelante y eso nos emociona. Bueno, eso y que el calor no ayuda a escribir con claridad.
En fin, que queríamos contaros que ya tenéis disponible nuestro Episodio III y que esperamos que os guste.
¿Qué os vais a encontrar en él?
La CCI rusa (XVII): objetivos. España
27 de Julio de 2017 by
La Primera Dirección General del KGB era la responsable de todas las operaciones del servicio fuera de la URSS; esta Dirección incluía departamentos focalizados en diferentes áreas geográficas del mundo, que constituían el núcleo operativo de la Dirección General, y que eran responsables entre otros cometidos de casi todas las empresas ligadas al KGB que operaban fuera de territorio soviético. Y dentro de estos departamentos geográficos, el Quinto se ocupaba de Francia, Italia, Países Bajos, Irlanda… y España. Sin duda no llegábamos al nivel de Estados Unidos y Canadá (Primer Departamento, ocupado en exclusiva por estos dos países) pero tampoco andábamos muy lejos, quizás en un segundo nivel. Por diferentes motivos que obviamente han ido cambiando a lo largo de los años, desde la Guerra Civil hasta nuestros días España ha sido un objetivo histórico (no el más prioritario, pero sí relevante) para la inteligencia soviética y ahora lo sigue siendo para la inteligencia rusa: desde el NKVD durante su tiempo de vida hasta los servicios actuales, pasando obviamente por el KGB desde mediados hasta finales del pasado siglo. Exactamente igual que la URSS, o Rusia en la actualidad, también es y ha sido un objetivo importante para Occidente: por ejemplo, no tenemos más que leer algo sobre la operación Mari, en los años 60 ([2]). ... Leer Más
Linux.Bew: un backdoor para el minado de Bitcoin
21 de Julio de 2017 by
En el siguiente artículo vamos a analizar una muestra del binario catalogado por varias firmas antivirus como Linux.Bew. (Virustotal), malware de tipo ELF del cual hemos detectado actividad durante este último mes.
sha256: 80c4d1a1ef433ac44c4fe72e6ca42395261fbca36eff243b07438263a1b1cf06
Lo primero que podemos detectar es la extracción de información intrínseca del proceso haciendo uso del archivo /proc/self/exe, cuya información será remitida más tarde hacia el servidor C&C.
