Tendencias de malware. Diciembre 2016

Durante este mes de diciembre hemos observado desde el laboratorio de malware de S2 Grupo distintas amenazas que una vez más queríamos compartir con vosotros. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:

malwarediciembre

Antes que nada, nos gustaría remarcar el respiro que, al menos a nosotros, nos ha dado Locky este mes, con una cantidad tremendamente reducida de SPAM en comparación con los dos meses anteriores. Esto no significa que haya desaparecido ni mucho menos ya que han estado llegando a muchos sitios correos con textos de “asunto:” como los siguientes: [Read more…]

La CCI rusa (VIII): GRU

gru_emblemEl único de los grandes servicios rusos que, como ya hemos indicado, no es un heredero directo del KGB es el GRU (Glavnoye Razvedyvatelnoye Upravlenie), unidad militar 44388, cuyo objetivo es proporcionar inteligencia al Ministerio de Defensa, a la cúpula militar y a las fuerzas armadas rusas en su conjunto. Este servicio está dedicado a la inteligencia militar, desde la estratégica a la operativa, trabajando no sólo en un sentido exclusivo de defensa, sino abarcando también otros aspectos como la política o la economía ligadas al ámbito militar, y en especial la inteligencia exterior –en ocasiones junto al SVR-; desde el año 1996, tiene encomendada la misión de adquirir incluso información relativa a ecología y medio ambiente. Para ejecutar estas tareas, el GRU dispone de todo tipo de capacidades, desde IMINT hasta HUMINT, pasando por OSINT y, por supuesto, SIGINT, capacidades que le dotan de un ámbito de actuación e influencia internacional y que permiten al GRU “actuar en cualquier punto del mundo donde pudiera surgir la necesidad”, según declaraciones del General Valentin Vladimirovich Korabelnikov, en una entrevista concedida en 2006, cuando era Director del GRU.

El GRU es sin duda el más opaco de los servicios rusos y posiblemente el mejor de ellos; se trata de un grupo que mantiene ciertas reminiscencias soviéticas –recordemos que sobrevivió al KGB- e incluso que considera “occidentalizados” a otros servicios como el FSB. Como curiosidades, el GRU recluta a sus agentes entre las clases “proletarias”, preferentemente a personal sin conocimientos de idiomas, y entre sus supuestos cometidos está el enterrar armas en territorio hostil para poderlas utilizar en caso de conflicto; no dispone de servicio de contrainteligencia (función ejercida por el FSB) ni tampoco de oficina de prensa (realmente, el GRU no es más que una Dirección General dentro del Ministerio de Defensa ruso) o página web oficial ([1]). Gracias a sus métodos de trabajo, es el servicio de inteligencia que menos desertores ha tenido en la historia soviética y rusa.
[Read more…]

PYME vs Estándares de Seguridad de la Información (II)

En el post anterior hablábamos de algunas de las razones que abocan a las pymes a ser reacias a implantar estándares de seguridad de la información. Como comentábamos en ese post, uno de los principales motivos es el desconocimiento que existe entre las pymes sobre los estándares de seguridad de la información aplicables, además de la incorrecta percepción que tienen acerca de los objetivos de los ciberataques (¿Quién va a querer atacar mi empresa?). La confluencia de estos dos factores va a resultar en que los directivos de estas organizaciones decidan invertir sus escasos recursos, en la mayoría de los casos, en proyectos con un retorno de inversión más evidente.

Precisamente, la disponibilidad de recursos es otro de los grandes obstáculos para las pymes a la hora de acometer la implantación de un estándar de seguridad de la información. Veamos porqué.
[Read more…]

En el 2017 más y mejor

El 2016 empezó prometiendo ser un año en el que cumpliríamos esa lista de objetivos que todos nos marcamos. No en vano, eso parece que lo prometen todos los años el 1 de Enero, pero este año tenía algo especial, nos daba un día más para cumplirlos, porque 2016 ha sido un año bisiesto.... Leer Más

#33c3 – Un congreso único en el mundo

Cuando leáis esto probablemente estaré ya en Hamburgo para asistir a la 33ª edición del Chaos Computer Congress, conocido como #33c3 y organizado por el Chaos Computer Club (CCC), la asociación de hackers (más bien es un conjunto de hackerspaces y asociaciones de hacking) más grande de Europa, y que lleva más de 30 años investigando y promoviendo la concienciación en temas relacionados con la tecnología y el hacking, incluyendo temas controvertidos como privacidad, vigilancia y seguridad de la información entre otros.

Este año, y gracias a la insistencia de algunos amigos, me he hecho un autorregalo de navidad y asistiré a este congreso que, al igual que todos los eventos organizados por el CCC, son únicos en el mundo, y no solo por la calidad o variedad de los temas tratados en las ponencias oficiales, sino por todo lo que se mueve a su alrededor. Voy a explicar por qué creo que esto es así.

Para empezar, se pone a disposición de los asistentes y de aquellos que no han podido asistir al evento varias redes de comunicación. En concreto, una red GSM (aunque este año no se pueden comprar tarjetas SIM nuevas) y una red DECT (muchos de los teléfonos inalámbricos que tenemos en casa son compatibles) desplegadas por todo el centro de convenciones donde tiene lugar el evento gracias a Eventphone, así como extensiones SIP tanto dentro del evento como fuera, para poder comunicarte con amigos o familiares que no hayan podido asistir al evento (esta última red externa se conoce como EPVPN). Además hay todo un directorio de servicios a los que puedes acceder a través de extensiones en esta red.
[Read more…]

La CCI rusa (VII): FSO

e1470_fsoOtro de los herederos de la FAPSI es el FSO (Federal’naya Sluzhba Okhrani), identificado en [1] como la unidad militar 32152 y dirigido desde mayo de este año por el General de División Dmitry Kochnev (su antecesor, Evgeny Murov, era General de Ejército, dos grados superior, y esto en los servicios rusos es muy importante). Murov consiguió para el Servicio atribuciones de la FAPSI muy importantes: con más de 20.000 efectivos en la actualidad (supuestamente, ya que es información clasificada, y diversas fuentes hablan de más de 50.000), el FSO heredó y amplió la Novena Dirección del KGB, con responsabilidad en la protección de “bienes” gubernamentales, en el sentido más amplio de la palabra. Por ejemplo, el Servicio de Seguridad Presidencial, el SBP -los guardaespaldas de Putin- o el control del famoso maletín nuclear ruso dependen del FSO, al igual que la explotación de una red segura para la transmisión de resultados electorales, GAS Vybory (la información es, obviamente, un bien a proteger). En concreto, desde un punto de vista ciber, este servicio ha asumido entre otras capacidades las asociadas a SIGINT estratégica, la garantía de explotación de los sistemas estatales -en especial en lo referente a su protección frente a servicios extranjeros- y la seguridad de la información clasificada nacional ([2]), lo que incluye las comunicaciones presidenciales: el FSO proporciona comunicaciones seguras a muy alto nivel, por ejemplo entre el Kremlin y los principales mandos militares rusos, lo que le otorga un enorme poder para el control de la información…... Leer Más

La CCI rusa (VI): SVR

150px-svrlogoEl SVR (Sluzhba Vneshney Razvedki) fue el primer heredero del KGB con entidad propia, heredando las atribuciones de la Primera Dirección General; se ocupa de la inteligencia exterior rusa, proporcionando a las autoridades nacionales inteligencia que pueda beneficiar a Rusia en diferentes ámbitos que han evolucionado desde el militar y de defensa (en especial, años 90) al tecnológico, industrial, científico y económico. Para lograr este objetivo el SVR se basa sobre todo en capacidades HUMINT, tanto abiertas como clandestinas, apoyándose teóricamente en el GRU –que veremos en un próximo post– para sus necesidades de inteligencia de señales.

En este ámbito SIGINT el SVR trabaja junto al GRU en inteligencia estratégica (al menos en teoría, ya que es bien conocida la rivalidad entre agencias rusas: recordemos la operación “conjunta” del SVR junto al GRU de la estación SIGINT de Lourdes, en Cuba), a diferencia de la inteligencia más operativa del FSB; el objetivo principal del SVR, con independencia de la disciplina utilizada, es la adquisición de información y elaboración de inteligencia acerca de capacidades, acciones, planes, intenciones… tanto reales como potenciales de terceros países contra los intereses vitales de la Federación Rusa (como hemos dicho, incluso económicos).
[Read more…]

¡Feliz Navidad!

No nos vamos a enrollar. No nos ha tocado ni la devolución con el 31337, así que aquí seguimos :)... Leer Más

PYME vs Estándares de Seguridad de la Información (I)

En el universo de la Consultoría de GRC (Gobierno, Riesgo y Cumplimiento), es más común llevar a cabo proyectos en compañías de tamaño medio-grande que en pequeña y mediana empresa, siendo éstas segundas muy superiores en número, tanto a nivel nacional como europeo. Dada esta tesitura cabe preguntarse, ¿por qué son menos las pymes que contratan nuestros servicios?, ¿son menos vulnerables ante ataques que comprometan la seguridad de su información?

De sobra es conocido que, durante la última década, las organizaciones han experimentado una gran dependencia de sus sistemas de información para la prestación de servicios a sus clientes y cumplir con sus objetivos de negocio. Hoy en día, no solo las grandes compañías tienen esta dependencia de las TIC, también las pymes, que constituyen más del 99% del tejido empresarial europeo y, además, son las que presentan riesgos más significativos en cuanto a seguridad de la información se refiere. Estos riesgos constituyen una gran amenaza para el negocio de estas organizaciones.
[Read more…]

Forensic CTF Writeup: Baud, James Baud (II)

En el primer artículo abrimos boca con algunas cuestiones del forense, así que ahora toca continuar con el primer plato.

4. What makes this email service difficult to analyze?

ProtonMail es un servicio de correo web diseñado teniendo en cuenta la seguridad. Cuando un usuario se crea una cuenta, debe generar a su vez unas claves que cifran todos sus correos. De esta forma ProtonMail (si nos fiamos de ellos, por supuesto) nunca va a tener acceso a los datos del usuario al estar cifrados de forma segura.
[Read more…]