La operación Escudo de Troya: cómo las fuerzas y cuerpos de seguridad están a la caza de los delincuentes en el ciberespacio.

23 de junio de 2021 Por
Operación encubierta de ANOM - Wikipedia, la enciclopedia libre
Fuente: FBI

En un mundo altamente hiperconectado, la tecnología avanza con una rapidez sin precedentes, que obliga tanto a policía como investigadores a innovar constantemente. Los ataques resultan ser cada vez más agresivos, al igual que la propia ciberdelincuencia evoluciona a un ritmo que puede resultar muy difícil seguir.

La guerra digital ha llegado para quedarse, y las nostálgicas persecuciones de película entre delincuentes y policías por las calles de la ciudad se han trasladado al ciberespacio. Esto hace que “los buenos” deban ser creativos a la hora de perseguir el crimen y establecer nuevos métodos de investigación.

Por todo ello, las trampas tecnológicas son ahora una realidad, especialmente dirigidas a identificar y capturar a miembros del crimen organizado, cibercriminales y terroristas, convirtiéndose esto en una nueva táctica de represión muy presente en la actualidad.

La Operación Escudo de Troya ejemplifica bien esta nueva modalidad de lucha contra el crimen en la red. Esta ofensiva policial ha contado con la colaboración de más de una decena de países, donde miembros de las fuerzas del orden se han infiltrado en bandas delictivas que operan online. Así, aquellos individuos interceptados resultaron ser usuarios de una aplicación concreta de comunicaciones cifradas, la cual había sido pinchada por el FBI, interceptando así todos los mensajes que los cibercriminales circulaban a través de la aplicación.

[Read more…]

Do Math or Windows Dies! Personalizando un ransomware escrito en .NET

21 de junio de 2021 Por
NOTA: El contenido de este artículo es educativo e informativo. El objetivo es aprender cómo funciona el malware y cómo identificar sus capacidades. El autor no se hace responsable de una mala utilización de la información aquí expuesta. El autor NO RECOMIENDA bajo NINGÚN CONCEPTO la ejecución de la muestra en una máquina fuera de laboratorio aislado.

En este artículo vamos a analizar, destripar y personalizar un pequeño malware de tipo screenlocker (una variante de Ransomware que bloquea el equipo pero no cifra los ficheros). Se trata de una muestra torpe pero efectiva que vamos a manipular para crear nuestro propio screenLocker.

SSHBOT, el ScreenLocker chapuza

SSHBOT, también conocido como P4YME, es un malware antiguo y poco sofisticado que pertenece a la familia de los ransomwares.

La muestra utilizada en este artículo es pública y está subida a VirusTotal, donde cuenta con 54 detecciones:

Cuando se ejecuta, reinicia el equipo y muestra este mensaje:

[Read more…]

Análisis campaña Emotet

16 de junio de 2021 Por
El post de hoy viene de la mano del CSIRT-CV, el Centro de Seguridad TIC de la Comunitat Valenciana. Nacido en junio del año 2007, como una apuesta de la Generalitat Valenciana por la seguridad en la red, fue una iniciativa pionera al ser el primer centro de estas características que se creó en España para un ámbito autonómico.

A pesar de tratarse de un malware que se comenzó a identificar en 2014, Emotet todavía sigue siendo una de las amenazas más activas hasta la fecha, evolucionado desde las versiones iniciales, en las que se centraba en el robo de credenciales bancarias, hasta la actualidad, dónde se ha ampliado el arsenal de técnicas entre las que se encuentran sniffing de tráfico de red, explotación de vulnerabilidades para conseguir movimiento lateral, etc.

Indicar que EMOTET fue interrumpido la última semana de Enero de 2021 mediante una acción global entre autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, con una actividad internacional coordinada por Europol y Eurojust. Esta acción permitió que los investigadores tomaran el control de su infraestructura.

Durante estos 6 años hemos visto cómo nuevas campañas de Emotet aparecían durante unas semanas, y una vez las muestras y los ficheros maliciosos utilizados ya eran bloqueados por las principales casas de Antivirus se detenían unos días hasta las siguiente oleada.

En CSIRT-CV hemos recibido varias de estas campañas, las cuales hemos tratado de analizar y remediar en nuestros sistemas. Vamos a detallar algunos aspectos importantes de este malware, que aunque desactivado, puede enseñarnos muchas cosas de las amenazas que vengan en el futuro.

[Read more…]

La dislexia, una aliada de los cibercriminales

9 de junio de 2021 Por
File:Dyslexia.jpg
Imagen por http://www.scientificanimations.com · Creative Commons Attribution-Share Alike 4.0 International

No voy a decir mucho sobre el phishing y cómo funciona porque… en serio… no soy el más indicado.

En su lugar, me quiero centrar en uno de los consejos de prevención que le damos a todo el mundo que puede ser objetivo de un ataque de este tipo (a todo el mundo, vaya): presta atención a la ortografía y la gramática o si se dirigen a ti de forma genérica.

Como persona que ha recibido innumerables emails que comienzan con “Querido Bien-amado” (y que los ha borrado de inmediato), o “Querido señor” (¿Señor? ¿Pero por qué querría nadie llamarme eso a mí?) esa parte la tengo bastante controlada.

La de la gramática, bueno. No me voy a quejar de gramática, aunque tampoco soy un Camilo José Cela (ni quiero, ¡gracias!). Pero la ortografía. Esa es harina de otro costal.

Veréis, tengo dislexia. Y discalculia.

[Read more…]

Controles CIS versión 8, en vuelo

4 de junio de 2021 Por
CIS Controls

Teniendo en cuenta que cualquier época es tiempo de cambio y evolución, sería imposible imaginar algo diferente para un momento de especial incertidumbre y disrupción como el actual: la pandemia generada por COVID 19 ha acelerado los ciclos de la gestión del cambio de cualquier actividad o área de conocimiento. ¡Y los controles CIS no son una excepción! Desde abril de 2019, fecha de publicación de la versión 7.1, no pocas cosas han cambiado en el universo de la gestión de la información.

Como la práctica totalidad de nuestros lectores ya conoce, los Controles CIS conforman un conjunto de buenas prácticas para la defensa frente a ataques contra los sistemas de información y las redes. Estos controles han venido siendo desarrollados por una comunidad de expertos en Tecnologías de la Información provenientes de múltiples sectores de actividad.

Este ejército de voluntarios constituye el músculo y el corazón del Center for Internet Security (CIS), organización independiente sin ánimo de lucro que se focaliza en el desarrollo de múltiples utilidades de ciberseguridad, entre ellas los CIS Controls.

[Read more…]

El hacktivismo oportunista e individual como nueva tendencia en el ciberespacio

25 de mayo de 2021 Por

El ciberactivismo se ha basado, desde su irrupción en el panorama internacional con Anonymous en 2010, en un concepto de “no violencia” con la utilización de herramientas de carácter digital, de marcada perspectiva política e ideológica. Así ha sido históricamente,  produciéndose un fenómeno que perseguía principalmente un impacto social, medioambiental, político e incluso cultural.

Actualmente, esta tendencia grupal está sufriendo un profundo cambio, dejando atrás esta idea de “lucha grupal” y abriéndose camino a un hacktivismo más individual que busca oportunidades más allá de un mantra concreto.

El CCN-CERT avisa, con la reciente publicación del Informe Anual 2020: Hacktivismo y Ciberyihadismo, de que no solo se están disminuyendo los ataques clásicos propios de movimientos  colectivos en el ciberespacio, sino de la transformación que se está produciendo dentro de este propio concepto.

El informe manifiesta el alto incremento en el exhibicionismo individual, apareciendo un hacktivismo más provocativo y personal, que aprovecha situaciones muy concretas con alto impacto mediático, como puede ser la promoción de protestas ante una revolución política o social. Así, el fenómeno comienza a dejar atrás una perspectiva centrada en la defensa continua de una ideología colectiva prolongada en el tiempo.

Aquí, lo que se observa es una colectivización mínima frente a la aparición de individuos poco profesionalizados, que buscan principalmente crear más ruido y confusión que el propio apoyo a un movimiento o ideología en concreto.

El CCN-CERT alerta así de este oportunismo a nivel internacional, centrado mayormente en ataques de denegación de servicio, desfiguración de webs de gobiernos locales y regionales, además de pequeñas y medianas empresas. La tendencia, sumada a estas actividades, desvela también la búsqueda de la polarización en el ciberespacio, aprovechando el exceso de información y las fakenews.

Aunque parece que el ciberactivismo evoluciona hacia una nueva vertiente, no se debe menospreciar el impacto que puede ocasionar este tipo de hacktivismo en la sociedad actual y el panorama internacional, pues su alto impacto y potencial lo convierte en una ciberamenaza que no debe perderse de vista a medio y largo plazo.

Puedes leer el informe completo del CCN-CERT aquí: https://www.ccn-cert.cni.es/gl/informes-ca/publicos/5933-ccn-cert-ia-17-21-informe-anual-2020-hacktivismo-y-ciberyihadismo-1/file.html

(Ciber) Inteligencia (V): Evaluación y difusión

21 de mayo de 2021 Por

Tras echar un breve vistazo a la fase de obtención, HUMINT y OSINT, llegamos en esta entrada a la tercera y cuarta fase del ciclo de inteligencia.

Tras la obtención de la información, llegaría el momento de la elaboración de inteligencia, donde toda esa información se convierte como tal en un producto de inteligencia. Comentábamos en la quinta entrada sobre la disciplina OSINT, como un desbordamiento de información, sin análisis, no tiene ningún valor.

Durante la elaboración de la inteligencia, se debe procesar toda la información obtenida de una manera asumible para el analista de inteligencia. Se deben evaluar las diferentes fuentes atendiendo a aquellas con mayor credibilidad y discernir (dejando a un lado los sesgos cognitivos del analista) aquellas informaciones no relevantes para las NI (Necesidades de Inteligencia). Durante el análisis, pueden surgir nuevas necesidades que lleven a cabo una planificación y obtención de nueva información para ampliar o continuar en diferentes direcciones, es por ello que constantemente se habla de un ciclo.

[Read more…]

Explotando datos de APT for fun and (no) profit (IV): conclusiones

4 de diciembre de 2020 Por
Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Hemos obtenido algunos datos para soltar frases en las charlas de APT (por favor, no olvidéis usarlos junto a las frases de “El Arte de la Guerra”, de Sun Tzu, que nunca pasa de moda, y comentar lo del eslabón más débil de la cadena y demás :). Con algo de tiempo, podemos obtener conclusiones más o menos interesantes, o más o menos estúpidas, en relación a las actividades, intereses, orígenes… de los grupos APT. Y explotando otros datasets (¿vamos a por MITRE ATT&CK?) podemos ampliar o complementar estas conclusiones.

Algunos de los datos que podemos concluir después de este pequeño análisis:

  • Parece claro que Rusia juega en la Liga de Campeones de las APT; es el país líder en todo tipo de actividades hostiles, desde el sabotaje hasta el espionaje o la delincuencia económica.
  • El líder de todos los grupos APT es también ruso: Turla, operando desde hace casi un cuarto de siglo (y en este caso sí que podemos confirmar que sigue vivo) y con un abanico de objetivos impresionante.
  • El grupo al que los analistas prestan más atención es también ruso: APT28, el más investigado y, casi por este motivo, el que más nombres diferentes tiene.
  • El número de actores con capacidades CNA se está incrementando en los últimos años, de nuevo con Rusia a la cabeza.
  • Aparte de los actores habituales, dos países han estado particularmente activos durante los últimos años: Irán y Corea del Norte.
  • Sería interesante identificar un nuevo parámetro para cada actor, similar a “visto por última vez”, que nos permita saber cuánto tiempo un grupo ha estado activo, o si lo está en estos momentos.
  • Usar diferentes nombres, en función de quién lo llama, para el mismo grupo es un caos a la hora de procesar datos; en este sentido, el esfuerzo de MISP para identificar un UUID por grupo es de agradecer (https://github.com/MISP/misp-galaxy/blob/main/clusters/threat-actor.json#L2434),  como bien nos ha indicado @adulau en Twitter.
  • Con algo de imaginación y gnuplot puedes tener tu propio Magic Quadrant de APT :)
  • Importante: esto es un simple post, no un artículo científico. No esperes verdades absolutas, no discutibles y que sienten cátedra aquí.
  • Y la última conclusión: AWK es nuestro amigo. Recordad:

Explotando datos de APT for fun and (no) profit (III): análisis (no tan) simple

3 de diciembre de 2020 Por
Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Una vez que hemos respondido a algunas preguntas tontas o simplemente sencillas, es el momento de plantearnos algunas más complejas, así que empecemos…

¿Los actores con capacidades CNA están incrementando sus actividades en los últimos años?

En las preguntas simples hemos identificado que el sabotaje o la destrucción no son las motivaciones más habituales en los actores de la amenaza. Pero estamos interesados en ellos, por lo que veamos sus actividades en el tiempo:

for i in `grep "Sabotage and destruction" [0-9]*.txt|awk -F: '{print $1}'`; do grep \"meta\",\"date\"\] $i|awk '{print $2}'|sed 's/\"//g';done|awk '{a[$0]++}END{for(k in a){print k,a[k]}}’ >years.cna

Dibujando los resultados, tenemos:

gnuplot> set boxwidth 0.5

gnuplot> set xtics 1

gnuplot> set ytics 1

gnuplot> set yrange [0:5]

gnuplot> plot 'years.cna' with boxes

Desde 2012, el número de actores con capacidades CNA -o al menos su salto a la fama- se ha incrementado de forma considerable: de 14 grupos totales, 9 han arrancado sus actividades en los últimos ocho años, por lo que podríamos decir que es una tendencia al alza. Por curiosidad, el actor más antiguo con capacidades CNA empezó en 2001. ¿Adivinamos su nombre? Efectivamente, Equation Group… 

[Read more…]

Explotando datos de APT for fun and (no) profit (II): análisis simple

2 de diciembre de 2020 Por
Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Con la información ya procesada y lista podemos empezar el análisis por la parte mas sencilla: las preguntas tontas y las preguntas simples que en muchas ocasiones nos planteamos. Allá vamos.

¿Cuáles son los grupos con más sinónimos?

La pregunta más tonta que siempre me he planteado es por qué usamos tantos nombres diferentes para el mismo actor. ¿Quién tiene el privilegio de ser el grupo con más nombres? Veamos:


$ for i in [0-9]*.txt; do c=`grep synonyms\", $i|grep -vi operation|wc -l `; echo $c $i;done |sort -n|tail -1

18 233.txt

$

El resultado es “233.txt”, que corresponde a APT 28, con 18 sinónimos; el segundo clasificado, con 16 nombres diferentes, es Turla. Casualmente, ambos de Rusia (veremos luego algunas curiosidades de Rusia).

Aparte de esto, una opinión personal: ¡18 nombres para el mismo grupo! Definitivamente, y una vez más, necesitamos un estándar para los nombres de actores hostiles. Esta puede ser tu primera frase cuando des una charla de APT: donde está un comité ISO cuando se le necesita?

¿Qué grupos son de mi país?

Aparte de los actores que todos tenemos en mente (Rusia, China…), ¿tenemos grupos españoles? ¿Tenemos grupos de otros países relevantes? El código ISO 3166-1 para España es ES, por lo que podemos buscar actores españoles -y de otros países- con una orden simple:

[Read more…]