Ciberataques marzo 2020 - Análisis de actualidad: Thiber
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Análisis de actualidad:
Ciberataques
marzo 2020
Análisis de actualidad: Ciberataques marzo 2020
3
Cibercrimen
A pesar de que diversos operadores de ransomware, entre usuarios de la red social están actualmente disponibles a
los que cabe destacar Maze, CLOP, DoppelPaymer, Nefilim la venta en diversos foros, según apuntan varios medios de
y Netwalker, lanzaron diversos comunicados a lo largo de comunicación chinos. Aparentemente, provienen de un vol-
marzo en los que afirmaban su intención de no atacar hospi- cado de datos de mediados de 2019 según anuncia el po-
tales ni entidades sanitarias, es innegable que los ciberde- tencial autor en algunos foros underground. Los detalles de
lincuentes están tratando de capitalizar la pandemia con un los datos personales incluyen los gustos, nombres reales,
número cada vez mayor de campañas temáticas. nombres de usuario, género, ubicación y, los números de
teléfono de 172 millones de usuarios.
Si bien las primeras semanas de marzo evidenciaban una
bajada en las tendencias de ataques con motivación econó- El leak no incluye las contraseñas, lo que explicaría por
mica (tal vez como resultado del “armisticio” comentado), qué el criminal está vendiendo los datos por solo ¥ 1,799
rápidamente volvieron a repuntar, dando lugar a una inun- ( 250$).
dación de spam, campañas de phishing y malware usando
como cebo la pandemia. A mediados de mes, investigadores de Comparitech iden-
tificaron una base de datos mal configurada alojada en un
Estas campañas masivas, han diluido el impacto de algu- servidor Elasticsearch en cloud. Tras un análisis pormeno-
nas fugas de datos, como la sufrida por la red social china rizado, se reveló que la base de datos contenía registro de
Weibo. Los datos personales de más de 538 millones de 42 millones de ciudadanos iraníes. La base de datos fue
Análisis de actualidad: Ciberataques marzo 2020
Ilustración 1. Publicidad en foros vendiendo los datos sustraidos de Weibo
originalmente cargada por un grupo iraní autodenominado mación empleada por desarrolladores iraníes para usar Te-
“Samaneye Shekar” que significa “sistema de caza”. Inicial- legram incluso cuando está bloqueado debido a la censura
mente, se pensó que el origen del leak podría venir de Te- existente.
legram, ya que incluía ID de cuenta de usuario, nombres de 4
usuario, hashes, claves secretas y números de teléfono en El informe explicaba que esas bases de datos de Elastic-
un formato similar al de la mencionada red social. Mas tarde search fueron objetivo de malware en el que, entre otros,
se determinó que el origen de la fuga de datos era HotGram también se eliminó la base de datos comentada. Sin em-
y Talagram, dos alternativas de Telegram utilizadas en Irán. bargo, antes del ataque, la base de datos fue descargada
Cabe mencionar que Telegram es una aplicación de código varias veces, actualmente un actor la vende en un foro un-
abierto que permite programar sobre su framework, aproxi- derground.
Ilustración 2. BBDD de 42 millones de
usuarios de Telegram iraníes a la venta
Ciberespionaje
Como no podía ser de otro modo, los actores con vincula- Sin embargo la mayoría de las campañas de malware que
ción estatal se están subiendo al carro del COVID-19 en sus emplean como narrativa la temática del coronavirus, provie-
campañas de ciberespionaje, con al menos dos grupos de nen de China, con especial actividad las últimas dos sema-
APT chinos (Mustang Panda y Vicious Panda) aprovechando nas, justo cuando China comenzó a relajar su confinamiento
Análisis de actualidad: Ciberataques marzo 2020
la pandemia para lanzar sendas operaciones, contra objeti- El primer ataques de estas características sucedió a princi-
vos en Vietnam y una entidad del sector público en Mongolia pios de este mes, publicado por la firma vietnamita de ciber-
respectivamente. Si bien no son los únicos grupos con esta seguridad VinCSS, que atribuyó el mismo a un grupo estatal
aproximación, ya que actores como Turla, Kimsuky y APT34 chino conocido como Mustang Panda, que difundía correos
muestran una actividad similar a lo largo del mes de marzo. electrónicos con un archivo adjunto RAR , y cuyo cuerpo del
mensaje pretendía suplantar al Primer Ministro vietnamita
Dicho lo cual, diversos grupos de atacantes con respaldo gu- informando sobre la pandemia. El ataque, también confir-
bernamental de China, Corea del Norte y Rusia están apro- mado por la firma CrowdStrike, instaló un backdoor tras eje-
vechando la pandemia mundial y han comenzado a utilizar cutar el fichero adjunto.
señuelos de phishing basados en el coronavirus como parte
de sus esfuerzos para infectar a las víctimas con malware y Otro ataque relevante fue publicado por CheckPoint, atribui-
obtener acceso a sus infraestructuras. Durante las últimas do al grupo estatal chino llamado Vicious Panda, dirigido a
semanas, diversas empresas del sector de ciberseguridad organizaciones del gobierno de Mongolia con documentos
se han hecho eco de ataques con vinculación estatal. El uso que afirmaban tener información sobre la prevalencia de 5
del COVID-19 (coronavirus) como foco de ingeniería social, nuevas infecciones por coronavirus.
no es realmente una sorpresa para aquellos que han seguido
los medios de comunicación las últimas semanas. Desde el Investigadores de ciberseguridad del Threat Analysis Group
ataque terrorista de París de noviembre de 2015 hasta la de Google revelaron a finales de Marzo que un grupo no
opresión de la población uigur en China, los grupos de ci- identificado de atacantes utilizó por lo menos cinco vulne-
berataques estatales siempre han creado sus señuelos para rabilidades 0-Day sobre objetivos norcoreanos en 2019. Las
phishing maximizando los resultados en un momento deter- campañas explotaron fallos en Internet Explorer, Chrome y
minado e, históricamente, los eventos trágicos siempre han Windows con correos electrónicos de phishing dirigido que
presentado los mejores resultados por el efecto psicológico contenían archivos adjuntos maliciosos o enlaces a sitios
que provocan. maliciosos, así como los llamados ataques watering hole,
distribuyendo malware en las máquinas de las víctimas tras espionaje dentro de un año representa un sorprendente ni-
visitar ciertos sitios web que habían sido vulnerados para vel de sofisticación y recursos. Google aclaró asimismo que
infectar a los visitantes a través de sus navegadores. un subconjunto de las víctimas no eran meramente de Corea
del Norte, sino relacionados con el país, lo que sugiere que
Google se negó a comentar quién podría ser responsable de estos objetivos no eran desertores norcoreanos, a quienes
los ataques, pero la firma de seguridad rusa Kaspersky ha el régimen norcoreano ataca con frecuencia.
vinculado los hallazgos de Google con DarkHotel, un grupo
Análisis de actualidad: Ciberataques marzo 2020
que se ha dirigido al pueblo norcoreano en el pasado y se A las pocas horas de que Google vinculase las vulnerabili-
sospecha que trabaja en nombre del gobierno de Corea del dades de 0-day con los ataques dirigidos a los norcoreanos,
Sur. Kaspersky pudo hacer coincidir dos de las vulnerabilidades,
una en Windows y otra en Internet Explorer, con aquellas
No es novedoso que los surcoreanos espíen a su adversario que ha vinculado específicamente a DarkHotel. La empresa
del norte, habida cuenta de que éste frecuentemente ame- de seguridad había visto previamente esos errores explota-
naza con lanzar misiles a través de la frontera. Pero la capa- dos para plantar el conocido malware DarkHotel en las com-
cidad del país de usar cinco 0-days en una sola campaña de putadoras de sus clientes.
6
Ilustración 3. Detalle de los esfuerzos
de focalización del grupo de actores de
amenazas rusos SANDWORM (por sector) en
los últimos tres años.
Hacktivismo, guerra electrónica y
operaciones de información
Las fake news asociadas al Coronavirus no son como otras pp de Facebook se ha asociado con la OMS para proporcio-
narrativas falsas tratadas hasta la fecha. Desde que estalló nar un servicio de mensajería que ofrece actualizaciones en
Análisis de actualidad: Ciberataques marzo 2020
la crisis mundial por Coronavirus, las principales plataformas tiempo real sobre el estado de la pandemia.
de redes sociales han desarrollado diversos mecanismos en
un intento desesperado por luchar contra las fake news que La información fake, los rumores, los mitos y las teorías de
puedan suponer un riesgo directo contra la salud, ayudando la conspiración cobran fuerza en la red, abonando un sus-
a limitar la difusión de, por ejemplo, información errónea que trato que podrá ser empleado por diversos actores a corto
potencialmente podría empeorar la pandemia. No obstante, y medio plazo con otro tipo de fines, permitiendo realizar
es necesario remarcar que este control no debería hacer que campañas de desestabilización, manipulación e injerencias.
se adoptase un enfoque similar al discurso político, donde se
requiere mayor precaución y un control de contenidos some-
tido a escrutinio, supervisado y transparente.
Facebook, Twitter y YouTube se han movido rápidamente
para eliminar la información fake sobre el coronavirus que 7
alienta a las personas a tomar medidas que podrían ponerlos
en riesgo. Google está posicionando en sus plataformas la
información de las agencias de salud oficiales, como la Or-
ganización Mundial de la Salud, y ha establecido un equipo
de respuesta a incidentes 24x7 que elimina la información
errónea de los resultados de búsqueda y YouTube. WhatsA-
Ilustración 4. Mensaje oficial de
Facebook mostrando estrategia y términos
de uso COVID 19 en su plataforma.
Análisis de actualidad: Ciberataques marzo 2020
Ilustración 5. Comunicado público de
la estrategia de comunicación COVID-19
de Twitter.
8
Ilustración 6. Youtube mantiene
actualizado un artículo relativo a la gestión
COVID-19
Ilustración 7. Comunicado público del
equipo establecido por Google de respuesta
a incidentes 24x7 sobre COVID-19q
Tras una comunicación realizada a comienzos del mes de así como rumores de celebridades; y aunque no han publi-
marzo, según Facebook y Twitter, la Agencia de Investiga- cado explícitamente sobre las elecciones presidenciales de
ción de Internet (IRA) de Rusia está ahora externalizando 2020, lo más probable es que esta actividad sea simple-
sus campañas de desinformación a África. mente el posicionamiento de dichas cuentas para, en una
segunda fase, sean empleadas en campañas de INFOOPS
En Ghana y Nigeria, se han publicado docenas de cuentas y PSYOPS para interferir en los procesos electorales en esa
sobre historia negra, derechos civiles y cuestiones LGBTQ, región.
En el pasado, el IRA ha creado páginas aparentemente ino-
cuas que, una vez que han reclutado suficientes seguidores
y han sido bien posicionadas, comienzan a publicar material
de contenido político.
Según la CNN, que participó en la investigación de Face-
book, la operación ghanesa la llevaron a cabo 16 personas
Análisis de actualidad: Ciberataques marzo 2020
en una casa de alquiler en Accra, alquiladas bajo el nombre
de Eliminando Barreras para la Liberación de África (EBLA).
La actividad asciende a 49 cuentas de Facebook, 69 pági-
nas y 85 cuentas en Instagram. Alrededor de 13.500 cuen-
tas siguieron una o más de estas páginas, con alrededor de
265.000 siguiendo una o más de las cuentas de Instagram.
Mientras tanto, Twitter dice que ha eliminado varias cuen-
tas, con 68,000 seguidores en total.
9
También puede leer
