Con el fin del ciclo de vida de la versión 2004 de Windows 10 y Windows server se recomienda a los usuarios actualizar a la versión 21H1 o Windows 11 para no dejar de recibir las actualizaciones de seguridad mensuales.
El próximo 14 de diciembre Microsoft dejará de dar soporte a todos los usuarios que todavía estén corriendo en sus equipos Windows 10 versión 2004, también conocida como Windows 10 May 2020 Update o 20H1. Lo mismo ocurrirá con la versión de Windows Server 2004.
Junto con el lanzamiento del paquete mensual de actualizaciones de seguridad de noviembre la compañía recordó a los usuarios que la fecha final se aproxima para que actualicen.
Este final del ciclo de vida implica que a partir de esa fecha Microsoft no estará enviando actualizaciones de seguridad relevantes para nuevas vulnerabilidades, que dejará de brindar soporte técnico, y que tampoco distribuirá otras actualizaciones que mejoren la calidad del sistema o agreguen nuevas funcionalidades. Por lo tanto, se recomienda que para esa fecha los usuarios hayan actualizado sus equipos a la versión 21H1 de Windows o Windows 11.
Según explica la propia compañía, los equipos que sigan utilizando versiones desactualizadas seguirán funcionando, pero estarán expuestos a un mayor riesgo de seguridad al no recibir parches.
Para saber qué versión de Windows estás utilizando, puedes escribir winver en la caja de búsqueda en la barra de tareas y aparecerá una opción que te mostrará los detalles.
La versión 21H1 está disponible para cualquiera a través de Windows Update y será la versión que se ofrezca para los nuevos equipos. Si bien esta versión se lanzó en mayo de 2020, la misma no estaba disponible para todos como lo está ahora.
Según un relevamiento, en octubre el 14.1% de los usuarios de Windows a nivel mundial estaban corriendo Windows 10 2004.
Aquellos que quieran instalar Windows 11 deberán verificar si el equipo cuenta con los requisitos mínimos. Para ello, Microsoft cuenta con una herramienta para comprobar la compatibilidad del equipo con esta versión de Windows. Recientemente la compañía comunicó que la disponibilidad de Windows 11 ha incrementado a medida que han ampliado el conjunto de dispositivos que pueden utilizar esta versión.
Para más información sobre la política del ciclo de vida de Windows, visita la sección preguntas y respuestas frecuentes que ofrece la compañía.
Un recorrido por distintas herramientas gratuitas que nos ayudará con el análisis estático y dinámico de malware.
Repasamos cuáles son las diferencias entre el análisis dinámico y estático de malware y compartimos algunas de las tantas herramientas gratuitas disponibles para llevar a cabo estas tareas. Al final del artículo, compartimos algunos enlaces a otros contenidos y recursos útiles relacionados con el análisis de malware.
Análisis de malware estático VS dinámico.
En primer lugar, el análisis estático se basa en el proceso de analizar un archivo sospechoso sin ejecutarlo. El objetivo de este método es realizar un análisis inicial con el fin de extraer información útil del binario sospechoso para tomar una decisión informada sobre cómo clasificarlo o analizarlo y dónde enfocar los esfuerzos de análisis posteriores.
En segundo lugar se encuentra el análisis dinámico, también conocido como análisis de comportamiento. Este tipo de análisis se encarga de ejecutar una muestra en un entorno aislado para monitorear sus actividades, interacción y su efecto.
Imagen 1 – Comparación entre análisis estático VS dinámico
Herramientas para el análisis estático de malware
Pestudio
Este software permite a los analistas de malware examinar y analizar ficheros .exe y sus librerías dinámicas .dll.
La herramienta nos muestra varios ficheros que podemos investigar para saber qué acciones realiza cuando lo ejecutamos. De este modo, podremos saber si se trata de un malware, y en caso de que así sea, observar qué acciones es capaz de llevar a cabo la amenaza.
Imagen 2 – Pestudio con una muestra de RansomEXX
Pestudio es una potente herramienta que en caso de que la máquina virtual tenga salida a Internet podrá realizar un escaneo de los ficheros que contenga el ejecutable y subirlos a VirusTotal. Además, Pestudio es capaz de detectar las API utilizadas dentro del potencial malware. Algunos ejemplos de API comúnmente utilizadas por códigos maliciosos son GetProcAddress, LoadLibraryA, GetModuleHandleA, ExitProcess, VirtualAlloc, WriteFile, entre otras.
Imagen 3 – Secciones de Pestudio
Algunas de las secciones más importantes que tenemos en Pestudio son:
Indicators: esta sección nos ofrece información de por qué el binario es sospechoso y lo clasifica según el nivel de severidad.
Libraries: identifica las .dll que carga el binario a analizar. Recupera las bibliotecas y las funciones a las que se hace referencia en el archivo sospechoso. Pestudio viene con una lista predefinida de bibliotecas y funciones comúnmente utilizadas por los códigos maliciosos.
Imports: identifica las .dll que carga el binario junto con los parámetros utilizados.
Resources: nos da información de la carga de un archivo del estilo paylaod.
Strings: a través de la lista preconfigurada <strings.xml> compara las strings que posee el binario a analizar para definir si el archivo es sospechoso.
PEBear
PE-bear es un freeware para realizar ingeniería inversa sobre archivos PE que tiene como finalidad ofrecer un pantallazo rápido sobre el comportamiento del archivo.
Imagen 4 – PE-bear con muestra de ransomEXX
Una de las ventajas de utilizar PE-bear al inicio del análisis es poder verificar las secciones, ya que muchas veces los binarios están empaquetados, por ejemplo con UPX.
Si te interesa puedes profundizar sobre empaquetadores y el uso de PE-bear en la solución al desafío ESET #44
CFF Explorer
Con CFF Explorer es posible inspeccionar programas del tipo PE (Portable Executable), al igual que con Pestudio y PE-bear. Una de las principales ventajas de utilizar esta herramienta es que permite realizar modificaciones dentro del PE.
CFF Explorer brinda la posibilidad también de entender la composición básica extrayendo información sobre la fecha de compilación, el tipo de arquitectura o importaciones de librerías.
En este caso, las .dll que llama el binario analizado utilizan cuatro librerías:
KERNEL.dll
USER32.dll
ADVAPI32.dll
SHELL32.dll
Si bien estas .dll no son maliciosos, algunas veces los cibercriminales las modifican para realizar otro tipo de tareas en el equipo de la víctima.
Imagen 5 – CFF Explorer con una muestra del ransomware RansomEXX
Otra de las funcionalidades que se pueden encontrar dentro de CFF Explorer son: el visor de procesos, opción para extraer strings, un editor hexadecimal, entre otras.
Resource Hacker
Otra de las herramientas más utilizadas para la interpretación de los archivos ejecutables PE es Resource Hacker. Esta herramienta permite extraer información de los archivos binarios de Windows. Por ejemplo, en el caso de que se esté analizando un binario que resulta ser un dropper, con Resource Hacker se podrá detectar el PE adicional dentro de los recursos.
En la imagen siguiente se tomó como ejemplo para utilizar la herramienta el RAT de Bankdook que fue utilizado en la campaña de Bandidos.
Imagen 6 – Resource Hacker
Herramientas para análisis dinámico de malware
Process Hacker
Es una herramienta que permite monitorear los recursos del sistema y los procesos que se ejecutan en el mismo.
Además, Process Hacker permite inspeccionar los atributos de los procesos que se generan a partir de ejecutar el binario malicioso, ya sea desde explorar los servicios, conexiones de red, etc.
Imagen 7 – Process Hacker
Process Explorer
Process Explorer es una herramienta que pertenece al paquete de herramientas de SysInternals que tiene la funcionalidad de monitorear procesos y servicios en Windows.
Durante el análisis de malware dinámico, Process Explorer es utilizado para identificar los procesos que se crean a partir de la infección del binario, lo cual facilita a los analistas distinguir qué procesos maliciosos se están ejecutando para poder separarlos y realizar un análisis más detallado.
Imagen 8 – Process Explorer con muestra de RansomEXX
RegShot
Regshot es una herramienta que permite a los analistas realizar “snapshots” del sistema antes y luego de ejecutar la muestra de malware a analizar. Es una herramienta sencilla que permite identificar rápidamente los registros que haya creado el binario malicioso. El análisis se puede exportar, ya sea desde un archivo HTML hasta incluso un archivo .txt
Imagen 9. Regshot con muestra de RansomEXX
Imagen 10 – Regshoot – modificaciones en registro por RANSOMEXX
Autoruns
Autoruns es una herramienta desarrollada por Sysinternals, al igual que Process Explorer, que analiza rápidamente un sistema de Windows para encontrar programas que están configurados para iniciarse automáticamente al arrancar el sistema operativo. También enumera qué extensiones se cargan en procesos de Windows, como los procesos que se cargan de Internet Explorer.
Imagen 11. Autoruns
Wireshark
Por último, mencionar a Wireshark, una herramienta desarrollada con la finalidad de analizar tráfico de red que se puede utilizar de diferentes maneras. Hemos hablado hace algún tiempo atrás sobre Wireshark con respecto al uso de filtros y sobre las opciones para hacer gráficos.
A la hora de ejecutar la pieza de malware como parte del análisis dinámico que queremos realizar, a través de Wireshark se puede verificar cuáles son los canales de comunicación que el malware utiliza, es decir, capturando los paquetes de red se puede verificar cómo el atacante se comunica con la víctima.
Conclusión
A lo largo de este artículo vimos varias herramientas, es importante destacar que si bien el análisis dinámico nos brinda mucha más información en cuanto al comportamiento, el mismo se debe combinar con el análisis estático para acelerar el proceso de análisis de la muestra maliciosa.
A continuación, compartimos algunos enlaces de interés para iniciarse en el análisis de malware:
5 consejos para iniciarte en el análisis de malware
4 cursos online en Udemy para iniciarse en el análisis de malware
LOTS: una herramienta gratuita de extracción y análisis de strings
Cómo analizar malware en .NET con 4 herramientas prácticas
Ghidra: una herramienta gratuita de ingeniería inversa publicada por la NSA
¿Por qué protestan los cubanos este 15 de noviembre? 2:27
(CNN Español) — La expansión del internet en Cuba ha sido mucho más lenta que en otros lugares del mundo debido, en gran medida, al sistema político que gobierna la isla, donde los servicios son regulados por el Estado.
Esta situación se refleja en los datos: en 2010, ya con el auge de redes sociales como Facebook y Twitter, casi 35% de la población en América Latina y el Caribe tenía acceso a internet, en comparación con apenas el 16% en Cuba, de acuerdo con datos del Banco Mundial.
¿De qué vive Cuba? Este es un vistazo a la economía de la isla
Sin embargo, llegó 2013 y el panorama cambió. Ese año, el gobierno de Cuba instaló internet de fibra óptica en la isla, accesible a través de los llamados telepuntos –cibercafés– y en las zonas de wifi en plazas públicas, lo que inició una nueva era en las comunicaciones del país al permitir por primera vez la irrupción de las redes sociales y el contacto con los medios internacionales.
Esto ha tenido implicaciones en los ámbitos social, político y otros, y su papel es innegable en el momento histórico que vive Cuba.
El internet en la isla no se caracteriza por ser rápido o barato, pero la cobertura ha mejorado desde entonces. En 2013, 28% de la población en Cuba usaba internet, mientras que para 2019 (último dato que tiene el Banco Mundial) el indicador ya se encontraba en 68%, al mismo nivel que toda la zona de Latinoamérica y el Caribe.
«La sociedad civil cubana, entre ellos artistas independientes, periodistas independientes, activistas políticos y otros tipos de activistas, han empezado a usar la tecnología para demandar al gobierno en cosas específicas o en cosas más generales sobre el mismo sistema gubernamental de Cuba», dijo Henken a CNN.
Video muestra el desafío de los manifestantes a la Policía en Cuba
De hecho, Facebook ha tenido un rol protagónico, y no es para menos. Se trata de la red social más utilizada en Cuba. Según el sitio web de análisis Statcounter, en octubre de 2021, Facebook tuvo 77% de la participación de mercado de redes sociales en la isla, seguido por Pinterest (17%), Twitter (3%), YouTube (menos del 2%) y Tumblr e Instagram (con el 1% restante).
«El uso de Facebook es muy importante porque eso permite al usuario hacer una transmisión en vivo de un evento, de un discurso, de una queja, de una demanda. Y eso es lo que digamos fue la chispa que se prendió en un fuego el 11 de julio, cuando participantes en las manifestaciones espontáneas se filmaron y eso ya dio coraje a otros, en otras partes del país, de hacer lo mismo de salir a la calle», explicó Henken.
Una situación multifactorial
La ampliación de las protestas por medios digitales llegó a tal nivel en julio que hubo reportes de un apagón de internet que habría sido dispuesto por el gobierno, lo cual impidió que los cubanos compartieran imágenes de las manifestaciones.
Henken indicó que espera un nuevo apagón para las protestas que están planeadas para el 15 de noviembre, ya que, por un lado, hay esfuerzos del gobierno para «desmovilizar cualquier acción o marcha cívica» y, por el otro, no hay un punto en común entre manifestantes, sociedad y gobierno.
ABC de las protestas convocadas para el 15 de noviembre en Cuba
Para Arturo Lopez-Levy, profesor de Relaciones Internacionales en la Holy Names University, las recientes manifestaciones en Cuba son producto de una «protesta genuina» en contra del gobierno.
«La marcha del 11 de julio está empoderada por las redes sociales y empoderada por las nuevas tecnologías para canalizar una protesta genuina del pueblo cubano en contra de un gobierno que perdió un lugar importantísimo para lograr una economía sustentable», dijo Lopez-Levy a CNN.
Sin embargo, agregó, no se debe olvidar que la situación en Cuba es multifactorial, por lo que, si bien una parte de la responsabilidad es del gobierno, también hay otros agentes, tanto internos como externos, que contribuyen a la degradación social, lo cual no necesariamente se ve reflejado en lo que se difunde en redes sociales.
«Ninguna manifestación que se produzca hoy en Cuba o la que se produjo el 11 de julio es resultado solo de los errores del gobierno. Es resultado de los errores y abusos del gobierno comunista, y es resultado de los errores y abusos provocados por una política ilegal desde el derecho internacional, como es la política de bloqueo hacia Cuba. Son las dos cosas», explicó Lopez-Levy.
Un fenómeno que no es exclusivo de Cuba
La complejidad social de esta situación se traslada también a la arena digital en Cuba. Henken señaló que en la isla se habla de un problema de desinformación, de fake news en las redes sociales, pero enfatizó que esta cuestión no es exclusiva de un solo país, sino de todo el mundo.
«También tienen el mismo problema que tenemos nosotros en el resto del mundo sobre la falta de información verídica, las fake news, rumores, difamaciones. Eso también es, digamos, un talón de aquiles del uso de esas tecnologías», dijo el profesor de la CUNY.
Esto lleva, entre otras cosas, a la confusión. Por ejemplo, en el contexto de las protestas de julio, se dio a conocer un video en Facebook en el que un joven se presentó como miembro de una de las familias “que están en el poder de Cuba”, y llamó a deponer las armas y a iniciar un proceso de transición a la democracia en la isla.
En ese momento, CNN no pudo verificar de forma independiente la identidad del joven ni su parentesco con las familias que menciona. Además, el protagonista del video no respondió a los mensajes enviados por CNN.
Por su parte, la CANF, con sede en Miami, dijo a CNN en julio que no había razones para poner en duda la identidad del protagonista del video.
En el aire
En pocas palabras, una situación que queda en el aire, sin esclarecerse. Pero es una consecuencia que ya se ha observado en el mundo.
Lopez-Levy añadió que es verdad que la tecnología ayuda a empoderar a los ciudadanos cubanos, pero también es un ejemplo de la constante «guerra política» que involucra, principalmente, a Cuba y Estados Unidos.
«Entonces, ¿qué es lo que le quiero decir? Que todo aquí se mezcla. Hay cosas que son mucha verdad y que (las redes sociales) empoderan a la población cubana, y también (hay) mucho uso de las de las redes sociales, de la tecnología como guerra política (…). Hasta ahora, la asimetría de que Estados Unidos es el actor más poderoso sigue jugando un papel muy importante porque tienen mayor control y dominio de los medios de información», finalizó.
Godot 3.4 ha sido publicado como estable para continuar con el desarrollo y la consolidación de este motor gráfico Open Source orientado a los videojuegos. Aparte de las nuevas características y mejoras que trae, también se puede destacar la emergencia del propio proyecto, que poco a poco se está haciendo un hueco en la escena mainstream después de haber pasado inadvertido durante sus primeros años de vida.
Para empezar, y en lo que respecta al núcleo, Godot 3.4 ha traído las comprobaciones de validez de los objetos para las compilaciones de lanzamiento. Otra novedad interesante es que la API de ficheros (File) es capaz ahora de manipular archivos de más de 2GiB, cosa que ha sido introducida con la intención de romper limitaciones a la hora de tratar con proyectos grandes y que se ha logrado gracias a que todo ha sido refactorizado para usar enteros sin signo de 64-bit, por lo que Godot, a partir de lanzamiento, es capaz de cargar ficheros hasta los 8,4TiB.
El soporte de entrada de teclado ha sido mejorado para manejar de manera más efectiva las distintas distribuciones de teclado que no son el QWERTY anglosajón, haciendo, por ejemplo, que el mapeado de las teclas de movimiento pase automáticamente de WASD a ZQSD en los teclados AZERTY que se usan en Francia y otras zonas de habla francófona.
Para terminar con el núcleo, se han portado hacia atrás los métodos de cifrado y descifrado AES-ECB y AES-CBC para añadir características criptográficas, así que “Godot puede ahora guardar y cargar claves públicas, firmar y verificar un hash con una clave RSA y cifrar y descifrar claves RSA”.
A nivel de renderización, en Godot 3.4 nos encontramos con la eliminación selectiva de la oclusión, una característica que también proporciona una solución para limitar la inteligencia artificial y el procesado en función de la proximidad del espectador. Por otro lado, se están introduciendo oclusores geométricos simples a las escenas, empezando por los esféricos que ya están disponibles en el lanzamiento que nos ocupa en esta entrada.
Para terminar con la renderización, el nuevo mapa de tonos ACES Fitted proporciona un acabado gráfico más realista gracias a un mejor manejo del contraste de los objetos brillantes y se ha incluido un emisor de anillo de partículas 3D con radio y altura configurables.https://www.youtube.com/embed/3AGGBZVVVTwEn cuanto a las plataformas, Godot 3.4 tiene implementado soporte inicial para la nueva API de almacenamiento externo de Android, lo que significa que el motor empieza a apuntar a la API de nivel 30 del sistema operativo móvil de Google para así cumplir con un requisito de Google Play. Esto se suma al reemplazo de los ficheros de expansión de APK (OBB) por los binarios de Android App Bundle (AAB) y a un procesamiento más ágil de los gestos de entrada para mantener el juego en funcionamiento incluso si la velocidad de los fotogramas no se mantiene constante a 60fps.
Los proyectos web en HTML5 han sido mejorados gracias a la introducción del soporte para ser instalados como aplicaciones web progresivas, la presencia de un nuevo objeto de JavaScript (JavaScriptObject) para ofrecer una interfaz entre Godot y JavaScript y la posibilidad de usar AudioWorklet para que haga uso de un único proceso para adaptarse a una mayor cantidad de navegadores web.
Las físicas son algo importante en un motor de videojuegos, así que, obviamente, este es otro aspecto en el que Godot intenta mejorar con cada lanzamiento. En la versión 3.4 tenemos mejoras tanto para los entornos 2D como los 3D, una generación de cáscaras convexas más rápida y fiable y una cuadrícula de capa de colisión mejorada. Saliéndonos de las físicas, otro punto a tener en cuenta es el uso de WebP por defecto para la compresión de texturas sin pérdida en lugar de PNG.
Cerramos nuestro resumen de las mejoras y novedades de Godot 3.4 con el editor, que ha incluido un renovado editor de temas de la interfaz de usuario, mejoras en las traducciones principalmente para el español y el chino simplificado, además de otras mejoras en la usabilidad que abarcan diversos apartados como el inspector y el artilugio de manipulación del editor 3D.
Todos los detalles de Godot 3.4 pueden ser consultados en el anuncio oficial y la lista de cambios. La aplicación puede ser descargada desde la correspondiente sección en la web del proyecto para GNU/Linux (escritorio y servidor), macOS y Windows.
Los investigadores de ESET han descubierto ataques de watering hole contra sitios web de alto perfil en Medio Oriente y su vínculo con el software espía Candiru.
En 2018, los investigadores de ESET desarrollaron un sistema interno personalizado para descubrir ataques de watering hole (también conocidos como compromiso de sitios web estratégicos) en sitios web de alto perfil. El julio de 2020 el sistema nos ha notificado que la página web de la embajada de Irán en Abu Dabi había sido modificada y había empezado a inyectar código JavaScript desde https://piwiks[.]com/reconnect.js.
Nuestra curiosidad se despertó por la naturaleza del sitio web comprometido y en las semanas siguientes notamos que otros sitios web vinculados a Medio Oriente comenzaron a ser blanco de acciones similares. Rastreamos el inicio de la campaña hasta marzo de 2020, cuando se volvió a registrar el dominio piwiks[.]com. Creemos que estos compromisos de sitios web estratégicos solo comenzaron en abril de 2020 cuando el sitio web de Middle East Eye (middleeasteye.net), un sitio de noticias digitales con sede en Londres que cubre la región, comenzó a inyectar código desde el dominio piwiks[.]com.
A finales de julio o principios de agosto de 2020, se limpiaron todos los sitios web comprometidos restantes; es probable que los propios atacantes hayan eliminado los scripts maliciosos de los sitios web comprometidos. El grupo de amenazas se mantuvo en silencio hasta enero de 2021, cuando observamos una nueva ola de compromisos. Esta segunda ola duró hasta agosto de 2021, cuando todos los sitios web se limpiaron nuevamente. Un compañero investigador compartió algunos indicadores de esta segunda ola en Twitter, lo que nos permite establecer un vínculo con lo que Kaspersky denomina Karkadann.
Detallamos el funcionamiento interno de los compromisos en la sección Análisis técnico a continuación, pero vale la pena señalar que los objetivos finales son visitantes específicos de esos sitios web, que es probable que reciban un exploit para el navegador. Los sitios web comprometidos solo se utilizan como una forma de alcanzar los objetivos finales.
También descubrimos vínculos interesantes con Candiru, detallados en la sección Vínculos entre los sitios de watering hole, documentos de spearphishing y Candiru. Candiru es una empresa privada de spyware israelí que fue recientemente añadida a la Lista de entidades (entidades sujetas a restricciones de licencia) del Departamento de Comercio de EE. UU. Esto puede impedir que cualquier organización con sede en los EE. UU. haga negocios con Candiru sin obtener primero una licencia por parte del Departamento de Comercio.
Al momento de escribir este artículo los operadores parece que están haciendo una pausa, probablemente para reorganizarse y hacer que su campaña sea más sigilosa. Esperamos volver a verlos en los próximos meses.
Blancos de ataque
Nuestro seguimiento muestra que los operadores están principalmente interesados en Oriente Medio, y con un énfasis particular en Yemen. La Tabla 1 muestra cuáles fueron las víctimas conocidas en 2020 y 2021.
Tabla 1. Dominios comprometidos durante la primera ola
Compromised website
C&C
From
To
Detail
middleeasteye.net
piwiks[.]com
2020‑04‑04
2020‑04‑06
A UK-based online newspaper covering the Middle East.
piaggioaerospace.it
piwiks[.]com
2020-07-08
2020-11-05
An Italian aerospace company.
medica-tradefair[.]co
rebrandly[.]site
2020-07-09
2020-10-13
Fake website impersonating a German medical trade fair in Düsseldorf.
mfa.gov.ir
piwiks[.]com
2020-07-11
2020-07-13
Ministry of Foreign Affairs of Iran.
almanar.com.lb
rebrandly[.]site
2020-07-24
2020-07-30
Television channel linked to Hezbollah.
smc.gov.ye
visitortrack[.]net hotjar[.]net
2021-01-18 2021-04-21
2021-04-14 2021-07-30
Ministry of Interior of Yemen.
almasirahnews.com
visitortrack[.]net hotjar[.]net
2021-01-25 2021-04-21
2021-03-25 2021-07-17
Yemeni Television channel linked to the Ansar Allah movement (Houthis).
casi.gov.sy
hotjar[.]net
2021-02-01
Unknown
Central Authority for the Supervision and Inspection of Syria.
A South African state-owned aerospace and military technology conglomerate.
yemen.net.ye
hotjar[.]net
2021-04-15
2021-08-04
Internet service provider in Yemen.
yemenparliament.gov.ye
hotjar[.]net
2021-04-20
2021-07-05
Parliament of Yemen.
yemenvision.gov.ye
hotjar[.]net
2021-04-21
2021-06-13
Yemeni government website.
mmy.ye
hotjar[.]net
2021-05-04
2021-08-19
Yemeni media linked to the Houthis.
thesaudireality.com
bootstrapcdn[.]net
2021-06-16
2021-07-23
Likely dissident media outlet in Saudi Arabia.
saba.ye
addthis[.]events
2021-06-18
Unknown
Yemeni news agency linked to Houthis. However, it seems it was taken over by the Southern Transitional Council in early June 2021, just before this website was compromised.
medica-tradefair[.]co es el único atípico en esta lista, ya que el dominio no fue comprometido, pero sí fue operado por los propios atacantes. Estaba alojado en ServerAstra, al igual que todos los demás servidores C&C utilizados en 2020.
El sitio imita la web legítima de medica-tradefair.com, que es el sitio web de la feria comercial MEDICA del Foro Mundial de Medicina que se celebra cada año en Düsseldorf (Alemania). Los operadores simplemente clonaron el sitio web original y agregaron un pequeño fragmento de código JavaScript.
Como se observa en la Figura 2, el contenido no parece haber sido modificado. Es probable que los atacantes no pudieran comprometer el sitio web legítimo y tuvieran que configurar uno falso para inyectar su código malicioso.
Luego de la caída de Emotet a principios de 2021, el 14 de noviembre la botnet volvió a la actividad en campañas de malspam que contienen distintos tipos de adjuntos maliciosos.
En enero de 2021 una operación liderada por Europol Interpol desmantelaba la botnet Emotet, uno de los malware más prevalentes de los últimos años que venía operando desde 2014 y que se estima provocó daños económicos por aproximadamente 2.500 millones de dólares. En total unos 700 servidores de comando y control (C&C) utilizados por los atacantes para comprometer equipos y lanzar nuevas campañas maliciosas fueron desconectados como parte de la operación y rápidamente se observó una caída abrupta en su actividad. Sin embargo, pese a los esfuerzos, el pasado 14 de noviembre se detectó una nueva campaña de malspam que distribuía el troyano Trickbot que luego descargaban en una segunda instancia una DLL maliciosa correspondiente a Emotet.
En el siguiente tweet publicado por SANS se muestra la cadena de infección de la nueva versión de la botnet Emotet.
Estas nuevas campañas de malspam contienen archivos adjuntos que pueden presentarse en tres distintos formatos:
Archivos de Microsoft Excel (.xlsm)
Archivos de Word (.docm)
Archivos comprimidos en formato ZIP que vienen protegidos con contraseña e incluyen un archivo Word
Por otra parte, si bien se ha observado la distribución a través de Trickbot, algunos investigadores ya confirman que también comenzaron a circular campañas a través del correo que descargan Emotet directamente, con lo cual podría ser una señal de que su infraestructura está creciendo.
Según explicó el investigador Cryptolaemus que desde hace tiempo sigue la actividad de Emotet, la nueva versión analizada presenta algunas modificaciones con respecto a las anteriores. Una de ellas es que ahora cuenta con siete comandos que amplía las posibilidades de descarga de binarios.
Por su parte, desde la organización Abuse.ch compartieron una lista de servidores de C&C para que puedan ser bloqueados para mayor protección.
Vale la pena recordar que en el pasado Emotet era utilizado como infraestructura de malware como servicio (MaaS, por sus siglas en inglés) para distribuir otras amenazas. Si bien en este resurgir Trickbot está distribuyendo Emotet, antes de la interrupción de su infraestructura Emotet distribuía Trickbot, el cual a su vez era utilizado para descargar algunos ransomware como Ryuk o Conti.
Brasil, México y República Dominicana son los países de América Latina que se unieron en este comunicado conjunto entre varios países en el cual se comprometen a tomar medidas para mitigar el ransomware y todo el ecosistema que contribuye a su actividad.
Luego del encuentro virtual que mantuvieron representantes de más de 30 naciones y la Unión Europea el pasado 13 y 14 de octubre en el marco de la Iniciativa Internacional contra el ransomware liderada por el gobierno de los Estados Unidos, los participantes lanzaron un comunicado conjunto en el cual confirman su compromiso para trabajar y cooperar para mitigar la escalada que desde 2020 viene teniendo el ransomware a nivel global, ya que representa una amenaza que tiene grandes consecuencias económicas y para la seguridad.
La reunión contó con la participación de ministros y representantes de Alemania, Australia, Brasil, Bulgaria, Canadá, Corea del Sur, Emiratos Árabes Unidos, Estados Unidos, Estonia, Francia, India, Irlanda, Israel, Italia, Japón, Kenia, Lituania, México, Nigeria, Nueva Zelanda, Polonia, Rumania, Singapur, Sudáfrica, Suecia, Suiza, Ucrania, Reino Unido, República Checa, República Dominicana y Países Bajos.
El objetivo de esta cooperación es compartir información sobre las víctimas de ransomware, fuerzas de seguridad y los centros de emergencia y respuesta ante incidentes de seguridad (CERT) protegiendo la privacidad y los derechos de las personas, para de esta manera intentar interrumpir el ecosistema que permite que el ransomware sea un negocio redituable para estas bandas y también para investigar y encontrar a las personas responsables de los ataques. Asimismo, los esfuerzos intentarán apuntar a mejorar los mecanismos para responder ante este tipo de ataques y promover buenas prácticas de seguridad ante el ransomware, como es el uso de contraseñas fuertes, autenticación multifactor, uso de backups de información y de la actualización de software.
Lectura recomendada: Vulnerabilidades más utilizadas por grupos de ransomware para obtener acceso inicial
Recientemente, la oficina de Control de Crímenes Financieros (FinCEN) del gobierno de los Estados Unidos, probablemente unos de los países más afectados por el ransomware considerando la cantidad de víctimas y ataques dirigidos a organizaciones de aquel país, reveló a través de un informe que entre enero y junio de 2021 se realizaron transacciones en Bitcoin por un valor cercano a los 5.200 millones de dólares, muy probablemente relacionadas con las variantes de ransomware más comúnmente reportadas. A partir del análisis de las transacciones vinculadas a 177 direcciones de billeteras relacionadas con el pago de los rescates se llegó a esta cifra. Asimismo, de acuerdo con los datos extraídos de los reportes sobre actividad sospechosa vinculada al ransomware, el promedio mensual de las transacciones sospechosas por ransomware llegan a los 66.4 millones de dólares y el promedio fue de 45 millones, explica FinCEN.
Como ya hemos mencionado en reiteradas oportunidades, desde 2020 a esta parte el crecimiento que ha tenido la actividad del ransomware a nivel global sigue siendo preocupante y se ha convertido en una de las principales amenazas informáticas. Fueron un conjunto de factores los que llevaron a este panorama actual que estuvo acompañado por un aumento sideral en los montos solicitados a las víctimas por el pago del rescate, la cantidad de bandas que crearon sitios para filtrar información y que implementaron técnicas extorsivas a sus estrategias. Asimismo, sectores como la salud, organismos gubernamentales, grandes y pequeñas compañías de todas las industrias, así como instituciones educativas han sido las víctimas de estos grupos.
Lectura recomendada: Los grupos de ransomware con mayor actividad el último año
Para completar el panorama y comprender un poco más por qué los gobiernos reunidos en este encuentro consideran que es necesario tomar acción de manera urgente, un reporte reciente elaborado a partir del análisis de 80 millones de muestras de ransomware y que fue realizado por Virus Total, una herramienta propiedad de Google muy popular por su capacidad de análisis de archivos maliciosos, reveló que entre 2020 y la primera mitad de 2021 hubieron 130 familias de ransomware diferentes en actividad, lo que muestra el crecimiento de esta escena y el interés de los cibercriminales de sacar provecho de un negocio que de momento parece seguir siendo muy redituable.
Si bien durante el 2020 la actividad del ransomware creció en todo el mundo, al igual que los montos solicitados por los criminales y la complejidad de sus ataques, hubo un antes y un después tras el ataque del ransomware Darkside a una infraestructura crítica, como Colonial Pipeline, una de las compañías de oleoducto más importante de los Estados Unidos y de la cual depende gran parte del suministro de combustible. En esta oportunidad, el impacto de la amenaza provocó la interrupción del servicio, generando un impacto que incluso amenazó con aumentar el precio del combustible. Luego de ese episodio, el presidente de los Estados Unidos, Joe Biden, manifestó su preocupación públicamente con respecto al ransomware y comenzó a tomar medidas. Poco después el aquel ataque, el Departamento de Justicia otorgó a esta amenaza una prioridad similar a la que se le da a los casos de terrorismo.
Posiblemente muchas veces te sucedió que mientras navegabas por Internet aparecían ventanas emergentes con mensajes como: “ganaste un nuevo celular gratis haz clic AQUÍ”, “eres nuestro usuario 500.000 y has ganado un premio haz clic AQUI”, u otro tipo de mensajes similares que hacen referencia a cosas demasiado buenas para ser verdad. A través de este tipo de anuncios es cómo más comúnmente se presenta el adware a los usuarios, ya sea a través de la computadora o el smartphone. Si el usuario hace clic donde no debe y se infecta, probablemente comiencen a aparecer nuevas ventanas emergentes desplegando más publicidad invasiva y no deseada.
Qué es adware
Adware es la combinación de las palabras “advertising” (publicidad) y “software” (programa) y se refiere a cualquier software, sea malicioso o no, que nos muestre anuncios en una app o sobre el navegador web para generar ganancias a partir de clics e impresiones en los anuncios.
¿El adware es considerado malware?
Si bien se suele hacer referencia al adware como un tipo de malware, la realidad es que el adware es considerado un grayware o aplicación potencialmente no deseada (PUA, por sus siglas en inglés). Esto quiere decir que, si bien puede conducir a sitios maliciosos, el riesgo de que realice otra acción maliciosa es menor, aunque esto último puede ocurrir.
Por lo tanto, si bien el adware no suele ser peligroso en sí mismo, en algunos casos puede tener otros objetivos que suponen un riesgo mayor; por ejemplo, recolectar datos. Este fue el caso por ejemplo del adware Wajam, capaz de recopilar y filtrar información del usuario víctima, como software instalado, el modelo del equipo, entre otros datos.
Podemos notar que tenemos instalado un adware en nuestro dispositivo cuando empezamos a observar que aparecen ventanas emergentes con anuncios falsos sin ningún motivo aparente, o cuando aparecen varios anuncios de forma consecutiva causando una molestia a la hora de navegar, o si somos redirigidos a sitios no deseados que pueden llevar a la descarga de malware.
Por este tipo de comportamiento es tal vez el malware más fácil de detectar, ya que toda su actividad maliciosa es invasiva y notoria mientras el usuario navega por Internet.
Cómo llega el adware a nuestros dispositivos
Existen diversas maneras de instalar este tipo de software no deseado en nuestros dispositivos. Por ejemplo, puede colarse en la computadora al instalar un software gratuito (Freewares o Sharewares) y realizar modificaciones sobre nuestro navegador; por ejemplo, instalando una barra de herramientas (toolbars) que no deseamos, modificarnos la página de inicio del navegador o el buscador que usamos por defecto por uno que nos agregue anuncios publicitarios que, en la mayoría de los casos, no tienen relación con nuestra búsqueda principal, como podemos ver en la Imagen 1.
Imagen 1. Enlaces de anuncios publicitarios que no tienen relación con nuestra búsqueda
Cuando se instalan junto a un software gratuito es el propio usuario el que muchas veces acepta la instalación del adware por no prestar atención durante el proceso de instalación. Esto significa que el adware muchas veces accede al sistema de manera “legal” porque el usuario aceptó la instalación. Lo que se recomienda es eliminar un archivo que es detectado por la solución de seguridad como adware, ya que existen posibilidades de que contenga código malicioso.
Cómo se propaga el adware
El adware puede propagarse e infectar tu computadora de varias maneras, por ejemplo:
Instalando en el navegador extensiones no confiables o desconocidas.
Instalando software gratuito (Freewares o Sharewares) de sitios con una reputación dudosa.
Navegando en sitios “no confiables” o que estén infectados con adware, algunos de estos pueden mostrar contenido multimedia como películas online gratis, partidos de fútbol online gratis, contenido para adultos, minijuegos online, etc.
A través de archivos ejecutables que se hacen pasar por un software en particular pero que nos terminan instalando otros.
Haciendo clic en anuncios sospechosos.
Es importante recordar que cuando uno descarga e instala software en la computadora, estos programas traen un contrato de “términos y condiciones de uso” donde se detallan los derechos de propiedad intelectual, qué se va a instalar en el sistema, qué permisos se están otorgando y cuáles no, entre otras cosas.
Cuando uno acepta este acuerdo, sin haberlo leído detenidamente, está dando su consentimiento a la posible instalación de uno de estos adware o cualquier otro tipo de software que pueda estar incluido, en el caso de que estén incluidos, sobre la computadora.
Como dijimos antes, es importante prestar atención durante todo el proceso de instalación, ya que en algunos casos se da la posibilidad de elegir si se quieren instalar otras aplicaciones o no, que son ajenas al software que se va a instalar.
¿Cómo afecta a mi computadora?
A continuación, se listan una serie de posibles comportamientos que pueden dar indicios de una posible infección:
El navegador empieza a funcionar más lento que de costumbre o puede cerrarse de forma inesperada.
Aparecen anuncios en páginas web donde antes no aparecían.
Se modificó la página de inicio o la página de búsqueda sin nuestra autorización.
Cada vez que se visita una página web, el navegador es redirigido a una página diferente.
Aparecen nuevas barras de herramientas (toolbars), plugins o extensiones en el navegador que antes no estaban.
Hacer clic en cualquier parte de la página abre una o más ventanas emergentes con anuncios no deseados.
Se instalan aplicaciones no deseadas en la computadora sin nuestro permiso.
¿En mi teléfono también?
Los Adwares no solo afectan a las computadoras, también pueden propagarse en dispositivos móviles infectándolos por medio del navegador web, o a través de aplicaciones alojadas en tiendas tanto oficiales como tiendas no oficiales de terceros.Se recomiendan las siguientes lecturas con relación a adwares para dispositivos móviles:
Troyanos propagan adware entre usuarios de Android explica el funcionamiento de un troyano que hacía peticiones a decenas de anuncios publicitarios.
Rastrean desarrollador de adware para Android que afecta a millones de usuarios donde explica una campaña de adware sobre aplicaciones que estaban disponibles en Google Play.
¿Cómo puedo protegerme?
Para poder protegernos de este tipo de amenazas se recomienda tener en cuenta los siguientes puntos:
Mantener actualizado el navegador de web.
Evitar abrir anuncios con falsas advertencias o aquellos que contengan mensajes muy buenos para ser verdad.
Utilizar una extensión confiable que bloquee anuncios mientras se navega por Internet.
Evitar navegar por sitios web no confiables, en especial aquellos que el navegador los marque como no seguros.
Evitar descargar programas de fuentes no confiables
Durante la instalación de un programa, leer con detenimiento los términos y condiciones de uso antes de aceptarlos.
Contar con una solución de seguridad para bloquear este tipo de contenidos cuando se navega por Internet.
A pesar de que 2021 ha sido una montaña rusa para las criptomonedas por las subidas y bajadas que han ido sufriendo a lo largo del año, esta vez, el Bitcoin ha superado los 66.000 dólares, suponiendo su máximo histórico. Desde que debutaron los fondos ETF (Exchange-Traded Fund) en Estados Unidos parece que se ha impulsado el valor de dicha moneda virtual.
El Bitcoin podría convertirse en moneda de curso legal de Brasil
Antes de adentrarnos de fondo en la noticia, quiero dejarte claro qué es un ETF. Dichas siglas traducidas al español significan ‘fondo de índice cotizado’, tratándose de un híbrido entre un fondo de inversión y una acción, es decir, es un conjunto de activos que cotiza en la bolsa de valores.
Sin tener en cuenta el impedimento de China que prohibió las transacciones y la minería de criptomonedas desde hace un par de meses, las consecuencias de dichas acciones se vieron reflejadas en una bajada del valor de Bitcoin y del resto de monedas digitales.
Las caídas fueron considerables desde que se alcanzaron los máximos de abril aunque en mayo se produjo una breve recuperación, no obstante, la siguiente bajada de valor fue bastante considerable y desde finales de julio se empezó a notar cierta recuperación del Bitcoin.
Finalmente, la recuperación se ha notado aún más en octubre desde que se puso en marcha el ‘ProShares Bitcoin Strategy ETF’, un fondo ligado al mercado de las criptomonedas que fue aprobado por la Comisión de Bolsa y Valores de Estados Unidos. Además, se ha convertido en uno de lo más populares porque ha abierto las puertas a otros productos financieros en el mercado de las inversiones.
Predicen que el bitcoin podría aumentar su valor a 100.000 dólares a finales de 2021
Michael Sapir, director ejecutivo de ProShares (proveedor estadounidense de productos negociados en bolsa), aifrmó para el diario New York Times que “2021 será recordado por este hito”. Esto se debe a que los inversores sienten curiosidad por dichas monedas, sin embargo, dudan en comprometerse con intercambios que no estén regulados, debido a que quieren un acceso conveniente a Bitcoin en una envoltura que tenga integridad en el mercado.
El ‘exploit’, denominado por los descubridores Trojan Source, es especialmente peligroso para los proyectos abiertos dado que persiste a través del uso de la función de copiar y pegar y es invisible para el ojo humano.
Un equipo de científicos de la Universidad de Cambridge descubrió una vulnerabilidad que amenaza a prácticamente cualquier ‘software’, así lo advierten en un artículo publicado este domingo en el que muestran los resultados de su análisis. Paralelamente, los divulgaron en el repositorio Github.
Prácticamente todos los compiladores (programas que ‘traducen’ el código legible para los humanos en un formato comprensible para la computadora) son vulnerables a un ataque en el que se pueden introducir vulnerabilidades específicas en cualquier software sin ser detectado.
La debilidad involucra el estándar de codificación de texto digital Unicode y, más específicamente, su algoritmo Bidi, que maneja la visualización del texto con diferentes órdenes de escritura, como el árabe (que se lee de derecha a izquierda) y el inglés o el español (en la dirección inversa).
«En algunos escenarios, el orden predeterminado establecido por el algoritmo Bidi puede no ser suficiente; para estos casos, se prevén los caracteres de control de anulación«, indican los científicos. Señalan que estos caracteres, que son invisibles, pueden insertarse muchas veces, permitiendo «reordenar las cadenas de manera casi arbitraria».
«Esto da a un adversario un control detallado, por lo que puede manipular el orden de visualización del texto [convirtiéndolo] en un anagrama de su orden lógicamente codificado», advierten los analistas.
Como resultado, el código manipulado puede verse normal para los humanos y, al mismo tiempo, ejecutarse de manera no esperada por los compiladores. Además, no se detectaría durante la revisión de la sintaxis de la programación en la mayoría de los idiomas.
«Nuestra idea clave es que podemos reordenar los caracteres del código fuente de manera que el orden de visualización resultante también represente un código fuente sintácticamente válido«, indican los expertos.
«La primera vulnerabilidad que afecta a casi todo»
De momento, la vulnerabilidad —denominada por los descubridores Trojan Source— ha sido confirmada en las programaciones asociadas con los lenguajes C#, C++, C, Go, Java, JavaScriipt, Python y Rust.
Dado que los caracteres de anulación de Bidi persisten a través de las funciones de copiar y pegar en la mayoría de los navegadores, editores y sistemas operativos modernos, es posible una proliferación incontrolada del ‘exploit’, dijo Ross Anderson, uno de los autores del estudio, al portal Krebs On Security.
Documentos judiciales muestran que el FBI puede ‘hackear’ Signal en iOS
«Cualquier desarrollador que copie código de una fuente que no sea de confianza en una base de código protegida puede introducir inadvertidamente una vulnerabilidad invisible», resaltó el experto.
«Esas son malas noticias para proyectos como Linux y Webkit que aceptan contribuciones de personas al azar, las someten a revisión manual y luego las incorporan al código crítico. Esta vulnerabilidad es, hasta donde yo sé, la primera que afecta a casi todo», señaló Anderson.
Fuente: actualidad.rt.com
Cargando comentarios...
Deprecated: trim(): Passing null to parameter #1 ($string) of type string is deprecated in /home1/uiolibre/public_html/wp-content/plugins/simple-lightbox/includes/class.utilities.php on line 545
