Category Archive CiberAtaques

PorjLeonett

Intrusión a Sony Pictures y supuesta fuga de datos confidenciales

Es la noticia de seguridad más comentada desde hace unas horas y, si bien Sony suele ser unobjetivo habitual de los delincuentes, esta vez parece que el atacante ha entrado hasta la cocina en la división de películas del gigante del entretenimiento.

Cronología de la filtración

Todo empezó ayer por la tarde con la publicación en Reddit por parte de un exempleado de Sony de un hilo en el que mostraba una captura de pantalla de una imagen que supuestamente había aparecido en todos los ordenadores de la empresa. En esa imagen se leía una amenaza contra Sony para hacer pública supuesta información confidencial obtenida desde el interior de la empresa.

sony_hack_gop
Los atacantes se identificaron como #GOP (siglas en inglés de Guardians of Peace) y al cabo de unas horas cumplieron su amenaza, poniendo a disposición de todo aquel que quisiera un archivoZIP que contiene 3 ficheros: list1.txt, list2.txt y readme.txt. Inmediatamente después, varios medios internacionales se hacían eco de esta noticia e informaban del ataque sufrido por Sony.

Contenido de la filtración

El listado de los ficheros que podemos observar en los dos ficheros filtrados podrían contener información altamente confidencial de la compañía y que podría causarle graves problemas si finalmente ve la luz. De momento es solo una amenaza realizada por los atacantes y faltaría ver si están dispuestos a publicar toda esta información o si Sony cederá a algún tipo de chantaje.

Lo que sí parece seguro es que los delincuentes detrás de esta filtración disponen de contraseñasinternas de la compañía ya que varias de las cuentas oficiales de Twitter de la empresa se vieron comprometidas, publicándose tweets como el que vemos a continuación.

sony_hack_twitter

Además, alguno de los documentos tienen nombres realmente reveladores que, de ser verdad obligarán a más de un directivo de Sony a dar explicaciones. El investigador español Alejandro Ramos ha comentado algunos de los casi 38 millones de ficheros listados en los documentos de texto filtrados en este post del blog SecuritybyDefault.

¿Cómo se han conseguido estos datos?

Si finalmente se comprueba la veracidad de estos datos se van a abrir varios interrogantes preguntando cómo pudo realizarse una filtración de datos de tal magnitud. Es probable que, como en otros casos similares sufridos por otras empresas, esta recopilación de información confidencial se haya producido durante un período de tiempo variable accediendo a ordenadores y sistemas de la empresa.

Los atacantes han podido usar muchas técnicas posibles para conseguir acceder a esa cantidad de ficheros confidenciales. Desde engañar a empleados de Sony con páginas falsas que simulen serwebs internas de la empresa para robarles las contraseñas, hasta la utilización devulnerabilidades en navegadores para conseguir llevar a esos mismos empleados a sitios conmalware que, una vez instalado en ordenadores internos de Sony Pictures, les permitiría acceder a recursos internos de la empresa y conseguir sacar toda esta información.

Conclusión

Tanto si finalmente se confirma que los datos filtrados son auténticos como si no, Sony tiene que dar explicaciones sobre este incidente, aunque solo sea para desmentirlo. Su reputación está en juego y ya se ha visto demasiadas veces minada por incidentes similares en los últimos años. Solo hay que recordar el PSN Gate que, aun hoy, más de 3 años y medio después, sigue haciendo que muchos usuarios desconfíen del servicio de juego en línea de Sony.

Créditos imagen: ©Ian Muttoo/Flickr / Autor Josep Albors, ESET

Fuente: welivesecurity.com

PorjLeonett

Ciberataque a agencia climática de EE.UU.

Un congresista mencionó que el reciente ataque a la página web de la agencia climática norteamericana, está vinculado a China.

Atacantes chinos fueron capaces de romper los sistemas informáticos gubernamentales de la agencia encargada del Servicio Meteorológico Nacional, de acuerdo con el presidente de un subcomité del Congreso y de la Agencia NacionalOceánica y Atmosférica (NOAA por sus siglás en inglés).

La NOAA confirmó el miércoles la intrusión, señalando en un comunicado que cuatro de sus sitios web fueron “comprometidos por un ataque originado en Internet” las últimas semanas.

El portavoz de NOAA, Scott Smullen, se negó a comentar sobre la fuente de la intrusión, sin embargo, la NOAA opera una red de satélites meteorológicos y los sitios web que distribuyen información crucial para las organizaciones públicas y privadas, incluidas las previsiones para las compañías aéreas y otrasempresas de transporte.

En el comunicado, Smullen dijo que el personal de la agencia detectó el ataque y la respuesta a incidentes comenzó de inmediato.”

La agencia lleva a cabo el mantenimiento no programado para mitigar los ataques”, añadió Smullen,quien aformó que todos los servicios han sido plenamente restaurados. Estos efectos no nos impiden la entrega de las previsiones para el público“.

Fuente: YAHOO JC

PorjLeonett

Operación Toohash, ataque cibernético dirigido a empresas

Los expertos de G Data Security Labs han descubierto una campaña de spyware: TooHash, un ataque cibernético dirigido a empresas y organismos. El objetivo del ataque es robar información sensible de las empresas elegidas como blanco. Para ello usan un “lanza-phishing”, un tipo refinado de phishing con un objetivo claro.

La mayoría de los archivos descubiertos provienen de Taiwán. A partir del análisis de caracteres, los expertos en seguridad creen que el spyware también ha sido utilizado en otros objetivos en diversas regiones de China, ya que parte de los documentos en cuestión están escritos en chino simplificado, el cual se habla principalmente en China continental. Las soluciones de G DATA detectan el spyware como Win32.Trojan.Cohhoc.A y Win32.Trojan.DirectsX.A.

El malware adjunto en el correo aprovecha específicamente una vulnerabilidad de Microsoft Office y descarga una herramienta de acceso remoto en el equipo comprometido”, explica  Eddy Willems, experto en ciberseguridad enG DATA. “En esta campaña hemos identificado dos tipos diferentes de malware. Ambos contienen componentes de espionaje cibernético verificados, tales como código de ejecución automática, listado de archivos, robo de datos, etc.”

Durante su análisis, los expertos de G Data Security Labs han encontrado cerca de 75 servidores de control que son usados para administrar los equipos infectados. La mayoría de los servidores están localizados en Hong Kong y Estados Unidos.

“Sorprendentemente, no es difícil encontrar comprador para estos datos. Competidores o incluso servicios de inteligencia pueden pagar por ellos sin demasiados escrúpulos. La pérdida de datos puede suponer la quiebra comercial y financiera de cualquier empresa”, concluye Willems.

 

Fuente: Muy Seguridad

PorjLeonett

Grupo ataca sistemáticamente PCs aislados de Internet utilizando dispositivos USB

La herramienta Win32/USBStealer imita un programa ruso legítimo llamado USB Disk Security para monitorizar la inserción de unidades externas extraíbles y así infectar el PC.

Los investigadores de ESET han descubierto nuevas actividades del grupo de ciberespionaje Sednit, que ha estado principalmente dedicado a actividades de ataque a varias instituciones del Este de Europa.

ESET informa que Sednit  ataca PCs no conectados a Internet utilizando  Win32/USBStealer, herramienta que permite llevar a cabo este tipo de actividades utilizando dispositivos USB.

La herramienta Win32/USBStealer estaba llevando a cabo ataques físicos a ordenadores aislados para conseguir el acceso a archivos específicos. De acuerdo a los investigadores de ESET, Sednit ha estado utilizando esta herramienta en los últimos diez años con varios niveles diferentes de complejidad.

En este caso, la infección se distribuye desde un PC inicial con conexión a Internet (PC “A”) a otro ordenador objetivo (PC “B”) utilizando el puerto USB. “El PC A se infecta inicialmente con la herramienta Win32/USBStealer e intenta imitar un programa ruso legítimo llamado USB Disk Security para monitorizar la inserción de unidades externas extraíbles“, explica Joan Calvet, investigador de ESET.

Cuando un dispositivo USB se inserta, el programa descifra dos de sus recursos en memoria. El primero deposita el programa Win32/USBStealer en la unidad extraíble con el nombre“USBGuard.exe”. El segundo recurso es un archivo AUTORUN.INF que, tras haber infectado el dispositivo USB, permite que al insertar este en la computadora objetivo, se autoejecute y acceda, de esta manera, a ficheros específicos que estaban aislados de la red. “Los nombres de los ficheros que buscan en el proceso de extracción automática indica que tienen un conocimiento muy preciso de sus objetivos“, añade Joan Calvet.

En los últimos meses, el grupo de ciberespionaje Sednit ha sido responsable de varios actos de ciberespionaje. El pasado mes, ESET descubrió que el grupo estaba llevando a cabo la explotación de agujeros de seguridad utilizando un kit personalizado, y solo tres semanas antes tanto Trend Micro como Fire Eye publicaron sendos reportes sobre la creciente actividad de este grupo en la región del Este de Europa, que llamaron Operation Pawn Storm y APT28, respectivamente.

Más información sobre esta y otras amenazas en el Blog de Laboratorio de ESET España.

Fuente: Diario TI