Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/12/2015

Boletín 12/12/2015 - 24/12/2015

Este es el último boletín de 2015, y como tal corresponde hacer balance del año que estamos a punto de terminar.

Si por algo se ha caracterizado el año 2015 ha sido por el crecimiento exponencial del Ransomware. Desde la primera oleada detectada a finales de 2014 y que suplantaba la identidad de Correos, se han ido sucediendo diferentes oleadas de ataques con multitud de variantes de malware cuyo objetivo principal era cifrar los documentos del ordenador de la víctima y cualquier unidad extraíble o de red que se hubiera conectado al equipo y solicitarle un rescate por ellos. Aunque en algunos casos era posible descifrar los ficheros, en la mayoría de los casos no era así y únicamente se podían recuperar los ficheros desde copia de seguridad. Incluso se han detectado versiones para dispositivos móviles.

Para tratar de evitar estos problemas, desde CSIRT-CV hemos publicado consejos para detectar correos maliciosos, que son la principal vía de infección que utiliza el ransomware. Por su parte, el CCN-CERT han publicado una guía muy completa con medidas de seguridad que recomendamos consultar: CCN-CERT IA-21/14 Medidas de seguridad contra Ransomware. En los terminales móviles se debe desconfiar cuando una aplicación solicita más permisos de los necesarios para su funcionamiento o cuando solicitan que instalemos una aplicación desde fuera de un market oficial.

Otro campo que ha crecido mucho ha sido el Internet de las Cosas (IoT), con el lanzamiento y popularización durante este año de muchos productos y servicios de este tipo, lo que conlleva la aparición de nuevos problemas como la de un cliente que ya no puede ver su calendario de Gmail en la nevera u otra nevera que falla al validar los certificados SSL, lo que permitiría a un atacante acceder a la cuenta y contraseña del usuario. Tanto es así que la OWASP ha elaborado la lista Internet of Things Top Ten Project, en la que presenta los principales problemas de seguridad relacionados con estas tecnologías, y que todo fabricante tendría que validar antes del lanzamiento de sus productos.

Entramos en el campo de las APT, donde este año hemos tenido dos actores principales. Por un lado el grupo Equation, descubierto por Kaspersky y que está activo desde 2001. Los ataques realizados por este grupo se caracterizaban por utilizar malware modular con alto grado de persistencia, llegando a modificar el firmware de discos duros para pasar desapercibido.

También tenemos la  Operación RussianDoll, cuyo objetivo era encontrar información gubernamental, militar y de organizaciones de seguridad que pudiera beneficiar al gobierno ruso. Estos ataques fueron detectados por FireEye,y se cree que tras ellos se encuentra el grupo ruso APT28.

Siguiendo con el malware, en la segunda mitad del año ha sido importante el auge del malware dirigido contra los TPV (PoS, Point of Sale, en inglés). Uno de los más activos es el malware bautizado como Carbanak, que ha afectado a más de un centenar de entidades bancarias y por el que podrían haber robado más de 300 millones de dólares.

Muchos de los ataques que hemos mencionado se inician con una etapa de ingeniería social, en la que se intenta engañar al usuario para que ejecute una pieza de malware que aprovecha una vulnerabilidad en su sistema y, a partir de ahí, instalar más malware y conseguir persistencia en el equipo de la víctima.

En el campo de la ingeniería social ha destacado este 2015 la proliferación de fraudes enviados por Whatsapp, en los que se promete a la víctima vales descuento para utilizar en supermercados, como Mercadona o Lidl, o en otro tipo de comercios como Starbucks. Recordemos que este tipo de fraude persigue habitualmente robar datos personales, instalar malware en los dispositivos del usuario, hacerle llamar a números de tarificación especial, o hacer que se suscriba a servicios de SMS Premium, y que no debemos hacer caso a este tipo de mensajes. En caso de duda debemos llamar al servicio de atención al cliente de la empresa en cuestión para verificar su origen.

Por otra parte, en lo que respecta a las vulnerabilidades que puedan aprovechar los atacantes, la tendencia iniciada en años anteriores de nombrar las vulnerabilidades (como Heartbleed y Poodle entre otros) continúa en 2015, con vulnerabilidades como GHOST en glibc, FREAK en las implementaciones SSL-TLS de todos los grandes SO, VENOM que compromete a servidores con sistema de virtualización KVM, Xen o VirtualBox, Logjam que afecta también a TLS, entre otros.

Cuando estas vulnerabilidades existen en el entorno empresarial, y un atacante las aprovecha, pueden ocurrir casos como el de la web de citas Ashley Madison, que fue hackeada comprometiendo la información privada de más de 37 millones de usuarios. Este robo de información dio mucho que hablar debido por un lado a las prácticas de la propia empresa, y también a las de los usuarios, ya que un análisis de las contraseñas publicadas en este hackeo mostró que son muy simples, por lo que no eran muy útiles a la hora de proteger información sensible. Para comprobar si su cuenta de correo se puede utilizar el portal HaveIBeenPwned, que recopila información sobre los mayores hackeos a compañías.

Otro hackeo sonado fue el de la empresa Hacking Team, que ofrece servicios de seguridad ofensiva comercializando herramientas de software de vigilancia y malware para gobiernos y agencias de inteligencia con fines de espionaje.

El año también ha sido movido en lo que respecta a las empresas de software.

Microsoft ha dejado de dar soporte a Windows 2003 Server, por lo que los usuarios que aún lo utilicen deben actualizarse a una versión más actual o se verán expuestos a posibles problemas de seguridad que puedan surgir en el futuro.

Este año también se ha publicado Windows 10, una nueva versión del SO de Microsoft con importantes mejoras de seguridad, pero que ha dado que hablar por sus problemas de privacidad.

Adobe también ha tenido un año muy movido en lo que respecta a problemas de seguridad en sus productos, sobre todo en Flash, aplicación en la que se han detectado y aprovechado durante el año múltiples vulnerabilidades de día cero. De hecho varias compañías como Facebook o YouTube han abandonado Flash en favor de HTML5, y los navegadores Chrome y Firefox lo bloquean por defecto.

En lo que respecta a CSIRT-CV, 2015 también ha sido un año muy apasionante.

En febrero el equipo de CSIRT-CV participó en las jornadas sobre ciberseguridad en el IES Serpis, en junio en las jornadas "Apps de mensajería móvil en la gestión turística" organizadas por INVAT-TUR, en septiembre se participó en la 46ª edición del TF-CSIRT (grupo de trabajo de CERT/CSIRT a nivel europeo) celebrado en Estonia, en octubre se participó como ponente en la Jornada sobre Ciberseguridad en las Administraciones Públicas organizada conjuntamente por el CCN-CERT y la subdelegación del Gobierno en la Comunidad Valenciana, y finalmente en diciembre se participó, también como ponentes, en las IX Jornadas STIC CCN -CERT, que tenían el lema “Detección e Intercambio, factores clave”.

También hemos generado contenidos muy interesantes como la nueva guía de borrado seguro de dispositivos móviles, la guía para ciudadanos de uso seguro de dispositivos iOS, la guía de Whatsapp ampliada y actualizada, el Calendario de Seguridad CSIRT-CV 2015, un nuevo curso de Uso seguro en iOS que se une al catálogo de cursos y microcursos ya existentes.

Por último, destacar de que CSIRT-CV recibió por parte de AENOR la certificación de cumplimiento de la nueva ISO 27001:2013, que demuestra el compromiso de la Generalitat Valenciana con la seguridad de la información.

CSIRT-CV