“Difundir o no Difundir… He ahí el dilema”

Quiero iniciar con una historia que se repite:

Gusano Morris (02/11/1988)

Atacó a 6.000 de las 60.000 computadoras conectadas a ARPANET, de las cuales muchas permanecieron infectadas durante casi 72 horas. Descargó archivos inusuales en los directorios de algunas máquinas y los sistemas comenzaron a funcionar cada vez más lento.

Se basó en explotar 3 vulnerabilidades:

  • Rsh / rexec: passwords poco seguras y relaciones de confianza.
  • Sendmail: backdoor que permitía ejecutar comandos
  • Fingerd: buffer overflow

Los expertos de la Universidad de California en Berkeley y del Instituto de Tecnología de Massachusetts actuaron rápidamente para capturar el gusano, analizar el programa y encontrar una solución. A la mañana siguiente, cuando aún no habían pasado 12 horas tras el descubrimiento del gusano, el equipo Computer Systems Research Group de Berkeley ya había desarrollado una serie de pasos para detener su propagación.

El 8 de noviembre, una vez restaurado el orden, el Centro de Seguridad Informática estadounidense organizó un taller para discutir el impacto del programa de Morris. Se decidió que los presentes no divulgarían el código que descifraron mediante ingeniería inversa por miedo a las posibles consecuencias. Sin embargo, esto sólo sirvió para retrasar lo inevitable.

Versiones de Malware inspiradas en el código descompilado de Morris, desde el gusano Code Red hasta el famoso gusano Conficker llegaron más adelante.

Ransomware Wannacry (12/05/2017)

La red corporativa de Teléfonica ha sido corrompida esta mañana (12/05/2017) a través de un ciberataque de ransomware. La compañía de telecomunicaciones ha explicado al sitio de noticias el Economista que la vulnerabilidad ya se encuentra controlada y que ha afectado a una parte puntual de sus trabajadores pero no a toda la compañía.

Telefónica no ha sido la única compañía afectada, según ha confirmado el centro criptológico nacional (CCN-CERT), que ha confirmado un ciberataque masivo de ransomware a multitud de empresas. Esta ciberamenaza ha sido calificada como “muy alta” por la institución.

Esta variante de ransomware incorpora código para realizar la explotación de la vulnerabilidad publicada por Microsoft el día 14 de marzo escrita en el boletín MS17-010 y conocida como ETERNALBLUE.

El ransomware WannaCry, escanea tanto la red interna como la externa, realizando conexiones en el puerto 445 (SMB) en busca de equipos no actualizados para propagarse a ellos e infectarlos, lo que le confiere a la muestra funcionalidad similar a la de un gusano. Este movimiento lateral dentro de la red utiliza una variante del payload DOUBLEPULSAR.

La parte similar a nuestro primer evento masivo son en si los vectores de ataque, pero ¿qué cambio realmente?

…, y compartiremos todo lo que aprendamos con #nomoreransom, donde somos socios y aportamos herramientas https://t.co/1TnT5UXwxF

“ — Chema Alonso (@chemaalonso) May 12, 2017

Difundir compartir amigos míos 😀 para luego tener resultados como:

https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2169-ccn-cert-id-17-17-codigo-danino-wannacry-1/file.html

O en mis anteriores vidas, tomar los IoC compartidos y desplegar herramientas de detección en los diferentes CERT en Latinoamérica.

Historia repetida ¿? (04/11/2019)

Varias empresas españolas han sufrido hoy un serio ataque de ‘ransomware’ que recuerda al vivido a mediados de 2017 con Wannacry (o si volvemos mas en el tiempo a Morris ). Los primeros ataques confirmados de forma oficial los han sufrido la Cadena SER y otras emisoras de Prisa Radio, pero también varias consultoras tecnológicas,

 ¿Cuales son los IoC? ¿Investigación compartida?

Conclusión:

Entonces, como diría Shakespeare en los tiempos actuales “Difundir o no Difundir… He ahí el dilema”

Ahora, los invito a compartir y difundir… ¿Dónde hacerlo? 

  • Nomoreransom
  • maltiverse.com
  • CSIRT/CERT Nacionales
  • OEA
  • INCIBE
  • CCN-CERT
  • o mi correo moyanof@11paths.com 😀

No esperemos un próximo evento de seguridad nos encuentre desprevenidos

Post original: https://www.linkedin.com/pulse/difundir-o-he-ah%C3%AD-el-dilema-cristian-moyano-flores/

Fuentes (de donde copy y paste):

https://www.welivesecurity.com/la-es/2013/11/04/5-curiosidades-gusano-morris-25-aniversario/

https://www.eleconomista.es/tecnologia/noticias/8354451/05/17/La-red-corporativa-de-Telefonica-hackeada-con-un-ataque-de-rasomware.html

https://hipertextual.com/2017/05/wannacry-ransomware-ataque-telefonica

https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html

https://www.sedianday.es/wp-content/uploads/2018/12/SEDIAN_CCN-CERT_Luis-JIm%C3%A9nez.pdf

https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2169-ccn-cert-id-17-17-codigo-danino-wannacry-1/file.html

https://www.elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware_2312019/

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .