Sanciones de protección de datos en 2020

En este artículo hemos querido recopilar las principales sanciones que ha resuelto la Agencia Española de Protección de Datos (AEPD) en el año 2020 y las hemos analizado.

¿Cuánto sanciona la Agencia Española de Protección de Datos?

En el año 2020, la Agencia Española de Protección de Datos ha resuelto 391 procedimientos sancionadores, de los cuales 316 han terminado en sanción y 75 han sido archivados, recaudando casi nueve millones de euros (8.865.239€). [Read more…]

Marco Europeo de Ciberseguridad

En los últimos tiempos, la Unión Europea está reforzando el marco regulatorio sobre ciberseguridad para hacer frente a la creciente amenaza que nos plantean los ciberataques. Para ello está dotando a los Estados miembros de un marco común especialmente focalizado en la ciberseguridad dirigido a garantizar la ciberresiliencia de los procesos que dan soporte a diferentes servicios esenciales para la sociedad.

La Directiva NIS o Directiva (UE) 2016/1148 fue la primera ley de ciberseguridad de la Unión Europea y ofrecía un marco común para mejorar la resiliencia de las redes y los sistemas de información de la Unión frente a los riesgos de ciberseguridad. Ha demostrado ser una Directiva útil, pero que con el paso de los años también ha evidenciado sus limitaciones ante el incremento de las ciberamenazas y la cada vez mayor dependencia de las soluciones digitales.

Es por ello que, a final del año pasado, la Comisión Europea presentó la nueva estrategia de ciberseguridad de la UE basada en tres aspectos principales: [Read more…]

Ransomware ate my network (V)

Una breve explicación de esta serie con algunas notas aclaratorias se puede leer al comienzo del primer artículo.
Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior ya habíamos terminado el análisis forense del incidente, por lo que Ángela ya tenía una visión global de todo lo que había ocurrido. Los timelines son una herramienta de análisis sensacional para poder entender lo ocurrido en un incidente, así que construimos una (con las horas en UTC, no perdamos las buenas costumbres):

  • 4/Nov: Los atacantes envían los correos con enlaces maliciosos a personal de la FFP.
  • 9/Nov – 11:37h – dolores.jolgorio abre el correo, descarga y ejecuta el .doc con la macro maliciosa.
  • 11:38h – El equipo se infecta con un agente de Meterpreter.
  • 11:41h – Los atacantes ejecutan diversos comandos para reconocer el sistema.
  • 11:46h – Los atacantes “revenden” el acceso al segundo grupo, cediendo el control con un agente de Empire.
  • 12:01 – Los atacantes elevan privilegios con un exploit de la vulnerabilidad CVE-2020-0787.
  • Entre las 12:01 y las 12:37h: Vuelcan hashes con la funcionalidad Powerdump de Empire.
  • 12:37h – Lanzan SharpHound e identifican W10-PC3 como equipo con una sesión iniciada de administrador de dominio.
  • 13:16h – Con los permisos de administrador local, copian el stager de Empire a W10-PC3 y lo ejecutan con PsExec.
  • Entre las 13:16 y las 13:30h – Obtienen el hash NTLM de la cuenta dom.adm con Mimikatz.
  • 13:51h – Montan el pivot SSH-RDP y acceden al DC con el hash NTLM de la cuenta dom.adm.
  • 13:55h – Copian el fichero temp.zip con las GPO y scripts de Powershell.
  • 13:57h – Despliegan la GPO “All in One”, que erosiona severamente la seguridad de los equipos del dominio.
  • 15:08h – Despliegan la GPO “Scheduler”, que copia el ransomware a los equipos y deja programada una tarea para su ejecución a las 17:15h.
  • 15:13h – Lanzamiento de un agente de Empire.
  • 15:30h – Saltan las alertas en GLORIA.
[Read more…]

Ransomware ate my network (IV)

Una breve explicación de esta serie con algunas notas aclaratorias se puede leer al comienzo del primer artículo.
Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

[Nota del editor: Pinchando en muchas imágenes –aquellas cuyo detalle no se ve del todo con el tamaño de la página principal– se muestra una versión ampliada]


En el artículo anterior vimos cómo Ángela había deducido que los atacantes habían entrado en el equipo empleado para conectarse al DC desde otro equipo empleando la herramienta PsExec. Dispuesta a encontrar el PsExec, Ángela empieza convirtiendo a .csv la MFT extraída por CyLR con mftdump.exe, y buscando por actividad alrededor de la la hora en la que vio la conexión en el otro equipo (sobre las 14:16h, 13:16h en UTC que es lo que nos muestra la MFT).

No hay un objetivo claro, pero ese Prefetch de stalin.exe parece sospechoso (recordemos que los Prefetch se crean la primera vez que se ejecuta el software, con un retraso de unos pocos segundos).

[Read more…]

Ransomware ate my network (III)

Una breve explicación de esta serie con algunas notas aclaratorias se puede leer al comienzo del primer artículo.
Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior la investigación se había quedado con el equipo con la IP 10.11.2.14 como origen de las conexiones al DC (y que tenía tanto conexiones con el C2 101.143.122.216 como el antivirus desactivado de forma previa al ataque generalizado).

Dado que estamos hablando de conexiones y que disponemos de la memoria RAM, lo primero que hace Ángela es emplear el plugin netscan de Volatility para sacar las conexiones de red (el perfil de memoria es Win10x64_17134) y confirmar las conexiones con el C2:

Netscan devuelve a su vez unos cuantos resultados adicionales:

¿Una conexión a un SSH remoto?

¿Y qué hace este equipo prestando un servicio en el puerto 443/TCP? ¿Se ha vuelto loco? Está claro que tenemos que profundizar en estas conexiones saber qué hay detrás de ellas. Ángela decide revisar los logs de Sysmon, en los que tendrían que aparecer las conexiones de red… pero parece que la FFP no aplicó correctamente la configuración de Sysmon estándar del MINAF, por lo que no se están recogiendo esos datos (grrrrrrr).

[Read more…]

Ransomware ate my network (II)

Una breve explicación de esta serie con algunas notas aclaratorias se puede leer al comienzo del primer artículo.
Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior vimos cómo el MINAF había evitado por los pelos un ataque de ransomware, pero nos quedaban muchísimas preguntas por resolver.  En primer lugar, averiguar la identidad del grupo de ransomware que había afectado al MINAF. 

Para ello Ángela convierte la MFT del DC con mftdump.exe y realiza una búsqueda rápida de los ficheros v2.exe y v2c.exe, que parecían a priori los encargados de desplegar el ransomware. Da en el clavo porque encuentra los ficheros en la carpeta c:\temp\scheduler:

Rápidamente calcula sus hashes:

5994df288813a7d9588299c301a8de13479e3ffb630c49308335f20515ffdf57  v2c.exe
b2a304e508415d96f417ed50d26e0b987b7cbd9a77bb345ea48e803b5a7afb49 v2.exe
ffa8722a09829acd7ef8743688947f6ccb58d2ef v2c.exe
7320b34c07206fcaf1319d6ce9bef2b29648a151 v2.exe
eddc0e293b0f0ee90bab106f073a41c9 v2c.exe
91438699bed008be9405995f0a158254 v2.exe

Lo siguiente es comprobar si son conocidos. VirusTotal le da una respuesta rápida:

[Read more…]

Ransomware ate my network (I)

Una breve explicación de esta serie con algunas notas aclaratorias se puede leer al comienzo del primer artículo.
Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

Nota 1: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIV Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación.

Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo taller práctico, se puede aprovechar de varias maneras: podéis descargar desde LORETO las evidencias ya trabajadas para poder seguir el caso paso por paso, podéis descargaros las evidencias en bruto para hacer vuestra propia investigación … o podéis jugar al CTF DFIR que hemos preparado y que os irá desgranando el caso a medida que vayáis respondiendo a los diversos retos.


Hay pocos meses buenos para la ciberseguridad en una Administración Pública, y noviembre no es uno de ellos: hay que tener cerrados los proyectos, realizar informes de estado, asegurarse de que todo el presupuesto está ejecutado (y justificado con las facturas correspondientes).

Ángela de la Guarda, CISO del MINAF (Ministerio de la Alegría y la Felicidad) no ha tenido un año especialmente alegre: la pandemia obligó a desplegar a marchas forzadas teletrabajo para buena parte del personal, lo que causó una sobrecarga importante sobre todo el personal TIC … y más si cabe sobre su ella y su equipo, responsables de garantizar la seguridad de todos los sistemas.

Para más inri, en la consabida reestructuración con cada cambio de gobierno, al MINAF se le ha encargado la misión de “unificar todos los organismos estatales con competencias sobre la alegría y la felicidad”. Esto ha supuesto la absorción de varios entes de diverso tamaño, entre los que destaca la FFP (Federación de Festejos Patronales, encargada de la gestión de todas las fiestas de pueblo de España). La FFP tiene, por así decirlo … una visión más bien relajada de la ciberseguridad, lo que está haciendo que la asimilación haya sido altamente conflictiva. Al final las altas esferas han mandado, y el MINAF ha absorbido a la FFP “de aquellas maneras”.

Son las 17.00h, y Ángela está revisando correos para terminar el primero de una semana llena de informes y poder irse a su casa, cuando Salvador Bendito (analista de seguridad del MINAF) la llama al móvil: “Jefa, tenemos un problema muy serio. Ha saltado uno de los canarios: estamos perdiendo a los porteros. A todos ellos”.

[Read more…]

Threat hunting (IX): cazando sin salir de casa. Creación de procesos (III)


Buen día, ¿qué tal va la caza?

En el artículo anterior hablamos sobre dos técnicas comúnmente utilizadas para crear procesos e intentar evadir las medidas de seguridad, el PPID Spoofing y el Process Hollowing.

Aunque como se mencionó en el artículo anterior, es posible intuir que algo ha pasado mediante los eventos de Sysmon, no nos vamos a quedar ahí.

En esta entrada quiero hablaros de unos grandes desconocidos “los eventos ETW”.

ETW – Event Tracing for Windows

Los eventos ETW tienen una misión muy clara: ayudar a los desarrolladores y analistas de software a depurar y/o mantener sus aplicaciones.

Para realizar esta tarea en todos los niveles del sistema operativo, se pueden generar eventos tanto a nivel de kernel como a nivel de usuario, algo que utiliza de manera interna Windows para su depuración.

Es importante tener claro que su origen y su uso principal no está relacionado con la seguridad. Muchos eventos que serían muy útiles desde el punto de vista de un analista de seguridad no están disponibles, pero otros sí :-)

[Read more…]

¿Qué puede hacer la Inteligencia Artificial por nosotros? (O contra nosotros)

La IA es una de las tecnologías con más impacto social y económico que vamos a ver en los próximos años (ya estamos viendo). Algunos estudios (PwC, Accenture) estiman este impacto a nivel global hasta 2030 en unos 16 billones de USD (16 T$), liderado por China y USA.

Como era de esperar, todo el mundo se está subiendo a este carro y el mundo de la ciberseguridad no es una excepción. Pero ¿cuánto hay de realidad en los usos de la IA para la ciberseguridad? Vamos a hacer un repaso a las posibilidades, visto desde ambos lados del campo de batalla, el del atacante y el del defensor.

Se pueden aplicar técnicas de Machine Learning (ML) para la detección de vulnerabilidades en el software, usando herramientas de fuzzing. Lo hacen los atacantes y lo pueden hacer los desarrolladores, evitando que las vulnerabilidades lleguen a los sistemas en producción.

Uno de los recientes avances más exitosos de la IA es la capacidad de generar automáticamente textos “creíbles” bastante difíciles de distinguir de los escritos por humanos. Ya se está usando esta técnica para generar textos de fake news para generar contenido en sitios de noticias o comentar en redes sociales.

[Read more…]

Explotando datos de APT for fun and (no) profit (IV): conclusiones

Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Hemos obtenido algunos datos para soltar frases en las charlas de APT (por favor, no olvidéis usarlos junto a las frases de “El Arte de la Guerra”, de Sun Tzu, que nunca pasa de moda, y comentar lo del eslabón más débil de la cadena y demás :). Con algo de tiempo, podemos obtener conclusiones más o menos interesantes, o más o menos estúpidas, en relación a las actividades, intereses, orígenes… de los grupos APT. Y explotando otros datasets (¿vamos a por MITRE ATT&CK?) podemos ampliar o complementar estas conclusiones.

Algunos de los datos que podemos concluir después de este pequeño análisis:

  • Parece claro que Rusia juega en la Liga de Campeones de las APT; es el país líder en todo tipo de actividades hostiles, desde el sabotaje hasta el espionaje o la delincuencia económica.
  • El líder de todos los grupos APT es también ruso: Turla, operando desde hace casi un cuarto de siglo (y en este caso sí que podemos confirmar que sigue vivo) y con un abanico de objetivos impresionante.
  • El grupo al que los analistas prestan más atención es también ruso: APT28, el más investigado y, casi por este motivo, el que más nombres diferentes tiene.
  • El número de actores con capacidades CNA se está incrementando en los últimos años, de nuevo con Rusia a la cabeza.
  • Aparte de los actores habituales, dos países han estado particularmente activos durante los últimos años: Irán y Corea del Norte.
  • Sería interesante identificar un nuevo parámetro para cada actor, similar a “visto por última vez”, que nos permita saber cuánto tiempo un grupo ha estado activo, o si lo está en estos momentos.
  • Usar diferentes nombres, en función de quién lo llama, para el mismo grupo es un caos a la hora de procesar datos; en este sentido, el esfuerzo de MISP para identificar un UUID por grupo es de agradecer (https://github.com/MISP/misp-galaxy/blob/main/clusters/threat-actor.json#L2434),  como bien nos ha indicado @adulau en Twitter.
  • Con algo de imaginación y gnuplot puedes tener tu propio Magic Quadrant de APT :)
  • Importante: esto es un simple post, no un artículo científico. No esperes verdades absolutas, no discutibles y que sienten cátedra aquí.
  • Y la última conclusión: AWK es nuestro amigo. Recordad: