Ransomware Black Basta

En el ámbito de la seguridad informática, nos encontramos con retos cada vez más complejos que prueban nuestras habilidades de defensa digital. Recientemente, hemos sido testigos de un ataque sin precedentes realizado por el ramsomware Black Basta.

Más de 500 organizaciones en todo el mundo, desde pequeñas empresas hasta grandes corporaciones, han sido afectadas por Black Basta, que ha demostrado ser una amenaza significativa. El alcance del ataque ha generado inquietud y ha cuestionado la solidez de nuestra infraestructura digital.

Su capacidad para eludir las defensas tradicionales y el cifrado de datos críticos hace que Black Basta sea particularmente preocupante en comparación con otros ramsomware.

[Read more…]

La importancia y complejidad de la Información Clasificada

La información clasificada es un componente vital de la seguridad nacional e internacional en el mundo contemporáneo. Este tipo de información, meticulosamente protegida por gobiernos y organizaciones, abarca una amplia gama de contenido sensible que, de caer en manos equivocadas, podría representar una amenaza significativa para la seguridad, la estabilidad y los intereses estratégicos de una nación.

La naturaleza de la Información Clasificada

La información clasificada puede incluir datos sobre operaciones militares, estrategias de inteligencia, tecnologías avanzadas, fuentes de inteligencia, así como también información diplomática y política delicada.

La clasificación de esta información se realiza según la gravedad del daño que su divulgación podría ocasionar, y se divide en diferentes niveles de clasificación, como “Difusión Limitada”, “Confidencial”, “Reservado” y “Secreto”, y sus equivalentes internacionales.

[Read more…]

Pentest en el espacio

Cuando hablamos del espacio, de comienzo suele sonar a ficción. Sin embargo, no estamos tan lejos como podemos pensar. Una nueva vertiente de pruebas de seguridad que esta floreciendo hoy en día es la tan conocida Pentest contra Satélites. Hoy en día, una sola persona puede diseñar, construir y lanzar un satélite respetando muy pocas normas y protocolos de seguridad.

Como ya sabemos, el error humano es bastante bien conocido en nuestro ámbito, lo que unido con la democratización del espacio que ha abierto una nueva frontera a empresas y entusiastas a la exploración y la innovación en el campo espacial, produce el nacimiento de un nuevo conjunto de vulnerabilidades específicas, que requieren de profesionales cualificados y especializados para su identificación.

¿Qué es el Pentesting Satelital?

En pocas palabras, es lo que comúnmente muchos ya conocemos como “pentest” pero extrapolado a los satélites. Por tanto, es un proceso de comprobación de la seguridad de los sistemas de comunicación por satélite, donde simulamos ataques contras los mismos, identificando potenciales vulnerabilidades y deficiencias que puedan ser explotadas para posteriormente reportarlas al cliente con sus respectivas medidas correctoras, permitiéndole mitigar los riesgos identificados.

[Read more…]

EDR Silencer

En el panorama actual de la ciberseguridad, la complejidad de las soluciones implementadas para la protección contra amenazas crecientes aumenta constantemente. Debido a esto, tanto los actores maliciosos, que tratan de comprometer a organizaciones y sistemas para su propio beneficio, como los operadores Red Team, cuya misión es identificar y reportar vulnerabilidades para su posterior corrección, se ven impulsados a identificar y explotar nuevas deficiencias en los sistemas, adaptando sus métodos y desarrollando nuevas TTPs que les permitan evadir las defensas existentes.

Las herramientas desarrolladas tanto por los operadores como por los atacantes hostiles están diseñadas para la evasión de soluciones de seguridad como los EDR. Esto se debe a que mantener la operación fuera del radar del Blue Team es de vital importancia. Ser detectado supondría la obtención de IOC por parte del equipo de defensa, el cual aprovecharía para desmantelar toda una operación, bloqueando direcciones IP y dominios, creando YARAs para los artefactos o implementando las últimas actualizaciones en todas sus soluciones de seguridad.

Estas acciones, además de incrementar el nivel de alerta del Blue Team, supondrían el fin o el reinicio de un ataque u operación, ya que el vector de entrada podría ser mitigado o directamente bloqueado y sería necesario volver a montar la infraestructura casi por completo. Es por ello por lo que mantener el OPSEC de una operación es de vital importancia, evitando generar alertas que puedan notificar a los defensores y de esta manera cumplir el objetivo sin llegar a ser detectado.

[Read more…]

ATT&CK: El juego de las casillas

El mundo de la ciberseguridad cada vez se vuelve más complejo y desafiante. Con cada nueva amenaza, desde capacidades dañinas como malware o 0 days, hasta los cambios en las infraestructuras, habiendo pasado de entornos on-premise a híbridos o full-cloud, surge la urgente necesidad de esquemas y metodologías que ayuden a enfrentar estas adversidades. No solo buscamos minimizar el impacto de cualquier amenaza, sino también de alcanzar un nivel de detección y neutralización con el que nos sintamos confiados, aunque a menudo esto puede dar una sensación de falsa seguridad.

Hoy día encontramos diversos esquemas que nos ayudan a entender y contextualizar el modus operandi de los actores hostiles. Desde el ampliamente reconocido MITRE hasta el Malware Behavior Catalogue (MBC), pasando por Microsoft Attack Kill Chain y Lockheed Cyber Kill Chain, estas herramientas nos ofrecen una guía para comprender y enfrentar las tácticas, técnicas y procedimientos (TTPs) utilizados por los adversarios. Dentro de este panorama MITRE ATT&CK el esquema más reconocido. Su matriz desglosa las distintas técnicas, tácticas y procedimientos (TTPs) utilizados por los actores hostiles.

Imagen 1: Ejemplo de Mitre ATT&CK
[Read more…]

Radiofrecuencia: ¿una posibilidad nueva para el pentesting?

A la hora de realizar un ataque a una red interna, todos pensamos en que la salida de los datos podría ser por medio de esa misma red. Por ejemplo, si un posible atacante llega a infectar un dispositivo con la intención de sustraer información, requeriría de una salida por la propia red para enviar dicha información a un servidor externo.

La pregunta que nos podríamos plantear es: ¿existe una segunda vía por la que se podría enviar la información sustraída? A lo cual la respuesta es un sí, pero con matices. Planteemos el siguiente escenario: un atacante logra conectar un dispositivo que se comunica por radiofrecuencia a un ordenador de la red interna. ¿Qué podría implicar?

Existe un prototipo, de creación española, el RPK2 que responde a esta pregunta. Este USB se hace pasar por una impresora al ordenador que se conecta. Posteriormente, comenzará a comunicarse con un receptor que manipulará el atacante. Dado que el dispositivo receptor se comunica por radiofrecuencia, debería localizarse a unos pocos metros del USB malicioso, para poder mantener una comunicación continuada.

[Read more…]

Cloud Security Solutions: el nuevo paradigma

De la misma manera que brotes verdes inundan nuestros campos tras una fresca noche de primavera, despertándonos con la promesa de tallos decididos a germinar, de esa forma nos despertamos un día, con el surgimiento de un nuevo paradigma: el amanecer del Cloud Security. 

Si por un instante decidimos investigar sobre esta materia, descubriremos una dolorosa tendencia al uso de cuatro siglas para designar nuevas preocupaciones cuya existencia era absolutamente desconocida unos años atrás. En este universo infinito encontraremos los CISPA o Cloud Infrastructure Security Posture Assessment, pero también los CWPPS, o Cloud Workload Protection Platform, sin olvidarnos de los CASBs o Cloud Access Security Brokers o los CNAPP o Cloud-Native Application Protection Platform.

Si llegados a este punto habéis sobrevivido a esta retahíla de nombres, entenderé vuestro sincero interés por esta nueva ciencia, por lo que permitidme dar un paso atrás y comentar el porqué de esta curiosa amalgama de nuevas soluciones de seguridad. 

[Read more…]

Clusterización de Amenazas y Threat Hunting

En este artículo vamos a aprender sobre la clusterización de amenazas llevada a cabo por los equipos de Threat Hunting. Pero, antes de nada, vamos a definir algunos términos.

En primer lugar, Threat Hunting se refiere al arte de buscar y detectar de manera proactiva amenazas de ciberseguridad ocultas en un entorno. Es un enfoque dinámico y estratégico que permite a los defensores descubrir y neutralizar posibles peligros antes de que escalen, convirtiéndose en una habilidad esencial en el actual panorama de ciberseguridad.

En segundo lugar, los analistas de Threat Hunting, también llamados Threat Hunters, necesitan técnicas para identificar y rastrear a las APT y sus actividades. APT se refiere a una amenaza avanzada y persistente que opera de manera encubierta y con intenciones maliciosas durante un período prolongado de tiempo. Para llevar a cabo sus objetivos, las APT utilizan técnicas, tácticas y procedimientos (TTP) sofisticados para acceder a redes y sistemas de información de alto valor, como los sistemas gubernamentales, financieros y militares, entre otros.

[Read more…]

Operación RetroHack

Preparaos para revivir la era de las camisas de franela y las riñoneras: un grupo de ciberdelincuentes autodenominado APT-HomeAlone, ha anunciado su plan para catapultar al mundo entero de regreso a los años 90 esta Nochevieja.

Mediante una serie de complejas ciberoperaciones, estos piratas informáticos pretenden reprogramar todos los dispositivos electrónicos para que, al sonar las doce campanadas, nos encontremos en el 1 de enero de 1990. Imagínate intentar publicar en Instagram tus fotos de Nochevieja y encontrarte buscando un módem para conectarte a Terra, Infovia, Ya.com, Wanadoo…

Estos hábiles delincuentes utilizan métodos avanzados, incluyendo “Retro-Infiltración de Sistemas” y “Manipulación Temporal de Redes”. Para ello han desarrollado un software llamado “BackToThe90s.exe”, capaz de transformar interfaces modernas a versiones que recuerden a Windows 95, con sus icónicos fondos de escritorio y sonidos de inicio.

[Read more…]

Feliz Navidad

Desde Security Art Work queremos desearos unas felices fiestas y lo mejor para este 2024 que está a punto de comenzar. Y en estos tiempos de postales generadas por inteligencia artificial, jerseys tipificados en el Código Penal y comida y bebida por encima de nuestras posibilidades, os enviamos nuestra felicitación navideña. Gracias a las herramientas de los dioses, sencilla y ligera, para que no se os llene el disco duro, ni el de vuestro ordenador ni el del ordenador de otras personas.

begin 644 saw23.awk
M0D5'24X@>PIS<F%N9"@I.PIR97-E=#TB7#`S,ULP;2(["F@],C`[<SUH+3$[
M;#TQ.PIF;W(@*&H@/2`Q.R!J(#P]<SL@:BLK*2!P<FEN=&8H(B`B*3L*<')I
M;G1F*")<,#,S6S$[.31M(BD[(`IP<FEN=&8H(D!<;B(I.PIF;W(@*&D],3MI
M/#UH.VDK*RD@>PH)9F]R*&H],3MJ/#US.VHK*RD@<')I;G1F*"(@(BD["B`@
M("`@("`@<RTM.PH@("`@("`@(&9O<BAJ/3$[:CP];#MJ*RLI('L*("`@("`@
M("`)<')I;G1F*")<,#,S6S$[.3)M(BD["@D)83UI;G0H,3`J<F%N9"@I*3L*
M"0EI9BAA(3TS*7!R:6YT9BAA*3L*"0EE;'-E>PH)"0EP<FEN=&8H(EPP,S-;
M-3LS-&TB*3L@"@D)"7!R:6YT9B@B*B(I.PH)"0EP<FEN=&8H<F5S970I.PH)
M"7T*("`@("`@("!]"B`@("`@("`@;"L],CL*("`@("`@("!P<FEN=&8H<F5S
M970I.PH@("`@("`@('!R:6YT9B@B7&XB*3L*"7T*='<]:"\R.PIT:#UH+S0[
M"G1S/6@M='<O,CL*9F]R("AI/3$[:3P]=&@[:2LK*2!["@EF;W(H:CTQ.VH\
M/71S.VHK*RD@<')I;G1F*"(@(BD["B`@("`@("`@<')I;G1F*")<,#,S6S$[
M,S%M(BD["B`@("`@("`)9F]R("AJ/3$[:CP]='<[:BLK*2!P<FEN=&8H:6YT
M*#$P*G)A;F0H*2DI.PH@("`@("`@('!R:6YT9BAR97-E="D["B`@("`@("`)
M<')I;G1F*")<;B(I.PI]"G!R:6YT9B@B7#`S,ULQ.SDT;2(I.PIP<FEN=&8H
M(D1E<V1E(%-E8W5R:71Y($%R="!7;W)K(&]S(&1E<V5A;6]S($9E;&EZ($YA
M=FED860@>2!P<L.S<W!E<F\@,C`R-%QN(BD["G!R:6YT9BAR97-E="D["GT*
`
end

Por cierto, si sabes abrir el sobre y visualizar la felicitación sin ayuda de Google (o de ChatGPT) eres población de riesgo. Feliz Navidad y cuidado con los excesos de estos días :)