Cada vez se valora más el sector de la seguridad entre gobiernos y empresas, siendo este año el detonante en el ámbito nacional la aparición del randomware Wannacry. Éste afectó a múltiples empresas como Telefónica, Gas Natural o Iberdrola. Los estragos causados de este malware sólo evidencia lo que lleva desde hace tiempo advirtiéndose desde el sector. Cabe recordar, que este Wannacry se aprovechaba de la vulnerabilidad EternalBlue, que ya había sido parcheada en el momento de la propagación.
Malware
Pero Wannacry no ha sido el único ransomware de este año: también hemos visto a NotPetya, que afectó en especial a Ucrania y Rusia, haciendo uso de las vulnerabilidades EternalBlue (también usada por Wannacry) y EternalRomance. Además hemos visto a Locky, una variación de este último. Sin duda, este año ha sido el año del ransomware, siendo un denominador común de la mayoría de estos la solicitud de un rescate en Bitcoins. |
| WannaCry ha sido uno de los ransomware más destacados del presente año |
En relación con los rescates en Bitcoins, hemos visto cómo su precio se elevaba hasta los 15.000 dólares, y en el sector de la seguridad nos ha afectado con una nueva tendencia en los malware: el minado de criptomonedas. Uno de estos troyanos fue reportado para Android por Kaspersky, con nombre Loapi. No sólo lo hemos visto en troyanos, sino también al acceder sitios web, como el caso de The Pirate Bay. Aunque este nuevo tipo de ataques acaba de comenzar, podría convertirse en una tendencia en 2018 debido al alza de las monedas digitales.
Vulnerabilidades
En cuanto a las vulnerabilidades que han sido aprovechadas y descubiertas este 2017, tenemos a las ya mencionadas EternalBlue y EternalRomance, vulnerabilidades encontradas en el protocolo SMB. Estas dos vulnerabilidades pertenecerían a la supuesta vulneración que sufrió la NSA en 2016 de un ingente número de troyanos supuestamente desarrollados por ellos, y por los que el grupo The Shadow Brokers buscaba recaudar 1 millón de Bitcoins en una puja pública.Mientras tanto en Android, hemos podido ver el ataque Toast Overlay, que podría haber sido utilizado para adquirir permisos sin conocimiento del usuario. Y en Intel, hemos visto de nuevo cómo Intel Management Engine (Intel ME) suscita las críticas de los consumidores, al encontrarse nuevos fallos graves en este módulo incluido en sus procesadores desde 2008, que permitiría tomar el control de la máquina independientemente de su sistema operativo.
 |
| BlueBorne y Krack han sido de las vulnerabilidades más graves en protocolos |
También se han anunciado vulnerabilidades en los protocolos Bluetooth y WPA2, con los nombres de BlueBorne y KRACKs respectivamente. La primera de estas permitiría la infección de los dispositivos de forma remota y su autopropagación. La segunda, la modificación de las conexiones seguras realizadas con WPA. Estas dos vulnerabilidades, las dos muy graves, ya han estado siendo parcheadas a lo largo de los meses desde su anuncio.
Las vulnerabilidades también han sido aprovechadas para la filtración de datos, como el fallo en Apache Strusts que permitía la ejecución de código remoto, y que fue utilizada para la filtración de Equifax. También se encontraría CloudBleed, encontrada por Google Project Zero Team, y que explotaría un fallo en el proxy inverso de Cloudflare, utilizado por miles de sitios como Uber, OKCupid o FitBit. No se conoce de momento de ningún atacante que haya aprovechado dicha vulnerabilidad.
Filtraciones
Sin duda la mayor filtración de este año ha sido la de Equifax, con 143 millones de Estadounidenses afectados. Teniendo en cuenta que en EEUU hay 324 millones de personas, hablamos de un 44% de la población expuesta. Equifax, como entidad financiera, disponía de información de sus clientes como nombres, números de la seguridad social o los datos de la licencia de conducir. También se habrían expuesto 209.000 tarjetas de crédito y documentación de 182.000 personas. |
| La filtración de Equifax ha sido una de las más grave de la historia |
La filtración en Uber de 52 millones de usuarios, también ha dado mucho que hablar, no solo por la cantidad de usuarios afectados sino también por los intentos de la compañía de ocultar lo ocurrido. Los datos de la filtración en realidad no son de este año, sino del 2016: Uber habría pagado 100.000$ al hacker por no decir nada y borrar la información.
Otras filtraciones han sido las de 235GiB de documentación militar confidencial en Corea del Sur, 2.5GiB de documentación de seguridad del aeropuerto de Londres Heathrow en un pendrive perdido, más de 28 millones de cuentas de Taringa, o 711 millones de emails junto con sus contraseñas que se encontraron a través de un spam. Y por si supiese a poco, hace pocos días se descubrió la mayor base de datos de usuarios y contraseñas conocida, con 1,4 millardos. De esta última filtración muchas eran conocidas, pero algunas eran nuevas y de algunas hasta ahora sólo se conocía su hash.
Conclusión
Este año 2017 ha sido sin duda el año del ransomware, una tendencia que tristemente parece haber llegado para quedarse, volviendo a demostrar lo importante que es la seguridad para las empresas privadas, particulares e instituciones. Una tendencia que seguiremos viendo este 2018, junto con algunas nuevas, como el minado de criptomonedas.También hemos visto nuevas vulnerabilidades en la misma línea que años anteriores, sobresaliendo el culebrón que ya comenzó en 2016 con The Shadow Brokers y del que salieron vulnerabilidades como EternalBlue y EternalRomance, que han sido aprovechados por múltiples troyanos. Además, este ha sido con diferencia el año en que se han descubierto más vulnerabilidades como puede verse en Vuldb, al casi doblarse el número de entradas respecto el año anterior. Esta cifra sí que se dobla en Cvedetails.
 |
| Las vulnerabilidades este 2017 se han disparado respecto años anteriores |
Y en cuanto a filtraciones, este parece haber sido por fortuna un año más tranquilo que los anteriores. Ha habido filtraciones muy graves, pero cada vez parecen quedar más lejos esos 3 millardos de cuentas de Yahoo! de 2013, o los 412.2 millones de Adult Friend Finder del año pasado.
Hace años la seguridad informática apenas era tenida en cuenta por los legisladores, las empresas y las personas de a pie. Y justamente por eso, estos últimos años hemos podido ver cada vez más casos de filtraciones, explotaciones y usuarios afectados en la portada de los periódicos, demostrando que no podemos despreocuparnos y evidenciando que existe un problema. La tendencia no obstante parece estar cambiando, y este año que entra parece que será parte de este cambio.
El equipo de Hispasec y de la Una Al Día os desea a todos un muy feliz año 2018.
Juan José Oyague
joyague@hispasec.com
joyague@hispasec.com
Más información:
Malware ataca múltiple compañías (Wannacry):
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html
Precio Bitcoin:
http://www.lavanguardia.com/economia/20171226/433891489800/bitcoin-precio-compra.html
Kaspersky Loapi:
https://www.kaspersky.es/blog/loapi-trojan/15024/
The Pirate Bay runs a cryptocurrency miner:
https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/
Android Toast Overlay Attack:
https://www.paloaltonetworks.com/cyberpedia/android-toast-overlay-attack
Vulnerabilidades en Intel Management:
http://unaaldia.hispasec.com/2017/11/vulnerabilidades-en-intel-management.html
The Shadow Group libera el resto del arsenal robado a la NSA:
http://unaaldia.hispasec.com/2017/04/the-shadow-group-libera-el-resto-del.html
Vulnerabilidad crítica en Apache Struts:
http://unaaldia.hispasec.com/2017/03/vulnerabilidad-critica-en-apache-struts.html
BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación:
http://unaaldia.hispasec.com/2017/09/blueborne-una-vulnerabilidad-en.html
KRACKs: grave vulnerabilidad en el protocolo WPA2:
http://unaaldia.hispasec.com/2017/10/kracks-grave-vulnerabilidad-en-el.html
Equifax Data Breach Impacts 143 Million Americans:
https://www.forbes.com/sites/leemathews/2017/09/07/equifax-data-breach-impacts-143-million-americans/#3af477b9356f
Uber data hack cyber attack:
https://www.theguardian.com/technology/2017/nov/21/uber-data-hack-cyber-attack
North Korea hackers stole South Korea-U.S. military plans to wipe out North Korea leadership: lawmaker:
https://www.reuters.com/article/us-northkorea-cybercrime-southkorea/north-korea-hackers-stole-south-korea-u-s-military-plans-to-wipe-out-north-korea-leadership-lawmaker-idUSKBN1CF1WT
La brecha en Taringa expone a 28 millones de usuarios:
http://unaaldia.hispasec.com/2017/09/la-brecha-en-taringa-expone-28-millones.html
711 millones de correos electronicos expuestos:
http://unaaldia.hispasec.com/2017/09/711-millones-de-correos-electronicos.html
La mayor base de datos de usuarios y contraseñas jamás descubierta, otra vez:
http://unaaldia.hispasec.com/2017/12/la-mayor-base-de-datos-de-usuarios-y.html
Vuldb archive:
https://vuldb.com/?archive
Cvedetails browse by date:
https://www.cvedetails.com/browse-by-date.php
Yahoo says all three billion accounts hacked in 2013 data theft:
https://www.reuters.com/article/us-yahoo-cyber/yahoo-says-all-three-billion-accounts-hacked-in-2013-data-theft-idUSKCN1C82O1
Adult Friend Finder confirms data breach 3.5 million records exposed:
https://www.csoonline.com/article/2925833/data-breach/adult-friend-finder-confirms-data-breach-3-5-million-records-exposed.html
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html
Precio Bitcoin:
http://www.lavanguardia.com/economia/20171226/433891489800/bitcoin-precio-compra.html
Kaspersky Loapi:
https://www.kaspersky.es/blog/loapi-trojan/15024/
The Pirate Bay runs a cryptocurrency miner:
https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/
Android Toast Overlay Attack:
https://www.paloaltonetworks.com/cyberpedia/android-toast-overlay-attack
Vulnerabilidades en Intel Management:
http://unaaldia.hispasec.com/2017/11/vulnerabilidades-en-intel-management.html
The Shadow Group libera el resto del arsenal robado a la NSA:
http://unaaldia.hispasec.com/2017/04/the-shadow-group-libera-el-resto-del.html
Vulnerabilidad crítica en Apache Struts:
http://unaaldia.hispasec.com/2017/03/vulnerabilidad-critica-en-apache-struts.html
BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación:
http://unaaldia.hispasec.com/2017/09/blueborne-una-vulnerabilidad-en.html
KRACKs: grave vulnerabilidad en el protocolo WPA2:
http://unaaldia.hispasec.com/2017/10/kracks-grave-vulnerabilidad-en-el.html
Equifax Data Breach Impacts 143 Million Americans:
https://www.forbes.com/sites/leemathews/2017/09/07/equifax-data-breach-impacts-143-million-americans/#3af477b9356f
https://www.theguardian.com/technology/2017/nov/21/uber-data-hack-cyber-attack
North Korea hackers stole South Korea-U.S. military plans to wipe out North Korea leadership: lawmaker:
https://www.reuters.com/article/us-northkorea-cybercrime-southkorea/north-korea-hackers-stole-south-korea-u-s-military-plans-to-wipe-out-north-korea-leadership-lawmaker-idUSKBN1CF1WT
La brecha en Taringa expone a 28 millones de usuarios:
http://unaaldia.hispasec.com/2017/09/la-brecha-en-taringa-expone-28-millones.html
711 millones de correos electronicos expuestos:
http://unaaldia.hispasec.com/2017/09/711-millones-de-correos-electronicos.html
La mayor base de datos de usuarios y contraseñas jamás descubierta, otra vez:
http://unaaldia.hispasec.com/2017/12/la-mayor-base-de-datos-de-usuarios-y.html
Vuldb archive:
https://vuldb.com/?archive
Cvedetails browse by date:
https://www.cvedetails.com/browse-by-date.php
Yahoo says all three billion accounts hacked in 2013 data theft:
https://www.reuters.com/article/us-yahoo-cyber/yahoo-says-all-three-billion-accounts-hacked-in-2013-data-theft-idUSKCN1C82O1
Adult Friend Finder confirms data breach 3.5 million records exposed:
https://www.csoonline.com/article/2925833/data-breach/adult-friend-finder-confirms-data-breach-3-5-million-records-exposed.html
