Etiqueta: ciberguerra

NotPeyta, ¿un acto de ciberguerra?

El ataque NotPetya, ¿fue malware?, ¿Ransomware?, ¿destructor de información? Algo de lo que no cabe duda es éste devastó los sistemas informáticos en toda Ucrania y luego se extendió a otros países, infectando y cerrando firmas de abogados, supermercados, agencias de publicidad, cajeros automáticos, hospitales, entre otros.

Días después del ataque, investigadores en seguridad informática todavía están tratando de averiguar qué es exactamente NotPetya. Sin embargo, independientemente del análisis técnico final, la gran pregunta sigue siendo: ¿Fue NotPetya un acto de ciberguerra?

 

Ransomware? ¿destructor? ¿Qué fue realmente?

En este punto, está claro que NotPetya es malware, ¿pero es ransomware o un destructor de información? Aquí es donde las cosas empiezan a complicarse.

NotPetya no es exactamente un destructor de discos duros, pero ciertamente no es ransomware tampoco.

El problema es que NotPetya no elimina datos con una intención clara como un limpiador, digamos, como Shamoon y KillDisk. NotPetya tampoco cifra archivos con la intención de exigir un rescate por las claves de descifrado como lo haría el ransomware normal.

NotPetya encierra los archivos y se deshace de la llave, asegurando que las víctimas nunca puedan recuperar sus sistemas. De esta manera, los archivos cifrados son sometidos básicamente a un método de borrado. Por lo tanto, se podría decir que una infección ransomware que no deja posibilidad alguna de recuperación y el descifrado de archivos es equivalente a un limpiador.

Por ahora, la mayoría de los investigadores de seguridad insisten que esto fue un trabajo de borrado. MattSuiche fundador de Comae Technologies publicó un análisis titulado: “Petya.2017, un trabajo de borrado y no de Ransomware”; por otro lado,KasperskyLabspublicó otro similar denominado: “ExPetr / Petya / NotPetya es un limpiador, no Ransomware”

Sin embargo, considero que NotPetya se describe mejor como un ataque híbrido o tal vez uno de tipo ransom-wiper-ware

¿Ataque cibernético dirigido contra Ucrania?

Habiendo establecido que no sabemos cómo clasificar el ataque, vamos a sumergirnos en aguas aún más turbias. ¿Fue NotPetya un ataque cibernético dirigido contra Ucrania? En los últimos meses, vimos el objetivo de CrashOverride y derribar la red eléctrica de Ucrania, seguido de cuatro ataques maliciosos sucesivos y altamente enfocados en Ucrania que estaban vestidos para parecer un ransomware. Estos incluyen XData, PSCrypt, NotPetya y un ataque aún sin nombre descubierto por el investigador de seguridad MalwareHunter, que fue diseñado para parecerse a WannaCry, pero de hecho es algo completamente nuevo.

Este cuarto ataque también parece haber utilizado un método de entrega similar a XData y NotPetya: los servidores de actualización de M.E.Doc, un popular paquete de software de contabilidad ampliamente utilizado en Ucrania. Aunque M.E.Doc lo niega vehementemente, Microsoft y Talos, entre otros, han señalado a la compañía como la fuente de la distribución inicial de NotPetya.

NotPetya ha sido el ataque informático más devastador hasta el momento, con el vector de entrega altamente dirigido a infectar a las empresas y víctimas corporativas en Ucrania. El problema con un malware como este es que una vez que se libera en la naturaleza, puede propagarse a otros sistemas, redes y países por sí solo. Entonces, ¿estaba dirigido o no? La respuesta es inconclusa “probablemente” en este punto.

Sin una atribución positiva, el creciente consenso es que la responsabilidad recae en un actor estatal o suplente. Un número de investigadores de seguridad líderes han sugerido esto, incluyendo el NATO Cooperative Cyber Defence Centre of Excellence que emitió una declaración el 30 de junio confirmando:

“NotPetya probablemente fue lanzado por un actor estatal o un actor no estatal con apoyo o aprobación de un estado. Otras opciones son poco probables. La operación no fue demasiado compleja, pero aun así compleja y costosa de haber sido preparada y ejecutada por hackers no afiliados por el bien de la práctica. Los delincuentes cibernéticos tampoco están detrás de esto, ya que el método para recaudar el rescate estaba tan mal diseñado que el rescate probablemente ni siquiera cubría el costo de la operación “.

Esto nos lleva de nuevo a la pregunta inicial. Si probablemente fue lanzado por un actor estatal o un sustituto y que probablemente estaba dirigido a Ucrania, y probablemente estaba destinado a causar daños económicos generalizados e indiscriminados, ¿NotPetya fue un acto de ciberguerra?

La razón es muy importante para determinar si fue o no un acto de guerra y de ser así, que pasos tomará la OTAN para proteger la seguridad a la que siempre se ha comprometido. La defensa colectiva, tal como se define en el artículo 5 del tratado, se reduce a: Un ataque contra un aliado es considerado como un ataque contra todos los aliados. Por lo tanto, un sólido sí con abundante evidencia tendría graves consecuencias políticas y militares.

 

¿Un acto de ciberguerra?

Aunque muchos indicadores muestran que NotPetya era un limpiador disfrazado de ransomware, así como un ataque cibernético dirigido a causar destrucción generalizada en Ucrania por un actor estatal o suplente, sin una definición técnica clara y sólo pruebas circunstanciales y sin atribución clara, ¿puede realmente ser considerado un acto de ciberguerra?

La OTAN dice, “probablemente no”: “Si la operación pudiera vincularse a un conflicto armado internacional en curso, entonces se aplicaría la ley de los conflictos armados, al menos en la medida en que las lesiones o daños físicos fueran causados ​​por ella y con respecto a la posible participación directa en hostilidades por parte de hackers civiles, Pero hasta ahora no hay informes de ninguno.

Hay una falta de un elemento coercitivo claro con respecto a cualquier gobierno en la campaña, así que la intervención prohibida no entra en juego. A medida que se van dirigiendo los sistemas gubernamentales importantes, en caso de que la operación se atribuya a un estado, esto podría considerarse una violación de la soberanía “. – TomášMinárik, investigador de la CCD de la OTAN

Seamos sinceros. La OTAN no va a hacer una llamada clara sobre quién está exactamente detrás de esto en el corto plazo. La cantidad actual de pruebas circunstanciales probablemente no sería suficiente para conseguir ser lo suficientemente concluyente como para llamar a un estado-nación específico por haber cometido un crimen internacional. Para acercarnos a declarar que esto es un acto de ciberguerra, hay muchos detalles que necesitan ser investigados a fondo y probados y, hasta ahora, no estamos muy cerca de lograrlo.

 

Si no es un acto de ciberguerra, ¿qué es NotPeyta?

La OTAN saldrá perpleja y dirá que “[NotPetya] podría ser un hecho internacionalmente ilícito, que podría dar a los estados objetivo varias opciones para responder con contramedidas”.

Si esto es cierto y la comunidad internacional llega a la conclusión de que NotPetya es un “hecho internacionalmente ilícito” con arreglo al derecho internacional, podría dar lugar a una respuesta conjunta de la UE en forma de sanciones. El Consejo Europeo emitió un comunicado de prensa al respecto, señalando, además:

La respuesta diplomática de la UE a actividades cibernéticas maliciosas hará pleno uso de las medidas de la Política Exterior y de Seguridad Común, incluidas, en su caso, medidas restrictivas. Una respuesta conjunta de la UE a actividades cibernéticas maliciosas sería proporcional al alcance, la escala, la duración, la intensidad, la complejidad, la sofisticación y el impacto de la actividad cibernética.

La UE reafirma su compromiso con la solución pacífica de controversias internacionales en el ciberespacio. En este contexto, todos los esfuerzos diplomáticos de la UE deben tener como objetivo prioritario promover la seguridad y la estabilidad en el ciberespacio mediante una mayor cooperación internacional y reducir el riesgo de malentendidos, escalada y conflictos que pueden derivarse de incidentes relacionados con las TIC.

En el caso de que no fuera ni un acto de guerra cibernética ni un “hecho internacionalmente ilícito”, ¿cómo podríamos llamarlo ahora? LauriLindström, investigadora de la Sección de Estrategia del COE de la CCD de la OTAN, llegará tan lejos como para decir que se trataba de una “declaración de poder” y que el ataque era simplemente una “demostración de la capacidad disruptiva adquirida y disposición a utilizarla”.

¿Declaración de poder?¿Qué significa eso? La parte de tecnología era fácil, pero cualquier cosa sobre la capa 7 también está por encima de mi nivel de pago y comprensión. Lo que sí creo que significa es que nadie sabe realmente qué hacer cuando se trata de cibercriminales como los que perpetraron este ataque.

Desafortunadamente, mientras todo esto sucede, los consumidores, los ciudadanos, las empresas y los gobiernos seguirán estando en peligro y deberán considerar invertir en una postura de seguridad basada en la visibilidad para que puedan detectar mejor y responder rápidamente a todo lo anterior: Ciberataques, actos internacionalmente ilícitos y declaraciones de poder.

 

Por: Kevin Magee,

Global Security Strategist,

Gigamon.

 

La ciberguerra dispara el gasto en seguridad en defensiva y ofensiva

Para la mayoría, es gato será enfocado al fortalecimiento de las capacidades de ciberseguridad defensivas, una parte se destinará a inversiones ofensivas, incluido malware diseñado a medida y la adquisición de vulnerabilidades y exploits de día cero.

La ciberguerra está surgiendo como la próxima evolución en la guerra moderna entre los estados-nación. ABI Research, ha señalado que la interrupción activa de información y tecnologías operativas y la participación en campañas de ciberespionaje político y económico por parte de los gobiernos es indiscutible. Los ataques discriminados se adaptan a objetivos específicos, incluidas agencias gubernamentales, operadores de infraestructuras críticas y empresas de todos los tamaños, objetivos que se enfrentan diariamente a ataques constantes y sostenidos.

Esta situación está llevando a los operadores del sector de defensa a desarrollar e implementar sofisticadas ciberarmas. “Las operaciones ofensivas cibernéticas, que aprovechan campañas de malware complejas, son la fuerza impulsora detrás de las amenazas persistentes avanzadas”, señala Michela Menting, directora de investigación de Seguridad Digital de ABI Research. “La mercantilización de un mercado legítimo de exploits sustenta la próxima generación de tecnologías de ciberguerra”.

Se espera que las fuerzas militares, agencias gubernamentales y contratistas privados de defensa, principales operadores de la industria de la defensa, gastarán más de 10 000 millones de dólares a nivel mundial en materia de ciberseguridad en 2015.Gran parte de estos gastos se centrarán en el fortalecimiento de las capacidades de ciberseguridad defensivas, una parte se destinará a inversiones cibernéticas ofensivas, desde malware diseñado a medida, a unidades de mando militares cibernéticas, programas de vigilancia encubierta y adquisición de vulnerabilidades y exploits de día cero, entre otras medidas.

-Hilda Gómez

#UnDíaComoHoy se registró el primer caso de guerra cibernética

La Guerra de Osetia del Sur de 2008 fue un enfrentamiento armado entre Georgia y Rusia, apoyado por las repúblicas pro-rusas de Osetia del Sur y Abjasia. Este conflicto político, que empezó el 7 de agosto de 2008, también fue bastante significativo en el ciberespacio ya que provocó el primer ataque cibernético de un país a otro.

Algunos ciudadanos rusos expertos eTagsn informática se dispusieron a atacar sitios web georgianos con ataques DDos (Ataques de Denegación de servicio), los cuales consisten en infiltrarse en una red de computadoras y usarlas para que al unísono envíen millones de solicitudes por segundo para entrar a un sitio web saturando el servidor provocando un bloqueo general. Esta táctica logró que el gobierno georgiano no pudiera comunicarse con sus militares, ciudadanos ni con otras naciones.

Actualmente este tipo de ataques se ha vuelto muy popular, ya que es utilizado incluso como un medio de protesta política y social contra determinadas Webs gubernamentales, principalmente. Sin embargo, el primer caso de este tipo de ataques cibernéticos con fines bélicos fue utilizado por hackers rusos, hoy hace seis años.

 

-César Villaseñor, Editor PC World México.

La ciberguerra, a examen

El pasado 26 de junio, ESET celebró su III Eset Security Forum, un evento en el que se analizaron diversos temas como el derecho al olvido, el ciberacoso o los bitcoins. Además, la ciberguerra fue protagonista. ¿La conclusión? Ésta no es nueva, pero existe y los países deben ciberarmarse.

 

Las noticias sobre ciberespionaje gubernamental o ciberguerra cada vez son más frecuentes y cada vez preocupan más. Ésta ha sido una de las principales conclusiones del III ESET Security Forum, en el que que la ciberguerra, aunque no es nueva, existe y “los países deben ciberarmarse”.

 

Para explicar la dimensión que ha adquirido la ciberguerra, ESET ha reunido a diversos expertos. Juan Antonio Calles, miembro de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE),  explicó que “en el reciente caso entre Estados Unidos y China hubo un clima de ciberguerra.

 

También hubo un estudio en Estados Unidos en el que se preguntó a los ciudadanos a qué temían más, y más de un 40 por ciento dijo que a la ciberguerra. Tenemos muchos antecedentes en China o en Rusia, especialmente, en el año 99 en la Guerra de Kosovo subcontrataron a 400 hackers para introducirse en la Casa Blanca. Los Gobiernos se están ciberarmando: el Reino Unido estaba contratando el año pasado a hackers. Estados Unidos está invirtiendo 500 millones de dólares en ciberarmas y en crear un ejército de hackers éticos para luchar contra este tipo de técnicas. Es decir, hay ciberguerra hoy”

 

Por su parte, Román Ramírez, fundador de Rooted CON, añadió que “está claro que es uno más de los dominios. Todos los militares cuentan con cielo, mar, aire, espacio y ciberespacio. Lo que hay que intentar conseguir es ciberarmar nuestros países y organizaciones con especialistas.”

 

Según César Lorenzana, Jefe de Investigación del Grupo de Delitos Telemáticos de la Guardia Civil, “la ciberguerra no es nada nuevo. Es lo mismo que hemos tenido siempre pero trasladado al medio cibernético. En el año 2008, hubo un conflicto con Georgia y Rusia y es el antecedente más claro de ciberguerra, ya que apagaron el país. En la II Guerra Mundial hubo acciones de propaganda gracias a lo cual los aliados ganaron, pero eso sí, con otras herramientas, pero de comunicación al final. La otra parte es el espionaje, que también existe desde siempre”.

 

Josep Albors, director de comunicación y responsable del laboratorio de ESET, finalizó asegurando que “las amenazas avanzadas y persistentes, es decir, la cibermunición, es algo tan simple como mandar un correo a la persona adecuada con un PDF modificado y preparado para que ejecute un código malicioso. Yo creo que también se ha creado un poco de burbuja. La guerra electrónica lleva muchos años y se han ido adaptando. Los dispositivos móviles pueden ser utilizados. El riesgo sobre el papel, está. Pero no nos olvidemos de lo sencillo: sigue habiendo una persona que puede hacer clic donde no debe. Y lo que falla aquí es la concienciación.”

 

Bárbara Madariaga