Viejos ataques conocidos vuelven a la carga

Durante marzo varios grupos relacionados con el cibercrimen o las herramientas de espionaje volvieron a ocupar las portadas de numerosos medios de comunicación. Por un lado, investigaciones de ESET revelaron las últimas creaciones maliciosas del grupo OceanLotus, en activo desde, al menos, 2014. Entre ellas encontramos un backdoor que permite acceder remotamente a un sistema infectado. Esta herramienta maliciosa contiene una serie de funcionalidades que hacen posible la manipulación de procesos y del registro del sistema, además de poder descargar componentes adicionales.

Este tipo de herramientas son usadas para el ciberespionaje, incluyen el robo de propiedad intelectual y son distribuidas utilizando vectores de ataque tradicionales, como los archivos adjuntos a un correo dirigido a un objetivo en concreto, lo que demuestra que estas técnicas siguen funcionando bien.

El grupo Hacking Team también está de actualidad al demostrarse que siguen trabajando en nuevos desarrollos, a pesar del incidente sufrido en 2015, que hizo que buena parte de sus herramientas pasasen a ser de dominio público. Estas nuevas herramientas serían una evolución de las ya conocidas y serían utilizadas tanto por delincuentes como por agencias de seguridad, pero también por regímenes opresivos.

Y es que, el descubrimiento de una nueva variante de la herramienta RCS con un certificado digital válido no visto hasta el momento ha provocado que se investigue la recuperación tanto financiera como operativa de este grupo. Numerosas empresas de seguridad como ESET o Citizen Lab han seguido la pista a Hacking Team durante los últimos años.

La buena noticia del mes ha sido la operación realizada de forma conjunta por Europol y varias Policías europeas que han permitido detener al considerado como uno de los principales responsables de ataques a cajeros automáticos y entidades financieras utilizando malware como Carbanak o Cobalt. Precisamente fue la Policía Nacional española quien detuvo a este delincuente en Alicante, desmantelando una red de criminales que supuestamente habrían conseguido varios millones de euros tras sus numerosos ataques.

Vulnerabilidades en servidores de correo, Drupal y ataques DDoS

A principios de marzo tuvieron lugar los ataques de denegación de servicio distribuidos más grandes detectados hasta la fecha. Uno de los ataques se dirigió a Github y el otro a un proveedor de servicios estadounidenses sin desvelar. Ambos ataques fueron mitigados de forma efectiva por Akamai y Arbor Networks, pero eso no quita que la magnitud de los mismos fuera algo nunca visto hasta ahora.

Los ataques fueron posibles gracias a la utilización de una técnica conocida desde noviembre de 2017 y que recibe el nombre de Memcrashed, debido a que se utilizan servidores Memcached mal configurados para llevarla a cabo. Estos servidores permiten la utilización del protocolo UDP para comunicarse con ellos, por lo que no se realiza ninguna comprobación y se permite a un atacante suplantar la dirección IP de la víctima, enviar una gran cantidad de peticiones de pequeño tamaño (apenas unos bytes) y recibir respuestas de varios centenares de Kilobytes o incluso de más de un megabyte.

Exim, el agente de transferencia de correo (MTA) más utilizado en servidores de todo el mundo solucionó una vulnerabilidad pocos días después de haber sido reportada. La vulnerabilidad permitiría a un atacante engañar a un servidor de correo que utilizase el MTA de Exim para que este ejecutase comandos maliciosos antes de autenticarse siquiera en el servidor y por eso se recomienda encarecidamente que se actualice a la última versión disponible.

También Drupal, uno de los gestores de contenidos más utilizados informó de una vulnerabilidad que fue parcheada días después. De no hacerlo, miles de sitios podrían quedar expuestos a los ataques de los delincuentes y estos podrían hacerse con el control de los mismos y de la información que en ellos se almacenan.

La entrada Viejos ataques conocidos vuelven a la carga aparece primero en Globb Security.