Comparativo de infraestructura institucional en ciberseguridad (CERC)

Parámetros sobre regulación en ciberseguridad

La ciberseguridad es un desafío global, por ello es importante observar las experiencias de aquellos países que han implementado marcos regulatorios en la materia. A continuación, se presentan ejemplos de algunos países seleccionados con base en criterios de distribución geográfica y liderazgo en este ámbito:

Iniciativas Presentadas en el Congreso de México



Conceptos y definiciones clave en las leyes internacionales de ciberseguridad



LATAM: Avances en ciberseguridad



Mantén tu protección al máximo

Despliegue
Centro de tecnologías
Inventario

Cumplimiento
IR Management Tool
Insights
Batuta AI

ZeroAPT
Threat Intel
SOC
Forensics

Regulación Internacional e Iniciativas en México (CERC)

Parámetros sobre regulación en ciberseguridad

La ciberseguridad es un desafío global, por ello es importante observar las experiencias de aquellos países que han implementado marcos regulatorios en la materia. A continuación, se presentan ejemplos de algunos países seleccionados con base en criterios de distribución geográfica y liderazgo en este ámbito:

Iniciativas Presentadas en el Congreso de México



Conceptos y definiciones clave en las leyes internacionales de ciberseguridad



LATAM: Avances en ciberseguridad



Mantén tu protección al máximo

Despliegue
Centro de tecnologías
Inventario

Cumplimiento
IR Management Tool
Insights
Batuta AI

ZeroAPT
Threat Intel
SOC
Forensics

Ley de ciberseguridad- Criterios mínimos

¿Cuáles son los criterios técnicos mínimos que recomiendan los expertos?

Una ley de ciberseguridad que carece de criterios técnicos mínimos está destinada a ser insuficiente en su lucha contra las crecientes amenazas digitales. Es fundamental que la ley se base en las mejores prácticas y conocimientos técnicos. Al incluir criterios técnicos mínimos respaldados por expertos en ciberseguridad, se establece un estándar sólido y actualizado que las organizaciones pueden seguir para protegerse de manera efectiva contra amenazas cibernéticas.

Definiciones

  • Una terminología técnica de ciberseguridad clara y precisa en la legislación es crucial para evitar malas interpretaciones y posibles abusos legales.
  • Definir «infraestructura crítica» en sentido amplio para abarcar las tecnologías y servicios emergentes.
  • Especificar en la definición de Infraestructura Crítica de la Información que las entidades bancarias siguen su normativa única en materia de ciberseguridad o excluir de su ámbito de aplicación los bienes y la prestación de servicios privados.

Frameworks

  • Establecer marcos de intercambio de información antes de implementar sistemas de intercambio y centros de respuesta a incidentes para aumentar la transparencia de los ataques a la ciberseguridad y la utilidad de los datos actuales sobre ataques.
  • Crear un marco nacional de ciberseguridad para la protección de infraestructuras críticas.
  • Establecer un marco jurídico adaptado para la gestión de riesgos, teniendo en cuenta los atributos, amenazas, vulnerabilidades y tolerancia al riesgo propios de cada organización. Capacitar a las organizaciones para priorizar las actividades críticas y asignar las inversiones estratégicamente para obtener el máximo impacto.

Mecanismos de colaboración

  • Promover la colaboración público-privada para la ciberseguridad mediante el establecimiento de normas, certificación, educación y una junta de revisión de la seguridad.
  • Los ciberdelitos afectan a la información, los sistemas informáticos y las redes, por lo que la ciberdefensa es una responsabilidad colectiva. Los mecanismos de colaboración entre el Estado y el sector privado son cruciales para evitar responsabilizar de los delitos a los proveedores de servicios de Internet, que proporcionan conectividad, pero no controlan su uso.
  • Utilizar el modelo de los Centros de Análisis e Intercambio de Información (ISACs por sus siglas en inglés) para mejorar la comunicación entre sectores industriales.

Recomendaciones

  • Garantizar que la legislación se adapta a los rápidos cambios tecnológicos en materia de ciberseguridad mediante la creación de un consejo consultivo especializado que se encargue de las actualizaciones periódicas.
  • Mantener actualizadas las políticas de seguridad de la información, alineadas con la normativa y realizar evaluaciones periódicas de los riesgos para abordar las vulnerabilidades.
  • Incluir requisitos de notificación de violaciones de propiedad intelectual.
  • Impartir formación obligatoria sobre ciberseguridad al personal, establecer controles de acceso y garantizar medidas de seguridad física y de la red.
  • Supervisar y auditar los sistemas para identificar incidentes de seguridad y mantener la continuidad de la actividad y los planes de recuperación en caso de catástrofe para la resiliencia operativa.
  • Salvaguardar los datos personales y sensibles, cumplir la legislación sobre privacidad y crear planes de respuesta a incidentes para una gestión eficaz de la seguridad.
  • Mantener un equilibrio entre la protección de datos y la privacidad es crucial. Las leyes deben salvaguardar tanto los datos como los sistemas informáticos, respetando al mismo tiempo la privacidad y la libertad de expresión de las personas. Definir claramente los límites y las condiciones de las excepciones para evitar usos indebidos.
  • Pueden ser necesarias excepciones para los investigadores de ciberseguridad que identifiquen vulnerabilidades del sistema para mejorar la seguridad y salvaguardar la información.
  • Para garantizar el cumplimiento de la normativa financiera, la ley debe excluir explícitamente a las entidades financieras de la categoría de proveedores de servicios de infraestructura digital y especificar que deben seguir una legislación específica a efectos de autenticación.
  • Informar de los incidentes críticos que provoquen la pérdida de confidencialidad, integridad o disponibilidad de la información y que afecten a la seguridad y resistencia de los sistemas operativos.

Regulación redundante

  • Evitar la regulación redundante para las entidades reguladas a nivel federal, al tiempo que se establece una norma básica de ciberseguridad.
  • Las entidades que proveen servicios a bancos (relacionados con sistemas informáticos, bases de datos o procesos operativos) también tienen una regulación especial en las Disposiciones de Carácter General aplicables a Instituciones de Crédito (CUB) donde: (i) se requiere incluso aviso o autorización de la Comisión Nacional Bancaria y de Valores (CNBV); (ii) se prevé que se podrá ordenar la suspensión de los servicios cuando se pueda ver afectada la estabilidad financiera, la continuidad operativa de la entidad o la protección de los intereses del público y (iii) se prevé regulación relacionada con la integridad, seguridad, confidencialidad, resguardo y confiabilidad en el manejo de la información generada con motivo de la prestación de los servicios.

Infraestructuras críticas de información

Para la protección de las Infraestructuras Críticas de Información deberán estar a cargo de aquellas entidades públicas o privadas que las gestionen, siguiendo las siguientes disposiciones de ciberseguridad:

  1. Evaluación de riesgos: Las entidades responsables deberán realizar evaluaciones periódicas de los riesgos para la seguridad de la información, identificando las posibles vulnerabilidades y amenazas a sus infraestructuras críticas.
  2. Implantación de controles de seguridad: Las entidades implantarán controles de seguridad adecuados y proporcionales al nivel de riesgo identificado en sus infraestructuras críticas, incluyendo mecanismos de protección de datos, control de accesos, seguridad física y medidas de prevención y detección de intrusiones.
  3. Coordinación con autoridades reguladoras y organismos especializados: Las entidades responsables deben establecer mecanismos de coordinación y cooperación con las autoridades reguladoras y organismos especializados en ciberseguridad, para recibir asesoramiento y apoyo técnico en la protección de sus infraestructuras críticas.
  4. Formación y concienciación: Las entidades deberán proporcionar formación y concienciación en materia de ciberseguridad a su personal para garantizar que comprenden sus responsabilidades y están mejor preparados para hacer frente a posibles ciberamenazas.
  5. Supervisión y respuesta ante incidentes: Las entidades responsables implantarán sistemas de monitorización y respuesta ante incidentes, incluyendo la creación de equipos de respuesta ante incidentes de seguridad de la información y el desarrollo de planes de acción y recuperación ante incidentes.
  6. Planes de continuidad y recuperación: Las entidades elaborarán y mantendrán planes de continuidad de la actividad y de recuperación en caso de catástrofe para garantizar la resistencia de sus infraestructuras críticas en caso de incidente de seguridad o evento adverso.
  7. Cumplimiento normativo y auditorías: Las entidades responsables garantizarán el cumplimiento de los reglamentos y normas de ciberseguridad aplicables y realizarán auditorías periódicas internas y externas para evaluar la eficacia de sus medidas de protección.
  8. Notificación de incidentes y colaboración con las autoridades: Las entidades comunicarán oportunamente a las autoridades competentes cualquier incidente de seguridad que afecte a sus infraestructuras críticas y colaborarán con ellas en la investigación y resolución de incidentes.

Estos criterios mínimos proporcionan un marco claro y práctico que guía en la implementación de medidas de seguridad adecuadas, lo que resulta en una protección más robusta de los datos, sistemas y activos digitales contra posibles ciberataques. Al garantizar que la ley de ciberseguridad contenga los criterios técnicos mínimos recomendados por expertos, se fortalece la capacidad de las organizaciones para enfrentar los desafíos del ciberespacio.

Mantén tu protección al máximo

Despliegue
Centro de tecnologías
Inventario

Cumplimiento
IR Management Tool
Insights
Batuta AI

ZeroAPT
Threat Intel
SOC
Forensics

Irreductibles para una Ley en Ciberseguridad

El Sector Privado y el CERC consolidan análisis a las iniciativas existentes

¿Qué debe tener una ley?

  • La ciberseguridad debe atenderse como una responsabilidad compartida, por lo que su marco regulatorio NO debe reducirla a una capacidad exclusiva del Estado. De ahí que se debe incluir a la academia, la sociedad civil, la industria de ciberseguridad, tanto en la generación de la ley, así como sujetos de ésta, previendo el cuidado de infraestructuras críticas, gestión de riesgos, concientización y cultura de la ciberseguridad.
  • Enfocarse en establecer protocolos mínimos para afrontar ataques y amenazas más que sancionar a la sociedad, para lo cual se deberán establecer obligaciones claras y concretas en la materia. El objetivo de la ley no debe ser controlar a la sociedad sino procurar lo necesario para que todos gocemos de un ciberespacio seguro.
  • Tomar en consideración los compromisos adoptados por México en la materia, así como atender a las mejores prácticas internacionales y sus definiciones, por lo que habrá de establecer obligaciones, estándares, requisitos, protocolos, establecimiento de certificaciones, etc.
  • Es necesaria una estructura institucional multidisciplinaria con los recursos necesarios y el marco regulatorio pertinente para su eficacia. Así como, el establecimiento claro y definido de la competencia de las autoridades.
  • Articular, de manera transversal, con otras entidades encargadas del proceso de implementación de políticas públicas sobre ciberseguridad, como lo son el IFT y el INAI.
  • Procurar una mayor coordinación y la homologación con otros ordenamientos existentes como: i) Ley de General de Protección de Datos Personales en Posesión de Sujetos Obligados; ii) Ley General de Protección de Datos Personales en Posesión de Sujetos Privados; iii) Disposiciones acordadas en acuerdos comerciales internacionales como: T-MEC, TIPAT, y Alianza del Pacífico; iv) Estrategia Digital Nacional y el Acuerdo de Políticas y Disposiciones para uso de TICs en la APF.
  • No militarizar el ciberespacio. Por lo que para cualquier intervención de este tipo siempre debe cumplirse con las condiciones y requisitos de la Constitución y la Ley de Seguridad Nacional.
  • Debe respetar los derechos humanos, se destacan en la materia los derechos a la privacidad, intimidad, identidad, la protección de los datos personales, la propiedad y la libertad de las personas en sus diversas vertientes. Por lo que debe evitar censurar e intervenir de forma excesiva tales derechos. Por ejemplo, se deben omitir registros innecesarios que pudieran invadir la privacidad de las personas u omitir obligaciones para los ciudadanos que pudieran inhibir la libertad de expresión.
  • Los delitos que contemple la ley deberán estar delimitados y descritos adecuadamente. La ley deberá establecer figuras delictivas especializadas en ciberseguridad.
  • Dejar de manifiesto que la Ley tiene asidero constitucional, ¿Cómo? pudiera ser pertinente que en la exposición de motivos se refiera a la facultad del Congreso de la Unión para legislar sobre tecnologías de la información y la comunicación, radiodifusión, telecomunicaciones, incluida la banda ancha e internet, contenida en la fracción XVII del artículo 73 fundamental; así como establecer entre los objetivos de la ley el garantizar el desenvolvimiento seguro en el ciberespacio que surge de dichas tecnologías, garantizando con ello el derecho a su acceso, el derecho a la información, el derecho a no ser molestado en su persona o posesiones, entre otros derechos.
  • Del punto anterior derivaría el que la Ley de Ciberseguridad debe ser Federal, tal como sucede con la Ley Federal de Telecomunicaciones y Radiodifusión, lo que no significa que no tenga aplicación en los Estados, sino que su aplicación es por parte de autoridades federales, por lo que las asambleas legislativas, por ejemplo, no podrán legislar respecto de ciberdelitos.
  • Sin embargo, de estimarse que la ciberseguridad es una materia donde existe la concurrencia, es necesario dejar perfectamente establecidas en una ley general las competencias de los diferentes órdenes de gobierno, para que de esta forma tanto Entidades Federativas como Municipios estén en posibilidad de, por un lado, legislar en la materia respetando los lineamientos de la ley y, perseguir e investigar los delitos. Pero es de destacar que algo que caracteriza a todos los proyectos de iniciativas analizados es que no contienen una correcta distribución de competencias.
  • Adicionalmente, es importante considerar que en el Senado se encuentran otras iniciativas en materia de ciberseguridad, destacándose principalmente las siguientes: (i) del senador Miguel Ángel Mancera (PRD), del 02 de septiembre de 2020; y (ii) de la senadora Lucia Trasviña (Morena) del 06 de abril de 2021; las cuales no han sido dictaminadas.
  • Habría que revisar si existe la posibilidad de que se realice un dictamen de Comisiones que considere las iniciativas por parte del Congreso.

*Recomendaciones a septiembre de 2023.

Mantén tu protección al máximo

Despliegue
Centro de tecnologías
Inventario

Cumplimiento
IR Management Tool
Insights
Batuta AI

ZeroAPT
Threat Intel
SOC
Forensics

Car Hacking: Tendencia de robo de autos en la actualidad

Salvador Mendoza del equipo R&D de Metabase Q

Car Hacking: tendencia de robo de autos en la actualidad

Los riesgos de las llaves inalámbricas Vol. 1

// Resumen de resultados

Con un hardware de bajo costo y herramientas de radio definidas por software (SDR, por sus siglas en inglés) de código abierto, cibercriminales pueden comprometer los sistemas de entrada de seguridad de los vehículos explotando las debilidades de sus sistemas de llave inalámbrica.

La mayoría de los automóviles del mundo basan la protección de sus sistemas de entrada en algoritmos criptográficos de código evolutivo. Cuando la persona propietaria de un coche pulsa el botón de desbloqueo de la llave, ciberatacantes pueden interceptar las señales y guardarlas para utilizarlas en el futuro. Estas instrucciones interceptadas podrían implementarse para engañar a las personas propietarias de los coches y conseguir acceder a ellos. El riesgo de estos ataques está aumentando enormemente debido a la facilidad de acceso a las herramientas de hardware SDR y a las implementaciones de seguridad inadecuadas.

// Introducción

Ya sean los vehículos autónomos, el aumento de la conectividad o los vehículos eléctricos, la innovación tecnológica está impulsada cada vez más por el software, lo que conlleva un ciberriesgo inherente. La mayoría de la gente es consciente del gran peligro que supone el uso de Internet: un ciberataque a la red de una empresa o a dispositivos personales es posible en cualquier momento. Pero muy pocas personas saben que ciberatacantes también pueden lanzar ataques a los coches: cuantos más componentes electrónicos contengan y más conectados a la red estén, mayor será el riesgo.

La ciberseguridad es una preocupación real a la que todas las empresas fabricantes de automóviles, proveedores y personas usuarias se enfrentan a diario. Por ello, Metabase Q cuenta con un equipo dedicado a la investigación y el desarrollo, el cual realizó este análisis que se comparte a continuación.

En los últimos años los ataques contra los sistemas de acceso a los automóviles han aumentado y actualmente, ciberatacantes son capaces de robar vehículos sin tener que forzar su entrada, ya sea para llevarse el coche o robar las pertenecías dentro de él.

¿Cómo es posible? ¿Cómo puede alguien robar un vehículo sin tener la llave físicamente y sin forzar el coche? La conexión a la red hace que los coches sean vulnerables, y cuanto más digitales sean y más conectados estén, mayor será su vulnerabilidad ante un ciberataque. Para entender sus técnicas, es necesario analizar tanto los controles de acceso de los sistemas de los coches como la manera en que ciberatacantes podrían saltarse estas características de seguridad.

Para 2023, se espera que los vehículos conectados representen una cuarta parte de la movilidad a nivel mundial . Para 2025 , este tipo de automóviles representarán casi 86% del mercado mundial de la industria automotriz, por lo que el creciente número de vehículos conectados, junto con la tecnología V2X –vehículo conectado al usuario y a la ciudad– (V2X, por sus siglas en inglés), han aumentado las vulnerabilidades y los puntos de entrada que ciberatacantes pueden explotar.

Es importante comprender el panorama de las ciberamenazas. La ciberdelincuencia, incluida la relacionada con la industria automotriz, es más rentable que el narcotráfico, generando 600,000 millones de dólares anuales en comparación con 400,000 millones de dólares . Mientras la pandemia por COVID-19 ralentizaba las operaciones de un gran número de industrias, los ciberataques iban en aumento, siendo el transporte una de las cinco industrias más atacadas.

De acuerdo con un estudio de USWITHC, los ciberataques a los automóviles conectados han aumentado 99% desde 2018. En el Reino Unido, solo en 2019, 92% de los robos de coches se realizaron sin utilizar las llaves de los vehículos. En abril de 2020, dos investigadores comprometieron un Ford Focus utilizando un conector OBD-II y una computadora portátil, lo que les permitió controlar los frenos, cambiar la velocidad del coche, acceder al sistema de infoentretenimiento y más. Los vectores de ataque son la forma en que ciberatacantes obtienen acceso; un solo incidente puede incluir múltiples vectores de ataque. Upstream Security descubrió que los tres vectores de ataque más comunes son: 1) servidores, 2) sistemas de entrada sin llave, y 3) aplicaciones móviles. (Figura 1)

Figura 1. Vectores de ataque más comunes

En este blog, nos enfocaremos en el robo sin llave (a veces llamado ataque de relevo) que es una forma de robar un vehículo sin usar la llave física. Los vehículos objetivo son aquellos con sistemas de entrada y arranque sin llave, los cuales permiten a ciberatacantes explotar la tecnología para entrar en el coche y llevárselo. En 2020 se descubrieron varias vulnerabilidades en los sistemas de apertura sin llave que permitían a atacantes abrir fácilmente las puertas de los vehículos cerrados.

En marzo de 2020, investigadores descubrieron que el sistema remoto sin llave del HR-V 2017 de Honda envía la misma señal de radiofrecuencia para cada solicitud de apertura de puerta . Luego, en julio de 2020, una investigación mostró una vulnerabilidad en la etiqueta NFC del Tesla Model 3, lo que permitiría realizar un ataque de retransmisión para abrir la puerta. ¿Cómo? aprovechando la señal de una etiqueta NFC legítima asociada al vehículo.

Desafortunadamente, los ataques de apertura sin llave son llevados a cabo por algo más que investigadores y hackers de sombrero blanco. En julio de 2020, una empresa tecnológica de Bulgaria vendió por 20,000 libras esterlinas unos dispositivos parecidos a los antiguos Game Boys de Nintendo. Estos dispositivos, eran utilizados para desbloquear las puertas de los coches grabando las señales inalámbricas de las llaves y actuando como un receptor que el coche reconoce como un mando autorizado .  Los ataques a distancia han superado sistemáticamente a los ataques físicos desde 2010, representando 79.6% de todos los ataques entre 2010 y 2020.

Existen dos sistemas diferentes de acceso sin llave: El sistema activo de entrada sin llave y, el sistema pasivo de entrada y arranque sin llave (PKES, por sus siglas en inglés). Por ahora, analizaremos el sistema activo de entrada sin llave (Figura 2), cómo funciona y cómo ciberatacantes se aprovechan de las debilidades de esta tecnología.

En este blog, nos centraremos en el sistema activo de entrada sin llave que implementa la tecnología de código evolutivo o rolling code. Normalmente, un sistema activo de acceso sin llave transmite una señal para indicar una orden específica: desbloquear, bloquear o abrir la cajuela. Pero ¿cómo se transmite esta señal y cómo se puede reutilizar?

Figura2: Mini Cooper – Llave inalámbrica

Por lo general, las llaves implementan técnicas de modulación de desplazamiento de frecuencia (FSK, por sus siglas en inglés), de desplazamiento de amplitud (ASK, por sus siglas en inglés) o de encendido y apagado (OOK, por sus siglas en inglés). El uso de una modulación específica dependerá de las especificaciones de hardware de la marca. Pero el factor más importante entre las señales es cómo codifican la información, el escenario común en todo el mundo de la modulación son: Manchester o bifásica. La interpretación de la onda es crucial para entender cómo viaja la información y la mejor manera de decodificarla correctamente. Será de suma importancia conocer la modulación de onda específica para obtener la instrucción correcta para después enviarla a la llave.

Figura3: Modulaciones ASK, FSK, and PSK

// ¿Qué es la tecnología rolling code?

El algoritmo criptográfico de código evolutivo o rolling code es implementado en diferentes tecnologías, como los mandos de las puertas de las cocheras y los mandos a distancia de los coches. La función principal del rolling code, también conocido como hopping code, es ofrecer una protección especial contra los ataques de repetición. Este tipo de ataque consiste en guardar una transmisión de señal válida mediante un hardware especial y retransmitirla. Añadiendo que la retransmisión puede tener lugar en un lugar diferente, pero comportarse como la señal o instrucción original.

Para protegerse de los ataques de repetición, el código evolutivo implementa diferentes características:

El generador de números pseudoaleatorios (PRNG, por sus siglas en inglés) o el generador de bits aleatorios determinados (DRBG, por sus siglas en inglés) genera números aleatorios consecutivos utilizando una semilla especial como valor inicial. Esto significa que cada vez que la persona propietaria del coche pulse el botón de desbloqueo del mando a distancia, se generará un nuevo número aleatorio mayor. Al utilizar esta característica de generación aleatoria progresiva, el código evolutivo asegura que, si ciberatacantes guardan una transmisión de señal anterior, el siguiente número generado será diferente y evitará un posible ataque de repetición utilizando esa señal previamente guardada, al menos en teoría.

Figura 4: Escenario rolling code

// Sistemas activos de entrada sin llave

Los sistemas activos de entrada sin llave se caracterizan por tener un mecanismo de control remoto activo. Esto significa que la persona debe pulsar el botón de desbloqueo de la llave para abrir el sistema de cierre de la puerta. La llave activo utiliza sólo un transmisor para establecer la comunicación. La señal de rolling code viaja en frecuencia ultra alta (UHF, por sus siglas en inglés), normalmente, a 315MHz. La distancia adecuada para comunicarse correctamente entre la llave y el coche puede variar. Dependiendo de la potencia de la batería de la llave inalámbrica puede funcionar entre 0 y 80 metros.

Una vez que el sistema del coche autentifica la señal de la llave y el coche se desbloquea, la persona propietaria debe introducir la llave física en el sistema de encendido para arrancar el vehículo.

Figura5: Detección de la instrucción de desbloqueo de la llave mediante modulación FSK a 315MHz

// Eludiendo la tecnología rolling code

En ocasiones, existen ciberatacantes que prefieren, en lugar de forzar el sistema de entrada del coche, implementar las nuevas tecnologías para entrar en el automóvil; hay quienes prefieren robar los objetos de valor que se encuentran en el coche y otros deciden robar el coche. Previamente, para robar un vehículo o su contenido, rompían el cristal de la ventanilla, pero con las nuevas tecnologías, en lugar de hacer ruido, los nuevos grupos de ciberatacantes prefieren hacerlo de forma más silenciosa.

Para eludir la tecnología de rolling code, ciberatacantes deben implementar como base un hardware y un software especiales, normalmente conocidos como Software Defined Radio (SDR, por sus siglas en inglés). Se trata de dispositivos de radio de bajo costo que controlan e interfieren la comunicación entre el coche y la llave inalámbrica.

Figura 6: PortaPack – herramienta de radio de bajo costo

Para entender el proceso de un ataque exitoso contra la tecnología rolling code, debemos entender el proceso normal para desbloquear el automóvil desde la perspectiva de la persona propietaria:

  • La persona pulsa el botón de desbloqueo del dispositivo de llave a distancia
  • El coche recibe la señal y comprueba si la instrucción está en el rango del algoritmo de código evolutivo consecutivo
  • Si lo está, el sistema desbloquea el coche
Figura 7: Proceso normal de desbloqueo del automóvil desde la perspectiva de la persona propietaria

En el proceso de desbloqueo, el coche interpretará la señal y tomará decisiones internamente sin comunicar nada a la llave.

Si el coche no está dentro del alcance de la llave, cuando se pulsa el botón de desbloqueo, esa instrucción de código evolutivo se descarta y no se utilizará en la siguiente interacción. Cuando la persona pulsa de nuevo el botón de desbloqueo, se genera un nuevo rolling code (el nuevo código será mayor que el anterior). El coche implementa una lista de verificación que corrobora si el código evolutivo transmitido está en un rango continuo.

Los pasos para tener éxito en este escenario de ataque pueden variar. Pero en circunstancias generales, el procedimiento sería el siguiente:

  • La persona propietaria del vehículo pulsa el botón de desbloqueo del control a distancia
  • Ciberatacantes interrumpen la comunicación entre el coche y la llave e interceptan la señal del rolling code
  • La persona propietaria vuelve a pulsar el botón de desbloqueo pensando que el coche no ha recibido bien la señal en el primer intento. En este momento, ciberatacantes vuelven a interferir la comunicación, interceptando simultáneamente la nueva instrucción
  • Con las dos nuevas señales de rolling code, ciberatacantes liberan la primera señal capturada para desbloquear el coche. La víctima cree que el coche se ha desbloqueado porque ha pulsado el botón del llavero. Pero la realidad es que ciberatacantes engañan a la persona propietaria liberando la primera señal guardada que desbloqueó el sistema del coche
  • En este punto, ciberatacantes tienen la última transmisión en sus sistemas SDR y podrán utilizarla para desbloquear el coche en el futuro. Incluso después de que la persona propietaria haya bloqueado el coche correctamente
  • Ciberatacantes pueden utilizar la última señal capturada sólo si el coche no recibe ninguna nueva señal de código evolutivo de desbloqueo desde el llavero
Figura 8: Rangos entre las ventanas de escucha, bloqueo y recepción
Figura 9: Funcionamiento normal comparado con el escenario de la señal interceptada por ciberatacantes

//Interceptando las señales y replicándolas

Ciberatacantes deben disponer de dos sistemas SDR o tecnologías de radio diferentes para lograr el ataque con código evolutivo: uno para interceptar la señal y otro para interferir la comunicación entre el coche y la llave inalámbrica.

Figura 10: Ejemplo de tecnología SDR para interceptar e interferir en la señal de la llave

Cuando el sistema inicia el proceso de interferencia, el movimiento puede ser detectado en el espectro de radiofrecuencia de cascada. El proceso de interferencia consiste en enviar ruido a una frecuencia específica del receptor del coche para evitar la comunicación adecuada con la llave. Dicha frecuencia deberá estar ligeramente por encima o por debajo de la frecuencia normal, pero será suficiente para realizar la tarea de interferencia.

Figura 11: Detección del ruido de interferencia en cascada

Mientras se produce la interferencia, la segunda antena está esperando para interceptar la señal del llavero y guardarla.

Si ampliamos la imagen, podemos observar que ambas señales viajan casi juntas, pero en frecuencias ligeramente diferentes. Ciberatacantes deben reducir las señales de la llave para evitar el ruido del bloqueador. El punto principal es obtener la instrucción de la llave sin obtener residuos de la señal del bloqueador:

Figura 13: Detección de la señal de ruido y de la señal de la llave

//Ataque de rolling code jam

Cuando ciberatacantes obtienen dos instrucciones consecutivas para desbloquear el coche, se preparan para engañar a la víctima con estas señales. Utilizan un sistema automático para enviar la primera señal capturada y guardar el segundo rolling code para utilizarlo después de que la persona propietaria se estacione y cierre el coche.

Figura 14: División de la señal de ruido y de la señal de la llave

Es importante mencionar que todo este proceso se produce de forma automática, implementando un dispositivo programado que hará todas las tareas de forma clandestina. El principal objetivo malicioso es hacer que este proceso se comporte de forma natural. Así, la persona propietaria del coche no se da cuenta de que ha sido engañada por un ataque de bloqueo al código evolutivo.

En el siguiente video se muestran los detalles sobre el hackeo a vehículos expuestos en esta investigación.

// Recomendaciones

Para tener una mejor protección contra los ataques de rolling code e interferencia, es recomendable que las empresas realicen mejores métodos de autenticación implementando diferentes frecuencias portadoras, como 4FSK o Frequency-hopping spread spectrum (FHSS, por sus siglas en inglés). El objetivo principal es transmitir señales de radio a través de muchas frecuencias diferentes que ocupan más secciones del espectro radioeléctrico. Cerrando las posibilidades de interferir la señal por diseño. Así como, hacer necesario el establecimiento de una comunicación entre ambas entidades para intercambiar el proceso de autentificación.

Añadir una combinación de hardware de baja y alta frecuencia debería mejorar drásticamente la protección contra los ataques de interferencia. Además, añadir mecanismos como el hashing o el cifrado en el comando de pulsación de la llave disminuirá drásticamente las señales de repetición o de escucha.

Desde la perspectiva de la persona propietaria, ésta debe proteger no sólo su llave física, sino también su señal. Asegúrate de que la llave funciona correctamente bloqueando y desbloqueando el coche en repetidas ocasiones para corroborar que está funcionando en un solo intento.

EvilCorp llega a México

Por José Zorrilla del equipo Ocelot de Metabase Q

Contexto

Figura 1. Maksim Yakubets, líder de Evil Corp, buscado por el FBI desde finales de 2019

El equipo de Seguridad Ofensiva de Metabase Q, Ocelot, descubrió múltiples campañas de infección del grupo criminal Evil Corp. Desde abril del presente año, estas campañas han estado comprometiendo sitios web mexicanos a través de los cuales distribuyen el malware preferido de la organización: Dridex. Cabe destacar que, desde 2014, este malware ha extraído exitosamente la información bancaria de sus víctimas.

A finales de 2019, el Departamento de Justicia de Estados Unidos, ofreció $5 millones de dólares por la captura de uno de sus fundadores de origen ruso: Maksim Yakubets, quien, desde 2009, es pieza clave de la organización. Yakubets ha reclutado gente y lavado más de $100 millones de dólares, provenientes, principalmente, de sus víctimas en Estados Unidos y Europa. Los fondos son transferidos a quienes integran la organización, ubicados principalmente en Rusia y Ucrania. A este grupo se le atribuye la creación del malware Dridex, el cual, habitualmente  llega por mensajes de correo electrónico utilizando macros maliciosos de Microsoft Office.

Al no encontrar información al respecto en la región, Metabase Q y su equipo de Seguridad Ofensiva, Ocelot, hemos decidido publicar los detalles de estas campañas en México. Se observaron 3 campañas que iniciaron en abril de 2021, todas ellas tienen en común la descarga de los diferentes payloads maliciosos desde sitios web tanto privados como de gobierno.

Sobre las tres campañas

  1. Abril 2021: Se distribuye Dridex a través de correo electrónico, descargándolo del sitio web oficial de una funcionaria pública, atacando a diferentes partes del mundo, no a México
  2. Agosto 2021: Envío de mensajes de texto vía SMS haciéndose pasar por una entidad financiera y redirigiendo a las víctimas a un sitio falso para robar datos de la tarjeta bancaria
  3. Activa hasta octubre 2021: Actualización falsa de Firefox. Utilizan el framework malicioso conocido como SocGolish para engañar a la víctima al visitar el sitio web oficial de una funcionaria pública, pidiendo que se actualice su navegador Firefox. Dicho framework soporta Chrome, Internet Explorer, Flash, entre otros.     Anteriormente, no se contaba con evidencia suficiente de que el grupo detrás de SocGolish fuera parte de Evil Corp pero, en esta campaña, al servir sus variantes desde el mismo servidor comprometido se puede constatar que SocGolish y Evil Corp  trabajaron en conjunto o son parte del mismo grupo criminal

Es importante resaltar la tropicalización del aviso por parte de SocGolish, al crear una actualización falsa en español, como se puede ver a continuación, de lado izquierdo (Figura2) el mensaje clásico en inglés, y del lado derecho (Figura 3), el ajustado a español:

Figura 2. Actualización falsa versión en inglés
Figura 3. Actualización falsa versión en español

SocGolish usa el software de monitoreo remoto legítimo NetSupportManager para tomar control del equipo de la víctima. Esta técnica no es nueva, en 2018 Fireye, publicó este tipode técnica, seguido en 2019 por Malwarebyte, y a principios del 2020, por Unit 42 de PANW. Sin embargo, esta es la primera ocasión en la que se identifica en México.

¿Cómo comprometen los sitiosweb de sus víctimas?

Comunmente, el grupo malicioso busca sitios con poca protección, con frameworks desactualizados, como wordpress, y, por ende, fáciles de comprometer. Además, algo muy importante es que usualmente buscan sitios con alto volumen de tráfico para atraer más víctimas.  Por ejemplo, siguiendo este criterio, atacantes podrían conseguir la base de datos del Instituto Nacional Electoral (INE), e identificar víctimas con mucho contacto social, y al mismo tiempo, el correo y sitio web personal que utilizan.

Figura 4.Base de datos de candidaturas del INE

NOTA: Es importante aclarar que estos datos están disponibles públicamente en el sitio web del INE en: https://candidaturas.ine.mx/, no es información filtrada. Esta información ayuda a atacantes a encontrar víctimas potenciales.

Sitio Web suspendido

Alrededor de la tercera semana de octubre, fue notado que el sitio web comprometido contenía un anuncio, al parecer proveniente del grupo cibercriminal (no confirmado), informando que había sido suspendido por falta de pago (Ver Figura 5). Unos días después, se cambio el anuncio con el mensaje: “Cuenta suspendida”, directamente publicado por la empresa proveedora de hosting Hetzner, ubicada en Alemania.

Figura 5.Sitio con anuncio de atacantes

A continuación una vista rápida de las fases de infección en las diferentes campañas:

Ransomware podría ser utilizado por Evil Corp en México muy pronto

Evil Corp ha estado activo por más de 11 años y, a pesar del anuncio y recompensa publicado por el Departamento de Justicia estadounidense, el grupo sigue altamente activo, sin afectación aparente. De acuerdo con Wikipedia, dicho argumento se infiere por la cercana conexión de Marksim con el Servicio Secreto Federal (antes KGB), a través de su suegro Eduard Bendersky, quien le brinda protección. En conclusión, todo parece indicar que muy probablemente no desaparecerán.

Lo preocupante es que este grupo tiene una alta tasa de éxito comprometiendo compañías a nivel mundial con ransomware. Por ejemplo, uno de los ataques más sonados fue el que sufrió Garmin con el ransomware WastedLocker, en el que el grupo cobró una recompensa de alrededor de $10 millones de dólares.

¿Cómo podemos combatir esta amenaza?

Antes que nada, aceptando que toda organización será infectada con ransomware, a menos que proactivamente se lleven a cabo estrategias de detección y erradicación. El paso inicial es robustecer los procesos y tecnología, así como capacitar al personal de las organizaciones. De igual forma, se requiere evaluar los sistemas y probarlos ante un ataque de ransomware. Metabase Q ofrece el servicio Ransomware-as-a-service (RaaS), a través del cual se emulan Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés). Replicando múltiples familias de ransomware como Ryuk, Revil, DarkSide, entre otras en su red.

El objetivo con esta simulación es fortalecer el monitoreo, la detección y las capacidades de erradicación de ransomware en las organizaciones:

  • Procesos: Detección de brechas y fortalecimiento de políticas y procedimientos establecidos para reaccionar ante un incidente
  • Gente: Capacitación al personal de su Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) en Respuesta a Incidentes
  • Tecnología: Identificación de brechas en sus soluciones de seguridad: SMTP Gateway, Endpoint, Lateral Movement, Event Correlation, Malicious Callbacks, etc. Como empresa deberías preguntarte ¿Mi inversión me está brindando los resultados esperados?

Aplicando ingeniería inversa a los malwares utilizados actualmente, podemos reproducir el código malicioso exactamente como lo ejecutan atacantes reales. A diferencia del RaaS ejecutado por atacantes, Metabase Q tiene el control para ejecutar el ransomware sin los potenciales efectos secundarios o daños irreversibles, como la eliminación de respaldos o la publicación de información sensible en el Deep Web. Al utilizar las TTPs (Tácticas, Técnicas y Procedimientos) e IOCs (Indicadores de Compromiso) usados por malware en el mundo real, podemos capacitar y robustecer sus procesos, gente y tecnología.

Ver video aquí

Figure 7. RaaS Demo.

Análisis técnico de las campañas

A continuación, se explican los detalles altamente técnicos de cada una de las campañas identificadas, enfocándonos en las que atacaron directamente a la ciudadanía mexicana. La intención de esta investigación es compartir técnicas y tácticas, así como Indicadores de Compromiso (IoC) que permitan a las organizaciones implementar controles preventivos y correctivos. Recordemos que la ciberseguridad es una inversión, pero, sobre todo, es un seguro para la reputación, información y finanzas de las organizaciones alrededor del mundo.

Infección por correo electrónico- No enfocada en México

La primer campaña del grupo malicioso Evil Corp fue detectada alrededor de abril de 2021. Lo que captó nuestra atención fue el uso de un sitio web perteneciente a una funcionaria pública de uno de los partidos políticos de México para distribuir malware.

El grupo cibercriminal envió correos electrónicos maliciosos que contenían los archivos xlsm, los cuales se conectaban a la página de la funcionaria pública para descargar el siguiente malware, por lo que se confirmó que su sitio web había sido comprometido. En la Tabla 1 se pueden ver 3 documentos de Excel ocupados, los cuales fueron enviados desde una IP en la India a destinatarios que hablan inglés, pretendiendo engañarles con un error en la orden de compra. El idioma confirma que el objetivo en esta campaña no fue México. En la Figura 8, se puede ver uno de los correos enviados.

Figura 8. Correo malicioso enviado
Tabla 1. Archivos xlsm detectados como parte de la campaña de infección

Este tipo de ataques suelen tener documentos con un contenido que hace creer a la víctima que necesita habilitar la edición para que pueda ver el contenido real del archivo, es decir, hacen uso de la ingeniería social que permitirá que la macro contenida en el archivo se active y logre cometer su objetivo. A este tipo de archivos se les conoce como maldocs. En el caso de esta campaña, al abrir el documento la víctima vería el contenido mostrado en la Figura 9.

Figura 9. Imagen que es usada para engañar a las personas usuarias

La duda es, ¿qué hacen estos archivos? y ¿cómo funcionan?.El objetivo principal de este tipo de documentos es descargar el malware o archivo malicioso, el cómo lo hace depende de quién realice el ataque. Es importante destacar que este archivo contiene distintos valores en diferentes hojas y celdas, las cuales suelen ser usadas por las macros para reconstruir variables o nombres de métodos que posteriormente volverán a ser usados por la misma macro. A continuación, en la Tabla 2, veremos la lista de las cadenas más relevantes que podemos encontrar en diferentes partes del documento, donde también se pueden ver otros sitios web potencialmente comprometidos.

Tabla 2. Valores encontrados en las celda de los maldocs

Es momento de analizar cómo funciona la macro maliciosa del archivo. Lo primero que podemos notar es que estos archivos cuentan con varios módulos. En este caso, son 8 módulos más el archivo ThisWorkbook, el cual suele ser el punto de entrada para ejecución de una macro, como se muestra en la Figura 10.

Figura 10.Módulos y elementos de los maldocs

Los módulos de este documento se encuentran ofuscados, duplicando o hasta triplicando las líneas de código, con el objetivo de hacer más complicada la lectura del mismo.

Se encontró un patrón de declaración de variables sin usar,  ciclos de 3 líneas y uso de funciones como Cos(), Atn(), MonthName(), Year(), IsDate() entre otras técnicas no vistas antes. Lo que veremos en el archivo ThisWorkbook es solo la llamada al método de uno de los módulos, el cual lleva la responsabilidad de usar el resto de los módulos para reconstruir cadenas. Para la realización de la petición del malware, la parte importante de esta macro se encuentra en el módulo NyG_KoRXVvPU_zwKebxtmcX_PloLM (ver Figura 11), el cual al limpiar el código deja clara la intención de la campaña: descargar una biblioteca de enlace dinámico (DLL, por sus siglas en inglés) y ejecutarla en el sistema de la víctima via rundll32.exe.

Figura 11.Código del modulo NyG_KoRXVvPU_zwKebxtmcX_PloLM.

La DLL de Dridex (fe946eb6810820fa7f60d832e6364a64) se descargó desde el siguiente URL por primera vez en 2021-04-19:

https://carolinalastra[.]mx/wp-content/plugins/white-label-cms/includes/classes/FIHMaDaN[.]php

El análisis de la DLL está fuera del alcance de este blog ya que es una campaña fuera de México, pero está relacionada con el banking Trojan Dridex. Muy similar a la variante analizada por VMWare.

Otras campañas de Dridex en Latinoamérica

En el mismo proveedor de hosting de la funcionaria pública e incluso con la misma IP, se identificó otro sitio web aparentemente mexicano con nombre: misaludsana[.]com el cual tambien fue comprometido para infectar con Dridex, donde la DLL maliciosa tiene el nombre de i1ojz1l.rar:

I1ojz1l.rar – 68672d1ed6c979158b159fd9945934c6

Buscando esta misma DLL en otros sitios, se identificó que también se descargó desde países como Brasil, Chile y Perú. Si bien, no se confirmó que Evil Corp quien estuvo detrás, la evidencia así lo sugiere:

Scanned           URL

2021-09-28         https://megagynreformas[.]com[.]br/i1ojz1l[.]rar

2021-09-10         http://megagynreformas[.]com[.]br/i1ojz1l[.]rar

2021-04-10         http://vilaart[.]rs/z8xytt[.]rar

2021-04-08         https://www[.]huellacero[.]cl/wkuhfw0[.]rar

2021-04-02         https://vilaart[.]rs/z8xytt[.]rar

2021-04-04         http://lp[.]quama[.]pe/qxaqigqwy[.]rar

2021-04-02         https://versualstudio[.]com/d738jam[.]rar

2021-04-02         http://www[.]beor360[.]com/olwimf8i0[.]rar

2021-05-11         http://opentoronto[.]org/olu9usk68[.]rar

2021-04-02         http://versualstudio[.]com/d738jam[.]rar

2021-04-01         https://gmsebpl[.]com/tp2xvzwe[.]rar

2021-04-02         http://www[.]huellacero[.]cl/wkuhfw0[.]rar

Infección por mensaje de texto

Alrededor de agosto de 2021, se identificó una nueva campaña del grupo criminal, pero esta vez, enfocada en atacar a la población en México. El ataque se realiza a través del envío de mensajes de texto con un enlace malicioso, como se muestra en la Figura 12.

Figura 12.Ejemplo de sms enviado a la víctima

Como vemos, el objetivo del mensaje es hacer creer a la víctima que su cuenta ha sido retenida y que para poder solucionar el problema requiere ingresar a la URL https://is[.]gd/gW2d6B?ww[.]Citibanamex[.]com , la cual ocupa el servicio de recorte de URLs “is[.]gd” y que termina redireccionando a la página web de la funcionaria pública previamente comprometida. El enlace contiene el nombre de un banco en México, con el objetivo de hacerse pasar pasar por dicha entidad financiera.

Consultando el sitio Listaspam (www[.]listaspam[.]com) con el numero de telefono desde donde llego el mensaje, se pueden identificar quejas de las posibles víctimas desde agosto, donde coincide el mensaje de engaño, utilizando el nombre del banco mexicano, y, lo más importante, redireccionando a las víctimas a un sitio web falso bancario para tratar de robar los datos de su tarjeta bancaria (Ver Figura 13).

Figura 13.Quejas del SMS enviado desde el tel: 5623190460

Se identificaron diferentes enlaces utilizados por los criminales como se muestra en la Tabla 3 para el ataque de Phishing.

Tabla 3. URLs detectadas como engaño para redireccionar a sitio de Phishing

Infección por falsa actualización de Firefox

Para esta campaña, la página web de la funcionaria pública seguía estando comprometida y siendo usada para la distribución de malware a nivel nacional e internacional. En este caso, cuando alguien visitaba dicha página, atacantes validaban el uso del navegador Firefox en un sistema operativo Windows, y de ser exitosa la validación procedían con el engaño haciéndoles cree a quienes visitaban el website que necesitaban instalar una actualización de este navegador para poder ver el contenido de la página. Al ser una página legítima, el engaño es efectivo y logra el acto malicioso, conocido como ataque “watering hole”. Ver Figura 14.

Figura14. Fake update de Firefox

Cabe destacar que, el grupo cibercriminal valida los diferentes estados durante la infección por IP, por lo que si se intenta descargar el stage 3 sin antes haberse conectado, será rechazado.

Stage 1:

El sitio web solicita la descarga de un archivo comprimido tipo ZIP, el cual en su interior contiene un archivo llamado Firefox.js.

Figura 15.Contenido del archivo comprimido.

El archivo de Javascript contiene código malicioso con un total de 6 funciones, donde la mayoría son utilizadas para limpiar cadenas que se encuentran dentro del archivo o que son descargadas por medio de una petición. El nombre de la función cambia entre variantes pero la funcionalidad es la misma, a continuación describiremos cómo funciona el script.

Lo primero que veremos es una sección de código (ver Figura 16) la cual está diseñada para retrasar la ejecución de este (intentando burlar mecanismos de seguridad), es decir, atrasa un segundo la ejecución del script tantas veces entre en el ciclo. La cantidad total de entradas será de 11 ciclos, por lo que tendrá un retraso de 11 segundos.

Figura 16. Primer parte de código del archivo Firefox.js

Más adelante, la función gyyc (Ver Figura 17) toma el carácter de la cadena que esté en una posición impar de esta y agregándola al inicio, es decir, invierte el orden de la cadena y concatena solo los impares. Si nuestra cadena original fuera de un total de 12 caracteres, la cadena limpia estaría conformada de la siguiente manera [11,9,7,5,3,1].

Figura 17. Función gyyc

Con esta lógica se pudo decodificar la dirección que utilizará el malware para descargar el siguiente stage como se muestra en la Tabla 4 asi como tras variables desofuscadas.

Tabla 4.Valores de las variables del script.

Ahora, la función importante de esta infección: sendRequest, es la única que conserva su nombre a través de las variantes, y se apoya de diferentes funciones, las cuales le ayudan a cifrar y descifrar información necesaria para la ejecución del script. De la línea 4 a la 6 en la Figura 18, vemos un “for”, el cual se encarga de crear una cadena iterando sobre el arreglo recibido en el primer parámetro y haciendo el siguiente patrón por cada elemento [(i) ‘=’ (array[i]) ‘&’ ], de tal forma que esta cadena quedará de la siguiente manera “0=a&1=500&2=250&”.

Figura 18. Código de función sendRequest.

Después, en la línea 8, pasa esta cadena por la función pypdsygqoge7 (ver Figura 19) la cual, en resumen, hace un cifrado a través de un XOR de la cadena con una llave que viene en la función, en este caso con el valor 128, esto para finalmente enviarlo al servidor remoto cuya ULR es la variable tujnpuwidep descrita en la Tabla 4:

https://7e09c2b8[.]push[.]youbyashboutique[.]com/pixel[.]png

Figura 19. Funciones de cifrado del script

Después, el script manda la petición vía POST al servidor y en la línea 15 se guarda la respuesta en una variable, la cual es una cadena en hexadecimal, que en la línea 17 es pasada por la función imgado (ver Figura 20); esta descifra la cadena, usando el primer byte como llave, haciendo XOR con el resto del texto y convirtiéndolo a su carácter ASCII correspondiente.

Figura 20.Función que descifra la cadena hexadecimal recibida

Por último, el payload que se recibe es pasado a la función egdjuco (línea 22), la cual toma la cadena y la ejecuta por medio de la propiedad eval, como se muestra en la Figura 21, permitiéndonos obtener el stage 2 desofuscado, descrito en la siguiente sección.

Figura 21. Función eval
Stage 2: Reconocimiento del equipo infectado.

La primera etapa consta de un código de Javascript (ver Figura 22) el cual tiene la función de recolectar la información del equipo vía WMI (Windows Management Instrumentation) como el nombre y dominio del usuario, el fabricante, modelo y versión del equipo, entre otros datos que le permiten al grupo atacante verificar si el equipo realmente pertenece a una víctima y que no es un sandbox o una máquina de un analista de seguridad.

Figura 22. Código de reconocimiento.

Como era de esperarse, al conectarnos desde nuestra máquina virtual, no recibimos ningún payload, por lo que modificamos el código para enviar datos “reales” como el nombre de la máquina, del usuario, o el dominio al que pertenece y ¡voilà!, recibimos el siguiente payload correspondiente al stage 3.

Stage 3: Descarga y ejecución de powershell

Una vez que se envió la información de la máquina víctima, la respuesta recibida por parte de los atacantes es un nuevo código de Javascript (ver Figura 23)  el cual tiene como objetivo la descarga, almacenamiento y ejecución de un script de powershell.

Figura 23. Código de Javascript que descarga y ejecuta script powershell

El archivo descargado es guardado en los archivos temporales de la máquina infectada, específicamente en la siguiente ruta C:\%USERNAME%\AppData\Local\Temp\f9da4ac2.ps1. El contenido de este script es extenso pues contiene una cadena bastante larga en Base64. Este código tiene un poco de ofuscación por lo que nos centraremos en la función ELLINNKHZI. La cadena que está en Base64 es decodificada y después se usan los dos parámetro recibidos para construir una contraseña, la cual será usada como llave para el algoritmo TDES en su modo CBC; Esta descifra la cadena en memoria para su posterior ejecución como se muestra en la Figura 24. A continuación los parámetros de cifrado:

Llave: 106 38 173 207 239 40 14 84 81 63 247 32 83 120 119 64
IV: 71 71 69 71 75 78 84 75 80 86 85 77 90 65 75 73
Figure 24. Result execution of the ELLINNKHZI function

El resultado de dicha ejecución nos otorga el ultimo stage, el cual es un instalador de una herramienta de monitoreo remoto como se muestra a continuación.

Stage 4: Instalación de NetSupport Manager para control remoto

Este stage es otro script de powershell que ejecuta la función Install, creando una carpeta en el directorio %AppData% con un nombre aleatorio, decodifica una cadena extensa de Base64, que resulta ser toda la suite legítima del software NetSupport Manager que permite la administración remota – https://www.netsupportmanager.com/ (ver Figura 25) comprimida en formato PKZIP. Este se expande en la misma carpeta y se renombra al cliente de este software client32.exe a ctfmon.exe tratando de hacerse pasar por un proceso interno de Windows.

Figura 25. Función que instala y ejecuta la Suite de Administración

Las últimas líneas permiten logar persistencia del malware para seguir ejecutándose después de reiniciar el equipo, agregando el ctfmon.exe a:

HKCU:\Software\Microsoft\Windows\CurrentVersion\Run.

Control remoto de la víctima

En la Figura 26, se muestran todos los archivos extraídos del ZIP, los cuales pertenecen a la suite NetSupport Manager. Lo interesante está en la configuración del cliente.

Figura 26. Contenido del archivo zip

Si vemos la firma digital en la Figura 27, los archivos están firmados por autoridades certificadoras como Symantec y Verisign, comprobando así que es un software legítimo.

Figura 27. Firma digital de los archivos

Pero, ¿qué tiene de peligroso este software que es legítimo? Este software está hecho para la monitorización y control de dispositivos de manera remota, utilizando un cliente y un controlador. En nuestro caso, el software instalado  en la maquina infectada es el cliente.

Gracias a la documentación oficial del software NetSupport Manager podemos encontrar que el archivo client32.ini contiene las configuraciones del cliente; además, se puede encontrar el archivo NSM.LIC que contiene la licencia del software. Estos dos archivos nos proporcionan datos importantes sobre el atacante.

Client32.ini

Este archivo almacena las configuraciones del cliente, incluyendo la información de a dónde se conectará, así como de las configuraciones de funciones, vista y protocolo. En este caso particular, hablaremos solo de las configuraciones que convierten este modo en un serio problema de seguridad. Hay propiedades como “HidenWhenIdle” y “silent”, que están diseñadas para ocultar al usuario el hecho de que está siendo vigilado, causando que la víctima no se dé cuenta de que el software se está ejecutando.

Figura 28. Archivo client32.ini

La configuración más importante es aquella a donde se conectará el cliente. En el análisis que nos concierne, el grupo atacante usa un Gateway que sirve como puente entre el controlador y el cliente, evitando exponer la IP de la máquina donde esta corriendo el controlador. En este caso, tiene establecido dos Gateways, el principal y el secundario:

dhyacie[.]cn:443

asancuasusa3qaa[.]xyz:443

Los peligros de tener este servicio corriendo en nuestras computadoras es que quién lo controla tiene acceso total al equipo. Puede ver, escuchar, reiniciar y transferir archivos e inclusive, ejecutar comandos sin que la víctima lo note.

Figura 29. Opciones del controlador sobre un cliente

Hemos preparado dos videos mostrando el uso legítimo de NetSupport Manager, donde se puede ver claramente cuando el software se está instalado, así como la capacidad para desconectarse, y el ícono en la parte inferior derecha del software ejecutándose:

Ver video aqui

El siguiente video muestra la configuración del atacante. La víctima no se da cuenta de ninguna de las acciones que este realiza, tales como: ser observada en la pantalla, el robo de archivos o la agregación de estos, el uso de una consola con la que puede correr procesos, así como la falta de un ícono o interfaz mostrada, entre otras cosas.

Ver video aquí

Identificadores de Compromiso

Nombre binario / MD5 / Ruta en Disco:

Nombre Binario MD5 Ruta en disco
Firefox.js 20101d5ccebaa05617400c56c36541de C:\%USERNAME%\Downloads\
ctfmon.exe 252dce576f9fbb9aaa7114dd7150f320 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
client32.ini ca9756fe7165091706d61553ce4632e4 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
HTCTL32.DLL 2d3b207c8a48148296156e5725426c7f C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
msvcr100.dll 0e37fbfa79d349d672456923ec5fbbe3 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
nskbfltr.inf 26e28c01001f7e65c402bdf09923d435 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
NSM.ini 88b1dab8f4fd1ae879685995c90bd902 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
NSM.lic 7067af414215ee4c50bfcd3ea43c84f0 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
pcicapi.dll dcde2248d19c778a41aa165866dd52d0 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
PCICHEK.DLL a0b9388c5f18e27266a31f8c5765b263 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
PCICL32.DLL 00587100d16012152c2e951a087f2cc9 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
remcmdstub.exe 2a77875b08d4d2bb7b654db33a88f16c C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
TCCTL32.DLL eab603d12705752e3d268d86dff74ed4 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
ANSI32.DLL(Dridex) fe946eb6810820fa7f60d832e6364a64
I1ojz1l.rar (Dridex) 68672d1ed6c979158b159fd9945934c6
Registry keys:

“HKEY_CURRENT_USER:\Software\Microsoft\Windows\CurrentVersion\Run”,“ctfmon_”,

«C:\Users\User\AppData\Roaming\q0EkBnhA\ctfmon.exe»

HKU\S-1-5-21-3596804904-1264920553-2013881797-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\1\ApplicationViewManagement\W32:0000000000010504

HKU\S-1-5-21-3596804904-1264920553-2013881797-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\1\ApplicationViewManagement\W32:00000000000400CE

Posibles sitios de descarga de dll de Dridex maliciosa:

https://cron[.]wrapspeedtaxi[.]com/svg/EwueNy98v[.]php

https://store[.]e-crossinternational[.]com/wp-content/plugins/auxin-elements/embeds/plugins/9WV8PNc1WKqYdiy[.]php

https://dramawuxia[.]xyz/wp-includes/sodium_compat/src/Core/Base64/390DRtAhn[.]php

https://funcionariapública[.]mx/wp-content/plugins/white-label-cms/includes/classes/FIHMaDaN[.]php

https://familyplancamper[.]com/t2/wp-admin/css/colors/blue/w53OueNv07O263x[.]php

https://40shore[.]com/libraries/joomla/document/feed/renderer/uKUHYpSssfpDoAE[.]php

https://avocatozone[.]com/wp-content/plugins/contact-form-7/includes/css/SArGiA6RiZiy[.]php

https://ford-cortina[.]co[.]uk/styles/TkQbjkDhb9F[.]php

https://godricwealthsecretsnow[.]com/img/K3RBbNsi[.]php

https://panoramiapark[.]com[.]co/wp-content/plugins/revslider/includes/EspressoDev/F2rR411y[.]php

https://gamerspace[.]in/apps/default/notactive/templates/notactive/NFhoJvZ3AFDIvIz[.]php

https://blog-frecuenciahumana[.]lastshadowconsulting[.]com/wp-content/themes/

twentytwentyone/template-parts/content/uiiq1waNjhqHL[.]php

https://99excel[.]in/wp-includes/js/tinymce/themes/inlite/qU7eQWLY0bZtA[.]php

https://wordpress[.]mantorose[.]com[.]sa/wp-content/plugins/woocommerce/lib/packages/CRejlB4dnhv[.]php

https://pusatkawatbronjong[.]com/wp-includes/sodium_compat/src/Core/Base64/YpJM0aTnwmEFi[.]php

https://blogs[.]unitedinstitute[.]org[.]in/sass/bootstrap/mixins/cumClGs9xsGMk[.]php

https://westminsterwine[.]com/purple/img/ktBob8ugL[.]php

https://victoryrightnow[.]net/__MACOSX/img/SEwGUYQyGNzvl[.]php

https://samistoreonline[.]hostersbit[.]com/wp-content/themes/twentynineteen/template-parts/content/v0vhP9vsF[.]php

http://megagynreformas[.]com[.]br/i1ojz1l[.]rar

http://vilaart[.]rs/z8xytt[.]rar

https://www[.]huellacero[.]cl/wkuhfw0[.]rar

https://vilaart[.]rs/z8xytt[.]rar

http://lp[.]quama[.]pe/qxaqigqwy[.]rar

https://versualstudio[.]com/d738jam[.]rar

http://www[.]beor360[.]com/olwimf8i0[.]rar

http://opentoronto[.]org/olu9usk68[.]rar

http://versualstudio[.]com/d738jam[.]rar

https://gmsebpl[.]com/tp2xvzwe[.]rar

http://www[.]huellacero[.]cl/wkuhfw0[.]rar

Sitio de descarga de Update Falso Firefox.js

https://funcionariapública[.]mx/

Urls de conexión remota de Firefox.js, 3 ejemplares diferentes

https://7e09c2b8.push.youbyashboutique.com/pixel.png

https://2c1de7a3.push.youbyashboutique.com/pixel.png

https://0c896f30.maps.walmyrivera.com/pixel.png

Gateways de conexión usados por NetSupport Manager

Dhyacie.cn:443

asancuasusa3qaa.xyz:443

Otras figuras que probablemente fueron comprometidas por Evil Corp en México (no confirmado)

Adicional al sitio web de la funcionaria pública y, posiblemente algunos bancos de México, algunas otras instituciones pudieron haber sido afectadas.

https://carolinalastra[.]mx/

http://abio[.]com[.]mx/

https://excursiones[.]xico[.]com[.]mx/

http://subastando[.]mx/

https://www[.]elave[.]mx/

http://www[.]xico[.]com[.]mx/

https://www[.]tubanda[.]com[.]mx/

http://m.yahoo.mx[.]wfcmai[.]xyz/

Recomendaciones de protección

Mejores prácticas para personas físicas

Mejores prácticas para entidades financieras

  • Mantente al día. Asegúrate de que los equipos de cómputo, dispositivos móviles y aplicaciones se encuentren actualizados con los últimos parches y correcciones disponibles.
  • Mantente seguro. Valida que los equipos de cómputo y dispositivos móviles se encuentren protegidos ante virus informáticos (malware), y que la configuración del Sistema Operativo y aplicaciones sea segura.
  • Mantente informado. Asegúrate de que tus servicios financieros te notifiquen de cargos y movimientos, y mantén un control de los gastos y cambios realizados en el servicio bancario.
  • Si es sospechoso, es peligroso. Mantente alerta ante la llegada de contenidos no solicitados, así como de aquellos eventos anormales en el contexto personal y/o de negocio. Ciberdelincuentes continuamente alternan el canal de comunicación y/o medio para su estafar a sus víctimas haciéndolas que  entreguen información sensible.
    • Llamadas telefónicas
    • Mensajes de texto (SMS)
    • Correos electrónico
    • Navegación por internet
  • Verifica antes de actuar. En caso de sospecha de compromiso de cuenta, mantén la calma y valida movimientos directamente con la fuente del servicio financiero que tengas a tu disposición.
    • Último cargo reconocido
    • Último acceso exitoso
  • Protección adicional. La mayoría de las entidades financieras tiene a disposición mediante descarga herramientas de protección adicional, se recomienda el uso de estas, tomando en cuenta que no sustituyen un antivirus tradicional.
  • No almacenes información. Hoy en día es muy común ver en los equipos archivos de Excel, Word, Bloc de Notas con nombres muy evidentes como: “Contraseñas banca”, “Banca electrónica accesos”, etc. Esto facilita a atacantes la búsqueda de información sensible, sino te es posible memorizar estos datos, no los tengas a la vista y usa otros nombres para guardar dicha información.
  • Control de tu PC. Ningún programa bancario te quita el control total de tu computadora, si notas que ya no tienes el control de tu equipo como: abrir y cerrar ventas y archivos, apagarla o reiniciarla, cambiar de programa o alternar entre tareas es muy probable que alguien más este controlando tu computadora, no introduzcas información sensible.
  • Usa un solo equipo. Siempre usa un solo equipo para acceder a tus servicios bancarios, no accedas desde equipos que no conozcas o que son usados por varias personas, ya que estas pudieron haber descargado o instalado malware sin darse cuente, recuerda la computadora es personal.
  • Redes públicas. Si vas a entrar a tu portal bancario hazlo desde una red confiable, no utilices para este fin redes inalámbricas públicas y sin contraseña ya que esto puede comprometer tu información.
  • Comunicación continua y oportuna. Mantener una concientización agnóstica y continua en torno a las amenazas a la seguridad de la información, la higiene digital y los mecanismos para validación de cargos y movimientos.
  • Riesgo en contexto de la prevención de fraude. Considerar el monitoreo y seguimiento a eventos de riesgo representativos de las reglas de negocio, la identidad y la confianza del usuario en cada canal de banca.
  • Visibilidad 360° del riesgo. Perfilar el riesgo en las actividades de usuario considerando las actividades que este realiza en la totalidad de canales con los que interactúa.
  • Cambios y evolución del fraude. Evaluar la necesidad de aprender a partir de las actividades del usuario y el contexto del canal, producto y/o servicio, vs. aprendizaje basado en tiempo. Considerar capacidades en los motores que faciliten el reconocimiento de fraude, empleando aprendizaje supervisado y no supervisado.
  • Protección base de canales de banca digital. Estandarizar la detección y responder ante intrusiones dirigidas a las aplicaciones, la infraestructura, y/o la red de los canales de banca.
  • Asegurar las transacciones punto a punto. Identificar y monitorizar las transacciones de manera integral, cubriendo desde la solicitud del cliente, la ejecución y estado de aquellos procesos internos para responder a la necesidad del cliente, hasta el resultado final de la transacción resultante. Esto facilitará en gran medida la identificación y respuesta ante ataques que se producen al interior de la infraestructura de los canales de banca y/o por medio de abuso a los procesos internos.
  • Estrategia integral de Ciberseguridad y Prevención de Fraudes. Aprovecha las variables de negocio, ciberseguridad y prevención de fraudes para planear y mejorar los casos de protección para los canales de banca.