Un nuevo análisis de las muestras de malware identificadas en las pasadas olimpiadas de PyeongChang revela un intento deliberado de los atacantes de poner pistas falsas en cuanto a atribución se refiere, según investigadores. Días después del ataque a las redes de los Juegos Olímpicos de invierno, expertos de seguridad lo atribuyeron a rusos, iraníes, chinos y a grupos como Lazarus, un grupo relacionado con Corea del Norte. Sin embargo, expertos en seguridad ahora creen que un nuevo threat actor estaría sembrando cierta confusión entre aquellos que intentan asignar la atribución al ataque. "Quizás ningún otro malware ha tenido tantas hipótesis en cuanto a la atribución como el de las Olimpiadas", dijo Vitaly Kamluk, investigador de Kaspersky Lab y coautor de un informe publicado sobre los ataques. "Dada la reciente politización del ciberespacio, una atribución errónea podría tener graves consecuencias y los actores podrían empezar a tratar de manipular la opinión de la comunidad para influir en la agenda geopolítica". En los días posteriores al ataque surgió un flujo constante de teorías que más tarde fueron desacreditadas y consideradas inconclusas. "La respuesta de la industria fue un desastre", dijo Kamluk. "Había demasiados dedos señalando sin certeza". Más allá de la falsa bandera de Lazurus, los investigadores dijeron que el grupo de habla rusa Sofacy (también conocido como Fancy Bear y APT28) también estuvo implicado en el ataque. Otros trozos de código malicioso vincularon a los grupos afiliados a China como APT3 (Gothic Panda), APT10 (MenuPass Group) y APT12 (IXESHE).
En realidad, este es solo un ejemplo más. Según Kamluk, el tiempo es una herramienta poderosa para determinar la atribución de un incidente. Verdad. Sin embargo, en la mayoría de las ocasiones no podremos esperar un tiempo indefinido para tomar decisiones.
Más información en ThreatPost
Noticias destacadas
Empresas de criptomonedas en el foco de la Comisión de Valores y Bolsa
La Comisión de Valores y Bolsa envió citaciones en las últimas semanas a docenas de compañías de tecnología e individuos que están involucrados con criptodivisas, según The Wall Street Journal. Los objetivos de las citaciones incluyen empresas que han lanzado ofertas iniciales de monedas (ICOs), así como sus abogados y asesores. Se dice que las citaciones incluyen solicitudes de información sobre cómo se estructuran las ventas y preventas de ICO, dijeron las fuentes anónimas a WSJ. Asimismo, la SEC también está solicitando las identidades de los inversionistas que compraron tokens digitales.
Más información en The Wall Street Journal
Herramientas de la NSA que identifican PCs previamente infectados para retirarse de ellos
Las herramientas filtradas el pasado año y que se creen que pertenecían a la Agencia de Seguridad Nacional de Estados Unidos (NSA) contenían una utilidad para detectar la presencia de malware desarrollado por otros grupos de ciberespionaje. Esta utilidad, denominada "Territorial Dispute" (conflicto territorial), tiene por objeto alertar a los operadores de la NSA sobre la presencia de otros grupos de espionaje en un equipo comprometido y retirarse de una máquina infectada para evitar una mayor exposición de las herramientas y operaciones de la NSA por otros actores estatales.
Más información en Bleeping Computer
Noticias del resto de la semana
Facebook actualiza automáticamente los enlaces a HTTPS para aumentar la seguridad
Facebook anunció el pasado 5 de marzo que está activando una nueva función que dirigirá automáticamente a los usuarios a HTTPS sobre un determinado enlace, si éste se encontrara disponible. La característica conocida como HTTP Strict Transport Security (HSTS) preloading está siendo implementada en facebook.com e Instagram. Con la precarga de HSTS, un link que un usuario haya publicado como un enlace HTTP se redirigirá automáticamente a un enlace HTTPS para una determinada web.Más información
Microsoft lucha contra el brote masivo de malware de Cryptocoin
Microsoft ha bloqueado un brote de malware que se está extendiendo rápidamente y que podría haber infectado a casi 500.000 equipos Windows en cuestión de horas el pasado 6 de marzo. El troyano, conocido como Dofoil o Smoke Loader, fue diseñado para distribuir payloads. Sin embargo, en este caso, ponían a minar criptodivisas en los PCs infectados, con el fin de ganar aquellos que están detrás del troyano monedas Electroneum a partir las CPU de las víctimas.Más información en ZDnet
El grupo TEMP.Periscope pone foco en las industrias de ingeniería y marítimas de Estados Unidos
La mayoría de los ataques realizados por el grupo grupo TEMP.Periscope se han focalizado contra institutos de investigación, organizaciones académicas y empresas privadas en los Estados Unidos. Los investigadores de FireEye han confirmado que las tácticas, técnicas y procedimientos (TTP) y los objetivos de grupo TEMP.Periscope se superponen con los grupos TEMP.Jumper y NanHaiShu APT.Más información en Fireeye
No hay comentarios:
Publicar un comentario