Según todos los informes, y lamentablemente hay muchos de ellos, un hacker, en el romper-e-ingresar-a-su-red-ilegalmente sentido, no en un resolver-problemas-de-codificación-super-difíciles-de-una-manera-funky sentido: se ha infiltrado en la empresa de viajes compartidos Uber.
De acuerdo a una reporte de la BBC, se dice que el hacker tiene solo 18 años y parece haber llevado a cabo el ataque por el mismo tipo de razón que impulsó al escalador británico George Mallory seguir intentando (y finalmente morir en el intento) alcanzar la cima del Monte Everest en la década de 1920...
..."Porque está ahí."
Uber, comprensiblemente, no ha dicho mucho más hasta ahora [2022-09-16T15:45Z] que anunciar en Twitter:
Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con la policía y publicaremos actualizaciones adicionales aquí a medida que estén disponibles.
- Uber Comms (@Uber_Comms) 16 de septiembre de 2022
¿Cuánto sabemos hasta ahora?
Si la escala de la intrusión es tan amplia como sugirió el presunto pirata informático, según las capturas de pantalla que hemos visto en Twitter, no nos sorprende que Uber no haya ofrecido ninguna información específica todavía, especialmente dado que la policía está involucrados en la investigación.
Cuando se trata de análisis forense de incidentes cibernéticos, el diablo realmente está en los detalles.
Sin embargo, los datos disponibles públicamente, supuestamente publicados por el propio pirata informático y distribuidos ampliamente, parecen sugerir que este ataque tuvo dos causas subyacentes, que describiremos con una analogía medieval.
El intruso:
- Engañó a un informante para que los dejara entrar al patio, o bailey. Esa es el área dentro del muro exterior del castillo, pero separada de la parte mejor defendida.
- Se encontraron detalles desatendidos que explican cómo acceder a la fortaleza, o Motte. Como su nombre lo indica, el guardar es el bastión defensivo central de un castillo europeo medieval tradicional.
El rompimiento inicial
El término de la jerga para abrirse camino en el equivalente del siglo XXI del patio del castillo es ingeniería social.
Como todos sabemos, hay muchas maneras que los atacantes con tiempo, paciencia y el don de la palabra pueden persuadir incluso a un usuario bien informado y con buenas intenciones para que les ayude a eludir los procesos de seguridad que se supone que los mantendrán fuera.
Los trucos de ingeniería social automatizados o semiautomatizados incluyen correo electrónico y estafas de phishing basadas en mensajería instantánea.
Estas estafas atraen a los usuarios para que ingresen sus datos de inicio de sesión, que a menudo incluyen sus códigos 2FA, en sitios web falsificados que parecen reales pero que en realidad entregan los códigos de acceso necesarios a los atacantes.
Para un usuario que ya ha iniciado sesión y, por lo tanto, está temporalmente autenticado para su sesión actual, los atacantes pueden intentar acceder a los llamados cookies o tokens de acceso en la computadora del usuario.
Al implantar malware que secuestra sesiones existentes, por ejemplo, los atacantes pueden hacerse pasar por un usuario legítimo durante el tiempo suficiente para tomar el control por completo, sin necesidad de ninguna de las credenciales habituales que el propio usuario necesita para iniciar sesión desde cero:
Y si todo lo demás falla, o tal vez incluso en lugar de probar los métodos mecánicos descritos anteriormente, los atacantes pueden simplemente llamar a un usuario y encantarlo, engatusarlo, rogarle, sobornarlo, engatusarlo o amenazarlo, dependiendo de cómo. la conversación se desarrolla.
Los ingenieros sociales hábiles a menudo son capaces de convencer a los usuarios bien intencionados no solo de abrir la puerta en primer lugar, sino también de mantenerla abierta para que sea aún más fácil para los atacantes entrar, y tal vez incluso para llevar las bolsas y el equipaje del atacante. muéstreles adónde ir después.
Así fue como se llevó a cabo el infame hackeo de Twitter de 2020, donde 45 cuentas de Twitter de bandera azul, incluidas las de Bill Gates, Elon Musk y Apple, fueron tomadas y utilizadas para promover una estafa de criptomonedas.
Ese hackeo no fue tanto técnico como cultural, llevado a cabo por personal de soporte que se esforzó tanto por hacer lo correcto que terminaron haciendo exactamente lo contrario:
Compromiso total
El término de la jerga para el equivalente de entrar en la torre del castillo desde el patio es elevación de privilegios.
Por lo general, los atacantes buscarán y utilizarán deliberadamente vulnerabilidades de seguridad conocidas internamente, aunque no puedan encontrar una manera de explotarlas desde el exterior porque los defensores se han tomado la molestia de protegerse contra ellas en el perímetro de la red.
Por ejemplo, en una encuesta que publicamos recientemente de intrusiones que el Respuesta rápida de Sophos El equipo que investigó en 2021 descubrió que solo en el 15 % de las intrusiones iniciales, en las que los atacantes saltaban el muro externo y entraban en el patio de armas, los delincuentes pudieron entrar usando RDP.
(RDP es la abreviatura de protocolo de escritorio remoto, y es un componente de Windows ampliamente utilizado que está diseñado para permitir que el usuario X trabaje de forma remota en la computadora Y, donde Y suele ser un servidor que no tiene una pantalla ni un teclado propios y, de hecho, puede estar tres pisos bajo tierra en una sala de servidores. , o en todo el mundo en un centro de datos en la nube).
Pero en el 80% de los ataques, los delincuentes utilizaron RDP una vez dentro para deambular casi a su antojo por la red:
Igual de preocupante, cuando el ransomware no estuvo involucrado (¡porque un ataque de ransomware hace que sea inmediatamente obvio que ha sido violado!), el tiempo promedio promedio que los delincuentes estuvieron itinerancia por la red desapercibida fue de 34 días – más de un mes calendario:
El incidente de Uber
Todavía no estamos seguros de cómo se llevó a cabo la ingeniería social inicial (abreviada como SE en la jerga de hackers), pero el investigador de amenazas Bill Demirkapi ha tuiteó una captura de pantalla eso parece revelar (con detalles precisos redactados) cómo se logró la elevación del privilegio.
Aparentemente, a pesar de que el hacker comenzó como un usuario regular y, por lo tanto, solo tenía acceso a algunas partes de la red...
…un poco de deambular y husmear en recursos compartidos desprotegidos en la red reveló un directorio de red abierto que incluía un montón de scripts de PowerShell…
…que incluía credenciales de seguridad codificadas para el acceso de administrador a un producto conocido en la jerga como PAM, abreviatura de Administrador de acceso privilegiado.
Como sugiere el nombre, un PAM es un sistema que se utiliza para administrar las credenciales y controlar el acceso a todos (o al menos a muchos) los demás productos y servicios utilizados por una organización.
Dicho con ironía, el atacante, que probablemente comenzó con una cuenta de usuario humilde y quizás muy limitada, tropezó con una contraseña ueber-ueber que desbloqueó muchas de las contraseñas ueber de las operaciones globales de TI de Uber.
No estamos seguros de cuán ampliamente pudo desplazarse el pirata informático una vez que abrió la base de datos PAM, pero las publicaciones en Twitter de numerosas fuentes sugieren que el atacante pudo penetrar gran parte de la infraestructura de TI de Uber.
El hacker supuestamente descargó datos para mostrar que habían accedido al menos a los siguientes sistemas comerciales: espacios de trabajo de Slack; El software de protección contra amenazas de Uber (lo que a menudo todavía se conoce casualmente como un antivirus); una consola de AWS; información sobre viajes y gastos de la empresa (incluidos los nombres de los empleados); una consola de servidor virtual de vSphere; una lista de Google Workspaces; e incluso el propio servicio de recompensas por errores de Uber.
(Aparentemente, e irónicamente, el servicio de recompensas por errores fue donde el hacker se jactó en voz alta en mayúsculas, como se muestra en el titular, que UBER HA SIDO HACKEADO.)
¿Qué hacer?
Es fácil señalar con el dedo a Uber en este caso e insinuar que esta violación debe considerarse mucho peor que la mayoría, simplemente por la naturaleza ruidosa y muy pública de todo.
Pero la desafortunada verdad es que muchos, si no la mayoría, de los ataques cibernéticos contemporáneos resultaron en que los atacantes obtuvieron exactamente este grado de acceso...
…o al menos tener potencialmente este nivel de acceso, incluso si finalmente no hurgaron en todos los lugares que podrían tener.
Después de todo, muchos ataques de ransomware en estos días no representan el comienzo sino el final de una intrusión que probablemente duró días o semanas, y puede haber durado meses, tiempo durante el cual los atacantes probablemente lograron promocionarse para tener igualdad de estatus con el administrador de sistemas más antiguo en la empresa que habían violado.
Es por eso que los ataques de ransomware a menudo son tan devastadores: porque, cuando llega el ataque, hay pocas computadoras portátiles, servidores o servicios a los que los delincuentes no hayan accedido, por lo que casi literalmente pueden codificar todo.
En otras palabras, lo que parece haberle sucedido a Uber en este caso no es una historia nueva o única de violación de datos.
Así que aquí hay algunos consejos que invitan a la reflexión que puede utilizar como punto de partida para mejorar la seguridad general en su propia red:
- Los administradores de contraseñas y 2FA no son una panacea. El uso de contraseñas bien elegidas evita que los ladrones adivinen cómo ingresar, y la seguridad 2FA basada en códigos de un solo uso o tokens de acceso de hardware (por lo general, pequeños dongles USB o NFC que el usuario debe llevar consigo) dificulta las cosas, a menudo mucho más, para atacantes Pero contra los llamados de hoy ataques dirigidos por humanos, donde los "adversarios activos" se involucran personal y directamente en la intrusión, debe ayudar a sus usuarios a cambiar su comportamiento general en línea, de modo que sea menos probable que los convenzan de eludir los procedimientos, independientemente de cuán completos y complejos puedan ser esos procedimientos.
- La seguridad pertenece a todas partes de la red, no solo al borde. En estos días, muchos usuarios necesitan acceder al menos a una parte de su red: empleados, contratistas, personal temporal, guardias de seguridad, proveedores, socios, limpiadores, clientes y más. Si vale la pena reforzar una configuración de seguridad en lo que se siente como el perímetro de su red, es casi seguro que también necesita reforzarse "en el interior". Esto se aplica especialmente a los parches. Como nos gusta decir en Naked Security, “Parche temprano, parche a menudo, parche en todas partes”.
- Mida y pruebe su ciberseguridad periódicamente. Nunca asuma que las precauciones que pensó que tomó realmente están funcionando. No asumas; verificar siempre. Además, recuerde que debido a que aparecen nuevas herramientas, técnicas y procedimientos de ciberataque todo el tiempo, sus precauciones deben revisarse periódicamente. En palabras simples, “La ciberseguridad es un viaje, no un destino”.
- Considere obtener ayuda de un experto. Registrarse en un Detección y respuesta gestionadas (MDR) no es una admisión de falla o una señal de que usted mismo no comprende la seguridad cibernética. MDR no es una abrogación de su responsabilidad, es simplemente una forma de tener expertos dedicados a mano cuando realmente los necesite. MDR también significa que, en caso de un ataque, su propio personal no tiene que abandonar todo lo que está haciendo actualmente (incluidas las tareas regulares que son vitales para la continuidad de su negocio) y, por lo tanto, potencialmente dejar abiertos otros agujeros de seguridad.
- Adopte un enfoque de confianza cero. La confianza cero no significa literalmente que nunca confíes en nadie para hacer nada. Es una metáfora de "no hacer suposiciones" y "nunca autorices a nadie a hacer más de lo estrictamente necesario". Acceso a la red de confianza cero (ZTNA) no funcionan como las herramientas de seguridad de red tradicionales, como las VPN. Una VPN generalmente proporciona una forma segura para que alguien externo obtenga acceso general a la red, después de lo cual a menudo disfruta de mucha más libertad de la que realmente necesita, lo que le permite deambular, husmear y hurgar en busca de las llaves del resto del castillo. El acceso de confianza cero tiene un enfoque mucho más granular, de modo que si todo lo que realmente necesita hacer es navegar por la lista de precios interna más reciente, ese es el acceso que obtendrá. Tampoco tendrá derecho a deambular por los foros de soporte, rastrear los registros de ventas o meter la nariz en la base de datos del código fuente.
- Configure una línea directa de seguridad cibernética para el personal si aún no tiene una. Haga que sea fácil para cualquier persona informar sobre problemas de ciberseguridad. Ya sea una llamada telefónica sospechosa, un archivo adjunto de correo electrónico poco probable o incluso un archivo que probablemente no debería estar en la red, tenga un único punto de contacto (por ejemplo,
securityreport@yourbiz.example) que hace que sea rápido y fácil para sus colegas llamarlo. - Nunca te rindas con las personas. La tecnología por sí sola no puede resolver todos sus problemas de ciberseguridad. Si tratas a tu personal con respeto, y si adoptas la actitud de ciberseguridad que “No existe una pregunta tonta, solo una respuesta estúpida”, entonces puede convertir a todos en la organización en ojos y oídos para su equipo de seguridad.
¿Por qué no unirse a nosotros del 26 al 29 de septiembre de 2022 para el evento de este año? Semana SOS de seguridad de Sophos:
Cuatro breves pero fascinantes charlas con expertos mundiales.
Aprende sobre protección, detección y respuesta,
y cómo configurar su propio equipo SecOps exitoso:
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Violacíon de datos
- De pérdida de datos
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- la piratería
- Kaspersky
- el malware
- Mcafee
- Seguridad desnuda
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- política de privacidad
- Uber
- VPN
- seguridad del sitio web
- zephyrnet
![T3 Ep119: ¡Infracciones, parches, filtraciones y ajustes! [Audio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg "T3 Ep119: ¡Infracciones, parches, filtraciones y ajustes! [Audio + Texto]")
![T3 Ep99: TikTok "ataque": ¿hubo una violación de datos o no? [Audio + Texto] PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/moth-1200-300x156.jpg "T3 Ep99: TikTok \"ataque\": ¿hubo una violación de datos o no? [Audio + Texto]")
![T3 Ep117: La criptocrisis que no fue (y adiós para siempre a Win 7) [Audio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "T3 Ep117: La criptocrisis que no fue (y adiós para siempre a Win 7) [Audio + Texto]")
