The Standoff 2020: la madre de todas las batallas hackers

The Standoff concluye: solo el puerto y el ferrocarril salieron ilesos de los ataques de los hackers que participaron en el evento.

Luego de 6 días en The Standoff, con más de 70 charlas y mesas redondas atrajeron a más de 20.000 visitantes

Al final del último día de la batalla en The Standoff, los atacantes habían traspasado con éxito el perímetro de las seis organizaciones y habían ganado persistencia en las redes corporativas.

Pero tuvieron más dificultades para desencadenar riesgos comerciales gracias al trabajo de equipos de defensores experimentados.

Los sistemas se desconectaron en el aeropuerto, el parque de atracciones, la estación de distribución de gas, la compañía petrolera y la planta de energía.

El centro de negocios y el banco también fueron afectados.

Si bien los piratas informáticos pudieron mostrar materiales de su elección en vallas publicitarias, el puerto y el ferrocarril permanecieron intactos.

Aquí daremos nuestro resumen de toda la acción en The Standoff.

Las charlas en línea incluyeron a expertos que hablaron sobre temas como obtener acceso físico a un edificio, fingir una voz en cinco segundos, recuperar archivos rescatados, interceptar datos de teléfonos inteligentes en 5G y mucho más.

Mientras tanto, en la competencia de ciber-rango, el equipo atacante ganador fue Codeby (27,123 puntos), seguido de back2oaz (24,463 puntos) y DeteAct (18,508 puntos).

En conjunto, los atacantes pudieron desencadenar el 47 por ciento de todos los riesgos que se habían diseñado.

De los 24 ciberriesgos desencadenados únicos, 2 fueron nuevos y no anticipados por los organizadores.

El jurado aceptó más de 50 informes de finalización de tareas de los equipos atacantes.

Los equipos de defensores pudieron detectar más de 200 incidentes de seguridad en sus respectivas infraestructuras.

Las detecciones de incidentes fueron más altas para los equipos IZ: SOC y CT&MM.

Los equipos realizaron 21 investigaciones.

La investigación promedio tomó 11 horas y 50 minutos de principio a fin.

Todas las empresas de la ciudad simulada tuvieron que lidiar con las secuelas de los ciberataques.

Éstos son algunos de los casos más graves:

    • En la planta petroquímica de Nuft, un accidente provocó una fuga de tóxicos. Los atacantes pudieron acceder a los controles de la planta y cerraron la entrada de refrigeración, lo que provocó un sobrecalentamiento e interrumpió el proceso de fabricación de productos químicos. Poco después, los atacantes pudieron detener el proceso por completo.
    • Un ciberataque inutilizó los equipos de extracción de petróleo, lo que provocó la interrupción de la producción.
    • Los atacantes también accedieron a los controles de almacenamiento de petróleo e interrumpieron el proceso de transporte de petróleo a los tanques de almacenamiento.
    • Posteriormente también pudieron inhabilitar el controlador responsable de la gestión del transporte petroquímico.
    • En el parque de atracciones 25 Hours, la noria se cayó.
    • Un equipo obtuvo acceso a los controles y aumentó la velocidad de rotación al valor más alto, lo que provocó el colapso de la noria. Terminaron desactivando el controlador de la noria y apagando las luces para evitar que los visitantes se fueran.
    • Los ataques bancarios permitieron el robo de fondos de cuentas de particulares, así como el robo de datos sobre clientes bancarios (nombre, saldo de la cuenta, tarjeta PAN, etc.).
    • Se robaron documentos valiosos de dos empresas. Se robaron datos personales de empleados de cinco empresas.
    • Durante los minutos finales de la competencia, back2oaz accedió a los controles de clima de los edificios de oficinas y pudo cambiar la configuración de temperatura.
    • Algunos riesgos fueron posibles debido a sitios web corporativos mal protegidos. Estos incluyen interrupciones en las oficinas de venta de boletos en línea del parque de atracciones, así como en la venta de boletos de avión y los sistemas de facturación de pasajeros en el sitio web del aeropuerto.
    • Sin embargo, la mayoría de los riesgos requirieron acceder primero a la red local de la empresa. Aquí, también, vemos que los atacantes comenzaron buscando vulnerabili-dades en aplicaciones web para violar la infraestructura.
    • Los equipos de defensa informaron sobre intentos exitosos de explotar tales vulnerabilida-des.
    • La primera vulnerabilidad fue encontrada por n0x en un sistema Nuft solo 19 minutos después del inicio de la competencia.
    • El jurado recibió un total de 433 informes de recompensas por errores. Casi la mitad fueron inyección de SQL, mientras que una cuarta parte involucró la ejecución remota de código. 2/3 de todas las vulnerabilidades se encontraron en Nuft y Big Bro Group de la ciudad.

La mayor cantidad de riesgos (8) se desencadenó en 25 horas, la empresa simulada que era propietaria del centro de negocios de la ciudad, el sistema HVAC, los semáforos y el parque de diversiones.

La subcampeona, con siete riesgos únicos, fue la petrolera Nuft.

Solo el ferrocarril y el puerto salieron ilesos.

La vida y la extremidad están en riesgo en un tercio de los casos

Según Maxim Filippov, Director de Desarrollo Comercial Ruso de Positive Technologies, 1/3 de los riesgos en el rango cibernético podrían haber causado algún tipo de daño físico a las personas.

En la sesión de negocios de Kommersant durante The Standoff, señaló algunos de los aspectos novedosos agregados a la competencia de este año.

Filippov dijo: “Cada negocio modelado en el rango cibernético tiene ciertos riesgos asociados con él: interrupción de las operaciones, filtración de datos personales, pérdida de documentos confidenciales, etc.

Aquí no hay vectores de ataque listos para usar.

En cambio, crear un espacio para los equipos rojos con libertad de acción para piratear y sondear sistemas.

Observamos cómo piratean, analizan el tráfico y construyen sus cadenas de ataque.

El resultado es información valiosa que luego se destila en nuestros productos “.

Dmitry Serebryannikov, Director de Análisis de Seguridad de Positive Technologies, agregó: “No esperábamos que se activara la mitad de los riesgos. Eso es mucho, especialmente dado que teníamos poco tiempo. Este año, el nivel de atacantes realmente ha aumentado”.

Mikhail Pomzov, director de la base de conocimientos y experiencia de Positive Technologies, explicó con más detalle: “Este año, el trabajo de los defensores fue demostrar su capacidad para monitorear un incidente en cada etapa.

Su objetivo principal era vigilar el funcionamiento de los servicios y, lo antes posible, solucionar las interrupciones causadas por las acciones de los atacantes.

Los defensores fueron evaluados en función de la cantidad de ataques que detectaron, el tiempo promedio de investigación de incidentes y el tiempo de actividad de la infraestructura; después de todo, cuanto más tiempo estén inactivos , los peores defensores se las están arreglando y los atacantes están haciendo más daño “.

Hackear puertas, bancos y 5G

Muchos piratas informáticos sueñan con obtener acceso físico a hardware o instalaciones.

Robert Sell, presidente de Trace Labs, en su charla describió los ocho pasos dados por los atacantes para obtener acceso físico a una instalación de interés.

Mostró cómo los criminales (o pentesters) buscan a su objetivo, junto con los pretextos que tienen listos en caso de que los atrapen.

También habló sobre herramientas para allanamiento de morada, además de formas de almacenarlas en caché en el edificio de destino para su uso posterior.

Los bancos de hoy deberían estar menos preocupados por las puertas de sus bóvedas y más por la seguridad de su información.

Timur Yunusov, Jefe de Investigación en Cyber ​​R&D Lab, demostró cuántos bancos están mal protegidos contra el fraude, con ejemplos reales de ataques a bancos europeos que cuestan cientos de miles (o incluso millones) de euros.

Timur analizó los errores típicos que cometen los equipos de gestión de riesgos y seguridad en el sector financiero, junto con consejos del mundo real sobre cómo evitar problemas.

Las últimas y más complejas soluciones, como el aprendizaje automático, a menudo no son necesarias cuando se trata de detener muchas amenazas a los bancos.

The Standoff

En lugar, 5G ofrece una larga lista de beneficios, entre ellos transporte inteligente, gestión del tráfico y seguridad vial mejorada. La telemedicina es otro campo joven que promete beneficiarse de la nueva tecnología.

Pero hay una falta absoluta de conocimiento sobre los aspectos de seguridad de la información de los autos inteligentes y la cirugía electrónica, como señaló Dmitry Kurbatov, CTO de Positive Technologies.

Como dijo, “No me gustaría que mis hijos viajen en un autobús cuando su piloto automático sea pirateado”. Señaló que, dado que la arquitectura 5G depende en gran medida de las redes de la generación anterior, todas las vulnerabilidades de ayer en esas redes seguirán siendo peligrosas mañana.

Durante su charla, se debatió acerca de;

Dilemas de ransomware

Atacantes desconocidos utilizaron el ransomware STOP (Djvu) para cifrar archivos en una computadora que pertenecía a un amigo de Dmitry Sklyarov, Jefe de Análisis de Aplicaciones de Positive Technologies.

Los atacantes exigieron un rescate de Bitcoin equivalente a $ 980.

The Standoff 2020

Su amigo, después de decidir que “no hay negociaciones con terroristas”, pidió ayuda a Dmitry. En su charla, Dmitry contó cómo pudo recuperar los datos y encontrar claves en línea para ayudar a las víctimas de STOP (Djvu) utilizando diferentes métodos criptográficos.

The Standoff 2020

Oleg Skulkin, analista forense digital senior de Group-IB, continuó con el tema del ransomware.

Su charla cubrió las tácticas, técnicas y procedimientos utilizados por varios operadores de ransomware en 2020, como Conti, Ryuk, Prolock, DoppelPaymer, CI0p, Maze y TinyCryptor.

Señaló la creciente importancia del ransomware en el último año.

Se ha lanzado una enorme cantidad de nuevo ransomware y los objetivos incluyen empresas tan importantes como Canon y Garmin.

Como resultado, los rescates están alcanzando niveles sin precedentes.

Garmin, por ejemplo, tuvo que pagar u$s 10 millones.

Costin Raiu, director del equipo de análisis e investigación global (GReAT) de Kaspersky, se hizo eco de este punto de vista. “El ransomware en 2017 no pedía grandes cantidades (solo u$s 100 a u$s 300) y los objetivos eran individuos y sus computadoras personales.

Pero desde fines de 2017, esta tendencia ha cambiado y los ataques se han vuelto más sofisticados”.

Una tendencia que ve este año es la publicación por piratas informáticos de datos encriptados en un esfuerzo por chantajear a las víctimas:

“Por eso las empresas se ven obligadas a pagar millones de dólares para evitar riesgos de reputación”.

NO MORE RANSOM 

INITIATIVE

Costin también pidió a las víctimas de ransomware que se abstuvieran de negociar con los atacantes o pagar un rescate.

No hay garantías de que los datos se descifren incluso si la víctima paga. En cambio, alienta a comunicarse con nomoreransom.org, que es un proyecto global para que los investigadores descifren datos cifrados de forma gratuita con cualquier herramienta que esté disponible.

“Incluso si no hay herramientas ahora, pueden aparecer más tarde. Y, por supuesto, no olvide archivar sus datos y mantenerlos en un almacenamiento fuera de línea inaccesible”, aconsejó.

Sergey Golovanov, investigador principal de seguridad de Kaspersky, comentó:

“En 2020, cuando los delincuentes violan las computadoras para obtener ganancias financieras, no están tratando de succionar el dinero ellos mismos, como fue el caso en años anteriores. Ahora están encriptando los datos y exigiendo que la víctima pague bitcoins “.

Además del ransomware, otra tendencia que destacó fue la explotación de vulnerabilidades en el software de acceso remoto. Este año, los atacantes también han comenzado a concentrarse en las computadoras domésticas como una forma de acceder a la infraestructura corporativa.

Voces falsas, caras falsas

El aprendizaje automático está siendo manejado tanto por atacantes como por defensores en el ámbito digital.

Vyacheslav Gordeev, ingeniero de sistemas de Fortinet, revisó tecnologías que incluyen aprendizaje automático, redes neuronales y aprendizaje profundo.

Se utilizan para filtrar el correo no deseado, analizar el tráfico de forma pasiva, buscar malware o defender aplicaciones web.

Los atacantes también están aprovechando estas tecnologías para falsificar datos biométricos (voces y rostros), contraseñas de fuerza bruta y buscar vulnerabilidades.

La biometría falsa fue el centro de la charla de los investigadores de seguridad de BBVA Next Technologies Miguel Hernández Boza y José Ignacio Escribano Pablos.

Demostraron técnicas, algoritmos y herramientas (la mayoría de ellos de código abierto) para generar y detectar datos falsos, incluidos audio, texto, imágenes y video.

Ya existen herramientas disponibles públicamente para clonar una voz basada en solo cinco segundos de audio, insertar caras en un video o crear avatares únicos.

Todo esto se puede utilizar como arma contra individuos y organizaciones.

Crear identidades falsas es cada vez más fácil y combatirlas es cada vez más difícil.

Los dos investigadores mostraron las limitaciones de diferentes herramientas y técnicas para crear datos sintéticos, que pueden ser útiles para los profesionales de la seguridad que intentan realizar una detección.

Las amenazas relacionadas con el renderizado dinámico fueron el tema de Vasily Ermilov, investigador de seguridad de la startup estadounidense r2c.

La representación dinámica se usa generalmente para proporcionar a los rastreadores (como un bot de Google, Slack o Twitter) con páginas de sitios procesadas previamente para mejorar la clasificación de los motores de búsqueda.

Pero la representación dinámica configurada incorrectamente abre la puerta a ataques de falsificación de solicitudes del lado del servidor (SSRF).

Se requiere poco esfuerzo por parte de los atacantes y, lo que es peor, el renderizado dinámico siempre se usa para las páginas más importantes y populares del sitio.

Vasily describió su experiencia al buscar vulnerabilidades en Rendertron, lo que le permitió obtener el control de una aplicación de producción en vivo.

También habló sobre cómo usar herramientas de código abierto para acelerar la búsqueda de errores.

Nuevos enfoques de seguridad de Microsoft

Los atacantes están cambiando cada vez más su enfoque al nivel de firmware y tratando de comprometer el cable del firmware y tratar de comprometer el cable. Un ejemplo es la vulnerabilidad BootHole. En 2018, las vulnerabilidades en el firmware fueron explotadas por el grupo Estroncio. Artyom Sinitsyn, administrador del programa de seguridad de la información de Microsoft en Tsenaya NeuralB Microsoft, Vochay NeuralB, habló sobre los mecanismos de protección de hardware de Windows 10. La iniciativa PC con núcleo seguro (SecOps) apoya la creación de computadoras con Windows 10 que están protegidas de ataques externos a nivel de sistema operativo. Dichos sistemas brindan identificación biométrica sin riesgo de fuga de datos, almacenamiento seguro de información de tarjetas de crédito y otros datos críticos, arranque seguro, protección contra bootkits, etc. Además de Microsoft Surface, ya existen dispositivos en el mercado que admiten PC con núcleo seguro , fabricantes como Dell, Dynabook, HP, Lenovo.

Los atacantes se están hundiendo en el nivel del firmware e intentan comprometer el proceso de inicio del sistema.

Un ejemplo es la vulnerabilidad BootHole.

En 2018, el grupo Strontium aprovechó las vulnerabilidades del firmware.

La seguridad del hardware en Windows 10 fue el tema de una charla de Artem Sinitsyn, Jefe de Programas de Seguridad de la Información de Microsoft en Europa Central y Oriental.

La iniciativa Secured-core PC (SecOps) admite la creación de computadoras con Windows 10 que se defienden de los ataques a nivel de firmware. Estos sistemas deben poder realizar identificación biométrica para evitar la pérdida de datos, almacenar de forma segura información crítica, incluidos los datos de tarjetas de crédito, defenderse de los bootkits y más.

Además de Microsoft Surface, las PC de núcleo seguro actualmente en el mercado incluyen modelos de Dell, Dynabook, HP, Lenovo y Panasonic.

Artem también describió la gran cantidad de programas de recompensas de errores de Microsoft para aumentar la seguridad en sus negocios de Identity, Windows, Xbox, Azure, Dynamics y Microsoft Edge.

Entró en los detalles de las pautas para identificar y publicar vulnerabilidades potenciales, además de lo que los investigadores deben saber antes de realizar presentaciones de divulgación coordinada de vulnerabilidades (CVD).

Amenazas para los desarrolladores

Los productos populares de inspección de códigos y escáner de seguridad pueden ofrecer un punto de entrada a los grupos APT.

Denis Makrushin, Jefe de Investigación de Seguridad Avanzada de Huawei, destacó SonarQube, una plataforma de código abierto para analizar la calidad y seguridad del código de software.

Una simple consulta de “puerto: 9000 sonarqube” en Shodan muestra cientos de instalaciones accesibles a través de Internet, algunas de las cuales no requieren ninguna autenticación.

Esto brinda a los atacantes un acceso amplio a cualquier código que se esté desarrollando o auditando.

En algunos casos, el uso de Shodan no es necesario en absoluto.

Los desarrolladores e ingenieros de control de calidad cargan muchos scripts con información confidencial en repositorios públicos.

Estos scripts, con un poco de raspado de GitHub (como una consulta parecida a “nombre_producto + contraseña”), pueden generar credenciales, claves privadas o certificados (“nombre_dominio + privado”). Un ejemplo es una solución comercial de cuadrante de Gartner, Checkmarx, para la cual las instalaciones se pueden detectar con una consulta “CxWebclient”.

Con demasiada frecuencia, estas instalaciones están abiertas a todos los interesados.

El monitoreo y la corrección de tales fugas puede ser el trabajo de una solución de administración de secretos dedicada como Hashicorp Vault.

Los ingenieros de control de calidad también fueron mencionados en la charla de Serguei Gorokhov, arquitecto de seguridad de EPAM.

Hizo hincapié en la importancia de los procesos de desarrollo seguros, que dependen de una excelente comunicación entre AppSec y los equipos de pruebas de seguridad:

“Al evaluar riesgos, redactar requisitos, modelar amenazas o diseñar la arquitectura, los probadores deben sentarse en la misma mesa que los desarrolladores y proporcionarlos con ayuda. ”

El investigador de malware Stanislav Rakovsky abordó un problema que afecta a los desarrolladores de software. Los atacantes pueden modificar los archivos PyInstaller e insertar una carga útil.

Los archivos PyInstaller se utilizan cuando un desarrollador desea distribuir archivos Python de forma independiente del entorno del usuario y del intérprete.

Stanislav señaló que, además de la carga útil, el intérprete integrado se puede modificar para incluir herramientas anti-depuración y para buscar productos antivirus para que el malware pueda permanecer bajo en entornos hostiles.

Descubrir tales cambios en un intérprete sería extremadamente difícil.

Una Aguja en un pajar

¿Qué hace el enriquecimiento de datos para los incidentes de seguridad? Ayuda a establecer prioridades, dirigir las alertas de manera adecuada y responder de manera inteligente a los eventos de seguridad.

Pero el enriquecimiento es un caso muy real de “basura entra, basura sale”.

Aleksandr Kuznetsov, gerente de proyectos clave de Rostelecom-Solar, señaló que cuando los operadores del centro de operaciones de seguridad (SOC) reciben datos incorrectos o incompletos, estos datos terminan en el archivo del incidente y ralentizan la investigación.

Según Aleksandr, las mejores fuentes de datos incluyen Kaspersky Security Center y las soluciones IPAM, AD DS, TIP y EDR.

En su opinión, las soluciones de CMDB aún no están a la altura.

Trabajar desde casa complica los esfuerzos de enriquecimiento, ya que los empleados cambian con frecuencia de ubicación, equipo y direcciones IP dinámicas.

Esto ha provocado cambios importantes en las prioridades de enriquecimiento.

Si actualmente no hay nada para el enriquecimiento de incidentes, las empresas pueden comenzar con una simple hoja de cálculo de Excel, pero los sistemas IRP o SOAR servirían mejor a las infraestructuras maduras.

Alexey Novikov, director del PT Expert Security Center, durante la mesa redonda sobre los SOC, señaló: “Un buen SOC está haciendo su trabajo cuando sus empleados ven cómo pueden ser atacados y saben qué tácticas y técnicas están utilizando los piratas informáticos. tienes que educarte constantemente, estudiar material nuevo y pensar en cómo frustrar a los atacantes.

Este es un ejercicio mental constante combinado con el impulso de ser el mejor en la supervisión y la investigación de incidentes “.

En su charla, el investigador de malware Raman Ladutska habló sobre cómo su equipo ha analizado la actividad de Dridex, una de las redes de bots más grandes de la actualidad.

Determinar la próxima víctima de la botnet requiere analizar documentos maliciosos, buscar servidores y dominios de comando y control (C2), monitorear sus relaciones con otras botnets y detectar picos de actividad.

Único medio Latinoamericano dando cobertura al armagedón hacker

Raman dio cifras que confirman los beneficios de este enfoque y explicó cómo los especialistas en seguridad pueden aplicarlo en su propio trabajo.

Yury Maksimov, CEO de Positive Technologies, resumió: “The Standoff se ha convertido en un ciberespacio en el que docenas de equipos ofensivos y defensivos se aceleran y dicen que sí, ¡esto es real!

Esta ciberbatalla demostró ser un modelo increíblemente realista de la vida real.

Se están abriendo nuevas oportunidades.

Nuestros productos para detectar amenazas, bloquear ataques e investigar incidentes se expusieron por primera vez a este entorno increíblemente desafiante.

Todos nos marchamos con productos únicos experiencia que ayudará a que los productos de seguridad sean más inteligentes.

Y los productos más inteligentes darán a las personas tiempo para crear “.

Esta iteración de The Standoff ha terminado, pero se publicará un informe detallado de la competencia.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

Lea más

5 formas en las que va a cambiar la ciberseguridad en 2021

4 cosas acerca del cibercrimen que deben saber las Pyme

10 predicciones de Netskope que ayudarán a los CISOs

Infraestructura Crítica: Aceleran Adopción de Seguridad 2020

Ciberseguridad 2020: Salto cuántico detectar amenazas

 

 

 

 

 

 

 

 

The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, The Standoff, 

90 / 100