Ataque a Sony aun bajo investigación

Ataque a Sony aun bajo investigaciónAtaque a Sony aun bajo investigación

El ciberataque a Sony, uno de los más graves y más populares, supuso en cierta medida un antes y un después en el mundo de la ciberseguridad. No sólo porque usaron un destructivo malware contra una entidad comercial como esa, sino porque llegó a tal magnitud que incluso se llegó a atribuir el ataque a otra nación. Novetta, junto con una coalición de un grupo de empresas privadas, han trabajado conjuntamente para identificar y comprender el ciberataque y al grupo cibercriminal que estuvo detrás: Lazarus Group. Tras el ciberataque a Sony, la operación Blockbuster comenzó en diciembre de 2014, de forma independiente a las investigaciones que se estaban llevando a cabo por las autoridades.

Como explican los responsables de la operación, su intención no sólo era identificar las herramientas e infraestructuras usadas por Lazarus Group, sino también clarificar los detalles que rodean al incidente de noviembre de 2014 y detectar su modus operandi. Este grupo de cibercriminales, ha continuado desarrollando herramientas y buscando nuevos objetivos desde entonces.

Una de las empresas que ha participado en esta operación es Kaspersky Lab, que afirma que su grupo de analistas comenzó a investigar muestras del malware usado en el ataque: Destover.

El modus operandi de Lazarus Group

Basándose en las características comunes de varias familias de malware, en la Operación Blockbuster han sido capaces de agrupar decenas de ataques aislados, y de esta forma determinar que todos corresponden al mismo grupo de cibercriminales.

Los investigadores han descubierto que la organización reutilizó código, cogiendo fragmentos de unos programas maliciosos para usarlos en otros. Los analistas también detectaron similitudes en la forma de actuar de Lazarus Group. Descubrieron que los droppers (archivos usados para instalar código malicioso extra), mantenían sus componentes en un archivo ZIP protegido con contraseñas que se habían usado con anterioridad. La protección con contraseña la usaban para evitar que los sistemas de seguridad analizaran el contenido de forma automática. Pero este aspecto hizo que los analistas los identificaran.

Al parecer, el método utilizado por el grupo de cibercriminales para intentar borrar sus rastros después de infectar los sistemas, y sus técnicas para evitar la detección de los antivirus, ha sido precisamente lo que ha dado más pistas a los analistas.

Según la información analizada, este grupo ya atacó con técnicas similares en 2009, cinco años antes del ataque a Sony. Además, consiguieron averiguar incluso la hora “estándar” a la que solían lanzar los ataques: en horario de oficina.

Según explica la firma de seguridad Kaspersky Lab, la ciberarma usada por este grupo es muy potente, ya que “permite borrar miles de ordenadores con sólo un botón”. Tras analizar las herramientas usadas, se han dado cuenta de que este grupo tiene las “habilidades y la determinación necesaria para llevar a cabo operaciones de ciberespionaje con el fin de robar datos

Toda la información y los descubrimientos realizados en la operación se encuentran disponibles en la web www.operationblockbuster.com

Fuente

Sobre el Autor

ElTecnólogoEM

Técnico en Informática, apasionado y amante de todo lo relacionado con Internet, juegos, consolas, software y las nuevas tecnologías.

Deja un comentario

Centro de preferencias de privacidad

Necessary

Las webs propiedad de BlogTi Media utilizan "cookies". Las cookies son ficheros creados en el navegador por medio de un servidor web para registrar las actividades del Usuario en una web determinada. Usamos esta información en formatos estadísticos y agregados para evaluar la eficacia y calidad de nuestras webs. Gracias a estos datos podemos mejorar tu experiencia al visitar alguna de nuestras web, tomando en cuenta prioridades e intereses de los visitantes. No recogeremos información personal sin tu consentimiento como por ejemplo nombre, apellido, correo electrónico, dirección postal o alguna otra de carácter privado.

Además se instalan cookies sobre servicios de terceros: • Facebook: Tiene como objetivo compartir los contenidos en Facebook. Sus finalidades están descritas en la Página de Cookies de Facebook. • Twitter: Permite compartir contenidos en Twitter. Sus finalidades están descritas en la Página de Privacidad de Twitter. • Google+: Permite compartir contenidos en Google+. Sus finalidades están descritas en la Página de Cookies de Google.

Advertising

Las políticas de Google Adsense y Bing Ads ayudan a los anunciantes a saber cómo crear un buen anuncio y lo que se puede incluir y no se puede incluir en ellos. Revisamos los anuncios y las palabras clave en función de estos requisitos para proporcionarte a ti y a tus clientes una fantástica experiencia en nuestra red publicitaria. Debes cumplir todas las políticas de Bing Ads. Usa las siguientes políticas para ayudar a que tus anuncios reciban la aprobación rápidamente y para evitar las consecuencias resultantes o retrasos. Nos reservamos el derecho de rechazar o eliminar cualquier anuncio, a nuestra entera discreción y en todo momento.