Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Los ejecutivos de Sony recibieron mails de extorsión, antes de la brecha de seguridad

Ejecutivos de Sony recibieron correos de extorsión días antes de que se difundieran cientos de datos de la compañía, como parte de una brecha masiva.

El incidente continuo de violación de datos de Sony Pictures Entertainment obligó a la compañía a cerrar la totalidad de su red informática el pasado 25 de noviembre, cuando le fue robado un tesoro de 11 TB de datos incluyendo copias digitales de cinco películas inéditas.

Ahora, nuevos detalles han revelado que los ejecutivos de Sony fueron sometidos a intentos de extorsión pocos días antes de que los datos de la empresa fueran difundidos en línea.

Los atacantes detrás de la masiva violación de datos de Sony liberaron los datos de dos cuentas de correo electrónico que al parecer son de Michael Lynton, el CEO de Sony Pictures Entertainment, y la co-Presidente, Amy Pascal. Liberados a través de BitTorrent y sitios para compartir archivos, los varios gigabytes de datos de correo electrónico incluyen intentos de extorsión aparentemente hechos por los hackers los tres días anteriores a que los datos de Sony se filtraran en internet.

Uno de los mensajes de correo electrónico dirigido a Lynton, Pascal y otros ejecutivos, dice así:

Tenemos un gran daño por Sony Pictures.

En compensación por ello, queremos una compensación monetaria.

Paguen el daño, o Sony Pictures será bombardeada en su conjunto.

Ustedes nos conocen muy bien. Nunca esperamos mucho tiempo.

Es mejor que actúen sabiamente.

De God'sApstls

Una entrada en el blog de Symantec Corp. también descubrió un lenguaje similar en un mensaje que aparece en los sistemas comprometidos como parte del ataque, incluyendo una fecha límite del 24 de noviembre para satisfacer la petición de los atacantes, así como la misma referencia a God'sApstls. Un grupo que se refiere a sí mismo como "Guardianes de la Paz" ya había aceptado la responsabilidad del ataque.

Más detalles sobre la violación de los datos de Sony también fueron reportados por Bloomberg News el fin de semana, incluyendo los resultados obtenidos en la investigación de que los datos de Sony se filtraron a través de una red hackeada en el St. Regis Bangkok, un hotel de cinco estrellas en la capital de Tailandia.

La especulación en el sector de la seguridad ha vinculado en gran medida el ataque de Sony a un grupo de hackers respaldados por el gobierno de Corea del Norte, el cual había expresado anteriormente su preocupación sobre una de las películas de Sony filtradas en el hack, llamada La Entrevista (The interview). Se dice que la película retrata negativamente a Kim Jong Un, líder supremo de la República Popular Democrática de Corea. Los últimos detalles del incidente plantean preguntas sobre esos enlaces, sobre todo porque la extorsión suele ser parte de los hacks a nivel de Estado.

Joseph M. Demarest, director adjunto de la división cibernética del FBI, también puso en duda si los hackers de Corea del Norte fueron responsables de la violación de Sony.

"No hay ninguna atribución a Corea del Norte en este momento", dijo Demarest a la agencia Reuters.

Certificados de Sony también se filtraron

El equipo de análisis e investigación global de Kaspersky Labs escribió una entrada en su blog detallando el descubrimiento de los certificados robados, los cuales fueron supuestamente utilizados para firmar una nueva muestra de la familia de malware limpiador Destover hace unos días, el 5 de diciembre.

El investigador de seguridad Colin Keigher dijo en Twitter que un investigador no identificado había descubierto un certificado de Sony como parte de los datos vertidos en línea y lo usó como una broma. El investigador supuestamente firmó la muestra Destover y la subió a VirusTotal, un escáner de malware en línea, donde fue luego detectado por Kaspersky.

Aunque los detalles proporcionados por Keigher pueden significar que los atacantes todavía tienen que utilizar los certificados digitales de Sony, ya se han filtrado en internet y es probable que aparezcan en otros ataques en breve.

El post de Kaspersky señaló que el uso de certificados legítimos por los atacantes no es nada nuevo, pero la estrategia hace que los ataques sean más difíciles de detectar para las tecnologías de seguridad.

"Ya hemos informado sobre el certificado digital a Comodo y Digicert y esperamos que esté en la lista negra pronto", escribieron los investigadores de Kaspersky. Las autoridades de certificados que emitieron estos certificados los revocaron unos días después.

Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi Inc. en Salt Lake City, dijo a SearchSecurity por correo electrónico que un número creciente de atacantes buscan certificados legítimos como parte de las violaciones de datos, precisamente porque son muy eficaces en el lanzamiento de otros ataques. Dichos certificados se pueden usar en combinación con los canales de comunicación cifrados para hacer un ataque "casi invisible", dijo Bocek.

"Las compañías globales suelen tener decenas de miles de claves y certificados y la mayoría no tienen un inventario exacto de ellos, no saben dónde están desplegados, quién los utiliza y no tienen los sistemas correctos en su lugar para asegurarlos" dijo Bocek. "Las empresas deben empezar a tener un mejor manejo de la totalidad de sus certificados y claves desplegadas, determinar anomalías en el medio ambiente sobre la base de las políticas establecidas, y luego revocar y reemplazar rápidamente cualquier cosa que sea sospechosa o esté fuera de la política."

El hackeo de Sony está vinculado a ataques anteriores

La evidencia más reciente sugiere que los hackers de Corea del Norte no pueden haber sido responsables de la violación de datos de Sony, pero otros detalles sugieren conexiones con casos anteriores de alto perfil donde también se utilizó el malware limpiador.

En particular, una variante de Destover conocida como DarkSeoul fue utilizada por el grupo de hackers Whois para apuntar a varias empresas y medios de comunicación en Corea del Sur el año pasado. Kaspersky también encontró vínculos entre Destover y los 2.012 ataques del malware Shamoon contra la gran petrolera Saudi Aramco con sede en Arabia Saudita.

Una entrada en el blog anterior de Kaspersky escrita por Kurt Baumgartner proporciona más detalles sobre las funciones de Destover. Al igual que Shamoon, Destover utiliza archivos de driver EldoS RawDisk comercialmente disponibles tanto para evadir los permisos de seguridad NTFS como para anular el registro de inicio maestro. Los ejecutables tanto para Destover como para DarkSeoul fueron recopilados entre 24 y 48 horas antes de los ataques, dijo Baumgartner, por lo que es probable que los atacantes ya habían tenido acceso a las redes de sus objetivos".

Los grupos detrás de Shamoon, Destover y DarkSeoul también incluyen mensajes políticos vagos como parte de sus ataques, señaló Baumgartner, y posteriormente desaparecieron del radar. Los mensajes entregados tanto en la violación de los datos de Sony como en los ataques de Whois incluso contenían similitudes visuales, incluyendo fuentes y esquemas de color.

"La lista anterior de elementos comunes, por supuesto, no prueba que el equipo detrás de Shamoon es el mismo que el equipo detrás de DarkSeoul y Destover. Pero hay que señalar que los eventos reaccionarios y las características de configuración y operación de todos los grupos tienen marcadas similitudes", escribió Baumgartner. "Y, es extraordinario que tales actos inusuales y enfocados de ciber-destrucción a gran escala se están llevando a cabo con similitudes claramente reconocibles."

Este artículo se actualizó por última vez en diciembre 2014

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close