Una década de piratería: los eventos de ciberseguridad más notables de la década de 2010


Seguridad de WordPress

La década de 2010 está llegando a su fin y ZDNet está mirando hacia atrás a los eventos de seguridad cibernética más importantes que han tenido lugar durante los últimos diez años.

En la última década, lo hemos visto todo. Hemos tenido violaciones de datos monstruosas, años de prolífico hacktivismo, muchas operaciones de ciberespionaje de estado-nación, cibercrimen motivado financieramente casi sin parar y malware destructivo que ha inutilizado los sistemas.

A continuación se muestra un resumen de los eventos más importantes de la década de 2010, ordenados por año. No necesariamente observamos las infracciones más grandes o las operaciones de piratería más extensas, sino que nos centramos en los piratas informáticos y las técnicas que dieron origen a una nueva tendencia de seguridad cibernética o fueron un cambio de paradigma en la forma en que los expertos observaron todo el campo de la seguridad cibernética .

Desde los ataques de Stuxnet de 2010 hasta la extensa vigilancia masiva de China de la minoría uigur, seleccionamos los eventos más relevantes y explicamos por qué eran importantes.


2010

Stuxnet

Stuxnet es un gusano informático que fue desarrollado conjuntamente por los servicios de inteligencia estadounidenses e israelíes como un medio para sabotear el programa de armas nucleares de Irán, que estaba despegando a fines de la década de 2000.

El gusano fue diseñado específicamente para destruir el equipo SCADA utilizado por el gobierno iraní en sus procesos de enriquecimiento de combustible nuclear. El ataque fue exitoso, destruyendo equipos en varios lugares.

Si bien ha habido otros ataques cibernéticos llevados a cabo por los estados nacionales entre sí antes de 2010, Stuxnet fue el primer incidente que acaparó los titulares en todo el mundo y marcó la entrada en una nueva fase de la guerra cibernética, desde el simple robo de datos y recopilación de información para la destrucción física real.

Se puede encontrar más información sobre el impacto y la operación de Stuxnet en el libro de Kim Zetter "Cuenta atrás para el día cero"libro y el"Cero días"documental.

Operación Aurora – el hack de Google

No es que muchos usuarios de Internet sepan que incluso el poderoso Google ha pirateado su infraestructura de back-end.

Fue parte de una serie de ataques que luego se conocieron como Operación aurora – una campaña coordinada de piratería llevada a cabo por los piratas informáticos militares del gobierno chino contra algunas de las compañías más grandes del mundo en ese momento, como Adobe, Rackspace, Juniper, Yahoo, Symantec, Northrop Grumman, Morgan Stanley y otras. Los ataques reales tuvieron lugar en la década de 2000, sin embargo, salieron a la luz a principios de 2010.

La operación Aurora fue un punto de inflexión en la historia de Google. Después de que Google descubrió y divulgó públicamente los ataques, la compañía decidió dejar de trabajar con el gobierno chino para censurar los resultados de búsqueda de Google.cn, y Google finalmente cerró las operaciones en China poco después. El ciberataque de la Operación Aurora fue mencionado específicamente como una de las razones detrás del movimiento de Google.

Los hackers del "comunicado de prensa"

Entre 2010 y 2015, un grupo de cinco hombres de Europa del Este piratearon varios servicios de noticias desde donde robaron comunicados de prensa que pronto serán anunciados.

¿Suena como una pérdida de tiempo? No, definitivamente no lo fue. En realidad, fue uno de los hacks más inteligentes de la década porque el grupo usó la información privilegiada que obtuvieron para anticipar los cambios en el mercado de valores y colocar operaciones que generaron más de $ 100 millones en ganancias.

El Departamento de Justicia de EE. UU. (DOJ) y la Comisión de Bolsa de Valores de EE. UU. (SEC) finalmente se enteraron de su esquema y tomaron medidas enérgicas contra los miembros del grupo a partir de 2016.

The Verge tiene la mejor pieza del grupo, proporcionando una mirada interna a la operación del grupo.


2011

LulzSec y los "50 días de luls"

Cada vez que ves a un pirata informático alardeando en Twitter sobre sus piratas informáticos, usando una amplia gama de memes de Internet para burlarse de sus objetivos, o tomando sugerencias sobre a quién DDoS o piratear, estás viendo otro imitador de LulzSec.

No se puede ignorar el impacto del grupo en la escena de piratería de hoy. Al grupo le gustaba hackear compañías de renombre y luego exhibir en internet.

Su campaña "50 días de lulz" y todos los otros hacks importantes que llevaron a cabo marcan la tendencia de lo que terminamos viendo durante el resto de la década de una gran cantidad de grupos de hackers que buscan atención, como Lizard Squad, New World Hackers, TeaMp0isoN, CWA y otros. Sin embargo, LulzSec sigue sobre todos los demás principalmente debido a su impresionante lista de objetivos pirateados, que incluye Fox, HBGary, PBS, la CIA y Sony.

Hack de Diginotar cambia el panorama del navegador

El hack de DigiNotar es un incidente poco conocido de 2011 que terminó cambiando la forma en que funcionan los navegadores, las autoridades de certificación (CA) e Internet, y para mejor.

En 2011, se descubrió que los piratas informáticos del gobierno iraní violaron DigiNotar y utilizaron su infraestructura para emitir certificados SSL para imitar sitios web populares, incluidos Google y Gmail. Los piratas informáticos iraníes luego utilizaron los certificados para interceptar el tráfico HTTPS encriptado y espiar a más de 300,000 iraníes.

Una investigación reveló pésimas prácticas comerciales y de seguridad en la empresa holandesa, lo que a su vez condujo a una prohibición general en todos los navegadores, que se negaron a verificar los sitios web HTTPS protegidos con certificados DigiNotar.

El hack hizo que Google, los fabricantes de navegadores y otros gigantes tecnológicos se dieran cuenta, y condujo a una revisión para toda la práctica de emitir certificados SSL / TLS. Muchos de los procedimientos implementados después del hack de DigiNotar están en uso incluso hoy.

Hack de Sony PlayStation e interrupción masiva

En la primavera de 2011, Sony anunció que un hacker robó detalles de 77 millones de usuarios de PlayStation Network, incluida información de identificación personal y detalles financieros.

Hoy en día, este puede parecer un número insignificante, pero en ese momento, y durante muchos años después, este fue uno de los mayores hacks del mundo.

Para Sony, este truco fue catastrófico, por decir lo menos. La compañía tuvo que cerrar su fuente de ingresos, la Sony PlayStation Network, durante 23 días mientras los ingenieros abordaban la violación de seguridad. Hasta el día de hoy, este sigue siendo el corte más largo en la historia de PSN.

La compañía perdió ganancias debido a la interrupción del servicio, pero también debido a demandas colectivas presentadas por los usuarios después de que algunos comenzaron a notar fraudes con tarjetas de crédito. Luego también perdió aún más dinero cuando tuvo que dar a los usuarios un montón de juegos gratuitos de PlayStation 3 para que volvieran a estar en línea.

El hack de Sony PSN 2011 se destaca porque mostró los daños que podría causar un hack si una empresa no invierte en la seguridad adecuada. También se destaca porque comenzó una tendencia de compañías que agregan cláusulas a sus Términos de Servicio que obligan a los usuarios a renunciar a su derecho a presentar demandas después de violaciones de seguridad. Sony no fue el primero en usar dicha cláusula, pero la hizo popular, y muchas otras compañías agregaron una cláusula similar poco después.


2012

Shamoon y su destrucción

Creado en Irán, Shamoon (también conocido como DistTrack) es una pieza de malware que puede considerarse el resultado directo del ataque de Stuxnet de dos años antes.

Tras conocer de primera mano lo destructivo que puede ser el malware, el gobierno iraní creó su propia "arma cibernética", una que desplegó por primera vez en 2012.

Diseñado para borrar datos, Shamoon destruyó más de 35,000 estaciones de trabajo en la red de Saudi Aramco, la compañía petrolera nacional de Arabia Saudita, lo que puso de rodillas a la compañía durante semanas. Se informó en ese momento que Saudi Aramco compró la mayoría de los discos duros en el mundo en su esfuerzo por reemplazar su flota de PC destruida, lo que elevó los precios del HDD durante meses después, mientras que los proveedores lucharon por mantenerse al día con la demanda.

Las versiones del malware se detectaron en los años siguientes, implementadas principalmente en empresas activas o asociadas con la industria del petróleo y el gas.

Flame: la variedad de malware más sofisticada jamás creada

Descubierto por Kaspersky y vinculado al Equation Group (un nombre en clave para la NSA de EE. UU.), Llama fue descrito como la variedad de malware más avanzada y sofisticada jamás creada.

Finalmente perdió este título cuando Kaspersky encontró Regin dos años después, en 2014, pero el descubrimiento de Flame reveló la brecha técnica y de capacidades entre el arsenal cibernético de los Estados Unidos y todas las demás herramientas empleadas por otros grupos de estados nacionales.

Un informe posterior de la Washington Times Afirmó que Flame era parte del mismo arsenal de herramientas de piratería que Stuxnet, y se desplegó principalmente contra Irán. El malware no se ha visto desde entonces, pero su descubrimiento todavía se considera hoy en día como un punto importante en la escalada de las operaciones de ciberespionaje en todo el mundo.


2013

Revelaciones de Snowden

Hay tanto que decir, tan poco espacio. Solo llegaremos al punto. Las filtraciones de Snowden son probablemente el evento de ciberseguridad más importante de la década. Expusieron una red de vigilancia global que Estados Unidos y sus socios de Five Eyes habían establecido después de los ataques del 11 de septiembre.

Las revelaciones de Snowden llevaron a países como China, Rusia e Irán a crear sus propias operaciones de vigilancia y ampliar los esfuerzos de recolección de inteligencia extranjera, lo que condujo a un aumento en el ciberespionaje en general.

Actualmente, muchos países hacen alarde de conceptos como "internet nacional" o "soberanía de internet" para justificar espiar a sus ciudadanos y censurar la web, y todo comenzó después de que Snowden revelara al mundo la ropa sucia de la NSA en 2013.

La página de Wikipedia es bastante completa sobre el impacto de las filtraciones de Snowden, lo cual es un buen punto para que cualquiera pueda comenzar a investigar el tema.

El hack de Target

En diciembre de 2013, el mundo conoció el término de malware POS cuando el gigante minorista Target admitió que el malware implantado en los sistemas de sus tiendas había ayudado a los piratas informáticos a recopilar datos de tarjetas de pago para aproximadamente 40 millones de usuarios.

Los incidentes de malware POS habían sucedido antes, pero esta fue la primera vez que un minorista importante sufrió una violación de estas proporciones.

Otros minoristas seguirían en los próximos años, y a través de informes obstinados, el mundo eventualmente descubriría cómo los piratas informáticos intercambian tarjetas robadas en sitios llamados "tiendas de tarjetas" para crear tarjetas clonadas y vaciar las cuentas bancarias de los usuarios.

El hack de Adobe

En noviembre de 2013, Adobe admitió que los hackers habían robado los datos de más de 153 millones de usuarios. Los datos se volcaron en línea, y las contraseñas de los usuarios se descifraron casi de inmediato y volvieron a sus versiones de texto sin formato.

Durante muchos años, el incidente se usó para impulsar la adopción de funciones de hashing de contraseñas seguras.

Derribo de la Ruta de la Seda

Ruta de la Seda fue el primer derribo importante de un mercado web oscuro alojado en Tor para vender productos ilegales. Su derribo en 2013 mostró al mundo por primera vez que la red oscura y Tor no eran perfectos, y que el brazo de la ley podía alcanzar incluso en este rincón de Internet, que se creía impenetrable hasta ese momento.

Otros mercados aparecieron como hongos después del derribo de Silk Road, pero ninguno sobrevivió por mucho tiempo. La mayoría de ellos salieron estafados (los administradores huyeron con el dinero de los usuarios) o también fueron finalmente derribado por la policía también.

¿He sido Pwned?

Lanzado en diciembre de 2013 y basado en la idea de brindar a los usuarios una forma simple de verificar si han sido incluidos en el incumplimiento de Adobe, el He sido Pwned El sitio web es hoy una marca propia.

El sitio todavía funciona como cuando se lanzó y permite a los usuarios ver si sus nombres de usuario o correos electrónicos se han incluido en una violación de datos.

Actualmente, el sitio incluye bases de datos de más de 410 sitios pirateados e información sobre más de 9 mil millones de cuentas. Está integrado en Firefox, administradores de contraseñas, backends de la compañía e incluso algunos sistemas gubernamentales.

Gestionado por el experto en seguridad australiano Troy Hunt, el sitio ha contribuido en gran medida a mejorar la postura de seguridad de las organizaciones de todo el mundo.


2014

El hackeo de Sony de Corea del Norte

Sin lugar a dudas, el hackeo de Sony Pictures en 2014 es la primera vez que el mundo se entera de que Corea del Norte tiene hackers y bastante buenos.

Los ataques fueron llevados a cabo por un grupo que se hacía llamar Guardianes de la Paz (posteriormente denominado Escuadrón Lázaro) que finalmente se unieron al aparato de inteligencia de Corea del Norte.

El propósito del hack fue forzar al estudio a abandonar el lanzamiento de una película llamada The Interview, una comedia sobre un complot de asesinato contra el líder de Corea del Norte, Kim Jong-un.

Cuando Sony se negó, los piratas informáticos destruyeron la red interna de la compañía y filtraron datos de estudio y correos electrónicos privados en línea.

El incidente de Sony, considerado nada más que un pequeño truco, ayudó a las empresas de ciberseguridad a comprender el alcance y la difusión de las habilidades de piratería de Corea del Norte, una visión que eventualmente recurrirían en los años siguientes para muchos otros incidentes.

Antes de este incidente, los piratas informáticos norcoreanos se centraron principalmente en piratear a sus vecinos del sur. Tras el ataque y las sanciones impuestas por el presidente Obama, sus operaciones de piratería se extendieron a nivel mundial, convirtiendo al país en uno de los jugadores más activos del momento del ciberespionaje y el cibercrimen.

Celebgate

Hasta el día de hoy, las compañías de seguridad cibernética usan Celebgate (también conocido como The Fappening) como ejemplo en cursos de capacitación sobre spear phishing y lo que sucede cuando los usuarios no prestan atención a la validez de los correos electrónicos de restablecimiento de contraseña.

Esto se debe a que en 2014, una pequeña comunidad de piratas informáticos utilizó correos electrónicos de restablecimiento de contraseña falsos dirigidos a celebridades para obtener acceso para engañar a estrellas famosas para que ingresen sus contraseñas de Gmail o iCloud en sitios de phishing.

Los piratas informáticos utilizaron estas credenciales para acceder a las cuentas, encontrar imágenes y videos sexuales o desnudos, que luego arrojaron en línea. Otras olas "Fappening" tuvieron lugar en años posteriores, pero el conjunto original de filtraciones tuvo lugar en el verano de 2014.

Carbanak comienza a hackear bancos

Durante muchos años, tanto los expertos como los usuarios pensaron que los hackers que buscaban dinero generalmente perseguirían a los consumidores, minoristas de tiendas o empresas.

Los informes sobre Carbanak (también conocido como Anunak o FIN7) mostraron por primera vez la existencia de un grupo de hackers altamente capacitado que era capaz de robar dinero directamente de la fuente, es decir, los bancos.

Los informes de Kaspersky Lab, Fox-IT y Group-IB mostraron que el grupo Carbanak estaba tan avanzado que podría penetrar en la red interna de los bancos, permanecer oculto durante semanas o meses y luego robar grandes cantidades de dinero, ya sea a través de transacciones bancarias SWIFT o cobro coordinado de cajeros automáticos.

En total, se cree que el grupo ha robado más de $ 1 mil millones de bancos pirateados, una cifra que aún no ha sido igualada por ningún otro grupo.

monte Gox hack

monte Gox no fue el primer intercambio de criptomonedas en el mundo en ser pirateado, pero sigue siendo el mayor atraco cibernético del ecosistema de criptomonedas hasta el día de hoy.

El hack, aún rodeado de misterio hoy, ocurrió a principios de 2014, cuando los piratas informáticos lograron 850,000 bitcoins, con un valor de más de $ 6.3 mil millones en la actualidad. En ese momento, el monte. Gox fue el mayor intercambio de criptomonedas del mundo.

Después de este incidente, los piratas informáticos se dieron cuenta de que podían obtener grandes ganancias al apuntar a plataformas de intercambio debido a sus protecciones de seguridad más débiles en comparación con los bancos del mundo real. Cientos de otros hacks siguieron en los años siguientes, pero el monte. Gox sigue en pie como el incidente que provocó el ataque resultante.

Phineas Fisher

El verano de 2014 es cuando el mundo se enteró por primera vez de Phineas Fisher, un hacktivista al que le gustaba violar a las empresas que fabrican spyware y herramientas de vigilancia.

El hacker violó al Grupo Gamma en 2014 y HackingTeam en 2015. De ambos, el pirata informático publicó documentos internos y código fuente para las herramientas de software espía de las empresas, e incluso algunos días cero.

Las filtraciones de Phineas ayudaron a exponer el sombrío mundo de las empresas que venden herramientas de piratería, software espía y vigilancia a los gobiernos de todo el mundo. Si bien se podría decir que algunas herramientas se utilizaron para atrapar delincuentes, algunas de las ventas se relacionaron con regímenes opresivos que abusaron de ellas para espiar a disidentes, periodistas y opositores políticos.

Heartbleed

los Heartbleed La vulnerabilidad en OpenSSL es uno de esos raros defectos de seguridad que son demasiado buenos para ser verdad.

El error permitió a los atacantes recuperar claves criptográficas de servidores públicos, claves que podrían usar para descifrar el tráfico o autenticarse en sistemas vulnerables.

Fue explotado unos días después de ser revelado públicamente, y condujo a una larga cadena de hacks en 2014 y más allá, ya que algunos operadores de servidores no pudieron parchear sus instancias de OpenSSL, a pesar de las repetidas advertencias.

En el momento en que se dio a conocer públicamente, se creía que aproximadamente medio millón de servidores de Internet eran vulnerables, un número que tardó años en reducirse.


2015

Ashley Madison violación de datos

Ha habido miles de violaciones de datos en la última década, pero si ZDNet tuviera que elegir la más importante, elegiríamos la violación de Ashley Madison 2015 sin pestañear ni pensarlo dos veces.

La violación tuvo lugar en julio de 2015 cuando un grupo de hackers que se autodenominaba Equipo de Impacto lanzó la base de datos interna de Ashley Madison, un sitio web de citas que se comercializa como un lugar de referencia para tener una aventura.

La mayoría de las infracciones de hoy exponen su nombre de usuario y contraseña en foros en los que ni siquiera recuerda haberse registrado a principios de la década de 2000. Pero este no fue el caso con la violación de Ashley Madison, que expuso la ropa sucia de muchas personas como ninguna otra violación había hecho.

Los usuarios registrados en el sitio enfrentaron intentos de extorsión, y algunos se suicidaron después de ser revelado públicamente por tener una cuenta en el sitio. Es uno de los pocos incidentes de seguridad cibernética que condujeron directamente a la muerte de alguien.

Anthem y OPM hacks

Ambos hacks fueron revelados en 2015 – Himno en febrero y la Oficina de Administración de Personal de los Estados Unidos (OPM) en junio – y fueron llevados a cabo por hackers chinos respaldados por el gobierno de Beijing.

Robaron 78.8 millones de registros médicos de Anthem y 21.5 millones de registros de trabajadores del gobierno de EE. UU.

Los dos hacks son la joya de la corona de una serie de hacks que el gobierno chino perpetró contra los EE. UU., Con el propósito de reunir inteligencia. El video a continuación, a las 27:55, proporciona una idea de cómo algunos de los datos robados de estas dos organizaciones podrían haber sido utilizados para exponer a los agentes de la CIA, entre muchas otras cosas. Los hacks señalaron el surgimiento de China como actor de amenazas en el escenario global tan sofisticado y avanzado como Estados Unidos y Rusia. Antes de eso, los piratas informáticos chinos se consideraban poco calificados, siguiendo el enfoque de robar y agarrar todo lo que podían tener en sus manos. Hoy en día, los hackers chinos se utilizan como cuchillos quirúrgicos como parte del plan del gobierno chino para avanzar en su economía y en las empresas locales.

Intercambio de SIM

El intercambio de SIM se refiere a una táctica en la que los piratas informáticos llaman a una empresa de telecomunicaciones móvil y engañan a los operadores móviles para que transfieran el número de teléfono de una víctima a una tarjeta SIM controlada por el atacante.

Los informes sobre ataques en los que el intercambio de SIM se utilizó por primera vez se remontan a 2015. Inicialmente, la mayoría de los ataques de intercambio de SIM estaban vinculados a incidentes en los que los piratas informáticos restablecían las contraseñas en las cuentas de las redes sociales, secuestraban los nombres de usuario solicitados, que luego revendían en línea.

Los ataques de intercambio de SIM crecieron en popularidad a medida que los piratas informáticos se dieron cuenta lentamente de que también podían usar la técnica para obtener acceso a criptomonedas o cuentas bancarias, desde donde podían robar grandes sumas de dinero.

Desde entonces, la técnica se ha vuelto cada vez más frecuente, y las empresas de telecomunicaciones de EE. UU. Son más susceptibles a los ataques debido a su falta de voluntad para evitar que los usuarios puedan migrar números de teléfono sin una visita en persona a una de sus tiendas, como se hace en La mayoría de las partes del mundo.

DD4BC y Armada Collective

2015 es también el año en que las demandas de extorsión DDoS se convirtieron en una cosa. La técnica fue pionera y popularizada por un grupo llamado DD4BC que enviaba correos electrónicos a compañías que exigían pagos en Bitcoin, o atacarían la infraestructura de la compañía con ataques DDoS y eliminarían servicios cruciales.

Europol arrestó a los miembros de este grupo original a principios de 2016, pero el modus operandi de DD4BC fue copiado por un grupo que se hacía llamar Armada colectiva, que hizo la práctica aún más popular.

Las tácticas DD4BC y Armada Collective se usaron por primera vez en 2015 y 2016 todavía se usan aún hoy, siendo el núcleo de muchos de los ataques DDoS de hoy y el tiempo de inactividad en el que incurren en algunos objetivos.

Los hacks de la red eléctrica de Ucrania

El ciberataque en la red eléctrica de Ucrania en diciembre de 2015 causó cortes de energía en todo el oeste de Ucrania y fue el primer ataque exitoso en la red de control de una red eléctrica que se haya registrado.

El ataque de 2015 empleó una pieza de malware conocida como Black Energy y fue seguida por otro ataque similar al año siguiente, en diciembre de 2016. Este segundo ataque usó incluso una pieza de malware más compleja, conocida como Industroyer, y cortó con éxito el poder a una quinta parte de la capital de Ucrania.

Si bien Stuxnet y Shamoon fueron los primeros ataques cibernéticos contra un objetivo industrial, los dos incidentes en Ucrania fueron los primeros que afectaron al público en general y abrieron los ojos de todos sobre los peligros que los ataques cibernéticos pueden representar para la infraestructura crítica de un país.

Estos dos ataques fueron solo el comienzo de una larga serie de piratas informáticos llevados a cabo por piratas informáticos rusos contra Ucrania, luego de la invasión rusa de la península de Crimea a principios de 2014. Otros incidentes de ciberseguridad como parte de esto incluyen los brotes de ransomware NotPetya y Bad Rabbit de 2017 .

El grupo detrás de los ataques se conoce como Sandworm y se cree que es una sección del aparato de inteligencia militar de Rusia. El libro Gusano de arena, y escrito por el editor de seguridad de Wired Andy Greenberg, detalla las operaciones de piratería de este grupo con mayor detalle.


2016

Bangladesh Bank ciber-atraco

En febrero de 2016, el mundo descubrió que los hackers intentó robar más de $ 1 mil millones de un banco de Bangladesh, solo para ser frustrado por un error tipográfico y solo salirse con $ 81 millones.

Si bien inicialmente, todos pensaron que se trataba de un pirata informático torpe, más tarde se reveló que los piratas informáticos de élite de Corea del Norte estaban detrás del intento de robo cibernético, que fue solo uno de los muchos ataques similares que intentaron ese año, atrayendo con éxito a otros en otros países .

El hack de Bangladesh Bank tuvo un gran impacto en el sector bancario en general. Las decisiones tomadas a raíz del intento de pirateo dieron como resultado actualizaciones de seguridad integrales de SWIFT, el sistema de transacciones internacionales para mover fondos entre diferentes bancos. En segundo lugar, la organización SWIFT también prohibió a Corea del Norte de su sistema, una decisión que tuvo repercusiones en los años venideros.

Estas dos decisiones juntas empujaron a los piratas informáticos de Pyongyang a atacar los intercambios de criptomonedas, de donde se cree que han robado cientos de millones de dólares estadounidenses, dinero que el estado norcoreano utilizó para desarrollar su programa de armas nucleares.

Documentos de Panamá

En abril de 2016, un consorcio de los principales periodistas de investigación del mundo publicó extensos informes denominados colectivamente Documentos de Panamá eso expuso cómo las personas más ricas del mundo, incluidos hombres de negocios, celebridades y políticos, usaban los cielos fiscales para evitar pagar impuestos sobre la renta.

La filtración se considera la más grande de su tipo y provino del bufete de abogados panameño Mossack Fonseca. Si bien los periodistas dijeron que recibieron los datos de una fuente anónima, muchos creen que los datos provienen de un pirata informático que explotó las fallas en los obsoletos sitios de WordPress y Drupal de la firma de abogados para obtener acceso a su red interna.

Hack DNC

Ah, el pirateo de DNC. El truco que sigue dando.

En la primavera de 2016, el Comité Nacional Demócrata admitió que sufrió una violación de seguridad después de que un pirata informático con el nombre de Guccifer 2.0 comenzó a publicar correos electrónicos y documentos de los servidores de la organización.

A través de evidencia forense, más tarde se descubrió que el DNC había sido pirateado no por uno, sino por dos grupos rusos de ciberespionaje, conocidos como Fancy Bear (APT28) y Cozy Bear (APT29).

Los datos robados durante el pirateo se utilizaron en una operación de inteligencia cuidadosamente organizada con el objetivo de influir en las próximas elecciones presidenciales de Estados Unidos. Si todo el asunto tuvo éxito o no, no se puede decir, aunque algunos dirán que sí. Sin embargo, el hack ha dominado las noticias durante todo el año, y todavía está haciendo olas incluso hoy, al momento de escribir, a fines de noviembre de 2019, más de tres años después.

Los hacks de Yahoo se hacen públicos

Decir que 2016 fue un mal año para Yahoo es un eufemismo. La compañía anunció no una, sino dos violaciones de datos en el lapso de cuatro meses, incluida la que se convertiría en la mayor violación en la historia de Internet.

Ambas infracciones están interconectadas, de una manera extraña. Aquí hay una línea de tiempo, ya que las cosas tienden a ser confusas:

  • En julio de 2016, un hacker comenzó a vender datos de usuarios de Yahoo en la web oscura.
  • Mientras investigaba la validez de las afirmaciones del pirata informático, Yahoo descubrió y reveló en septiembre de 2016 una violación que ocurrió en 2014 y que impactó a 500 millones de usuarios.
  • Yahoo culpó de esta violación a un "actor de estado nación" y finalmente resultó ser cierto. En 2017, las autoridades estadounidenses acusaron a un grupo de piratas informáticos por violar la red de Yahoo a instancias del gobierno ruso.
  • Irónicamente, mientras analizaba la violación de 2014, Yahoo también rastreó la fuente de los datos del usuario que se vendían en la web oscura.
  • Esto se rastreó hasta una violación de seguridad en 2013 que Yahoo dijo que inicialmente impactó a mil millones de usuarios. En 2017, Yahoo actualizó el número a tres mil millones, toda su base de usuarios, convirtiéndose en la mayor violación de datos registrada.

Año de los volcados de datos (Peace_of_mind)

Pero las dos infracciones de Yahoo son solo algunas de las pocas infracciones que se hicieron públicas en 2016, que podrían fácilmente ser renombradas como "el año de los vertederos de datos".

Entre las empresas que tuvieron infracciones antiguas o nuevas se destacaron: Twitter, LinkedIn, Dropbox, MySpace, Tumblr, Fling.com, VK.com, OK.ru, Rambler.ru, AdultFriendFinder, Badoo, QIP y muchas más.

Se expusieron más de 2.200 millones de registros de usuarios, y la mayoría se pusieron a la venta en foros de piratería y mercados web oscuros. La mayoría de las brechas salieron a la luz a través de comerciantes de datos como Peace_of_Mind, Tessa88 y LeakedSource.

Los corredores de las sombras

Entre agosto de 2016 y abril de 2017, un grupo de piratas informáticos que se hacen llamar The Shadow Brokers bromeó, subastó y luego filtró herramientas de piratería desarrolladas por Equation Group, un nombre en clave de la Agencia de Seguridad Nacional de EE. UU. (NSA).

Estas herramientas eran herramientas de piratería de calidad superior e hicieron un impacto inmediato. Un mes después de la filtración final de Shadow Brokers, una de las herramientas (un exploit para el protocolo SMB de Microsoft, conocido como EternalBlue) se usó como el motor principal detrás del brote de ransomware global WannaCry.

Hasta el día de hoy, el mundo no ha descubierto quiénes son los Shadow Brokers.

Mirai y la pesadilla de IoT

Una publicación de blog a principios de septiembre de 2016 presentó al mundo a Mirai, una variedad de malware de Linux diseñado para funcionar en enrutadores y dispositivos inteligentes de Internet de las cosas.

En los próximos 90 días, Mirai se convertiría en una de las cepas de malware más conocidas del mundo, después de ser utilizada para lanzar algunos de los mayores ataques DDoS.

El código fuente de Mirai se lanzó en línea, y es una de las familias de malware más extendidas de la actualidad, con su código en la base de la mayoría de las botnets IoT / DDoS.

Mirai, por sí sola, hizo que todos entendieran que la S en IoT significa seguridad.


2017

Los tres brotes de ransomware

No podemos tener esta lista sin mencionar los tres brotes de ransomware de 2017, a saber Quiero llorar (mediados de mayo) NotPetya (finales de junio) y Conejo malo (finales de octubre).

Los tres fueron desarrollados por hackers respaldados por el gobierno, pero por diferentes razones.

WannaCry fue desarrollado por piratas informáticos de Corea del Norte que buscan infectar a las empresas y extorsionar los pagos de rescate como parte de una operación para recaudar fondos para el régimen sancionado de Pyongyang, mientras que NotPetya y Bad Rabbit fueron desplegados con armas cibernéticas para dañar negocios ucranianos como parte de Rusia-Ucrania conflicto.

Ninguna de estas entidades pretendía causar un brote global. El problema es que confiaron en el exploit EternalBlue que filtraron las polillas antes de los Shadow Brokers, un exploit que no entendieron completamente en ese momento, y cada cepa de ransomware se extendió mucho más allá de lo que los creadores inicialmente pretendieron.

Irónicamente, a pesar de haber sido desarrollado por el gobierno ruso, NotPetya y Bad Rabbit terminaron causando más daños a las empresas rusas que a las empresas de cualquier otro país, y esta es probablemente la razón por la que no hemos visto otro brote de ransomware sin ataduras desde 2017.

Vault7 fugas

Bóveda7 fue la última buena filtración de WikiLeaks. Era un tesoro de archivos de documentación que describían las armas cibernéticas de la CIA.

Nunca se incluyó código fuente; Sin embargo, la filtración proporcionó una mirada a las capacidades técnicas de la CIA, algunas de las cuales incluían herramientas para hackear iPhones, todos los principales sistemas operativos de escritorio, los principales navegadores e incluso televisores inteligentes.

En ese momento, WikiLeaks dijo que recibió el tesoro de datos de Vault7 de un denunciante, que luego fue identificado como Joshua Adam Schulte.

El apocalipsis de MongoDB

Los administradores del sistema han dejado las bases de datos expuestas en línea sin contraseña durante años, pero 2017 fue el año en que los piratas informáticos finalmente comenzaron a cobrar impuestos a los administradores y las empresas que hicieron esto.

Informalmente conocido como el Apocalipsis MongoDB, comenzó a fines de diciembre de 2016, pero se aceleró en enero del próximo año, con los hackers accediendo a bases de datos, eliminando su contenido y dejando notas de rescate, pidiendo criptomonedas para devolver los datos (inexistentes).

La primera ola de ataques apuntó a servidores MongoDB expuestos, pero los hackers luego se expandieron a otras tecnologías de bases de datos como MySQL, Cassandra, Hadoop, Elasticsearch, PostgreSQL y otras.

Los ataques se extinguieron a finales de año, pero también pusieron en evidencia el problema de las bases de datos mal configuradas que se dejan en línea sin protección.

A finales de año, teníamos una nueva categoría de investigadores de seguridad conocidos como "cazadores de brechas": personas que buscan bases de datos abiertas y luego se comunican con las empresas para informarles que exponen información confidencial en línea.

En los años posteriores, la mayoría de las infracciones de seguridad y la exposición de datos fueron descubiertas por los cazadores de infracciones, en lugar de los piratas informáticos que arrojaban los datos de una empresa en línea después de una intrusión.

Hack de Equifax

El misterio aún rodea el ataque de Equifax de 2017, durante el cual los datos personales de más de 145.5 millones de estadounidenses, británicos y canadienses fueron robados de los sistemas de la compañía.

Aunque tenemos una autopsia, y sabemos que la violación fue causada por la empresa que no parchó un servidor crítico, todavía no sabemos quién estuvo detrás de la intrusión, o cuáles fueron sus motivos, si es un ciberespionaje operación, o simplemente buen cibercrimen.

De cualquier manera, piratear una de las tres agencias de informes de crédito al consumo de Estados Unidos lo coloca en cualquier lista de pirateo de la década.

Criptojacking

El auge y la caída del cryptojacking se pueden vincular directamente con Coinhive, un servicio web que hizo posible extraer criptomonedas a través de JavaScript, como un archivo que podría agregarse a cualquier sitio web.

Desarrollados como una alternativa a la publicidad clásica, los grupos de piratas informáticos tomaron la idea y se volvieron locos con ella, colocando scripts de criptojacking en cualquier lugar que pudiera ejecutar JavaScript, desde sitios web pirateados hasta módulos de videojuegos y desde paneles de control de enrutadores hasta extensiones de navegador.

Desde septiembre de 2017 to March 2019, when Coinhive shut down, cryptojacking (also known as drive-by mining) was a scourge for internet users, slowing down browsers, and driving CPU usage through the roof, even if the technique wasn't particularly profitable.


2018

Cambridge Analytica and Facebook's fall from grace

While nobody particularly liked Facebook before 2018, most people who had a problem with the company usually complained about its timeline algorithms that buried friends posts under a heap of useless garbage or the slow-loading UI that seemed to get more crowded each day.

Luego, Cambridge Analytica happened in early 2018, and the world had an actual reason to hate the social network and its data hoarding practices.

The scandal, just one of the many which would follow in the months to come, exposed how data analytics companies were abusing Facebook's easy to grab user data to create profiles that they'd sell to political parties in order to sway public opinion and manipulate elections.

From a place were users would visit to keep in touch with friends, Facebook became in many people's views the place where you'd be inundated with political propaganda disguised as internet memes and blatantly false information disguised as news articles.

The Great Hack is a great documentary to watch if you ever need an insight look at the whole scandal.

Meltdown, Spectre, and the CPU side-channel attacks

Details about the Meltdown and Spectre vulnerabilities were first made public on January 2, 2018, and they exposed an issue baked into the hardware of most CPUs that could allow hackers to steal data that was currently being processed inside CPUs.

While the two aren't the easiest bugs to exploit, and nor has any attack ever been reported, Meltdown & Spectre exposed the fact that many CPU makers were cutting corners in terms of data security in their quest for speed and performance.

Even if some people still describe the two bugs as "stunt hacks," they fundamentally changed how CPUs are designed and manufactured today.

Magecart goes mainstream

While Magecart attacks (also known as web skimming, or e-skimming) have been taking place since 2016, it was 2018 when attacks grew to a level where they were just impossible to miss — with high-profile hacks being reported by British Airways, Newegg, Inbenta, and others.

The scheme behind these attacks is simple, and it's a mystery why they took so many years to become popular. The idea is that hackers compromise an online store, and leave behind malicious code that logs payment card information, which they later send back to an attacker's server.

Several variations on the original Magecart attacks have appeared, but since early 2018, Magecart attacks are, without a doubt, one of today's top cyber threats, and have been driving online shoppers mad, with many not being able to tell if an online shop is safe to use or not.

Next to ATM skiming and POS malware, Magecart attacks are the primary method through which cybercriminal groups are getting their hands on people's financial data these days.

Marriott hack

Not as big as Yahoo's three-billion figure, but the Marriott data breach also gets a nod due to its sheer size.

The breach was disclosed in November 2018, and impacted more than 500 million guests, a number which the company brought down to 383 million a few months later, after it finished its investigation.

Just like in most cases, a post-mortem revealed the company was breached using mundane tactics and tools that could have been easily detected and prevented.


2019

Uighur surveillance

2019 will be remembered as the year when China's holocaustic tendencies came to light, with the revelations surrounding the way it treats its Uyghur Muslim minority in the Xinjiang region.

While news of organ harvesting and forced labor camps came to light in mainstream media, security researchers also played their part, revealing the widespread use of facial recognition software to track Muslims in Xinjiang cities, but also iOS, Android, and Windows exploits specifically targeted at infecting and tracking the local Uyghur population.

"Big game hunting" ransomware

While ransomware has been a problem all the 2010s, a particularly nasty form known as "big game hunting" has been extremely active in 2019.

Big game hunting refers to ransomware gangs who go only after big targets, such as corporate networks, rather than going after the little guy, like home users. This allows hackers to demand more money from victim companies, who have much more to lose than just personal photo albums.

The term big game hunting was coined by CrowdStrike in 2018 to describe the tactics of several ransomware gangs, and the number of groups currently engaging in this tactic has easily gone over ten.

Big game hunting ransomware attacks ramped up in 2019, with most hitting managed service providers, US schools, US local governments, and, more recently, moving to Europe's bigger companies.

Gnosticplayers

The hacker who made a name for himself in 2019 is Gnosticplayers.

Following the modus operandi of Peace_of_Mind and Tessa88 from 2016, Gnosticplayers hacked companies and began selling their data on dark web marketplaces.

Companies that had their data stolen by Gnosticplayers and later put up for sale online include Canva, Gfycat, 500px, Evite, and many others. In total, the hacker claimed responsability for over 45 hacks and breaches impacting more than one billion users.

CapitalOne

The Capital One hack that was disclosed in July 2019 impacted more than 100 million Americans and six million Canadians.

Data from the breach is not believed to have been publicly shared en-masse, so most users who had their data stolen are most likely safe. Yet, the breach stands out because of the way it happened.

An investigation revealed that the suspect behind the hack was a former Amazon Web Services employee, who stands accused of illegally accessing Capital One's AWS servers to retrieve the data, along with the data from 30 other companies.

The investigation is still ongoing, but if this turns out to be true, this introduces a new threat class for organizations — namely, malicious insiders working for your supply-chain providers.



Enlace a la noticia original