20 de Junio: resumen de la situación de #OpPetrol

A pesar de que se estimó que alrededor de 1000 sitios web, 35000 credenciales de email y aproximadamente 100000 cuentas de Facebook se verían comprometidas desde el anuncio de #OpPetrol el mes pasado, la participación de hackers y la sofistificación total de dichas amenazas, hoy, a día 20 de Junio, día crítico y clave para esta operación, demuestra que ha habido más «ruido» que acciones reales. Esto indica, una vez más, que ha habido más miedo ocasionado por las amenazas previas anunciadas por el propio grupo Anonymous que los efectos que sus anunciados de ataque han ocasionado en la realidad, como ha ocurrido en otras ocasiones…

Sin embargo, una operación como #OpPetrol, da oportunidad a hackers y atacantes con distintos perfiles y propósitos, unirse a la causa y ejecutar sus propias misiones. Además, puede que debido a este miedo provocado por #OpPetrol, se hayan descuidado aspectos de seguridad en ciertas partes de la red y esto se haya utilizado como punto por el que atacar.

Nuestros investigadores de amenazas, especialmente Jennifer Tang, ha estado monitorizando la situación con recursos de nuestros servicios globales inteligentes frente a amenazas. Se detectó actividad maliciosa en sitios que habían sido marcados como objetivos y se encontraron IPs que habían sido identificadas en el pasado como comprometidas y que habían sido utilizadas como servidores de comando y control por ataques bot. Parece que estas conexiones fueron hechas a los sitios destinatarios de los ataques con la intención de ganar acceso para preparar ataques de Denegación de Servicio.

También hemos encontrado que el malware  CYCBOT se está utilizando para convertir los sitios infectados en sitios web víctima. Inicialmente, en 2011, CYCBOT fue utilizado para conducir tráfico a sitios web específicos. Es conocido por ser distribuido a través de «pay per install» (pago por instalación), lo cual puede significar que en #OpPetrol, los cibercriminales han utilizado este servicio como «medio de transporte».

Un significativo número de sitios web de gobiernos en Kuwait, Qatar, y Arabia Saudí han sido puestos offline por los hackers a través de ataques procedentes de IPs recientemente comprometidas. Es interesante observar que históricamente no habíamos visto que estas IPs se hubiesen comunicado con dichos sitios web de esos gobiernos.

Continuamos monitorizando este ataque y haciendo públicos nuestros hallazgos. Puedes chequear algunas recomendaciones para mantener la red segura ante la presencia de estas amenazas en: /anonymous-y-oppetrol-como-estar-preparados/

Para más información sobre los avances de Trend Micro en cuanto a la investigación de #OpPetrol, accede aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.