Caso I

Identificar, analizar y detallar con todo lujo de detalles en el primer caso:

¿Cómo se ha podido producir el suceso?
Mediante un ataque de phishing que es un método para engañarle y hacer que comparta
contraseñas, números de tarjeta de crédito, y otra información confidencial haciéndose
pasar por una institución de confianza en un mensaje de correo electrónico o llamada
telefónica.
¿Dónde se envían los datos comprometidos?
Una vez analizado el index y el achivo post.php se nota que los datos se enviar a a una
cuenta de correo "ejercicio_modulo1@ciberinteligencia.es"; la misma que revive a su
vez los datos de :
$message .= "Email: ".$_POST['username']."\n";
$message .= "Password : ".$_POST['password']."\n";
$message .= "IP: ".$ip."\n";
¿Qué cuentas se han podido ver comprometidas?
Las cuentas comprometidas en su mayoría son las de la empresa al ser correos
corporativos entre las mismas en el caso 1 no podemos identificar que áreas , pero si se
observamos que las extensiones corporativas tanto en el reino unido como en España y
que algunas de donde salió el correo malicioso que son desde Alemania podrían ser tan
solo correos creados para distraer la atención.
Dentro del mismo las personas que recibieron los correos
¿Cómo podemos identificarlas?
Por las extensiones de los correos corporativos
j.roman.stelso@ficticy.co.uk
m.wils.keicher@ficticy.de
l.martin.fierre@ficticy.es
Caso II

Identificar, analizar y explicar con todo lujo de detalles en el segundo caso:

¿Cómo se ha podido producir el suceso?
Una vez realizado el primer ataque y conseguido los datos necesarios para acceder a las
cuentas de correo corporativo mediante el phishing, el atacante procede a abrir las
cuentas del departamento financiero lo mismo que les permite realizar la revisión de los
pagos a realizarse y manipulan la información.
¿Qué método ha podido utilizar el atacante para realizar este envío dirigido?
Los sitios de redes sociales se convirtieron en un objetivo principal de phishing gracias
a la información libre que se encuentra el atacante debió identificar a las personas que
laboran dentro del departamento financiero
Nombre: María Protector Fresco | Email: m.protector.fresco@ficticy.es | Puesto:
Responsable del departamento de nóminas | Redes sociales utilizadas: Facebook,
Twitter, Linkedin, Instagram.
Nombre: Juan Philips Todobene | Email: j.philips.todobene@ficticy.es | Puesto:
Responsable de pagos y transferencias | Redes sociales utilizadas: Facebook, Linkedin,
Infojobs.
Nombre: Sofía Labial Guest | Email. s.labial.guest@ficticy.es | Puesto: Asistente de
pagos y transferencias | Redes sociales utilizadas: Facebook, Linkedin, Infojobs, Tuenti.
Como nos muestra el caso las mayoría de funcionarios usan redes sociales las mismas
que brindan información para los atacantes.
¿Cómo se ha podido utilizar?
En la década de 2000, el phishing dirigió su atención a explotar los sistemas de pago
online. Se hizo común que los phishers dirigieran sus ataques a los clientes de servicios
de pago bancario y online, algunos de los cuales, según investigaciones posteriores,
fueron identificados correctamente y asociados al banco que verdaderamente utilizaban.
De igual forma, los sitios de redes sociales se convirtieron en un objetivo principal del
phishing, que era atractivo para los defraudadores porque los detalles personales
registrados en dichos sitios son de utilidad para el robo de identidad.
Una nota relevante sobre este tipo de ataque es “En 2013, se robaron 110 millones de
registros de clientes y tarjetas de crédito de los clientes de Target”.
Y el ataque que se uso fue:
Spear phishing
Mientras la mayoría de las campañas de phishing envían correos electrónicos masivos al
mayor número posible de personas, el spear phishing es un ataque dirigido. Spear
phishing ataca a una persona u organización específica, a menudo con contenido
personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque
para descubrir nombres, cargos, direcciones de correo electrónico y similares. Los
hackers buscan en Internet para relacionar esta información con lo que han averiguado
sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones
profesionales de los empleados clave en sus organizaciones. Con esto, el autor del
phishing crea un correo electrónico creíble.

Resumen del caso

La empresa es atacada por una de los ciberataques mas comunes como es el phishing
que consiste en suplantar la identidad a través de un email, ya sea de una entidad o
persona para que así la víctima “pique el anzuelo” y entregue información personal
como las contraseñas o sus datos bancarios, en este caso una vez realizado el primer
ataque se rompió mas vulnerabilidades realizando el Spear phishing que al ser un ataque
dirigido logro vulnerar mas el sistema de correos de la empresa y así logrando realizar
el ataque al departamento financiero y a su vez adjudicándose así pagos o transferencias
a cuentas privadas antes que los funcionaros se puedan dar cuenta que realizaron estos
pagos a cuentas que no eran de sus proveedores o clientes.

Caso III

Identificar, analizar y explicar con todo lujo de detalles en el tercer caso:

¿Qué tipo de amenaza se ha sufrido?
La amenaza es WannaCrypt (también conocido como WannaCry, WanaCrypt0r,
WCrypt o WCRY) generalmente aprovechan la ingeniería social o el correo electrónico
como vector de ataque principal, confiando en que los usuarios descarguen y ejecuten
una carga maliciosa. Sin embargo, en este caso único, los autores del ransomware
usaron código de explotación disponible públicamente para la vulnerabilidad 
¿Cómo se ha podido producir el suceso?
La amenaza llega como un troyano cuentagotas que tiene los siguientes dos
componentes:
Un componente que intenta explotar la vulnerabilidad SMB CVE-2017-0145 en otras
computadoras
El ransomware conocido como WannaCrypt
El cuentagotas intenta conectar los siguientes dominios utilizando la API
InternetOpenUrlA():
www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com
www [.] ifferfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com
Si la conexión a los dominios es exitosa, el cuentagotas no infecta más el sistema con
ransomware ni intenta explotar otros sistemas para propagarse; simplemente detiene la
ejecución. Sin embargo, si la conexión falla, la amenaza continúa eliminando el
ransomware y crea un servicio en el sistema.
¿Cómo se propaga el malware a través de la red interna?
El mecanismo de propagación de WannaCrypt se toma prestado de las hazañas públicas
de SMB conocidas , que armaron este ransomware regular con funcionalidades
similares a gusanos, creando un vector de entrada para máquinas aún sin parchear
incluso después de que la solución estuviera disponible.
¿Qué vulnerabilidad ha podido explotarse?
WannaCry se propagó agresivamente usando la vulnerabilidad de Windows
EternalBlue, o MS17-010. "EternalBlue es un error crítico en el código de Windows de
Microsoft que es al menos tan viejo como Windows XP. La vulnerabilidad permite a los
atacantes ejecutar código de forma remota creando una solicitud para el servicio de
Compartir archivos e impresoras de Windows", explica Ondrej Vlcek, CTO de Avast,
una empresa que ofrece soluciones de seguridad informática.
Medidas de mitigación que se pueden tomar en estos incidentes.
La mayoría de los navegadores de Internet disponen de formas de comprobar si un
enlace es seguro, pero la primera línea de defensa contra el phishing es su buen criterio.
Aprenda a reconocer los signos del phishing e intente practicar informática segura
siempre que compruebe su correo electrónico, lea posts de Facebook, o juegue a su
juego online favorito.
Una vez más, nuestro Adam Kujawa propone algunas de las prácticas más importantes
para mantenerse a salvo:
No abra correos electrónicos de remitentes que no le sean familiares.
No haga clic en un enlace dentro de un correo electrónico a menos que sepa
exactamente a dónde le lleva.
Para aplicar esa capa de protección, si recibe un correo electrónico de una fuente de que
la que no está seguro, navegue manualmente hasta el enlace proporcionado escribiendo
la dirección legítima del sitio web en su navegador.
Busque el certificado digital del sitio web.
Si se le pide que proporcione información confidencial, compruebe que la URL de la
página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa
“seguro”. No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios
legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos,
son vulnerables para los hackers.
Si sospecha que un correo electrónico no es legítimo, seleccione un nombre o parte del
texto del mensaje y llévelo a un motor de búsqueda para ver si existe algún ataque de
phishing conocido que utiliza los mismos métodos.
Pase el cursor del ratón por encima del enlace para ver si es legítimo.
Como siempre, recomendamos utilizar algún tipo de software de seguridad antimalware.
La mayoría de las herramientas de seguridad informática tienen la capacidad de detectar
cuando un enlace o un archivo adjunto no es lo que parece, por lo que incluso si llega a
caer en un intento inteligente de phishing, no terminará compartiendo su información
con las personas erróneas.
Todos los productos de seguridad de Malwarebytes Premium proporcionan protección
sólida contra el phishing. Pueden detectar sitios fraudulentos e impedir que los abra,
incluso si está convencido de que son legítimos.
Por lo tanto, manténgase alerta, y esté atento a cualquier cosa sospechosa.
Consulte todos nuestros informes sobre phishing en Malwarebytes Labs.
Recomendaciones y plan de continuidad que debe realizar el equipo de seguridad.
Concienciar a los empleados para asegurar que se minimiza el riesgo de fuga de
información a través de correos, videoconferencias, notas internas, etc.
Recordatorio semanal a todos los empleados de actualizar los sistemas en caso de que
haya una actualización y revisar y actualizar el antivirus de los ordenadores
Revisar todos los puertos abiertos a Internet y asegurar que los puertos son
estrictamente los necesarios y a ser posible que los empleados trabajen con VPN para
proteger las comunicaciones. Por ello sería bueno realizar como mínimo escaneos de
vulnerabilidades de la red y revisar si hay alguna vulnerabilidad en el sistema
Revisar los accesos de los usuarios y limitar los accesos a los estrictamente necesarios
Actualizaciones de todos los sistemas para protegerlos de posibles nuevas
vulnerabilidades

TE AMO MI AMOR ERES MI MAS BONITA

CASUALIDAD Y LO MEJOR DE MI EXISTENCIA