2. Hoy ha venido a divertirse a UC3M…
root@bicho:~$ whoami
1. Willy, voluntario, fundador de la comunidad ProtAAPP.
2. Funcionario, coordinador del CCMAD.
3. Padre, hacker, profundamente anormal.
@gobispo
3. ¿Qué me cuento?
01 EL BRIKINDANS
¿Cómo rompen nuestros sistemas los malos?
02 EL CRUSAITO
¿Cuál es su motivación? Diarios de criminología
03
EL ROBOCOP
¿Tecnologías disruptivas? Sujétame el cubata
04
EL MAIQUEL JAISON
¿Qué se puede hacer para defenderse?
@gobispo
6. CUCHIDATA
OFERTA 2x1
- Compra de credenciales
- Extracción de información
- Equipos caseros comprometidos
RANSOMWARE
- Movimientos laterales
- GitHub y herramientas de pago
- Objetivo: ser Domain Admin
RULETA DE LA FORTUNA
- Los atacantes invierten mucho
- Los defensores no tanto
- ¿En qué casilla se esconde la APT?
RASPBERRY ROBIN
- USB infectado en casa del usuario
- Dropper en QNAP’s infectadas
- Muy avanzado, medidas anti forenses
(Ahora parados desde hace 2 meses)
@gobispo
7. RASPBERRY ROBIN
Infección doméstica
Equipo no corporativo
Fichero .LNK
Acceso directo falso
Payload
{http://QNAP:8080/{random}/<username>}”
MSIExec.exe/wmic.exe
Línea de comando y descarga
Cliente TOR
Envío de telemetría
“cmd.exe /c start msiexec
@gobispo
8. Un USB infectado o un SPAM dirigido, un usuario
poco concienciado y una vulnerabilidad
explotable.
● Herramientas tipo Red Team
● Cobalt Strike ($) y Powershell Empire
● Bloodhound
Rápida propagación y atención a los sistemas de
backup.
RANSOMWARE
@gobispo
9. Vector de entrada
Living Off the Land
Raspberry Robin o compra de
credenciales en Deep Web
Disfruta desde casa
Exfiltración de datos con
aplicaciones comerciales
(RDP, TeamViewer, Anydesk…)
Comprometida información en
equipos domésticos
OFERTA 2X1
@gobispo
10. Ransomware Tiempo ROI
Coste medio pagado en
rescates en España,
durante el año 2021
En 2019 un ataque
requería más de dos
meses, en 2021..
Estudios 2015
Inversión $5,900
Ingresos $84,100
$750.000 3 días 1.425%
RULETA DE LA FORTUNA
@gobispo
16. RASPBERRY
ROBIN
EDR + IOCs
OFERTA 2X1
SW pirata
¡Nunca!
RANSOMWARE
Anti-Phishing y
2FA
RULETA DE
LA FORTUNA
Qué será, será
EL EQUIPO AZUL
100% 98% 25% ¿?
CULTURA DE LA CIBERSEGURIDAD
@gobispo
Russian Market: Mercado negro de la Deep Web
(LOL) Living off the Land: Aprovechar puertas de entrada ya existentes en las organizaciones, introduciendo códigos maliciosos
Motor de búsqueda de leaks: intelx.io, osint.link, blueteamblog.com…