Unidades flash USB maliciosas: Sigue siendo un problema de seguridad

Una unidad USB maliciosa que se coloca en un estacionamiento: esta imagen se ha convertido en una especie de cliché en los círculos de seguridad de TI. Sin embargo, la amenaza es muy real y más actual que nunca.

El estudio de la Universidad de Michigan puede haber sido hace cinco años, pero sigue siendo lo suficientemente significativo como para hablar de él hoy en día. En 2016, investigadores de la Universidad de Illinois, Michigan y Google distribuyeron 297 unidades flash USB en sus campus. Según los investigadores, «el 98% de las memorias USB dejadas en el campus fueron tomadas por transeúntes, y al menos el 45% de ellas estaban conectadas a una computadora para verificar el contenido». Solo el 13% de las personas que aceptaron responder a las preguntas de los investigadores dijeron que «tomaron precauciones especiales antes de abrir la memoria USB». El 68% dijo que abrió el palo sin sospechar del contenido de los palos». A pesar de que el experimento de los investigadores no representó ningún riesgo para los usuarios o sus datos, conectar un dispositivo USB que encuentre puede tener graves consecuencias. Cabe señalar en este contexto que las memorias USB no son el único hardware en riesgo: los dispositivos de interfaz humana o «HIDs» (Human Interface Devices) en general, como teclados, ratones, cargadores de teléfonos inteligentes o cualquier otro objeto conectado pueden ser manipulados por actores maliciosos. Las consecuencias son graves: robo o destrucción de datos, sabotaje, demandas de rescate, etc.

¿Qué son los dispositivos USB «maliciosos»?

Las memorias o unidades USB son utilizadas por muchas personas y también por los empleados de las empresas. Permiten un intercambio y transporte de datos simple y conveniente, lo que los hace indispensables en muchos lugares. Por otro lado, también traen elementos desconocidos a una red. Además, una unidad USB no tiene que eludir la defensa perimetral virtual de la compañía. En su lugar, está conectado directamente al lugar de trabajo de un usuario. Todos estos factores lo convierten en una herramienta de ataque conveniente para los ciberdelincuentes. Utilizan memorias USB «maliciosas» que contienen un script de ataque predefinido. Esto les permite acceder y copiar los datos de los usuarios, obtener acceso a su teclado y pantalla para ver todo lo que hacen, o finalmente cifrar sus datos para un rescate. La unidad USB maliciosa más conocida es la «Rubber Ducky» (ver más abajo). El mayor problema, sin embargo, es que las unidades USB también pueden servir como vector para todo tipo de otro malware, con consecuencias de gran alcance. Esto incluye, entre otras cosas, el sabotaje de las instalaciones de producción y la instalación de todo tipo de programas maliciosos que se utilizan para el espionaje o para cifrar datos para obtener un rescate.

¿Conectarías una memoria USB que encontraste en el estacionamiento?

Ataques USB: una breve descripción general

Cuando se trata de acciones maliciosas, los componentes de la infraestructura industrial crítica son el blanco de ataques. Según SANS, el 56% de los incidentes de seguridad dirigidos a ellos involucran unidades USB. Los ciberdelincuentes han llevado a cabo muchos ataques USB en el pasado. En 2005, la función AutoRun, que Microsoft quería usar para iniciar programas automáticamente cuando un dispositivo USB estaba conectado a una estación de trabajo, proporcionó la oportunidad perfecta para los atacantes. Simplemente insertando una memoria USB en la estación de trabajo ya podría desencadenar la ejecución automática de aplicaciones maliciosas u otro código en la unidad.

Alrededor de 2010, «Rubber Ducky» se convirtió en un problema común. El Rubber Ducky es una unidad USB especial con un microcontrolador incorporado que abre en secreto una línea de comandos y realiza automáticamente un ataque fingiendo ser un teclado USB emulado. Estos dispositivos aún pueden ser comprados por cualquier persona por alrededor de $ 50.

Otro problema de la unidad USB estaba relacionado con Stuxnet en 2010. Stuxnet es un gusano informático que se descubrió por primera vez en 2010 y probablemente ha estado en desarrollo desde al menos 2005. Stuxnet apunta a los sistemas de monitoreo, control y recopilación de datos (SCADA) y se cree que es responsable del daño significativo al programa nuclear de Irán. El gusano probablemente fue introducido por un técnico y llevado al entorno objetivo a través de una unidad USB infectada. De esta manera, el malware también evitó la separación física del entorno de red de Internet.

En 2014, surgió el hackeo badusb,revelando una vulnerabilidad que algunos investigadores consideraron crítica para los sistemas de control industrial. BadUSB es un ataque de seguridad que reprograma dispositivos USB con malware.

2017 fue el año del P4wnP1,un software diseñado para ataques utilizando una Raspberry Pi Zero. En 2017, la infraestructura crítica en el Medio Oriente fue atacada por el llamado malware Copperfield, que se distribuyó a través de una unidad USB a una estación de trabajo compartida por varias docenas de empleados de una empresa. Ese mismo año, un informe analizó numerosos ciberataques, incluidos dos posibles gracias al uso de unidades USB. El primer ataque se debió a un descuido o falta de conocimiento por parte de los empleados. Un miembro del equipo de seguridad de un barco conectó accidentalmente una memoria USB infectada a la red de TI interna del barco. La memoria USB luego extendió el malware por toda la red, y la tripulación no lo notó hasta unos días después debido a un comportamiento inusual. Otro ejemplo se refiere al núcleo del sistema de gestión de energía de un buque. Los proveedores de servicios de TI responsables de los sistemas del barco descubrieron un malware latente allí. Estaba inactivo porque la computadora aún no estaba conectada a Internet, pero se habría extendido por toda la red del barco una vez que estuviera conectada.

Más recientemente, el asesino USB podría dañar irreparablemente una computadora simplemente conectándola en segundos. Es prácticamente el primer ataque USB «totalmente eléctrico». El asesino USB incluye un pequeño banco de condensadores que se carga a través del puerto USB y que, después de la carga (que ocurre en fracciones de segundo), libera toda la carga eléctrica de nuevo en las líneas de datos, causando todo tipo de daños al hardware. Algunos han llamado a esto un «dispositivo engañoso», pero usarlo en las computadoras de otra persona, o pedir a los usuarios desprevenidos que lo conecten, es una molestia en el mejor de los casos y un crimen en el peor.

En 2020, la industria automotriz escapó por poco de otro ataque. Un empleado de Tesla fue abordado por un ciberdelincuente ruso que le ofreció un millón de dólares para usar una unidad USB infectada para propagar malware en los sistemas de TI de la compañía. Si el empleado no hubiera informado al FBI y, por lo tanto, frustrado el ataque, Tesla podría haberse unido a la larga lista de víctimas de ataques con unidades USB. Esta es solo una pequeña descripción general, porque ha habido muchos más incidentes relacionados con ataques basados en USB.

Este tipo de ataque nunca se ha detenido realmente. Para obtener una buena visión general de la mayoría de los ataques USB, vale la pena echar un vistazo al artículo publicado en 2017 por algunos investigadores de la Universidad Ben Gurion.

Una Raspberry Pi Zero que se puede utilizar para construir un P4wnP1. Este modelo cuesta alrededor de 15 euros

.

Cómo defenderse de los regalos contaminados

Recomendamos un enfoque proactivo: debemos concienciar a los usuarios de cómo los dispositivos USB maliciosos pueden causar infecciones del sistema y pérdida de datos, y enseñarles cómo evitar estas amenazas. Las memorias USB maliciosas no son visibles desde el exterior. Ya sea que se regalen en una conferencia o se encuentren en un lugar público, es importante tener cuidado con ellos porque cualquier unidad flash USB desconocida es potencialmente peligrosa.

Capacitar a los empleados y aumentar su conciencia de los posibles riesgos es una necesidad hoy en día.

Una posibilidad, por supuesto, es bloquear las memorias USB en cualquier lugar de la red, de modo que cada medio USB tenga que pasar a través de una computadora Schafdip. Esto es fácil de hacer con la mayoría de los programas de software de seguridad para endpoints. Otra opción es incluir en la lista blanca ciertos dispositivos propiedad de la empresa.

Si una empresa tiene una estación de escaneo especial, una llamada «máquina de inmersión de ovejas», todos los medios USB desconocidos deben almacenarse allí para su inspección antes de conectarse a otros sistemas. El propósito de una máquina de este tipo es analizar y descontaminar la memoria USB para proteger el sistema de información de la empresa de posibles malware. Después de la descontaminación, es recomendable utilizar una solución que cifre la memoria USB cuando se utiliza para almacenar y transportar datos. El sistema de cifrado protege todos los archivos e información personal haciéndolos ilegibles para cualquiera que pueda robar la memoria USB. Incluso hay algunos sticks de alta seguridad con cifrado de hardware incorporado, pero generalmente son un poco más caros.

Por supuesto, los productos de seguridad de G DATA protegen contra todo el malware USB que hemos encontrado. También es interesante el hecho de que G DATA ha integrado un módulo separado en todos los dispositivos para el ataque BAD USB para proteger los dispositivos.

Los ataques con memorias USB siguen siendo una realidad y pueden afectar a todas las industrias. Dada la continua popularidad y uso de unidades USB, así como la proliferación de IoT y otros dispositivos conectados, reducir el riesgo de ataques a dispositivos USB es importante para la ciberseguridad de cualquier negocio.

Las unidades USB vienen en todas las formas y tamaños, pero algunas tienen más que ofrecer de lo que sugieren.

Enlace: Unidades flash USB maliciosas: sigue siendo un problema de seguridad | G DATOS (gdata.de)  Blog de G DATA Eddy Willems