Tras ello, los empleados recibieron instrucciones para apagar los ordenadores, no acceder a las
redes corporativas ni al correo electrnico, as como desactivar las redes Wi-Fi en todos los
dispositivos mviles. A muchos de ellos les ordenaron que se fueran a casa. Los atacantes
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com
Website: http://www.swatsecurityit.com/
Pgina 1 de 8
habran tomado el control de algunas de las cuentas de Twitter de Sony Pictures, aunque ya
habran sido recuperadas por la compaa.
Mediante una nota en Reddit se da a conocer lo que parece una escandalosa intrusin en la
compaa Sony Pictures Entertainment realizada por un grupo autodenominado #GOP o
"Guardians of Peace" y en la que reclaman que se cumplan sus requisitos o publicarn sus
secretos. Como prueba, publican dos ficheros, "list1.txt" y "list2.txt", con la informacin que han
robado.
(https://www.reddit.com/r/hacking/comments/2n9zhv/i_used_to_work_for_sony_pictures_my
_friend_still/)
Las listas contienen los archivos supuestamente robados de los ordenadores de la red de Sony.
Uno de los archivos contiene ms de 18 millones de entradas y otro con ms de 19 millones.
Casi 38 millones de archivos en total, que incluyen hojas de clculo, documentos (doc y pdf),
archivos de texto, contraseas, bases de datos, imgenes, claves privadas, etc
Si bien desde la compaa no han confirmado que la filtracin est directamente relacionada al
ataque de GOP, todo parece indicar que estas pelculas son parte de lo que los atacantes
pudieron extraer al acceder a los sistemas de Sony Pictures -y detener el funcionamiento normal
de la empresa, sus telfonos y servicios de correo electrnico. En su momento, afirmaron que
contaban con "todos los datos internos incluyendo secretos".
Luego del ataque de la semana pasada a Sony Pictures, los investigadores han estado
trabajando para determinar quin estuvo detrs. Segn Recode, se investiga la posibilidad de
que los atacantes trabajaran para Corea del Norte, con la espaculacin de que la intrusin sea
una respuesta a (o una amenaza contra) la pelcula de Sony todava no estrenada, "The
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com
Website: http://www.swatsecurityit.com/
Pgina 2 de 8
Interview". Es una comedia con Seth Rogen y James Franco como periodistas de TV, que se ven
involucrados en un plan para asesinar al lder norcoreano Kim Jong-Un, segn cuenta CNET.
segn confirma el NYT, el robo informacin consisti en "decenas de terabytes" de datos
internos de Sony: informacin personal de trabajadores de la empresa (nmero de seguridad
social, datos de nacimiento, etc.), contraseas, salarios, datos de altos ejecutivos, comentarios
de rendimiento laboral, planes de marketing, informacin financiera y mucho ms.
De a poco, la informacin est siendo publicada y algunos archivos aparentemente tambin
estn siendo negociados en redes Torrent, entre ellos un archivo Excel que incluye nombres,
ubicacin, ID de empleados, nombre de usuarios de la red, salarios base y fechas de nacimiento
de 6.800 personas.
La segunda ocasin fue dos das despus, el 3 de diciembre, 1.18Gb de informacin y dos
archivos: "bonus.rar" y "list.rar", ambos con datos mucho ms sensibles como certificados de
servidores y unas quinientas contraseas para administrar los sistemas y sus aplicaciones y
bases de datos en texto claro.
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com
Website: http://www.swatsecurityit.com/
Pgina 3 de 8
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com
Website: http://www.swatsecurityit.com/
Pgina 4 de 8
Quien quiera que sean, los sujetos que atacaron a Sony utilizaron malware de borrado (wiping)
para destruir sistemas de Sony, y estn liberando lentamente pilas de datos confidenciales y
propiedad intelectual robadas de esta empresa. Y saban todo lo que haba que saber acerca de
la
infraestructura
IT de Sony.
Website: http://www.swatsecurityit.com/
Pgina 5 de 8
nuevo programa piloto de televisin del creador de Breaking Bad. Se revelaron salarios,
evaluaciones de desempeo y verificaciones de antecedentes criminales del personal.
En tanto, el software de eliminacin comenz a destruir todos los sistemas internos de Sony. El
FBI liber una alerta la semana pasada, la cual no mencionaba explcitamente a Sony, pero
adverta de un malware de eliminacin con "la capacidad de sobrescribir la MBR del sistema
anfitrin de la vctima y todos los archivos de datos. La sobrescritura de los archivos de datos
har en extremo difcil y costoso si no es que imposible recuperar los datos empleando
mtodos forenses estndar".
La recuperacin de una infraccin a datos y una destruccin a gran escala del sistema al mismo
tiempo es excepcionalmente compleja. Para colmo, hay algo que complica an ms las cosas: el
tesoro de datos filtrados el jueves pasado incluye todo lo que los atacantes necesitaran para
comprometer de nuevo a Sony, en la forma que elijan. Entre ellos hay tokens RSA SecurID,
mapas de la red global (describiendo a detalle bases de datos y servidores empresariales),
credenciales/archivos de acceso para servidores de control de calidad, servidores de montaje,
servidores de produccin, ruteadores, switches, balanceadores de carga, servidores FTP,
cuentas de correo electrnico y aplicaciones de terceros (como UPS, FedEx, McAfee, Google
Analytics, iTunes, Sprint y Verizon).
Entonces, cmo se recupera una empresa? Tendr que quemar todo lo que quede y construir
algo totalmente nuevo y diferente?
"Apaguen todo", sugiri Jody Brazil, de FireMon. En su visin, botar la compaa completa no es
la solucin, pero por ahora, su recomendacin es desactivar toda la comunicacin externa y el
acceso Web (y devolverlos a operacin lentamente y con cautela), restableciendo todas las
contraseas, instituyendo controles de cambio, realizando una evaluacin masiva de todos los
sistemas y aspirando a tener la empresa en operacin de forma apropiada en semanas, no en
das. "Es un enfoque muy drstico, pero es el indicado", opin.
En otras palabras, el malware de borrado fue personalizado para el entorno de Sony despus de
que los atacantes obtuvieron toda la informacin detallada acerca de la infraestructura IT de
Sony. Cmo obtuvieron esa informacin? Realizaron un ataque por etapas (comprometiendo la
red, fisgoneando, obteniendo credenciales, escalando privilegios, etc.) o alguien de adentro les
proporcion la informacin.
Website: http://www.swatsecurityit.com/
Pgina 6 de 8
Website: http://www.swatsecurityit.com/
Pgina 7 de 8
extranjeros. (http://searchdatacenter.techtarget.com/es/cronica/Llegara-la-ciberguerra-en-el2015-Tal-vez-dicen-expertos)
Fuentes:
http://blog.segu-info.com.ar
http://www.welivesecurity.com/la-es/2014/11/25/sony-pictures-fuga-de-datos-confidenciales/
http://www.securitybydefault.com/2014/11/posible-intrusion-y-fuga-de-datos-en.html
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/whitepapers/wp_luckycat_redux.pdf
http://www.fbi.gov/news/testimony/cyber-security-enhancing-coordination-to-protect-thefinancial-sector
http://www.nytimes.com/2014/12/18/world/asia/us-links-north-korea-to-sony-hacking.html?_r=1
https://www.reddit.com/r/hacking/comments/2n9zhv/i_used_to_work_for_sony_pictures_my_frie
nd_still/
S W A T SECURITY-IT
AVENIDA 3N #8 -76 Of 102 Fijo: 57 2 3799030 Edificio Serturis
Cel. 318 376 7522 320 356 4168 - email: cesaraugusto.zarate@swatsecurityit.com
Website: http://www.swatsecurityit.com/
Pgina 8 de 8