Lookout ofrece las claves para protegerse contra Pegasus

Incluso cinco años después de que Lookout y Citizen Lab lo descubrieran, el avanzado programa espía para móviles Pegasus sigue siendo muy relevante, ya que siguen saliendo a la luz revelaciones sobre su uso generalizado y la evolución de sus capacidades. El grupo con sede en Israel que está detrás de Pegasus, NSO, se ha enfrentado a un creciente escrutinio por parte de agencias gubernamentales y organizaciones privadas por sus relaciones con regímenes dudosos de todo el mundo.

Pegasus puede desplegarse tanto en dispositivos iOS como Android. Desde su descubrimiento, el software espía ha seguido evolucionando. Lo que hace que Pegasus sea altamente sofisticado es el control que da al actor malicioso sobre el dispositivo de la víctima, los datos que puede extraer y su evolución hacia una carga útil de tipo ‘zero clic’ que no requiere interacción del usuario.

Pegasus puede extraer coordenadas GPS muy precisas, fotos, archivos de correo electrónico y mensajes cifrados de aplicaciones como WhatsApp y Signal. También puede encender el micrófono de los dispositivos para espiar conversaciones privadas en la habitación o llamadas telefónicas y activar la cámara para grabar vídeo.

El equipo de analistas de Lookout detecta más de 1.000 kits de phishing semanales con un tiempo de vida medio de 48 horas

El equipo de analistas de Lookout detecta más de 1.000 kits de phishing semanales con un tiempo de vida medio de 48 horas, vendidos como ‘Malware como servicio’ por equipos profesionalizados de cibercriminales (ATP) o compañías de ciberarmas como NSO, Hacking Team, Cytrox, Finfisher y otras.

Cómo Lookout puede ayudar a proteger su empresa

Las tácticas avanzadas utilizadas por Pegasus son similares a las de muchas otras amenazas persistentes avanzadas (APT). A continuación, se expone cómo Lookout puede ayudar a proteger tu organización en el contexto de estas principales tácticas que las APT utilizan para llevar a cabo un ataque:

1. Entrega de la carga útil

El primer paso de Pegasus y de cualquier APT suele ser el phishing. Lookout Phishing and Content Protection (PCP) puede proteger a su organización contra cada uno de los siguientes escenarios que utilizan Pegasus y otras APT:

Escenario: Pegasus puede ejecutarse como una infección de cero o un clic. Independientemente de la táctica que se utilice, la carga útil del paquete de software espía se sigue cargando a través de la red.

Cómo te protege Lookout: Lookout descubre, adquiere y analiza continuamente los dominios y sitios web recién registrados para descubrir los que están construidos a propósito para el phishing y los propósitos maliciosos.  El antiphishing de Lookout proporciona una protección casi en tiempo real contra los ataques de phishing de hora cero.

Acción de administración de Lookout: Habilita Lookout PCP en toda tu flota de móviles y activa la política por defecto que requiere que los usuarios lo habiliten en su dispositivo para poder acceder a Internet y a los recursos de la empresa.

2. Explotación de vulnerabilidades

El spyware suele explotar las vulnerabilidades tanto a nivel de la aplicación como del dispositivo para obtener acceso al sistema operativo (SO) del dispositivo o exfiltrar datos de partes concretas del sistema.

EscenarioLookout Mobile Endpoint Security (MES) detecta cuándo una vulnerabilidad de la aplicación está presente en un dispositivo móvil y cuándo el dispositivo está ejecutando un sistema operativo o una versión de Android Security Patch Level (ASPL) con vulnerabilidades conocidas. En cada caso, Lookout puede alertar tanto al usuario como al administrador de seguridad.

Cómo le protege Lookout: Lookout Mobile Vulnerability Management descubre todas las Vulnerabilidades y Exposiciones Comunes (CVE) conocidas tanto para iOS como para Android a nivel de SO y de aplicación. Automáticamente marcará los dispositivos de su flota que tengan alguna vulnerabilidad presente.

Acción del administrador de Lookout: Configura políticas que requieran una versión mínima del SO o ASPL y la actualización de las apps vulnerables a la última versión.

3. Compromiso de los dispositivos

Pegasus y otros APT harán jailbreak o root al dispositivo de la víctima de forma silenciosa. Además, aunque los exploits de día cero por su naturaleza no son conocidos, dejan el sistema en un estado comprometido. Lookout Mobile Endpoint Security puede proteger la flota móvil de su organización de estos exploits de las siguientes maneras:

Escenario: Lookout detecta los indicadores de compromiso del dispositivo y alerta a los propietarios del mismo. La detección se basa en el análisis de los datos de telemetría del dispositivo, incluidos los datos del sistema de archivos, el comportamiento del sistema y los parámetros. Dependiendo de los detalles del paquete de software espía, como su funcionamiento o su ubicación en los sistemas del dispositivo, Lookout detecta los rastros que puede producir.

Cómo te protege Lookout: Lookout adquiere continuamente artefactos de malware y telemetría del ecosistema móvil. Esto alimenta nuestra inteligencia para identificar automáticamente el comportamiento malicioso en cualquier dispositivo o aplicación.

Acción del administrador de Lookout: Asegúrate de que la política predeterminada de Root/Jailbreak está activada, establece la prioridad como alta y configura la acción para alertar al dispositivo y bloquear el acceso a Internet.

4. Comunicación del payload

Al igual que otros malware, Pegasus se comunicará con un servidor de comando y control (C2) desde el que recibirá órdenes del actor malicioso y al que enviará los datos exfiltrados.

Escenario: Al igual que cualquier sitio web, los servidores C2 están alojados en sistemas remotos que Lookout puede identificar como maliciosos.

Cómo te protege Lookout: Lookout detecta cuándo el dispositivo intenta conectarse a un servidor C2 y termina la conexión. Esto puede ayudar a prevenir la exfiltración de datos sensibles y descargas adicionales de malware.

Acción del administrador de Lookout: Hay que habilitar Lookout PCP en toda la organización y activar la política por defecto que requiere que los usuarios lo habiliten en su dispositivo para poder acceder a Internet y a los recursos de la empresa.

Acceda al webinar: 'Pegasus ataca de nuevo'

El jueves 19 de mayo Lookout celebró un webinar monográfico sobre Pegasus, en el que se contó qué es el Grupo NSO, cuáles son las capacidades dañinas de Pegasus, su evolución desde 2016 y los estragos que puede causar en los gobiernos, en las empresas y los ciudadanos.

Los expertos de Lookout, Daniel Villaseñor, Cybersecurity Sales Engineer, Justin Albrecht, Security Intelligence Research y Javier Gómez Berruezo, Account Manager, fueron los encargados de contar todos los aspectos claves de este spyware y cómo es posible proteger su organización.

Acceso al webinar

¿Necesitas un experto en Ciberseguridad?