Tag Archives: Citadel

Informe de amenazas de McAfee: Primer trimestre de 2013

Ciberdelincuentes-mcafee-itusersAtaques dirigidos continúan en aumento: “Pump and Dump” vuelve con registros de aumentos en el mercado de valores

Lima, Perú, 15 de Junio 2013.— McAfee Labs publicó el Informe de amenazas de McAfee: Primer trimestre de 2013, que establece una importante alza en la aparición del gusano de redes sociales Koobface y un drástico aumento del spam. McAfee Labs también observó un continuo aumento en el número y la complejidad de las amenazas dirigidas, las que incluyen troyanos para reunir información y amenazas dirigidas a los registros de arranque maestros (MBR) de los sistemas atacados.

McAfee Labs detectó casi tres veces más muestras de Koobface que lo visto en el trimestre anterior, un punto alto para el gusano de redes sociales que tiene como objetivo usuarios de Facebook, Twitter y otras redes sociales. Después de tres años de inactividad, los correos electrónicos de spam aumentaron significativamente. Un elemento importante detrás de este crecimiento en Estados Unidos fue el regreso de campañas de spam “pump and dump”, cuyo objetivo eran futuros inversionistas que esperan aprovechar al máximo los aumentos del mercado. El informe de McAfee Labs mostró un continuo aumento del malware para Android, URL maliciosas y muestras de malware en general.

Sin embargo, el aumento en el número y la sofisticación de las amenazas avanzadas persistentes (APT) dirigidas representaron la evolución más importante en el panorama de las amenazas, a medida que la información es tan valiosa como el dinero en el crimen cibernético. El informe presenta un aumento del 30 % en el malware relacionado con MBR y nuevas instancias de troyanos que roban contraseñas que son readaptados para capturar información de personas y organizaciones detrás de la industria de servicios financieros.

“Los delincuentes cibernéticos se han dado cuenta que la información personal delicada y organizacional es la moneda de su economía de hacker”, señaló Vincent Weafer, vicepresidente de alto nivel de McAfee Labs.  “La resurrección de Koobface nos recuerda que las redes sociales continúan presentando una importante oportunidad para interceptar información personal. Dentro de la empresa, vemos troyanos que roban contraseñas evolucionando para ser herramientas para reunir información para ataques de espionaje cibernético. Ya sea si su objetivo son credenciales de inicio de sesión o secretos de propiedad intelectual o empresarial, los ataques altamente dirigidos están alcanzando nuevos niveles de sofisticación.”

Todos los trimestres, el equipo de McAfee Labs de más de 500 investigadores multidisciplinarios en 30 países supervisa el panorama global de amenazas, al identificar las vulnerabilidades de las aplicaciones, analizar y correlacionar los riesgos y habilitar correcciones instantáneas para proteger a la empresa y al público. En este trimestre, McAfee Labs identificó los siguientes acontecimientos:

  • Troyano Koobface: Koobface, un gusano que se descubrió en 2008, no ha tenido cambios durante el último año. Sin embargo, en el primer trimestre del 2013 la actividad se ha triplicado a niveles nunca antes vistos. El aumento demuestra que la comunidad de delincuentes cibernéticos cree que los usuarios de redes sociales constituyen un objetivo muy atractivo de víctimas potenciales.

  • Volumen de spam: McAfee Labs ha observado el primer aumento en el volumen global de spam en más de tres años. Además de los populares fraudes “pump and dump”, se considera el aumento en el ofrecimiento de hormona de crecimiento y de campañas de spam en mercados emergentes para el crecimiento de esta categoría.

  • Espionaje dirigido: El último análisis de McAfee sobre el troyano Citadel determinó que los criminales han reacondicionado esta amenaza a las cuentas bancarias para robar información personal de víctimas dirigidas de manera estricta dentro de organizaciones más allá de los servicios financieros. La industria debería esperar ver más instancias de malware bancario usado por operaciones de espionaje cibernético dentro de organizaciones gubernamentales y no financieras.

  • Ataques al MBR: El aumento en un 30% de amenazas relacionadas con MBR durante el primer trimestre incluye casos de malware StealthMBR, TDSS, Cidox y Shamoon. Al realizar las operaciones de inicio, el MBR le ofrece al atacante una amplia variedad de control del sistema, persistencia y capacidades de penetración. En la categoría se han visto aumentos récord durante los últimos dos trimestres.

  • URL maliciosas: La cantidad de URL sospechosas aumentó en un 12 % puesto que los criminales cibernéticos se alejan de las redes de bots como el mecanismo de distribución primario para el malware. Los sitios web maliciosos que lanzan descargas desapercibidas tienen la gran ventaja de ser más ágiles y menos susceptibles a las interrupciones de la justicia.

  • Malware móvil: A pesar de que el crecimiento del malware disminuyó levemente durante el trimestre, el malware para Android aumentó en un 40%.

  • Malware para PC: Las nuevas muestras de malware para PC aumentaron un 28 %, agregando 14 millones de muestras nuevas al “zoológico” de malware de más de 120 millones de amenazas de malware únicas.

Para leer el Informe de amenazas de McAfee completo del primer trimestre de 2013, visite http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2013.pdf.

Acerca de McAfee

McAfee, una subsidiaria de propiedad absoluta de Intel Corporation (NASDAQ:INTC), permite que las empresas, el sector público y los usuarios domésticos experimenten los beneficios de Internet con toda seguridad. La empresa ofrece soluciones y servicios de seguridad proactivos y comprobados para sistemas, redes y dispositivos móviles en todo el mundo. Con su estrategia Security Connected, un enfoque innovador en la seguridad potenciada por hardware y una red única de Inteligencia de amenazas globales, McAfee está completamente enfocada en mantener seguros a sus clientes. http://www.mcafee.com

Troyano Citadel amenaza con renovarse y atacar con más fuerza

troyanos-bancarios-mcafee-itusersA pesar de haber sido retirado del mercado abierto del crimeware, McAfee Labs analiza su accionar a fines de 2012 y principios de 2013 y predice nuevas variantes. Las tendencias observadas prevén ataques selectivos a grandes empresas y sector público, no sólo por robo de dinero, sino también por información crítica.

Lima, Perú, 07 de Febrero 2013.— En los últimos días, se ha dado a conocer que una de las mayores amenazas cibernéticas registradas en los últimos tiempos, el troyano Citadel, variante más conocida del malware “bancario” Zeus, se ha retirado del mercado abierto de software delictivo o crimeware. Sin embargo, este virus, que se instala en los dispositivos conectados a Internet e infecta el sistema atacando principalmente las operaciones bancarias que se realicen desde el dispositivo afectado, no ha desaparecido completamente y continúa presentándose como una importante amenaza mundial.

Las investigaciones de McAfee Labs indican que los desarrolladores originales de Citadel, y quizá otras personas, están creando nuevas variantes que ampliarán notablemente sus funciones y su perfil de amenazas. Según el estudio, las principales tendencias observadas en la segunda mitad de 2012 y principios de 2013 incluyen:

  • Ataques selectivos a empresas públicas y privadas, principalmente europeas.
  • Mejoras funcionales utilizadas para robar información y dinero.
  • Reducción de los objetivos a unos cuantos cientos frente a los miles registrados en los usos anteriores de la familia de malware Zeus.
  • Recopilación de credenciales de aplicaciones internas, aplicaciones de sistemas bancarios, sistemas de fabricación, etc., que podrían utilizarse más adelante en ataques contra estas mismas aplicaciones.
  • Aparición del «Poetry Group» (Grupo de poesía) como responsable principal de los ataques basados en Citadel.

Ingreso controlado

A diferencia de la mayoría de los ataques de malware proveniente de Zeus, uno de los troyanos bancarios más antiguos y populares en línea, las últimas variantes de Citadel han asaltado un área geográfica sorprendentemente pequeña, más de un 90 % de los objetivos conocidos se han localizado en Europa.

Otro dato importante recogido en la investigación de McAfee Labs es que el foco de los ataques no se dirige a los consumidores en general, sino que sus objetivos son empresas y organismos gubernamentales.

Nuevas funcionalidades

Si bien en un principio la plataforma del malware Zeus se diseñó para robar dinero a miles de víctimas, con frecuencia en pequeñas cantidades, ahora, los desarrolladores de Citadel han reconocido que los datos, en especial los de credenciales de autenticación, pueden ser a veces más valiosos que el dinero. Como consecuencia, en la segunda mitad de 2012 empezaron a surgir variantes de Citadel diseñadas para penetrar en la infraestructura de TI de gobiernos locales y grandes empresas privadas.

Particularmente en los ataques contra objetivos del sector público, los delincuentes han utilizado Citadel para infiltrarse en los repositorios de datos de los gobiernos locales y municipales. Los investigadores de McAfee Labs también han descubierto en Citadel nuevas funciones de fraude financiero, escritas enteramente en JavaScript, que se manifiestan ante empleados específicos de las agencias del sector público elegidas como blanco de los ataques.

Por otra parte las variantes de Citadel desarrolladas recientemente tienen ahora características que trascienden el mero fraude bancario. El malware puede captar cualquier tipo de información del PC de la víctima. Esta versión 1.3.45, denominada «Extreme Edition», contiene funciones que permiten controlar a distancia el ordenador de la víctima con más facilidad. En otras palabras, desde el panel de control, el troyano establece un canal oculto de comunicación con el PC.

La versión 1.3.45 también incluye un mecanismo que establece automáticamente una conexión remota con las redes de bots que están en línea, lo que posibilita los ataques de secuencias de comandos contra distintos objetivos. Además, las últimas variantes de Citadel detectadas incorporan funciones de redireccionamiento de DNS que impiden que los sistemas infectados entren en contacto con los sitios web de los principales proveedores de seguridad informática y de los distintos servicios policiales.

Modo de ataque

El grupo que ha perpetrado más ataques basados en Citadel se conoce como el Poetry Group. Este grupo integra cadenas de texto escritas con un toque poético en inglés antiguo en los archivos binarios de Citadel que se emplean en los ataques.

Ésta es una función sistemáticamente presente en los archivos binarios y contiene párrafos de texto que aparecen en la memoria cuando se ejecuta el proceso malicioso, algo que no se ha observado en otras campañas europeas y que induce a pensar que hay un grupo específico detrás de ésta.

Recomendación experta

Si bien ésta es una amenaza global, aún no ha ingresado con fuerza al mercado Latinoamericano; sin embargo, es necesario tener presentes algunas consideraciones importantes recogidas en esta investigación:

  • Citadel está considerado como una nueva amenaza, no sólo para el sector de los servicios financieros, sino también para otros sectores. Permite a los ciberdelincuentes establecer conexiones remotas avanzadas y también decidir sus objetivos sobre la marcha.
  • Aunque Citadel se está retirando del mercado abierto, McAfee Labs cree que se desplegarán más variantes a lo largo de 2013.
  • Cabe esperar que crezcan sus objetivos, en cuanto un mayor número de ciberdelincuentes se percate de que sus posibilidades trascienden con holgura la estafa financiera.
  • La importante actividad detectada en los últimos tiempos indica que los delincuentes no van a dejar de recurrir a Citadel para atacar a empresas y organismos gubernamentales del mundo entero.
  • Es indispensable mantenerse protegido utilizando una suite de seguridad que haga frente a las amenazas en línea y cuente con bloqueo spam y de correo electrónico peligroso.

Puede encontrar el informe completo en www.mcafee.com/us/resources/white-papers/wp-citadel-trojan.pdf.

Acerca de McAfee

McAfee, una subsidiaria de propiedad absoluta de Intel Corporation (NASDAQ:INTC), permite que las empresas, el sector público y los usuarios domésticos experimenten los beneficios de Internet con toda seguridad. La empresa ofrece soluciones y servicios de seguridad proactivos y comprobados para sistemas, redes y dispositivos móviles en todo el mundo. Con la estrategia Security Connected, un enfoque innovador en la seguridad potenciada por hardware y una red única de Inteligencia de amenazas globales, McAfee está completamente enfocado en mantener seguros a sus clientes

RSA® Adaptive Authentication: protección contra amenazas avanzadas

rsa-emc-itusersRSA mejora la solución de autenticación basada en riesgos para combatir el fraude con nuevas capacidades de defensa de dispositivos móviles y detección de troyanos

Lima, 05 de diciembre del 2012.— RSA, la División de Seguridad de EMC (NYSE: EMC), anunció importantes mejoras para la solución RSA® Adaptive Authentication On Premise, diseñada para ayudar a las organizaciones de una amplia variedad de industrias a lograr el equilibrio adecuado de seguridad contra las amenazas avanzadas, como las provenientes de los troyanos Zeus, Citadel y Gozi Prinimalka (recientemente descubierto), sin comprometer la experiencia del usuario final.

De acuerdo con la encuesta reciente realizada por Aite Group, los ataques de apropiación de cuentas representaron pérdidas de más de US$400 millones en 2011, las cuales se espera que incrementen un 94%, a casi US$800 millones, en 2016. Con la tecnología de RSA® Risk Engine, la solución RSA Adaptive Authentication está diseñada para mitigar el riesgo de apropiación de cuentas mediante el uso de un enfoque de ‘Big Data’ que se basa en una serie de más de 100 indicadores de riesgo diferentes, incluidos la identificación de dispositivos y los perfiles de comportamiento, para validar la actividad de los usuarios. Ante una cantidad calculada de 30 millones de amenazas de malware dirigidas contra los usuarios finales para apropiar sus cuentas, la última solución RSA Adaptive Authentication ha sido creada para satisfacer los requisitos cambiantes de los clientes en relación con la conveniencia y facilidad de uso, y, al mismo tiempo, brindar una seguridad efectiva contra las amenazas de los delincuentes cibernéticos.

Defensas mejoradas contra los troyanos

Las organizaciones luchan constantemente contra nuevas formas de amenazas avanzadas. Mediante la incorporación de funciones adicionales de detección de troyanos, como la protección por Proxy e inyección HTML, la solución RSA Adaptive Authentication On Premise está diseñada para enfrentar las técnicas Man in the Browser (MITB) y Man in the Middle (MITM) empleadas por los últimos ataques de troyanos, incluido Gozi Prinimalka, en un intento de comprometer las cuentas de los usuarios finales. Gracias a esta solución, las interacciones irregulares se detectan y marcan para la organización, que luego puede tomar la acción necesaria para bloquear, monitorear o requerir medidas de autenticación adicionales con el fin de completar una transacción. RSA Adaptive Authentication incluye nuevas funciones diseñadas para obtener lo siguiente:

  • Protección por inyección HTML: detecta y marca cambios fraudulentos en la pantalla del navegador de los usuarios finales mediante ataques MITB, que intentan manipular pagos o recopilar credenciales de usuario adicionales, como el número de seguro social, el número de tarjeta de crédito o el PIN.
  • Protección de máquinas versus individuos: brinda protección contra troyanos avanzados que usan ataques automáticos por scripts para agregar beneficiarios y transferir dinero a cuentas “mule” de manera fraudulenta. El software RSA Adaptive Authentication utiliza la innovadora protección de máquinas versus individuos para determinar si los movimientos del mouse o de las pulsaciones de las teclas se relacionan con la introducción de datos. Además, distingue entre usuarios que tienen activada la función de autocompletar del navegador y que pueden ajustar el puntaje de riesgo de manera acorde.
  • Detección de ataques por proxy: los delincuentes cibernéticos utilizan ataques por proxy para iniciar sesión en bancos desde una dirección IP proxy que puede permitir la penetración de cuentas de usuario mediante la IP de usuario final genuina para obtener una identificación de dispositivos positiva. La solución RSA Adaptive Authentication determina cuándo se está realizando una transacción o un inicio de sesión mediante un proxy que es inusual para el usuario identificando la IP verdadera utilizada, y ajusta de manera dinámica la respuesta al riesgo según corresponde.

Protecciones nuevas para dispositivos móviles

RSA ha actualizado el modelo de riesgo dedicado e innovador de la solución RSA Adaptive Authentication On Premise para incluir el reconocimiento de ubicaciones y la identificación mejorada de dispositivos móviles. El reconocimiento de ubicaciones permite recopilar datos de ubicaciones mediante Wi-Fi, triangulación de torres de telefonía celular y GPS con el fin de identificar ubicaciones inusuales que son nuevas para el usuario, intentos de transacciones fraudulentas por diferencias de velocidad absoluta imposibles e intentos de acceso desde ubicaciones de alto riesgo conocidas. Asimismo, permite recopilar características de dispositivos móviles mediante la plataforma de RSA Adaptive Authentication para un dispositivo móvil o directamente mediante un kit de desarrollo de software (SDK).

Protección de cajeros automáticos

Además, la solución RSA Adaptive Authentication ahora ofrece protección contra el fraude de apropiación de cuentas en el canal de cajeros automáticos evaluando la actividad de cajeros automáticos específicos, como, por ejemplo, la fecha y la hora del acceso, el importe de la transacción, la frecuencia de las extracciones, el propietario del cajero automático y el ID y la ubicación del cajero automático, con el fin de analizar el riesgo. Debido al aumento de los ataques relacionados con extracciones “mule” y apropiaciones de cuentas que se basan en cajeros automáticos, la solución RSA Adaptive Authentication ha sido mejorada para detectar y monitorear estas amenazas sin requerir la instalación de software adicional en cajeros automáticos.

Comentario de un ejecutivo de RSA:

Manoj Nair, director general grupo de identidad y protección de información de RSA: “En la actualidad, la apropiación de cuentas es el único problema más importante para muchos de nuestros clientes. Como el malware sofisticado continúa en alza y los delincuentes cibernéticos continúan evolucionando sus métodos, tenemos la responsabilidad de adaptarnos con rapidez para ayudar a que nuestros clientes mitiguen la amenaza. Las mejoras realizadas a la solución RSA Adaptive Authentication On Premise es parte de una estrategia cohesiva diseñada para abordar las necesidades cambiantes de nuestros clientes y mitigar los riesgos continuos relacionados con los últimos ataques de malware que ocurren en canales de cajeros automáticos, dispositivos móviles y en línea”.

Comentario de un analista del sector:

Julie Conroy, director de investigación de Aite Group: “La trayectoria del delito cibernético está aumentando a un ritmo atemorizante, impulsado por grupos delictivos organizados internacionales que intentan obtener ganancias económicas. Las organizaciones que necesitan proteger recursos Web buscan soluciones de seguridad que las mantengan un paso adelante de los delincuentes cibernéticos, al mismo tiempo que equilibran la conveniencia para el usuario final”.

Disponibilidad

RSA Adaptive Authentication On Premise 7.0 ya está disponible.

Recursos destacados:

Recursos adicionales:

  • Obtenga más información acerca de TI confiable de EMC
  • Conéctese con RSA mediante Twitter, Facebook, YouTube, LinkedIn y el Blog y Podcast de RSA «Speaking of Security»

Acerca de RSA

RSA, la División de Seguridad de EMC, es el principal proveedor de soluciones de administración de cumplimiento, riesgo y seguridad para la aceleración del negocio. RSA ayuda a las principales organizaciones del mundo a alcanzar el éxito solucionando sus retos de seguridad más complejos y confidenciales. Entre estos retos, se incluyen la administración de los riesgos de las organizaciones, la protección de la colaboración y del acceso por medio de dispositivos móviles, la comprobación del cumplimiento de normas y la protección de ambientes virtuales y de nube.

Mediante la combinación de controles importantes para los negocios en verificación de identidad, administración de claves y encriptación, SIEM, prevención de pérdida de datos y protección contra fraudes con funciones eGRC líderes del sector y servicios de consultoría sólidos, RSA ofrece visibilidad y confianza a millones de identidades de usuarios, las transacciones que estos realizan y los datos que generan. Para obtener más información, visite www.EMC.com/RSA.