Tag Archives: endpoints

Gusano Turla y el peor incidente de seguridad militar de la historia

turla-kaspersky-itusersComo Turla y ‘el peor incidente de seguridad a computadoras militares estadounidenses en la historia’ están relacionados

Lima, Perú, 15 de marzo del 2014.— Expertos de G-Data y BAE Systems publicaron recientemente información sobre una operación de ciberespionaje persistente llamada Turla (también conocida como Serpiente o Uroburos). Además de esto, el equipo de investigación y análisis de Kaspersky Lab ahora ha descubierto una conexión inesperada entre Turla y una pieza existente de malware conocido como Agent.BTZ.

En 2008, Agent.BTZ infectó las redes locales del Centro de Comando de los Estados Unidos en el Medio Oriente, un incidente que en ese entonces se denominó «el peor incidente de seguridad a computadoras militares estadounidenses en la historia.» Especialistas en el Pentágono tardaron unos 14 meses en desinfectar completamente el Agent.BTZ de las redes militares, experiencia que condujo a la creación del Comando Cibernético de EE.UU. El gusano, que se cree fue creado alrededor de 2007, tiene la capacidad de escanear las computadoras para obtener información sensible y enviar datos a un servidor de comando y control remoto.

Fuente de inspiración

Kaspersky Lab obtuvo conocimiento inicial de la campaña de ciberespionaje Turla en marzo de 2013, cuando los expertos de la compañía estaban investigando un incidente con un rootkit altamente sofisticado. Originalmente conocido como el «Sun rootkit«, basado en el nombre de un archivo utilizado como un sistema de archivos virtual «sunstore.dmp«, también es accesible como «\\.\Sundrive1» y «\\.\Sundrive2”. El «Sun rootkit» y la Serpiente son, de hecho, una y la misma.

Fue durante esta investigación que los expertos de Kaspersky Lab encontraron algunas conexiones interesantes entre Turla, un programa muy sofisticado, multifuncional, y Agent.btz. El gusano Agent.btz parece haber sido la inspiración para la creación de una amplia gama de las más sofisticadas herramientas de ciberespionaje hasta la fecha, incluyendo Octubre Rojo, Turla y Flame/Gauss:

  • Octubre Rojo: Los desarrolladores de esta arma claramente tenían conocimiento de la funcionalidad del Agent.btz ya que su módulo de robo de USB (creado en 2010-2011) busca los contenedores de datos del gusano (archivos «mssysmgr.ocx» y «thumb.dd») que contienen información acerca de los sistemas infectados y registros de actividad, para luego robarlos de las unidades USB conectadas.
  • Turla utiliza los mismos nombres de archivo para sus registros («mswmpdat.tlb», «winview.ocx» y «wmcache.nld») mientras se almacena en el sistema infectado, y la misma clave XOR para cifrar sus archivos de registro como Agent.btz.
  • Flame/Gauss utiliza convenciones para nombres similares, como archivos «*.ocx» y «thumb*.db». Además, también utilizan el USB como contenedor para los datos robados.

Una pregunta de atribución

Teniendo en cuenta estos hechos, es evidente que los desarrolladores de las cuatro campañas de ciberespionaje estudiaron al Agent.btz en detalle para entender cómo funciona, los nombres de archivo que utiliza, y utilizaron esta información como un modelo para el desarrollo de los programas de malware, todos los cuales tenían objetivos similares. Pero, ¿esto significa que existe un vínculo directo entre los desarrolladores de estas herramientas de ciberespionaje?

«No es posible establecer una conclusión solo en estos hechos«, comenta Aleks Gostev, Jefe Experto de Seguridad de Kaspersky LabLa información utilizada por los desarrolladores era conocida públicamente en el momento de Octubre Rojo y la creación de Flame/Gauss. No es ningún secreto que el Agent.btz utiliza «thumb.dd» como un archivo contenedor para recopilar información de los sistemas infectados y, además, la clave XOR utilizado por los desarrolladores de Turla y Agent.btz para cifrar sus archivos de registro se publicó también en 2008. No sabemos cuándo se utilizó esta clave por primera vez en Turla, pero podemos verlo en las últimas muestras de malware que se crearon alrededor de 2013 al 2014. Al mismo tiempo, hay cierta evidencia que apunta hacia el desarrollo inicial de Turla en el 2006 —antes de cualquier muestra conocida del Agent.btz, lo que deja la pregunta abierta«.

Agent.btz – ¿continuará?

Han habido numerosas modificaciones del gusano Agent.btz. Hoy en día, nuestros productos detectan todas sus formas en el veredicto principal Worm.Win32.Orbina. Debido a su método de replicación (a través de unidades USB) se ha extendido en todo el mundo. Es posible ver de los datos de Kaspersky Lab que en el 2013 fue descubierto el Agent.btz en 13.800 sistemas en 100 países. Esto nos lleva a la conclusión que probablemente existen decenas de miles de unidades USB en todo el mundo infectados con el Agent.btz, que contiene el archivo «thumb.dd» con información sobre los sistemas infectados.

Para más detalles haga clic aquí: Securelist.com

Acerca de Kaspersky Lab 

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 16 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visite http://latam.kaspersky.com.

*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2012. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2013-2017 y Acciones de Proveedores 2012» – (IDC #242618, agosto de 2013). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de seguridad de endpoint en 2012.

McAfee detiene amenazas avanzadas en milisegundos

Threat-Intelligence-Sources-mcafee-itusersEl nuevo McAfee Threat Intelligence Exchange agrega coordinación en tiempo real a la plataforma de Security Connected

Lima, Perú, 26 de Febrero 2014.— McAfee anunció, McAfee Threat Intelligence Exchange, el cual elimina la separación entre la detección y la contención de ataques dirigidos avanzados. El producto es el primero de la industria en coordinar las soluciones de seguridad de la empresa y la información local y global de inteligencia contra amenazas en un único sistema de seguridad integrado. Al compartir datos de seguridad relevantes y dirigir acciones preventivas en tiempo real, McAfee puede proporcionar protección inmediata contra las amenazas que suponen los ataques dirigidos avanzados. Lo que tradicionalmente tomaba días, semanas o meses, ahora solo toma milisegundos.

Las infracciones recientes en datos de alto perfil resaltan el desafío que afrontan las organizaciones para entender y combatir los ataques dirigidos avanzados.  En muchos casos, la infracción no se descubre por días o semanas después de ocurrido el evento inicial, y normalmente, mucho después de que se haya extraído la información propietaria y personal identificable. La capacidad de detectar rápidamente y adelantarse a amenazas avanzadas ahora es un diferenciador comercial, ya que las compañías buscan proteger su propiedad intelectual y garantizar a los clientes que sus datos se encuentran a salvo y seguros.

McAfee ahora ofrece inteligencia contra amenazas colectiva, junto con una tecnología de protección de endpoints nueva e innovadora, que coordina los productos de seguridad para identificar patrones, inmunizar activos contra malware nuevo, y evitar la filtración de datos en tiempo real, optimizando la seguridad de cada organización. Mediante un motor de protección basado en reglas flexibles, los administradores pueden crear una “lista inteligente” o ajustar certificados, reputaciones, archivos y aplicaciones que puedan ejecutar en su entorno en función del contexto y elegir las acciones correctas a tomar como bloquear, habilitar, enviar a cuarentena o investigar más con cualquier archivo sospechoso y desconocido. Estas opciones permiten a los clientes que la protección y la tolerancia a los riesgos coincidan y, por primera vez, a medida que aparecen amenazas, las defensas protegen a los activos sin las demoras de las firmas o las búsquedas en la nube.

McAfee Threat Intelligence Exchange es el único producto de la industria que combina los datos de amenazas locales con fuentes de datos de inteligencia global, como McAfee Global Threat Intelligence, para ofrecer una inteligencia contra amenazas completa para las empresas. McAfee puede integrar los datos de eventos históricos de una empresa, a partir de los endpoints, portales y otros componentes de seguridad y datos de la organización introducidos manualmente, con la inteligencia contra amenazas de McAfee y otras fuentes de terceros.

Esta inteligencia contra amenazas colectiva proporciona una identificación sin precedentes de ataques dirigidos y permite controles personalizados que protegen de forma automática en función de las prioridades y riesgos exclusivos de cada organización. Este nivel de precisión ofrece la protección más completa e inmediata contra los criminales y perpetradores que están detrás de los ataques más dañinos.

McAfee Threat Intelligence Exchange reducirá drásticamente el tiempo entre la detección y la contención de las amenazas, ofreciendo una protección contra amenazas avanzadas desconocidas y nuevas”, mencionó Chet Black, Gerente de Seguridad de TI de AT&T.Nuestra inversión continua en la plataforma McAfee Security Connected hace a nuestras soluciones de seguridad más eficientes y flexibles, lo que optimiza la seguridad de nuestra organización y reduce nuestros costos de operación” concluyó.

Cumplir con la visión de Security Connected:

Dado este anuncio, ahora la plataforma de McAfee Security Connected incluye un marco de trabajo de intercambio de datos en tiempo real, la capa de intercambio de datos de McAfee, para organizar y compartir contexto en tiempo real, además de la inteligencia contra amenazas colectiva y la prevención contra amenazas adaptable en McAfee Threat Intelligence Exchange. Estos descubrimientos estimulan el desempeño de la protección de las soluciones de McAfee existentes, incluyendo McAfee Advanced Threat Defense, McAfee Enterprise Security Manager, McAfee ePolicy Orchestrator, y McAfee VirusScan Enterprise.

Dada la existencia de amenazas complejas que atacan a las empresas a diario, nuestros clientes necesitan esta prevención adaptiva contra amenazas ahora”, mencionó Mike Fey, Jefe de Tecnología Mundial de McAfee. “Estamos facilitando unir la inteligencia a las acciones para que los productos que los clientes poseen otorguen una mayor protección y al mismo tiempo encontrar formas de reducir los costos de operación.  Estamos ofreciendo la tecnología que otros recién empezaron a considerar para fortalecer la plataforma sobre la cual dependerán los productos de seguridad del futuro”.

Características y beneficios:

La solución McAfee Threat Intelligence Exchange proporciona nuevos enfoques para responder a los problemas cada vez más urgentes que los clientes afrontan, cada vez,  con mayor frecuencia a medida que los ataques dirigidos aumentan.

  • Las protecciones nuevas usan un motor de políticas y reglas ajustables para impulsar bloqueos automatizados y eficientes, cuarentenas y remedios dentro de los endpoints, además de facilitar análisis dinámicos y estáticos completos por parte de McAfee Advanced Threat Defense

  • Reemplaza tareas manuales costosas con un intercambio de datos en tiempo real y automatizado que ofrece comprensión y respuesta al instante en los componentes de seguridad, endpoints y redes

  • Protege en función de la inteligencia contra amenazas colectiva más completa armada a partir de fuentes de datos de inteligencia global y de terceros combinados con la inteligencia contra amenazas local y el conocimiento de la organización personalizado

  • El bloqueo contextual personalizado, o creación de “listas inteligentes”, optimiza la protección en función de la información local como la prevalencia, qué tan recientemente se creó, la fuente y un valor hash

Disponibilidad:

Para obtener más información sobre McAfee Threat Intelligence Exchange ingrese a www.mcafee.com/TIE. Se espera que el producto esté disponible en el segundo trimestre de 2014.

Acerca de McAfee

McAfee, una subsidiaria de propiedad absoluta de Intel Corporation (NASDAQ:INTC), es la compañía más grande de tecnología dedicada a seguridad. McAfee proporciona soluciones y servicios proactivos y comprobados que ayudan a asegurar sistemas, redes y dispositivos móviles en todo el mundo, lo que permite a los usuarios conectarse de forma segura a Internet, navegar y comprar por Internet con mayor seguridad. Respaldado por su inigualable Global Threat Intelligence, McAfee crea productos innovadores que brindan a usuarios domésticos, empresas, sector público y proveedores de servicios la capacidad de cumplir regulaciones, proteger sus datos, evitar interrupciones, identificar vulnerabilidades y supervisar y mejorar continuamente su seguridad

Con el respaldo inigualable de Global Threat Intelligence, McAfee crea productos innovadores que brindan a los usuarios domésticos, empresas, sector público y proveedores de servicios, la capacidad de cumplir con las regulaciones, proteger sus datos, evitar disrupciones, identificar vulnerabilidades y supervisar y mejorar continuamente la seguridad. McAfee se enfoca, sin descanso en encontrar constantemente nuevas formas de mantener seguros a nuestros clientes. http://www.mcafee.com

Kaspersky Lab es nombrado «Líder» en el Cuadrante Mágico de Gartner

Kids_Online_1_Kaspersky-itusersKaspersky Lab mejora su posición y es segundo en «integridad de visión» en la sección de «Líderes» del Cuadrante Mágico de Gartner

Lima, Perú, 05 de febrero del 2014.— Kaspersky Lab ha sido nombrado «Líder» en el Cuadrante Mágico de Gartner 2014 para plataformas de protección para endpoint por tercer año consecutivo*. Para Kaspersky Lab, el reconocimiento otorgado por el último informe de Gartner confirma una vez más la posición de la compañía como principal proveedor de soluciones de protección para endpoint.

El Cuadrante Mágico de Gartner está basado en un complejo análisis de plataformas de protección endpoint realizado a los 18 proveedores de seguridad TI. Es la referencia más influyente para las empresas que buscan evaluar a los proveedores y los productos de la industria de la seguridad de TI, y juega un papel muy importante en las decisiones de compra de las empresas a escala global. Este Cuadrante Mágico basa su criterio en dos categorías: “integridad de visión” y “capacidad de ejecución”. La “integridad de visión” incluye 8 criterios de evaluación: comprensión del mercado, estrategia de mercadeo, estrategia de ventas, estrategia de productos, modelo de negocio, estrategia vertical/de industria, innovación y estrategia geográfica. La «capacidad de ejecución» incluye factores tales como la viabilidad general del proveedor, la reacción del mercado, operaciones, ejecución de ventas/precios, comercialización y la experiencia del cliente.

El Cuadrante Mágico categoriza los proveedores incluidos en la investigación en cuatro grupos: «Líderes«, «Competidores«, «Visionarios» y «Protagonistas de nicho«. Los «Líderes» demuestran un progreso y esfuerzo equilibrado en las categorías de ejecución y visión. Sus capacidades en la protección contra el malware avanzado, protección de datos y/o características de administración incrementan el nivel competitivo para todos los productos en el mercado y están dándole forma al curso de la industria. Kaspersky Lab fue incluido en este  grupo de «Líderes» por tercer año consecutivo en base a estos criterios. La compañía ha continuado mejorando su posición en el gráfico y alcanzó el segundo puesto en «integridad de visión» entre las empresas en la sección de “Líderes” del Cuadrante Mágico.

La solución de seguridad insignia de la compañía —Kaspersky Endpoint Security for Business— ha sido reconocida por empresas y líderes en TI como una solución que no sólo proporciona la detección rápida y precisa de malware, pero que también integra numerosas herramientas de gestión de cliente desde una sola consola de administración. Algunas de estas funciones de gestión de seguridad incluyen el análisis de vulnerabilidades, gestión de parches, el inventario de aplicaciones, control de aplicaciones, administración de dispositivos móviles (MDM, por sus siglas en inglés)  y gestión a nivel de archivo y cifrado completo de disco de forma centralizada, con autenticación previa al arranque de los discos duros y dispositivos extraíbles.

Nikolay Grebennikov, director de tecnología de Kaspersky Lab, comentó sobre el reciente logro: «Nuestra ambición es ver un ciberespacio seguro al proporcionarle la máxima protección a nuestros clientes, y creemos que nuestra última posición dentro del Cuadrante Mágico de Gartner indica que estamos en el camino correcto. Este es un gran logro para nosotros y creo que demuestra que nuestra estrategia a largo plazo de invertir fuertemente en tecnología y experiencia continúa produciendo grandes resultados. Es muy alentador ver que nuestros esfuerzos están siendo reconocidos por el líder en investigación del mercado TI«.

El Cuadrante Mágico de Gartner para plataformas de protección para endpoint está disponible aquí.

Para información adicional, por favor lea el artículo en el blog de Kaspersky Lab: http://business.kaspersky.com/up-and-to-the-right/.

*Gartner, Cuadrante Mágico para plataformas de protección para endpoint, Peter Firstbrook, John Girard, Neil MacDonald, 8 de enero de 2014.

Acerca de Gartner Magic Quadrant

Gartner no respalda a ningún proveedor, producto o servicio representado en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología para seleccionar sólo a aquellos proveedores con las mejores calificaciones. Las publicaciones de investigación de Gartner consisten en las opiniones de los organismos de investigación de Gartner, y no deben interpretarse como declaraciones de hecho. Gartner renuncia a toda garantía, expresa o implícita, con respecto de esta investigación, incluyendo garantías o comercialidad o idoneidad para un propósito específico.

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints. Durante sus ya más de 16 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visite http://latam.kaspersky.com.