Tag Archives: Flamer

El robo de información, una tendencia en crecimiento

eset-medre-qr-itusersOperación Medre, Flamer y la fuga de información en Linkedin fueron los casos más destacados del mes.

Lima, 9 de julio del 2012.— En junio, el robo de información volvió nuevamente al centro de la escena en lo que a seguridad informática se refiere con los casos de Operación Medre, Flamer y el robo de credenciales de Linkedin, según informa la compañía de seguridad informática ESET.

Este mes, el Laboratorio de análisis e investigación de ESET Latinoamérica anunció el descubrimiento de un ataque dirigido con la intención de robar información sensible a instituciones y empresas de Perú. Se trataría del primer caso reportado de ciberespionaje a través de códigos maliciosos exclusivamente orientado a América Latina de esta magnitud.

La Operación Medre, denominada del mismo modo que el malware que ejecuta el ataque, se encontró activa desde el 2009 y, desde entonces, logró recolectar más de 10,000 archivos de planos y proyectos realizados con el programa Autodesk AutoCAD. Las detecciones se reportan en un 95% en Perú, de modo que los especialistas infieren que se trata de un ataque con un objetivo claramente definido, tal como ha sucedido anteriormente con los casos de Stuxnet y Duqu.

A su vez, a principios de junio, Flamer —que, al igual que Medre, también lleva algunos años activo— captó la atención pública por haber sido detectado en países que ya han sufrido ataques cibernéticos dirigidos a sus instalaciones y plantas industriales, lo que llevaría a pensar en un posible ataque dirigido. Se presume que el principal objetivo de este código malicioso podría ser el robo de información.

“Mientras los casos de ciberespionaje siguen apareciendo, Operación Medre vino a comprobar que Latinoamérica no está exenta de este tipo de ataques. De la misma forma, queda confirmado que los códigos maliciosos ya no ofician de meros componentes aislados, sino que son una herramienta fundamental de los cibercriminales para delitos de índole mayor”, aseguró Sebastián Bortnik, Gerente de Educación & Servicios de ESET Latinoamérica.

Para conocer más sobre Operación Medre puede visitar el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2012/06/21/operacion-medre-espionaje-industrial-latinoamerica/

Por otro lado, este mes fue también vulnerada la popular red social para profesionales LinkedIn, que sufrió el robo y la publicación de 6.5 millones de contraseñas. La empresa confirmó el incidente y notificó a los usuarios sobre la necesidad de establecer una nueva contraseña. Last.fm, servicio online de recomendaciones musicales, también padeció un caso de fuga de información durante junio.

“Teniendo en cuenta las limitaciones del ser humano para memorizar información, se puede explicar la tendencia a utilizar pocas o una sola contraseña para todos los sitios registrados. Y como todos los sitios no garantizan el mismo nivel de seguridad, potencialmente puede quedar expuesta la información. Es decir que el nivel de protección de un usuario va a ser tanto como lo garantice el sitio con el nivel de seguridad más bajo. La reutilización de contraseñas puede comprometer seriamente la información en la red, motivo por el cual se recomienda a los usuarios asignar contraseñas distintas de acuerdo al nivel de criticidad de los servicios”, concluyó Raphael Labaca Castro, Coordinador de Awareness & Research de ESET Latinoamérica.

Para más información acerca de los principales ataques informáticos de junio, puede visitar el reporte de las amenazas más importantes del mes publicado en elBlog del Laboratorio de ESET: http://blogs.eset-la.com/laboratorio/2012/07/03/resumen-amenazas-junio-2012/

Operación Medre: más de 10 mil proyectos robados por ciberespionaje en Perú

medre-archivos-robados-peru-eset-itusersESET Latinoamérica anuncia el descubrimiento de un ataque dirigido en Perú con el objetivo de obtener archivos AutoCAD.

Lima, 21 de junio del 2012.— El Laboratorio de análisis e investigación de ESET Latinoamérica anuncia el descubrimiento de un ataque dirigido con la intención de robar información sensible a instituciones y empresas de Perú. Se trataría del primer caso reportado de ciberespionaje a través de códigos maliciosos exclusivamente orientado en América Latina de esta magnitud.

La Operación Medre, denominada del mismo modo que el malware que ejecuta el ataque, se encontró activa desde el 2009 y desde entonces, logró recolectar más de 10,000 archivos de planos y proyectos realizados con el programa Autodesk AutoCAD. Las detecciones se reportan en un 95% en Perú, de modo que los especialistas infieren que se trata de un ataque con un objetivo claramente definido, tal como ha sucedido anteriormente con los casos de Stuxnet, Duqu y Flamer.

De acuerdo a la investigación de ESET Latinoamérica, el código malicioso fue identificado, entre otros, en dos dominios pertenecientes al gobierno peruano, uno de ellos relativo al sistema por medio del cual las empresas pueden participar de los procesos de selección convocados por entidades gubernamentales para contrataciones públicas.

“Operación Medre ha sido diseñada por los cibercriminales con el claro objetivo de robar proyectos de índole industrial, probablemente con el foco en aquellos presentados por empresas al Estado peruano, tal como evidencian los índices de propagación de la amenaza, sus funciones y los dominios afectados. A partir de la investigación realizada creemos que se trataría de un caso de ciberespionaje industrial de gran escala y el primero de esta clase en valerse de códigos maliciosos como herramienta en nuestra región”, aseguró Sebastián Bortnik, Gerente de Educación & Servicios de ESET Latinoamérica.

Medre es un gusano diseñado para infectar versiones actuales y futuras —incluye características que le permitirían adaptarse hasta la versión 2015 del software— de Autodesk AutoCAD, popular programa de diseño asistido por computadora para dibujo en dos y tres dimensiones utilizado por arquitectos, ingenieros y diseñadores industriales. Luego de realizar ciertas configuraciones, el código malicioso envía todo proyecto que se abra a una dirección de correo electrónico radicada en un servidor en China.

“En la línea de Stuxnet, Duqu, o Flamer, se trata de amenazas complejas con objetivos específicos, lo que permite a los ciberatacantes no sólo una mayor efectividad sino también un bajo índice de propagación a nivel mundial de modo de evitar alertar a la víctima y a la industria de la seguridad informática”, agregó Joaquín Rodríguez Varela, Coordinador de Laboratorio de ESET Latinoamérica.

Luego del descubrimiento, la compañía líder en detección proactiva de amenazas ha desarrollado una herramienta de limpieza gratuita que se encuentra disponible para ser descargada por cualquier usuario en: http://www.eset-la.com/download/herramientas-limpieza-virus-gratuitas

Finalmente, con el objetivo de dar a conocer la investigación realizada e informar detalladamente sobre Operación Medre los especialistas de ESET Latinoamérica brindarán un webinario gratuito y abierto a la comunidad el próximo jueves 28 a las 16:00 hs (hora argentina). Todos los interesados en participar de la exposición podrán hacerlo ingresando a: http://eset.la/M4I02l

A su vez, los interesados en conocer más sobre el caso pueden acceder al informe completo elaborado por los investigadores de ESET en: http://www.eset-la.com/centro-amenazas/articulo/Operacion-Medre-espionaje-industrial-latinoamerica/2777

Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. En 2012 la empresa  se encuentra celebrando los 20 años de trayectoria en la industria de la seguridad informática. En la actualidad cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Bristol (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.

El trabajo de ESET con grandes corporaciones como Canon, Dell, Bridgestone y Microsoft le ha permitido entrar en el Deloitte Technology Fast 500, región Europa, Medio Oriente y África, por cinco años consecutivos.

ESET cuenta también con un largo historial de reconocimientos por parte de prestigiosos laboratorios de la industria: su solución ESET NOD32 logra más premios de Virus Bulletin que ningún otro producto antivirus disponible, detectando consistentemente todos las muestras activas (In-the-Wild) sin generar falsos positivos.

Desde el 2004, ESET opera para la región de América Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigación focalizado en el descubrimiento proactivo de variadas amenazas informáticas.

La importancia de complementar la protección brindada por tecnología líder en detección proactiva de amenazas con una navegación y uso responsable del equipo, junto con el interés de fomentar la concientización de los usuarios en materia de seguridad informática, convierten a las campañas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio.

Para más información, visite www.eset-la.com

5 mitos o verdades sobre Flamer

Por: Raphael Labaca Castro, ESET Awareness & Research Coordinator

Lima, Perú, 02 de junio del 2012.– Hace varios días venimos observando muchas opiniones de este gusano que es detectado por ESET Smart Security como Win32/Flamer. Su nombre puede variar entre Flamer, Flame y sKyWIper según la fuente.

Debido a la gran repercusión que está teniendo este malware se ha generado mucha especulación al respecto. Por eso, parece interesante aclarar algunos detalles sobre este código malicioso que todavía se encuentran algo difusos. El 28 de mayo pasado, el Centro de Coordinación del Equipo de Respuesta de Emergencias Computacionales (CERT) de Irán, puso a disposición las muestras a algunas empresas fabricantes de software de seguridad para que sean debidamente analizadas. A partir de eso, el Laboratorio de Criptografía y Seguridad en Sistemas de la Universidad de Tecnología de Budapest hizo un interesante análisis sobre la amenaza que es recomendable tener en cuenta. Posterior a estos hechos, comenzó a circular mucha información al respecto en Internet, que podría llevar a la confusión a algunos usuarios. Por esa razón, decidimos desmitificar algunas de esas afirmaciones y aclarar algunos detalles de este polémico gusano:

Flamer es una amenaza nueva

Falso, esta amenaza ya está hace algunos años activa. No obstante, ahora han aumentado las atenciones hacia ella desde que fue publicada por el CERT de Irán y las respectivas compañías de seguridad. Adicionalmente, comenzaron a aparecer detecciones en determinados países que ya han sufrido ataques cibernéticos dirigidos a sus instalaciones y plantas industriales, lo que lleva a pensar en una evolución de ese malware.

Flamer está relacionado con Stuxnet y Duqu

En algunos aspectos, ya que existen determinados indicios que llevan a considerar esta teoría. En primer lugar, Flamer sí tiene algunas cosas en común como un diseño modular que le permite agregar o actualizar funcionalidades de forma independiente y en diferentes momentos. Sin embargo, por otro lado, Flamer es capaz de propagarse a través de USB al igual que Stuxnet pero a diferencia de Duqu. Stuxnet, además, se replicaba automáticamente, mientras que Flamer y Duqu no. Por lo tanto, existen una infinidad de características que lo hacen similar a estas dos amenazas y otro tanto que lo hacen una amenaza particular.

Su tamaño es de 20 Mb, lo cual es sensiblemente mayor a las otras amenazas

Verdadero, tomando todos sus módulos es una amenaza con un tamaño considerable ya que el resto normalmente no supera el megabyte. De hecho, es decenas de veces más grande que otras amenazas como Stuxnet. Esto puede deberse a que tiene mucho código de terceros embebido en su contenido mientras que la mayoría de las otras amenazas no lo hace.

Es el código malicioso más letal de todos los tiempos

Depende. Es difícil poder determinar esto sin saber realmente cuáles son sus blancos. Es una amenaza que está teóricamente diseñada para el robo de información, sin embargo han aparecido detecciones en diversos países. Desde el Medio Oriente hasta algunos países de Europa del Este. Por lo tanto, lo más razonable sería contar con más información para poder afirmar este hecho.

No podemos protegernos de estas amenazas complejas

Falso, a pesar de que estas amenazas presentan muchas características de propagación y un nivel de complejidad superior al promedio, existen mecanismos para proteger la información del usuario. En el caso particular de Flamer, se explotan vulnerabilidades conocidas como MS10-061 y MS10-046 y ninguna 0-day. Por lo tanto, existen parches tanto para la primera como para la segunda vulnerabilidad explotada, ya publicados de parte de Microsoft. Adicionalmente,  es recomendable la utilización de una tecnología de seguridad que permita detectar esta amenaza antes de que ingrese al sistema para mantener a los usuarios seguros de forma proactiva.

En fin, quedan muchos datos por confirmar acerca de la magnitud de los daños que podría causar esta amenaza y hacia quiénes, por lo cual le recomendamos a todos nuestros usuarios mantener actualizados sus sistemas y antivirus de modo que sus datos no se vean comprometidos. Con respecto a la evolución de esta amenaza, hay cosas que todavía son inciertas sin embargo ya tenemos información suficiente para estar atentos ya que seguramente no se va tratar de una amenaza más en Internet.