Tag Archives: Shamoon

Informe de amenazas de McAfee: Primer trimestre de 2013

Ciberdelincuentes-mcafee-itusersAtaques dirigidos continúan en aumento: “Pump and Dump” vuelve con registros de aumentos en el mercado de valores

Lima, Perú, 15 de Junio 2013.— McAfee Labs publicó el Informe de amenazas de McAfee: Primer trimestre de 2013, que establece una importante alza en la aparición del gusano de redes sociales Koobface y un drástico aumento del spam. McAfee Labs también observó un continuo aumento en el número y la complejidad de las amenazas dirigidas, las que incluyen troyanos para reunir información y amenazas dirigidas a los registros de arranque maestros (MBR) de los sistemas atacados.

McAfee Labs detectó casi tres veces más muestras de Koobface que lo visto en el trimestre anterior, un punto alto para el gusano de redes sociales que tiene como objetivo usuarios de Facebook, Twitter y otras redes sociales. Después de tres años de inactividad, los correos electrónicos de spam aumentaron significativamente. Un elemento importante detrás de este crecimiento en Estados Unidos fue el regreso de campañas de spam “pump and dump”, cuyo objetivo eran futuros inversionistas que esperan aprovechar al máximo los aumentos del mercado. El informe de McAfee Labs mostró un continuo aumento del malware para Android, URL maliciosas y muestras de malware en general.

Sin embargo, el aumento en el número y la sofisticación de las amenazas avanzadas persistentes (APT) dirigidas representaron la evolución más importante en el panorama de las amenazas, a medida que la información es tan valiosa como el dinero en el crimen cibernético. El informe presenta un aumento del 30 % en el malware relacionado con MBR y nuevas instancias de troyanos que roban contraseñas que son readaptados para capturar información de personas y organizaciones detrás de la industria de servicios financieros.

“Los delincuentes cibernéticos se han dado cuenta que la información personal delicada y organizacional es la moneda de su economía de hacker”, señaló Vincent Weafer, vicepresidente de alto nivel de McAfee Labs.  “La resurrección de Koobface nos recuerda que las redes sociales continúan presentando una importante oportunidad para interceptar información personal. Dentro de la empresa, vemos troyanos que roban contraseñas evolucionando para ser herramientas para reunir información para ataques de espionaje cibernético. Ya sea si su objetivo son credenciales de inicio de sesión o secretos de propiedad intelectual o empresarial, los ataques altamente dirigidos están alcanzando nuevos niveles de sofisticación.”

Todos los trimestres, el equipo de McAfee Labs de más de 500 investigadores multidisciplinarios en 30 países supervisa el panorama global de amenazas, al identificar las vulnerabilidades de las aplicaciones, analizar y correlacionar los riesgos y habilitar correcciones instantáneas para proteger a la empresa y al público. En este trimestre, McAfee Labs identificó los siguientes acontecimientos:

  • Troyano Koobface: Koobface, un gusano que se descubrió en 2008, no ha tenido cambios durante el último año. Sin embargo, en el primer trimestre del 2013 la actividad se ha triplicado a niveles nunca antes vistos. El aumento demuestra que la comunidad de delincuentes cibernéticos cree que los usuarios de redes sociales constituyen un objetivo muy atractivo de víctimas potenciales.

  • Volumen de spam: McAfee Labs ha observado el primer aumento en el volumen global de spam en más de tres años. Además de los populares fraudes “pump and dump”, se considera el aumento en el ofrecimiento de hormona de crecimiento y de campañas de spam en mercados emergentes para el crecimiento de esta categoría.

  • Espionaje dirigido: El último análisis de McAfee sobre el troyano Citadel determinó que los criminales han reacondicionado esta amenaza a las cuentas bancarias para robar información personal de víctimas dirigidas de manera estricta dentro de organizaciones más allá de los servicios financieros. La industria debería esperar ver más instancias de malware bancario usado por operaciones de espionaje cibernético dentro de organizaciones gubernamentales y no financieras.

  • Ataques al MBR: El aumento en un 30% de amenazas relacionadas con MBR durante el primer trimestre incluye casos de malware StealthMBR, TDSS, Cidox y Shamoon. Al realizar las operaciones de inicio, el MBR le ofrece al atacante una amplia variedad de control del sistema, persistencia y capacidades de penetración. En la categoría se han visto aumentos récord durante los últimos dos trimestres.

  • URL maliciosas: La cantidad de URL sospechosas aumentó en un 12 % puesto que los criminales cibernéticos se alejan de las redes de bots como el mecanismo de distribución primario para el malware. Los sitios web maliciosos que lanzan descargas desapercibidas tienen la gran ventaja de ser más ágiles y menos susceptibles a las interrupciones de la justicia.

  • Malware móvil: A pesar de que el crecimiento del malware disminuyó levemente durante el trimestre, el malware para Android aumentó en un 40%.

  • Malware para PC: Las nuevas muestras de malware para PC aumentaron un 28 %, agregando 14 millones de muestras nuevas al “zoológico” de malware de más de 120 millones de amenazas de malware únicas.

Para leer el Informe de amenazas de McAfee completo del primer trimestre de 2013, visite http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2013.pdf.

Acerca de McAfee

McAfee, una subsidiaria de propiedad absoluta de Intel Corporation (NASDAQ:INTC), permite que las empresas, el sector público y los usuarios domésticos experimenten los beneficios de Internet con toda seguridad. La empresa ofrece soluciones y servicios de seguridad proactivos y comprobados para sistemas, redes y dispositivos móviles en todo el mundo. Con su estrategia Security Connected, un enfoque innovador en la seguridad potenciada por hardware y una red única de Inteligencia de amenazas globales, McAfee está completamente enfocada en mantener seguros a sus clientes. http://www.mcafee.com

Amenazas que hicieron noticia en el 2012 y predicciones 2013

kaspersky-targeted-itusersKaspersky Lab resume las tendencias claves de la seguridad TI del 2012 y predice las principales amenazas para el 2013

Lima, 10 de diciembre del 2012.— Los expertos de Kaspersky Lab resumieron las tendencias claves de seguridad del 2012 y presentaron su perspectiva sobre las amenazas claves del 2013. Las predicciones más notables para el próximo año incluyen el aumento continuo de ataques dirigidos, el ciber-espionaje y los ciber-ataques contra nación-estado, el papel evolutivo del «hacktivismo», el controvertido desarrollo de herramientas de vigilancia «legal» y el aumento de los ataques de los ciber-delincuentes contra los servicios basados en la nube.  Lea el reporte sobre los Diez Temas Principales de Seguridad que Formaron el 2012

Hechos que hicieron noticia en ciber-seguridad en el 2012:

  • Malware sofisticado contra Mac OS X
  • Crecimiento explosivo de las amenazas contra Android
  • «Flame y Gauss» como señal de operaciones de ciber-guerra patrocinadas por el estado
  • Fugas importantes de contraseñas de las páginas web más populares, como LinkedIn y Dropbox
  • Robo de certificados de Adobe
  • Nuevas vulnerabilidades de 0-días en Java y otros paquetes de software populares
  • Ataques sobre los dispositivos de las redes (primordialmente los DSL routers)
  • Interrupción de DNSChanger
  • Los destructivos malware Shamoon y Wiper
  • Campaña de ciber-espionaje Madi

Predicciones para wl 2013

  • Aumento continuo de los ataques dirigidos
  • Marcha continua del «hacktivismo»
  • Más ciber-ataques patrocinados por naciones-estados
  • Uso de herramientas «legales» de vigilancia en el ciber espacio apoyadas por los gobiernos
  • Ataques sobre la infraestructura basada en la nube
  • Deterioro de la privacidad digital
  • Problemas continuos con la confianza en línea y las autoridades digitales
  • Aumento continuo de malware para Mac OS X y móviles
  • Las vulnerabilidades y los exploits continúan siendo los métodos claves de ataque para los ciber-criminales
  • El gran despliegue de Ransomware y cryptoextortion malware

Vista General de las Predicciones

Los Ataques dirigidos sobre las compañías llegaron a ser una amenaza predominante solo dentro de los últimos dos años. Kaspersky Lab espera que continúe la cantidad de ataques dirigidos con fines de ciber-espionaje en el 2013 y más allá, convirtiéndose en la amenaza más significativa para los negocios. Otra tendencia que con seguridad tendrá un impacto sobre las compañías y gobiernos es el aumento continuo del «hacktivismo» y sus ciber ataques concomitantes con motivaciones políticas.

La Ciber guerra patrocinada por el estado continuará sin duda en el 2013. De hecho, durante el 2012, Kaspersky Lab descubrió tres nuevos e importantes programas maliciosos usados en las operaciones de la ciber-guerra: FlameGauss y miniFlame. Mientras Flame era el programa más grande y sofisticado del ciber-espionaje, su longevidad fue la característica más predominante. Como proyecto de por lo menos cinco años, Flame fue un ejemplo de un programa complejo y malicioso que podría existir sin ser detectado durante un tiempo extenso, mientras recolectaba grandes cantidades de datos e información sensible de sus víctimas. Los expertos de Kaspersky Lab esperan que más países desarrollen sus propios ciber-programas para propósitos del ciber-espionaje y el ciber-sabotaje. Estos ataques afectarán no solamente a las instituciones gubernamentales, sino también a los negocios y las instalaciones de infraestructura críticas.

En el 2012 se desarrolló un debate continuo cuestionando si los gobiernos deberían desarrollar y usar software específico de vigilancia para analizar  a sospechosos en investigaciones criminales. Kaspersky Lab predice que en el 2013 se hablará más sobre este asunto mientras los gobiernos siguen creando o comprando herramientas de análisis adicionales para mejorar la vigilancia de los individuos, lo cual irá más allá de la interferencia de líneas telefónicas para habilitar el acceso secreto a los dispositivos móviles objetivo. Las herramientas de vigilancia apoyadas por los gobiernos en el ambiente cibernético muy probablemente continuarán su evolución, mientras las agencias del orden público intentarán mantenerse un paso adelante de los ciber-delincuentes. A su vez, los problemas controversiales sobre las libertades civiles y la privacidad de los consumidores asociada con las herramientas también continuará como tema de deliberación.

El desarrollo de las redes sociales y, desgraciadamente, las nuevas amenazas que afectan tanto a los consumidores como a los negocios, han creado un cambio drástico sobre la percepción de la privacidad y la confianza en línea. Mientras los consumidores entienden que una parte importante de su información personal ha sido entregada a los servicios en línea, la pregunta es si los consumidores confían en estos últimos. Dicha confianza ya ha sido perturbada después de la aparición de grandes fugas de contraseñas de los sitios web más populares como Dropbox y LinkedIn. El valor de la información personal —tanto para los ciber-delincuentes como para los negocios legítimos— está destinado a crecer significativamente en el futuro cercano.

El 2012 ha sido el año de crecimiento más explosivo del malware para móviles, siendo el enfoque principal de los ciber-delincuentes la plataforma Android, ya que fue la más popular y de mayor utilización. En el 2013 veremos probablemente una nueva y alarmante tendencia – el uso de las vulnerabilidades para extender los ataques «drive-by download» sobre los dispositivos móviles. Esto significa que la información personal y corporativa almacenada en los teléfonos inteligentes y las tablets será atacada con la misma frecuencia de como sucede en los computadores tradicionales. Por las mismas razones (aumento de la popularidad), los nuevos y sofisticados ataques serán realizados contra los dueños de dispositivos Apple también.

A medida que las vulnerabilidades en los dispositivos móviles se vuelven una amenaza creciente para los usuarios, las aplicaciones para computadores y las vulnerabilidades de los programas continuarán siendo explotadas en los PCs. Kaspersky Lab nombró al año 2012 “el año de las vulnerabilidades Java”, y en el 2013 Java continuará siendo explotado por los ciber-delincuentes a gran escala.  Sin embargo, a pesar de que Java continuará siendo objetivo para los exploits, la importancia de Adobe Flash y Adobe Reader como portales de malware decrecerá, gracias a que las últimas versiones incluyen sistemas de actualización automatizada para cubrir las vulnerabilidades de seguridad.

Cita de Costin Raiu, Director, Equipo Global de Investigación y Análisis de Kaspersky Lab:

«En nuestros reportes previos, clasificamos al 2011 como el año de crecimiento más explosivo de las nuevas ciber-amenazas. Los incidentes más notables del 2012 han revelado y forjado el futuro de la ciber-seguridad. Pensamos que el año entrante estará repleto de ataques de alto perfil sobre los consumidores, negocios y gobiernos por igual, y veremos las primeras señales de ataques notables contra la infraestructura crítica de la industria. Las tendencias más notables del 2013 serán el nuevo ejemplo de las operaciones de la ciber-guerra, aumentando los ataques dirigidos sobre los negocios y las nuevas y sofisticadas amenazas contra los móviles».

Enlaces de interés

Historias anteriores

Kaspersky Security Bulletin

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para terminales. La compañía se ubicó entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de terminales*. Durante sus 15 años de historia, Kaspersky Lab continúa siendo un innovador en la seguridad informática y ofrece soluciones efectivas en seguridad digital para los consumidores, SMB y empresas. La compañía actualmente opera en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios en todo el mundo. Obtenga más información en www.kaspersky.com.

*La compañía calificó como cuarta en la clasificación IDC de los Ingresos por Seguridad de Terminales en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del «Pronóstico de Productos de Seguridad Informática en el Mundo, 2012-2016 y de Acciones de Proveedores 2011 – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de seguridad de terminales en 2011.

Kaspersky Lab publica nuevos datos sobre Wiper

redes-zombie-kaspersky-itusersKaspersky Lab publica nuevos datos sobre Wiper, el malware destructivo dirigido al sector de la energía en Asia. Este nuevo malware ha puesto en jaque la sostenibilidad y la seguridad mundiales. Wiper es muy eficaz y podría desembocar en la creación de nuevo malware de «imitación» destructivo, como Shamoon.

Lima, 30 de agosto del 2012.— En abril de 2012 una serie de incidentes hicieron pública la aparición de un nuevo programa de malware destructivo llamado Wiper, que estaba atacando a los sistemas informáticos relacionados con una serie de instalaciones de petróleo al oeste de Asia. En mayo de 2012, el equipo de investigación de Kaspersky Lab realizó una búsqueda impulsada por la agencia de Naciones Unidas para la Información y la Comunidad Tecnológica (ITU), para investigar los hechos y determinar la potencial amenaza de este nuevo malware que ponía en jaque la sostenibilidad y la seguridad mundiales.

Se hace pública una nueva investigación de los expertos de Kaspersky Lab tras un análisis forense digital de las imágenes de disco duro obtenidos de las máquinas atacadas por Wiper. El análisis proporciona información detallada sobre el eficaz método utilizado por Wiper para la destrucción de los sistemas informáticos, incluyendo datos exclusivos de limpieza de patrones y comportamientos destructivos. A pesar de que la búsqueda de Wiper desembocó en el descubrimiento accidental de Flame, Wiper en sí no fue identificado.

Conclusiones:

  •  Kaspersky Lab confirma que Wiper fue responsable de los ataques lanzados contra los sistemas informáticos del oeste de Asia del 21 al 30 de abril de  2012.
  •  El análisis de las imágenes del disco duro de las computadoras que fueron destruidas por Wiper revelan un patrón de datos de limpieza específico junto con un nombre de determinado componente de malware, que empezaba con ~ D. Estos resultados son una reminiscencia de Duqu y Stuxnet, que también utilizan nombres de archivo que comienzan con ~ D, y ambos fueron construidos en la misma plataforma —conocida como Tilded.
  •  Kaspersky Lab comenzó a buscar otros archivos que comenzaran con ~ D a través de Kaspersky Security Network (KSN) para tratar de encontrar archivos adicionales de Wiper basados en la conexión con la plataforma Tilded.
  •  Durante este proceso, Kaspersky Lab identificó un gran número de archivos en el oeste de Asia, llamados ~ DEB93D.tmp. Un análisis más detallado mostró que este archivo era en realidad parte de otro tipo de malware: Flame. Así es como Kaspersky Lab descubrió Flame.
  •  A pesar de que Flame se descubriera durante la búsqueda de Wiper, el equipo de investigación de Kaspersky Lab cree que Wiper y Flame son dos programas maliciosos separados y distintos.
  •  A pesar de que Kaspersky Lab analiza los rastros de infección Wiper, el malware sigue siendo desconocido porque no se han registrado incidentes adicionales de limpieza que sigan el mismo patrón.
  •  Wiper es muy eficaz y podría desembocar en la creación de nuevo malware de «imitación» destructivo, como Shamoon.

Análisis forense de las computadoras afectadas

El análisis de Kaspersky Lab de las imágenes de disco duro adoptadas por las máquinas destruidas por Wiper mostró que el programa malicioso limpió los discos duros de los sistemas de destino y destruyó todos los datos que podrían ser utilizados para identificar el malware. El sistema de archivos corrompidos por Wiper impedía reiniciar los equipos y desembocó en un mal funcionamiento general. Por lo tanto, en cada máquina que se ha analizado, casi no quedó nada después de la activación de Wiper, incluida la posibilidad de recuperar o restaurar los datos.

Además, la investigación de Kaspersky Lab revela información valiosa sobre el patrón específico de limpieza utilizado por el malware, junto con algunos nombres de componentes del malware y, en algunos casos, las claves de registro que revelaron los nombres anteriores de archivos borrados del disco duro. Estas claves del registro apuntaban que el nombre de archivo comenzaba con ~ D.

Patrón único de limpieza

El análisis del patrón de barrido de Wiper mostró un método, que se llevó a cabo en cada máquina en la que se activó el malware. El algoritmo de Wiper fue diseñado para destruir rápidamente todos los archivos de forma efectiva y pueden incluir varios gigabytes a la vez. Alrededor de tres de cada cuatro máquinas seleccionadas tenían sus datos completamente borrados, con una operación que se centra en la destrucción de la primera mitad del disco y que luego limpia sistemáticamente los archivos restantes que permitieron que el disco funcionara correctamente, dando lugar a que el sistema finalmente fallase. Además, sabemos que los ataques de Wiper se dirigen a los archivos específicos .PNF, que no tendrían sentido si no se relacionan con la eliminación de componentes maliciosos adicionales. Éste fue también un hallazgo interesante, ya que Duqu y Stuxnet mantuvieron su cuerpo principal cifrado en archivos .PNF.

Cómo la búsqueda de Wiper llevó a descubrir Flame

Los archivos temporales (TMP) que comienzan con ~ D también fueron utilizados por Duqu, que fue construido al igual que Stuxnet, en la plataforma de ataque Tilded. A partir de aquí, el equipo de investigación de Kaspersky Lab comenzó a buscar otros nombres de archivos potencialmente desconocidos relacionados con Wiper y basados en la plataforma Tilded utilizando KSN, que es la infraestructura cloud utilizada por Kaspersky Lab para ofrecer una protección instantánea en forma de listas negras y reglas heurísticas diseñadas para atrapar las amenazas más recientes.

Durante este proceso, el equipo de investigación de Kaspersky Lab descubrió que varias computadoras en Asia occidental contenían el nombre de archivo «“~DEB93D.tmp». Así es como Kaspersky Lab descubrió Flame, sin embargo, no se encontró Wiper usando este método y todavía no se ha identificado.

Alexander Gostev, experto y jefe de seguridad de Kaspersky Lab, afirma: «Basado en nuestro análisis de los patrones de Wiper y examinar imágenes del disco duro, no hay duda de que el malware existió y fue utilizado para atacar los sistemas informáticos en el oeste de Asia en abril de 2012, y probablemente incluso antes —en diciembre de 2011. A pesar de que hemos descubierto Flame durante la búsqueda de Wiper, creemos que Wiper no es Flame, sino un tipo distinto de malware. El comportamiento destructivo de Wiper, combinado con los nombres de los archivos que quedaron borrados en los sistemas, se parece mucho al programa que utiliza la plataforma Tilded. La arquitectura modular de Flame era completamente diferente y fue diseñado para ejecutar una sostenida y exhaustiva campaña de ciberespionaje. Asimismo, no se identificó ningún comportamiento destructivo que fuera utilizado por Wiper durante nuestro análisis de Flame».

En este blog de los analistas de Kaspersky Lab pueden obtener más información sobre Wiper:

http://www.securelist.com/en/blog/208193808/What_was_that_Wiper_thing

Acerca de Kaspersky Lab

Kaspersky Lab es el vendedor privado de soluciones para endpoints más grande del mundo. La compañía está clasificada entre los cuatro vendedores más grandes de soluciones de seguridad para usuarios finales a nivel mundial*. A lo largo de sus 15 años de historia, Kaspersky Lab se ha mantenido como innovador en la seguridad TI y ofrece soluciones digitales de seguridad eficientes para consumidores, PYMES y corporativos. La compañía actualmente opera en casi 200 países y territorios, suministrando protección a más de 300 millones de usuarios alrededor del mundo. Para más información, visite: http://latam.kaspersky.com.

*La compañía obtuvo el cuarto lugar en la clasificación global de rentas de seguridad de endpoints por vendedor de IDC, 2010. La clasificación fue publicada en el reporte Worldwide IT Security Products 2011-2015 Forecast and Vendor Shares— diciembre 2011 de IDC. El reporte clasificó a vendedores de software de acuerdo a los ingresos de las ventas de soluciones para la seguridad de endpoints en el 2010.