Tag Archives: Wiper

Amenazas que hicieron noticia en el 2012 y predicciones 2013

kaspersky-targeted-itusersKaspersky Lab resume las tendencias claves de la seguridad TI del 2012 y predice las principales amenazas para el 2013

Lima, 10 de diciembre del 2012.— Los expertos de Kaspersky Lab resumieron las tendencias claves de seguridad del 2012 y presentaron su perspectiva sobre las amenazas claves del 2013. Las predicciones más notables para el próximo año incluyen el aumento continuo de ataques dirigidos, el ciber-espionaje y los ciber-ataques contra nación-estado, el papel evolutivo del «hacktivismo», el controvertido desarrollo de herramientas de vigilancia «legal» y el aumento de los ataques de los ciber-delincuentes contra los servicios basados en la nube.  Lea el reporte sobre los Diez Temas Principales de Seguridad que Formaron el 2012

Hechos que hicieron noticia en ciber-seguridad en el 2012:

  • Malware sofisticado contra Mac OS X
  • Crecimiento explosivo de las amenazas contra Android
  • «Flame y Gauss» como señal de operaciones de ciber-guerra patrocinadas por el estado
  • Fugas importantes de contraseñas de las páginas web más populares, como LinkedIn y Dropbox
  • Robo de certificados de Adobe
  • Nuevas vulnerabilidades de 0-días en Java y otros paquetes de software populares
  • Ataques sobre los dispositivos de las redes (primordialmente los DSL routers)
  • Interrupción de DNSChanger
  • Los destructivos malware Shamoon y Wiper
  • Campaña de ciber-espionaje Madi

Predicciones para wl 2013

  • Aumento continuo de los ataques dirigidos
  • Marcha continua del «hacktivismo»
  • Más ciber-ataques patrocinados por naciones-estados
  • Uso de herramientas «legales» de vigilancia en el ciber espacio apoyadas por los gobiernos
  • Ataques sobre la infraestructura basada en la nube
  • Deterioro de la privacidad digital
  • Problemas continuos con la confianza en línea y las autoridades digitales
  • Aumento continuo de malware para Mac OS X y móviles
  • Las vulnerabilidades y los exploits continúan siendo los métodos claves de ataque para los ciber-criminales
  • El gran despliegue de Ransomware y cryptoextortion malware

Vista General de las Predicciones

Los Ataques dirigidos sobre las compañías llegaron a ser una amenaza predominante solo dentro de los últimos dos años. Kaspersky Lab espera que continúe la cantidad de ataques dirigidos con fines de ciber-espionaje en el 2013 y más allá, convirtiéndose en la amenaza más significativa para los negocios. Otra tendencia que con seguridad tendrá un impacto sobre las compañías y gobiernos es el aumento continuo del «hacktivismo» y sus ciber ataques concomitantes con motivaciones políticas.

La Ciber guerra patrocinada por el estado continuará sin duda en el 2013. De hecho, durante el 2012, Kaspersky Lab descubrió tres nuevos e importantes programas maliciosos usados en las operaciones de la ciber-guerra: FlameGauss y miniFlame. Mientras Flame era el programa más grande y sofisticado del ciber-espionaje, su longevidad fue la característica más predominante. Como proyecto de por lo menos cinco años, Flame fue un ejemplo de un programa complejo y malicioso que podría existir sin ser detectado durante un tiempo extenso, mientras recolectaba grandes cantidades de datos e información sensible de sus víctimas. Los expertos de Kaspersky Lab esperan que más países desarrollen sus propios ciber-programas para propósitos del ciber-espionaje y el ciber-sabotaje. Estos ataques afectarán no solamente a las instituciones gubernamentales, sino también a los negocios y las instalaciones de infraestructura críticas.

En el 2012 se desarrolló un debate continuo cuestionando si los gobiernos deberían desarrollar y usar software específico de vigilancia para analizar  a sospechosos en investigaciones criminales. Kaspersky Lab predice que en el 2013 se hablará más sobre este asunto mientras los gobiernos siguen creando o comprando herramientas de análisis adicionales para mejorar la vigilancia de los individuos, lo cual irá más allá de la interferencia de líneas telefónicas para habilitar el acceso secreto a los dispositivos móviles objetivo. Las herramientas de vigilancia apoyadas por los gobiernos en el ambiente cibernético muy probablemente continuarán su evolución, mientras las agencias del orden público intentarán mantenerse un paso adelante de los ciber-delincuentes. A su vez, los problemas controversiales sobre las libertades civiles y la privacidad de los consumidores asociada con las herramientas también continuará como tema de deliberación.

El desarrollo de las redes sociales y, desgraciadamente, las nuevas amenazas que afectan tanto a los consumidores como a los negocios, han creado un cambio drástico sobre la percepción de la privacidad y la confianza en línea. Mientras los consumidores entienden que una parte importante de su información personal ha sido entregada a los servicios en línea, la pregunta es si los consumidores confían en estos últimos. Dicha confianza ya ha sido perturbada después de la aparición de grandes fugas de contraseñas de los sitios web más populares como Dropbox y LinkedIn. El valor de la información personal —tanto para los ciber-delincuentes como para los negocios legítimos— está destinado a crecer significativamente en el futuro cercano.

El 2012 ha sido el año de crecimiento más explosivo del malware para móviles, siendo el enfoque principal de los ciber-delincuentes la plataforma Android, ya que fue la más popular y de mayor utilización. En el 2013 veremos probablemente una nueva y alarmante tendencia – el uso de las vulnerabilidades para extender los ataques «drive-by download» sobre los dispositivos móviles. Esto significa que la información personal y corporativa almacenada en los teléfonos inteligentes y las tablets será atacada con la misma frecuencia de como sucede en los computadores tradicionales. Por las mismas razones (aumento de la popularidad), los nuevos y sofisticados ataques serán realizados contra los dueños de dispositivos Apple también.

A medida que las vulnerabilidades en los dispositivos móviles se vuelven una amenaza creciente para los usuarios, las aplicaciones para computadores y las vulnerabilidades de los programas continuarán siendo explotadas en los PCs. Kaspersky Lab nombró al año 2012 “el año de las vulnerabilidades Java”, y en el 2013 Java continuará siendo explotado por los ciber-delincuentes a gran escala.  Sin embargo, a pesar de que Java continuará siendo objetivo para los exploits, la importancia de Adobe Flash y Adobe Reader como portales de malware decrecerá, gracias a que las últimas versiones incluyen sistemas de actualización automatizada para cubrir las vulnerabilidades de seguridad.

Cita de Costin Raiu, Director, Equipo Global de Investigación y Análisis de Kaspersky Lab:

«En nuestros reportes previos, clasificamos al 2011 como el año de crecimiento más explosivo de las nuevas ciber-amenazas. Los incidentes más notables del 2012 han revelado y forjado el futuro de la ciber-seguridad. Pensamos que el año entrante estará repleto de ataques de alto perfil sobre los consumidores, negocios y gobiernos por igual, y veremos las primeras señales de ataques notables contra la infraestructura crítica de la industria. Las tendencias más notables del 2013 serán el nuevo ejemplo de las operaciones de la ciber-guerra, aumentando los ataques dirigidos sobre los negocios y las nuevas y sofisticadas amenazas contra los móviles».

Enlaces de interés

Historias anteriores

Kaspersky Security Bulletin

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para terminales. La compañía se ubicó entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de terminales*. Durante sus 15 años de historia, Kaspersky Lab continúa siendo un innovador en la seguridad informática y ofrece soluciones efectivas en seguridad digital para los consumidores, SMB y empresas. La compañía actualmente opera en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios en todo el mundo. Obtenga más información en www.kaspersky.com.

*La compañía calificó como cuarta en la clasificación IDC de los Ingresos por Seguridad de Terminales en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del «Pronóstico de Productos de Seguridad Informática en el Mundo, 2012-2016 y de Acciones de Proveedores 2011 – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de seguridad de terminales en 2011.

Kaspersky Lab publica nuevos datos sobre Wiper

redes-zombie-kaspersky-itusersKaspersky Lab publica nuevos datos sobre Wiper, el malware destructivo dirigido al sector de la energía en Asia. Este nuevo malware ha puesto en jaque la sostenibilidad y la seguridad mundiales. Wiper es muy eficaz y podría desembocar en la creación de nuevo malware de «imitación» destructivo, como Shamoon.

Lima, 30 de agosto del 2012.— En abril de 2012 una serie de incidentes hicieron pública la aparición de un nuevo programa de malware destructivo llamado Wiper, que estaba atacando a los sistemas informáticos relacionados con una serie de instalaciones de petróleo al oeste de Asia. En mayo de 2012, el equipo de investigación de Kaspersky Lab realizó una búsqueda impulsada por la agencia de Naciones Unidas para la Información y la Comunidad Tecnológica (ITU), para investigar los hechos y determinar la potencial amenaza de este nuevo malware que ponía en jaque la sostenibilidad y la seguridad mundiales.

Se hace pública una nueva investigación de los expertos de Kaspersky Lab tras un análisis forense digital de las imágenes de disco duro obtenidos de las máquinas atacadas por Wiper. El análisis proporciona información detallada sobre el eficaz método utilizado por Wiper para la destrucción de los sistemas informáticos, incluyendo datos exclusivos de limpieza de patrones y comportamientos destructivos. A pesar de que la búsqueda de Wiper desembocó en el descubrimiento accidental de Flame, Wiper en sí no fue identificado.

Conclusiones:

  •  Kaspersky Lab confirma que Wiper fue responsable de los ataques lanzados contra los sistemas informáticos del oeste de Asia del 21 al 30 de abril de  2012.
  •  El análisis de las imágenes del disco duro de las computadoras que fueron destruidas por Wiper revelan un patrón de datos de limpieza específico junto con un nombre de determinado componente de malware, que empezaba con ~ D. Estos resultados son una reminiscencia de Duqu y Stuxnet, que también utilizan nombres de archivo que comienzan con ~ D, y ambos fueron construidos en la misma plataforma —conocida como Tilded.
  •  Kaspersky Lab comenzó a buscar otros archivos que comenzaran con ~ D a través de Kaspersky Security Network (KSN) para tratar de encontrar archivos adicionales de Wiper basados en la conexión con la plataforma Tilded.
  •  Durante este proceso, Kaspersky Lab identificó un gran número de archivos en el oeste de Asia, llamados ~ DEB93D.tmp. Un análisis más detallado mostró que este archivo era en realidad parte de otro tipo de malware: Flame. Así es como Kaspersky Lab descubrió Flame.
  •  A pesar de que Flame se descubriera durante la búsqueda de Wiper, el equipo de investigación de Kaspersky Lab cree que Wiper y Flame son dos programas maliciosos separados y distintos.
  •  A pesar de que Kaspersky Lab analiza los rastros de infección Wiper, el malware sigue siendo desconocido porque no se han registrado incidentes adicionales de limpieza que sigan el mismo patrón.
  •  Wiper es muy eficaz y podría desembocar en la creación de nuevo malware de «imitación» destructivo, como Shamoon.

Análisis forense de las computadoras afectadas

El análisis de Kaspersky Lab de las imágenes de disco duro adoptadas por las máquinas destruidas por Wiper mostró que el programa malicioso limpió los discos duros de los sistemas de destino y destruyó todos los datos que podrían ser utilizados para identificar el malware. El sistema de archivos corrompidos por Wiper impedía reiniciar los equipos y desembocó en un mal funcionamiento general. Por lo tanto, en cada máquina que se ha analizado, casi no quedó nada después de la activación de Wiper, incluida la posibilidad de recuperar o restaurar los datos.

Además, la investigación de Kaspersky Lab revela información valiosa sobre el patrón específico de limpieza utilizado por el malware, junto con algunos nombres de componentes del malware y, en algunos casos, las claves de registro que revelaron los nombres anteriores de archivos borrados del disco duro. Estas claves del registro apuntaban que el nombre de archivo comenzaba con ~ D.

Patrón único de limpieza

El análisis del patrón de barrido de Wiper mostró un método, que se llevó a cabo en cada máquina en la que se activó el malware. El algoritmo de Wiper fue diseñado para destruir rápidamente todos los archivos de forma efectiva y pueden incluir varios gigabytes a la vez. Alrededor de tres de cada cuatro máquinas seleccionadas tenían sus datos completamente borrados, con una operación que se centra en la destrucción de la primera mitad del disco y que luego limpia sistemáticamente los archivos restantes que permitieron que el disco funcionara correctamente, dando lugar a que el sistema finalmente fallase. Además, sabemos que los ataques de Wiper se dirigen a los archivos específicos .PNF, que no tendrían sentido si no se relacionan con la eliminación de componentes maliciosos adicionales. Éste fue también un hallazgo interesante, ya que Duqu y Stuxnet mantuvieron su cuerpo principal cifrado en archivos .PNF.

Cómo la búsqueda de Wiper llevó a descubrir Flame

Los archivos temporales (TMP) que comienzan con ~ D también fueron utilizados por Duqu, que fue construido al igual que Stuxnet, en la plataforma de ataque Tilded. A partir de aquí, el equipo de investigación de Kaspersky Lab comenzó a buscar otros nombres de archivos potencialmente desconocidos relacionados con Wiper y basados en la plataforma Tilded utilizando KSN, que es la infraestructura cloud utilizada por Kaspersky Lab para ofrecer una protección instantánea en forma de listas negras y reglas heurísticas diseñadas para atrapar las amenazas más recientes.

Durante este proceso, el equipo de investigación de Kaspersky Lab descubrió que varias computadoras en Asia occidental contenían el nombre de archivo «“~DEB93D.tmp». Así es como Kaspersky Lab descubrió Flame, sin embargo, no se encontró Wiper usando este método y todavía no se ha identificado.

Alexander Gostev, experto y jefe de seguridad de Kaspersky Lab, afirma: «Basado en nuestro análisis de los patrones de Wiper y examinar imágenes del disco duro, no hay duda de que el malware existió y fue utilizado para atacar los sistemas informáticos en el oeste de Asia en abril de 2012, y probablemente incluso antes —en diciembre de 2011. A pesar de que hemos descubierto Flame durante la búsqueda de Wiper, creemos que Wiper no es Flame, sino un tipo distinto de malware. El comportamiento destructivo de Wiper, combinado con los nombres de los archivos que quedaron borrados en los sistemas, se parece mucho al programa que utiliza la plataforma Tilded. La arquitectura modular de Flame era completamente diferente y fue diseñado para ejecutar una sostenida y exhaustiva campaña de ciberespionaje. Asimismo, no se identificó ningún comportamiento destructivo que fuera utilizado por Wiper durante nuestro análisis de Flame».

En este blog de los analistas de Kaspersky Lab pueden obtener más información sobre Wiper:

http://www.securelist.com/en/blog/208193808/What_was_that_Wiper_thing

Acerca de Kaspersky Lab

Kaspersky Lab es el vendedor privado de soluciones para endpoints más grande del mundo. La compañía está clasificada entre los cuatro vendedores más grandes de soluciones de seguridad para usuarios finales a nivel mundial*. A lo largo de sus 15 años de historia, Kaspersky Lab se ha mantenido como innovador en la seguridad TI y ofrece soluciones digitales de seguridad eficientes para consumidores, PYMES y corporativos. La compañía actualmente opera en casi 200 países y territorios, suministrando protección a más de 300 millones de usuarios alrededor del mundo. Para más información, visite: http://latam.kaspersky.com.

*La compañía obtuvo el cuarto lugar en la clasificación global de rentas de seguridad de endpoints por vendedor de IDC, 2010. La clasificación fue publicada en el reporte Worldwide IT Security Products 2011-2015 Forecast and Vendor Shares— diciembre 2011 de IDC. El reporte clasificó a vendedores de software de acuerdo a los ingresos de las ventas de soluciones para la seguridad de endpoints en el 2010.