Mostrando entradas con la etiqueta Cibercrimen. Mostrar todas las entradas
Mostrando entradas con la etiqueta Cibercrimen. Mostrar todas las entradas

¿Qué golpeó a la OPM? Lo que sabemos hasta ahora



Han pasado dos meses desde que sucedió la intrusión a la OPM y ha habido mucha especulación y fuga de detalles del ataque. A continuación presentamos un resumen de la información publicada hasta el momento.

4 de junio de 2015: La OPM anuncia que ha sufrido una intrusión.

8 de junio de 2015: Guidance Software anuncia que EnCase ha sido usado en la investigación de la OPM. Paul Shomo, Administrador Senior de Desarrollo de Software en Guidance Software, ha sido citado por SC MAGAZINE insinuando que el troyano de acceso remoto (RAT) PlugX fue utilizado por los atacantes de la OPM.

El Hack a la OPM: Indicios de una invasión mediante herramientas de administración remota


A raíz de la invasión a la OPM, donde los reportes sugieren que millones de registros de habilitación de seguridad se dirigieron directamente a unidades de inteligencia chinas, vamos a hablar acerca de herramientas de administración remota (RAT). Estas herramientas son de uso común en este tipo de ataques, así que vamos a caminar a través de una metodología común para la identificación de las RAT desconocidas.

En el sentido más amplio, las RAT se utilizan para acceder y controlar computadoras de forma remota. Los administradores de sistema a menudo utilizan estas herramientas para el bien, pero los hackers de sombrero negro desarrollan RAT especializadas que infectan, se esconden y actúan como puertas traseras.

La invasión a la OPM: qué se está haciendo correctamente


El día 4 de junio la oficina de la prensa federal de los Estados Unidos anunció una fuga “masiva” de datos del personal federal estadunidense, hospedados en la Oficina de Administración de Personal (OPM, según su sigla en inglés) dentro del Departamento de Seguridad Nacional de los Estados Unidos. Siguiendo a una fuga anterior descubierta en marzo de 2014, se dice que esta fuga ha expuesto la información personal de hasta 4 millones de empleados del estado. El Washington Post reportó que los oficiales estadunidenses sospechan que el gobierno chino esté por detrás del ataque, que representa “la segunda invasión extranjera significativa a redes del gobierno de los Estados Unidos en meses recientes”.

CryptoWall 2.0, cuando los ciberatacantes le “protegen” sus datos


Existe una nueva amenaza sobre los datos, similar a CryptoLocker pero más sofisticada, que desde algunos meses está arrastrándose en los dispositivos con sistema operativo Windows. Este ransomware entra en una computadora mediante correos electrónicos con phishing, archivos PDF maliciosos o mediante enlaces a sitios web comprometidos. Una vez ha sido ejecutado en el sistema, el malware ejecuta su versión apropiada de 32 o 64 bits, dependiendo del sistema instalado en la computadora para usar un método particular a cada sistema para aprovechar una vulnerabilidad de Windows. Luego encripta los archivos doc, jpg, pdf, ppt, xls y otros del usuario y exige un pago a cambio de la clave para descifrar y restaurar los datos del usuario.

2015: La lucha contra ataques adaptables requiere defensas adaptables con respuesta automatizada


Los atacantes están en constante búsqueda de nuevas vulnerabilidades para explotar tecnologías adaptables a gran escala o en búsqueda de malware que se utilice, cree y modifique solo lo suficiente para eludir los métodos de detección conocidos para propagarse a través de la red corporativa. El mismo malware o la misma vulnerabilidad raramente son utilizados después su descubrimiento público. La identificación y la venta de nuevas vulnerabilidades son negocios de altos ingresos, así como la venta de “kits de malware” que pueden ser personalizados y utilizados como armas contra organizaciones desprevenidas. El cibercrimen es un negocio en alto crecimiento, los protagonistas están cada vez más organizados y sus métodos de ataques son cada vez más elaborados.

Sony Pictures de rodillas: La política del terror gana


¿Quién atacó a Sony Pictures? ¿Cómo lograron robar todos aquellos datos? ¿Cómo puede defenderse una organización?

El pasado 24 de noviembre un grupo de hackers llamado “Guardianes de la paz” traspasó las barreras de seguridad de Sony Picture Entertainment (SPE), parte de la multinacional Sony y una de las mayores distribuidoras y productoras de cine de EE.UU. Las redes de SPE fueron comprometidas mediante la instalación de un malware en las computadoras que copió miles de datos, los envió a un servidor remoto y los borró de los discos duros que los almacenaban. Fueron robados muchos terabytes de datos, incluyendo años de correos electrónicos de los dirigentes de la empresa, números y contraseñas de tarjetas de crédito, números de seguridad social de 47mil empleados, historiales médicos, contratos, salarios, imágenes e incluso cinco películas completas que aún no se han estrenado. Hasta ahora, solo una pequeña parte del material robado fue publicada, por lo que no se sabe que otra información confidencial podría develarse.   

Cortando el “Machete”: Nuevo Malware dirigido a Latinoamérica


Existe un nuevo contrincante en el campo de combate al malware, y utiliza el nombre de “Machete”. Machete es un malware desarrollado en Latinoamérica aparentemente para el robo de información relacionada a entidades gubernamentales de nuestra región. Sabemos que Machete fue desarrollado en Latinoamérica por el uso de español en el código del malware y por la ubicación de la mayoría de sus víctimas reportadas.

Machete inició su campaña de ataques dirigidos en el año 2010 y en 2012 mejoró su infraestructura. Este malware ha afectado mayormente a víctimas en Ecuador y Venezuela, pero otros países de Latinoamérica también han sido enfocados en los ataques, además de algunas víctimas afectadas en países lejanos como Rusia y hasta Malasia. Entre los afectados se han reportado organizaciones militares y de inteligencia, embajadas y otras agencias gubernamentales. De las casi 800 infecciones encontradas en organizaciones del mundo, más de 700 fueron organizaciones de Latinoamérica.

Detectando y Mitigando un Ataque CryptoLocker con EnCase


El más reciente Informe Sobre Investigaciones de Brechas en los Datos (DBIR) de Verizon reveló que el crimeware es un problema serio para las industrias de construcción, información y servicios básicos, representando más del 30% de los incidentes presentados. Entre los más malignos de la categoría de troyanos de ramsonware está el CryptoLocker.


Cómo funciona Cryptolocker

CryptoLocker llega mediante un archivo ZIP anexado a un mensaje de correo electrónico aparentemente inocente. Una vez descomprimido, el malware se instala en la carpeta del perfil de usuario, agrega una llave al registro para que se inicie automáticamente durante el arranque, y posteriormente empieza una conexión a un servidor de comando y control. Después de la conexión, el servidor genera un par de llaves RSA de 2048 bits y retorna la llave pública al computador, encripta archivos  de los discos duros locales y de las unidades de red mapeadas con esa llave pública, y apunta cada archivo encriptado en una llave del registro.  En este momento, el usuario recibe un mensaje que le informa que sus archivos han sido encriptados y que se requiere pagar una recompensa con Bitcoin.

Jumcar: Código malicioso dirigido a Latinoamérica

Jumcar es el nombre dado a una familia de código malicioso (malware) creado en Perú que tiene como objetivo comprometer las cuentas de banca en línea de usuarios latinoamericanos.


El descubrimiento del malware fue divulgado por Kaspersky Lab el día 20 de mayo del presente año. Se calcula que Jumcar ha estado infectando ordenadores de la región desde marzo de 2012. El ataque ha sido calificado como "específico y de alto impacto."

Jumcar. Desde Perú y con foco en América Latina [Parte 1]

El método utilizado por Jumcar para propagar el código malicioso es enviar correos electrónicos  mediante servidores previamente comprometidos. Los correos electrónicos se disfrazan como mensajes provenientes de redes sociales e instan al usuario a descargar un archivo. El archivo descargado oculta el código malicioso y lo instala en los ordenadores de los usuarios.

Jumcar inserta en el computador de los afectados código que reorienta las direcciones de entidades financieras a páginas clonadas fraudulentamente, usurpando nombres de usuario y contraseñas de los usuarios afectados.  Hasta el momento, se han descubierto páginas clonadas pertenecientes a grandes entidades financieras de Perú, Chile y Costa Rica.

El código malicioso también permite a los delincuentes tomar control del ordenador infectado, permitiéndoles modificar el método del ataque. Esto compromete a más usuarios en países como Colombia, Venezuela y Ecuador; países donde el malware también ha conseguido propagarse.

El avance del ciber-crimen en Latinoamérica ya no es ninguna novedad. Redes de computadoras infectadas (bot-nets) por  vOlk-Botnet, Chimba-Botnet, UELP, AlbaBotnet y PiceBOT ya han tenido como objetivo principal vulnerar las redes latinoamericanas. Técnicamente, lo que diferencia a Jumcar de estos ataques es que la totalidad de sus 50 variantes están programadas en lenguaje .NET, mientras que la gran mayoría de los ataques anteriores han sido programados en VB. Además, Jumcar utiliza algoritmos criptográficos simétricos y asimétricos para ocultar funciones específicas en su código fuente.

Otras características que diferencian a Jumcar son:

•    Una vez infecta el sistema se oculta en rutas de sistema con el nombre de archivos usuales en Windows.

•    Parámetros dinámicos cifrados con AES, TripleDES y RSA

•    Todos los sitios vulnerados para propagar el código cuentan con un archivo con los datos de pharming, un programa para enviar correos en masa y una puerta trasera (backdoor)

•    Genera claves en el registro del infectado para automatizar su arranque.

Jumcar es una prueba más del mayor grado de sofisticación que están adquiriendo los nuevos ataques a las redes latinoamericanas. EnCase Cybersecurity puede ayudarte identificar ataques regionales que tal vez no tiene firmas en antivirus u otras herramientas de seguridad.

RELACIONADOS

Cómo EnCase Puede Complementar Sistemas de Prevención de Pérdida de Datos (DLP)

Informe: Tendencias en la seguridad cibernética en América Latina y el Caribe y respuestas de los gobiernos

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase







Informe: Tendencias en la seguridad cibernética en América Latina y el Caribe y respuestas de los gobiernos


La empresa de antivirus, Trend Micro, publicó un informe sobre las tendencias en la seguridad cibernética en América Latina y el Caribe y respuestas de los gobiernos en 2012. Puede leer el informe en español al link abajo.

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-tendencias-en-la-seguridad-cibernetica-en-america-latina-y-el-caribe-y-respuestas-de-los-gobiernos.pdf

Sus conclusiones en general incluyen las seguientes:

En 2012, los gobiernos observaron un aumento general en la frecuencia de los incidentes cibernéticos en comparación con 2011, incluso cuando los datos cuantitativos definitivos eran incompletos o no estaban disponibles. El mínimo incremento evaluado en los incidentes cibernéticos durante el período de 2011 a 2012 registrado por un gobierno fue de entre el 8% y el 12%, mientras que en el extremo superior otros dos países registraron un incremento del 40%. La mayor parte de los gobiernos citaron aumentos en algún punto dentro de esta escala, aunque es interesante observar que varios informaron que, en términos globales, se detectaron menos incidentes.

Espero mas informes especifico a Latinoamerica sobre esta tema en el futuro.

RELACIONADOS

Empresas Gastarían $114,000 Millones Para Controlar Ataques Cibernéticos

‘MiniDuke’: Nuevo Malware Que Espía Instituciones Gubernamentales

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Empresas Gastarían $114,000 Millones Para Controlar Ataques Cibernéticos

La cantidad de esfuerzo necesario para luchar contra los ataques cibernéticos y malware finalmente se ha monetizado.

Como resultado de dichas infecciones, la investigación muestra que los consumidores dedicarán 1,500 millones de horas y [US]$22,000 millones a identificar, reparar y recuperarse del impacto del malware, mientras que las empresas globales gastarán [US]$114,000 millones para manejar el impacto de los ataques cibernéticos inducidos por el malware.

http://dineropanama.com/2013/03/09/empresas-gastarian-114000-millones-para-controlar-ataques-ciberneticos/

Hay un número de maneras en que EnCase puede ayudar con los problemas de malware. Por ejemplo, el artículo continúa diciendo lo siguiente:

“La realidad del delito cibernético es que los falsificadores alteran el código del software y lo contaminan con malware”, dijo David Finn, abogado general asociado del Centro de Delitos Cibernéticos de Microsoft. “Algunos tipos de este malware registran cada tecla que oprime la persona —lo que permite a los delincuentes cibernéticos robar la información personal y financiera de la víctima— o invierte en forma remota el micrófono y la videocámara de la computadora infectada, con lo cual los delincuentes cibernéticos pueden ver y escuchar lo que sucede en las salas de juntas o en las salas de estar.


Con EnCase, usted puede fácilmente examinar un ordenador en profundidad o mirar a través de cada estación de trabajo, servidor, y el ordenador portátil en su organización para buscar los indicadores de malware. Con algunos modulos de EnCase, puede ignorar todos los archivos conocidos en los ordenadores y acaba de hacer búsquedas en los archivos desconocidos.

EnCase te da la oportunidad de luchar de éxito en este nuevo mundo del malware avanzado y otras amenazas.  La mejor parte es que puedes tener más tiempo para pasar con su familia y amigos,


RELACIONADOS

El Negocio de la Cibercrimen Supera El Negocio de las Drogas Ilegales

‘MiniDuke’: Nuevo Malware Que Espía Instituciones Gubernamentales 

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase



‘MiniDuke’: Nuevo Malware Que Espía Instituciones Gubernamentales

El tamaño del negocio cibercrimen sigue cambiando la naturaleza de las amenazas en contra de su información. Los bancos no son las únicas organizaciones que están en riesgo de ataques de malware especializado. Hay un nuevo malware se llama "Mini Duke" que se especializa en atacar a las instituciones gubernamentales. Este archivo de malware es muy pequeño y sólo pesa 20kb

[E]stá programado para evitar el análisis de un conjunto de herramientas cifradas de algunos entornos, como VMware. Si localiza alguno de estos indicadores, se ejecutará en ese entorno en lugar de pasar a otra etapa que exponga más su funcionalidad, lo que indica que los creadores del malware saben exactamente lo que los profesionales de la industria de la seguridad TI están haciendo con el fin de analizar e identificar malware.

http://www.antilavadodedinero.com/riesgos_det.php?id=135
Más interesante, este malware utiliza Twitter para comunicarse con el propósito de mando y control



Un análisis de malware a nivel forense nunca falla. En comparación, inteligencia de amenazas, hashes, bases de datos de firmas, "genomas", bases de datos de comportamiento y estos sólo son buenos hasta que fallan de encontrar algo. Con la inteligencia de que todo el mundo está tratando de vender, tienen que tener la suerte de saber lo que están buscando y tienen las definiciones que lo respalde en la mayoría de los casos.

Los estudios muestran que se necesita un promedio de 271 días (o mejor dicho 10 meses) para identificar un malware nuevo y crear un archivo de firma. La intención de este artículo no es simplemente para informarle de que hay otro malware peligroso en el mundo enfocado en los gobiernos. El objetivo más grande es demostrar que usted necesita herramientas avanzadas que no tienen dependencias en las firmas de archivos para detectar malware avanzado.

Usted también necesita herramientas que pueden complementar su inversión existente en antivirus.

EnCase Cybersecurity es esa herramienta. Aunque EnCase puede vincular fácilmente a las listas negras de malware conocido, EnCase mismo no depende de firmas fiile para identificar código desconocido en sus sistemas. Con EnCase, puede excluir archivos conocidos de sus sistemas y desarrollar criterios de búsqueda para analizar lo que queda. Esto le da una buena oportunidad para identificar nuevo malware sin firma y remediar (o borrar forensicallly) la nueva amenaza.

Esta es la razón por Encase es la elección de los 10 bancos más grandes del mundo y cientos de organizaciones gubernamentales de todo el mundo para proteger su información y detectar la evolución de las amenazas de malware

RELACIONADOS

Existen Mercados Para Comprar Malware Nuevo 

El Negocio de la Cibercrimen Supera El Negocio de las Drogas Ilegales



Existen Mercados Para Comprar Malware Nuevo

¿Crees que la gente que explota el valor de la información dentro de la red, necesitan ser desarrolladores de software bien experimentados?.  No es asi.   Alguien con solo conocimientos técnicos puede comprar malware, por un precio razonable, en bolsas de malware que parecen supermercados.

Aquí hay una “oferta” de una organización vendiendo código que puede usar las vulnerabilidades de Java:

El modelo de venta es por servicio, de forma que el kit está alojado en servidores de propiedad de los criminales, que le ofrecen mac osx o xp por 40 euros por un día de uso, 150 dólares si se contrata una semana y 450 dólares por un mes.

http://noticias.seguridadpc.net/?p=8360

En la mayoría de las organizaciones, el único momento en que puedes estar seguro que la configuración de las computadoras está dentro de la normativa, son los primeros momentos después que el empleado recibe la computadora.

Con EnCase, pueden auditar y verificar las versiones de software (y hardware también) regularmente o de forma improvisada. Así es como puedes saber si tienes versiones vulnerables de software que el malware puede usar para entrar en tu infraestructura sin autorización.

Relacionado

El Negocio de la Cibercrimen Supera El Negocio de las Drogas Ilegales 

Cómo EnCase Puede Complementar Sistemas de Prevención de Pérdida de Datos (DLP)

El Negocio de la Cibercrimen Supera El Negocio de las Drogas Ilegales

La imagen de los delincuentes cibernéticos es a menudo una imagen de niños copiado código desde Internet y enviandolo por correo electrónico desde computadoras situadas en su dormitorio en casa de sus padres. Esta no es la percepción correcta.

A finales de 2011, el valor del negocio de la ciberdelincuencia supera el valor del negocio de las drogas ilegales y el negocio sigue creciendo.

http://www.laregion.es/noticia.php?id=181163

¿Qué significa esto para su organización?

- Las mentes técnicas más inteligentes están entrando en el negocio del cibercrimen ya que el valor de su trabajo se hace más lucrativo. Estas mentes se concentran en escribir código que pueda robar información valiosa y pueda ser más inteligente que sus defensas de seguridad de red (ejemplos: Octubre RojoGauss,  Stuxnet)

- Los empleados están reconociendo el valor de los datos dentro de la organización y una venta de esos datos a terceros tiene un costo ínfimo respecto al valor los mismos para quien los compre.

- Las grandes empresas y los gobiernos nacionales no son los únicos objetivos para los cibercriminales porque ahora las empresas medianas / pequeñas y los gobiernos locales también tienen información de valor y esta información puede estar menos protegida.

Además de las capacidades forense de clase mundial de EnCase para las investigaciones internas y criminales, EnCase también tiene un conjunto de soluciones diseñadas para ayudar a que las organizaciones grandes y pequeñas hagan lo siguiente: identificar los archivos que son desconocidos y que podrían ser el nuevo malware, reaccionar a los incidentes de seguridad, verificar la integridad de los dispositivos en la red y reducir las oportunidades para robos internos de la información confidencial.

Usted encontrará un número cada vez mayor de estos ejemplos en nuestro sitio web en idioma español en los próximos meses. También puede contactarme para ver una demostración en vivo.