20 de Junio: resumen de la situación de #OpPetrol

Deja una respuesta

A pesar de que se estimó que alrededor de 1000 sitios web, 35000 credenciales de email y aproximadamente 100000 cuentas de Facebook se verían comprometidas desde el anuncio de #OpPetrol el mes pasado, la participación de hackers y la sofistificación total de dichas amenazas, hoy, a día 20 de Junio, día crítico y clave para esta operación, demuestra que ha habido más “ruido” que acciones reales. Esto indica, una vez más, que ha habido más miedo ocasionado por las amenazas previas anunciadas por el propio grupo Anonymous que los efectos que sus anunciados de ataque han ocasionado en la realidad, como ha ocurrido en otras ocasiones…

Sin embargo, una operación como #OpPetrol, da oportunidad a hackers y atacantes con distintos perfiles y propósitos, unirse a la causa y ejecutar sus propias misiones. Además, puede que debido a este miedo provocado por #OpPetrol, se hayan descuidado aspectos de seguridad en ciertas partes de la red y esto se haya utilizado como punto por el que atacar.

Nuestros investigadores de amenazas, especialmente Jennifer Tang, ha estado monitorizando la situación con recursos de nuestros servicios globales inteligentes frente a amenazas. Se detectó actividad maliciosa en sitios que habían sido marcados como objetivos y se encontraron IPs que habían sido identificadas en el pasado como comprometidas y que habían sido utilizadas como servidores de comando y control por ataques bot. Parece que estas conexiones fueron hechas a los sitios destinatarios de los ataques con la intención de ganar acceso para preparar ataques de Denegación de Servicio.

También hemos encontrado que el malware  CYCBOT se está utilizando para convertir los sitios infectados en sitios web víctima. Inicialmente, en 2011, CYCBOT fue utilizado para conducir tráfico a sitios web específicos. Es conocido por ser distribuido a través de “pay per install” (pago por instalación), lo cual puede significar que en #OpPetrol, los cibercriminales han utilizado este servicio como “medio de transporte”.

Un significativo número de sitios web de gobiernos en Kuwait, Qatar, y Arabia Saudí han sido puestos offline por los hackers a través de ataques procedentes de IPs recientemente comprometidas. Es interesante observar que históricamente no habíamos visto que estas IPs se hubiesen comunicado con dichos sitios web de esos gobiernos.

Continuamos monitorizando este ataque y haciendo públicos nuestros hallazgos. Puedes chequear algunas recomendaciones para mantener la red segura ante la presencia de estas amenazas en: http://blog.trendmicro.es/anonymous-y-oppetrol-como-estar-preparados/

Para más información sobre los avances de Trend Micro en cuanto a la investigación de #OpPetrol, accede aquí.

Anonymous y #OpPetrol: cómo estar preparados

Deja una respuesta

El grupo cibercriminal Anonymous lleva un tiempo anunciando que el dia 20 de Junio lanzará ciberataques contra la industria petrolera. La operación es conocida como #OpPetrol

Más allá de asustarnos o pensar que, sin más remedio, podremos sufrir las consecuencias de este ataque, desde Trend Micro recomendamos unas “buenas prácticas” a seguir para evitar ser afectados por alguno de estos ataques que Anonymous dice lanzará.

Antes del 20 de Junio:

  • Asegurarnos de que todos nuestros sistemas de IT (sistemas operativos, aplicaciones, sitios web etc) están actualizados.
  • Comprobar que las herramientas de seguridad de dichos sistemas están también actualizadas y que pueden analizar el tráfico que entre. ¿Pueden estos sistemas detectar y prevenir fases de un ataque? Necesitamos tener una monitorización del consumo de recursos (disco, memoria, CPU etc) de estas máquinas.
  • Hacer pruebas de ataque y tráfico malicioso contra las máquinas. Ejemplo: lanzar un escaneo de puertos para ver si esto es reconocido por la máquina.
  • Recordarles a los usuarios utilizar su sentido común para evitar ataques de Phishing.
  • Revisar el plan de respuesta a incidencias con todo el equipo/equipos de la empresa. Ver cómo se respondería frente a ataques DDoS, por ejemplo.
  • Si tu industria es directamente una petrolera, preparar un plan con comunicadores externos para hacer pública la información, de la manera más adecuada.
  • Monitorizar las fuentes de Anonymous para este ataque y así estar al día de posibles cambios en los destinatarios de los ataques, herramientas a utilizar o motivos. Links como este, nos pueden ayudar.

El mismo día, 20 de Junio:

  • Debido a las diferencias en franjas horarias, considerar que los ataques pueden durar más de 24 horas.
  • Continuar monitorizando las fuentes de Anonymous para cambios posibles.
  • Reforzar la actividad de IT en cuanto a monitorización de estos eventos: revisión frecuente de logs, alertas etc.
  • Si piensas que tu red puede estar afectada, ejecuta las medidas de seguridad que se hayan planificado para prevenir.

Después del 20 de Junio:

  • Continuar monitorizando las fuentes de Anonymous.
  • Estar atento a las noticias referentes a este tema.
  • Hacer un análisis completo de seguridad en toda tu red.
  • Permanece vigilante, sobre todo si estáis en la lista de posibles víctimas de los ataques.  .

Estos grupos hacker suelen avisar de sus propósitos, sobre todo Anonymous, pero, con la seguridad no podemos relajarnos. Tenemos que contar con planes de contingencia y mantener todas nuestras máquinas, sistemas y aplicaciones actualizados y disponer de las herramientas de seguridad más innovadoras y efectivas.

Deep Discovery de Trend Micro es una solución pensada idealmente para estos propósitos. a Través de soluciones de inspección y análisis avanzados y que hacen uso de nuestra Smart Protection Network, somos capaces de identificar cualquier tráfico sospechoso relativo a Amenazas Persistentes Avanzadas o ataques dirigidos. Deep Discovery es una herramienta que debería estar siempre activa en la red para garanrtizar la protección y la inmunidad de nuestros sistemas.

Podéis encontrar información previa sobre #OpPetrol, aquí.

Y para más información sobre esta noticia, acceded a nuestro blog internacional

For more information on how targeted attacks work and how organizations can better protect themselves from such threats, you may refer to some of our previous entries here.

Autenticación basada en dos factores: importante consideración…

Deja una respuesta

Las pasadas semanas hemos visto como sitios web muy conocidos han reforzado el mecanismo de autenticación de sus usuarios. Han empezado a implementar el conocido “two factor authentication”. Es una forma basada en utilizad dos pasos para llevar acabo la autenticación. El primer sitio web en empezar a utilizar esta nueva metodología fue Twitter, seguido de Evernote y Linkedin.

Para los usuarios de estos sitios web, esto representa una mejora en su seguridad, dado que ahora ya no solo tienen que utilizar una contraseña (fácilmente capturable por hackers), sino que se añade una nueva barrera en el proceso de acceso. Se incorpora la necesidad de tener que incluir un código cuando nos vamos a autenticar. Este código es recibido en el teléfono móvil del usuario. Pero, desafortunadamente, todavía, a pesar de haber mejorado la seguridad incluyendo este segundo factor de autenticación, hay posibilidad de que este código sea interceptado. Si en el teléfono móvil donde se recibe el código de autenticación hay un malware con capacidad de capturar datos, esta cadena podría ser robada.

Una alternativa que algunos sitios web están empezando a implementar, es una aplicación de autenticación que genera un código de verificación en el propio dispositivo. Algunos sites, cumpliendo con el RFC 6238, crean aplicaciones que pueden autenticar múltiples servicios

Otro punto importante a considerar es la posibilidad de que el smartphone sea robado. El año pasado, en Estados Unidos, se registró una media de 1.6 millones de teléfonos móviles robados. El robo del teléfono con toda la información que almacena dentro (contactos, emails, fotografías, aplicaciones…) es lo que la mayoría de los usuarios que han sufrido este problema más lamentan. Pero yendo más allá, el robo de un smartphone puede suponer una ventana abierta a todas nuestras cuentas y servicios de Internet, lo que es verdaderamente lamentable.

Muchos otros sitios web de interés en social media como Bizard, Facebook, Google o el propio Microsoft soportan algún tipo de autenticación en dos factores. Los usuarios deberían chequear si sus servicios soportan este mecanismo y en tal caso, empezara utilizarlo en la medida de lo posible

Para más información, accceda a nuestro blog internacional.

La evolución de los antiguos ZBOTs

Deja una respuesta

¿Quién dijo que el malware “antiguo” no podía evolucionar? Recientemente lanzamos un artículo acerca de cómo ZBOT había regresado a comienzos del 2013. Muchos medios de comunicación se hicieron eco de la noticia. A través de Facebook, este malware se conseguía propagar. Ahora, nuestros laboratorios han encontrado una nueva variante de ZBOT que puede propagarse por sí sola.

Esta particular variante de ZBOT llega a través de un fichero malicioso PDF, simulando una factura. Si el usuario abre el fichero utilizando Acrobat Reader, se lanza un exploit que causa la aparición dle siguiente popup:

zbot1Mientras que este popup aparece, la variante maliciosa de ZBOT – WORM_ZBOT.GJ- se introduce en el sistema y se ejecuta.

WORM_ZBOT.GJ tiene una rutina de autoupdate: puede descargar y ejecutar una copia de si mismo. Otra manera de propagarse a otros sistemas, es a través de dispositivos extraíbles como discos USB. Consigue hacer estas tareas buscando discos extraibles y después creando una carpeta oculta con una copia de sí mismo dentro de esta carpeta; y un acceso directo que apunta a la copia oculta de ZBOT.

worm-zbot-BD-JPEGEste tipo de propagación de ZBOT es inusual. Normalmente ZBOT se propaga a través de kits de exploits o adjuntos maliciosos. Este tipo de comportamiento de ZBOT no es algo a lo que estemos acostumbrados y puede significar una evolución del cibercrímen en este camino (la autopropagación de malware “antiguo”). Sin embargo, este comportamiento está en línea con las predicciones que hicimos para el 2013, en las cuales afirmábamos que las antiguas amenazas continuarían teniendo presencia en el 2013 aunque de forma más sofisticada y refinada. Ahora este malware es mucho más efectivo que en el pasado-

Estas amenazas son algunos de los cambios/evoluciones en el panorama del cibercrímen Con anterioridad documentamos estos cambios en nuestro documento The Crimeware Evolution.

En su día, Conficker/DOWNAD, utilizó técnicas similares a estas para propabarse de forma eficiente y todavía sigue siendo una amenaza Top Ten en América y Caribe, a pesar de que tiene una antigüedad considerable.

Tredn Micro detecta WORM_ZBOT.CJ y bloquea los sitios web relacionados con esta amenaza. Proporcionaremos información adicional si es necesario para continuar protegiendo y mejorando la seguridad de nuestros usuarios.

 

 

 

STOP RANSOMWARE

Deja una respuesta

Hemos estado hablando sobre el Ransomware durante unos cuantos meses y ahora queremos compartir una iniciativa en la que Trend Micro ha participado y en la que se reconoce nuestro esfuerzo en cuanto a la detección y análisis de este malware. Stop Ransomware es una organización francesa creada para ayudar a crear protección frente a este malware. Nuestro Investigador de Amenazas Bob McArdle ha estado trabajando con esta organización durante bastante tiempo y finalmente se ha conseguido crear un site web que ayude a educar, detectar y proteger a la gente frente a esta amenaza. TrendLabs, nuestros laboratorios de análisis, desinfección y tratamiento de amenazas, colaboró activamente en este proyecto.Trend Micro es el único fabricante de seguridad que ha ayudado al FBI en USA para luchar contra el Ransomware.

Agradecemos a Bob McArdle y a TrenLabs el esfuerzo y dedicación que han aportado para que esta iniciativa sea exitosa.

El enlace al sitio web: http://stopransomware.fr/world/

El enlace a la web de Trend Micro en la que se habla sobre ransomware: http://about-threats.trendmicro.com/definition/ransomware/

ransomware