Archivo de la categoría: Protección de Datos

¿Website sin conexión? El nuevo ransomware FAIRWARE encontrado en el servidor podría ser la causa

Steve Neville, Trend Micro

En un momento en el que el goteo constante de noticias relacionadas con el ransomware no cesa, entra en escena FAIRWARE, una nueva variante que está atacando los servidores web bajo la plataforma Linux.

Comentado inicialmente en un post publicado en el foro Bleeping Computer, las víctimas explicaban que creían que se habían forzado sus máquinas para obtener acceso. Una vez en el servidor, los atacantes supuestamente cifran los archivos y eliminan el contenido de la carpeta web, borrando los archivos originales y dejando un mensaje que exige el pago de un rescate de dos Bitcoins para poder recuperar los archivos. Por supuesto, la eliminación de los contenidos de la carpeta www deja al servidor web inservible, lo que sería un problema importante en caso de aplicaciones web de misión crítica. Si la víctima no paga el rescate en el plazo de dos semanas, se le advierte que no va recuperar sus archivos y que estos pueden ser filtrados al público.

Todavía no está claro si el desarrollador del ransomware FAIRWARE quita realmente los archivos antes de eliminarlos, o si es simplemente una estrategia para que las víctimas paguen el rescate. Hasta la fecha, nadie ha pagado el rescate en el monedero Bitcoin especificado en la nota que deja, pero con datos valiosos bajo riesgo, la víctima deseará desesperadamente intentar recuperar los datos pagando el rescate.

Aunque ya hemos sido testigos de algunas modalidades de ransomware centrado en el servidor en ocasiones pasadas (SAMSAM es una variante reciente que aprovechaba una vulnerabilidad de JBOSS), y FAIRWARE es un buen recordatorio de que no existe una varita mágica, cuando se trata de proteger a las organizaciones del ransomware. Mientras la mayoría de los ataques se centran en el usuario final, los servidores ejecutan las aplicaciones de misión crítica y almacenan datos empresariales sensibles, los cuales necesitan estar protegidos como parte de una estrategia de seguridad por capas.

Una solución de seguridad efectiva para el servidor, como Trend Micro Deep Security, puede proteger los servidores a través de la nube híbrida ante ataque con una amplia variedad de controles de seguridad, proporcionando ayuda con:

  • La detección temprana de un ataque, incluyendo los casos en los que se recurre a la fuerza bruta como la utilizada por FAIRWARE y el movimiento lateral de servidor a servidor, lo que permite llevar a cabo una acción inmediata para reducir al mínimo el potencial impacto.
  • Blindaje de los servidores ante ataques (como SAMSAM) que aprovechan una vulnerabilidad para hacerse un hueco en el servidor.
  • Protección de los servidores de archivos empresariales -que alojan grandes volúmenes de datos corporativos valiosos- de los ataques a través de usuarios finales que están en situación de peligro, alertando a los administradores y deteniendo la actividad sospechosa en su recorrido.

Como parte de nuestro compromiso por ayudar a nuestros clientes ante los retos del ransomware, hemos preparado algunos consejos útiles y herramientas basados en nuestra amplia experiencia para combatir este tipo de amenaza. También puede acceder a un Webinar en el que los expertos de Trend Micro le proporcionarán prácticos consejos sobre lo que debe hacer para proteger a su organización.

 

Lección sobre parches: el crecimiento del crypto-ransomware SAMSAM

Deja una respuesta

Autor: Trend Micro

El papel fundamental de la gestión de parches entra en juego cuando las vulnerabilidades son utilizadas por los atacantes como puntos de partida para infiltrarse en sus sistemas y redes objetivo o cuando se abusa de los fallos de seguridad para difundir cualquier amenaza. En el caso del perverso crypto-ransomware SAMSAM ocurre esto. Dicha amenaza se desvía de otras familias de crypto-ransomsare. En lugar de llegar a través de URL maliciosas o correos electrónicos no deseados, aprovecha los fallos de seguridad en los servidores no actualizados.

El pasado mes de marzo de 2016, SAMSAM golpeó al hospital de Kentucky mediante la encriptación de todos sus archivos, incluyendo los que se encontraban en la red. Del sector sanitario, SAMSAM pasa ahora al sector de la educación. En un reciente ataque, un número importante de servidores y sistemas se vieron expuestos a SAMSAM y a otro malware a través de las vulnerabilidades de servidor JBoss. JBoss es un servidor de aplicaciones de código abierto que se ejecuta en Java. Sistemas o servidores con software “Destiny” también se vieron afectados. Según un informe de CISCO, este software es utilizado habitualmente por las escuelas K-12 en todo el mundo. Follett ya ha lanzado un parche para proteger a los usuarios del software Destiny.

Desafíos de los parches
Aunque SAMSAM no es la primera amenaza que aprovecha las vulnerabilidades para penetrar en una red, su emergencia introduce otro nivel de riesgos para las empresas y organizaciones de gran tamaño. Las “joyas de la corona” o los datos confidenciales podrían ser encriptados y perderse, obligando a las empresas a pagar grandes sumas por el rescate a cambio de su información crítica. A pesar de esto, se recomienda encarecidamente no pagar a los atacantes, ya que esto no garantiza que las organizaciones puedan recuperar sus archivos.

A pesar de la sofisticación de la amenaza en términos del vector de infección y la capacidad de mapeo de la red, la aplicación de parches, así como el mantenimiento actualizado de sistemas y servidores podría romper el ciclo de ataque. Sin embargo, los administradores de TI se enfrentan a varios retos tales como la necesidad de ejecutar las operaciones diarias y mantener el tiempo de actividad de los servicios críticos, asegurando al mismo tiempo el perímetro de la red. Es un acto de equilibrio crítico para proteger el entorno corporativo, al mismo tiempo que se mantienen las operaciones de negocio.  Cuando un fabricante de software libera parches de seguridad, ya sea para afrontar ataques de día cero o vulnerabilidades, los administradores de TI tendrán que hacer una investigación y probar los cambios en primer lugar antes de implementarlos en su entorno. Se ven obligados a poner parches en un segundo plano, ya que requiere el reinicio de los sistemas y servidores de misión crítica, lo que podría afectar a la productividad en general y causar interrupciones de negocio.

Según un estudio de Trend Micro, el período medio del proceso de investigación-prueba-despliegue de parches es de 30 días, lo que proporciona ventanas de exposición a las empresas. Cualquier ataque o amenaza que utilice las vulnerabilidades que puedan surgir durante este período podrían poner en peligro la seguridad y los datos corporativos.

¿Por qué son necesarios los parches virtuales?
Las empresas pueden optar por la aplicación de parches virtuales para hacer frente a los retos o problemas de gestión de parches comentados con anterioridad. Esta tecnología permite a los administradores de TI proteger los servidores y puntos vulnerables y sin tiempos de inactividad y los consiguientes costes operativos adicionales. En ausencia de un parche del proveedor, los parches virtuales pueden proteger las vulnerabilidades de los exploits hasta que una solución de seguridad que lo resuelva se encuentre disponible. También permite a los administradores de TI gestionar de manera eficiente o programar parches de emergencia que puedan surgir de las vulnerabilidades de día cero o ataques de gran calado que explotan estas brechas de seguridad. Además, los sistemas o aplicaciones heredadas también quedan protegidos de los riesgos que puedan representar.

Los datos cruciales de las organizaciones están también a salvo de las amenazas que aprovechan las vulnerabilidades, como en el caso de SAMSAM. Incluso si las empresas no aplican inmediatamente los parches relacionados, sus servidores vulnerables están protegidos contra este crypto-ransomware. Actualmente, el crypto-ransomware es una de las amenazas más notorias y  continúa evolucionando para ampliar su alcance.

Trend Micro Deep Security incorpora una función de parches virtuales con tecnologías de detección y prevención de intrusiones. Es una solución completa que puede proteger a las organizaciones y empresas de exploits y otras cargas de malware.  Desde que las amenazas y los ataques que aprovechan vulnerabilidades son frecuentes en panorama de la informática de hoy, los parches virtuales se han convertido en algo tan necesario como las soluciones de base como antimalware y firewall.

Trend Micro Deep Security y Vulnerability Protection  protegen los sistemas de los usuarios de cualquier amenaza que pueda aprovechar esta-s vulnerabilidad-es JBoss a través de la siguiente regla DPI:

  • 1007532-JBoss Application Server Unautenticated Remote Command Execution Vulnerability
  • 1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass

Por otro lado, las soluciones para el endpoint de Trend Micro, entre las que se encuentran Trend Micro™ Security,  Trend Micro Smart Protection Suites, y Trend Micro Worry-Free™ Business Security puede proteger los sistemas de los usuarios del cryto-ransomware SAMSAM detectando los archivos maliciosos. Los sistemas con Trend Micro™ Smart Protection Suites también están protegidos de esta amenaza a través de Trend Micro Endpoint Application Control.

TippingPoint también mitiga esta amenaza haciendo los siguientes filtros disponibles para sus usuarios:

MainlineDV

  • 9825: HTTP: JBoss jmx-console Authentication Bypass
  • 10502: HTTP: JBoss jmx-console Deployer Command Execution
  • 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
  • 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
  • 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)

ThreatDV

  • 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
  • 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
  • 24140: TCP: Ransom:MSIL/Samas.B Download Attempt

Aconsejamos a las empresas que actualicen sus servidores JBoss a la última versión. Algunas de las vulnerabilidades utilizadas son viejos bugs (por ejemplo: CVE-2010-0738 y CVE-2007-1036) ya parcheados con anterioridad. También recomendamos a los administradores de TI limitar el acceso a sus servidores internos a través de firewalls.

 

Los “Papeles de Panamá”: una advertencia para instalar seguridad multicapa

Salvo que alguien haya estado viviendo en Marte, todo el mundo se ha enterado esta semana de la noticia de que 11,5 millones de documentos del despacho de abogados panameño Mossack Fonseca han sido robados y filtrados a la prensa. Ha habido pocas violaciones de datos que hayan tenido el alcance y hayan sido tan dañinas como ésta. Sin entrar a hacer valoraciones del contenido de estos documentos, lo que sí hay es una clara lección de seguridad que aprender.

Ya se trate de datos altamente sensibles como en este caso, o no, las empresas modernas deben aceptar y asumir que todas ellas, ahora, son un objetivo. Y una de las principales formas de mitigar el riesgo de un ataque es reforzando la seguridad del servidor como parte de un enfoque multicapa, empezando con los parches.

Un cuento con moraleja

Mossack Fonseca afirma que esta brecha ha sido fruto de “una violación no autorizada de nuestro servidor de correo electrónico”. El resultado de este caso parece catastrófico, pues los medios están publicando las supuestas relaciones fiscales ocultas de más de una docena de dirigentes mundiales actuales y anteriores.

No cabe duda de que casos como éste son de las peores fugas de datos producidas, y es difícil ver en cómo la reputación de la firma de abogados entre sus clientes soportará este incidente.

No sabemos exactamente cómo los hackers entraron en los sistemas de Mossack Fonseca, pero a menudo es a través de una simple vulnerabilidad. Las organizaciones deben tomarse más en serio los parches para eliminar estos ataques tan factibles, en los que los black hats siempre andan atentos. Para combatir de una manera más sofisticada los ataques dirigidos, hay tecnologías como los sandboxing avanzados que pueden detectar y bloquear las amenazas de día-cero. Y una monitorización exhaustiva, así como una inspección de registros pueden alertar a los equipos de TI de una potencial incursión.

Sin embargo, hoy en día, los entornos TI suelen estar formados por una mezcla de sistemas cloud híbridos, virtuales y físicos. Es aquí cuando la nube y la seguridad virtual son tan importantes, protegiendo de forma dinámica las máquinas virtuales (VM) e instancias cloud dondequiera que vayan. Es esencial que los parches virtuales protejan los sistemas contra las amenazas del día-cero. Y todo esto necesita ser monitorizado desde un único panel de control para obtener la máxima eficacia.

Mossack Fonseca debería servir como ejemplo para que todas las organizaciones duplicasen sus esfuerzos en asegurar su activo más importante: sus datos.

Los clientes de BBVA, Banco Santander y Ruralvía, objetivos de un nuevo troyano bancario

Dada la actualidad informativa relacionada con el descubrimiento realizado por investigadores españoles de un troyano bancario que afecta a teléfonos Android y cuyo objetivo son los clientes de BBVA, Banco Santander y Ruralvía, creemos que la valoración de la compañía de seguridad informática, Trend Micro, puede ser de utilidad

Como explica David Sancho, Investigador Senior antimalware y responsable del equipo de investigación de Trend Micro Iberia, cuando los ciberataques se convierten en habituales, siempre hay programadores que encapsulan la capacidad de automatizarlos en los llamados ‘kits’. Estos no son más que programas que generan software malicioso con las características deseadas. Son, por así decirlo, las máquinas que hacen las armas, no las armas en sí mismas. No es extraño que en algún momento, como parte de la personalización del malware generado por estos kits, se introduzca el soporte de ataque a bancos específicos, en este caso, a bancos españoles.

Que exista capacidad de ataque específica para bancos españoles no significa que ahora mismo haya víctimas afectadas, aunque está claro que los atacantes sí están proyectando atacar a los usuarios de estos bancos. Que lo consigan o no, ya es otra cuestión. Todo dependerá de la capacidad de defenderse de los usuarios, de la protección que posean (por ejemplo, software antivirus) y de los conocimientos y cuidado que lleven al utilizar la banca por Internet.

Lo que está claro es que ya no solamente las plataformas clásicas están bajo peligro, sino también los sistemas de banca mediante telefonía móvil. Android se ha vuelto tan popular que el realizar operaciones sensibles sin contar con protección, se está volviendo cada vez más arriesgado”.

No cabe duda de que la banca móvil se está convirtiendo en un canal cada vez más importante y con mayor número de usuarios a nivel mundial. Según un reciente informe de PwC se espera que en 2016 el n úmero de usuarios de banca móvil crecerá hasta el 64%. Este potencial nos permite hacernos una idea de lo atractivo que resulta tanto la banca móvil como los desarrollos en las plataformas móviles para los cibercriminales.

En el pasado, los smartphones se utilizaban generalmente para ayudar a proteger las transacciones normales de banca online, algo que a día de hoy se sigue haciendo. Los bancos envían a los usuarios un número de autorización de transacción (TAN) vía SMS, código que deben introducir en sus PC para verificar que una transacción es válida. Básicamente se trata de una forma de la autorización de dos factores que mejora la seguridad al proporcionar un segundo medio de autenticación para los usuarios. Sin embargo, en la banca móvil, esta segunda forma de autenticación no está normalmente presente, pues la operación se realiza directamente desde el dispositivo. Esto deja a los usuarios más expuestos a las amenazas bancarias, ya que no necesitan ese segundo código de verificación. Así, el malware en el dispositivo móvil actúa como un troyano para robo de información man-in-the-middle y es capaz de robar información tan fácilmente como lo haría en otras plataformas

Post elaborado con información de El Confidencial http://www.elconfidencial.com/tecnologia/2016-03-13/clientes-del-bbva-santander-y-ruralvia-en-peligro-por-un-virus-en-moviles-android_1167402/

 

 

 

El panorama actual de amenazas nunca ha sido más volátil o peligroso. Teniendo en cuenta lo que está en juego, los responsables de compras de TI pueden dudar a qué proveedor dirigirse para mantener seguros los datos corporativos críticos, los endpoints y servidores de los usuarios manteniendo a los agentes de cumplimiento satisfechos.

Ahí es donde los informes del Cuadrante Mágico de Gartner ayudan – proporcionando a los responsables de ciberseguridad toda la información útil de cara a conocer a posibles proveedores con ofertas en cualquier campo. En Trend Micro, estamos muy satisfechos y orgullosos de haber sido reconocidos una vez más como Líder en Plataformas de Protección Endpoint – y haber sido posicionados en el mejor lugar de su cuadrante de líderes por nuestra visión global.

1

Sigue leyendo