Archivo de la categoría: Amenazas & Malware

Protegiendo los sistemas de seguridad físicos contra los ataques virtuales

¡Pensar antes de vincular! Los dispositivos de seguridad ayudan a garantizar la protección de todos en un edificio, pero ¿estamos seguros de que estos dispositivos necesitan estar conectados en red? Trend Micro ha sopesado esta cuestión y explica a continuación los pros y los contras de tener dispositivos de seguridad IoT. Para explicarlo de forma más gráfica y visual, ha elaborado una infografía en la que muestra cómo gestionar y proteger los dispositivos en los edificios inteligentes.

Cada edificio – público o privado – cuenta con sistemas de seguridad para su protección y la de sus integrantes. Dichos sistemas físicos pueden ser desde simples controles de acceso en puertas y cierres, hasta amplios sistemas de vigilancia y múltiples dispositivos de alarma. A consecuencia del desarrollo cada vez mayor de estos métodos de seguridad, los constructores están en búsqueda activa de nuevas vías que mejoren su propia estructura de trabajo.

Pieza por pieza, los sistemas de seguridad se están digitalizando con el propósito de permitir un acceso más rápido y un control sencillo. Actualmente, los edificios inteligentes están siendo construidos con sistemas centralizados de seguridad y monitorización. Los guardias de vigilancia pueden analizar sistemas de alarmas, ver qué sensores de movimiento se activan o las imágenes de seguridad de cada piso desde un centro de control. Además, los permisos de entrada pueden modificarse de manera remota. Lo físico se encuentra en proceso de cambio hacia lo digital. 

Los dispositivos de sistemas de seguridad son cada vez más complejos. Es posible controlar el acceso a una habitación a través de un lector ID, sistemas de Solicitud de Salida (REX), controladores de puertas y software de gestión para todo el sistema. Los sistemas de supervisión necesitan cámaras, grabadoras de vídeo y software de visualización. Los edificios se encuentran protegidos a través de múltiples alarmas como los sensores de manipulación, alarmas de incendio con sistemas de supresión y sensores de movimiento.

La comodidad y seguridad, junto al control centralizado son beneficios de todos estos dispositivos accesibles a través de la red, aunque también existen riesgos, tal y como explica Trend Micro  Resultan susceptibles ante determinados casos de ataques virtuales, y el incidente más reciente con las unidades de control HID demuestra que hay una posibilidad real de que estos dispositivos puedan ser explotados.

Trend Micro ha elaborado una infografía en la que muestra las diferentes posibilidades para atajar las posibles dificultades que pueden surgir antes de que se conviertan en verdaderos problemas. La compañía proporciona una serie de directrices sencillas que los administradores de los edificios pueden seguir para conocer el funcionamiento de los sistemas de seguridad y también para proteger adecuadamente dichos dispositivos. 

 

Ver infografía: Protección de sistemas de seguridad física contra ataques de red

Análisis del panorama de amenazas móviles de 2016: diversidad, escala y alcance

Trend Micro bloqueó 65 millones de amenazas móviles en 2016. En diciembre de ese año, el número total de apps maliciosas de Android recopiladas y analizadas por la compañía alcanzó los 19,2 millones, cifra que supone un salto enorme frente a los 10,7 millones recogidos en 2015.

De hecho, la presencia generalizada de los dispositivos móviles entre usuarios y organizaciones, junto con los avances tecnológicos que los impulsan, reflejan la proliferación exponencial, la creciente complejidad y las capacidades de expansión de las amenazas móviles.

Mientras que las rutinas y la cadena de infección de las amenazas móviles son un terreno que resulta familiar, 2016 trajo al panorama móvil amenazas con mayor diversidad, escala y alcance. Más empresas fueron víctimas del malware móvil a medida que se volvieron más comunes el fenómeno BYOD y los dispositivos de propiedad de la compañía, mientras que el ransomware se fue propagando según se continuaba extendiendo la base de usuarios móviles hasta convertirse en un objetivo viable para los cibercriminales. También se descubrieron y divulgaron más vulnerabilidades, permitiendo a los malos ampliar sus vectores de ataque, afinar su malware, aumentar sus métodos de distribución y, en particular, invadir el “jardín amurallado” de iOS.

A nivel mundial, los exploits y el rooting malware fueron los más frecuentes, mientras que el ransomware móvil se propagó más en Japón. En Estados Unidos, el malware que recopila y filtra información de forma encubierta, así como funciones que permiten enviar y recibir mensajes de texto, fueron los más difundidos.

A continuación, Trend Micro ofrece los aspectos más destacados del panorama de las amenazas móviles de 2016, en base a la información proporcionada por el Servicio de Reputación de Apps Móviles (MARS, por sus siglas en inglés) y Smart Protection Network™, así como las investigaciones y datos externos de los incidentes más destacados del año pasado:

El malware móvil continúa afectando a las empresas

La tendencia al alza de los programas de Bring Your Own Device (BYOD) y el acceso a las redes, servicios y activos corporativos a través de smartphones, continuaron afectando al impacto de las amenazas móviles en los negocios. Por el contrario, Trend Micro no ha observado malware codificado específicamente dirigido a empresas. Las infecciones identificadas fueron en su mayoría provocadas al descargar aplicaciones malintencionadas -a menudo de tiendas de app de terceros- e instalarlas en dispositivos que se conectan a redes corporativas y manejan archivos de empresa. QVOD (detectado por Trend Micro como ANDROIDOS_EHOOPAY.AXM), por ejemplo, está camuflado como un reproductor de vídeo. Suscribe a los usuarios a servicios de mensajería de texto premium (SMS) sin su conocimiento, y puede generar importantes cargos en la factura del teléfono. El malware DressCode (ANDROIDOS_SOCKSBOT.A) robó información bajo el disfraz de herramientas de optimización del teléfono y apps recreativas, mientras que el software spyware Jopsik (ANDROIDOS_JOPSIK.OPSLB) se presentaba como una app para juegos o una actualización de Android OS.

De acuerdo con la información de Trend MicroMobile Security for Enterprise, las amenazas que más afectaron a las empresas en 2016 fueron las aplicaciones potencialmente no deseadas (PUA, por sus siglas en inglés), entre las que se encuentran el adware, spyware, banking, rooting y los troyanos SMS, entre otras. China, Francia, Brasil, Alemania y Polonia fueron los países que registraron detecciones más elevadas.

Figura 1. Detecciones de malware móvil en empresas entre enero y diciembre de 2016

Figura 2: Países con empresas más afectadas por el malware móvil

Mientras que un número considerable de las muestras analizadas por Trend Micro se distribuyó a través de app stores de terceros, la compañía también vio apps maliciosas que hicieron su recorrido a marketplaces fidedignos. De los más de 3,22 millones de apps de Google Play obtenidas e investigadas por Trend Micro, el 1,02% de las mismas era maliciosa y PUAs (cuya aparición en la plataforma fue tratada proactivamente por Google), incluyendo DressCode y Jopsik. Las detecciones de Dresscode fueron más altas entre las organizaciones estadounidenses, francesas, israelíes y ucranianas.

Sigue leyendo

Los 5 mitos de la próxima generación de protección de endpoint

Wendy Moore

La protección de endpoint de próxima generación ha salido mucho en los medios de comunicación recientemente. Pero, ¿qué significa realmente ese término? Para los administradores de seguridad TI que estén bajo presión, lo más importante no es que se convierta en la última palabra de moda sino encontrar una solución que sea eficaz en la protección de su organización de un enemigo en línea cada vez más ágil y decidido. La clave para esto son las múltiples técnicas de protección contra amenazas que trabajan en sinergia.

Sin embargo, puede ser difícil  encontrar la solución que ofrezca la mejor protección. Así que vamos a analizar los cinco mitos más comunes asociados con la protección de endpoints de nueva generación.

 

Mito # 1: La próxima generación de protección del endpoint = machine learning

El aprendizaje automático (machine learning) es bueno en el bloqueo de amenazas ocultas en archivos ejecutables, pero lucha en la detección de amenazas ocultas en archivos no ejecutables, tales como scripts maliciosos en archivos PDF o documentos de Word. Hay muchas amenazas diferentes por ahí – es decir, ransomware, vulnerabilidades del navegador, amenazas de día cero – que necesitan muchas técnicas diferentes de protección juntas para desviarlos. Otras técnicas, que trabajan en concierto con el machine learning, como la reputación web, el análisis de comportamiento, la zona de pruebas, el control de aplicaciones y la protección de vulnerabilidades también son fundamentales para asegurar que tenga la mejor protección contra la más amplia gama de amenazas.

 

Mito # 2: Las soluciones de próxima generación ofrecen una protección “increíble”

Algunos de los nuevos vendedores están haciendo afirmaciones audaces sobre sus productos y presentan resultados increíbles. Realmente son increíbles, ya que los resultados salen de las pruebas, donde los vendedores controlan todos los parámetros analizados, incluidas las amenazas, y la configuración de los productos de la competencia. Cuando se someten a organizaciones de renombre, como los tests independientes AV-Test, sus resultados simplemente no están a la altura.

 

Mito # 3: El endpoint es el mejor lugar para detener las amenazas

La protección del endpoint es clave pero muchas amenazas puede ser bloqueadas en la puerta de enlace web o correo electrónico antes de que se llegue a su endpoint, dejando la seguridad de endpoint para centrarse en las amenazas más sofisticadas. La seguridad Web y de correo electrónico deben trabajar en conjunto con la protección del endpoint, el intercambio de información sobre amenazas y la visión global de lo que está pasando a través de cada vector de amenazas.

 

Mito # 4: Todo lo que hay que hacer es evitar las amenazas

La realidad es que ningún vendedor puede proteger al 100% de las amenazas. Es por esto que necesita herramientas no sólo para detectar amenazas, sino para recuperarse de ellas también. Y necesita seguridad adaptable para prevenir esas amenazas la próxima vez que aparezcan. Esto sólo puede lograrse si las capas de protección de endpoint comparten inteligencia, algo difícil de lograr cuando se está usando productos puntuales de múltiples proveedores.

 

Mito # 5: Sólo arriesgadas empresas de nueva creación proporcionan la protección de nueva generación

Muchas pequeñas empresas de nueva creación hacen un montón de ruido en el  mercado sobre su tecnología- bala de plata para resolver todos sus problemas de seguridad de endopoint. Pero proteger su organización va más allá de cualquier tecnología. Los clientes valoran un socio de seguridad de endpoint como Trend Micro, que evoluciona continuamente sus soluciones de protección de endpoint, Smart Protection Suites – añadiendo nuevas capacidades tales como la máquina de aprendizaje – para proteger contra el cambiante panorama de amenazas. Es por eso que nuestros clientes confían en nosotros para proteger más de 155 millones de endpoints en todo el mundo, y que garantizan que estaremos allí mañana, cuando muchas de estas empresas de nueva creación sean solo un recuerdo lejano.

El Ransomware y las estafas de los mails de negocios (BEC) lideran el año de la extorsión on line

  • Autor: Trend Micro

 

Los correos electrónicos se han convertido en el campo de batalla de la primera mitad del año en términos de seguridad. Es el número uno del vector de infección que ha dado paso a mayores amenazas de 2016 hasta la fecha-ransomware y comprometer correos electrónicos de negocio (BEC). Las infecciones ransomware comienzan normalmente a través de correo electrónico. En base a los resultados, el 71% de las familias de ransomware conocidas entra a través de correo no deseado.

En cuanto a las tendencias de amenazas hasta ahora, tanto ransomware como BEC han demostrado ser rentables en todo el mundo. Esto se hace eco de nuestra predicción de que el 2016 sería el Año de la Extorsión on line. El ransomware sigue amenazando datos críticos de las empresas y supone millones de dólares en pérdidas para las empresass; se estiman en más de  3 mil millones de dólares las pérdidas por estafa bancaria de los BEC en señuelos de ingeniería social

La prevalencia mundial

A través de nuestro propio análisis y los datos de Smart Protection Network de Trend Micro, hemos sido capaces de mapear cómo las amenazas respectivas en diferentes regiones. De enero a junio de 2016, hemos sido capaces de catalogar el número de empresas atacadas por estafas BEC, así como el número de amenazas basadas en correo electrónico ransomware.

1

Figura 1. Distribución regional en volumen de amenazas ransomware

2

Figura 2. Distribución regional en volumen de las organizaciones afectadas por estafas BEC

Nuestra telemetría muestra que el alcance de ransomware está más extendido que el BEC, ya que se dirige a los países de Europa, Oriente Medio y África. La prevalencia de las estafas BEC es mayor en la región de América del Norte, con un menor número de países, pero más atacados.

El correo electrónico es el vector de ataque preferido

El 58% de los casi 80 millones de amenazas de Trend Micro ransomware bloqueado durante enero-junio 2016 es ransomware transmitido por correo electrónico. Las estafas BEC, por el contrario, llegan a través de correo electrónico. Estos factores hacen que el correo electrónico siga siendo un elemento básico de la empresa en funcionamiento todos los días.

Ambos también utilizan la ingeniería social. En el caso de ransomware, para que el usuario haga clic y ejecutar el ransomware adjuntando  su correo electrónico de entrada. Para las BEC, es engañar al usuario si en el pensamiento de que su solicitud de una transferencia de dinero es legítimo, sin la carga útil de malware habitual.

Por comparar, a continuación una muestra de un correo electrónico ransomware, así como uno de un BEC en curso.

3

Figura 3. Muestra de correo electrónico ransomware

4

Figura 4. Muestra de correo BEC

Sabiendo que estas amenazas utilizan el correo electrónico como vía de ataque, las empresas deben reforzar la educación de los empleados e invertir inteligentemente en la protección de correo electrónico. Con éstos, la amenaza de ataques y ransomware BEC se puede reducir en gran medida.

Las empresas deben buscar en las soluciones de seguridad de correo electrónico que tienen la capacidad de identificar correos electrónicos de bloques, archivos y direcciones URL relacionadas con ransomware, antes incluso que llegan al puesto de trabajo, así como un análisis en profundidad de los archivos adjuntos, el análisis virtual de la URL, la simulación de la escritura, ataques de día cero y así sucesivamente. Nuestra oferta de seguridad, Trend Micro ™ Deep Discovery ™ Email Inspector, es un buen ejemplo.

Otra solución que definitivamente va bien contra estafas BEC es nuestra propia Virtual Appliance de Trend Micro InterScan ™ Messaging Security. Detecta spear phishing y correos electrónicos de ingeniería social mediante la correlación de los componentes de correo electrónico con las nuevas tecnologías de protección de ataque de ingeniería social con el fin de bloquearlas antes incluso de llegar a los buzones de los empleados.

Por último, en el caso de ataques BEC de malware que utilizan, las soluciones de Trend Micro Interscan Messaging Security Virtual Appliance detectan y bloquean a través de capacidades tales como la detección de anomalías en la red, análisis de entorno limitado, así como una visión amenaza compartida y se correlacionó con todas las otras tecnologías de trabajo en sinergia.

Para más información sobre éstas u otras amenazas a las empresas, tales como paquetes de exploits, vulnerabilidades y brechas de datos, y cómo defenderse contra ellos, lea nuestra Informe de la seguridad 1H 2016, el Reino de ransomware.

¿Website sin conexión? El nuevo ransomware FAIRWARE encontrado en el servidor podría ser la causa

Steve Neville, Trend Micro

En un momento en el que el goteo constante de noticias relacionadas con el ransomware no cesa, entra en escena FAIRWARE, una nueva variante que está atacando los servidores web bajo la plataforma Linux.

Comentado inicialmente en un post publicado en el foro Bleeping Computer, las víctimas explicaban que creían que se habían forzado sus máquinas para obtener acceso. Una vez en el servidor, los atacantes supuestamente cifran los archivos y eliminan el contenido de la carpeta web, borrando los archivos originales y dejando un mensaje que exige el pago de un rescate de dos Bitcoins para poder recuperar los archivos. Por supuesto, la eliminación de los contenidos de la carpeta www deja al servidor web inservible, lo que sería un problema importante en caso de aplicaciones web de misión crítica. Si la víctima no paga el rescate en el plazo de dos semanas, se le advierte que no va recuperar sus archivos y que estos pueden ser filtrados al público.

Todavía no está claro si el desarrollador del ransomware FAIRWARE quita realmente los archivos antes de eliminarlos, o si es simplemente una estrategia para que las víctimas paguen el rescate. Hasta la fecha, nadie ha pagado el rescate en el monedero Bitcoin especificado en la nota que deja, pero con datos valiosos bajo riesgo, la víctima deseará desesperadamente intentar recuperar los datos pagando el rescate.

Aunque ya hemos sido testigos de algunas modalidades de ransomware centrado en el servidor en ocasiones pasadas (SAMSAM es una variante reciente que aprovechaba una vulnerabilidad de JBOSS), y FAIRWARE es un buen recordatorio de que no existe una varita mágica, cuando se trata de proteger a las organizaciones del ransomware. Mientras la mayoría de los ataques se centran en el usuario final, los servidores ejecutan las aplicaciones de misión crítica y almacenan datos empresariales sensibles, los cuales necesitan estar protegidos como parte de una estrategia de seguridad por capas.

Una solución de seguridad efectiva para el servidor, como Trend Micro Deep Security, puede proteger los servidores a través de la nube híbrida ante ataque con una amplia variedad de controles de seguridad, proporcionando ayuda con:

  • La detección temprana de un ataque, incluyendo los casos en los que se recurre a la fuerza bruta como la utilizada por FAIRWARE y el movimiento lateral de servidor a servidor, lo que permite llevar a cabo una acción inmediata para reducir al mínimo el potencial impacto.
  • Blindaje de los servidores ante ataques (como SAMSAM) que aprovechan una vulnerabilidad para hacerse un hueco en el servidor.
  • Protección de los servidores de archivos empresariales -que alojan grandes volúmenes de datos corporativos valiosos- de los ataques a través de usuarios finales que están en situación de peligro, alertando a los administradores y deteniendo la actividad sospechosa en su recorrido.

Como parte de nuestro compromiso por ayudar a nuestros clientes ante los retos del ransomware, hemos preparado algunos consejos útiles y herramientas basados en nuestra amplia experiencia para combatir este tipo de amenaza. También puede acceder a un Webinar en el que los expertos de Trend Micro le proporcionarán prácticos consejos sobre lo que debe hacer para proteger a su organización.