Archivo de la categoría: Perdida de datos

Crypto-Ransomware se concentra en la región EMEA

La temporada de fiestas a menudo supone mucha actividad para los servicios de correos y paquetería, porque la gente compra en línea y comienza a enviar sus regalos a seres queridos que están lejos. Por esto, no sorprende demasiado recibir una notificación sobre encuesta de satisfacción sobre el envío de un paquete específico.

Los ciberdelincuentes, conscientes de esto, han comenzado a utilizar la entrega de paquetes como señuelo de ingeniería social para los recientes ataques crypto-ransomware de la región EMEA (Europa-Oriente Medio-África). Esto supone un importante giro porque los ataques previos están relacionados con las facturas y los estados financieros.
Según el feedback de Trend Micro Smart Protection Network, algunos países están en el top de víctimas de crypto-ransomware del último trimestre. Analizando los siguientes gráficos, podemos ver que España, Francia, Turquía, Italia y el Reino Unido se encuentran entre el grueso de víctimas de cripto-ransomware.

Affected Countries

1. Principales países infectados en la región EMEA, septiembre 2014

Affected Countries

2. Principales países infectados en la región EMEA, octubre 2014

Affected Countries

3. Principales países infectados en la región EMEA, noviembre 2014

Sigue leyendo

TorrentLocker ataca objetivos italianos

Joseph C Chen (Investigador de Fraudes)

Hemos descubierto recientemente una nueva variante de ransomware, TorrentLocker, dirigido a aproximadamente 4.000 organizaciones y empresas italianas. TorrentLocker pertenece a la familia ransomware (CryptoLocker), y también cifra diversos archivos y obliga a los usuarios a pagar una suma de dinero. TorrentLocker utiliza la red de anonimato TOR para ocultar su tráfico de red, lo que puede haber sido el origen de su nombre.

La citada amenaza utiliza un correo electrónico spam escrito en italiano con varias plantillas como parte de sus tácticas de ingeniería social. Traducido al Inglés, estos mensajes dicen:

1. Su pregunta se ha hecho en el foro {día} / {mes} / {año} {hora}. Para la respuesta detallada consulte la siguiente dirección: {enlace malicioso}

2. Se le envió una factura que debe pagar antes de {día} / {mes} / {año}. Detalles encontrados: {enlace malicioso}

3. Su solicitud ha sido iniciada para revisar el pago {enlace malicioso}

1

1 Muestra de correo electrónico spam

Todos los mensajes contienen un enlace que lleva a un archivo zip. Descomprimir el archivo de almacenamiento produce un archivo disfrazado como documento PDF. Los archivos PDF son muy normales en las empresas, y como tal, los empleados que reciben este mensaje spam puede llegar a pensar que esto es legítimo.

2

2 Captura de pantalla del archivo vinculado

Algunos de los archivos de almacenamiento tienen nombres como Versamento.zip, Transazione.zip, Compenso.zip o Saldo.zip. Estos nombres de archivo se traducen como pago, transacción, compensación y saldo, respectivamente. Sin embargo, en lugar de un archivo PDF, estos archivos son en realidad una variante CryptoLocker detectado por Trend Micro como TROJ_CRILOCK.YNG.

Al igual que en otras variantes, Cryptolocker cifra una gran variedad de tipos de archivo, incluyendo .DOTX, DOCX, DOC, TXT, PPT, .PPTX y .XLSX, entre otros. Todos estos tipos de archivo están asociados con los productos de Microsoft Office y se utilizan comúnmente en las operaciones diarias de las empresas.

Para recibir la herramienta de descifrado para supuestamente recuperar archivos cruciales los los usuarios necesitan para pagar el rescate en Bitcoins. En una de las muestras que encontramos pidieron un rescate de 1.375 BTC

4

3 y 4. Imágenes de ransomware (Click para ampliar)

Los usuarios italianos son los más afectados por este particular spam, ya que la mitad de todos los mensajes de spam que se identifican con este tipo de spam fueron enviados a usuarios en Italia. La cuarta parte provino de Brasil, con otros países que representan el resto. En su pico, varios miles de usuarios se vieron afectados al día.

5

5. Distribución de los objetivos TorrentLocker globalmente

6

6. Número de objetivos afectados al día

Protegemos a nuestros usuarios contra esta amenaza mediante el bloqueo de las diferentes fases de esta amenaza. Además de bloquear los diversos mensajes spam, bloqueamos también las URL maliciosas y detectamos los archivos maliciosos utilizados en este ataque.

Los hash del archivo vistos en este ataque incluyen:

  • 050b21190591004cbee3a06019dcb34e766afe47
  • 078838cb99e31913e661657241feeea9c20b965a
  • 6b8ba758c4075e766d2cd928ffb92b2223c644d7
  • 9a24a0c7079c569b5740152205f87ad2213a67ed
  • c58fe7477c0a639e64bcf1a49df79dee58961a34
  • de3c25f2b3577cc192cb33454616d22718d501dc

Información adicional de Grant Chen

2014 – Una explosión de brechas de datos y malware específico para TPV

Numaan Huq, Threat Senior Research de Trend Micro

La industria de la seguridad informática siempre recordará 2013 como el año en que Estados Unidos fue víctima de una de las mayores brechas de datos de la historia. En un ataque dirigido, la cadena de grandes almacenes Target, se vio comprometida durante la campaña de Navidad utilizando el malware BlackPOS, una modalidad de malware específica para los terminales punto de venta (TPV o PoS) llamada RAM scraper, que se instala en la memoria de los terminales para robar tarjetas y claves. Se estima que los cibercriminales robaron 40 millones de números de tarjetas de crédito y débito, así como 70 millones de registros personales de los compradores de Target.

Desde que la violación de datos de Target se convirtió en el centro de atención, ha habido un flujo constante de comercios y retailers que han hecho público sus incidentes relacionados con la seguridad de sus datos. Estas brechas de datos, por lo general, conllevan el robo de datos de tarjetas de crédito utilizando la modalidad de malware recopiladores de RAM para TPV. A principios de este mes, Brian Krebs comunicó otra gran brecha de datos en la que se ha visto afectado el distribuidor estadounidense Home Depot y para la cual se ha utilizado una nueva variante de BlackPOS Pos RAM Scraper. Se cree que casi todas las filiales de Home Depot en EE.UU. se han visto afectadas y se estudia si esta fuga de datos podría haber superado la brecha que afectó a Target en términos de volumen de datos robados.

Además de un mayor número de brechas de datos, 2014 también está trayendo un aumento en el número de nuevas familias y variantes de recopiladores de RAM para TPV. El árbol genealógico creado por Trend Micro sobre recopiladores de RAM para TPV ilustra la evolución siguiente:

 

1

Figura 1: Evolución de la familia recopiladores de RAM para TPV

La primera evidencia de recopiladores de RAM para TPV se remonta a una Alerta de Seguridad de Datos de Visa, del 2 de octubre de 2008.Entonces los cibercriminales intentaron instalar las herramientas de depuración en los sistemas de puntos de venta para seguir las pistas de los datos de tarjetas de crédito 1 y 2 desde la memoria RAM. En 2009, Verizon también informó de la existencia de RAM scrapers para TPV junto a los perfiles de sus víctimas; los objetivos eran principalmente la industria comercial y de hostelería. Las familias de recopiladores de RAM para TPVcomenzaron a evolucionar en torno a finales de 2011. Tal y como se observa en el árbol genealógico, ha habido un lanzamiento constante de nuevas variantes de recopiladores de RAM scraper para TPV entre las que se encuentran nuevas brechas  y técnicas de extracción. Lo que se destaca en el gráfico de recopiladores de RAM para TPV es la alta concentración de las nuevas variantes que han surgido sólo en 2014. Seis variantes de esta familia de malware scraper aparecieron entre 2011 y 2013, pero los investigadores ya han descubierto el mismo número de variantes en lo que va de 2014. Tal y como se ilustra con las flechas, estas nuevas variantes ya han tomado prestadas las funcionalidades de sus predecesores o son evoluciones directas de modalidades de recopiladores de RAM para TPV más antiguas.

De las seis nuevas variantes descubiertas en 2014, cuatro lo fueron entre los meses de junio y agosto.

  • Soraya: descubierto en junio y es un malware inspirado en Dexter y ZeuS. Además de instalarse en la memoria RAM para extraer los datos de las pistas 1 y 2 de las tarjetas de crédito, toma prestado trucos de ZeuS para enganchar la API NtResumeThread, y se inyecta en todos los procesos nuevos. También toma prestada la funcionalidad de apropiación de ZeuS y capta la función HTTP POST del navegador. Trend Micro detecta variantes de Soraya como TSPY_SORAYA.A.
  • BrutPOS: descubierto en julio yparece haber tomado la funcionalidad de una variante BlackPOS. Intenta explotar los sistemas de los terminales punto de venta que utilizan contraseñas débiles o por defecto y tienen abierto los puertos de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés). BrutPOS tiene mayor fuerza en los inicios de sesión: combinaciones de contraseñas para poder entrar en el sistema. Trend Micro detecta variantes BrutPOS como TROJ_TIBRUN.ByTROJ_TIBRUN.SM.
  • Backoff: hallado en julio es el sucesor de Alina. Implementa una función de búsqueda de datos actualizada y baja un proceso de vigilancia que garantiza que Backoff se está ejecutando siempre en el sistema. Los ciberdelincuentes utilizan las herramientas disponibles para el público para forzar la entrada en aplicaciones RDP de los sistemas TPV e instalar Backoff. Trend Micro detecta variantes de Backoff como TSPY_POSLOGR.A, TSPY_POSLOGR.B, y TSPY_POSLOGR.C.
  • BlackPOS ver 2.0: encontrado en agosto, clona la técnica de extracción que la variante BlackPOS utilizó para comprometer a la cadena de almacenes estadounidense Target. BlackPOS ver 2.0 también añade una característica única donde pretende hacerse pasar por una solución antivirus instalada en el Sistema para evitar llamar la atención sobre sí mismo. Los informes indican que este malware parece que ha sido utilizado en la última gran brecha de datos en la que se ha visto comprometida Home Depot. Trend Micro detecta variantes de BlackPOS ver 2.0 como TSPY_MEMLOG.A.

Nota: Una variante de malware puede haber existido mucho antes de que se descubriera porque el seguimiento de las fechas exactas es una tarea extremadamente difícil de realizar.

Trend Micro ha elaborado un documento titulado: “Malware recopiladores de RAM para PoS: Pasado, Presente y Futuro”,en el que estudia y analiza el problema de recopiladores de RAM para TPV de la A a la Z, además de detallar lo siguiente:

 

  • Profundiza en el ecosistema TPV y describe cómo las transacciones de los sistemas punto de venta funcionan desde el momento en que los clientes deslizan sus tarjetas de crédito hasta el momento en que se realiza el cargo de sus compras.
  • Incluye una descripción de los tipos de datos que residen en la banda magnética de las tarjetas de pago.
  • Se analiza la evolución del malware recopiladores de RAM para TPV, desde sus sencillos comienzos hasta cómo se han convertido en las amenazas industrializadas de hoy.
  • Explora los diversos métodos de infección de recopiladores de RAM para TPV proporcionando un punto de vista técnico de las familias de malware recopiladores de RAM para TPV más predominantes hasta la fecha.
  • Detalla las técnicas de extracción de datos utilizadas por los recopiladores de RAM para TPV y examina lo que ocurre con los datos que los ciberdelincuentes extraen.
  • Se intenta predecir cómo será la próxima generación de recopiladores de RAM para TPV, cómo se verán los futuros vectores de ataque en los terminales punto de venta. Ç
  • Por último, el documento ofrece estrategias de prevención que las empresas pueden seguir para protegerse contra los RAM scrapers para TPV.

Si desea más información visite el Blog de Trend Micro en:   http://blog.trendmicro.com/trendlabs-security-intelligence/2014-an-explosion-of-data-breaches-and-pos-ram-scrapers/

 

¿Qué necesita saber sobre la brecha de datos en eBay?

Por Christopher Budd, Global Threat Communications
Una nueva violación de datos que preocupa a multitud de usuariosse ha producido  . En esta ocasión afecta a una gran compañía: eBay. Si usted es cliente de eBay, debe tomar medidas de inmediato.

No tenemos todos los detalles, pero esto es lo que sabemos desde que eBay emitiera su comunicado. En algún momento entre finales de febrero y principios de marzo de 2014, los atacantes pudieron poner en peligro las cuentas de los empleados de eBay. Estos atacantes fueron capaces de aprovechar esas cuentas para acceder a una base de datos de eBay que contenía información de los clientes. En concreto:

  • Nombre del cliente
  • Contraseña cifrada
  • Dirección de correo electrónico
  • Dirección física de cliente
  • Número de teléfono
  • Fecha de nacimiento

Sigue leyendo

Ey, eBay! Tengo cinco preguntas para ti…

por Rik Ferguson, Vice President of Security Research

Si está haciendo una lista de violaciones de datos de alto nivel, ahora tiene un nuevo nombre que añadir: eBay. En un artículo en la sección “en las noticias ” de su sitio web eBay aclaró en cierta medida, la magnitud de la brecha, aunque incluso el título parece incapaz de decir las cosas como son.
Sigue leyendo