Archivo de la categoría: Hacking

Trend Micro acogerá la tercera edición de la competición Capture the Flag

Trend Micro acogerá la Trend Micro CTF 2017 – Raimund Genes Cup, la tercera edición de la competición de ciberseguridad Capture the Flag (CTF). Trend Micro CTF está dirigido a jóvenes profesionales del sector de la ciberseguridad que deseen mejorar sus habilidades prácticas en áreas tales como cibercrimen, ataques dirigidos, Internet de las Cosas (IoT) y Sistemas de Control Industrial (ICS).

“Nuestro objetivo es apoyar y fortalecer las habilidades de los profesionales que ingresan a este sector para prepararse mejor y protegerse contra las amenazas más apremiantes de hoy”, señala Eva Chen, CEO de Trend Micro. “Para cumplir con nuestra misión de hacer el mundo digital más seguro para todos, debemos apoyar a los ingenieros en el desarrollo y la expansión de su conocimiento sobre ciberseguridad en estas áreas tan específicas como relevantes”.

La competición incluye una ronda de clasificación online y las finales se celebrarán en Tokio, Japón. La clasificación se realizará en un formato “Jeopardy”, retando a los jugadores a resolver desafíos en varias categorías, como SCADA, IoT y ataques dirigidos. Los diez mejores equipos de la ronda de clasificación pasarán a competir en la final, que se jugará con una combinación de “ataque y defensa” y los formatos Jeopardy. El equipo ganador recibirá alrededor de 8.700 dólares, puntos del programa Zero Day Initiative Rewards[1] y la calificación automática para la final de HITCON CTF 2017 que se celebrará en Taipei, Taiwán.

Trend Micro CTF 2017 – Raimund Genes Cup – Ronda Clasificatoria

  • Fechas: del 24 al 25 de junio de 2017 (el juego comienza a las 12:00 a.m. ET, 24 de junio de 2017)
  • Requisitos: Los participantes deben tener al menos 20 años
  • Formato: Jeopardy
  • Lugar: Online
  • Registro de equipos: 23 de mayo a 25 de junio de 2017

Trend Micro CTF 2017 – Copa Raimund Genes – La Final

  • Fechas: 11-12 de noviembre de 2017 (JST)
  • Requisitos: Los diez mejores equipos de la fase anterior se clasificarán y recibirán ayudas para asistir a la final. Además, competirán los ganadores de la CTF Nacional de Egipto. Cada equipo puede tener un máximo de cuatro jugadores.
  • Formato: Una combinación de Ataque y Defensa y Jeopardy
  • Lugar: BELLESALLE Nishi Shinjuku, Tokio, Japón

Premios:

  • Equipo ganador:

o   Aproximadamente 8.700 dólares por equipo

o   15.000 Puntos del Programa de Recompensas de la Iniciativa Zero Day por jugador (estos puntos pueden ser cajeados por beneficios, incluyendo un bono de 2.000 dólares)

o   Calificaciones automáticas para la final de HITCON CTF 2017 que se celebrará en Taipei, Taiwán

  • Segundo clasificado:

o   Aproximadamente 2.600 dólares por equipo

  • Tercer clasificado:

o   Aproximadamente 1.700 dólares por equipo

Para registrarse en la ronda clasificatoria y obtener más información sobre Trend Micro CTF 2017 – Raimund Genes Cup, por favor visite:www.trendmicro.com/tmctf.

Un nuevo zero-day en Adobe Flash utilizado en la campaña Pawn Storm dirigida a Ministerios de Asuntos Exteriores

pawnstorm-300x140

Análisis de Brooks Li, Feike Hacquebord y Peter Pi

El equipo de investigación de Trend Micro ha descubierto que los atacantes que están detrás de Pawn Storm están utilizando un nuevo exploit zero-day en Adobe Flash en su última campaña. Pawn Storm es una campaña de ciberespionaje de larga duración conocida por dirigirse a objetivos de perfil alto y por emplear la primera vulnerabilidad zero-day vista en Java en los dos últimos años.

En esta reciente campaña, Pawn Storm se dirigía a varios Ministerios de Asuntos Exteriores de todo el mundo. Los objetivos recibieron correos electrónicos de spear phishing que contenían enlaces que conducen al exploit. Los emails y direcciones URL se han creado a mano para simular que dirigen a información sobre temas de actualidad, empleando asuntos en el mensaje de correo electrónico que contienen los siguientes temas:

  • “Un suicida con coche bomba se dirige contra el convoy de tropas de la OTAN en Kabul”
  •  “Las tropas sirias ganan terreno mientras Putin defiende con ataques aéreos”
  • Israel lanza ataques aéreos contra objetivos en Gaza”
  • “Rusia advierte que responderá a Estados Unidos sobre la acumulación de armas nucleares en Turquía, Europa”
  • El ejército de Estados Unidos informa que 75 rebeldes entrenados por Estados Unidos regresan a Siria”

Sigue leyendo

Vulnerabilidades bajo ataque: iluminando el amplio escenario de los ataques

Por Christopher Budd

A un ex colega mío que trabajaba para determinado organismo gubernamental de Langley, Virginia (es decir, la CIA) le gustaba una cita de Ian Fleming de Goldfinger: “Una vez es casualidad. Dos veces es coincidencia. Tres veces es acción enemiga”.
Al examinar nuestro informe trimestral de amenazas para el Q3 de 2014, “Vulnerabilidades bajo ataque: arrojando luz sobre la superficie creciente de ataque” podemos apreciar una tendencia emergente que se ajusta a este dicho. Una de las cosas más notables sobre el tercer trimestre es que es el segundo trimestre consecutivo con una importante crisis de seguridad con vulnerabilidades en componentes de código abierto ampliamente desplegadas.

Sigue leyendo

Regin: un malware sofisticado aunque no sin precedentes

Informes recientes han detectado un sofisticado malware conocido como Regin en ataques dirigidos en varios países. Regin es altamente sofisticado y está diseñado para llevar a cabo vigilancia sigilosa de potenciales víctimas a largo plazo, a instancias de sus creadores. Se cree que los principales objetivos de este ataque han sido las compañías de telecomunicaciones.

No está claro cuánto tiempo ha estado activo Regin. Las marcas de tiempo de los archivos asociados a Regin varían según los informes. En algún lugar el ataque sucedió en 2003, mientras que en otros en 2006, 2008 ó 2011. Entre las víctimas conocidas se incluye una compañía telefónica belga, lo que lleva a sospechar que los actores de amenaza están detrás de este ataque.

Si bien Regin está en general bien elaborado y diseñado, en nuestra vigilancia de las amenazas observamos que muchas de sus técnicas se han utilizado antes en otros ataques. Además, el objetivo general de este ataque es el mismo: robar información del objetivo sin dejar de ser sigiloso.

El siguiente gráfico describe algunas de las técnicas avanzadas que creemos fueron utilizadas por Regin:

 regin-1aTécnicas avanzadas utilizadas por Regin

Como se puede apreciar, muy pocas de las técnicas utilizadas por Regin no tenían precedentes de una forma u otra. Las técnicas elegidas por los creadores de Regin parecen haber sido elegidas para maximizar sus características de sigilo; esto permitiría a un atacante mantener su presencia a largo plazo en un sistema afectado, lo que sería una herramienta eficaz para la recopilación de información robada.

Seguiremos atentos a los acontecimientos relacionados con esta amenaza y actualizaremos la información cuando sea necesario.

 

2014 – Una explosión de brechas de datos y malware específico para TPV

Numaan Huq, Threat Senior Research de Trend Micro

La industria de la seguridad informática siempre recordará 2013 como el año en que Estados Unidos fue víctima de una de las mayores brechas de datos de la historia. En un ataque dirigido, la cadena de grandes almacenes Target, se vio comprometida durante la campaña de Navidad utilizando el malware BlackPOS, una modalidad de malware específica para los terminales punto de venta (TPV o PoS) llamada RAM scraper, que se instala en la memoria de los terminales para robar tarjetas y claves. Se estima que los cibercriminales robaron 40 millones de números de tarjetas de crédito y débito, así como 70 millones de registros personales de los compradores de Target.

Desde que la violación de datos de Target se convirtió en el centro de atención, ha habido un flujo constante de comercios y retailers que han hecho público sus incidentes relacionados con la seguridad de sus datos. Estas brechas de datos, por lo general, conllevan el robo de datos de tarjetas de crédito utilizando la modalidad de malware recopiladores de RAM para TPV. A principios de este mes, Brian Krebs comunicó otra gran brecha de datos en la que se ha visto afectado el distribuidor estadounidense Home Depot y para la cual se ha utilizado una nueva variante de BlackPOS Pos RAM Scraper. Se cree que casi todas las filiales de Home Depot en EE.UU. se han visto afectadas y se estudia si esta fuga de datos podría haber superado la brecha que afectó a Target en términos de volumen de datos robados.

Además de un mayor número de brechas de datos, 2014 también está trayendo un aumento en el número de nuevas familias y variantes de recopiladores de RAM para TPV. El árbol genealógico creado por Trend Micro sobre recopiladores de RAM para TPV ilustra la evolución siguiente:

 

1

Figura 1: Evolución de la familia recopiladores de RAM para TPV

La primera evidencia de recopiladores de RAM para TPV se remonta a una Alerta de Seguridad de Datos de Visa, del 2 de octubre de 2008.Entonces los cibercriminales intentaron instalar las herramientas de depuración en los sistemas de puntos de venta para seguir las pistas de los datos de tarjetas de crédito 1 y 2 desde la memoria RAM. En 2009, Verizon también informó de la existencia de RAM scrapers para TPV junto a los perfiles de sus víctimas; los objetivos eran principalmente la industria comercial y de hostelería. Las familias de recopiladores de RAM para TPVcomenzaron a evolucionar en torno a finales de 2011. Tal y como se observa en el árbol genealógico, ha habido un lanzamiento constante de nuevas variantes de recopiladores de RAM scraper para TPV entre las que se encuentran nuevas brechas  y técnicas de extracción. Lo que se destaca en el gráfico de recopiladores de RAM para TPV es la alta concentración de las nuevas variantes que han surgido sólo en 2014. Seis variantes de esta familia de malware scraper aparecieron entre 2011 y 2013, pero los investigadores ya han descubierto el mismo número de variantes en lo que va de 2014. Tal y como se ilustra con las flechas, estas nuevas variantes ya han tomado prestadas las funcionalidades de sus predecesores o son evoluciones directas de modalidades de recopiladores de RAM para TPV más antiguas.

De las seis nuevas variantes descubiertas en 2014, cuatro lo fueron entre los meses de junio y agosto.

  • Soraya: descubierto en junio y es un malware inspirado en Dexter y ZeuS. Además de instalarse en la memoria RAM para extraer los datos de las pistas 1 y 2 de las tarjetas de crédito, toma prestado trucos de ZeuS para enganchar la API NtResumeThread, y se inyecta en todos los procesos nuevos. También toma prestada la funcionalidad de apropiación de ZeuS y capta la función HTTP POST del navegador. Trend Micro detecta variantes de Soraya como TSPY_SORAYA.A.
  • BrutPOS: descubierto en julio yparece haber tomado la funcionalidad de una variante BlackPOS. Intenta explotar los sistemas de los terminales punto de venta que utilizan contraseñas débiles o por defecto y tienen abierto los puertos de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés). BrutPOS tiene mayor fuerza en los inicios de sesión: combinaciones de contraseñas para poder entrar en el sistema. Trend Micro detecta variantes BrutPOS como TROJ_TIBRUN.ByTROJ_TIBRUN.SM.
  • Backoff: hallado en julio es el sucesor de Alina. Implementa una función de búsqueda de datos actualizada y baja un proceso de vigilancia que garantiza que Backoff se está ejecutando siempre en el sistema. Los ciberdelincuentes utilizan las herramientas disponibles para el público para forzar la entrada en aplicaciones RDP de los sistemas TPV e instalar Backoff. Trend Micro detecta variantes de Backoff como TSPY_POSLOGR.A, TSPY_POSLOGR.B, y TSPY_POSLOGR.C.
  • BlackPOS ver 2.0: encontrado en agosto, clona la técnica de extracción que la variante BlackPOS utilizó para comprometer a la cadena de almacenes estadounidense Target. BlackPOS ver 2.0 también añade una característica única donde pretende hacerse pasar por una solución antivirus instalada en el Sistema para evitar llamar la atención sobre sí mismo. Los informes indican que este malware parece que ha sido utilizado en la última gran brecha de datos en la que se ha visto comprometida Home Depot. Trend Micro detecta variantes de BlackPOS ver 2.0 como TSPY_MEMLOG.A.

Nota: Una variante de malware puede haber existido mucho antes de que se descubriera porque el seguimiento de las fechas exactas es una tarea extremadamente difícil de realizar.

Trend Micro ha elaborado un documento titulado: “Malware recopiladores de RAM para PoS: Pasado, Presente y Futuro”,en el que estudia y analiza el problema de recopiladores de RAM para TPV de la A a la Z, además de detallar lo siguiente:

 

  • Profundiza en el ecosistema TPV y describe cómo las transacciones de los sistemas punto de venta funcionan desde el momento en que los clientes deslizan sus tarjetas de crédito hasta el momento en que se realiza el cargo de sus compras.
  • Incluye una descripción de los tipos de datos que residen en la banda magnética de las tarjetas de pago.
  • Se analiza la evolución del malware recopiladores de RAM para TPV, desde sus sencillos comienzos hasta cómo se han convertido en las amenazas industrializadas de hoy.
  • Explora los diversos métodos de infección de recopiladores de RAM para TPV proporcionando un punto de vista técnico de las familias de malware recopiladores de RAM para TPV más predominantes hasta la fecha.
  • Detalla las técnicas de extracción de datos utilizadas por los recopiladores de RAM para TPV y examina lo que ocurre con los datos que los ciberdelincuentes extraen.
  • Se intenta predecir cómo será la próxima generación de recopiladores de RAM para TPV, cómo se verán los futuros vectores de ataque en los terminales punto de venta. Ç
  • Por último, el documento ofrece estrategias de prevención que las empresas pueden seguir para protegerse contra los RAM scrapers para TPV.

Si desea más información visite el Blog de Trend Micro en:   http://blog.trendmicro.com/trendlabs-security-intelligence/2014-an-explosion-of-data-breaches-and-pos-ram-scrapers/