Archivo de la etiqueta: cibercrimen

El malware que roba información con conexiones a Ryuk se dirige a archivos gubernamentales, militares y financieros

Se ha descubierto una nueva familia de malware con una aparente conexión con el famoso ransomware Ryuk, pero en lugar de cifrar archivos, se encontraron atacando archivos dirigidos al gobierno, el ejército y el ámbito financiero. Trend Micro detecta esta amenaza como Ransom.Win32.RYUK.THIABAI y la detecta de forma proactiva como Troj.Win32.TRX.XXPE50FFF031 a través de las capacidades de detección del machine learning  integradas en las soluciones de Trend Micro.

Encontrado y analizado por el investigador de seguridad Vitali Kremez, el malware realiza escaneo recursivo (comprueba repetidamente si los archivos, directorios y subdirectorios se modifican en función de las marcas de tiempo) y busca archivos de Microsoft Word y Excel para robar. El malware también utiliza ciertas cadenas para poner en una lista negra ciertos archivos, incluidos los relacionados con Ryuk, como RyukReadMe.txt, que normalmente contiene la nota de rescate del ransomware, y archivos con la extensión.RYK, que el ransomware añade después de cifrar un archivo. Los investigadores de MalwareHuntingTeam también analizaron un equipo infectado con las mismas rutinas de escaneado y extracción de datos.

[Resumen de seguridad de mitad de año de Trend Micro: El panorama del ransomware en el primer semestre de 2019]

Si el archivo no está en una lista negra, el malware comprueba si se trata de un archivo de Word o Excel válido. A continuación, el archivo se somete a varias comprobaciones antes de ser cargado en un servidor FTP propiedad de un atacante. El archivo se compara con la lista de 77 cadenas del malware, algunas de las cuales incluyen «tank», «defence», «military», «classified», «secret», «clandestine», «undercover» y «federal», entre otras. El malware también busca archivos que tengan estos nombres: «Emma», «Isabella», «James», «Liam», «Logan», «Noah», «Olivia», «Sophia» y «William». Kremez y otros investigadores de seguridad dedujeron que estos nombres son los que figuran en la lista de la Seguridad Social de Estados Unidos como los principales nombres para bebés de 2018.

Los investigadores también observaron las interesantes similitudes del malware con Ryuk. Por un lado, el malware tiene una función que crea un archivo que se agrega con la extensión.RYK, pero que no está habilitado en el malware. También verifica la presencia de un software de seguridad. «Podría indicar que alguien con acceso al código fuente del ransomware Ryuk simplemente copió/pegó y modificó el código para convertirlo en un ladrón o parecerse a él», dijo Kremez a BleepingComputer, quien informó sobre el descubrimiento.

[Trend Micro Research: Una mirada más cercana al ransomware Ryuk]

La reutilización de las amenazas existentes no es nueva, con su accesibilidad en repositorios públicos (ya sea como prueba de concepto o para uso legítimo como pruebas de penetración) y disponibilidad en mercados del underground. La familia de ransomware CrypMIC, por ejemplo, intentó imitar las conocidas notas de rescate e interfaces de usuario del ransomware CryptXXX en sus páginas de pago. Lo mismo podría decirse del ransomware Sodinokibi, que aparentemente se ha apoderado del ransomware-as-a-service (RaaS) Gandcrab. Cuando apareció en los titulares, LockerGoga también parecía tener similitudes con Ryuk.

Sin embargo, esta amenaza aparentemente nueva se destaca por la especialización de sus objetivos, es decir, la información confidencial relacionada con el ejército, la investigación criminal y las finanzas o la banca. Y dado que este malware también puede propagarse a otros sistemas, es importante un enfoque de defensa en profundidad para proteger las infraestructuras online. Por ejemplo, el malware analiza la tabla del protocolo de resolución de direcciones (ARP) del equipo infectado, que almacena las direcciones IP de otros equipos dentro de la red de área local (LAN), lo que permite a los atacantes instalar el malware en otros equipos para robar más archivos.

Según Trend Micro, estas son algunas de las mejores prácticas que las organizaciones pueden adoptar para protegerse contra las amenazas de robo de información:

  • Actualizar y parchear regularmente sistemas, redes y servidores para eliminar vulnerabilidades explotables (o utilice parches virtuales para sistemas o software heredados e integrados).
  • Aplicar el principio de mínimos privilegios deshabilitando o restringiendo el uso de herramientas, software u otros componentes que normalmente están reservados para los administradores del sistema.
  • Fomentar una fuerza de trabajo consciente de la ciberseguridad, especialmente contra las amenazas de ingeniería social que podrían engañar a los empleados para que descarguen e instalen malware.
  • Emplear mecanismos de seguridad adicionales como el control de aplicaciones, que impiden la ejecución de ejecutables sospechosos o desconocidos; así como firewalls y sistemas de detección y prevención de intrusiones que pueden bloquear el tráfico malicioso.

Las soluciones de Trend Micro, como Smart Protection Suites y Worry-Free Business Security, que cuentan con funciones de monitorización del comportamiento, pueden proteger a los usuarios y a las empresas de este tipo de amenazas detectando archivos, secuencias de comandos y mensajes maliciosos, así como bloqueando todas las URL maliciosas relacionadas. La seguridad de Trend Micro XGen™ proporciona una combinación intergeneracional de técnicas de defensa frente a amenazas contra una amplia gama de amenazas para centros de datos, entornos cloud, redes y endpoints. Emplea machine learning de alta fidelidad con otras tecnologías de detección e inteligencia global de amenazas para una protección completa contra el malware avanzado.

La OTAN se está adaptando a la nueva realidad de las ciberamenazas: CLOUDSEC le ayudará a hacer lo mismo

A veces es fácil olvidar lo lejos y rápido que ha evolucionado el panorama de las amenazas en tan solo unos pocos años. Ahora vivimos en un mundo en el que los ataques de los Estados ya no son una amenaza para un puñado de proveedores de infraestructuras críticas (CNI), sino para prácticamente cualquier organización. En consecuencia, el secretario general de la OTAN ha emitido un recordatorio oportuno de que la alianza militar contraatacaría duramente si uno de sus países miembros fuera atacado.

La OTAN se está adaptando a la «nueva realidad» de las ciberamenazas que son «más frecuentes, más complejas y más destructivas», dice. Los CISO también deben hacerlo: y la conferencia CLOUDSEC de Trend Micro de este mes ofrece una gran oportunidad para averiguar cómo.

Una nueva era

El artículo de Jens Stoltenberg no es la primera vez que señala que la OTAN, ante un ciberataque grave, podría invocar el Artículo 5, en el que se dice que un ataque contra un aliado se considera un ataque contra todos. Sin embargo, el hecho de que se haya visto obligado a repetir la advertencia es significativo. Refleja una nueva era caracterizada por la ciberactividad agresiva del Estado-nación y la preocupación sobre cuán expuestas están las organizaciones, y la sociedad en general, a los ataques.

Como nos demostraron NotPetya y WannaCry, los hackers de los Estados-nación pueden causar un caos global en organizaciones de todo tipo, tamaño y sector, lo planeen o no. Para las empresas más pequeñas, estos ataques podrían tener un impacto catastrófico. Una nueva investigación de la aseguradora Gallagher ha revelado que casi una cuarta parte de las pymes británicas se vio afectada por un ciberataque el año pasado, lo que las costó un total de 8.800 millones de libras. La firma calculó que hasta 57.000 de estas empresas podrían estar en riesgo de colapso este año si se ven afectadas por un ataque que las obligara a dejar de operar.

Incluso las empresas más grandes pueden encontrar graves interrupciones por ransomware y brechas de datos que provocan daños financieros y de reputación de marca de los que es difícil recuperarse. Para Stoltenberg, la clave para mitigar la creciente amenaza del ciberespacio es aumentar los recursos, mejorar los marcos jurídicos e institucionales y compartir conocimientos especializados.

CLOUDSEC está aquí para ayudar

Es en este último ámbito donde entra en juego CLOUDSEC. Esta popular conferencia de un día de duración sobre ciberseguridad, organizada por Trend Micro, reúne anualmente a los principales expertos del sector académico, policial, gubernamental y del ámbito privado para debatir los temas de actualidad. Este año no va a ser diferente. Contaremos con un antiguo CIO de la Casa Blanca, el asesor de ciberdelincuencia de las Naciones Unidas, el ex jefe de la Unidad Nacional de Ciberdelincuencia del Reino Unido, los CISO de Stena, la Universidad de Oxford y Thomson Reuters, y varios expertos en amenazas de Trend Micro, entre muchos otros.

CLOUDSEC ofrece una valiosa oportunidad para que los asistentes escuchen su visión del panorama de amenazas y de las tendencias actuales del sector, así como sus experiencias trabajando en puestos de alta responsabilidad y de una presión extrema. Pero eso no es todo: el evento también ofrece una fantástica oportunidad para que los líderes en seguridad TI escuchen a sus colegas de la industria, en un entorno informal.

Al igual que la OTAN, el CISO moderno tiene que enfrentarse a una realidad en la que las ciberamenazas son la nueva normalidad. En este contexto, es obvio que es necesario adquirir la mayor concienciación de la situación y la mayor visión táctica posible. ¡Asegúrate de confirmar tu asistencia hoy mismo!

Qué: CLOUDSEC 2019
Cuándo: 13 de septiembre de 2019
Dónde: Old Billingsgate Market, Londres

Registro: https://www.cloudsec.com/uk/

Accede a información sobre las amenazas de los Estados y la ciberseguridad gubernamental en CLOUDSEC

La ciberamenaza a la que se enfrentan las empresas hoy en día nunca ha sido tan diversa. Las organizaciones que antes estaban relativamente aisladas de las actividades patrocinadas por el Estado se ven cada vez más involucradas en la lucha por la ventaja geopolítica, ya sea que gestionen una infraestructura nacional crítica, conserven datos confidenciales sobre individuos específicos o simplemente tengan la mala suerte de interponerse en el camino. Esto hace que sea más importante que nunca garantizar que se tenga el conocimiento y las capacidades para gestionar el riesgo de forma efectiva para las organizaciones.

La próxima conferencia CLOUDSEC de Trend Micro es una gran oportunidad para maximizar ambas cosas. En la exhibición de este año en septiembre, acabamos de añadir a la impresionante lista de ponentes a Theresa Payton, ex CIO de la Casa Blanca y experta en ciberseguridad.

Atrapado en el medio

Hubo un tiempo en el que los ciberoperativos de los Estados solo iban uno tras otro. Lamentablemente, a pesar de un pacto entre Estados Unidos y China en 2015 que prometía mantener esta dinámica, las cosas no están funcionando así. Los países están a la caza de la propiedad intelectual, lo que puede ayudar a sus empresas a obtener una ventaja global; están buscando información sensible para chantajear a los individuos; están buscando formas de generar beneficios para hacer crecer la riqueza de la nación; y están mapeando y saboteando la infraestructura crítica. El furor actual sobre los proveedores de redes 5G pone de manifiesto lo importante que es la tecnología estratégica crucial para los intereses nacionales y lo importante que es la ciberseguridad para la estabilidad financiera y social.

Esto es importante, porque cada vez más son las empresas ordinarias y corrientes las que se ven atrapadas en medio. Puede que estén ejecutando CNI. Pueden contener datos dirigidos y atacados por hackers. Pero también pueden ser blanco no por derecho propio, sino porque forman parte de una cadena de suministro de alto valor. Los bufetes de abogados están particularmente en riesgo debido a la información que sus clientes pueden tener. Los proveedores de servicios gestionados también se han visto afectados en el pasado. Incluso las cadenas hoteleras podrían estar en peligro si los hackers quieren atacar a las personas que allí se alojan. Luego están los ataques más dispersos, como WannaCry y NotPetya, que demuestran que ninguna organización está a salvo de las amenazas patrocinadas por el Estado.

CLOUDSEC 2019

Esto es solo una parte de una foto mucho más grande, por supuesto. Los delitos cibernéticos motivados financieramente representan una amenaza masiva, al igual que, en menor escala, las hambrientas críticas propagandísticas de los haktivistas. Pero para responder de manera efectiva, los CISO necesitan las mismas cosas: inteligencia precisa e información sobre las mejores prácticas de estrategias de respuesta.

En CLOUDSEC 2019, que se celebrará en septiembre, hemos reunido a una gran cantidad de expertos líderes mundiales en su campo para compartir sus ideas. La última es la ex CIO de la Casa Blanca, Theresa Payton. Ahora, CEO en ciberseguridad, Theresa revelará a los asistentes lo que necesitan saber hoy y a qué deben estar atentos en el futuro para librar la batalla en curso contra el cibercrimen. Además, ella también levantará la tapa de su tiempo en el gobierno para compartir información sobre cómo se maneja la ciberseguridad en los más altos niveles.

Ahora, en su quinta edición, CLOUDSEC será más grande y mejor que nunca. Igualmente, listos para hablar están: el director senior de Thomson Reuters, Plataformas de Seguridad e Ingeniería, Frank Thomas; el CISO de Stena AB, Magnus Carling; el experto en delitos informáticos y cibercrimen de las Naciones Unidas, Rob Gilbert; y los expertos de Trend Micro, incluido el vicepresidente de Investigación de Seguridad, Rik Ferguson, y el director del área de investigación Forward Looking Threat Research, Rob McArdle.

¡Esperamos verte en el evento!  

Qué: CLOUDSEC 2019
Cuándo: 13 de septiembre de 2019
Dónde: Old Billingsgate Market, Londres

Registro: https://www.cloudsec.com/uk/

“Ámame, bésame, atrápame, arréstame”

El FBI agradece la colaboración de Trend Micro en la investigación que permitió lograr la identificación de los responsables del troyano bancario SpyEye

Autor: Rik Ferguson, vicepresidente de Investigación y Seguridad de Trend Micro

Ayer por la tarde el FBI emitió un comunidado de prensa en relación a las acciones legales emprendidas contra Aleksandr Panin, ciudadano de nacionalidad rusa más conocido en Internet por “Gribodemon” y «Harderman»,  y que está detrás del conocido y dañino troyano bancario SpyEye; y Hamza Bendelladj, tunecino apodado “Bx1”. Panin se ha declarado culpable de los cargos de conspiración para cometer falsificación y fraude bancario; los cargos contra  Bendelladj aún están pendientes.

El FBI en su comunicado, agradece la colaboración del equipo de investigación de Trend Micro, Forward Looking Threat Research (FTR), por su ayuda y cooperación en la investigación.

 Presuntamente, Bendelladj operó al menos un servidor de comando y control (C&C) para SpyEye, aunque tal y como se indica en el blog de TrendLabs, donde se explican con claridad los detalles de la investigación, parece que su implicación fue mayor.

 El equipo FTR de Trend Micro inició la investigación centrándose en la persona o personas que estaba detrás de SpyEye desde hace al menos casi cuatro años. Durante el período de intervención, estudiamos la infraestructura utilizada para apoyar al malware, se identificaron los puntos débiles en la infraestructura y se siguió un importante número de pistas a las identidades de los  individuos detrás de este peligroso troyano bancario. Cuando Trend Micro tuvo suficiente información involucró  a las fuerzas de seguridad, en este caso, al FBI, que concluyó con  éxito la operación cuyos resultados hoy podemos ver.

Durante la investigación se presentó gran cantidad de datos, parte de la cual no puede compartirse mientras las acciones están en curso. Sin embargo, a los usuarios les interesará saber que algunas de las contraseñas utilizadas con más frecuencia por los acusados eran “love me”, “kiss me” (“ámame”, “bésame” en inglés)

Según Rik Ferguson, vicepresidente de Investigación y Seguridad de Trend Micro,estos arrestos y la declaración de culpabilidad de ayer muestra una vez más la acertada estrategia de Trend Micro de buscar a las personas detrás del crimen online, en vez de la infraestructura en la que se apoyan. Con frecuencia surgen noticias relacionadas con la caída de una botnet que infectaba a un gran número de equipos, o campañas masivas de spam, pero este tipo de actividades, aunque loables, son sólo temporales. Los criminales siempre vuelven y, a menudo, con más fuerz  pues han aprendido de los fallos, así, la red de ordenadores comprometidos será reconstruida y la ola de crímenes comenzará de nuevo.

Al igual que con DNS Changer, o con Reveton Ransomware, también conocido como el “virus de la policía”, Trend Micro ha proporcionado de forma proactiva información y ayuda a las fuerzas y cuerpos de seguridad permitiéndoles arrestar a los individuos, y no quedarse sólo en una simple desconexión de los equipos informáticos de los criminales. Es, a través de estas actividades, como esperamos cumplir con nuestra misión de crear un mundo seguro para el intercambio de información digital.