Archivo de la categoría: Encriptación

El panorama actual de amenazas nunca ha sido más volátil o peligroso. Teniendo en cuenta lo que está en juego, los responsables de compras de TI pueden dudar a qué proveedor dirigirse para mantener seguros los datos corporativos críticos, los endpoints y servidores de los usuarios manteniendo a los agentes de cumplimiento satisfechos.

Ahí es donde los informes del Cuadrante Mágico de Gartner ayudan – proporcionando a los responsables de ciberseguridad toda la información útil de cara a conocer a posibles proveedores con ofertas en cualquier campo. En Trend Micro, estamos muy satisfechos y orgullosos de haber sido reconocidos una vez más como Líder en Plataformas de Protección Endpoint – y haber sido posicionados en el mejor lugar de su cuadrante de líderes por nuestra visión global.

1

Sigue leyendo

TorrentLocker ataca objetivos italianos

Joseph C Chen (Investigador de Fraudes)

Hemos descubierto recientemente una nueva variante de ransomware, TorrentLocker, dirigido a aproximadamente 4.000 organizaciones y empresas italianas. TorrentLocker pertenece a la familia ransomware (CryptoLocker), y también cifra diversos archivos y obliga a los usuarios a pagar una suma de dinero. TorrentLocker utiliza la red de anonimato TOR para ocultar su tráfico de red, lo que puede haber sido el origen de su nombre.

La citada amenaza utiliza un correo electrónico spam escrito en italiano con varias plantillas como parte de sus tácticas de ingeniería social. Traducido al Inglés, estos mensajes dicen:

1. Su pregunta se ha hecho en el foro {día} / {mes} / {año} {hora}. Para la respuesta detallada consulte la siguiente dirección: {enlace malicioso}

2. Se le envió una factura que debe pagar antes de {día} / {mes} / {año}. Detalles encontrados: {enlace malicioso}

3. Su solicitud ha sido iniciada para revisar el pago {enlace malicioso}

1

1 Muestra de correo electrónico spam

Todos los mensajes contienen un enlace que lleva a un archivo zip. Descomprimir el archivo de almacenamiento produce un archivo disfrazado como documento PDF. Los archivos PDF son muy normales en las empresas, y como tal, los empleados que reciben este mensaje spam puede llegar a pensar que esto es legítimo.

2

2 Captura de pantalla del archivo vinculado

Algunos de los archivos de almacenamiento tienen nombres como Versamento.zip, Transazione.zip, Compenso.zip o Saldo.zip. Estos nombres de archivo se traducen como pago, transacción, compensación y saldo, respectivamente. Sin embargo, en lugar de un archivo PDF, estos archivos son en realidad una variante CryptoLocker detectado por Trend Micro como TROJ_CRILOCK.YNG.

Al igual que en otras variantes, Cryptolocker cifra una gran variedad de tipos de archivo, incluyendo .DOTX, DOCX, DOC, TXT, PPT, .PPTX y .XLSX, entre otros. Todos estos tipos de archivo están asociados con los productos de Microsoft Office y se utilizan comúnmente en las operaciones diarias de las empresas.

Para recibir la herramienta de descifrado para supuestamente recuperar archivos cruciales los los usuarios necesitan para pagar el rescate en Bitcoins. En una de las muestras que encontramos pidieron un rescate de 1.375 BTC

4

3 y 4. Imágenes de ransomware (Click para ampliar)

Los usuarios italianos son los más afectados por este particular spam, ya que la mitad de todos los mensajes de spam que se identifican con este tipo de spam fueron enviados a usuarios en Italia. La cuarta parte provino de Brasil, con otros países que representan el resto. En su pico, varios miles de usuarios se vieron afectados al día.

5

5. Distribución de los objetivos TorrentLocker globalmente

6

6. Número de objetivos afectados al día

Protegemos a nuestros usuarios contra esta amenaza mediante el bloqueo de las diferentes fases de esta amenaza. Además de bloquear los diversos mensajes spam, bloqueamos también las URL maliciosas y detectamos los archivos maliciosos utilizados en este ataque.

Los hash del archivo vistos en este ataque incluyen:

  • 050b21190591004cbee3a06019dcb34e766afe47
  • 078838cb99e31913e661657241feeea9c20b965a
  • 6b8ba758c4075e766d2cd928ffb92b2223c644d7
  • 9a24a0c7079c569b5740152205f87ad2213a67ed
  • c58fe7477c0a639e64bcf1a49df79dee58961a34
  • de3c25f2b3577cc192cb33454616d22718d501dc

Información adicional de Grant Chen

Jugando a las tragaperras con los datos

Autor: David Sancho, Senior Threat Tesearcher de Trend Micro

Brechas de seguridad, infracciones por todos los sitios. Tiene que haber algún motivo para ello, los criminales no sólo están siguiendo una tendencia como cuando alguien compra el último modelo de zapatos de primavera. Si alguien se pone en la piel de un cibercriminal (no en la del comprador que sigue las tendencias de primavera), será capaz de apreciar cómo las brechas de datos se traducen en dinero en un gran número de ocasiones.

Si un hacker consigue robar una larga lista con unos pocos miles de nombres con sus respectivos números de seguridad social, éste puede obtener muy buen dinero por ella en el mercado negro. Las posibilidades que entraña una lista de este tipo son bastante abiertas: imagine cómo los estafadores y defraudadores pueden hacer uso de esa información. Ahora, imagínese si la lista incluye los nombres con sus respectivos correos electrónicos. Dinero también, ¿verdad? Ahora imagine nombres, correos electrónicos y contraseñas. Mejor aún, imagine todo ello junto. Ahora, piense que la lista tiene millones de nombres en vez de miles de personas. Sí, está usted ante una mina de oro que incluso se puede vender varias veces a diferentes bandas de estafadores.

Pero los cibercriminales no han llegado ahora a la conclusión de que esto es algo bueno y que deben apropiarse de estos datos; lo han estado haciendo durante años. Lo que ha cambiado es sólo la forma o el método de hacerlo: hace unos años, utilizaban troyanos para infectar a sus víctimas y robar sus credenciales -y lo siguen haciendo, pues es una forma tan buena como cualquier otra.

Lo que está cambiando poco a poco en el panorama criminal cibernético en los últimos tiempos es que los “chicos malos” han llegado a la conclusión de que el robo de datos en bloque es más eficaz cuando se realiza en la fuente. Un botmaster puede robar credenciales de correo electrónico de cada uno de sus robots -normalmente se cuentan por miles-, pero si  hackean a los proveedores de correo electrónico, potencialmente podrían llegar a millones de ellos.

Introduzcamos el segundo factor en esta ecuación: el nivel de dificultad de hackear. Supongo que piratear a un proveedor de correo electrónico grande o a un banco es bastante complicado, pero ¿qué hay de los minoristas de la calle que manejan miles de transacciones al día? La lógica nos hace pensar que también debería ser difícil, pero al parecer, no lo es tanto. Estos minoristas están entre la espada y la pared, pues son especialmente vulnerables ante la cantidad de datos que manejan y las barreras del nivel de seguridad debido a la gran complejidad de sus operaciones.

Los criminales están dando en el clavo tantas veces, que resultaría divertido sólo si no fuera porque las credenciales y los datos que están saqueando son los nuestros.

Entre los grandes retailers también están los hoteles por casi las mismas razones. No me sorprendería que los próximos en seguirles fueran algunas librerías, restaurantes, cafeterías o incluso gasolineras. Los retailers tienen que darse cuenta de que están entre los puestos más altos en la lista de objetivos y que necesitan empezar a proteger sus redes más pronto que tarde. La pérdida de reputación que produce alguna de estas brechas de seguridad debería ser suficiente incentivo para actuar rápidamente y asegurar todos y cada uno de los datos que procesan. ¡No hay excusas!

En uno de documentos que recientemente ha publicado Trend Micro, “Brechas en sistemas de punto de venta – ¿Por qué el sector del Retail y el de la Salud Nncesitan mejor seguridad?”, ofrece más detalles sobre este tema, junto con información sobre cómo se ejecutan estos ataques y las herramientas utilizadas para ello.

Si deseas más información visita:

http://blog.trendmicro.com/trendlabs-security-intelligence/hitting-the-data-jackpot/

 

Trend Micro descubre serias vulnerabilidades en los Sistemas de Seguimiento de Barcos de todo el mundo

Autores: Marco Balduzzi y Kyle Wilhoit, del equipo de investigación Forward Looking Threat Research de Trend Micro

El equipo de investigación de Trend Micro ha analizado el Sistema de Identificación Automática (AIS, en su siglas en inglés), utilizado en rastreo y localización de buques en todo el mundo. El resultado es que ha descubierto fallos que los hacen vulnerables a potenciales ataques cibernéticos, hasta el punto de permitir a un atacante secuestrar las comunicaciones de los buques existentes, crear barcos ficticios, activar alertas SOS falsas o alertas de colisión e, incluso, desactivar permanentemente el seguimiento AIS en cualquier embarcación.

Los Sistemas de Identificación Automática (AIS), es un sistema de seguimiento de buques obligatorio para todos los barcos comerciales (no pesqueros) de más de 300 toneladas , así como para los buques de pasajeros (independientemente de su tamaño y peso). El sistema AIS opera mediante coordenadas GPS e intercambia datos sobre la posición de un barco, su rumbo e información con los buques y las instalaciones de otros barcos cercanos en alta mar y en la costa. Actualmente, unos 400.000 buques tienen instalados este sistema.
Sigue leyendo

Deep Web y el Cibercrimen: no se trata solo de Silk Road

El famoso Silk Road Marketplace es probablemente el lugar online más conocido para cualquiera que desee comprar  toda clase de bienes ilegales –desde drogas ilícitas y armas de fuego hasta sicarios a sueldo. La semana pasada, después de dos años y medio en funcionamiento, el site fue cerrado por el FBI y su propietario, Ross William Ulbricht,  detenido. El pasado martes 1 de octubre Ulbricht, propietario y administrador principal del site y acusado de ser «Pirata Roberts», fue detenido por el FBI en una biblioteca pública en San Francisco. La denuncia presentada contra el Sr. Ulbricht detalla las operaciones del mercado y lo acusa de narcotráfico, blanqueo de capitales y pirateo informático. También está acusado de solicitar el asesinato a sueldo de otro usuario de Silk Road, que amenazó con lanzar su identidad a los miles de usuarios del site.

Figura 1: Página principal de Silk Road
Sigue leyendo