Archivo de la etiqueta: Botnets

El final del soporte a Windows XP: véalo y comuníquelo

Autor: Christopher Budd, Global Threat Communications

Comienza la cuenta atrás para el final de Windows XP. En poco más de una semana esta versión del popular sistema operativo de Microsoft verá el final de su larga y exitosa carrera. Cuando los libros de historia se escriban, Windows XP probablemente será recordado como la versión más exitosa de Windows.

Pero todo lo bueno tiene un final, incluso  los sistemas operativos.

Después del 8 de abril de 2014, Microsoft dejará de proporcionar actualizaciones de seguridad para Windows XP. A partir de entonces, se convertirá en el blanco de ataque más fácil para malware y cibercrimen en Internet.

Esto no sería un problema si según nuestros datos de Smart Protection Network el 32% de todos los PC está TODAVÍA ejecutando Windows XP. Esto significa que más del 30% de los ordenadores está a punto de convertirse en un objetivo importante para el malware y el cibercrimen.

El mundo nunca se ha enfrentado a una situación como ésta. Otras versiones de Windows han salido de su soporte en el pasado, pero nunca cuando tenían su uso estaba tan extendido.

Así que muchos de los sistemas a través de Internet están a punto de convertirse en posibles objetivos, lo que hace que esta situación sea un problema no sólo para aquellas personas que ejecutan estos sistemas vulnerables sino para todos. Cualquier sistema comprometido es una amenaza no sólo para las personas que lo poseen y utilizan, sino para otros usuarios de Internet. En particular, los sistemas comprometidos que se convierten en parte de botnets hacen más daño a los demás que a los propietarios.

Lo que esto significa es que en unos días estaremos viendo una gran cantidad de equipos con Windows XP convirtiéndose en una amenaza real para todos en Internet.

Situación extraordinaria

Se ha dicho que circunstancias extraordinarias requieren medidas extraordinarias. Si alguna vez ha habido un caso que en el que esto aplique en términos de seguridad, debería ser éste.

En el de Windows XP y el hecho de que las personas que ejecutan Windows XP constituyen más un peligro para los demás que para sí mismos, ya no es una cuestión  personal y de elección. Al igual que en una crisis de salud pública se aplican diferentes reglas a causa de la amenazas para el bien común, también aquí se tienen que aplicar nuevas normas.

 Por ello, Trend Micro pone a disposición de la población un documento que explica el fin del soporte de seguridad para Windows XP, lo que esto significa para alguien que ejecute Windows XP y lo que se debe hacer al respecto. La idea es que cualquier persona que conozca a otra que ejecute este sistema operativo, pueda aconsejarle utilizar este folleto para ayudar a protegerse a sí mismo y al hacerlo, también ayuda a proteger Internet. Ya se trate de amigos, familiares o empresas –siempre y cuando vea a alguien ejecutando Windows XP, esperamos que tenga en cuenta el riesgo que supone para todos y se tome un tiempo para ayudar a entender los riesgos y hacer algo al respecto.

1

 

Hacer esto no es sólo un servicio público. Si ve a su médico en la consulta utilizando Windows XP, por ejemplo, es probable que su información personal y médica se encuentre en riesgo. Hacer un comentario sobre este problema puede ahorrar mayores problemas en el futuro.

Solemos pensar en la seguridad de Internet como algo que «otras personas» deben cuidar. Y, por lo general, los profesionales pueden hacerse cargo de una gran parte de esta responsabilidad. Pero todos somos parte de Internet y todos tenemos la responsabilidad de protegernos no sólo a nosotros mismos, sino entre todos, para mantenernos lo más seguros posible. Justo en este momento es realmente apropiado hacer algo diferente. En lo que a Windows XP se refiere y a los riesgos que se avecinan después del 8 de abril de 2014, si usted lo ve, dígalo. 

“Ámame, bésame, atrápame, arréstame”

El FBI agradece la colaboración de Trend Micro en la investigación que permitió lograr la identificación de los responsables del troyano bancario SpyEye

Autor: Rik Ferguson, vicepresidente de Investigación y Seguridad de Trend Micro

Ayer por la tarde el FBI emitió un comunidado de prensa en relación a las acciones legales emprendidas contra Aleksandr Panin, ciudadano de nacionalidad rusa más conocido en Internet por “Gribodemon” y «Harderman»,  y que está detrás del conocido y dañino troyano bancario SpyEye; y Hamza Bendelladj, tunecino apodado “Bx1”. Panin se ha declarado culpable de los cargos de conspiración para cometer falsificación y fraude bancario; los cargos contra  Bendelladj aún están pendientes.

El FBI en su comunicado, agradece la colaboración del equipo de investigación de Trend Micro, Forward Looking Threat Research (FTR), por su ayuda y cooperación en la investigación.

 Presuntamente, Bendelladj operó al menos un servidor de comando y control (C&C) para SpyEye, aunque tal y como se indica en el blog de TrendLabs, donde se explican con claridad los detalles de la investigación, parece que su implicación fue mayor.

 El equipo FTR de Trend Micro inició la investigación centrándose en la persona o personas que estaba detrás de SpyEye desde hace al menos casi cuatro años. Durante el período de intervención, estudiamos la infraestructura utilizada para apoyar al malware, se identificaron los puntos débiles en la infraestructura y se siguió un importante número de pistas a las identidades de los  individuos detrás de este peligroso troyano bancario. Cuando Trend Micro tuvo suficiente información involucró  a las fuerzas de seguridad, en este caso, al FBI, que concluyó con  éxito la operación cuyos resultados hoy podemos ver.

Durante la investigación se presentó gran cantidad de datos, parte de la cual no puede compartirse mientras las acciones están en curso. Sin embargo, a los usuarios les interesará saber que algunas de las contraseñas utilizadas con más frecuencia por los acusados eran “love me”, “kiss me” (“ámame”, “bésame” en inglés)

Según Rik Ferguson, vicepresidente de Investigación y Seguridad de Trend Micro,estos arrestos y la declaración de culpabilidad de ayer muestra una vez más la acertada estrategia de Trend Micro de buscar a las personas detrás del crimen online, en vez de la infraestructura en la que se apoyan. Con frecuencia surgen noticias relacionadas con la caída de una botnet que infectaba a un gran número de equipos, o campañas masivas de spam, pero este tipo de actividades, aunque loables, son sólo temporales. Los criminales siempre vuelven y, a menudo, con más fuerz  pues han aprendido de los fallos, así, la red de ordenadores comprometidos será reconstruida y la ola de crímenes comenzará de nuevo.

Al igual que con DNS Changer, o con Reveton Ransomware, también conocido como el “virus de la policía”, Trend Micro ha proporcionado de forma proactiva información y ayuda a las fuerzas y cuerpos de seguridad permitiéndoles arrestar a los individuos, y no quedarse sólo en una simple desconexión de los equipos informáticos de los criminales. Es, a través de estas actividades, como esperamos cumplir con nuestra misión de crear un mundo seguro para el intercambio de información digital.

20 de Junio: resumen de la situación de #OpPetrol

A pesar de que se estimó que alrededor de 1000 sitios web, 35000 credenciales de email y aproximadamente 100000 cuentas de Facebook se verían comprometidas desde el anuncio de #OpPetrol el mes pasado, la participación de hackers y la sofistificación total de dichas amenazas, hoy, a día 20 de Junio, día crítico y clave para esta operación, demuestra que ha habido más «ruido» que acciones reales. Esto indica, una vez más, que ha habido más miedo ocasionado por las amenazas previas anunciadas por el propio grupo Anonymous que los efectos que sus anunciados de ataque han ocasionado en la realidad, como ha ocurrido en otras ocasiones…
Sigue leyendo

La evolución de los antiguos ZBOTs

¿Quién dijo que el malware «antiguo» no podía evolucionar? Recientemente lanzamos un artículo acerca de cómo ZBOT había regresado a comienzos del 2013. Muchos medios de comunicación se hicieron eco de la noticia. A través de Facebook, este malware se conseguía propagar. Ahora, nuestros laboratorios han encontrado una nueva variante de ZBOT que puede propagarse por sí sola.

Esta particular variante de ZBOT llega a través de un fichero malicioso PDF, simulando una factura. Si el usuario abre el fichero utilizando Acrobat Reader, se lanza un exploit que causa la aparición dle siguiente popup:

zbot1Mientras que este popup aparece, la variante maliciosa de ZBOT – WORM_ZBOT.GJ– se introduce en el sistema y se ejecuta.
Sigue leyendo

Trend Micro Deep Security protege a los usuarios de la vulnerabilidad RUBY ON RAILS

En enero de este año se dio a conocer una vulnerabilidad: Ruby on Rails (CVE-2013-0156).

En aquel momento, indicamos que no había ningún ataque conocido pero que sería cuestión de tiempo el que surgiera un exploit para esta vulnerabilidad. Recomendábamos, entonces, que los administradores parchearan/actualizaran su software de Ruby on Rails a la última versión.

Desde aquel momento, Deep Security ha protegido a sus usuarios de la vulnerabilidad a través de las siguientes reglas con el módulo de Deep Packet Inspection:

  • 1005331 Ruby On Rails XML Processor YAML Deserialization DoS
  • 1005328 Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability

Estas reglas permiten que Deep Security bloquee el tráfico de red relacionado con esta vulnerabilidad, previniendo que ningún exploit pueda afectarnos.

El pasado 28 de Mayo, un exploit que atacaba esta vulnerabilidad, fue descubierto. Consiste en un código que consigue convertir los sistemas afectados en miembros de una red bot. El payload malicioso se detecta como «ELF_MANUST.A»

Para información más detallada, acceded aquí:  http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-deep-security-guards-users-from-ruby-on-rails-exploit/