Etiqueta: Avast

Dos de cada cinco hogares conectados son vulnerables: Avast

El estudio Avast Smart Home Report 2019 contiene información de más de 16 millones de redes de casas inteligentes a nivel mundial, revelando que el 40.3% de los hogares tienen más de cinco dispositivos conectados, y el 40.8% de estos hogares digitales contiene al menos un dispositivo conectado que es vulnerable.

Esto ilustra la cantidad de hogares que corren el riesgo de los dispositivos de Internet de las cosas (IoT), ya que solo se necesita un dispositivo vulnerable para comprometer la seguridad de toda la red doméstica.

La gente usa su Smart TV para ver su serie favorita de Netflix o para conectar el monitor de bebé a su red doméstica, sin embargo, a menudo no saben cómo mantener la seguridad de sus dispositivos.

Sólo se necesita un dispositivo débil para dejar entrar a un hacker y, una vez que están en la red, pueden acceder a otros dispositivos y a los datos personales que transmiten o almacenan, incluidos videos en vivo y grabaciones de voz.

Los pasos de seguridad simples como la configuración de contraseñas sólidas y únicas, la autenticación doble para el acceso a todos los dispositivos, aplicar los parches de software y las actualizaciones de firmware cuando estén disponibles, mejorarán significativamente la integridad digital del hogar.

 

Credenciales débiles y software desactualizado, los principales factores

Se descubrió que la mayoría (82.1%)de los dispositivos vulnerables en un hogar digital mexicano tienen credenciales débiles, como contraseñas o la autenticación simple de un solo factor. Además, el 18.1% de estos dispositivos en México eran vulnerables debido a que no fueron parchados.

Avast escaneó también a 11 millones de routers del mundo y encontró que más de la mitad (38.56%) tienen credenciales de acceso débiles o tienen vulnerabilidades en el software. El software obsoleto es a menudo el eslabón más débil de la cadena de seguridad, lo que lo convierte en una puerta de entrada fácil para los ciberdelincuentes que buscan acceder a otros dispositivos conectados.

 

Los dispositivos más vulnerables:

La investigación encontró que los cinco dispositivos más vulnerables son:

A nivel mundial:

  1. Impresoras, 32.9% 2. Dispositivo de red o nodos de red (un punto de conexión que puede enviar y recibir datos, como puede ser un hub), 28.9% 3. Cámaras de seguridad; 20.8% 4. NAS (almacenamiento conectado a la red); 7.8% 5. Media streaming box (set-top boxes, Chromecasts, TiVos); 5.3%

Para México:

  1. Impresora; 51.2% 2. Dispositivo de red o nodos de red (un punto de conexión que puede enviar y recibir datos, como puede ser un hub)26.1% 3. Cámaras de seguridad; 16.4% 4. NAS (almacenamiento conectado a la red); 2.4% 5. Media streaming box (set-top boxes, Chromecasts, TiVos);1.5%

También se descubrió que las impresoras son el dispositivo vulnerable más frecuente en todo el mundo, y figuran en la lista de los tres dispositivos principales en cada país estudiado por Avast y encabezando la lista en los EE. UU., Canadá, Australia, Singapur, Corea del Sur y Japón. Los Media streaming boxes (como por ejemplo los set-top boxes, Chromecasts, TiVos) han ingresado entre los cinco primeros y, por cierto, son el tercer dispositivo IoT que se encuentra con más frecuencia en hogares digitales, después de televisores e impresoras.

Al 31% de los mexicanos les preocupa que un hacker los espíe por medio de la cámara web

Una encuesta de Avast, encontró que 30.92 % de los mexicanos les preocupa que un hacker pueda espiarlos a través de la cámara de su computadora, y tienen motivos para hacerlo.

Las herramientas para ingresar ilegalmente a través de una cámara web de una computadora están disponibles tanto en la Internet que usamos normalmente como en la darknet, y en algunos casos, incluso de forma gratuita. Aunque muchas computadoras tienen una luz que indica que la cámara web ha sido activada, estas herramientas de espionaje pueden evitar que la luz se encienda.

La encuesta en línea que Avast realizó en octubre, revela que los mexicanos son conscientes de que los hackers pueden espiarlos sin activar la luz indicadora de su cámara web.

A nivel mundial, el 40% de los encuestados desconocen la amenaza, mientras el 53.88 % de los mexicanos afirman que saben de esta posibilidad.

Muchas personas, como el ex Director del FBI, James Comey, y el CEO de Facebook, Mark Zuckerburg, cubren físicamente sus cámaras web para evitar que espías los vigilen. Sin embargo, a pesar del grado de preocupación, solo el 41.82 % de los mexicanos han cubierto físicamente la cámara web de su computadora.

“Si bien cubrir la cámara web es un buen comienzo, a menudo es inconveniente para aquellas personas que la usan con frecuencia”, dijo Ondrej Vlcek, CTO & EVP en Avast. “Por lo tanto, desarrollamos una función que les da a los usuarios de AVG y de Avast el control total para determinar quién puede usar la cámara, sin necesidad de cubrirla”.

La solución de Avast pone fin para siempre al espionaje por medio de las cámaras web al impedir que el malware y las aplicaciones que no son de confianza accedan ilegalmente a las cámaras. Es más, los usuarios tienen la opción de hacer que todas las aplicaciones soliciten permiso para acceder a la cámara de la computadora. El Escudo de webcam está incluido en las soluciones de la firma.

N. de P. Avast – AVG

¿Qué tan fácil hackear un dispositivo conectado a Internet?

En el mundo digital de hoy, vivimos rodeados de dispositivos inteligentes, también conocido como El Internet de las Cosas. Los fabricantes de productos comunes, como juguetes, muebles, vehículos y dispositivos médicos, están incorporando funciones inteligentes para hacerlos más atractivos. Ya se empiezan a fabricar hasta botellas de agua conectadas. Aunque se trata de una tendencia positiva, hay un aspecto muy importante que suele quedar relegado a un segundo plano: la seguridad.

 

Por qué no son seguros los dispositivos inteligentes

Los fabricantes se ven presionados para producir dispositivos inteligentes y lanzarlos al mercado rápidamente a un precio accesible. Esto hace que, a menudo, se descuide la seguridad. Por ejemplo, un fabricante que ahora se dedique a producir tostadoras inteligentes nunca ha tenido la necesidad de proteger sus tostadoras tradicionales de los hackers. Este es uno de los motivos por los que la seguridad de estos dispositivos es escasa o insuficiente.

Es más, no existen requisitos en el sector que los fabricantes deban cumplir en relación con la seguridad, por lo que deben crear sus propios estándares de comunicación, y estos no siempre contemplan la seguridad como algo prioritario. Esto significa que se lanzan al mercado dispositivos inteligentes sin estándares básicos de seguridad adaptados a los tiempos actuales.

 

¿Se pueden hackear los dispositivos inteligentes?

Dado que estos dispositivos están desprotegidos, se pueden hackear de muchas maneras. Puede ser tan fácil como obtener las credenciales de acceso mediante un ataque de fuerza bruta, o bien hacerse de forma más sofisticada: con diversas técnicas para aprovechar vulnerabilidades o recreando firmware o sistemas operativos para encontrar vulnerabilidades de día 0. En la darknet se ofrecen servicios y códigos exploit para hackear dispositivos conectados a Internet, por lo que son cada vez más los usuarios que pueden acceder a ellos.

Los hackers siempre intentan infiltrarse en nuevos tipos de red y en los sistemas de comunicación que emplean estos dispositivos.

¿Es difícil hackear un dispositivo conectado a Internet?

El modo más sencillo de hackear un dispositivo inteligente es mediante un ataque de fuerza bruta para descifrar contraseñas o intentar acceder con las credenciales de acceso predeterminadas del dispositivo. Cualquier hacker aficionado puede alquilar una botnet en la darknet e infectar miles de dispositivos de una vez. Muchos fabricantes utilizan las mismas credenciales de acceso predeterminadas en todos sus dispositivos para ahorrar costos en lugar de crear una contraseña exclusiva para cada uno.

La botnet Mirai fue una de las mayores amenazas del año pasado en el Internet de las cosas, ya que infectó miles de dispositivos inteligentes utilizando credenciales de acceso predeterminadas para perpetrar ataques DDoS masivos. Dado que el código fuente de Mirai se hizo público, cualquiera podía ejecutar la botnet o modificar su código, por lo que se crearon muchas mutaciones de ésta.

También hay otras formas más complejas y caras de infectar un dispositivo inteligente y, por lo tanto, menos comunes. Por ejemplo, recrear firmware o un sistema operativo requiere conocimientos técnicos avanzados y, además, lleva tiempo. Por otra parte, un código exploit que aproveche una vulnerabilidad de día 0 puede costar miles de dólares.

 

Cómo mejorar la seguridad de dispositivos inteligentes

Un modo eficaz de mejorar drásticamente la seguridad de los dispositivos inteligentes es facilitarle al usuario el cambio de las credenciales de acceso. Para ello, el fabricante puede, por ejemplo, imponer como requisito la creación de una contraseña única y segura a la hora de configurar el dispositivo por primera vez. Por supuesto, esto no es posible en todos los casos, pero basta con cambiar las credenciales de acceso predeterminadas para reducir en gran medida la cantidad de dispositivos desprotegidos y hacer más difícil que un hacker novato o aficionado o un robot de búsqueda simple accedan a estos dispositivos. El fabricante también puede incluir en cada dispositivo una contraseña única y aleatoria.

Por otra parte, lanzar actualizaciones de software que corrijan vulnerabilidades contribuiría a proteger los dispositivos inteligentes de códigos exploit. Actualmente, los fabricantes suelen utilizar versiones desactualizadas de varias bibliotecas y sistemas operativos para los que existe un gran número de exploits potentes, dejando expuesto el dispositivo a los ataques. En muchos dispositivos, no es posible actualizar el firmware. Si, en estos casos, un hacker lograra aprovechar una vulnerabilidad, la única solución sería, básicamente, desconectar el dispositivo de la red de forma permanente y sustituirlo por otro más seguro.

Mejorar la seguridad de los dispositivos inteligentes no solo permitiría proteger la privacidad del usuario y evitar ataques DDoS, sino también prevenir consecuencias mucho peores. Se han realizado ataques de prueba con los que se han infectado redes enteras de dispositivos a través de un solo dispositivo, como puede ser una bombilla o un sensor de tráfico. Esto demuestra el gran problema que representa un dispositivo inteligente con vulnerabilidades y el daño que puede causar si cae en manos malintencionadas. Imagine si un hacker llegara a controlar el tráfico o apagar todas las luces de una ciudad. Los fabricantes de dispositivos inteligentes deberían colaborar con expertos en seguridad para implantar una capa de protección en los dispositivos y realizar pruebas de infiltración con regularidad.

 

Por: Michal Salat, Director of Threat Intelligence at Avast

Incrementó un 40% los ciberataques a dispositivos móviles

Una nueva investigación de Avast revela un incremento en los ataques dirigidos a smartphones y tabletas Android año tras año, en el segundo trimestre de 2017 fue de casi 40%.

“Los ataques móviles de ciberseguridad están creciendo rápidamente a medida que las estrategias de los hackers se vuelven más ágiles y peligrosas, y lo que está en juego son principalmente los datos personales y la privacidad del usuario”, dijo Gagan Singh, vicepresidente y gerente general de Mobile and IoT en Avast.

Los usuarios llevan sus datos más valiosos en sus teléfonos inteligentes y, por lo tanto, se deben de preocupar en incluir en ellos características sólidas que protejan su privacidad, asegurando su dispositivo y datos, a la vez que proporcionan comodidad.

La investigación de Avast revela un aumento de ciberataques móviles del 40%, de un promedio de 1,2 millones a 1,7 millones de ataques al mes.

Los investigadores rastrearon un promedio de 788 variaciones de virus por mes, un 22,2% más que en el segundo trimestre de 2016. Los hallazgos también muestran que las tres principales amenazas móviles están diseñadas para espiar y robar información personal (denominada “Rooters”), y para enviar spam a los usuarios con anuncios, incluso fuera de la aplicación (denominados “Downloaders/Droppers” y “Fake Apps”).

 

Principales amenazas para dispositivos móviles 

  1. Rooters (22.80%)  Los rooters solicitan acceso al root del smartphone o usan exploits para obtener el acceso, ganando así el control del dispositivo para espiar al usuario y robar información.
  2. Downloaders (22.76%) — Los descargadores o droppers utilizan tácticas de ingeniería social para engañar a las víctimas para que instalen más aplicaciones maliciosas. Los droppers también suelen mostrar anuncios en pantalla completa, incluso fuera de la propia aplicación. Estos anuncios no son sólo molestos, sino que a menudo están vinculados a sitios sospechosos.
  3. Fake apps (6.97%) — Aplicaciones falsas que se presentan como reales con el fin de impulsar las descargas y exponer a los usuarios a más anuncios.

 

N. de P.

En México, 2 millones de computadoras son vulnerables a Ransomware

Avast dio a conocer los resultados obtenidos a través de encuesta a usuarios mexicanos, de unos 13 millones de usuarios que usan su servicio se seguridad.

Otras entidades donde contrasta nuestro país es Estados Unidos y Canadá, con 50 millones de usuarios y Brasil otros 50 millones, “en México alrededor del 4% de la base de usuarios adquirieron la licencia completa”, señaló Ondřej Vlček, vicepresidente ejecutivo y director general de consumo de Avast.

Ataque a dispositivos conectados en México

El principal dispositivo que los usuarios locales buscan resguardar es la computadora de escritorio, del total, 9 millones son usuarios del servicio de escritorio y los 4 restantes son de dispositivos móviles. El estudio muestra los dispositivos móviles más vulnerados de México, el 20% de los dispositivos vulnerados son computadoras y routers, el 14% son atacadas las cámaras web y el 20% de las impresoras son vulneradas.

“Un movimiento que realizan los hackers, dado a que las tiendas de aplicaciones de dispositivos móviles han reforzado su seguridad, es atacar los routers y desde ahí filtran la información para obtener datos sensibles como contraseñas”, destacó Vlček.

Ondřej Vlček, CTO y vicepresidente ejecutivo y director general de consumo de Avast en conferencia de prensa para dar a conocer estudio.

La firma señala que tiene más de 5 millones de muestras maliciosas detectadas en dispositivos móviles, diariamente se detectan 23 mil al día, los usuarios al reparar alguna anomalía en su smartphone y bajar la app de Avast, 10% de ellos detectaron algún rastro de malware.

 

El Ransomware es la amenaza No. 1

Se han detectado 150 familias de ransomware y el crecimiento de un año a otro es del 105%, el pago de un rescate en Bitcoins es de 500 dólares en promedio, el ejecutivo destacó que existen herramientas para eliminar el ransomware gratuitas, esto es gracias a la comunidad de desarrollo que ha analizado el ransomware y muchas veces las computadoras no están encriptadas, con ello se han puesto a liberar soluciones para contrarrestar los ataques.

“Dentro del ransomware, está iniciando una tendencia llamada Doxing, donde el grupo de hackers sube a un servicio de nube los archivos que puedan comprometer al usuario y distribuyen esa cuenta de Drive, Box, Dropbox o Onedrive en redes sociales”, señaló Vlček.

El ransomware en México, es una emergencia latente, dado a que el estudio muestra que casi 2 millones de PCs en México no han aplicado el parche para contrarrestar la vulnerabilidad EternalBlue.

Ante estas vulnerabilidades, el 69% de los mexicanos creen que sus datos en internet no están seguros, 46% fue víctima de una violación a sus datos o aún no lo saben, el 50% de los usuarios tomaron medidas después de la violación y cambio la contraseña, pero no en todas sus cuentas, quedando aún vulnerables.

El estudio destaca la poca importancia que le da la población de cualquier nivel educativo a las contraseñas. Avast encontró que, en México, el 52% de los usuarios tiene contraseñas débiles, 80% no usa caracteres especiales y otro 80% almacena sus contraseñas en el navegador web.

 

Seguridad con apoyo de IA y Aprendizaje Automático

Finalmente, la compañía destacó que ganarle la carrera a los hackers no es tarea fácil, en Rusia y Ucrania está permitido el desarrollo de ataques, siempre y cuando, no se ataque a los ciudadanos de esos países, es por ello que siempre se reportan bajos niveles de ataques en esos países.

Las empresas de seguridad se apoyan con el Big Data, Aprendizaje automático e Inteligencia Artificial, al detectar que un pequeño grupo de dispositivos quieren ser vulnerados, las tecnologías implementadas rápidamente por la red dan aviso a los dispositivos para endurecer ese ataque, el CTO de Avast comentó que así detuvieron a WannaCry y ningún dispositivo fue vulnerado.

 

Pagasus, el malware móvil que afecta a usuarios iOS y Android

Como la mayoría de los programas maliciosos, este malware se difundió utilizando tácticas de ingeniería social, que se utilizan para engañar a la gente en la descarga de malware. En este caso, los SMS fueron enviados y diseñados para parecer como si vinieran de la Embajada de los Estados Unidos, como si el mensaje fuera una alerta oficial de AMBER, e incluso aduciendo ser facturas de llamadas hechas a las líneas telefónicas sexuales.

Adicionalmente, algunos mensajes parecían estar personalizados para los objetivos – probablemente después de perfilar a cada objetivo para aumentar las posibilidades de infección- .Los enlaces incluidos en los mensajes se conectan a un servidor que comprueba qué teléfono está utilizando la víctima objetivo, para enviarles el virus apropiada para infectar su dispositivo. Una vez infectado, el teléfono se puede utilizar para espiar el objetivo.

¿Cómo se compara con el ataque aquel dirigido al activista de derechos humanos Ahmed Mansoor a principios de este año? Es exactamente el mismo ataque utilizando Exploit Framework de NSO para obtener acceso al dispositivo del destino. En ambos casos, las víctimas fueron atacadas con las mismas tres explosiones 0-días para los dispositivos de Apple. Todas las explosiones del kernel y WebKit se corrigieron con la actualización de iOS 9.3.5 el año pasado. Esto muestra que incluso los usuarios de iOS no están seguros contra amenazas móviles.

 

¿Podría esto afectar tanto a los usuarios de Android como a los de iOS?

Pegasus puede afectar tanto a los usuarios de Android como a los de iOS, aunque no todas las versiones de iOS pueden convertirse en víctimas. Dado que estos ataques están dirigidos principalmente a personas específicas, los instigadores de la amenaza ajustan sus tácticas para aumentar sus posibilidades de infectar realmente a la población objetivo.

 

¿Cómo pueden los usuarios protegerse?

Avast afirma ya estar protegiendo a sus usuarios de las variantes de Pegasus que fueron publicadas por Google, Lookout y Citizen Lab. Los usuarios deben ser aconsejados de ser suspicaces de mensajes sospechosos y no hacer clic en los enlaces de SMS de contactos desconocidos.

 

Por: Nikolaos Chrysaidos, Jefe de Mobile Threats & Security de Avast.

Adylkuzz, malware que se propaga usando la misma vulnerabilidad que WannaCry

Avast dio a conocer a Adylkuzz, el sigiloso malware de minería de monedas virtuales que infecta las computadoras usando la misma vulnerabilidad aprovechada por el ransomware WannaCry.
WannaCry es considerado por muchos expertos como el peor ataque de ransomware de la historia, captando la atención de los medios de comunicación, pero no es la única cepa de malware que se propaga a gran escala. Una de ellos es Adylkuzz, una forma de minería de monedas virtuales que ha infectado computadoras en todo el mundo, al igual que WannaCry.
Aunque este programa maligno no es totalmente nuevo, su última campaña se lanzó en grande. Avast lo detectó por primera vez alrededor de la medianoche del 23 de abril, cuando venía de Ucrania.
Desde entonces, las estadísticas preliminares muestran que se han bloqueado más de 92.000 intentos de ataque, tomando en cuenta tan sólo en la base de usuario de Avast. Si bien este número no es tan elevado como la cantidad de ataques de WannaCry, que hasta el momento llega a más de 250.000, sigue siendo una cantidad importante.

Propagado como WannaCry

Adylkuzz infecta las computadoras de la misma manera que WannaCry: aprovecha la vulnerabilidad de Windows en el protocolo Server Message Block (SMB) descrita en el boletín  de seguridad  MS17-010  a través de la vulnerabilidad llamada EternalBlue/DoublePulsar de Windows. El  ataque de Adylkuzz es más insidioso que si se propagara por medio de correos electrónicos con phishing, porque no requiere la interacción del usuario para infectar un sistema.

Lo nuevo es que, a diferencia de WannaCry, Adylkuzz trata de bloquear otras amenazas que buscan infectar la computadora mediante la vulnerabilidad MS17-010.

La PC estará infectada con Adylkuzz, pero este programa maligno la protegerá de otras cepas de malware que tratan de aprovechar la misma vulnerabilidad. 

Tal como sucedió con WannaCry, los principales objetivos de Adylkuzz fueron Rusia, Ucrania y Taiwán en primer lugar, seguidos por Brasil e India, que también fueron víctimas importantes de WannaCry.

Consumir en silencio la capacidad de procesamiento

Si bieni Adylkuzz no es un ransomware, como WannaCry, ya que no secuestra datos ni equipos. En vez de eso, explota los recursos de la computadora infectada para alimentar la operación de minería de moneda virtual del autor, de modo que solo se centra en la minería de la criptomoneda.

La minería de monedas virtuales es una actividad legal. Pero escalarla lo suficiente para maximizar las ganancias requiere una gran capacidad de procesamiento. Por este motivo, algunos mineros ejecutan granjas de servidores enormes para minar Bitcoins u otras monedas virtuales como Litecoin, Ethereum o Monero. Construir y mantener la infraestructura y acceder a la electricidad necesaria para usarla requiere una gran inversión económica.

Los autores de Adylkuzz quieren evitar estos costos haciendo que computadoras aleatorias en todo el mundo hagan el trabajo por ellos, sin pagar. Por lo tanto, cada instancia de infección por Adylkuzz consume capacidad de procesamiento del equipo infectado, para ejecutar el trabajo de los ciberdelincuentes. No es la primera vez que ocurre un ataque para minar monedas virtuales; en 2014, fuimos testigos del secuestro de grabadoras de video digital (DVR) efectuado mediante malware, con el objetivo de minar Litecoin.

Los autores de Adylkuzz buscan obtener tanta energía como puedan, durante tanto tiempo como sea posible, de cada computadora, motivo por el cual el malware está diseñado para ejecutarse en segundo plano. La mayoría de los usuarios, aparte de notar que el sistema está un poco más lento que lo habitual, no detectará este tipo de programa maligno. Esto es una gran diferencia con WannaCry, cuyas víctimas saben, sin lugar a dudas, que su computadora está infectada.

Títeres que escuchan a su amo

Las máquinas infectadas por Adylkuzz forman un gran botnet de minería, controlado por su amo mediante servidores de comando y control (C&C). Sin entrar en detalles, los servidores C&C dan instrucciones a los bots a los que Monero se incrusta (imagine que son como cuentas bancarias) para que las monedas minadas se transfieran a:

Es más, los servidores C&C también pueden instruir a los bots para que descarguen y ejecuten las aplicaciones que quieran en las computadoras infectadas. De este modo, los operadores de los botnet tienen el control total de la computadora infectada con Adylkuzz y pueden instalar cualquier tipo de código malicioso. Curiosamente, el control se lleva a cabo ejecutando scripts en lenguaje LUA, lo que no es lo habitual para malware.

¿Qué podemos esperar?

Avast afirma tener la capacidad de detectar todas las versiones conocidas de Adylkuzz y las ha estado bloqueando desde hace algún tiempo. Si cuenta con alguna otra solución  de seguridad, acudir con el fabricante para saber si está protegido.

De igual manera se extiende la recomendación a todos los usuarios de Windows que mantengan sus sistemas al día con las últimas actualizaciones disponibles. Se sabe de otra cepa de malware que trata de obtener su propia tajada aprovechándose de la vulnerabilidad que ya mencionamos, MS17-010.  Se denomina “UIWIX” y también es ransomware

N. de P. Avast

México, de los países más atacados por Ransomware

El ransomware se ha convertido en una de las mayores amenazas que enfrentan los usuarios, desde PC, hasta dispositivos móviles e, incluso, Mac se ven afectados por este ciberataque que va año con año en crecimiento. N

El ransomware es un malware que bloquea un dispositivo o cifra los archivos, haciéndolos inaccesibles. Aquí es donde los ciberdelincuentes exigen el pago de un rescate para desbloquear el dispositivo o los archivos.

Los montos varían, pero en promedio, el año pasado rondaban en un bitcoin (aproximadamente, 500 dólares en ese momento). Habitualmente se disemina por medio del phishing en el correo electrónico o exploits, y se dirige tanto a usuarios individuales como a empresas.

Avast afirmó estar monitoreado el crecimiento masivo de los ataques de ransomware dirigidos a sus usuarios en México durante 2016. El crecimiento año con año fue 10 veces mayor comparado con el 2015, y cinco veces mayor en comparación con el total mundial año tras año. Se observaron picos en Q2 y Q4 de 2016. La compañía de seguridad afirmó detener más de dos ataques de ransomware cada minuto en México el año pasado.

Hablando de ransomware, México fue el quinto país más atacado en 2016, después de Estados Unidos, Brasil, Rusia y Reino Unido, basado en nuestras estadísticas.

Según Avast, ahorraron a sus clientes hasta 64 mil MDD al evitar pagos por rescate. Tan sólo en 2016, se identificaron 60 millones de incidencias del ransomware Locky, uno de los más peligrosos en el año pasado y el inicio de este.

Los equipos de TI se enfrentan a hasta 4 ataques por semana.

Las industrias más vulnerables a ataques de ransomware, según la firma de seguridad son educación con 13% del riesgo, seguido del sector público con 5.9%, sanidad con 3.5%, energía y servicios públicos con 3.4%, sector minirosta con 3.2% y finanzas con 1.5& del riesgo ante el ransomware.

“El ransomware se ha convertido en un negocio rentable para los ciberdelincuentes. Hubo un incremento de 105% de estos ataques de 2015 a 2016”, afirmó Jakub Kroustek, que dirige el equipo del laboratorio de amenazas y es el cocreador de las herramientas de descifrado de ransomware de Avast.

Si bien las herramientas de descifrado pueden ayudar a desbloquear archivos, deben considerarse la última opción.

El ransomware se ha vuelto tan lucrativo que hasta se promociona y se vende en la dark web, haciendo que casi cualquiera, con pocos o nulos conocimientos técnicos pueden comprar, modificar y diseminar ransomware.

Esto significa que todos los días aparecen versiones nuevas y un dispositivo se puede infectar con una variedad para la que no existe una herramienta de descifrado. Por lo tanto, Avast extiende la recomendación de instalar un antivirus, que funcione como una red de seguridad y proteja contra el ransomware, si llegara a aparecer; y que, periódicamente, se haga una copia de resguardo o backup de los archivos en un disco duro externo, que no esté conectado a la computadora o a internet.

Desde 2013, los investigadores de Avast Threat Labs han visto un aumento enorme en la cantidad de amenazas de ransomware. Solo el año pasado, monitorearon más de 150 variedades nuevas, y Avast creó herramientas gratuitas de descifrado de ransomware para ayudar a las víctimas a desbloquear archivos cifrados.

Los sistemas de Windows son los blancos habituales, pero también los usuarios de Mac sufren  estos ataques. La forma más común para que el ransomware entre en un sistema es a través de enlaces maliciosos y archivos adjuntos de correo electrónico. Según una encuesta de Osterman Research, efectuada de junio de 2016, en  los Estados Unidos y Alemania, casi la mitad de los ataques se debieron a que algún empleado pulsó un enlace que no debía en un correo electrónico.

Avast anunció que se sumó al proyecto No More Ransom, una iniciativa que ayuda a las víctimas del ransomware a recuperar sus archivos cifrados, sin pagar el rescate a los ciberdelincuentes. No More Ransom tiene cuatro socios principales y cuenta con el apoyo de organismos de seguridad de países de todo el mundo.

El proyecto No More Ransom comenzó a mediados de 2016 y ahora tiene 40 herramientas de descifrado gratuitas, seis de las cuales son provistas por Avast.

 

N. de P.

Nuevo fraude en cajeros automáticos que facilita el robo

Los fraudes contra los bancos se están volviendo cada vez más comunes y los atacantes más especializados, utilizando métodos sofisticados para robar grandes cantidades de dinero.

Hemos sido testigos de grandes ataques a los cajeros automáticos a nivel mundial en los últimos meses; En Tailandia, India, América Latina, en toda Europa y en otros países alrededor del mundo. En estos incidentes, los atacantes lograron robar millones de dólares.

Los ataques de los bancos se dividen en dos categorías principales: las que apuntan al consumidor y las que apuntan a las instituciones financieras.

La primera y más antigua categoría son los ataques que apuntan principalmente a clientes bancarios y software de banca en línea. Algunas técnicas que usan los atacantes incluyen:

  • Secuestro de la pantalla de conexión bancaria en línea
  • Evitar u omitir funciones de seguridad como teclados virtuales o autenticación de dos factores
  • Instalación de un software espía de acceso remoto personalizado (RAT) spyware en el equipo infectado. (Este modelo sigue siendo muy popular en Sudamérica y Asia.)

 

Ataques dirigidos a instituciones financieras

Este artículo se centrará en la segunda categoría de ataques: ataques que se dirigen directamente a las instituciones bancarias y sus sistemas internos; computadoras de los empleados de bancos y redes internas, lo que permite a los atacantes acceder a otras partes de toda la infraestructura, como terminales de pago (POS), cajeros automáticos o transferencias bancarias internacionales; y registros críticos.

Los atacantes utilizan a menudo amenazas persistentes avanzadas (APT), ingeniería social o spear-phishing contra los empleados de los bancos internos y externos, para obtener acceso a los sistemas internos. En algunos casos, los ejecutores se las arreglan para atacar sólo la red interna de ATM y, eventualmente, atacan físicamente a un ATM y propagan la infección a todas las demás máquinas de la misma red.

Uno de los últimos ataques de este tipo fue una infección masiva de cajeros rusos a través de la red interna de una institución bancaria. Según la información en medios rusos, el ataque fue especialmente interesante, ya que utilizó malware sin archivos que se ejecuta en la memoria de la máquina, y es resistente al reinicio del sistema operativo del ATM infectado, que son comúnmente basados ​​en Windows.

A partir de esta información, presumimos que el malware se puede almacenar, por ejemplo en el registro de arranque maestro del disco duro de la máquina (MBR), dentro del firmware (BIOS / UEFI) o como malware de poweliks, que es un malware conocido por ocultarse en el Registro de Windows.

Después de ingresar un código especial, el cajero automático infectado repartirá todo el dinero del primer dispensador, donde normalmente se almacenan los billetes de mayor valor nominal. Este método también se denomina “ataque jackpotting de ATM”, y ya ha sido utilizado varias veces en el pasado.

Las infecciones de los cajeros automáticos ocurren con mayor frecuencia y están reemplazando gradualmente skimming methods, donde los atacantes tuvieron que colocar su equipo en un cajero automático específico, haciendo que el riesgo de ser descubierto fuera alto.

Fraude bancario como negocio

Los grupos de fraude bancario más infames son Metel, GCMAN, Carbanak, Buhtrp/Cobalt, y Lazarus. Todos estos grupos son muy calificados y consisten en profesionales con profundo conocimiento sobre la tecnología bancaria, hacking y programación. Probablemente estén vinculados a grupos de mafia clandestinos y de lavado de dinero y podrían tener acceso a empleados corruptos del banco y a personas internas. Todos estos grupos han estado en la lista de varias instituciones de aplicación de la ley como el FBI o Europol durante muchos años, pero sus cerebros y miembros aún permanecen escondidos en algún lugar de la infinidad de Internet y de la red oscura.

Su trabajo requiere mucho tiempo y la preparación de “One Big Heist” podría llevar meses de monitoreo, intrusión en nuevos sistemas, servidores, redes, y estudiando sistemas internos, mecanismos de verificación, otras reglas y cuotas de regulación. Cualquier pequeño error de los grupos de fraude bancario puede ser fatal para ellos, y conducir a la detección de sus actividades sospechosas. Para protegerse durante su ataque final, son meticulosos acerca de limpiar correctamente todos los rastros y registros de actividades ilegales de distancia – un paso importante que requiere acciones cuidadosamente planificadas.

Con cada robo exitoso, los atacantes recaudan fondos para financiar toda su infraestructura, desarrollan malware, recolectan exploits, pagan money mules, lavan dinero y dañan a los banqueros.

 

Los sistemas bancarios de ciberseguridad necesitan fortificarse

Aunque los cajeros automáticos generalmente están bien protegidos contra ataques físicos, casi todos usan el sistema operativo Windows (CE / 2000 / XP / 7). No sabemos si los sistemas operativos de los cajeros automáticos se actualizan y reparen regularmente, y los cajeros automáticos probablemente dependen del software de seguridad instalado en la red interna. Una red es tan segura como su eslabón más débil, por lo que una vez que se rompe la red interna, los cajeros automáticos en la red son un objetivo fácil. Por lo tanto, para proteger sus cajeros automáticos y sistemas contra estos ataques, los bancos deben centrarse más en sus políticas y tecnología de seguridad interna, así como en su seguridad ATM.

Los tiempos han cambiado, y parece que se ha vuelto más fácil robar un cajero automático de forma electrónica que el uso de los viejos métodos. Esto puede traernos más seguridad física, pero expone nuevos problemas y desafíos que los bancos deben abordar.

 

Por Michal Salat,

Director  de Threat Intelligence

en Avast.

Avast compra AVG por 1300 millones de dólares

La firma de seguridad Avast, tiene el objetivo de crecer, en nuevos mercados y ampliar sus soluciones de seguridad a todo lo que está por llegar relacionado con el Internet de las Cosas. Para ello, ha anunciado la intención de compra de la compañía AVG, una empresa que durante años ha basado su negocio en ofrecer licencias gratuitas de su software antivirus para ganar clientes y cuota de mercado. El acuerdo también permitiría que Avast tenga acceso a la tecnología móvil Zen de AVG para controlar la protección global de todos y cada uno de los dispositivos que actualmente forman parte de los hogares, incluyendo los smartphones y tabletas.

Según ha comentado en su blog Vicente Stickler, CEO de Avast, “esta combinación ofrece un escenario ideal para nuestros clientes, pues tendremos más de 250 millones de usuarios de PC y Mac recopilando datos de amenazas para mejorar la protección de los usuarios”. El directivo también destaca que la combinación de ambas compañías permitiría ofrecer un mejor soporte técnico para pequeñas y medianas empresas.

Por su parte, AVG es conocido entre el público por sus soluciones de software antivirus gratuitos, disponibles tanto para PC y Mac, como para dispositivos móviles Android. Además, cuenta con soluciones profesionales del mismo software que añaden características adicionales, además de una actualización de la firma de virus mucho más constante. También dispone de una serie de aplicaciones de seguridad orientadas para proteger las redes corporativas de las organizaciones. Actualmente, menos de dos tercios de los ingresos de AVG provienen de su negocio de productos de seguridad de escritorio tradicional, una cifra que año tras año disminuye. Casi una sexta parte de los ingresos de la compañía proviene de los anuncios de búsquedas. Avast, por su parte, pertenece a propiedad privada y no publica sus resultados financieros.

Ninguna de las compañías ha dejado claro de lo que sucedería con sus respectivas gamas de productos si finalmente se cierra la operación, la cual aún requiere de la aprobación de los accionistas y reguladores. No obstante, el CEO de AVG, Gary Kovacs, ha destacado que la operación permitirá a la empresa invertir más en los mercados que actualmente están en crecimiento.

El mercado de la seguridad está en pleno apogeo, y más cuando la compañía Intel anunciaba hace escasamente una semana que pretende deshacerse de su negocio de seguridad.

Redacción