Etiqueta: día cero

El 30% del malware es de día cero, un problema para los antivirus tradicionales

Al menos el 30% del malware es código malicioso Zero Day que los antivirus tradicionales no pueden detectar, de acuerdo con un nuevo informe realizado por WatchGuard Technologies.

“Estamos recogiendo datos sobre amenazas de cientos de miles de clientes y de aplicaciones de seguridad de redes”, afirma Corey Nachreiner, CTO de la compañía. “Tenemos diferentes tipos de servicios de detección de malware, como un antivirus para el gateway con tecnología heurística, y descubrimos que el 30% podría ser ignorado por los antivirus basados en firmas”, sostiene Nachreiner.

La firma de seguridad capturó 18.7 millones de variantes de malware en el cuarto trimestre de 2016. Algunos de los clientes contaban con un antivirus tradicional basado en firmas y con el nuevo servicio de prevención de malware APT Blocker de la compañía. El antivirus tradicional capturó 8.956.040 variantes de malware, mientras que el nuevo sistema basado en el comportamiento capturó además otras 3.863.078 variantes de software malicioso que los antivirus legacy no detectaron.

APT Blocker ejecuta aplicaciones potencialmente peligrosas en un sandbox en la nube y realiza análisis de comportamiento para detectar el malware.

El informe también ha categorizado los ataques por tipo de exploit. Los 10 primeros de la lista han sido ataques lanzados contra servidores u otros servicios de la red a través de navegadores o plug in de navegadores, lo cuales han representado el 73% del total de vulnerabilidades.

De acuerdo con el estudio, la categoría principal de exploits está representada por un nuevo troyano que infectaba dispositivos Linux abiertos para convertirlos en servidores proxy. La segunda ha sido asignada a Droppers, especializados en ransomware dirigido a entidades bancarias. “Entre otros hallazgos importantes, estamos descubriendo que algunas viejas amenazas vuelven a ser nuevas”, asegura Nachreiner, entre las que se incluyen los documentos de Word con macros maliciosas. “Han desaparecido durante décadas, pero ahora han vuelto y podemos confirmar que estamos bloqueando todo un grupo de malware basado en macros”, añade.

WatchGuard también ha encontrado scripts de PHP webshell, un malware que ocupa el cuarto puesto de la lista realizada por la compañía. “En la supuesta manipulación de las elecciones, un script de shell formó parte de la operación. La amenaza es antigua, pero han encontrado una manera de burlar la seguridad con ella”, concluye Corey Nachreiner.

Maria Korolov

 

SonicWall crea un nuevo sistema de seguridad para amenazas de día cero

La compañía de seguridad ha presentado una nueva plataforma de seguridad para email y las nuevas capacidades del sistema operativo del firewall para una mejor protección frente al ransomware, amenazas avanzadas y de día cero.

SonicWall Email Security 9.0 incluye ahora Capture Advanced Threat Protection (ATP) Service y ofrece un sandbox multimotor en cloud que no solo inspecciona el tráfico de emails en busca de código sospechoso, sino que bloquea los archivos maliciosos para que no entren en la red hasta que se llegue a un veredicto.

Según el informe de amenazas anual 2017 SonicWall Annual Threat Report, las organizaciones se enfrentan a nuevos desafíos en materia de seguridad. El SonicWall Global Response Intelligence Defense (GRID) Threat Network afirma que los intentos de ataque tipo ransomware se incrementaron 167 veces el pasado año hasta alcanzar los 638 millones en 2016.

“En nuestro informe indicamos que el email sigue siendo un vector de ataque muy atractivo para los ciberdelincuentes porque es muy fácil que los empleados acaben siendo víctimas de ransomware, phishing y otros ataques desconocidos”, comenta Bill Conner, presidente y CEO de SonicWall. “SonicWall ayuda a que los clientes se adelanten a los ciberdelincuentes gracias al refuerzo de nuestra plataforma con innovaciones que inspeccionan y emiten un veredicto sobre todos los emails entrantes y salientes de nuestras organizaciones, sin dejar de mantener un alto nivel de rendimiento y funcionalidad”.

Las firmas para el malware recién descubierto se generan con rapidez y se distribuyen automáticamente por la SonicWall GRID Threat Network, por lo que se evita una mayor infiltración de la amenaza de malware identificada. Las organizaciones cuentan con una serie de opciones administrativas que van desde eliminar un adjunto al correo electrónico problemático hasta bloquear un mensaje entero, por lo que se logra una mayor efectividad en cuanto a seguridad y unos mejores tiempos de respuesta.

Entre las funciones adicionales de SonicWall Email Security 9.0 se incluyen:

Protección avanzada frente a amenazas (Advanced Threat Protection): la solución incorpora funcionalidades antispam, antivirus y antispoofing que no solo detectan y evitan el spam y otros tipos de emails no deseados, sino que exploran los mensajes y adjuntos para localizar ransomware, troyanos, gusanos y otro tipo de contenido malicioso.

Mejor soporte para Office 365: los clientes Office 365 mejorarán su seguridad activando la protección SonicWall Hosted Email Security.

Gama actualizada de dispositivos: SonicWall está modernizando su gama de dispositivos de hardware para que los clientes puedan enfrentarse mejor a las amenazas enviadas por correo electrónico.

Protección con cifrado: además de ser compatible con la autentificación SMTP, la función de servicio de cifrado hace que cualquier email que contenga datos protegidos se cifre automáticamente, se remita para su aprobación o se archive.

Gestión de políticas y conformidad: la función de gestión de políticas facilita al administrador la aprobación de políticas que filtren mensajes y su contenido según entren o salgan de la organización. Así podrán cumplir los requisitos legales basados en la regulación gubernamental, los criterios de la industria o las actividades de gobernanza corporativa.

Como los métodos de ataque van evolucionando con frecuencia, es difícil que los equipos de IT puedan garantizar que las organizaciones operen con una eficiencia y coherencia óptimas, además de cumplir con los requisitos cambiantes de seguridad de la red. Para abordar estos desafíos de seguridad en red, la empresa ofrece un avance de SonicOS 6.2.7, que proporciona una mejor prevención frente a vulnerabilidades, un nueva API contra amenazas, una escalabilidad y conectividad mejoradas, sin dejar por ello de simplificar la gestión con vistas a que las pequeñas y grandes empresas distribuidas reciban una gran calidad de servicio, una mayor capacidad y conectividad según demanda y una mejor seguridad.

Entre las nuevas funciones de SonicOS 6.2.7 destacan: una inspección profunda de los paquetes de Secure Socket Shell (DPI-SSH); API de amenazas; autenticación biométrica; extensibilidad de switches para la Serie X Dell; y una sencilla VPN, diseñada para simplificar y reducir el complejo despliegue de cortafuegos distribuido a un esfuerzo trivial.

Redacción

 

Hackers rusos utilizan un sencillo troyano para atacar Linux

Fysbis es el encargado de poner en riesgo la privacidad de los equipos, el cual  cuenta con una arquitectura modular y extensible para adaptarse a cada equipo.

El grupo ruso especializado en ciberespionaje Pawn Storm ha vuelto a atacar, ahora están tras los equipos con operativo de código abierto Linux. En concreto, lo han hecho a través de un sencillo pero efectivo troyano denominado Fysbis que no requiere grandes privilegios de acceso.

El grupo en cuestión,  también conocido como APT28, Sednit o Sofacy, opera desde 2007 atacando por todo el mundo a organizaciones gubernamentales, de seguridad e incluso militares de los países miembros de la OTAN. También se les conocen ataques contra contratistas de defensa, medios de comunicación, activistas políticos ucranianos o críticos al Kremlin.

Sednit es el principal que el grupo utiliza, un programa de puerta trasera que ataca Windows, también operan en sistemas Mac OS X, Linux y sistemas operativos móviles.  Son conocidos por sus ataques día cero con lo que consiguen introducir su malware en los equipos aprovechando vulnerabilidades que desconocen los usuarios y los fabricantes. Entre sus técnicas para atacar equipos destacan también el uso del phishing, usan como soporte correos electrónicos infectados con archivos adjuntos maliciosos.

Según un comunicado publicado por investigadores de la compañía Palo Alto Network, pese a todas las posibilidades con las que cuenta este grupo, su arma preferida es precisamente Fysbis, el sencillo troyano que han utilizado contra Linux y del que se tiene noticia desde 2014. No ha sido hasta ahora cuando los investigadores han conseguido descifrar cómo funciona y cuáles han sido realmente sus creadores, apuntando directamente a Rusia y al grupo Pawn Storm.

Fysbis donde destaca como punto fuerte es que su arquitectura modular le permite adaptar sus funcionalidades según las necesidades para cada equipo a través de plug-ins que hacen caer a víctimas individuales.

“Fysbis puede instalarse por sí sólo en el equipo contando o no con privilegios”, aseguran los investigadores de Palo Alto Network. “Esto aumenta las opciones a la hora de elegir una cuenta en la que instalarse”.

El objetivo de Fysbis es proceder al robo de datos. Por eso, aún sin conseguir un ataque completo del sistema, este troyano puede acceder a archivos potencialmente sensibles a los que los usuarios han tenido accedido o incluso espiar el historial de navegación web, entre otras actividades que ponen en riesgo la privacidad de los equipos.

“A pesar de la creencia general de que Linux ofrece mayor grado de protección contra actores maliciosos, el  malware y las vulnerabilidades de Linux existen y están siendo utilizadas por adversario avanzados”, confirman  los investigadores de Palo Alto Network.

Este tipo de virus supone una amenaza para sistemas operativos basados en Linux, sobre todo en entornos empresariales donde la tendencia es utilizar Windows mientras que Linux tiene menos visibilidad en las empresas y soporte, por lo que también es más difícil detectar ataques.

Dada la brecha de seguridad, es difícil explicar, según algunos expertos, por qué grupos como Pawn Storm están dedicando esfuerzos y creando nuevos troyanos para atacar Linux.

-Toñi Herrero Alcántara

 

La ciberguerra dispara el gasto en seguridad en defensiva y ofensiva

Para la mayoría, es gato será enfocado al fortalecimiento de las capacidades de ciberseguridad defensivas, una parte se destinará a inversiones ofensivas, incluido malware diseñado a medida y la adquisición de vulnerabilidades y exploits de día cero.

La ciberguerra está surgiendo como la próxima evolución en la guerra moderna entre los estados-nación. ABI Research, ha señalado que la interrupción activa de información y tecnologías operativas y la participación en campañas de ciberespionaje político y económico por parte de los gobiernos es indiscutible. Los ataques discriminados se adaptan a objetivos específicos, incluidas agencias gubernamentales, operadores de infraestructuras críticas y empresas de todos los tamaños, objetivos que se enfrentan diariamente a ataques constantes y sostenidos.

Esta situación está llevando a los operadores del sector de defensa a desarrollar e implementar sofisticadas ciberarmas. “Las operaciones ofensivas cibernéticas, que aprovechan campañas de malware complejas, son la fuerza impulsora detrás de las amenazas persistentes avanzadas”, señala Michela Menting, directora de investigación de Seguridad Digital de ABI Research. “La mercantilización de un mercado legítimo de exploits sustenta la próxima generación de tecnologías de ciberguerra”.

Se espera que las fuerzas militares, agencias gubernamentales y contratistas privados de defensa, principales operadores de la industria de la defensa, gastarán más de 10 000 millones de dólares a nivel mundial en materia de ciberseguridad en 2015.Gran parte de estos gastos se centrarán en el fortalecimiento de las capacidades de ciberseguridad defensivas, una parte se destinará a inversiones cibernéticas ofensivas, desde malware diseñado a medida, a unidades de mando militares cibernéticas, programas de vigilancia encubierta y adquisición de vulnerabilidades y exploits de día cero, entre otras medidas.

-Hilda Gómez

Lo que vendrá en 2014 en materia seguridad TI

Road 2014El incremento de las extorsiones por Ramsomware, así como un mayor presupuesto para la detección y reparación de daños a la seguridad TI figuran entre las cinco principales tendencias que, según Blue Coat, se harán presentes en las organizaciones para el próximo año.

A continuación se describen cada una de ellas:

1.- Extorsiones por Ramsomware en aumento. Las extorsiones de información por infecciones de Ramsomware están creciendo cada vez más y con mayor sofisticación. El costo de la recuperación de los datos va en aumento en comparación con el año anterior y los delincuentes exigen una mayor recompensa debido a la inflación. Cryptolocker es un ejemplo reciente de cómo el Ransomware se está convirtiendo en un sofisticado e implacable malware.

2.- Incremento en presupuestos para seguridad (detección y reparación de daños). Gartner declaró recientemente que el presupuesto de la seguridad total gastado en la detección rápida y la capacidad de reparación también se incrementará del 10% al 75 % para el 2020. Ejemplo de esto es la reciente iniciativa Waking Shark 2 para probar la preparación Ciber-ataque en el sector financiero del Reino Unido.

3.- Pensar en ROSI (Retorno de Inversión en Seguridad) dentro del plan de la empresa. El ROI (retorno de inversión) ya no es todo lo que debe medirse en una empresa. El ROSI (Retorno de la Inversión en Seguridad) no es tan fácil de medir cuantitativamente y tiende a medirse cualitativamente, pero ahora ya hay una presión para las áreas de TI y dirección para medir la seguridad más subjetivamente. En realidad, tanto el ROSI como el ROI se pueden aprovechar cuando se trata de justificar el presupuesto. Alinear el presupuesto de seguridad con las prioridades del negocio deberá centrarse en la reducción de riesgos.

4.- Gestión de tiendas de aplicaciones en las empresas (MDM). Los empleados quieren ser más productivos en cualquier momento y en cualquier lugar a través de una variedad de dispositivos. Suena bien, ¿verdad? Y lo es, hasta que usted piensa acerca de los problemas de gestión de ancho de banda, problemas de seguridad y problemas de privacidad que pueden surgir al momento en que los empleados descargan más y más aplicaciones.

Para obtener el control sobre la red, en los próximos 12 meses las empresas crearán sus propias tiendas de aplicaciones para mantener sus redes, datos, IP y seguridad de los empleados.

La clasificación “App” jugará un papel clave en la creación y gestión de tiendas de aplicaciones empresariales. MDM (Mobile Device Management, o gerencia de dispositivo móvil) también cobrará importancia, ya que muchas de estas aplicaciones se puede acceder por medio de dispositivos móviles.

5.- Las empresas necesitan prevenir, detectar y responder. En las empresas existe una brecha entre las operaciones de seguridad del día a día y los equipos de operaciones de seguridad avanzada que se traduce en violaciones a la seguridad de materiales.

De acuerdo con los datos del Informe de Incumplimiento Verizon, el 84 % de los ataques dirigidos avanzados tomó segundos, minutos u horas para lograr su objetivo mientras que el 78 % de las violaciones tomó semanas, meses o años en descubrirse. Esta brecha existe porque las defensas de seguridad tradicionales están diseñadas para detectar y bloquear amenazas conocidas, pero siguen siendo en gran medida “ciegas” ante las amenazas de día cero (zero-day threats) y los nuevos ataques de malware.

Esto se ve agravado por la tendencia de los equipos de operaciones de seguridad avanzada, así como las defensas que emplean para operar en silos sin capacidad de compartir información a través de toda la organización de seguridad. Así, mientras que la prevención es clave, las empresas necesitan aumentar sus defensas previniendo lo que se puede, detectando lo que no puede y respondiendo a lo que ya está ahí.

Análisis de las predicciones de seguridad TI para 2014

Fausto Cepeda predicciones seguridadNo puede iniciar un nuevo año sin predicciones de seguridad informática. En esta ocasión no es diferente, ya que hay varias empresas e individuos que se convierten en profetas del futuro.

Si me preguntan, considero a la mayoría de estas “predicciones” muy predecibles. No puede faltar la que dice que “Habrá más malware” y no hay que ser adivino para prever que así será tanto en los sistemas operativos tradicionales como en los móviles. O está la típica de “Los ataques se incrementarán” que, bueno, sobra decir, así será.

Pero a veces uno se topa con un par de listas de predicciones interesantes. En esta ocasión me topé con unas de Symantec y otras de WebSense. Voy a analizar algunas de ellas.

“Las personas finalmente comenzarán a tomar medidas para asegurar su información privada” (Symantec). Lo dudo. A la mayoría de los usuarios típicos de Internet no les interesa realmente este tema o no están dispuestos a hacer algo al respecto. Son los menos los que se preocupan por este tema y que sí toman medidas efectivas para protegerse.

Los estafadores, recolectores de datos y cibercriminales no ignorarán ninguna red social, sin importarles que sea de nicho o misteriosa” (Symantec). Interesante predicción. Al irse fortaleciendo la seguridad de las redes sociales tradicionales, quedarán las poco populares que típicamente tienen insuficiente seguridad.

El ‘Internet de las cosas’ se convertirá en el Internet de las vulnerabilidades” (Symantec). El Internet de las Cosas se refiere a que el tostador, refrigerador, lavadora y otros electrodomésticos y aparatos estarán (o están ya) conectados a Internet. Desconozco la situación en otros países, pero en México no veo que en 2014 se dispare el boom del Internet de las Cosas con suficiente amplitud como para que sea un objetivo jugoso para los atacantes. Para variar, veo a México varios años atrás en la adopción del Internet de las Cosas. Y además, la mayoría de los criminales de hoy quieren sacar un provecho económico por sus ataques, así es que adicionalmente debe de existir ese tipo de “motivación” para atacar a un tostador.

El volumen del malware avanzado va a disminuir” (Websense). Esta predicción me desorientó ya que Websense confunde el malware avanzado, el malware dirigido y el malware de volumen. Aclaremos: el malware avanzado por lo general va a ser dirigido, y es el tipo de código que hacen gobiernos (ejemplo: StuxNet). Un gusano dirigido a una organización o a un individuo va a ser avanzado y probablemente use debilidades de día cero. Por otro lado, el malware que yo le llamo genérico y volumétrico, es el que se crea “a ver quién cae”.

Los criminales lo mandan por correo spam, por redes sociales vía links, o bien, ejecutables cuidadosamente disfrazados. No es dirigido a alguien en especial, lo que se desea es tener la mayor cantidad de víctimas posible. No es “avanzado y complejo”, saben que los usuarios tienen malas prácticas de seguridad y si no cae uno, seguro caerá el siguiente. Ahí está el CryptoLocker, por ejemplo. Y retomando lo que predice WebSense, no veo a ningún tipo de malware disminuyendo y aunque lo hiciera ligeramente, las estrategias en el combate de código malicioso en las empresas no cambiarían ni un poco. Una predicción totalmente inútil.

“Una destrucción de datos significativa va a suceder” (Websense). Hasta ahora los ataques en línea roban información, pero no la destruyen. La predicción es que existirá un importante ataque informático cuyo objetivo sea destruir datos. En general, la gente y organizaciones son mucho más tolerantes al robo de datos que a su destrucción. Así es que tiene que haber una fuerte motivación de venganza o un afán de advertencia extraordinario para destruir datos ajenos, a sabiendas de que a diferencia del robo de datos, ahora sí puede existir una respuesta de la víctima. Falta ver que se concrete y bajo qué condiciones sucedería esa destrucción “significativa”.

“Java va a seguir siendo débil y altamente explotable” (Websense). Bueno, esta no es una predicción. Ya lo es desde hace tiempo y sabemos que así permanecerá en los siguientes años a venir. Nadie debería de poner este tipo de predicciones tan obvias.

Hasta aquí el análisis de las predicciones. Microsoft tiene otras más o puedes googlear “security predictions 2014”, si te interesa el tema. En fin, después de que las leí todas me quedé con un pensamiento “¿Y luego qué”? Varias no son predicciones sino que ya están sucediendo. A las otras les falta que se concreten a ver si es cierto y restaría por ver si las estrategias de seguridad deben de cambiar a partir de que sucedan.

Así es que tomar decisiones con base a predicciones no suena muy razonable; y si no se toman decisiones entonces se quedan más en el terreno de “información interesante, pero inútil”. Mi alma está tranquila de que no soy el único que piensa así. Francamente, podríamos vivir tranquilamente sin estas predicciones anuales de seguridad que tienen más el objetivo de llenar nuestro tiempo con datos insulsos.

Pero es un deporte que disfrutan varios en el campo de seguridad informática y dudo que vayan a dejar de aparecer cada fin de año; supongo que quien las hace se divierte y cree que aumenta su prestigio por haberlas creado.

_____________

Fausto Cepeda es Maestro en Ciencias en Seguridad de la Información y cuenta con las certificaciones CISSP, CISA, CISM y CEH. Puede contactarle enfausto.cepeda@gmail.com