Etiqueta: ESET

Más de 8 mil ciberataques contra gobiernos y empresas de México: ESET

ESET dio a conocer su Security Report 2018, el dato destacado es que se han detectado más de 8,000 ciberataques a Gobierno y empresas del sector Retail, Financiero e Industrial. La cifra representa sólo la mitad de lo reportado el año pasado.

Para Cecilia Pastorino, Security research de ESET Latinoamérica, dijo que la cifra superará la del año pasado, esto se da ya que los grupos de cibertacantes hacen más complejos sus ataques y que están al día encontrando nuevas vulnerabilidades que puedan burlar su seguridad.

También destacó que los ataques son cada vez más continuos, “antes eran esporádicos, después intermitentes y ahora son continuos”, además los hackers saben que las empresas usan diferentes soluciones de seguridad, se ayudan de terceros y son asesorados por otra entidad extra a la organización principal, esto ha facilitado las cosas para los grupos ciberatacantes.

En cuestión de ataques a los servicios financieros, destacó Pastorino que las fallas vienen de los proveedores de servicios de seguridad, las cuales son aprovechadas por los hackers para vulnerar esos sistemas y poder acceder a cualquier tipo de información, esto contrasta con las inversiones que hacen en este sector en materia de seguridad.

México como nación puntera en ciberataques.

Sobre el caso sucedido recientemente sobre el Sistema de Pagos Electrónicos Interbancarios del Banco de México (SPEI) el cual vio comprometida su seguridad por medio de un watering hole, dicha ataque de seguridad viene de proveedores de algunas instituciones financieras y no del propio sistema de SPEI.

El watering hole son ciberataques que se dan desde sitios de confianza de proveedores o intermediarios para atacar a otra entidad, esto ocurre muy a menudo, el 60% de todos los ciberataques en gobierno o empresas privadas ocurre por medio de esta táctica.

El Security Research de ESET Latinoamérica, Miguel Ángel Mendoza señaló, “el watering hole y otras formas de operar del cibercrimen en el ecosistema digital, como es el phishing o engaño en la red, irán al alza ante la sofisticación de los delincuentes digitales”. Además, en América Latina el 45% de las empresas fueron víctimas de malware y el 20% de las empresas sufrieron de Ransomware.

Finalmente, el estudio destaca que la obtención de datos por medio de ingeniería social son una práctica muy popular por los cibercriminales, por poner un ejemplo, en el mercado negro se cotizan en 10 dólares obtener todos los datos de una tarjeta bancaria.

Chrome ofrece herramienta para detectar y eliminar software no deseado

Google ha anunciado una nueva herramienta para “ayudar a los usuarios de Windows a recuperarse de infecciones software no deseado”. Ya está disponible y la firma espera que se utilicen por “decenas de millones” de usuarios en los próximos días.

Las extensiones publicadas mejorarán el navegador, prometen desde Mountain View, gracias por ejemplo a la posibilidad de personalizar la gestión de pestañas.

Google ha actualizado la tecnología para detectar y eliminar software no deseado gracias a la colaboración con ESET y su motor de detección.

Chrome también detectará las modificaciones que ocurran cuando algunas extensiones cambien los ajustes sin consentimiento del usuario y mostrará un mensaje con la alerta. Otra de las novedades es la limpieza automática de software no deseado.

“A veces, cuando descargas software u otro contenido, se instala software no deseado como parte del paquete sin que te des cuenta”, explica Google en el comunicado oficial publicado en el blog. La herramienta Chrome Cleanup alerta al usuario cuando esto ocurra y le da la posibilidad de eliminar esas piezas no deseadas.

La compañía ha especificado que Cleanup no es un antivirus per se, sino que sólo elimina el software no deseado de acuerdo a la política de software no deseado de la propia Google, accesible aquí.

Redacción

 

ESET construye la oficina de ciberseguridad más grande del mundo

ESET anunció sus planes de construir la nueva sede de la empresa. El campus ocupará nueve hectáreas en Bratislava, y albergará 25 mil metros cuadrados de espacio de oficinas para aproximadamente 1,400 empleados, donde su arquitectura futurista y minimalista se fusionará con el entorno, una de las zonas más verdes de la capital de Eslovaquia.

Richard Marko, CEO de ESET, “nuestro objetivo es construir un punto global que nos sitúe en una posición fuerte para los próximos 30 años y más. Estamos inmensamente orgullosos de nuestros colaboradores y sus logros, y estamos seguros de que nuestro nuevo campus en Bratislava traerá mucho más a ESET, a la industria de la ciberseguridad y a Eslovaquia”.

La sede global contará con apartamentos para quienes viajen desde otras oficinas, un auditorio y salón multifuncional, múltiples instalaciones de educación para estudiantes, un comedor privado, laboratorios de investigación y un centro de salud y fitness.

Las nuevas oficinas también incluirán un centro de investigación de seguridad de TI que permitirá a ESET mantenerse a la vanguardia de la seguridad digital. Asimismo, la compañía planea crear 800 nuevos empleos de manera de atraer a profesionales de todo el mundo para trabajen juntos en el nuevo centro de la industria de la ciberseguridad en el corazón de Europa. Se espera que la construcción de la nueva sede global de ESET esté terminada en 2022.

N. de P. ESET

Stantinko, un nuevo malware que ya afectó a medio millón de usuarios

ESET analizó este malware, nombrado Stantinko, que atrapa a sus víctimas al descargar software pirata de sitios falsos de torrent y que durante los últimos cinco años se ha ido transformado para evitar ser detectado.

Stantinko es una red de bots que se monetiza instalando extensiones a los navegadores e inyectando anuncios falsos mientras se está conectado a Internet. Cuando se instala en una máquina, puede realizar búsquedas masivas de Google de forma anónima y crear cuentas falsas en Facebook con la capacidad de darle me gusta a imágenes, páginas y agregar amigos.

En la máquina infectada se instalan dos servicios de Windows maliciosos que se ejecutan cada vez que se inicia el sistema. “Es difícil deshacerse de Stantinko, ya que cada servicio de componentes tiene la capacidad de reinstalar el otro en caso de que uno sea eliminado del sistema. Para borrar completamente el problema, el usuario tiene que eliminar ambos servicios de su máquina al mismo tiempo”, explica Frédéric Vachon, Investigador de Malware en ESET.

Stantinko instala dos complementos de navegador, ambos disponibles en la tienda web de Google Chrome: ‘Safe Surfing’ y ‘Teddy Protection’. Cuando el malware se ha infiltrado, los operadores de Stantinko pueden usar los complementos flexibles para realizar diferentes acciones maliciosas dentro del sistema comprometido. Esto incluye la realización de búsquedas anónimas masivas para encontrar sitios de Joomla y WordPress, realizar ataques de fuerza bruta en estos sitios, encontrar y robar datos o crear cuentas falsas en Facebook.

Además, la información robada de los sitios víctimas también la pueden vender en el mercado negro. Al realizar ataques de fuerza bruta logran probar miles de contraseñas diferentes hasta adivinar las credenciales de acceso. ESET identificó que los operadores de Stantinko tienen una herramienta que les permite realizar fraudes en Facebook, vendiendo ‘Me gusta’ para capturar ilegítimamente la atención de consumidores desprevenidos.

“Los operadores de Stantinko pueden obtener ganancias por el tráfico que proporcionan a distintos anuncios. Incluso encontramos que los usuarios llegarían al sitio web del anunciante directamente a través de anuncios propiedad de Stantinko”, concluyó Matthieu Faou, investigador de malware en ESET.

N de P. ESET

 

ESET lanza Threat Intelligence, para prevenir y detectar aques dirigidos

ESET lanza Threat Intelligence, un servicio que ayuda a prevenir y detectar posibles ataques dirigidos. Este servicio ofrece facilitar la predicción y notificar proactivamente a los usuarios de las amenazas dirigidas en tiempo real, permitiendo una mayor flexibilidad para adaptarse al panorama de amenazas actual.

“Los beneficios que presenta esta solución de ESET para las empresas implican la utilización de la información de miles de muestras recolectadas para obtener datos de amenazas o ataques a las empresas. La disponibilidad de toda la información en un solo lugar, ahorra tiempo y permite minimizar el impacto de los posibles ataques, evitando la interrupción del servicio así como posibles perdidas de información y monetarias.”, aseguró Federico Perez Acquisto, CEO de ESET Latinoamérica.

Este servicio permite contar con información organizada, analizada y refinada sobre amenazas o potenciales ataques que podrían impactar en las distintas organizaciones. Aplica “inteligencia tradicional” a las ciberamenazas, a la vez que incrementa el conocimiento sobre las mismas y mejora la respuesta ante potenciales ataques.

Los ataques dirigidos, las amenazas persistentes avanzadas (APTs), zerodays y actividades de botnets son parte del análisis de Threat Intelligence.

El servicio está disponible para los equipos de seguridad empresariales, así como los Centros de Operaciones de Seguridad para analizar campañas de propagación de códigos maliciosos específicos y proporcionar inteligencia sobre su forma de ejecutarse y el impacto de los mismos.

Además, realiza un análisis automático de muestras, desarrollando reportes de actividad de Botnets (Objetivos, amenazas detectadas, servidores de comando y control conocidos y nuevos, etc.) y de Malware dirigido (fuente del código malicioso, servidores de C&C relacionados, información detallada sobre la detección y sobre la reputación).

 

N. de P.

Herramientas gratuitas para recuperar información y buscar vulnerabilidades del sistema

ESET anunció el lanzamiento de dos herramientas gratuitas que ayudan a combatir los recientes brotes de ransomware, incluyendo WannaCryptor (WannaCry) y algunas variantes de la familia de ransomware Crysis, que agrega extensiones .wallet y .onion a los archivos afectados y que es una de las más propagadas en países de Latinoamérica.

La primera herramienta es EthernalBlue Vulnerability Checker, que verifica si el sistema operativo Windows cuenta con el parche de actualización que previene la ejecución del exploit EthernalBlue, que estaba detrás en la reciente epidemia de ransomware de WannaCryptor y además puede ser utilizado para propagar otras amenazas como los BitCoinMiner, entre otras aplicaciones maliciosas.

La segunda herramienta lanzada por ESET es un descifrador de ransomware. La misma ayuda a las víctimas de una variante del ransomware Crysis, una de las más propagadas en países de Latinoamérica, que utiliza una extensión para agregar los archivos cifrados .wallet y .onion. Las llaves fueron publicadas el 18 de mayo por los foros de BleepingComputer.com.

Ambas herramientas están disponibles para descargar desde la página web de ESET:

 

Verifique si está protegido ante el ransomware WannaCry

La firma de ciberseguridad ESET, pone a disposición una herramienta que verifica si su PC está parcheada contra la vulnerabilidad que explota WannaCryptor. Este ransomware que está atacando a miles de computadoras de todo el mundo, se vale de un exploit que se aprovecha de una vulnerabilidad en Windows; y si bien el parche para la misma está disponible desde marzo, no todos lo han instalado.

EternalBlue es el nombre del exploit que le permite a WannaCryptor autoreplicarse y propagarse rápidamente por la red infectada. Este exploit pertenece a la lista de archivos filtrados de la NSA por el grupo Shadow Brokers, y ya se había tratado de subastar el año pasado. Sin embargo, cambió de opinión ante la poca perspectiva de ganancia, y decidió vender las herramientas de la NSA en forma individual.

El 14 de marzo, Microsoft lanzó el boletín de seguridad MS17-010 que corregía vulnerabilidades críticas en el protocolo SMB. En ese entonces, no era evidente que el parche estaba relacionado de alguna manera con las herramientas de la NSA; recién se supo un mes después, el 14 de abril, cuando Shadow Brokers reveló lo que había robado.

El período entre que se publicó la actualización y se hizo público el exploit dio lugar a especulaciones, pero la situación era esta: la vulnerabilidad explotada por EternalBlue tenía una corrección disponible en Windows Update, mientras que el exploit en sí mismo también estaba público. Así, comenzó la carrera entre parchear y explotar, y no fue casual que EternalBlue se usara de manera creciente a partir de ese momento.

El 12 mayo, EternalBlue se convirtió en un componente importante del incidente de infección masiva. Los cibercriminales tenían todos los elementos en sus manos: el ransomware, WannaCryptor, que estaba activo desde principios de abril, y el exploit EternalBlue.

“A pesar del panorama planteado, tanto los usuarios hogareños como las empresas podrían haber evadido el ataque de este ransomware con características de gusano informático. Primero, dos meses antes del ataque masivo ya estaba disponible el parche contra la vulnerabilidad que explota EternalBlue. Si bien no está relacionado a las rutinas de cifrado del ransomware, bloquea el daño que un equipo pueda sufrir a causa de otro equipo de la misma red que se haya infectado. Además, la protección proactiva instalada en el equipo, como una funcionalidad de exploit blocker o una solución antimalware actualizada, podría haber bloqueado la infección y detener el ataque en casos en que el malware hubiese logrado infiltrarse en la red”, comenta Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica.

“Finalmente, algún grado de control sobre los datos que entran y salen de los equipos de una red podría haber sido de utilidad. Muchas compañías decidieron apagar sus computadoras y enviar a los empleados a sus casas, por miedo a que se vieran comprometidas. Sin embargo, si hubiesen logrado aislar los equipos de su red e implementar funcionalidades de detección, esa medida extrema (y contraproducente a los objetivos de una empresa) podría haber sido evitada”, agregó el ejecutivo.

En la noche del viernes salió la noticia del “kill switch” que podía poner fin a la propagación del ransomware. El blog Malware Tech descubrió que el malware hacía una petición HTTP que debía fallar antes de comenzar su rutina de cifrado. Dado que el dominio no estaba registrado, todas las peticiones fallaban y permitían al ransomware seguir su tarea maliciosa; sin embargo, tras analizar el código en busca de este dominio, el investigador británico pudo comprarlo por 10.69 dólares y redirigió las solicitudes a servidores que enviaban una respuesta. Así, se detuvo la propagación de la primera variante de esta amenaza.

Pero no tardaron en aparecer otras variantes. Primero, aparecieron nuevas versiones que evitaban usar ese dominio sobrescribiendo los datos binarios de la primera versión, usando herramientas como HEXEdit. Luego, se publicaron también versiones sin el kill switch.

Hasta ahora, las ganancias de este ataque están apenas por encima de los 50 mil dólares, pero ese monto no es nada comparado con el daño causado por la infección masiva. Nuevamente, se hizo evidente que la explotación de vulnerabilidades (no necesariamente eran de día 0) podría tener un impacto enorme en la operativa de una compañía.

Para comprobar si una computadora está protegida, ESET desarrolló un script que revisa los archivos de actualización en el sistema y busca aquellos correspondientes al parche de EternalBlue. Si no los encuentra, indicará que el equipo es vulnerable; si los encuentra, informará que el sistema está parcheado.

Usted puede hacer uso del script en GitHub, es muy fácil de usar: el usuario debe ejecutarlo, esperar alrededor de un minuto mientras usa WMCI para revisar la lista y finalmente obtiene el resultado.

N. de P. ESET

 

El 70% de empresas mexicanas sufrió un incidente de seguridad en 2016

El 50% de las empresas en la región ha sido objeto de malware en el último año, lo que ubica a los códigos maliciosos como la principal causa de incidentes en Latinoamérica. Mientras que un 70% de empresas en México sufrieron algún tipo de incidente relacionado con seguridad informática y de manera específica, el 45% padeció algún caso de malware, reveló este jueves el ESET Security Report 2017.

El estudio publicado por ESET, compañía líder en detección proactiva de amenazas, se basó en datos obtenidos de una encuesta realizada a más de 4,000 profesionales de distintas organizaciones, cifras que muestran el estado de la seguridad informática en Latinoamérica.

Uno de los datos más relevantes del estudio señala que el ransomware, código malicioso que se dedica a secuestrar información digital, se posicionó en el segundo lugar de incidentes, con un 16% desplazando al phishing hacia la tercera posición con un 15%. El siguiente gráfico muestra los porcentajes de infecciones por malware en cada país en el cual se llevó a cabo el estudio.

Una de las posibles razones por las cuales las categorías de incidentes han reducido sus porcentajes (a excepción del malware) es que los ciberdelincuentes han encontrado en los códigos maliciosos y especialmente en el ransomware, un negocio muy lucrativo que genera réditos económicos con mayor rapidez.

“En lo que refiere a ransomware, el último recurso que encuentran las empresas es el pago, y cuando se paga, se promueve la industria del secuestro en el ámbito digital”, señaló Miguel Ángel Mendoza, Especialista en seguridad informática de ESET Latinoamérica.

Los datos del reporte muestran que para el 56% de los entrevistados la mayor preocupación en materia de seguridad son precisamente códigos maliciosos, seguido por el 52% que dijo estar preocupado por las vulnerabilidades de software y de sistemas y el tercer puesto, con el 27% lo ocupa el phishing. El ransomware se abre paso como una nueva preocupación, para el 32% de los consultados.

Otro de los datos de interés es que los teléfonos inteligentes son cada vez más afectados por estas amenazas, e incluso se pronostica que más dispositivos puedan verse comprometidos con el denominado Ransomware de las Cosas (RoT).

Finalmente, además de la aplicación de controles tecnológicos de seguridad, otra práctica que destaca es la realización de actividades de educación y concientización en materia de Seguridad de la Información, aunque el porcentaje de empresas que promueve actividades de concientización periódicamente sigue siendo menor que en 2014, una mayor cantidad de organizaciones lo hace ocasionalmente o planea hacerlo, lo cual proyecta un mejor escenario para este año.

N. de P. ESET

 

55 vulnerabilidades ha corregido Microsoft, tres de ellas explotadas por rusos

La prioridad de los administradores del sistema es abordar los dos parches de Microsoft Office porque abordan dos vulnerabilidades que los ciberespías han explotado en los últimos dos meses.

Según los investigadores de FireEye, la vulnerabilidad CVE-2017-0261 ha sido explotada desde finales de marzo por una banda no identificada de atacantes financieramente motivados y por un grupo ruso de ciberespionaje llamado Turla.

También conocido como Snake o Uroburos, el grupo Turla ha estado activo desde al menos 2007 y ha sido responsable de algunos de los ataques de ciberespionaje más complejos hasta la fecha. Sus objetivos son por lo general entidades gubernamentales, agencias de inteligencia, embajadas, organizaciones militares, instituciones académicas y grandes corporaciones.

Las explotaciones CVE-2017-0261 se produjeron en forma de documentos de Word con contenido EPS malicioso incrustado que se distribuyeron por correo electrónico.

Más tarde, en abril, investigadores de FireEye y ESET descubrieron una campaña diferente de ciberespionaje explotando la segunda vulnerabilidad de Microsoft Office relacionada con EPS que fue remendada el martes: CVE-2017-0262. Esos ataques se remontan a un grupo ruso de ciberespionaje conocido en la industria de seguridad como APT28, Fancy Bear o Pawn Storm.

APT28 es el grupo acusado de hackear al Comité Nacional Demócrata estadounidense el año pasado durante las elecciones presidenciales. La selección de objetivos del grupo a lo largo de los años ha reflejado los intereses geopolíticos de Rusia, lo que ha llevado a muchos investigadores a creer que el APT28 está vinculado al Servicio de Inteligencia Militar Ruso.

A pesar de que la vulnerabilidad de CVE-2017-0262 EPS fue técnicamente resuelta, los usuarios que instalaron las actualizaciones de Microsoft Office lanzadas en abril no tuvieron problema ya que estaban protegidos contra este malware. Esto se debe a que las actualizaciones deshabilitaron el filtro EPS en Office como medida de defensa en profundidad, aseguraron los investigadores de Microsoft.

Los administradores del sistema también deben priorizar las actualizaciones de seguridad de este mes para Internet Explorer y Edge, ya que corrigen vulnerabilidades críticas que podrían explotarse visitando sitios web maliciosos.

Por último, los usuarios de los productos anti-malware de Microsoft, incluyendo Windows Defender y Microsoft Security Essentials, deben asegurarse de que su motor esté actualizado a la versión 1.1.13704.0. Las versiones anteriores contienen una vulnerabilidad muy crítica que puede ser fácilmente explotada por los atacantes para tomar el control completo de los equipos.

Redacción

 

 

 

 

Se duplicaron las detecciones de macro malware en México

ESET identificó en los primeros meses de 2014 la reaparición de un método de propagación de códigos maliciosos conocido con anterioridad como macro malware. Se trata de una técnica común utilizada hace algunos años, a la cual nuevamente recurren las campañas de malware en distintas regiones del mundo y en algunos casos con una tendencia creciente.

Las macros son una forma de automatizar tareas recurrentes en ofimática cada vez que un documento es abierto, especialmente en aplicaciones de Microsoft Office (como Word o Excel), al tener la posibilidad de incluir instrucciones de Visual Basic dentro de un documento se optimiza la ejecución de tareas repetitivas. Sin embargo, esta funcionalidad también se utiliza con propósitos malintencionados mediante instrucciones para la descarga y ejecución de códigos maliciosos.

Generalmente, este tipo de archivos maliciosos son enviados como adjuntos en correos electrónicos no deseados, utilizando nombres y temáticas de interés diseñados para atraer a los usuarios, o bien, a través de enlaces que dirigen a sitios utilizados para alojar los documentos maliciosos.

Los autores de macro malware utilizan métodos que buscan convencer a los usuarios para activar las macros, de tal manera que las instrucciones puedan ejecutarse en el sistema; esto lo logran mediante engaños al mostrar advertencias falsas e incluso brindando las instrucciones necesarias. Cuando el usuario cae en el engaño, la acción de la macro maliciosa incluida en el documento, descarga y ejecuta un segundo código malicioso en el sistema de la víctima, lo que posteriormente le permite al ciberdelincuente robar contraseñas o información confidencial, e incluso también la instalación de malware como el ransomware.

“México se ha visto particularmente afectado por campañas de macro malware que se distribuye mediante correos electrónicos a partir de la suplantación de instituciones reconocidas, como la CONSAR o el SAT. A través de archivos adjuntos o enlaces que dirigen a sitios comprometidos, se pretende engañar a los usuarios para abrir y ejecutar documentos de ofimática con instrucciones maliciosas, cuyo propósito es descargar y ejecutar software malicioso adicional en un sistema. Generalmente el segundo código malicioso en cuestión tiene como objetivo el robo de información confidencial de los usuarios”, aseguró Miguel Ángel Mendoza, especialista en seguridad informática de ESET Latinoamérica.

A partir del análisis del promedio móvil de las detecciones correspondiente a periodos de tres meses, se observa una tendencia creciente de esta amenaza.

Este método de propagación de malware que reapareció en los primeros meses de 2014, hoy en día se mantiene a la alza en la cantidad de detecciones, poniendo de manifiesto que se trata de una técnica vigente y en aumento.

Existen varias vías por las cuales es posible minimizar la probabilidad de infección por códigos maliciosos que utilizan macros para su propagación. Desde el Laboratorio de Investigación de ESET, recomiendan:

  1. Comprobar que las macros se encuentren deshabilitadas en las aplicaciones de Microsoft Office y ofimática en general, y desactivarlas en caso de que no se encuentren así de forma predeterminada.
  2. Hacer caso omiso amensajes sospechosos en la bandeja de entrada, sobre todo si incluyen archivos adjuntos.
  3. Ignorar enlaces sospechosos o que redirigen a sitios desconocidos, sobre todo si permiten la descarga de algún archivo.
  4. Verificar los remitentes de dichos correos, ya que es recomendable desconfiar de los mensajes intimidatorios o que suenan demasiado buenos para ser verdad. En la mayoría de los casos, cuando se trata de un correo legítimo suele estar personalizado y generalmente la información ha sido solicitada con anterioridad.
  5. Contar con una solución contra malware correctamente configurada y actualizada, así como emplear soluciones contra spam que permiten descartar el correo masivo e indeseado.

 

Nota de Prensa.