Etiqueta: malware

Hackers atacan la bolsa de criptomonedas con malware para MacOS

El equipo de investigaci贸n y an谩lisis global de Kaspersky Lab, ha descubierto AppleJeus, una nueva operaci贸n maliciosa llevada a cabo por el infame grupo Lazarus. Los atacantes penetraron la red de una bolsa de intercambio de criptomonedas en Asia mediante un software de comercio de criptomonedas troyano. El objetivo del ataque fue robar criptomonedas de sus v铆ctimas. Adem谩s de ese malware basado en Windows, los investigadores pudieron identificar una versi贸n, hasta entonces desconocida, dirigida a la plataforma MacOS.

Este es el primer caso en que los investigadores de Kaspersky Lab han observado al grupo Lazarus distribuyendo malware dirigido a usuarios de MacOS, siendo una llamada de atenci贸n para todos los que utilizan este sistema operativo para actividades relacionadas con criptomonedas.

Con base en el an谩lisis del equipo de investigaci贸n, la penetraci贸n de la infraestructura de la bolsa de intercambio comenz贸 con el descuido de un empleado que descarg贸 una aplicaci贸n de terceros desde un sitio web aparentemente leg铆timo de una empresa que desarrolla software para el comercio de criptomonedas.

El c贸digo de la aplicaci贸n no es sospechoso, con excepci贸n de un componente: un actualizador. En el software leg铆timo, dichos componentes se utilizan para bajar nuevas versiones de programas. En el caso de AppleJeus, act煤a como un m贸dulo de reconocimiento: primero recopila informaci贸n b谩sica sobre la computadora en la que se ha instalado, luego env铆a estos datos al servidor de mando y control y, si los atacantes deciden que vale la pena atacar a la computadora, el c贸digo malicioso regresa, pero en forma de una actualizaci贸n de software. La actualizaci贸n maliciosa instala es un troyano conocido como Fallchill, una vieja herramienta que el grupo Lazarus ha vuelto a usar recientemente. Este hecho dio a los investigadores una base para atribuir el origen. Despu茅s de instalado, el troyano Fallchill proporciona a los atacantes acceso casi ilimitado a la computadora atacada, lo que les permite robar informaci贸n financiera valiosa o bien, instalar herramientas adicionales para tal fin.

La situaci贸n se vio agravada por el hecho de que los delincuentes han desarrollado software tanto para la plataforma Windows como MacOS. Esta 煤ltima suele estar mucho menos expuesta a amenazas cibern茅ticas en comparaci贸n a Windows.

La funcionalidad de las versiones del malware en ambas plataformas es exactamente la misma.

Otra cosa inusual acerca de c贸mo funciona AppleJeus es que, si bien parece un ataque de la cadena de suministro, en realidad puede no ser el caso. El proveedor del software de intercambio de criptomonedas que se utiliz贸 para entregar la carga maliciosa a las computadoras de las v铆ctimas tiene un certificado digital v谩lido para firmar su software y datos de aspecto leg铆timo para registro del dominio. Sin embargo, al menos con base en informaci贸n p煤blica, los investigadores de Kaspersky Lab no han podido identificar ninguna organizaci贸n leg铆tima ubicada en la direcci贸n utilizada en la informaci贸n del certificado.

“Notamos un inter茅s creciente del Grupo Lazarus en los mercados de criptomonedas a principios de 2017, cuando un operador de Lazarus instal贸 software para minar Monero en uno de sus servidores. Desde entonces, han sido detectados varias veces teniendo como objetivo las bolsas de intercambio de criptomonedas junto con organizaciones financieras regulares. El hecho de que desarrollaran malware para infectar a usuarios de MacOS adem谩s de usuarios de Windows y, muy probablemente, hasta crearan una compa帽铆a y un software completamente falso para poder entregar este malware sin ser detectados por las soluciones de seguridad, significa que ven gran potencial de ganancias en la operaci贸n, y definitivamente debemos esperar m谩s casos similares en un futuro cercano. Para los usuarios de MacOS, este caso es una llamada de atenci贸n, especialmente si usan sus Macs para realizar operaciones con criptomonedas”, se帽ala Vitaly Kamluk, director del Equipo Global de Investigaci贸n y An谩lisis para Asia-Pacifico en Kaspersky Lab.

El grupo Lazarus, conocido por la forma avanzada de sus actividades y sus v铆nculos con Corea del Norte, destaca no solo por sus ataques de ciberespionaje y cibersabotaje, sino tambi茅n por ataques con motivos financieros. Varios investigadores, incluidos colaboradores de Kaspersky Lab, han informado previamente sobre este grupo dirigido a bancos y otras grandes empresas financieras.

 

 

Bad Rabbit, el ransomware que ya se volvi贸 un problema global

Compa帽铆as especializadas en ciberseguridad, como Kaspersky Labs, ESET o Proofpoint, han identificado el ransomware Bad Rabbit, que se propaga a trav茅s de una聽actualizaci贸n falsa de Adobe Flash.

Este ataque se comporta de la misma forma que lo hicieron Petya o WannaCry. Se despliega una pantalla en forma de mensaje que advierte al usuario de que su computadora ha sido infectada, solicit谩ndole un monto que inicia en 285 d贸lares, representados en bitcoins, para que el equipo cifrado pueda ser recuperado. El usuario tendr谩 en la pantalla una cuenta regresiva, haci茅ndole saber que, una vez transcurrido ese per铆odo, el precio del rescate se incrementar谩.

Interfax, un medio de comunicaci贸n de origen ruso,聽fue el primero en anunciar el descubrimiento de esta nueva amenaza ransomware, al ser ellos uno de sus primeras v铆ctimas y comunicar que sus servidores estaban聽offline聽debido a un ciberataque.

La agencia de noticias utilizaba Facebook聽para emitir el comunicado mientras trataba de recuperarse del golpe. A su vez, otra firma de seguridad rusa, conocida como聽Group-IB,聽publicaba una captura de pantalla del nuevo聽ransomware聽al que ya se le conoce como聽Bad Rabbit.

Desde su descubrimiento, m谩s de 200 organizaciones han sido afectadas entre las que se encuentran el聽aeropuerto Odessa de Ucrania, el ministerio de infraestructuras de Ucrania, o el metro de Kiev.

Todo lo que sabemos hasta ahora de聽BadRabbit

La nueva modalidad de ransomware se est谩 extendiendo por todo el mundo, siendo Europa el continente m谩s afectado hasta ahora m谩s de 200 grandes organizaciones en la regi贸n, principalmente con sede en聽Rusia, Ucrania, Turqu铆a y Alemania.

Big Rabbit afecta principalmente a las redes corporativas y exige como rescate la cifra de聽285 d贸lares en moneda聽bitcoin聽para proceder con el desbloqueo de los sistemas afectados.

ESET聽destac贸 que el malware聽Bad Rabbit podr铆a ser una variante de Petya,聽tambi茅n conocida como聽Petrwrap, NotPetya, exPetr y GoldenEye,聽debido a que aparece como聽Win32 / Diskcoder.D.

Se vale de聽DiskCryptor, un software de c贸digo abierto para el cifrado de unidades completas, para cifrar los archivos mediante聽claves RSA 2048. Se cree que la nueva oleada de ataques de ransomware no est谩 utilizando el exploit聽EternalBlue, la vulnerabilidad SMB filtrada que fue utilizada por los ransomware聽WannaCry y Petya聽para propagarse a trav茅s de las redes.

Bad Rabbit聽escanea la red interna de la organizaci贸n en聽busca de recursos compartidos SMB聽abiertos.

Posteriormente prueba una lista codificada de credenciales utilizadas com煤nmente para descartar el malware y utiliza una herramienta adicional para extraer las credenciales de los sistemas afectados.

Los investigadores todav铆a est谩n analizando聽Bad Rabbit聽para comprobar si hay una forma de descifrar los equipos sin pagar el rescate exigido.

SophosLab alerta de que聽las versiones de antivirus detectar谩n esta variaci贸n como Troj / Ransom-ERK. Sophos Sandstorm ha detectado de forma proactiva esta amenaza a trav茅s de su programa de detecci贸n de聽machine learning, as铆 como de聽Sophos Intercept X聽que ha bloqueado esta amenaza haciendo uso de la tecnolog铆a de Sophos CryptoGuard.聽Las soluciones de protecci贸n web de Sophos afirman tambi茅n bloquean las p谩ginas web que puedan albergarlo.

 

IDG.es

Chrome ofrece herramienta para detectar y eliminar software no deseado

Google ha anunciado una nueva herramienta para 鈥渁yudar a los usuarios de Windows a recuperarse de infecciones software no deseado鈥. Ya est谩 disponible y la firma espera que se utilicen por 鈥渄ecenas de millones鈥 de usuarios en los pr贸ximos d铆as.

Las extensiones publicadas mejorar谩n el navegador, prometen desde Mountain View, gracias por ejemplo a la posibilidad de personalizar la gesti贸n de pesta帽as.

Google ha actualizado la tecnolog铆a para detectar y eliminar software no deseado gracias a la colaboraci贸n con ESET y su motor de detecci贸n.

Chrome tambi茅n detectar谩 las modificaciones que ocurran cuando algunas extensiones cambien los ajustes sin consentimiento del usuario y mostrar谩 un mensaje con la alerta. Otra de las novedades es la limpieza autom谩tica de software no deseado.

鈥淎 veces, cuando descargas software u otro contenido, se instala software no deseado como parte del paquete sin que te des cuenta鈥, explica Google en el comunicado oficial publicado en el blog. La herramienta Chrome Cleanup alerta al usuario cuando esto ocurra y le da la posibilidad de eliminar esas piezas no deseadas.

La compa帽铆a ha especificado que Cleanup no es un antivirus per se, sino que s贸lo elimina el software no deseado de acuerdo a la pol铆tica de software no deseado de la propia Google, accesible aqu铆.

Redacci贸n

 

La IA podr谩 detener las amenazas de malware en el futuro

El enfoque tradicional de la lucha contra el malware ha sido siempre reactivo. Se libera un nuevo ataque, infecta a unas pocas empresas y los vendedores de antivirus corren para publicar una actualizaci贸n. Algunas organizaciones pueden obtener la actualizaci贸n antes de que el malware haga su camino, pero muchas no. Obviamente, esto no es una situaci贸n ideal, ya que los buenos est谩n siempre persiguiendo a los malos.

Si usted fuera Marty McFly, podr铆a encender el viejo condensador de flujo con 1.2 Gigavatios de potencia, saltar adelante en el tiempo y traer nuevas actualizaciones y estar as铆 preparado para por ejemplo WannaCry, Qakbot o, mi favorito, Zeus. Afortunadamente, y dado que esa opci贸n la consideramos algo improbable, hay otra forma de detener los ataques antes de que afecten a nadie, y eso es usar sistemas basados en inteligencia artificial (IA).

Cylance ha comenzado recientemente a mostrar el hecho de que sus clientes est谩n protegidos contra las amenazas actuales incluso con modelos m谩s antiguos. Ellos est谩n llamando a esto “Cylance Predictive Advantage”. Aunque Cylance ha marcado este enfoque, todos los proveedores de seguridad basados en IA operar铆an de manera similar.

Hoy en d铆a, la IA y el aprendizaje autom谩tico est谩n siendo utilizados para alimentar m谩s cosas de nuestras vidas de las que somos conscientes.

Amazon sabe lo que la gente quiere comprar, los veh铆culos aut贸nomos pueden distinguir la diferencia entre un 谩rbol y una persona, y la anal铆tica de video puede escoger a un terrorista de la multitud, aprovechando el aprendizaje autom谩tico. La raz贸n por la que necesitamos confiar en una IA en lugar de personas es debido a las enormes cantidades de datos que necesitan ser procesados y la velocidad a la que las m谩quinas pueden analizar datos y conectar los puntos.

La lucha contra el malware no es diferente. Permanecer delante de los malos ya no se puede hacer manualmente. Requiere buscar petabytes de datos conocidos buenos y malos. Por ejemplo, Cylance ha analizado millones de caracter铆sticas en m谩s de miles de millones de archivos. Esto es posible hoy porque la nube proporciona potencia de c谩lculo casi infinita. Cylance aprovecha m谩s de 40,000 n煤cleos en AWS para ejecutar su modelo masivo y complejo y su algoritmo que puede reducir el modelo para funcionar de forma aut贸noma en un PC o port谩til.

Uno de los hechos menos conocidos de malware es que normalmente se deriva del c贸digo existente y se modifica un poco para evadir la mayor铆a de las soluciones AV basadas en firma. Cada tipo de malware deja una firma identificable por lo que si se recopilan y analizan suficientes datos se pueden descubrir los buenos y los malos conocidos. M谩s importante a煤n, los sistemas basados en IA pueden proteger a las empresas de amenazas futuras ejecutando un n煤mero casi infinito de simulaciones sobre malware conocido, lo que le permite predecir con eficacia el malware antes de que se haya creado.

Para probar esto, Cylance ejecut贸 su c贸digo contra WannaCry y encontr贸 que la versi贸n que se utiliz贸 en noviembre de 2015 habr铆a bloqueado el ataque, casi 18 meses antes de que el malware fue lanzado. Esto evita que una compa帽铆a tenga que ser el sacrificado “paciente cero” que primero reporta un problema. Otro ejemplo: el modelo de octubre de 2015 de Cylance habr铆a detenido el rescate de Zcryptor, siete meses antes del lanzamiento del ataque.

Este gr谩fico muestra c贸mo CPA se enfrent贸 a una serie de las campa帽as de malware m谩s conocidas en la historia reciente. Los sistemas basados en la IA predijeron que 茅stos pasaran de siete a 18 meses antes de ser descubiertos.
Es hora de que las empresas peleen contra los atacantes y cambien a un modelo de seguridad basado en la IA que pueda proteger a la organizaci贸n sin requerir que un pu帽ado de compa帽铆as sean comprendidas antes de que el proceso de remediaci贸n pueda comenzar.

Redacci贸n.

Un ataque de malware compromete el c贸digo Coin Hive

Los atacantes han utilizado un malware conocido como Crypto coin mint, un ataque que ejecutan el famoso c贸digo Coin Hive, seg煤n recoge la BBC.

Un grupo de hackers ha logrado infectar cientos de equipos de escuelas, centros de caridad y sitios web de intercambio de archivos. El objetivo, seg煤n recoge la BBC, es generar dinero en efectivo r谩pidamente. 鈥淪e trata de un juego de n煤meros鈥, ha se帽alado Rik Ferguson, vicepresidente de investigaci贸n de seguridad de Trend Micro. 鈥淎l atacar una gran cantidad de equipos, pueden obtener criptomonedas de una manera sencilla鈥.

Para conseguir efecto, los atacantes han utilizado un malware conocido como 鈥楥rypto- coin mint鈥, un ataque que ejecutan el famoso c贸digo Coin Hive por el que un sitio que recibe un mill贸n de visitantes al mes podr铆a generar alrededor de 116 d贸lares en la moneda criptogr谩fica llamada Monero. Muchas de las organizaciones afectadas ya han eliminado el c贸digo, han actualizado sus pol铆ticas de seguridad y est谩n investigando c贸mo se implant贸.

Por su parte, los desarrolladores de Coin Hive ya han declarado que han tomado medidas contra el uso malicioso del c贸digo. 鈥淗ubo algunos usuarios que implementaron el script en sitios que previamente hab铆an hackeado, sin el conocimiento del propietario, aunque ya hemos prohibido varias de estas cuentas鈥.

Redacci贸n

 

El usuario final, el eslab贸n m谩s d茅bil en la cadena del cibercrimen

Easy Solutions, la compa帽铆a de la protecci贸n contra el fraude, present贸 la segunda edici贸n de su reporte 鈥淓l Pulso del Cibercrimen en 2017鈥.

En este informe los expertos de Easy Solutions investigaron los ataques m谩s sofisticados y recientes que afectan a empresas, instituciones financieras y consumidores alrededor del mundo y entregaron su visi贸n sobre c贸mo evolucionar谩 el fraude en los pr贸ximos meses.

Uno de los puntos m谩s destacados del reporte es donde se concluye que gracias a la curiosidad humana y a cierta cantidad de investigaci贸n es posible manipular casi a cualquier persona para que acceda a determinado sitio o contenido. 鈥淓l usuario final sigue siendo el eslab贸n m谩s d茅bil de la cadena de seguridad. En vista de que no se puede esperar que los usuarios se protejan a s铆 mismos, es responsabilidad de las compa帽铆as e instituciones suministrar esa protecci贸n鈥, destac贸 Maria Lobato, Directora de Marketing de Easy Solutions para Latinoam茅rica. Y agreg贸, 鈥渘o proteger a los usuarios finales no solo conlleva a p茅rdidas financieras, tambi茅n puede da帽ar la imagen de una marca, corroer la confianza en los canales de comunicaci贸n y ahuyentar a los clientes de la organizaci贸n鈥.

5 puntos Clave del Reporte:

De acuerdo al reporte de Easy Solutions el phishing (t茅cnica a trav茅s de la cual se suplanta una identidad de una organizaci贸n para robar informaci贸n sensible) se ha convertido en el m茅todo n煤mero uno para diseminar ransomware, troyanos bancarios u otros tipos de ataques.

  • El 97% de las personas no saben c贸mo reconocer un email de phishing.
  • El 30% de los mensajes de phishing son abiertos por sus v铆ctimas. Pese a todas las campa帽as de concientizaci贸n que se est谩n realizando la compa帽铆a asegura sigue siendo un porcentaje muy alto para garantizar la seguridad de las organizaciones.
  • El 30% de todas las infecciones de malware en compa帽铆as provienen de enlaces a sitios web fraudulentos, seg煤n dos estudios de 2016 publicados en Infomatika en Alemania.
  • Los ataques de phishing se incrementaron un 65% en 2016.

N. de P. Easy Solutions

 

Redes sociales y Sector Salud, los m谩s afectados atacados

El reciente informe sobre ciberseguridad y amenazas hecho p煤blico por parte de McAfee Labs desvela como la industria de la salud ha superado al sector p煤blico en cuanto a n煤mero de incidentes en el segundo trimestre del a帽o, representando un total del 26% de las brechas registradas.

Si bien la mayor铆a de los robos de datos sanitarios se deben a errores humanos o revelaciones accidentales, la realidad es que los ciberataques contin煤an aumentando.

Se trata de una tendencia que se inici贸 en el primer trimestre de 2016, cuando numerosos hospitales de todo el mundo se vieron afectados por ataques de ransomware.

Resulta adem谩s destacable el hecho de que los ciberataques comiencen a dirigirse hacia entornos de redes sociales. De hecho, Facebook ha emergido como un notable vector de ataque, con Faceliker representando hasta un 8,9% de los 52 millones de muestras de malware detectadas a lo largo del trimestre. Este troyano infecta el navegador de un usuario cuando visita sitios web maliciosos y comprometidos, hackeando los 鈥淢e gusta鈥 de Facebook con el objetivo de promocionar el contenido sin que el usuario tenga ning煤n conocimiento o permiso. Al final, los clics hackeados pueden hacer que un sitio web o una aplicaci贸n determinada cuenten con mayor popularidad de los que realmente sea.

Vincent Weafer, vicepresidente de McAfee Labs alerta de que “estas pr谩cticas hacen que las aplicaciones o noticias sean m谩s populares, confiables y leg铆timas entre los usuarios, de manera que los cibercriminales puedan influir de manera encubierta en la forma en que percibimos el valor y la veracidad de estos contenidos鈥.

Por 煤ltimo, la industria de la salud, el sector p煤blico y la educaci贸n representan m谩s del 50% del total de incidentes de todo el mundo entre los a帽os 2016 y 2017. El secuestro de cuentas ha sido uno de los principales ataques, seguido por los de tipo DDoS, filtraciones, ataques dirigidos, malware e inyecciones de SQL.

IDG.es

Los ataques DDoS m谩s peligrosos de los 煤ltimos 20 a帽os 聽

Los ataques de denegaci贸n de servicio (DDoS) han sido parte del arsenal de los cibercriminales durante 20 a帽os, y estos ataques son utilizados para su diversi贸n, o para obtener ganancias de alg煤n tipo (extorsi贸n), como desv铆o para otro ataque, o como actos de protesta. Sea por la raz贸n que sea, los ataques siguen evolucionando a medida que los criminales utilizan nuevas tecnolog铆as y perfeccionan sus t谩cticas para causar da帽os cada vez mayores. Aqu铆 est谩n seis de los ataques DDoS m谩s hist贸ricos hasta ahora.

Mafiaboy

Se produjo el 7 de febrero de 2000 cuando un atacante de 16 a帽os que se llam贸 Mafiaboy, lanz贸 uno de los mayores -si no el m谩s grande- ataques de negaci贸n de servicio de la 茅poca.

El ataque de Mafiaboy interrumpi贸 e incluso derrib贸 grandes p谩ginas web, como CNN.com, Amazon.com, Yahoo y eBay. El ataque dur贸 alrededor de una semana y durante gran parte de ese tiempo las v铆ctimas no pudieron hacerle frente. Seg煤n informes, Mafiaboy hab铆a penetrado 50 redes para instalar un software llamado Sinkhole.

Despu茅s del ataque, la polic铆a de Canad谩 y el FBI de Estados Unidos investigaron y fue arrestado en abril de 2000. En septiembre de 2001, Michael Calce (alias Mafiaboy) fue sentenciado en el tribunal de menores canadiense a 8 meses de “custodia abierta”, pasando un tiempo en un centro de detenci贸n, acceso limitado a Internet y un a帽o de libertad condicional.

Root DNS server

El 21 de octubre de 2002 se impuso un ataque contra todos los 13 servidores de nombres para la zona ra铆z del Sistema de nombres de dominio de Internet (DNS).

El ataque -el primero de su tipo- no tuvo 茅xito en causar estragos en Internet, pero s铆 que provoc贸 que algunos de los servidores ra铆z fueran inaccesibles. Los atacantes usaron una botnet para lanzar tr谩fico falso, pero gracias a una configuraci贸n adecuada y a un considerable exceso de aprovisionamiento de recursos, el ataque no fue tan grave como ciertamente podr铆a haber sido.

Algunos lo han llamado la primera ciberguerra. En abril de 2007, la naci贸n de Estonia encontr贸 que sus servicios gubernamentales, financieros y de medios de comunicaci贸n en l铆nea estaban desconectados.

Estonia cyberattack

El ataque masivo de DDoS ocurri贸 simult谩neamente con las protestas pol铆ticas de ciudadanos rusos que estaban disgustados por la reubicaci贸n de un monumento de la Segunda Guerra Mundial. Este virus coincidi贸 no s贸lo con las protestas ya en curso, sino tambi茅n con los desaf铆os pol铆ticos y gubernamentales de p谩ginas web.

Los ataques cobraron un peaje extraordinario a Estonia, que en ese momento estaba a la vanguardia del gobierno electr贸nico, y operaba b谩sicamente sin papel, con la ciudadan铆a llevando la mayor parte de su banca, e incluso votando, de manera online en ese momento.

Proyecto Chanology

En enero de 2008, un colectivo llamado Anonymous lanz贸 lo que llam贸 Chanology en respuesta a los intentos por parte de la Iglesia de la Cienciolog铆a de retirar de Internet un v铆deo promocional de exclusivo uso interno donde aparece Tom Cruise, un conocido cienci贸logo.

Para esta ofensiva, Anonymous emple贸 numerosos ataques como compartir documentos de Scientology de forma online, hacer bromas, piquetes, etc. El colectivo ciertamente se hizo creativo, llegando incluso a enviar faxes de p谩ginas negras en bucles continuos a la Iglesia. Este ataque a principios de 2008 fue el primer acto espont谩neo de activismo social online, que hoy en d铆a es m谩s com煤n.

Operaci贸n Ababil

En el oto帽o y el invierno de 2012 y 2013, 26 o m谩s bancos de los Estados Unidos fueron golpeados con tormentas abrumadoras de tr谩fico de Internet. Un grupo que se autodenominaba el Izz ad-Din al-Qassam Cyber Fighters se atribuy贸 la responsabilidad de los ataques DDoS y dijo que se llevaron a cabo en represalia por un video anti-islam. Por su parte, las agencias de inteligencia del gobierno estadounidense dijeron que cre铆an que los ataques eran impulsados por las represalias estadounidenses en Ir谩n.

Los ataques golpearon a sitios como Bank of America, Capital One, Chase, Citibank, PNC Bank, y Wells Fargo, entre otros. Con un tr谩fico de 65 gigabits por segundo, estos ataques lograron interrumpir las operaciones de muchos bancos durante aproximadamente seis meses.

Miranet IoT botnet

Mirai es un malware que alimenta una red de internet de las cosas y que ha logrado causar estragos en el 煤ltimo a帽o, incluyendo el lanzamiento de uno de los ataques DDoS m谩s poderosos de todos los tiempos.

Esencialmente, Mirai funciona explorando Internet para dispositivos IoT conectados y vulnerables y se infiltrar谩 usando credenciales comunes de f谩brica, despu茅s de lo cual infectar谩 aquellos dispositivos con el malware Mirai.

Descubierto en agosto de 2016 por la firma de investigaci贸n de seguridad MalwareMustDie, las botnets de Mirai han estado detr谩s de ataques como el Dyn de octubre de 2016, afectando a Airbnb, GitHub, Netflix, Reddit, y Twitter; entre otros.

George V. Hulme

 

Aplicaciones potencialmente indeseables: Malware disfrazado de spyware

El comercio electr贸nico genera todos los d铆as cientos de millones de d贸lares en flujo para vendedores y compradores y ha requerido, para consolidarse, de herramientas de mercadotecnia como la publicidad en l铆nea, la cual despliega anuncios para que los consumidores accedan a los sitios de las empresas que comercializan productos y servicios.

Para el consumidor este proceso puede parecer simple y transparente, ya que incluso cuando entramos a sitios autorizados o incluso de informaci贸n de noticias, despliegan un aparentemente tranquilizador mensaje de utilizaci贸n de 鈥榗ookies鈥 para recabar informaci贸n de uso del sitio o de consumo por parte del internauta. 驴Pero realmente podemos recibir un mensaje tranquilizador cuando alguien utiliza nuestros datos?

En la actualidad existen aplicaciones que ofrecen a los consumidores de mercanc铆as y entretenimiento sumarse a una red virtual que mejore la velocidad de conexi贸n (鈥楬ola VPN麓), o bien acceso a p谩ginas en pa铆ses donde hay restricciones por derechos de autor (鈥楧NSChanger/DNS Unlocker鈥) o las que con el pretexto de generar estad铆sticas de consumo de entretenimiento televisivo solicitan informaci贸n personal e incluso son parte de bundles de software lo que lleva a que se instalen sin permiso de los usuarios (鈥楻elevantKnowledge麓).

De acuerdo con el Reporte de Ciberseguridad de Medio a帽o de Cisco 2017 (MYCR 2017), estas aplicaciones ya son consideradas potencialmente indeseables (Potentially Unwanted Applications, PUA鈥檚) ya que se ha detectado que al ya estar instaladas en nuestros dispositivos se transforman en un molesto spyware pero que en realidad es malware que detecta y recaba nuestros h谩bitos de consumo y llega hasta el robo de datos y de identidad.

Empresas de software aparentemente leg铆timas venden aplicaciones malintencionadas, por lo que de acuerdo con el propio estudio MYCR se encontr贸 que los sistemas de 25% de las empresas encuestadas de noviembre de 2016 a marzo de 2017 estaban infectadas por familias de aplicaciones tipo spyware.

En especial estas tres aplicaciones (鈥楬ola VPN鈥, 鈥楧NSChanger/DNS Unlocker鈥 y 鈥楻elevantKnowledge麓) fueron encontradas en el mercado corporativo en alrededor de 300 compa帽铆as globales y se comprob贸 que 茅stas sustraen informaci贸n confidencial de las empresas, modifican la configuraci贸n de dispositivos al instalar software adicional con acceso de terceros y ejecutan c贸digos remotos para el control total de los mismos, lo que adem谩s abre la puerta a otros malwares.

Por consiguiente, se recomienda a los operadores de plataformas de comercio electr贸nico, de servicios de entretenimiento por internet o de medios de informaci贸n que usan cookies, por ejemplo, verificar muy bien que los adware que adquieren e integran a su software est茅n adecuadamente certificadas, con el fin de evitar la propagaci贸n de malware que a la larga ser谩 perjudicial para sus clientes.

Las personas que suelen bajar aplicaciones, en especial en empresas que dan acceso a dispositivos personales, proporcionar la capacitaci贸n adecuada para que los colaboradores est茅n informados de los peligros que representan las mismas.

La complejidad contin煤a obstaculizando los esfuerzos de seguridad de muchas organizaciones. Es obvio que los a帽os de invertir en productos puntuales que no pueden integrarse est谩n creando enormes oportunidades para los atacantes, que pueden identificar f谩cilmente vulnerabilidades pasadas por alto o vac铆os en los esfuerzos de seguridad. Para reducir eficazmente el tiempo de detecci贸n y limitar el impacto de un ataque, la industria debe pasar a un enfoque m谩s integrado y arquitect贸nico que aumente la visibilidad y la capacidad de gesti贸n, lo que permite a los equipos de seguridad cerrar las brechas.

 

Por: Yair Lelis,

Gerente de Ventas de Seguridad,

Cisco M茅xico,

Increment贸 un 40% los ciberataques a dispositivos m贸viles

Una nueva investigaci贸n de Avast revela un incremento en los ataques dirigidos a smartphones y tabletas Android a帽o tras a帽o, en el segundo trimestre de 2017 fue de casi 40%.

“Los ataques m贸viles de ciberseguridad est谩n creciendo r谩pidamente a medida que las estrategias de los hackers se vuelven m谩s 谩giles y peligrosas, y lo que est谩 en juego son principalmente los datos personales y la privacidad del usuario”, dijo Gagan Singh, vicepresidente y gerente general de Mobile and IoT en Avast.

Los usuarios llevan sus datos m谩s valiosos en sus tel茅fonos inteligentes y, por lo tanto, se deben de preocupar en incluir en ellos caracter铆sticas s贸lidas que protejan su privacidad, asegurando su dispositivo y datos, a la vez que proporcionan comodidad.

La investigaci贸n de Avast revela un aumento de ciberataques m贸viles del 40%, de un promedio de 1,2 millones a 1,7 millones de ataques al mes.

Los investigadores rastrearon un promedio de 788 variaciones de virus por mes, un 22,2% m谩s que en el segundo trimestre de 2016. Los hallazgos tambi茅n muestran que las tres principales amenazas m贸viles est谩n dise帽adas para espiar y robar informaci贸n personal (denominada “Rooters”), y para enviar spam a los usuarios con anuncios, incluso fuera de la aplicaci贸n (denominados “Downloaders/Droppers” y “Fake Apps”).

 

Principales amenazas para dispositivos m贸viles聽

  1. Rooters (22.80%)聽Los rooters solicitan acceso al聽root聽del smartphone o usan exploits para obtener el acceso,聽ganando as铆 el control del dispositivo para espiar al usuario y robar informaci贸n.
  2. Downloaders (22.76%)聽鈥Los descargadores o聽droppers聽utilizan t谩cticas de ingenier铆a social para enga帽ar a las v铆ctimas para que instalen m谩s aplicaciones maliciosas. Los聽droppers聽tambi茅n suelen mostrar anuncios en pantalla completa, incluso fuera de la propia aplicaci贸n. Estos anuncios no son s贸lo molestos, sino que a menudo est谩n vinculados a sitios sospechosos.
  3. Fake apps (6.97%)聽鈥 Aplicaciones falsas que se presentan como reales con el fin de impulsar las descargas y exponer a los usuarios a m谩s anuncios.

 

N. de P.