Etiqueta: WannaCry

La Transformación Digital hará que empresas miren hacia otros objetivos: BMC

Se llevó a cabo el BMC Day en la Ciudad de México, donde destacó la Transformación Digital, una tendencia que ya no se debe de ver como una cosa del futuro, sino del presente. Es por ello que la compañía mostró en este foto sus soluciones para abordar de manera integral este proceso de transformación en las organizaciones mexicanas, ayudándolas a mejorar sus procesos, reducir costos, además de tener las mejores expectativas para los clientes del milenio.

Sobre los sistemas hiperconvergentes y la convivencia a la par de la infraestructura legacy, Eduardo Lugo, Vicepresidente en Latinoamérica de BMC, destacó en entrevista para Computerworld México, “no creo que los sistemas legados lleguen a desaparecer completamente porque están destinados a realizar operaciones específicas, lo que hoy se conoce como el back office, lo que estamos viendo en el tema de la Transformación Digital es que las empresas están aprovechando la infraestructura que ya tienen y con ello adoptan la nube, ya sea privada, pública o el manage cloud, con el objetivo de dar un mejor servicio a sus clientes”.

Cada vez son las empresas que adoptan este tipo de tecnologías en México, siendo de los principales países de latinoamérica que las empresas toman medidas transformadoras, “México está muy adelante en estas tecnologías, está adopción es gracias a que entienden a sus clientes, la generación de millennials está entrando como cliente y como empleado, es dónde se están dando esas nuevas ideas que transformen a las empresas”.

Eduardo Lugo, Vicepresidente en Latinoamérica de BMC

BMC tiene un digital workplace, donde se puede solicitar cualquier tipo de ayuda de alguna aplicación y el área de TI ofrecerá una respuesta en un corto tiempo, con ello se hace a un lado la idea de llenar un formulario dentro de la organización para pedir ayuda técnica o para activar una nueva aplicación en el equipo.

El impedimento de no poder transformarse

“Resistencia por parte de algunos líderes de TI a moverse a algunas tecnologías, hay un cierto recelo a moverse a nuevas implementaciones tecnológicas” señaló Lugo. Además, remarca que son pocas las empresas que carecen de dirección, como la hoja de ruta para que una empresa pueda transformase, muchas de ellas quieren una plataforma donde gran parte de las herramientas para transformase se encuentre en un mismo fabricante.

DevOps como aceleradores de transformación

El área de DevOps es un punto importante, convirtiéndose en un puente entre los desarrolladores de las empresas y las soluciones que hay en el mercado, “buscamos hacer disponibles muchas herramientas y están ahora para los desarrolladores, para que sea rápida la transformación y puedan unir esas aplicaciones a la base de la solución, es lo que busca BMC con sus aceleradores”, destacó el ejecutivo.

Seguridad, IoT y Big Data

El ransomware WannaCry fue determinante para marcar un antes y un después en la seguridad, “actualmente muchas empresas lo siguen sufriendo porque después de la emergencia siguieron sus operaciones sin asegurar su infraestructura” destacó Lugo.

Las empresas que lo detectaron decidieron asegurar sus datos y movieron sus operaciones a la nube, es uno de los movimientos que observaron en BMC a mitad de año con las empresas, de ahí muchas empresas se dieron cuenta de la gran cantidad de datos que tenían y que podían encontrar nuevas oportunidades de negocio, esto hico que empresas con ideas más avanzadas implementaran dispositivos IoT, para robustecer su infraestructura y obtener aún más datos.

“Es en este punto, donde muchas empresas se están transformando como Fitbit, que desde una perspectiva vende Wearables, pero a la vez está obteniendo gran cantidad de datos de sus clientes, el Big Data ahora busca ofrecerle un mejor producto de ropa deportiva, productos de nutrición o calzado”, finalizó Eduardo Lugo.

 

-Gerardo Esquivel, Computerworld México.

 

 

 

En México, 2 millones de computadoras son vulnerables a Ransomware

Avast dio a conocer los resultados obtenidos a través de encuesta a usuarios mexicanos, de unos 13 millones de usuarios que usan su servicio se seguridad.

Otras entidades donde contrasta nuestro país es Estados Unidos y Canadá, con 50 millones de usuarios y Brasil otros 50 millones, “en México alrededor del 4% de la base de usuarios adquirieron la licencia completa”, señaló Ondřej Vlček, vicepresidente ejecutivo y director general de consumo de Avast.

Ataque a dispositivos conectados en México

El principal dispositivo que los usuarios locales buscan resguardar es la computadora de escritorio, del total, 9 millones son usuarios del servicio de escritorio y los 4 restantes son de dispositivos móviles. El estudio muestra los dispositivos móviles más vulnerados de México, el 20% de los dispositivos vulnerados son computadoras y routers, el 14% son atacadas las cámaras web y el 20% de las impresoras son vulneradas.

“Un movimiento que realizan los hackers, dado a que las tiendas de aplicaciones de dispositivos móviles han reforzado su seguridad, es atacar los routers y desde ahí filtran la información para obtener datos sensibles como contraseñas”, destacó Vlček.

Ondřej Vlček, CTO y vicepresidente ejecutivo y director general de consumo de Avast en conferencia de prensa para dar a conocer estudio.

La firma señala que tiene más de 5 millones de muestras maliciosas detectadas en dispositivos móviles, diariamente se detectan 23 mil al día, los usuarios al reparar alguna anomalía en su smartphone y bajar la app de Avast, 10% de ellos detectaron algún rastro de malware.

 

El Ransomware es la amenaza No. 1

Se han detectado 150 familias de ransomware y el crecimiento de un año a otro es del 105%, el pago de un rescate en Bitcoins es de 500 dólares en promedio, el ejecutivo destacó que existen herramientas para eliminar el ransomware gratuitas, esto es gracias a la comunidad de desarrollo que ha analizado el ransomware y muchas veces las computadoras no están encriptadas, con ello se han puesto a liberar soluciones para contrarrestar los ataques.

“Dentro del ransomware, está iniciando una tendencia llamada Doxing, donde el grupo de hackers sube a un servicio de nube los archivos que puedan comprometer al usuario y distribuyen esa cuenta de Drive, Box, Dropbox o Onedrive en redes sociales”, señaló Vlček.

El ransomware en México, es una emergencia latente, dado a que el estudio muestra que casi 2 millones de PCs en México no han aplicado el parche para contrarrestar la vulnerabilidad EternalBlue.

Ante estas vulnerabilidades, el 69% de los mexicanos creen que sus datos en internet no están seguros, 46% fue víctima de una violación a sus datos o aún no lo saben, el 50% de los usuarios tomaron medidas después de la violación y cambio la contraseña, pero no en todas sus cuentas, quedando aún vulnerables.

El estudio destaca la poca importancia que le da la población de cualquier nivel educativo a las contraseñas. Avast encontró que, en México, el 52% de los usuarios tiene contraseñas débiles, 80% no usa caracteres especiales y otro 80% almacena sus contraseñas en el navegador web.

 

Seguridad con apoyo de IA y Aprendizaje Automático

Finalmente, la compañía destacó que ganarle la carrera a los hackers no es tarea fácil, en Rusia y Ucrania está permitido el desarrollo de ataques, siempre y cuando, no se ataque a los ciudadanos de esos países, es por ello que siempre se reportan bajos niveles de ataques en esos países.

Las empresas de seguridad se apoyan con el Big Data, Aprendizaje automático e Inteligencia Artificial, al detectar que un pequeño grupo de dispositivos quieren ser vulnerados, las tecnologías implementadas rápidamente por la red dan aviso a los dispositivos para endurecer ese ataque, el CTO de Avast comentó que así detuvieron a WannaCry y ningún dispositivo fue vulnerado.

 

WannayCry: uno de los ataques dirigidos más destacados del segundo trimestre de 2017

Los meses de abril hasta finales de junio atestiguaron importantes acontecimientos en cuanto a los ataques dirigidos, incluidos –entre otros– aquellos realizados por agentes de amenazas de habla rusa, inglesa, coreana y china.

Estos sucesos tienen implicaciones de gran alcance para la seguridad informática empresarial, pues continuamente en casi todas partes del mundo está llevándose a cabo una actividad maliciosa avanzada, y esto aumenta el riesgo de que las empresas y organizaciones sin fines de lucro se conviertan en daños colaterales de la guerra cibernética. Las epidemias destructivas de WannaCry y ExPetr, presuntamente respaldadas por estados nacionales, cuyas víctimas incluyeron a muchas compañías y organizaciones en todo el mundo, se convirtieron en los primeros ejemplos –pero muy probablemente no serán los últimos– de esa nueva y peligrosa tendencia.

Los ataques más destacados del segundo trimestre de 2017 incluyen:

Tres exploits de día cero fueron propagados libremente por los agentes de amenazas de habla rusa Sofacy y Turla. Sofacy, también conocido como APT28 o FancyBear, lanzó los ataques contra una serie de objetivos europeos, que incluían organizaciones gubernamentales y políticas. Ese agente de amenazas también fue visto probando algunas herramientas experimentales, en particular contra un miembro de un partido político de Francia antes de las elecciones nacionales de ese país.

Gray Lambert. Kaspersky Lab ha analizado el kit de herramientas más avanzado hasta la fecha para el grupo Lamberts, una familia de ciberespionaje altamente sofisticada y compleja de habla inglesa. Se identificaron dos nuevas familias de malware relacionadas.

El ataque de WannaCry el 12 de mayo y el ataque de ExPetr el 27 de junio. Aunque eran muy diferentes en su naturaleza y objetivos, ambos resultaron sorprendentemente ineficaces como ransomware. Por ejemplo, en el caso de WannaCry, su rápida propagación global y su notoriedad pusieron en primer plano a la cuenta de rescate de Bitcoins de los atacantes e hicieron que les fuera difícil sacar dinero. Esto sugiere que el verdadero objetivo del ataque WannaCry fue la destrucción de datos. Los expertos de Kaspersky Lab descubrieron más vínculos entre el grupo Lazarus y WannaCry. Este patrón de malware destructivo disfrazado como ransomware se mostró nuevamente en el ataque de ExPetr.

ExPetr, dirigido a organizaciones de Ucrania, Rusia y otros países de Europa, también parecía ser ransomware, pero resultó ser puramente destructivo. El motivo de los ataques de ExPetr sigue siendo un misterio. Los expertos de Kaspersky Lab han establecido un vínculo poco probable con el agente de amenazas conocido como Black Energy.

“Durante mucho tiempo hemos afirmado la importancia que tiene una verdadera inteligencia global contra las amenazas para ayudar a los defensores de las redes susceptibles y críticas. Seguimos siendo testigos de la aparición de atacantes extremistas que no tienen la menor consideración hacia la salud de Internet y de aquellas instituciones y empresas imprescindibles que dependen de él a diario. Cuando el ciberespionaje, el sabotaje y el crimen se propagan sin freno, es aún más importante que los defensores se unan y compartan conocimientos de vanguardia para protegerse mejor contra todas las amenazas”, dijo Juan Andrés Guerrero-Saade, investigador senior de seguridad del Equipo Global de Investigación y Análisis, para Kaspersky Lab.

El informe Q2 APT Trends incluye los resultados de los informes de inteligencia contra amenazas emitidos por Kaspersky. Durante el segundo trimestre de 2017, el Equipo Global de Investigación y Análisis de Kaspersky Lab creó 23 reportes privados para suscriptores, con información de indicadores de riesgo (IOC por sus siglas en inglés) y reglas YARA para ayudar en la investigación forense y la detección de malware.

N. de P. Kaspersky Lab.

Sólo el 66% de las organizaciones investigan las alertas de seguridad

Los ataques recientes como WannaCry y Nyetya, son un claro ejemplo que la industria no investiga los ataques latentes y que las empresas deben repensar su estrategia de seguridad, además, han demostrado la rápida capacidad de expansión y el creciente impacto de ciberataques que parecen ransomware, pero que son mucho más destructivos.

Esta evolución lleva a prever lo que Cisco denomina ataques de Destrucción de Servicio, que podrían resultar mucho más dañinos que los ataques tradicionales al dejar a los negocios sin posibilidad de recuperación ya que son capaces de eliminar las redes seguras y de backup que utilizan las organizaciones para restaurar sus sistemas y datos tras un incidente de ciberseguridad.

Así lo confirma el Informe Semestral de Ciber-seguridad (Midyear Cybersecurity Report, MCR) 2017 de Cisco, que destaca también cómo la imparable evolución del internet de las cosas en múltiples sectores está incrementando el espacio operativo de los ciberataques y su escalabilidad e impacto potencial. Sus vulnerabilidades de seguridad, listas para explotarse, jugarán un papel fundamental a la hora de facilitar estas campañas de mayor impacto. La reciente actividad de redes botnet compuestas por dispositivos IoT sugiere que algunos ciberdelincuentes podrían estar creando ya las bases para un ataque de grandes dimensiones y alto impacto que tendría incluso el potencial de interrumpir el mismo Internet.

Medir la efectividad de las prácticas de seguridad es esencial. Un menor tiempo de detección, el tiempo que transcurre desde que se analiza un archivo hasta que se detecta como amenaza, resulta crítico para limitar el espacio operativo de los atacantes y minimizar el impacto de las intrusiones. Cisco ha logrado reducir su tiempo medio de detección desde las más de 39 horas en noviembre de 2015 hasta las cerca de 3,5 horas entre noviembre de 2016 y mayo de 2017. Esta cifra se obtiene mediante telemetría interna de datos procedentes de dispositivos de seguridad de Cisco desplegados a escala global.

Ataques más tradicionales

Durante la primera mitad de 2017, los investigadores de seguridad de Cisco han detectado cambios en las técnicas que utilizan los adversarios para distribuir, ocultar y evitar la detección del malware. En concreto, los ciberatacantes recurren cada vez más a la interacción de las víctimas para activar las amenazas, haciendo clic en un enlace o abriendo un archivo. También crean malware ‘sin archivo’ que reside completamente en memoria y es más difícil de detectar o investigar, ya que se elimina al reiniciar el dispositivo. Además, utilizan infraestructura anónima y descentralizada -como servicios proxy de la red Tor- para ocultar las actividades command and control.

Aunque Cisco ha detectado un notable descenso en el uso de kits de explotación (exploit kits), están resurgiendo otros tipos de ataque más tradicionales: spam, spyware y adware, y ransomware como servicio.

“Nuestros adversarios son cada vez más creativos a la hora de diseñar sus ataques, como lo demuestran incidentes recientes como WannaCry y Nyetya. Aunque la mayoría de organizaciones están tomando medidas para mejorar su seguridad tras un incidente, se trata de una lucha constante por vencer a los atacantes. Una seguridad verdaderamente efectiva comienza por mitigar las vulnerabilidades básicas y convertir la ciberseguridad en una prioridad de negocio”, explica Steve Martino, vicepresidente y CISO en Cisco.

Consejos de ciberseguridad según Cisco

Según el estudio, sólo las dos terceras partes de las organizaciones investigan las alertas de seguridad, y en ciertos sectores (como atención sanitaria y transporte), esta cifra se reduce a cerca del 50 por ciento. Además, incluso en los sectores más proactivos (como el financiero) las organizaciones están mitigando menos de la mitad de las amenazas identificadas como legítimas o no maliciosas.

Para hacer frente a los crecientes y cada vez más sofisticados ciberataques, Cisco recomienda a las organizaciones adoptar una protección proactiva: mantener la infraestructura y las aplicaciones actualizadas, reducir la complejidad mediante una defensa integrada y limitando el uso de soluciones inconexas, involucrar a los comités directivos con la suficiente antelación para asegurar un correcto entendimiento de los riesgos de seguridad y de las limitaciones de presupuesto, establecer métricas claras y utilizarlas para validar y mejorar las prácticas de seguridad, fomentar la educación de los empleados enfatizando la formación por roles en lugar de la formación genérica, y reforzar las defensas con controles o procesos activos en lugar de pasivos.

Para David Ulevitch, vice-presidente y director general de la división de Seguridad en Cisco: “La complejidad continúa entorpeciendo muchos de los esfuerzos por reforzar la seguridad. Las múltiples soluciones puntuales y no integradas acumuladas a lo largo de los años crean enormes oportunidades para los atacantes, quienes pueden identificar fácilmente vulnerabilidades ignoradas o brechas de seguridad. Para reducir el tiempo de detección con efectividad y limitar así el impacto de los ataques, los proveedores de soluciones debemos apostar por una arquitectura más integrada que mejore la visibilidad y simplifique la gestión, facilitando la eliminación de brechas de seguridad”.

Redacción

 

SLocker, un ransomware móvil que imita a WannaCry

La familia SLocker, uno de los ransomware de cifrado de archivos y de bloqueo de pantalla de móvil más antiguo, ha resurgido después de unos años de escasa actividad, y lo ha hecho copiando la interfaz gráfica de usuario de WannaCry, según ha detectado Trend Micro.

Esta variante destaca por cifrar los archivos de Android y por ser el primer ransomware móvil para capitalizar el éxito del anterior brote de WannaCry.

Sin embargo, y tal y como ha informado la compañía, la trayectoria de este virus ha sido breve toda vez que poco después de que saliera a la luz se publicaron herramientas de descifrado.Pero en poco tiempo, se encontraron más variantes. Cinco días después de su detección inicial, el sospechoso que supuestamente era el responsable fue detenido por la policía china, y gracias a que los canales de transmisión eran limitados, el número de víctimas fue muy bajo.

La muestra original capturada por Trend Micro se hacía pasar por una herramienta de trucos para el juego King of Glory. Una vez instalado, su apariencia era similar a WannaCry.

 

IDG.es

Nuevos ataques de ransomware se propagan por todo el mundo

La empresa de ciberseguridad ESET, levanta una alerta sobre un nuevo ataque de ransomware que se inicia en Ucrania, utiliza técnicas similares a Petya, una familia de ransomware que cifra el sector de arranque de la máquina afectada además de los archivos. Esta amenaza es actualmente detectada por ESET como Win32/Diskcoder.C. El mismo ya se extendió a otros países afectando compañías de distintas industrias como bancos, red eléctrica y empresas postales, entre otras. Además, entes gubernamentales también habrían sido atacadas.

El ransomware, el cual secuestra la información mediante cifrado del disco duro o almacenamiento en estado sólido, es el término genérico para referirse a todo tipo de software malicioso que le exige al usuario del equipo el pago de un rescate.

“Las investigaciones indican que el ataque habría comenzado en Ucrania, el país más afectado al momento”, aseguró Camilo Gutierrez, Jefe del Laboratorio de ESET Latinoamérica. El Banco Nacional de Ucrania emitido un mensaje en su sitio web acercando una advertencia a otros bancos sobre el ataque ransomware. “la empresa naviera danesa Maersk y la compañía de publicidad británica WPP. En lo que refiere a Latinoamérica, el de mayor impacto hasta el momento es Argentina.”, agregó Gutiérrez.

Este tipo de ataque se relaciona con el reciente WannaCrytor que hace menos de un mes afectó y detuvo el negocio de múltiples empresas alrededor del mundo. Así también presenta similitudes con el ransomware Petya, amenaza que surgió durante el 2016 y se dirigía especialmente a personal de recursos humanos de empresas alemanas, impidiéndoles iniciar sus computadoras y cifraba sus discos duros.

“Este tipo de ataque alertan a las compañías porque detienen la continuidad del negocio, pero es importante saber que pueden estar protegidos teniendo una infraestructura de seguridad eficiente y actualizada. En definitiva, se trata de mantenerse en alerta y aplicar buenas prácticas de seguridad sin caer en la desesperación, y tal como siempre recomendamos: en caso de ser víctima, no acceder al pago solicitado por los atacantes ya que no solo no está garantizado que vayan a devolver el acceso a los archivos, sino que esta práctica alienta a que se continúen realizando este tipo de ataques.”, concluyó Gutiérrez.

Lo importante ante esta situación es seguir las recomendaciones de seguridad, desde ESET Latinoamérica se brindan las siguientes:

  • Actualizar los sistemas operativos y aplicaciones a la última versión disponible. En caso de contar con una red, asegurarse de que todos los equipos cuenten con los parches de seguridad aplicados.
  • No ejecutar archivos de dudosa procedencia que podrían llegar como adjuntos en correos electrónicos. Esta recomendación también aplica en caso de recibir un correo sospechoso por parte de un contacto conocido.
  • Mantener actualizadas las soluciones de seguridad para poder optimizar la detección de estas amenazas.
  • Realizar backups periódicos de la información relevante.
  • En caso de que se trate de una empresa, también es recomendable dar aviso a los empleados de que estén alertas frente a esta amenaza y que no ejecuten archivos de procedencia sospechosa.

N de P. ESET

Siete aspectos que debe conocer sobre ataques Ransomware

En 2016, SonicWall detectó un crecimiento del 600% en las familias de ransomware. Luego en el Informe Anual de Amenazas de 2017, evidenció una amplia gama de formas de ransomware y vectores de ataque, algunos exitosos, otros no tanto. Entonces, ¿cuál es el núcleo de cualquier ataque exitoso? ¿Por qué amenazas con impacto global como el recién WannaCry siguen generando tantos problemas?

Primero es importante volver a considerar que, ransomware es una categoría de código malicioso que utiliza distintos métodos de distribución, incluidos correo electrónico y redes sociales, que tienen por objetivo secuestrar dispositivos informáticos y datos de personas y/o empresas en busca de pago a través de monedas virtuales.

En este contexto, conforme las empresas logren entender los componentes de una campaña bien orquestada de ransomware, podrán defenderse más eficientemente de una de las formas de malware más perjudiciales de la historia. Aquí los 7 puntos principales:

 

  1. Investigación inteligente de objetivos

Cualquier buen estafador sabe cómo encontrar a las personas adecuadas en una organización para para dirigirle el mensaje correcto.

 

  1. Entrega efectiva

Dado que el 65% de los ataques de ransomware ocurren a través de correo electrónico, un estafador puede enviar fácilmente un archivo adjunto infectado a cualquier ejecutivo del departamento de cuentas por pagar alegando que es una factura no pagada. Por otro lado, los títulos colocados en redes sociales junto a una foto controversial atraen a las personas hacia sitios web infectados, permitiendo consolidar exitosamente alrededor del 35% de los ataques.

 

  1. Buen código

Debido a que las empresas están reforzando su estrategia de seguridad, los atacantes deben centrarse en distintas formas de evasión:

  • Los hackers agresivos actualizan su código con frecuencia para eludir las medidas implementadas por los sistemas basados en firmas.
  • El código debe tener varias tácticas de evasión incorporadas para pasar disimuladamente las defensas avanzadas, inherentes a los appliances de seguridad desplegados en la red. El código de Cerber proporciona un ejemplo de cómo los atacantes usan ciertos recursos para copiar o imitar este tipo de amenazas.
  • El código debe pasar entre las capas de seguridad y sistemas para crear tanta destrucción como sea posible y por lo tanto aumentar el potencial de pago.

 

  1. Gran comprensión de los sistemas infectados

Cualquier hacker bueno sabrá lo que ha infectado y por lo tanto pedirá un rescate adecuado.  Por ejemplo, un portátil de $ 1,000 USD, servidores USD$5,000 y en infraestructura crítica hasta cientos de miles de dólares.

De hecho, los hackers esperan que sus objetivos no tengan redes segmentadas para que puedan infectar múltiples sistemas en un solo ataque. También que las copias de seguridad sean inconsistentes para lograr con mayor facilidad que los afectados acepten la propuesta de pago. Aunque se observa que los ataques con mayor alcance y efectividad buscan pequeñas remuneraciones, incluso cada vez son menos dirigidos y quizá algo oportunistas.

 

  1. Paciencia y persistencia

Para que las organizaciones se mantengan a salvo de un ataque efectivo, tienen que estar haciendo lo correcto todo el tiempo; en cambio los atacantes deben acertar una sola vez. Aunque tener conciencia del problema, contar con seguridad y los respaldos consistentes son ingredientes esenciales para la defensa del ransomware, no siempre son perfectos. Razón por la cual los buenos hackers siempre siguen intentando, “reempaquetando” los códigos con diferentes mecanismos de entrega y exploit kits.

 

  1. Buena atención al cliente

Las mejores variantes de ransomware tienen buenos canales de soporte “al cliente”. Los atacantes los utilizan para negociar con las víctimas y les aseguran que obtendrán sus datos si pagan.

 

  1. Buena gestión de pagos

Aunque algunas variantes de ransomware han utilizado otras formas de pago, bitcoin sigue siendo la mejor opción, ya que es más fácil de obtener e intercambiar, por lo que este tipo de ataques tienen una proporción de pagos más alta.

Espero que usted pueda leer estos apuntes para entender lo que está en la mente de un atacante que posiblemente tenga a su industria u organización como objetivo. Utilice estos consejos para desarrollar una buena estrategia anti-ransomware y malware.

Si bien las soluciones de seguridad avanzan de manera importante, los desarrolladores de código malicioso como WannaCry también lo hacen. Por ello, tener una comprensión general de estos temas de seguridad informática servirá para determinar en qué nos ayuda la tecnología, pero también será necesario analizar el comportamiento de las personas en el uso diario de los recursos y aplicaciones, a fin de crear e implementar políticas simples y verdaderamente efectivas que puedan ayudarnos en la lucha contra el malware.

 

Por Vladimir Alem, Marketing Leader de SonicWall en América Latina.

Conozca las cinco principales amenazas de seguridad que afectan al smartphone

La gran mayoría de las personas en su smartphone almacenan datos personales como profesionales, algo que puede ser un problema en el caso de que aparezca un malware. Por este motivo, Chris Crowley, un instructor en el Instituto SANS, ofrece un resumen de las principales amenazas de seguridad móvil de hoy y lo que se puede hacer para evitarlas.

  1. Dispositivos no confiables: un dispositivo en sí puede estar defectuoso o maliciosamente configurado dentro de la cadena de suministro. CheckPoint a principios de este año encontró una infección de 36 dispositivos Android en una gran empresa de telecomunicaciones. En cada caso, el incumplimiento no fue causado por el usuario, sino por el malware que existía ya cuando el empleado lo sacó de la caja.
  2. Aplicaciones maliciosas: las aplicaciones instaladas que pretenden realizar una tarea, pero en realidad hacen otra cosa, representan una vulnerabilidad difícil de detectar.

CheckPoint encontró un malware en Google Play el mes pasado llamado “Judy”, es un adware de auto-clic desarrollado por           una compañía coreana. “El malware utiliza dispositivos infectados para generar grandes cantidades de clics fraudulentos               en los anuncios, lo que genera ingresos para los perpetradores detrás de él. Las aplicaciones maliciosas alcanzaron un                 asombroso spread entre 4.5 millones y 18.5 millones de descargas”, escribió Check Point.

  1. Aplicaciones útiles con fugas de información no deseadas: muchas aplicaciones instaladas para usos legítimos, todavía pueden apropiarse de información indebida, como la extracción de contactos del teléfono.
  2. Malware bancario: Roman Uneckek, senior lab malware de Kaspersky, considera el malware bancario como una amenaza de seguridad móvil en curso. Los ciberdelincuentes usan ventanas de phishing para superponer aplicaciones bancarias y robar credenciales de clientes de banca móvil.
  3. Ransomware: un malware que bloquea un dispositivo imponiendo su ventana de solicitud de pago sobre todas las demás ventanas, incluidas las ventanas del sistema. Después de eso, demandan dinero para desbloquear el dispositivo. Ransomware viene en una variedad de formas, más recientemente como el malware WannaCry, que atacó los sistemas de escritorio de Windows.

Redacción

 

 

 

Cisco DNA ofrece seguridad a redes con Machine Learning

El mercado competitivo exige innovación tecnológica a las empresas, obligado a replantear su estrategia de seguridad al permitir aquellos requerimientos de una fuerza de trabajo móvil, uso de dispositivos IoT y nuevas aplicaciones en nube, todo bajo un ambiente protegido. Cisco quiere ayudar a las empresas en este proceso a través de Digital Network Architecture –DNA-, que ofrece seguridad de redes con Machine Learning.

Según la compañía, al implementar Aprendizaje Automático en las redes, y si se concibe desde un principio la Transformación Digital, las empresas podrán tener un apoyo adicional en la seguridad. Actualmente las empresas tienen un panorama complicado al tener hasta 50 soluciones de seguridad instaladas en su infraestructura. Con DNA se unen todas, cerrando la brecha de soluciones.

“WannaCry es un ejemplo de un problema de actualizaciones y concientización de las empresas, esto ocurrió ya que el área de seguridad no estaba al pendiente de su infraestructura, la propagación fue muy rápida a consecuencia de que todas las redes están conectadas”, remarcó Yair Lelis, Especialista en seguridad de Cisco México.

Por su parte, Matias Yñurrigarro, Director Comercial para soluciones de redes empresariales de Cisco México, comentó que los hackers encontraron en este tipo de amenazas la manera fácil de obtener ganancias. “El ransomware se ha convertido en un negocio, Cisco la considera una economía Underground, sólo en 3 meses en 2016 recolectaron 209 millones de dólares y se espera que a finales de 2017 obtengan mil millones de dólares, esto refleja que las empresas están mal preparadas”, aseveró.

La tecnología que contiene DNA ayuda a dotar a las redes de inteligencia, gracias a ello tiene capacidades de detección, aplicada también a la información que va a la nube y al endpoint que se conecta a la red y, por defecto, se ve beneficiado, se espera que más adelante Cisco pueda bloquear un ataque complejo desde la red.

 

Cómo actúa el aprendizaje automático de DNA

Detiene los ataques en el borde de la red, protege a los usuarios desde cualquier punto de trabajo (nube), genera un control de acceso a la red, simplificar la segmentación de red, finalmente encuentra y contiene los problemas de manera rápida.

“La estrategia de migración de una empresa (de legacy a nube) en el rubro de seguridad, debe contener estos 5 puntos, el problema que siempre se detecta es que las organizaciones quieren aplicar todas las soluciones sin estrategia, creando una brecha, es aquí donde hace falta mucha conciencia sobre la seguridad integral por parte de los clientes”, destacó Yñurrigarro.

Las organizaciones que tienen equipos viejos, con la IP se puede ayudar a las empresas a generar un control desde el dashboard de DNA, en automático le quitará flujo de información a ese equipo para empezar la transformación de la empresa al mismo tiempo que la red no se contamina.G

 

erardo Esquivel, Computerworld México

Adylkuzz, malware que se propaga usando la misma vulnerabilidad que WannaCry

Avast dio a conocer a Adylkuzz, el sigiloso malware de minería de monedas virtuales que infecta las computadoras usando la misma vulnerabilidad aprovechada por el ransomware WannaCry.
WannaCry es considerado por muchos expertos como el peor ataque de ransomware de la historia, captando la atención de los medios de comunicación, pero no es la única cepa de malware que se propaga a gran escala. Una de ellos es Adylkuzz, una forma de minería de monedas virtuales que ha infectado computadoras en todo el mundo, al igual que WannaCry.
Aunque este programa maligno no es totalmente nuevo, su última campaña se lanzó en grande. Avast lo detectó por primera vez alrededor de la medianoche del 23 de abril, cuando venía de Ucrania.
Desde entonces, las estadísticas preliminares muestran que se han bloqueado más de 92.000 intentos de ataque, tomando en cuenta tan sólo en la base de usuario de Avast. Si bien este número no es tan elevado como la cantidad de ataques de WannaCry, que hasta el momento llega a más de 250.000, sigue siendo una cantidad importante.

Propagado como WannaCry

Adylkuzz infecta las computadoras de la misma manera que WannaCry: aprovecha la vulnerabilidad de Windows en el protocolo Server Message Block (SMB) descrita en el boletín  de seguridad  MS17-010  a través de la vulnerabilidad llamada EternalBlue/DoublePulsar de Windows. El  ataque de Adylkuzz es más insidioso que si se propagara por medio de correos electrónicos con phishing, porque no requiere la interacción del usuario para infectar un sistema.

Lo nuevo es que, a diferencia de WannaCry, Adylkuzz trata de bloquear otras amenazas que buscan infectar la computadora mediante la vulnerabilidad MS17-010.

La PC estará infectada con Adylkuzz, pero este programa maligno la protegerá de otras cepas de malware que tratan de aprovechar la misma vulnerabilidad. 

Tal como sucedió con WannaCry, los principales objetivos de Adylkuzz fueron Rusia, Ucrania y Taiwán en primer lugar, seguidos por Brasil e India, que también fueron víctimas importantes de WannaCry.

Consumir en silencio la capacidad de procesamiento

Si bieni Adylkuzz no es un ransomware, como WannaCry, ya que no secuestra datos ni equipos. En vez de eso, explota los recursos de la computadora infectada para alimentar la operación de minería de moneda virtual del autor, de modo que solo se centra en la minería de la criptomoneda.

La minería de monedas virtuales es una actividad legal. Pero escalarla lo suficiente para maximizar las ganancias requiere una gran capacidad de procesamiento. Por este motivo, algunos mineros ejecutan granjas de servidores enormes para minar Bitcoins u otras monedas virtuales como Litecoin, Ethereum o Monero. Construir y mantener la infraestructura y acceder a la electricidad necesaria para usarla requiere una gran inversión económica.

Los autores de Adylkuzz quieren evitar estos costos haciendo que computadoras aleatorias en todo el mundo hagan el trabajo por ellos, sin pagar. Por lo tanto, cada instancia de infección por Adylkuzz consume capacidad de procesamiento del equipo infectado, para ejecutar el trabajo de los ciberdelincuentes. No es la primera vez que ocurre un ataque para minar monedas virtuales; en 2014, fuimos testigos del secuestro de grabadoras de video digital (DVR) efectuado mediante malware, con el objetivo de minar Litecoin.

Los autores de Adylkuzz buscan obtener tanta energía como puedan, durante tanto tiempo como sea posible, de cada computadora, motivo por el cual el malware está diseñado para ejecutarse en segundo plano. La mayoría de los usuarios, aparte de notar que el sistema está un poco más lento que lo habitual, no detectará este tipo de programa maligno. Esto es una gran diferencia con WannaCry, cuyas víctimas saben, sin lugar a dudas, que su computadora está infectada.

Títeres que escuchan a su amo

Las máquinas infectadas por Adylkuzz forman un gran botnet de minería, controlado por su amo mediante servidores de comando y control (C&C). Sin entrar en detalles, los servidores C&C dan instrucciones a los bots a los que Monero se incrusta (imagine que son como cuentas bancarias) para que las monedas minadas se transfieran a:

Es más, los servidores C&C también pueden instruir a los bots para que descarguen y ejecuten las aplicaciones que quieran en las computadoras infectadas. De este modo, los operadores de los botnet tienen el control total de la computadora infectada con Adylkuzz y pueden instalar cualquier tipo de código malicioso. Curiosamente, el control se lleva a cabo ejecutando scripts en lenguaje LUA, lo que no es lo habitual para malware.

¿Qué podemos esperar?

Avast afirma tener la capacidad de detectar todas las versiones conocidas de Adylkuzz y las ha estado bloqueando desde hace algún tiempo. Si cuenta con alguna otra solución  de seguridad, acudir con el fabricante para saber si está protegido.

De igual manera se extiende la recomendación a todos los usuarios de Windows que mantengan sus sistemas al día con las últimas actualizaciones disponibles. Se sabe de otra cepa de malware que trata de obtener su propia tajada aprovechándose de la vulnerabilidad que ya mencionamos, MS17-010.  Se denomina “UIWIX” y también es ransomware

N. de P. Avast