lunes, 22 de abril de 2013

TuFiestaDXPlus y sus Breves DX

Brasil lidera los ataques del cibercrimen en Latinoamérica


19 marzo, 2013

Trustwave 2013 Global Security Report destaca los esfuerzos de Brasil, México y Perú

Trustwave, empresa líder en  soluciones de seguridad de la información y cumplimiento en la nube, redes corporativas y canales electrónicos de pago, posiciona a Brasil en el 5to país más representativo en actividades de ciberdelincuencia en todo el mundo, y como el único latinoamericano en la lista de los 10 lugares principales de origen de los ataques cibernéticos en el planeta.

La información forma parte del Trustwave 2013 Global Security Report, una de las radiografías mundiales más completas de la inseguridad de los países y la sociedad conectada a las redes electrónicas. El informe destaca los detalles y las tendencias de más de 450 investigaciones globales de violación de datos, más de 2500 pruebas de penetración, más de 9 millones de ataques a aplicaciones web, más de 2 millones de análisis de red y vulnerabilidad, más de 5 millones de sitios web maliciosos, más de 20 mil millones de mails así como también una extensa búsqueda y análisis de las amenazas de seguridad día cero. Toda la información es de los propios datos recolectados y analizados por los expertos en seguridad de Trustwave, no encuestas.

Según los datos del Trustwave 2013 Global Security Report (GSR), la lista de 10 países con el nivel más alto de ciberataques basados en redes reporta el 79% de todos los ataques en el planeta. Esta lista está encabezada por los Estados Unidos, de donde vienen nada menos que el 37,8% de los ataques. En segundo lugar está Rusia (12,3%), seguido por Taiwán (8,8%) e Italia (3,5%). Brasil aparece poco después con el 3,4% de los ataques superando a otros países con una fuerte tradición en delitos informáticos, tales como Rumania (2,6%), Bulgaria (2,4%) y Ucrania (2,1%). Los demás países de la región registran alta incidencia de los acontecimientos pero no se integran en el ranking de los más activos.

Brasil también se encuentra en el 5to lugar entre los países atacados por cibercrimen, siendo el objetivo del 1.2% de los ataques. El liderazgo, incluso en este caso, pertenece a Estados Unidos (73%), seguido por Australia (7%), Canadá (3%) y el Reino Unido (2%).

Según Jarrett Benavidez, Director de Trustwave para América Latina, especialmente el área de retail ha sufrido ataques y necesita prepararse para luchar contra ellos, como los Bancos ya están haciendo. En cuanto a la visión de Benavidez, hace algún tiempo, los bancos latinoamericanos están invirtiendo fuertemente en herramientas y servicios, para combatir la fuga de información, pero el número de ataques sigue siendo muy expresivo y causa gran preocupación en el mercado latinoamericano.

“Hay que destacar que todos los países de América Latina han ido mejorando esta situación a través de medidas gubernamentales o la orientación especializada, en coordinación con los bancos. Esto aplica, por ejemplo, Brasil, Colombia, Perú y México, realizando esfuerzos para garantizar una mayor protección de nuestros negocios, los clientes y la privacidad de los datos. No podemos olvidar que el gran crecimiento de este y otros países de nuestra región atrae la atención de los delincuentes cibernéticos, buscando siempre un gran volumen de datos, de modo que todo el mercado debe estar preparado para luchar contra ellos”, dijo Benavidez.

El Trustwave 2013 Global security Report muestra a los establecimientos de Retail en el 45% de las investigaciones sobre las violaciones de datos (un aumento del 15% comparado con 2011), mientras que los ataques en ecommerce responde por el 48% de los incidentes.

Recomendaciones de seguridad más importantes para el 2013

Para mejorar la postura de seguridad, Trustwave recomienda seis áreas de interés para las organizaciones en 2013:

  • Educar a los empleados. Los empleados son la primera línea de defensa contra los atacantes. Las organizaciones deben realizar la capacitación de concientización sobre seguridad de forma regular para todos los empleados nuevos y existentes.
  • Identificar usuarios. Cada acción iniciada por el usuario debe ser marcada a una persona específica, ya sea en un entorno físico o digital. Cada año, un número significativo de las violaciones de datos se producen como resultado de un atacante que obtiene acceso a la cuenta de un usuario.
  • Registro de Activos. Con el aumento del bring-your-own-device (BYOD), es más importante que nunca tener un inventario completo o el registro de dispositivos válidos. Un dispositivo nunca  debe permitir el acceso a un medio controlado a menos que sea registrado y conocido. Además, los niveles de parches y vulnerabilidades deben ser evaluados en forma regular no sólo para trabajar en la mejora de la seguridad en el medio ambiente sino también para comprender los peligros que existen cuando los problemas no se pueden resolver en el corto plazo.
  • Proteger los datos. Los ataques son más sofisticados que nunca, y mantener afuera a los cibercriminales  requiere un enfoque multifacético. Las empresas deben implementar un “algo más que tecnología” para la seguridad que incluye entrenamiento en equipo y educación, revisión de código de seguridad, y la periódica penetración  y pruebas de vulnerabilidad de las aplicaciones E-Commerce, así como una metodología de datos de ciclo de vida que rige los datos desde la creación a la destrucción . También deben crear resistencia en sistemas por capas probadas de  tecnología como una puerta de enlace web segura potente y un firewall de aplicaciones web que se pueda implementar para mejorar la protección y el rendimiento de aplicaciones críticas de negocio, con capacidades de parches virtuales que combatan las amenazas en tiempo real.
  • Unificar los registros de actividad. La mayoría de las empresas hoy tratan controles de seguridad física y de información por separado. Sistemas de Badge, registros de recursos humanos e incluso la prevención de la pérdida no se ata típicamente al mismo equipo que monitorea firewalls, detección de intrusos y tecnología de seguridad. Las empresas deben emplear la tecnología como información de seguridad y gestión de eventos (SIEM) para hacerse cargo del procesar estos registros.
  • Visualizar eventos. El objetivo final de las organizaciones debe ser el desarrollo de un entorno en el que las amenazas de seguridad son descubiertas de manera innata por los profesionales responsables de la seguridad y otros en la organización. La visualización de eventos de seguridad permite a las empresas identificar los patrones, las vulnerabilidades emergentes y los ataques, y responder con rapidez y decisión a través de la organización cuando un ataque se produce. Utilizando de las fuentes de datos adecuadas, análisis SIEM avanzado y modelado de datos, la visualización de eventos de seguridad prepara a las empresas para mitigar eficazmente las amenazas actuales y futuras.

2013 Trustwave Global Security Report is available to the public from the registration link: https://www.trustwave.com/2013GSR

Robo de identidad: El mismo lobo con otra piel de oveja


18 marzo, 2013

*En 2012 hubo más de 37,000 ataques de robo de identidad por mes en promedio, que se traducen en pérdidas de $1,500 millones de dólares.
 Resumen de noticias:

  •  El robo de identidad fue y continúa siendo la amenaza en línea principal que afecta tanto a usuarios como organizaciones que prestan servicios en línea.
  • Los ataques de robo de identidad (phishing) surgieron hace aproximadamente 16 años y su objetivo es manipular a los usuarios a revelar datos privados por medio de la persuasión y el engaño.
  • El RSA Anti-Fraud Command Center (AFCC, por sus siglas en inglés) cuanta con más de 130 analistas dedicados a detectar y cerrar ataques en línea a nivel mundial.
Artículo completo:

RSA, la División de Seguridad de EMC Corporation (NYSE:EMC), anunció hoy que el robo de identidad (phishing) continúa siendo una de las amenazas en línea principales y afecta tanto a los usuarios o consumidores como a las organizaciones que ofrezcan servicios en línea. Tan sólo en 2012 se registraron, en promedio, más de 37,000 ataques de phishing por mes, lo que se traduce en pérdidas estimadas en $1,500 millones de dólares.

Kits de robo de identidad

RSA recientemente analizó kits de robo de identidad (phishing kits) donde se descubrió una táctica cada vez más usada por los criminales. El esquema incluye varias redirecciones de un sitio web a otro; por lo general se trata en principio de un sitio web legítimo que ha sido apropiado por los delincuentes, sin hacerle alguna modificación. Usando este sitio como trampolín, inducen a los internautas a ingresar a dicho primer sitio para posteriormente redireccionarlos a un segundo: la verdadera página de robo de identidad.

El uso de dos sitios tiene un propósito muy claro: evitar que los mensajes de correo electrónico sean bloqueados por los filtros de seguridad, ya que el primer sitio es “limpio” y es el que será analizado por el filtro. Uno no puede acceder al sitio malicioso sino se ha ingresado previamente a la primera URL legítima.

Otro de los ataques detectados son los llamados de “acción retardada”. Estos no son nuevos pero cada vez son utilizados más por los delincuentes. Esta variación usa igualmente un sitio legítimo o limpio, cuya URL se distribuye vía correo electrónico, pero se paraliza; el contenido malicioso solo se cargará uno o dos días después.

Por lo general se trata de ataques de fin de semana, en donde el correo malicioso se envía el domingo, borra los sistemas de correo electrónico y el contenido ilegal estará disponible el lunes. Este mismo esquema se utiliza para las campañas de infección por troyanos y robo de identidad de objetivos específicos.

Los análisis de RSA demuestran que los viernes son los días preferidos por los criminales del phishing para enviar sus correos de robo de identidad de objetivos específicos. ¿Por qué el viernes? Se determinó que hacia el final de la semana, los empleados tienen menor carga de trabajo, por lo que están menos atentos y son más propensos a caer en ataques de phishing. Por lo general, el viernes los empleados dedican más tiempo a borrar de su bandeja de entrada los correos de la semana y navegan por Internet más, lo que incrementa la posibilidad de hacer click en algún enlace recibido ese día.

Otras formas de phishing




Los criminales del robo de identidad son conocidos por su creatividad al diseñar ataques maliciosos. Uno de estos es el secuestro de URL; una forma común de engañar a los usuarios de la Web y hacerles creer que visitan una URL legítima cuando se trata de un “gemelo malvado”. Este ataque se basa en registrar un sitio web con un dominio muy similar al legítimo o que engañe a los usuarios.

Las formas más comunes del secuestro de URL son: intercambiar letras (por ejemplo twitter por iwitter); agregar una letra al final o repetir alguna (Montterrey para Monterrey); e intercambiar letras visualmente similares (i por l). Para evitar entrar a estos sitios se debe leer cuidadosamente la URL, sin embargo, la mayoría de los usuarios revisan sus correos en medio de arduas jornadas de trabajo, lo que hace más factible el hacer click (inclusive de forma accidental) en un enlace malicioso.

“Detrás de la fachada o página de robo de identidad, se encuentran kits cada vez más sofisticados que registran las visitas y las coordenadas del usuario, lo dirigen de un sitio a otro, lo guían engañosamente a puntos de infección donde se roba la información”, dijo César del Blanco, director general de RSA México. “Según un estudio reciente de RSA sobre el tema, los cambios en estas tácticas se deben al intento de conocer los patrones de comportamiento humano mediante estadísticas sobre los usuarios; conocimiento que posteriormente es implementado en campañas de ataques”.

El RSA Anti-Fraud Command Center cuenta con más de 130 analistas dedicados a detectar y abordar las diversas  amenazas en línea, tales como phishing, pharming y ataques de troyanos. El AFCC ha liderado el camino a través de resultados, el logro de metas y anunciando descubrimientos importantes de fraude. Uno de sus logros más importantes fue el cierre de más de 750,000 ataques en línea a nivel mundial. http://www.ciberespacio.com.ve/2013/03/articulos/robo-de-identidad-el-mismo-lobo-con-otra-piel-de-oveja/

Troyano Neurevt roba información en Argentina, Venezuela y México


18 abril, 2013

Recientemente el Laboratorio de Investigación de ESET Latinoamérica recibió una campaña de propagación destinada a usuarios de la región. Aunque el correo electrónico en el que llega no es un elemento innovador, el código malicioso y otros aspectos de esta amenaza hacen que se trate de un caso un tanto particular.


Detectado por los productos de ESET como Win32/Neurevt.A, este troyano llegó a través de una campaña “clásica” en donde se le informa al usuario que ha recibido un mensaje multimedia (MMS). Sin embargo, posee un elemento diferenciador, ya que se le informa a la potencial víctima que deberá aceptar unapplet de Java para poder visualizar el supuesto mensaje. Al analizar el código fuente se pudo determinar que efectivamente la persona era dirigida a la ejecución de un archivo .JAR. No obstante, al momento de este análisis, dicho archivo no se encuentra disponible. Considerando el largo prontuario de vulnerabilidades que han afectado a Java, es altamente probable que ese applet haya sido diseñado para explotar algún agujero de seguridad para comprometer la computadora del usuario. Pese a esto, si el usuario no es precavido y hace clic en “Ver mensaje”, se inicia la descarga del archivo Mensaje.exe. A continuación se muestra una captura de la campaña:

 

Si se ejecuta esta amenaza, Neurevt procede a copiarse en la carpeta Archivos de programa\Common Files. Posteriormente, agrega una entrada de registro en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run con el objetivo de iniciarse con cada carga del sistema operativo. La entrada es creada bajo el nombre de “sysconfig” con el fin de confundir a un usuario y así, hacerle creer que se trata de una aplicación necesaria para el funcionamiento del sistema operativo. También crea otras entradas en el registro con el fin de interferir en el funcionamiento de varias soluciones de seguridad. Cabe destacar que si los productos de ESET están correctamente actualizados, Neurevt no podrá desactivar la ejecución del producto porque será removido antes de que pueda modificar dichos valores.

Este troyano ha sido diseñado para robar información sensible como credenciales de acceso a determinados servicios, datos del sistema operativo, de la computadora del usuario, entre otros. Su tasa de detección ha crecido en el último tiempo, sobre todo, en países de América Latina como Argentina, Venezuela y México. En el siguiente gráfico es posible observar el porcentaje de detecciones de Neurevt con respecto a los países más afectados:




Aunque a simple vista puedan parecer porcentajes pequeños, las estadísticas son considerables si se toma en cuenta que el período de análisis fue de solo dos meses. Asimismo, se puede deducir que en un principio, Neurevt infectaba principalmente a países como Turquía, Rusia y Ucrania, sin embargo, la aparición de campañas de propagación destinadas a usuarios latinoamericanos, y el aumento de las detecciones en naciones como Argentina, Venezuela y México demuestran que los cibercriminales están comenzando a utilizar este malware en nuestra región.

Por otro lado, aunque no está directamente relacionado con este código malicioso, los cibercriminales responsables de esta amenaza también cuentan con un archivo hosts destinado a realizar ataques de pharming local. De acuerdo a un análisis realizado por el Laboratorio de Investigación de ESET Latinoamérica, el archivo hosts contiene entradas destinadas a afectar bancos de Chile, Perú y República Dominicana, así como también busca interferir con la apertura de algunos sitios de seguridad, contando con otros métodos como un archivo hosts malicioso para obtener beneficios económicos. Tags: ESET


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)