Malware sofisticado y regulaciones, lo destacado en la industria para 2018

Categorías relacionadas:
Cómo hacerlo, Destacado, Estrategia CIO, Movilidad, Seguridad, Seguridad, Tendencias, Transformación digital

seguridad-ataque-emails

De acuerdo con la empresa FireEye, lo que se observó desde 1993 hasta 2014, ya no existe y se debe olvidar. Actualmente la conectividad ha acercado a la gente, negocios y gobierno a lo largo del mundo, permitiendo una mayor conversión de ciberataques.

Leer más...



FireEye presentó nueva versión de seguridad para Endpoint

Categorías relacionadas:
Del día, Lo más reciente, Seguridad, Tendencias, Tendencias, Uncategorized

FireEye anunció la disponibilidad de FireEye Endpoint 4.0. La reciente versión de FireEye Endpoint está diseñada para entregar múltiples capacidades integradas de detección/prevención de amenazas para reforzar significativamente la protección de amenazas de sus clientes y la efectividad de respuesta.

Mientras muchos productos de endpoint ofrecen un método de detección como AV o aprendizaje de máquina, la empresa señala que incorpora múltiples técnicas de detección firmemente integradas con inteligencia de amenazas y visibilidad detallada en los endpoints. Esto se diseñó para mejorar dramáticamente la protección y minimizar el impacto a una organización deteniendo primero tantas amenazas como es posible y, después, proveyendo datos detallados de ataques que facilitan una respuesta rápida e informada.

“Las capacidades esenciales requeridas para una protección moderna de endpoint son detección y prevención para detener ataques, la visibilidad del endpoint para determinar actividad maliciosa e inteligencia actualizada desde las líneas del frente”, dijo Grady Summers, CTO de FireEye.

La protección endpoint de FireEye detecta amenazas gracias a la información de los consultores de FireEye, de los atacantes y sus metodologías, incluyendo más de 200,000 horas al año investigando brechas serias en todo el mundo. Este conocimiento junto a la inteligencia contra amenazas en tiempo real de las organizaciones son las que la empresa ofrece en su producto.

 

Leer más...



Descubren a grupo de hackers iraní con capacidades potenciales de destrucción: FireEye

Categorías relacionadas:
Amenazas, Continuidad, Del día, Destacado, Lo más reciente, Lo más reciente, Seguridad, Seguridad, Tendencias, Tendencias

cibercriminal-seguridad

FireEye anunció detalles de un grupo de hackers iraní con capacidades potenciales de destrucción, al que FireEye ha designado como APT33.

Los análisis de esta firma revelan que APT33 ha llevado a cabo operaciones de ciber-espionaje desde al menos 2013 y probablemente trabaje para el gobierno de Irán. Esta información viene de investigaciones recientes por los consultores de FireEye Mandiant incident response combinados con análisis de FireEye iSIGHT Threat Intelligence que descubrieron información de las operaciones, capacidades y motivaciones potenciales del APT33.

Objetivos

APT33 ha apuntado a organizaciones (a lo largo de múltiples industrias) con sede en Estados Unidos, Arabia Saudita y Corea del Sur, el grupo ha mostrado particular interés en organizaciones en el sector de aviación involucrados tanto en el sector militar como comercial, así como organizaciones en el sector energético con lazos a producción petroquímica.

Desde mediados de 2016 hasta inicios de 2017, este grupo comprometió a una organización en el sector de aviación de EE.UU. y apuntó a un conglomerado de negocios localizado en Arabia Saudita ligado con la aviación. Durante el mismo periodo el grupo también atacó una empresa surcoreana de refinación de petróleo y petroquímicos. En mayo de 2017 APT33 atacó una organización de Arabia Saudita y un conglomerado de negocios de Corea del Sur usando un archivo malicioso que intentó atraer víctimas con vacantes de trabajo en una empresa petroquímica de Arabia Saudita.

Los analistas de FireEye creen que el ataque a la organización de Arabia Saudita pudo ser un intento de ganar conocimiento de los rivales regionales, mientras que el ataque a las empresas surcoreanas puede deberse a las sociedades de Corea del Sur con la industria petrolera de Irán, así como las relaciones de Corea del Sur con empresas de petroquímica de Arabia Saudita. Este grupo pudo haber atacado a estas organizaciones como resultado del deseo de Irán de expandir su propia producción petroquímica y mejorar su competitividad dentro de la región.

Spear Phishing

El grupo envió una avanzada de fraude electrónico (spear phishing) en correos a empleados cuyos trabajos estuvieron relacionados con la industria de aviación, estos correos incluían señuelos de reclutamiento y contenían enlaces a archivos de aplicaciones HTML maliciosos. Los archivos contenían descripciones de puesto y enlaces a publicaciones de empleos legítimas en sitios de empleo populares que serían relevantes para los individuos objetivo.

En algunos casos, los operadores de APT33 dejaron en los valores por defecto de la superficie del módulo de phishing. Estos parecen ser errores ya que minutos después de enviar los correos con los valores, el grupo envió nuevos correos a los mismos destinatarios con los valores removidos.

Enmascarando Dominios

APT33 registró múltiples dominios enmascarados como compañías de aviación de Arabia Saudita y organizaciones occidentales que tienen sociedades para brindar capacitación, mantenimiento y soporte para la flota militar y comercial de Arabia Saudita. Basados en los patrones observados de los ataques, parece que APT33 usó estos dominios para los correos del spear phishing para atacar a las organizaciones víctimas.

Lazos adicionales refuerzan la atribución a Irán

El ataque de APT33 a las organizaciones involucradas en aviación y energía hace que se alinee con los intereses de la nación-estado, implicando que el actor de la amenaza es seguramente patrocinado por el gobierno. Esto a la par con los tiempos de las operaciones, que coinciden con las horas de trabajo en Irán, y el uso de múltiples herramientas de hackers iraníes, y los nombres de los servidores refuerzan la estimación de FireEye de que el APT33 es probable que haya operado de parte del gobierno de Irán.

John Hultquist, director de Análisis de Ciber Espionaje en FireEye, agregó que “Irán ha demostrado repetidamente una voluntad para aprovechar globalmente estas capacidades de ciber espionaje. Su agresivo uso de esta herramienta, combinado con cambios geopolíticos, subrayan el peligro que APT33 representa para gobiernos e intereses comerciales en Medio Oriente y a lo largo del mundo. Identificar este grupo y su capacidad destructiva presenta una oportunidad para las organizaciones detectar cualquier asunto relacionado con estas amenazas proactivamente”.

Leer más...



Un vistazo por los peligros de Ploutus-D

Categorías relacionadas:
Amenazas, Continuidad, Continuidad de negocios, CSO, Destacado, Estrategias, Lo más reciente, Lo más reciente, Malware y Amenazas, Protección de datos, Seguridad, Seguridad, Tendencias

atm-hackers

FireEye, empresa global de seguridad avanzada para TI, dio a conocer los resultados sobre un estudio de los daños que produce Ploutus, uno de los malwares más avanzados de los últimos años y que afecta a los cajeros automáticos (ATM).

Este malware se descubrió por primera vez en México en 2013 cuando un grupo de cibercriminales vació cajeros usando un teclado externo conectado a los cajeros y mediante mensajes SMS con una técnica nunca antes vista.

FireEye identificó una versión de Ploutus que no había sido detectada: Ploutus-D, considerada una versión que encontrará un amplio campo para afectar, ya que la plataforma que daña funciona en 40 diversos tipos de cajeros distribuidos en 80 países.

Una vez desplegado en un cajero automático, Ploutus-D permite extraer miles de pesos en minutos, pero para actuar, el delincuente debe tener una llave maestra para abrir la parte superior del cajero automático, conectar un teclado físico a la máquina e ingresar un código de activación para obtener el dinero. Si bien hay riesgos de que la persona sea captada por las cámaras, la velocidad de la operación minimiza el riesgo para el delincuente.

Características no observadas anteriormente de Ploutus-D:

  • Se despliega en los cajeros ATM que corren en Windows 10, Windows 8, Windows 7 y XP.
  • Tiene una Interfaz Gráfica de Usuario (GUI) distinta.
  • Incluye una característica que identifica y elimina los procesos de monitoreo de seguridad para evitar la detección.

Similitudes entre Ploutus y Ploutus-D

  • Su objetivo es vaciar los cajeros sin necesidad de una tarjeta.
  • El delincuente puede interactuar con el malware a través de un teclado externo conectado al cajero.
  • Un código de activación es generado por quien dirige la operación, y expira en 24 horas.
  • Ambos fueron creados en la plataforma .NET.
  • Puede correr bajo Windows o como aplicación independiente.

Disección de Ploutus-D

Ploutus-D puede correr a partir de un archivo ejecutable o “launcher” y a partir de ahí entregar dinero. En esta versión del malware los atacantes se esforzaron más en confundir y proteger su código de ingeniería inversa. El launcher se diseñó por los ciberatacantes de forma que no pueda ser alterado, y puede instalar, ejecutar Ploutus-D o desinstalarlo desde la máquina.

Interactuando con el launcher

El atacante interactúa con el launcher realizando el ataque a través de un teclado para cajeros ATM vía USB u otro puerto.

Una vez que el launcher ha sido instalado en el cajero, se conecta con el teclado para recibir las instrucciones de los atacantes, quienes utilizan una combinación de teclas “F” para ejecutar la acción.

Entre las principales tareas que soporta figuran:

  • Iniciar programas bajo demanda, algunos de los cuales se descifran de la sección de recursos del Launcher

o   Main.exe

o   XFSConsole.exe

  • Kill Processes:

o   NHOSTSVC.exe

o   AgilisConfigurationUtility.exe

o   XFSConsole.exe

  • Borrado de archivos:

o   NetOp.LOG – Secure Remote Management solution

  • Reinicio de máquina:

o   “wmic os where Primary=’TRUE’ reboot”

A continuación, el software KAL ATM legítimo se carga en el sistema junto con Ploutus-D para que todo el software y las versiones necesarias para ejecutar correctamente el malware están presentes en la misma carpeta para evitar cualquier problema de dependencia. (La misma técnica también fue utilizada por la primera versión de Ploutus).

Esto muestra que los atacantes probablemente tienen acceso al software ATM. Asimismo, pueden comprar cajeros automáticos físicos que vienen precargados con software de proveedores, o simplemente podrían robar los cajeros automáticos directamente desde las instalaciones del banco.

Ploutus-D se asegura de que no exista un “mutex” (algoritmos de exclusión mutua) en el sistema para comenzar a correr. Al igual que el Launcher, Ploutus-D conectará el teclado para que los atacantes interactúen con él. Sin embargo, además de recibir comandos de las teclas “F”, también leerá desde el teclado numérico.

De forma similar a la versión anterior, la interfaz GUI se habilita al ingresar una combinación de teclas F. Después se introduce un código válido de 8 dígitos para que el dinero se extraiga. Ploutus-D también permite solicitar la cantidad a retirar y repetir la operación de dispensación. El monto total también es calculado por el malware.

Extrayendo el dinero

Para que el delincuente pueda empezar a extraer dinero, debe ingresar un código válido de 8 dígitos. Este código es proporcionado por el encargado de la operación y se calcula sobre la base de un ID único generado por ATM, el mes y día actuales del ataque. Una vez que se ha introducido un código de activación válido (válido por 24 horas), el proceso de entrega comienza pulsando “F3” desde el teclado externo.

Conclusión

Tal como FireEye anticipó en el Reporte de Predicciones 2017 el uso del malware en los cajeros ATM continuará incrementándose, especialmente en países en vias de desarrollo con controles débiles de seguridad física. Ploutus puede ser fácilmente modificado para atacar a varios vendedores de ATMs y sistemas operativos.

 

Leer más...



Cómo operaron los hackers rusos en las elecciones de EU

Categorías relacionadas:
Del día, Destacado, Lo más reciente, Lo más reciente, Movilidad, Seguridad, Tendencias, Tendencias

El Departamento de Seguridad Interna de Estados Unidos y el FBI dieron a conocer el 29 de diciembre pasado un informe y análisis conjunto que confirma la larga investigación pública realizada por FireEye, la cual indica que el grupo APT28 es responsable por operaciones extensivas en apoyo a los intereses estratégicos rusos, principalmente los relacionados con defensa y geopolítica.

De acuerdo con Laura Galante, directora de inteligencia contra amenazas de FireEye, el contenido del informe revela mucho más de la posición política asumida por Rusia durante las elecciones presidenciales estadounidenses en 2016, que culminaron con la victoria del candidato republicano Donald Trump. “Ahora el punto más importante es comprender cómo son ejecutadas las operaciones llevadas por Rusia para alterar información – incluyendo intrusiones y ataques – con el objetivo de debilitar instituciones, gobiernos y demás actores que, de acuerdo con la percepción del gobierno ruso, constriñen y condenan sus actividades”.

 Activo desde 2007, el grupo APT28 ganó mayor relevancia en los últimos dos años al realizar actividades de intrusión.

“Las operaciones destinadas a las elecciones americanas son apenas el último ejemplo de una capacidad poco comprendida que ya fue utilizada contra la OTAN (Organización del Tratado del Atlántico Norte), el gobierno alemán, organizaciones de medios e individuos clave”, concluyó Galante.

El malware y las tácticas de APT28 utilizan un conjunto de malware con características indicativas de los planos de grupo para operaciones continuas, ya sea como acceso de grupo a recursos y desarrolladores calificados, realizados con ayuda de un framework modular, ambiente de código formal y capacidad deincorporar análisis de resultados.

Estas herramientas utilizadas para llevar a cabo las operaciones, ponen en evidencia el apoyo del gobierno de Rusia. Una vez que el 97% de las muestras de malware fueron compiladas durante los días de la semana de trabajo, el 88% de éstas fueron en el periodo entre las 8 y las 18 horas del uso horarios de ciudades como Moscú y San Petersburgo. Además de eso, los desarrolladores de APT28 construyen malware con configuración en idioma ruso desde 2013.

El ataque se sucede normalmente en cuatro principales formas: infección con malware vía spear-phish; acceso a un webmail vía spear-pish; malware a través de comprometer estratégicamente la web (SWC por sus siglas en inglés); y acceso a servidores de internet. Cada una de estas tácticas suceden en cuatro o cinco etapas hasta que la red de la víctima queda completamente invadida.

Finalmente, el estudio señala que después de comprometer la organización víctima, el APT28 roba datos internos, los cuales son compartidos, alineados a las políticas e intereses rusos.

Leer más...