Claves que todo CIO debe conocer para la seguridad cibernética

Categorías relacionadas:
Cómo hacerlo, Del día, Destacado, Estrategia CIO, Movilidad, Seguridad, Tendencias

ciberseguridad

Con la misma velocidad que el avance tecnológico tiene para crecer, los ataques cibernéticos también lo hacen. Para contrarrestar la situación negativa, cada día se necesita buscar en el mercado nuevas formas y soluciones para que las empresas se protejan.

Para los especialistas en el área de seguridad cibernética, los hackers desarrollan programas tan sofisticados que pueden sobrepasar el avance de la seguridad de la autoprotección que automáticamente prepara los contra-ataques y que difícilmente actúa de forma proactiva en el desarrollo de alguna defensa para ataques que todavía no existen.

Leer más...



Cisco e INTERPOL buscan combatir a los cibercriminales

Categorías relacionadas:
Colaboración, Desarrollo, Destacado, Movilidad, Seguridad, Seguridad, Seguridad, Tendencias, Transformación digital

Cisco anunció un acuerdo con la INTERPOL, para compartir inteligencia sobre amenazas, lo que significa el primer paso para luchar conjuntamente contra el delito cibernético.

Leer más...



Estados-nación respaldan a agentes de amenazas para hackear a otros grupos

Categorías relacionadas:
Administración del riesgo, Amenazas, Cómo hacerlo, Continuidad, CSO, Destacado, Lo más reciente, Lo más reciente, Seguridad, Seguridad, Seguridad, Tendencias

seguridad-ataque

Agentes de amenazas avanzados están hackeando de manera activa a otros grupos de ataque para robar datos de las víctimas, tomar prestadas herramientas y técnicas, y reutilizar entre ellos su infraestructura, dificultando a los investigadores de seguridad la obtención de inteligencia para combatir estas amenazas, según el Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT, por sus siglas en inglés).

Obtener inteligencia acertada contra las amenazas se basa en la identificación de patrones y herramientas que señalan a un agente de amenazas particular. Dichos conocimientos permiten a los investigadores asignar mejor las metas, los objetivos y los comportamientos de los diferentes atacantes, así como ayudar a las organizaciones a determinar su nivel de riesgo. Cuando los agentes de amenazas comienzan a hackearse entre ellos y a apropiarse de las herramientas, la infraestructura e incluso las víctimas del otro, este modelo se derrumba rápidamente.

Kaspersky Lab cree que tales ataques posiblemente sean implementados principalmente por grupos respaldados por estados-nación, y dirigidos a agentes extranjeros o menos competentes. Es importante que los investigadores de seguridad de TI aprendan a detectar e interpretar los signos de estos ataques, para que puedan presentar su inteligencia en su contexto.

En una revisión detallada de las oportunidades de estos ataques, los investigadores del equipo Global de Investigación y Análisis de Kaspersky Lab identificaron dos estrategias principales: uno pasivo y otro activo. Los ataques pasivos implican interceptar los datos en tránsito de otros grupos, por ejemplo, cuando se mueven entre las víctimas y los servidores de mando y control, estos son casi imposibles de detectar. El enfoque activo implica infiltrarse en la infraestructura maliciosa de otro agente de amenazas.

Existe un mayor riesgo de detección en la estrategia activo, pero también ofrece más beneficios, ya que permite al atacante extraer información de manera regular, controlar su objetivo y sus víctimas, e incluso inyectar sus propios implantes o montar ataques en nombre de su víctima. El éxito de los ataques activos depende en gran medida de que el objetivo cometa errores en la seguridad operacional.

El equipo GReAT ha encontrado una serie de artefactos extraños e inesperados al investigar a agentes de amenaza específicos que sugieren que estos ataques activos ya están ocurriendo públicamente.

Los ejemplos incluyen:

  1. Backdoors instaladas en la infraestructura de control y mando (C&C) de otra entidad

La instalación de un backdoor o puerta trasera en una red hackeada permite a los atacantes permanecer dentro de las operaciones de otro grupo. Los investigadores de Kaspersky Lab han encontrado lo que parecen ser dos ejemplos de estas puertas traseras.

Uno de ellos fue encontrado en 2013, cuando se analizaba un servidor utilizado por NetTraveler, una campaña en idioma chino dirigida a activistas y organizaciones en Asia. La segunda fue encontrada en 2014, cuando se investigaba un sitio web hackeado y usado por Crouching Yeti (también conocido como Energetic Bear), un agente de amenazas en idioma ruso que ataca al sector industrial desde 2010. Los investigadores notaron que, durante un breve período de tiempo, el panel de administración de la red C&C fue modificado con una etiqueta que apuntaba a una dirección IP remota en China (probablemente una señal falsa). Los investigadores creen que esto también era una puerta trasera perteneciente a otro grupo, aunque no hay indicadores de quién podría ser.

  1. Compartir sitios web hackeados

En 2016, los investigadores de Kaspersky Lab descubrieron que un sitio web infectado por el DarkHotel de idioma coreano también alojó secuencias de mandos de ataques para otro atacante objetivo, al que el equipo llamó ScarCruft, un grupo dirigido principalmente a organizaciones rusas, chinas y coreanas. La operación DarkHotel se remonta desde abril de 2016, mientras que los ataques ScarCruft se implementaron un mes después, lo que sugiere que ScarCruft pudo haber observado los ataques DarkHotel antes de lanzar el suyo propio.

  1. Objetivo por proxy

La infiltración de un grupo con un interés particular en determinada región o sector de la industria permite al atacante reducir los costos y afinar el objetivo, beneficiándose así de la experiencia especializada de su víctima.

Algunos agentes de amenazas, más que robarlas, comparten víctimas. Este es un enfoque arriesgado si uno de los grupos es menos avanzado y lo descubren, ya que el inevitable análisis forense que sigue también revelará a los otros intrusos. En noviembre de 2014, Kaspersky Lab informó que un servidor perteneciente a una institución de investigación en Medio Oriente, conocido como el Magnet of Threats, alojó simultáneamente implantes para los agentes de amenazas altamente avanzados Regin y Equation Group (de idioma inglés), Turla e ItaDuke (en ruso), así como Animal Farm (en francés) y Careto (en español). De hecho, este servidor fue el punto de partida para el descubrimiento del Equation Group.

Para mantenerse al día con este panorama de amenazas que evoluciona rápidamente, Kaspersky Lab recomienda a las empresas implementar una plataforma de seguridad a gran escala combinada con inteligencia de vanguardia contra las amenazas.

 

Leer más...



Descubren a grupo de hackers iraní con capacidades potenciales de destrucción: FireEye

Categorías relacionadas:
Amenazas, Continuidad, Del día, Destacado, Lo más reciente, Lo más reciente, Seguridad, Seguridad, Tendencias, Tendencias

cibercriminal-seguridad

FireEye anunció detalles de un grupo de hackers iraní con capacidades potenciales de destrucción, al que FireEye ha designado como APT33.

Los análisis de esta firma revelan que APT33 ha llevado a cabo operaciones de ciber-espionaje desde al menos 2013 y probablemente trabaje para el gobierno de Irán. Esta información viene de investigaciones recientes por los consultores de FireEye Mandiant incident response combinados con análisis de FireEye iSIGHT Threat Intelligence que descubrieron información de las operaciones, capacidades y motivaciones potenciales del APT33.

Objetivos

APT33 ha apuntado a organizaciones (a lo largo de múltiples industrias) con sede en Estados Unidos, Arabia Saudita y Corea del Sur, el grupo ha mostrado particular interés en organizaciones en el sector de aviación involucrados tanto en el sector militar como comercial, así como organizaciones en el sector energético con lazos a producción petroquímica.

Desde mediados de 2016 hasta inicios de 2017, este grupo comprometió a una organización en el sector de aviación de EE.UU. y apuntó a un conglomerado de negocios localizado en Arabia Saudita ligado con la aviación. Durante el mismo periodo el grupo también atacó una empresa surcoreana de refinación de petróleo y petroquímicos. En mayo de 2017 APT33 atacó una organización de Arabia Saudita y un conglomerado de negocios de Corea del Sur usando un archivo malicioso que intentó atraer víctimas con vacantes de trabajo en una empresa petroquímica de Arabia Saudita.

Los analistas de FireEye creen que el ataque a la organización de Arabia Saudita pudo ser un intento de ganar conocimiento de los rivales regionales, mientras que el ataque a las empresas surcoreanas puede deberse a las sociedades de Corea del Sur con la industria petrolera de Irán, así como las relaciones de Corea del Sur con empresas de petroquímica de Arabia Saudita. Este grupo pudo haber atacado a estas organizaciones como resultado del deseo de Irán de expandir su propia producción petroquímica y mejorar su competitividad dentro de la región.

Spear Phishing

El grupo envió una avanzada de fraude electrónico (spear phishing) en correos a empleados cuyos trabajos estuvieron relacionados con la industria de aviación, estos correos incluían señuelos de reclutamiento y contenían enlaces a archivos de aplicaciones HTML maliciosos. Los archivos contenían descripciones de puesto y enlaces a publicaciones de empleos legítimas en sitios de empleo populares que serían relevantes para los individuos objetivo.

En algunos casos, los operadores de APT33 dejaron en los valores por defecto de la superficie del módulo de phishing. Estos parecen ser errores ya que minutos después de enviar los correos con los valores, el grupo envió nuevos correos a los mismos destinatarios con los valores removidos.

Enmascarando Dominios

APT33 registró múltiples dominios enmascarados como compañías de aviación de Arabia Saudita y organizaciones occidentales que tienen sociedades para brindar capacitación, mantenimiento y soporte para la flota militar y comercial de Arabia Saudita. Basados en los patrones observados de los ataques, parece que APT33 usó estos dominios para los correos del spear phishing para atacar a las organizaciones víctimas.

Lazos adicionales refuerzan la atribución a Irán

El ataque de APT33 a las organizaciones involucradas en aviación y energía hace que se alinee con los intereses de la nación-estado, implicando que el actor de la amenaza es seguramente patrocinado por el gobierno. Esto a la par con los tiempos de las operaciones, que coinciden con las horas de trabajo en Irán, y el uso de múltiples herramientas de hackers iraníes, y los nombres de los servidores refuerzan la estimación de FireEye de que el APT33 es probable que haya operado de parte del gobierno de Irán.

John Hultquist, director de Análisis de Ciber Espionaje en FireEye, agregó que “Irán ha demostrado repetidamente una voluntad para aprovechar globalmente estas capacidades de ciber espionaje. Su agresivo uso de esta herramienta, combinado con cambios geopolíticos, subrayan el peligro que APT33 representa para gobiernos e intereses comerciales en Medio Oriente y a lo largo del mundo. Identificar este grupo y su capacidad destructiva presenta una oportunidad para las organizaciones detectar cualquier asunto relacionado con estas amenazas proactivamente”.

Leer más...



Cibercrimen emplea la esteganografía para ocultar información robada dentro de imágenes

Categorías relacionadas:
Amenazas, Cómo hacerlo, Cloud / Nube, CSO, Del día, Destacado, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Protección, Protección de datos, Seguridad, Seguridad, Seguridad, Seguridad

esteganografia-cibercrimen

Investigadores de la empresa Kaspersky Lab han identificado una nueva tendencia: los hackers informáticos utilizan cada vez más la esteganografía ­–versión digital de una antigua técnica para ocultar mensajes dentro de imágenes– para esconder las pistas de su actividad maliciosa en la computadora afectada. Recientemente fue descubierta una serie de operaciones de malware destinadas al ciberespionaje y varios ejemplos de malware creado para robar información financiera que utilizan esta técnica.

esteganografia-ejemploCómo opera

En un ataque cibernético típico, una vez que el agente de amenazas está dentro de la red atacada, establece un punto de apoyo y luego recopila información valiosa para posteriormente transferirla al servidor de mando y control (C&C, por sus siglas en inglés). En la mayoría de los casos, las soluciones de seguridad ya probadas o los análisis profesionales de seguridad pueden identificar la presencia del agente de amenazas en la red en cada etapa del ataque, incluso en la de exfiltración.

Esto se debe a que esta parte normalmente deja “pistas”, como por ejemplo, un registro de conexiones a una dirección IP desconocida o incluida en lista negra. Sin embargo, cuando se trata de ataques en los que se utiliza la esteganografía, detectar la exfiltración de datos se convierte en una tarea difícil.

De acuerdo con esta compañía de seguridad, los usuarios malintencionados insertan la información que se va a robar en el código de una imagen visual trivial o en un archivo de video que luego se envía al servidor C&C. Por lo tanto, es improbable que un evento de este tipo provoque alguna alarma de seguridad o active una tecnología de protección de datos.

Esto se debe a que después de ser modificada por el atacante, la imagen en sí no cambia visualmente, y su tamaño, así como la mayoría de los otros parámetros, tampoco quedan alterados, lo cual no dará ningún motivo de preocupación.

Lo anterior hace que la esteganografía (del griego steganos: oculto, y graphos: escritura) sea una técnica lucrativa para los agentes maliciosos cuando se trata de elegir la forma de exfiltrar los datos de una red atacada.

Algunos casos detectados

En meses recientes, los investigadores de Kaspersky Lab han sido testigos de al menos tres operaciones de ciberespionaje que utilizan esta técnica. Lo que resulta más preocupante es que además de los agentes de ciberespionaje, la técnica también está siendo adoptada activamente por cibercriminales habituales.

Los investigadores de la firma han visto que se utiliza en versiones recientes de troyanos, entre ellas Zerp, ZeusVM, Kins, Triton y otros. La mayoría de estas familias de programas maliciosos generalmente se dirigen a organizaciones financieras y usuarios de servicios financieros. Esto último podría ser una señal de que esta técnica será adoptada en masa por los autores de malware y, como resultado, hará más compleja su detección de manera generalizada.

“Con la ayuda del análisis manual es relativamente fácil identificar una imagen ’cargada’ con datos confidenciales robados. Sin embargo, este método tiene limitaciones, ya que un analista de seguridad sólo podría analizar un número muy limitado de imágenes por día. Quizás la respuesta sea una combinación de ambos”, explicó Alexey Shulmin, analista de seguridad para Kaspersky Lab.

Agregó que en su compañía utilizan una combinación de tecnologías con el análisis automatizado y el intelecto humano, denominada HuMachine, para poder identificar y detectar tales ataques. Sin embargo, dijo, “hay margen de mejora en esta área y el objetivo de nuestras investigaciones es atraer la atención de la industria al problema e imponer el desarrollo de tecnologías confiables y asequibles, que permitan la identificación de la esteganografía en los ataques de malware”, aseveró Shulmin.

Leer más...