Si su red estuviera bajo ataque ¿usted lo sabría?

noviembre 4, 2013 § Deja un comentario

A medida que las amenazas evolucionan y la efectividad de la seguridad web basada en firmas disminuye, es necesarios que los departamentos de TI tengan un rol más importante y activo en la seguridad web. Para luchar contra los delincuentes informáticos actuales, los gerentes de TI necesitan tener información sobre las amenazas avanzadas y mejorar su capacidad de respuesta a las amenazas que las defensas más actuales no detectan.

El Informe de amenazas de 2013 de Websense [PDF] revela una tendencia preocupante: la web se tornó significativamente más maliciosa en 2012, como vector de ataque y también como elemento de apoyo principal de otras trayectorias de ataque (por ej., redes sociales, dispositivos móviles, correo electrónico). Websense registró un aumento de cerca de seis veces más en el total de sitios maliciosos, 85% de los cuales fueron encontraron en hosts web legítimos que habían sido comprometidos. Más alarmante fue la información brindada por los ejecutivos de seguridad que comunicaron que la mayoría de las amenazas eludieron sus controles tradicionales, y expresaron que no se sienten preparados para hacer frente a las amenazas emergentes como el phishing dirigido.

Cristian de la Redacción de Segu-Info

Libro: Amenazas Persistentes Avanzadas: Cómo Manejar el Riesgo para su Negocio [ISACA]

octubre 23, 2013 § Deja un comentario

Muchas de las Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés) más destructivas de hoy fueron concebidas hace más de una década. Debido a esto, las empresas que dependen de las estrategias de ciberseguridad más tradicionales tienen pocas probabilidades de tener éxito contra la próxima generación de ataques. Esta es una de las advertencias que hace un nuevo documento publicado por ISACA, la asociación de TI global, en el Mes de la Consciencia sobre la Ciberseguridad.

Amenazas Persistentes Avanzadas: Cómo Manejar el Riesgo para su Negocio establece que las defensas tradicionales como los firewalls y el anti-malware no están listas para enfrentar a las APTs de hoy y que las organizaciones necesitan agregar habilidades, procesos y tecnología a su estrategia de ciberseguridad.

“Los motivos detrás de las APTs son tan antiguos como la civilización misma: espionaje, sabotaje, crimen, terrorismo, guerra y protesta. Lo nuevo es el aumento en los ataques y su sofisticación. Las empresas necesitan ver a las APTs más como una variedad distinta en lugar de como una nueva generación”, aseguró el autor David Lacey, CITP. Lacey es un futurista líder y una autoridad en la seguridad de TI cuya experiencia profesional incluye las posturas de riesgo y seguridad del Royal Mail Group y del Royal Dutch/Shell Group.

Una encuesta sobre ciberseguridad de ISACA realizada entre más de 1,500 profesionales de seguridad de todo el mundo descubrió que el 94 por ciento de los entrevistados creen que las APTs representan una amenaza real para la seguridad nacional y la estabilidad económica. Una de cinco empresas ya ha experimentado un ataque por parte de una APT, pero más de la mitad de los participantes de la encuesta no creen que las APTs difieren de las amenazas tradicionales.

El libro transmite dos mensajes importantes: combatir a las ATPs no es lo mismo de siempre, y las APTs deberían ser asunto de todos. Está escrito con un lenguaje claro y no técnico para que lo entiendan los ejecutivos de las empresas y los funcionarios del gobierno responsables de los valiosos activos intelectuales o de los servicios críticos que pudieran estar en la mira del ataque de una APT. Asimismo, explica las diferencias entre los controles necesarios para contrarrestar una amenaza persistente avanzada y aquellos que se utilizan para mitigar el riesgo para la seguridad de la información cotidiano.< El libro de ISACA le da a las empresas información sobre las técnicas efectivas para combatir a las APTs. Fue escrito como un análisis práctico de los temas que muchas organizaciones no entienden completamente, incluyendo:

  • Las deficiencias típicas de los procesos actuales de la ciberseguridad
  • Cómo decir si usted está experimentando el ataque de una APT
  • Qué es un riesgo moral y cómo afecta a las ATPs
  • Cómo interrumpir una ciber “cadena de muerte” (las etapas de un ciberataque)

Mitigar el ataque de una APT se intersecta en parte con la guía y los controles convencionales, como aquellos definidos en el marco de referencia COBIT 5 de ISACA, los controles críticos del SANS Institute y los estándares de seguridad ISO/IEC 27001. Este libro se enfoca en las mejoras necesarias y destaca aquellas áreas en las que los controles necesitan fortalecerse o ampliarse. Esta es la edición más reciente de los recursos de ciberseguridad de ISACA, que incluyen el libro.

Esta es la edición más reciente de los recursos de ciberseguridad de ISACA, que incluyen el libro Respondiendo a los Ciberataques Dirigidos; Transformando la Ciberseguridad Usando COBIT 5; un programa de auditoría del cibercrimen, la Encuesta de Amenazas Persistentes Avanzadas; al comunidad de Ciberseguridad del Knowledge Center de ISACA, y la Conferencia sobre Seguriad de la Información y el Manejo de Riesgos, que se realiza del 6 al 8 de noviembre de 2013 en Las Vegas.

Fuente: ISACA

APT Kimsuky: con posibles conexiones con Corea del Norte

octubre 7, 2013 § Deja un comentario

Durante varios meses, hemos estado haciendo un seguimiento de una operación de ciberespionaje contra importantes figuras de Corea del Sur. Hay muchas razones por las que esta campaña se considera extraordinaria en su ejecución y logística. Todo comenzó un día en que encontramos un programa espía poco complejo que se comunicaba con su “dueño” mediante un servidor público de correos electrónicos. Esto es algo que los escritores de virus amateur suelen hacer.

Hay indicaciones de que los ordenadores de los “Seguidores de la unificación coreana” (http://www.unihope.kr/) también están comprometidos. Entre otras organizaciones que también tomamos en cuenta, 11 se encuentran en Corea del Sur y dos en China.

Muchos programas maliciosos de menor importancia participan de esta operación, pero cada uno implementa una única función espía. Encontramos bibliotecas básicas que son las responsables de la comunicación común con el jefe de campaña y módulos adicionales que realizan las siguientes funciones:

  • Registro de las teclas pulsadas
  • Recolección de los listados del directorio
  • Robo de documentos HWP
  • Descarga y ejecución de controles remotos
  • Acceso a distancia

Las pistas que encontramos nos permiten suponer que los ataques se originan en Corea del Norte. Puedes encontrar el informe detallado de la operación en nuestro artículo La Operación ‘Kimsuky’: una APT norcoreana?

Fuente: Viruslist

Campaña de ciberespionaje que usa "cibermercenarios" #IceFog

septiembre 29, 2013 § Deja un comentario

El equipo de investigación de seguridad de Kaspersky Lab publicó el 26 de septiembre un nuevo trabajo de investigación sobre el descubrimiento de “Icefog” [PDF], un pequeño pero muy activo grupo de APT (Amenazas Persistentes Avanzadas) centrado en objetivos de Corea del Sur y Japón, afectando a la producción de empresas occidentales. La operación se inició en 2011 y el aumentó en tamaño y alcance en los últimos años.

“Durante los últimos años hemos visto gran un número de APTs que atacaban cualquier tipo de víctima y sector. En la mayoría de los casos, los atacantes mantienen una presencia en las redes corporativas y gubernamentales durante años y extraen terabytes de información confidencial”, afirma Costin Raiu, Director, Global Research & Analysis Team de Kaspersky Lab. “La naturaleza de los ataques Icefog demuestran una nueva tendencia: han surgido pequeñas bandas que actúan persiguiendo información con intervenciones muy precisas. El ataque suele durar unos pocos días o semanas, y después de haber obtenido lo que buscaban, hacen limpieza y se marchan. En el futuro, creemos que aumentará el número de grupos pequeños, enfocados en APT de alquiler especializados en operaciones de ‘hit-and-run’, una especie de ‘cibermercenarios’.

Principales conclusiones

  • Según los perfiles de los objetivos descubiertos, los ciberdelincuentes parecen tener un interés especial en los siguientes sectores: militar, naval y operaciones marítimas, equipos y desarrollo de software, empresas de investigación, operadores de telecomunicaciones, los operadores de satélites, medios de comunicación y la televisión.
  • Algunas de estas empresas son Lig Nex1 y Selectron Industrial Company del sector defensa; construcción naval como DSME Tech, Hanjin Heavy Industries; operadores de telecomunicaciones como Korea Telecom; y medios de comunicación como Fuji TV y la Japan-China Economic Association.
  • Los atacantes secuestran documentos sensibles, planes de la compañía, credenciales de cuentas de correos electrónicos y contraseñas de acceso a diferentes recursos dentro y fuera de la red de la víctima.
  • Durante la operación, los atacantes han utilizado un conjunto de “Icefog” backddor (también conocido como “Fucobha”). Kaspersky Lab identificó versiones de Icefog tanto para Microsoft Windows como para Mac OS X.
  • En la mayoría de las campañas de APT, las víctimas permanecen infectadas durante meses o incluso años, y los atacantes extraen continuamente datos. Los operadores Icefog están procesando las víctimas una por una – localizan y copian sólo información específica. Una vez que se ha obtenido la información requerida, se van.
  • En casi todos los casos, los operadores Icefog parecen saber muy bien lo que necesitan de las víctimas. Buscan nombres de archivo específicos, que se identifican con rapidez, y se transfieren a la C&C.

El ataque y funcionalidad

Los analistas Kaspersky han “sinkholizado” 13 de los más de 70 dominios utilizados por los atacantes. Esto ha aportado datos concretos sobre el número de víctimas existentes en todo el mundo. Además, los servidores de comando y control Icefog mantienen registros cifrados de las víctimas, junto con las diversas operaciones que se realizan sobre ellos por los operadores. Estos registros a veces pueden ayudar a identificar los objetivos de los ataques y, en algunos casos, a las víctimas. Además de Japón y Corea del Sur, se observaron muchas conexiones del sinkhole con otros países, incluyendo Taiwán, Hong Kong, China, EE.UU., Australia, Canadá, Reino Unido, Italia, Alemania, Austria, Singapur, Bielorrusia y Malasia. En total, Kaspersky Lab observó más de 4.000 IPs únicas infectadas y varios cientos de víctimas (unas pocas docenas de Windows y más de 350 víctimas de Mac OS X).

Basado en la lista de direcciones IP utilizadas para monitorizar y controlar la infraestructura, los expertos de Kaspersky Lab asumen que algunos de los actores de esta operación están centrados en al menos tres países: China, Corea del Sur y Japón.

Fuente: DiarioTI

Detectan nuevas incidencias de la avanzada amenaza NetTraveller

septiembre 18, 2013 § Deja un comentario

NetTraveller ya había infectado a cientos de víctimas de alto perfil en más de 40 países.

Los analistas de Kaspersky Lab alertan de un nuevo ataque de NetTraveller (también conocido como “Travnet” o “Netfile” o “Red Star APT”), una ciberamenaza muy avanzada que ya había infectado a cientos de víctimas de alto perfil en más de 40 países. Algunas de las víctimas conocidas son activistas tibetanos, compañías petroleras, centros e institutos de investigación científica, universidades, compañías privadas, gobiernos y organismos gubernamentales, embajadas y bases militares.

Inmediatamente después de que se dieran a conocer las operaciones de NetTraveller en junio de 2013, los atacantes cerraron todos los dominios y controles del sistema y los trasladaron a nuevos servidores en China, Hong Kong y Taiwan; continuando con los ataques indiscriminadamente, como está ocurriendo ahora.

Durante los últimos días, se enviaron varios emails de phishing a diferentes activistas de Uyghur. El exploit Java que distribuye esta nueva variante de Red Star APT (parcheado en junio de 2013) ha tenido mucho más éxito que el anterior, que usaba Office exploits, y para el que se ideó un parche de Microsoft en abril de 2013 (CVE-2012-0158).

Además de la utilización de la plataforma para enviar phishing vía email, creadores de APT han adoptado la técnica de watering hole (redireccionamiento web y drive-by en las descargas de dominios) para infectar a las víctimas que navegan por la web.

Durante el último mes, Kaspersky Lab ha interceptado y bloqueado una serie de intentos de infección del dominio “wetstock[punto]org”, un sitio ya relacionado con los ataques de NetTraveler anteriores. Estas redirecciones parecen proceder de otros sitios web uigures comprometidos e infectados por los atacantes NetTraveler.

Los expertos de Kaspersky Lab afirman que podrían integrarse nuevos exploits que ataquen de forma dirigida, por lo que ofrecen las siguientes recomendaciones para mantenerse a salvo de los mismos:

  • Actualizar Java o, en caso de no utilizar Java, desinstalarlo.
  • Actualizar Microsoft Windows y Office con la última versión disponible.
  • Actualizar cualquier otro software, como Adobe Reader.
  • Utilizar un navegador seguro, como Google Chrome, que tiene un desarrollo mucho más avanzado que Internet Explorer.
  • No hacer clic en links ni abrir adjuntos de personas desconocidas.

“Hasta ahora, no hemos observado la utilización de vulnerabilidades zero-day en el grupo NetTraveller. Los parches ayudan, pero para protegernos mejor, podemos utilizar tecnologías como Automatic Explot Prevention y DefaultDeny, que son muy efectivas contra amenazas avanzadas y persistentes”, afirma Costin Raiu, director del GREAT de Kaspersky.

Fuente: DiarioTI

Ataques dirigidos: un plan de 8 pasos para proteger la empresa

agosto 1, 2013 § 1 comentario

Actualmente la gran mayoría de compañías centra la seguridad informática en la protección de los puestos de trabajo con herramientas tales como los antivirus, cortafuegos, o sistemas de prevención de intrusos. Sin embargo, los últimos estudios sobre el tema apuntan a que es conveniente añadir otros niveles de seguridad para asegurar que la información crítica está protegida.

Según un estudio que ha realizado la compañía de seguridad Imperva, los ataques dirigidos mediante técnicas de ingeniería social desafían continuamente estas tecnologías, y es a través de ellas como los intrusos consiguen los privilegios para acceder a los datos más críticos.

Los hackers saben que los datos sensibles de las empresas se alojan en base de datos, servidores de ficheros, y aplicaciones; es por ello que la seguridad hay que aplicarla también cerca de los datos, y no sólo en el puesto de trabajo ó en el perímetro.

Imperva recomienda el siguiente pan de 8 pasos [PDF] para defenderse de los ataques dirigidos:

Paso 1: Reducción del riesgo
El punto de partida debe ser la identificación de los datos sensibles; a los que se les debe aplicar políticas de seguridad, y mecanismos de auditoría que registren cada uno de los accesos a los datos para detectar comportamientos maliciosos.


Paso 2: Prevención de amenazas
Es importante prevenir mediante la formación de los usuarios para que puedan identificar y eliminar correos sospechosos de usar cualquier método de ingeniería social como el phising. Es aconsejable reforzar la prevención mediante soluciones Web Gateway que faciliten el filtrado de de URLs, y la detección de malware.

Paso 3: Detección de amenazas
En el caso de que el intruso haya conseguido entrar en el sistema es fundamental detectar y bloquear comportamientos anómalos que violen las políticas de seguridad del contenido de las bases de datos, y de los ficheros no estructurados. Es importante también identificar a los usuarios que hayan sido comprometidos por el ataque.

Paso 4: Bloqueo del Command and Control
El siguiente paso es desactivar la actividad atacante rompiendo la comunicación entre el malware alojado y el Command Control externo.

Paso 5: Deshabilitar el acceso de los usuarios comprometidos a la información sensible
Mientras se erradica completamente la amenaza, es vital evitar que los usuarios expuestos continúen teniendo acceso a los datos críticos.

Paso 6: Actualización de las contraseñas de los usuarios
Cuando un ataque dirigido ha conseguido entrar e un sistema normalmente es debido a la violación de las credenciales de algún usuario; es por ello que es altamente recomendable el cambio de contraseñas de todos los usuarios.

Paso 7: Reconstrucción de los dispositivos infectados
Ante un ataque de malware a gran escala es aconsejable reconstruir los equipos de los usuarios infectados mediante herramientas centralizadas de despliegue.

Paso 8: Análisis del incidente
Para finalizar, es muy conveniente realizar una análisis forense del incidente, y una auditoría que proporcionen tendencias y patrones para identificar los riesgos de seguridad.

Imperva, como fabricante de seguridad, recomienda:

  • Auditoría de todos los accesos a la información restringida almacenada en base de datos, ficheros no estructurados, aplicaciones web, SharePoint, y directorio activo.
  • Monitorización de los datos sensibles con alertas en tiempo real
  • Establecimiento de patrones e identificación de comportamientos sospechosos
  • Marco flexible de políticas de seguridad
  • Bloqueo de usuarios internos, y de dispositivos sospechosos
  • Generación de informes predefinidos y personalizados

Fuente: Baquia

ISACA: Conocimiento de amenazas persistentes avanzadas es fundamental

julio 16, 2013 § Deja un comentario

Las compañías a nivel mundial no tienen el pleno conocimiento de las amenazas persistentes avanzadas (APT, por sus siglas en inglés), por lo que no están preparadas para hacer frente a este tipo de ciberataques, algo que es fundamental en la actualidad.

De acuerdo con Juan Luis Carselle, vicepresidente internacional de ISACA, el estudio Advanced Persistent Threat arrojó que solo 25% de las empresas tienen conocimiento sobre lo que es una amenaza persistente avanzada.

Asimismo, 42% de las compañías se dijo familiarizada con el tema, 29% que habían escuchado sobre ellas y 4% denotó un desconocimiento total.

Las amenazas persistentes avanzadas son ciberataques en los que los hackers acceden a una red y permanecen allí sin ser detectados durante un largo periodo de tiempo.

“Además, estos ataques no son oportunistas, son sigilosos y camaleónicos. Suelen ser de día cero”, comentó Carselle. Según el informe, en la actualidad 47% de los ciberataques suelen ser únicos.

A pesar de la peligrosidad de estos ataques informáticos, las empresas no se sienten capaces de enfrentarlos, así opinó 60% de las encuestadas.

“Para defenderse, las empresas deben ofrecer más capacitación sobre seguridad, administración de proveedores y manejo de incidentes. Además los líderes empresariales deben darle a este asunto la atención que merece”, agregó Carselle.

Actualmente, las amenazas se dirigen directamente a las personas por lo que el problema no solo es de tecnología. La educación y conocimientos de los usuarios son críticos para su éxito.

El panorama de las amenazas ha evolucionado desde los hackers, hasta personas dentro de las organizaciones que tienen acceso a información privilegiada. De los ataques patrocinados por estados, hasta los dirigidos a empresas por lo que son, hacen y por el valor de su propiedad intelectual.

Fuente: bSecure

¿Dónde estoy?

Actualmente estás explorando la categoría APT en Seguridad Informática.