Archivo para Enero, 2010
El comienzo de año suele ser una época muy esperada para muchos: vacaciones, paseos, etc. Sin embargo, los desarrolladores de malware no se toman vacaciones y constantemente buscan nuevas formas y estrategias que permitan propagar sus amenazas e infectar los equipos de los usuarios.
Y como era de esperar, durante enero se produjeron una serie de acontecimientos relevantes en materia de malware, que a continuación les comento.
- Casi a finales del mes, tomo público conocimiento un ataque dirigido contra grandes compañías entre las cuales se encuentran Google, Adobe y Juniper (y muchas más) que se conoció bajo el nombre de “Operación Aurora” y cuyo objetivo, que por el momento no se encuentra claro, tuvo dos posibles hipótesis. Por un lado, el posible robo de información de propiedad intelectual; y por el otro, el robo de credenciales de Gmail de activistas chinos de derechos humanos.
El origen de este ataque fue la explotación de una vulnerabilidad en Internet Explorer 6, sin embargo, otro aspecto relevante es que la misma técnica utilizada en el ataque se masificó y en este momento está siendo activamente utilizada para la propagación de malware a través de técnicas como drive-by-download y explotando otras versiones del navegador de Microsoft.
- Si bien este notorio incidente de seguridad constituye un claro ejemplo de lo que habíamos advertido como una tendencia para este año 2010: ataques dirigidos a grandes organizaciones, lo cierto es que también despertó la discusión en torno a una vieja problemática constituida por las vulnerabilidades.
En este sentido y si bien la explotación de vulnerabilidades no es una novedad, a principios de mes una campaña masiva de infección a través de archivos PDF dejó nuevamente en evidencia la importancia de las actualizaciones de seguridad. Sobre todo teniendo en cuenta que este tipo de técnicas maliciosas son uno de los vectores más aprovechados para la propagación de malware en las empresas y que forman parte de un negocio fraudulento que mueve los ejes del crimeware.
- En otro orden de relevancia, en muchas oportunidades hemos comentado que las técnicas de engaño son uno de los puntos clave para la propagación de malware, y que por lo tanto, cualquier evento de amplia difusión en los medios de información constituye una excusa para los propagadores de malware. En este sentido, durante enero una campaña de infección utilizó el problema en Haití para propagar rogue a través de estrategias BlackHat SEO, al igual que el reciente caso del hoax Facebook Unnamed App. Para entender mejor el funcionamiento del rogue pueden ver nuestro video educativo.
- Como es costumbre en materia de seguridad, y durante todo el año, es la problemática que representan para cualquier usuario (sin importar su nivel de conocimiento) y organización (sin importar su envergadura) algunas metodologías “convencionales” dentro del mundo de las amenazas, como el spam que representa un problema de nunca acabar, o el scam que siempre reaparece, en este caso utilizando el nombre de ESET.
- Por último, hemos realizado un breve análisis sobre uno de los códigos maliciosos con mayor volumen de variantes, detectado por ESET NOD32 bajo el nombre de LockScreen, y cuyo método de infección posee conceptos íntimamente relacionados con el ransomware.
Como podrán apreciar, el 2010 comenzó con bastantes actividades maliciosas en materia de seguridad, y particularmente en torno al malware y sus estrategias de propagación.
Para obtener más información sobre las amenazas más destacadas de este mes, pueden visitar nuestro Ranking de propagación de amenazas de enero y el informe de amenazas. En ambos encontrarán más detalles sobre las diferentes amenazas mencionadas.
Jorge Mieres
Analista de Seguridad
Categories: Reportes mensuales
2 Comments »
Continúa de Pecados capitales de la seguridad para PyMEs (parte I)
Pecado número 2: Los incidentes de seguridad ocurren y deben corregirse
Los esfuerzos que los diversos integrantes de la organización realizan con respecto a incidentes de seguridad suelen ser desequilibrados, en comparación con las buenas prácticas recomendadas.
Se dice que la seguridad debe contar con medidas para los tres momentos de un ataque: antes, durante y después. El antes refiere a la prevención, a cualquier medida dedicada a evitar que un incidente ocurra. En esta categoría se incluye, por ejemplo, un software de seguridad antivirus como ESET NOD32 y ESET Smart Security , o un control de acceso autorizado. El después refiere a cualquier control existente para recuperar la información y el estado de los recursos en caso que ocurra un incidente. Por ejemplo, una copia de seguridad no evita el incidente, pero en el caso que cierta información sea comprometida, ésta podrá recuperarse en un estado razonable. Los controles restantes, el durante, son aquellos dedicados a la detección de incidentes. En el caso que cierta información sufra algún ataque, es importante poder detectarlo, y para ello es necesario contar con controles de este tipo. En esta categoría se incluyen, por ejemplo, detectores de intrusos o herramientas de auditoria y control de cambios sobre un sistema.
A pesar de que una correcta gestión de la seguridad debe incluir todos los tipos de medidas mencionadas, hay una falsa creencia respecto a la importancia con la que éstas deben ser consideradas. La prevención debe ser, ante todo, el eje de cualquier estrategia de seguridad.
En las PyMEs es un error frecuente la naturalización de los incidentes. Esto implica la asignación de muchos recursos para la resolución de incidentes en proporción con los recursos asignados a la prevención. Por ejemplo, en la prevención contra códigos maliciosos, es frecuente que estas organizaciones dediquen muchas horas de soporte técnico a la reparación de equipos infectados, en lugar de contar con un software de seguridad correctamente instalado en toda la red que prevenga las infecciones.
A largo plazo, los costos de prevención suelen ser menores que los costos de remediación, y claramente disminuyen los riesgos de manera notable. Es por esto que, en la asignación de recursos, la prevención debe ser prioritaria. El mejor incidente es aquel que no ocurre, y para ello las medidas de seguridad en la empresa deben estar preparadas para la prevención.
Conclusión
Implementar de forma exitosa programas de seguridad de la información en las PyMEs es una tarea compleja, ya que las brechas tecnológicas son amplias en comparación con las grandes empresas.
Contemplar todos los puntos necesarios para un plan correcto de seguridad es delicado cuando los recursos y el conocimiento en la materia son escasos, como suele ocurrir en pequeñas y medianas empresas. En ese contexto, suelen ocurrir los errores descritos en el presente artículo.
Sin embargo, lo que parece una tarea difícil es en realidad la suma de una serie de medidas organizadas, que son posibles de llevar a cabo si son incentivadas desde los cargos más jerárquicos de la organización, y son acompañadas con el compromiso de todos los integrantes de la misma.
La seguridad de la información es un proceso continuo donde cada etapa debe ser fuente de mejora para la siguiente. A pesar de los inconvenientes ya mencionados, este proceso es posible en empresas PyMEs, si se realiza con el compromiso y la convicción de que la información es un bien de valor, y que por lo tanto, debe ser protegido.
Para más información, consulte el curso on-line “Seguridad para PyMEs” disponible en la Plataforma Educativa de ESET Latinoamérica.
Puede ver el artículo completo en el Centro de Amenazas de ESET Latinoamérica.
Sebastián Bortnik
Analista de Seguridad
Categories: Gestión, Informes
No Comments »
Los códigos maliciosos del tipo rogue componen parte del ecosistema que actualmente, y económicamente hablando, forman parte del negocio del crimeware; contando en la actualidad con un importante volumen de familias que día a día inundan Internet con nuevas variantes.
A continuación les dejo un nuevo y breve listado del rogue más relevante de los últimos meses que se suma a los listados anteriormente expuestos:
- Antivirus Doctor
- Anti-Virus Elite 2010
- Anti-Virus Live 2010
- Contraviro
- Doctor Alex
- Ecology Green PC
- ErrorClean
- Green AV
- Home Antivirus 2010
- Malware Mechanic
- MicroV3
- MicroVaccine
- NoAdware
- NoMalware
- PC Antispyware 2010
- PC Security 2009
- Pope Green Defender
- Privacy Center
- Proof Defender 2009
- Registry Doktor 2009
- SaferScan
- Safety Anti-Spyware
- Save Defender
- Save Soldier
- Screen-Spy
- Soft Safeness
- System Cleaner
- Trust Warrior
- UnVirex
- Windows System Suite
ESET NOD32 detecta proactivamente todas estas amenazas. Por lo tanto, lo recomendable es la implementación de una solución de seguridad antimalware que permita mantener la seguridad del sistema de forma eficaz.
Jorge Mieres
Analista de Seguridad
Categories: Malware
6 Comments »
Un hoax es un mensaje falso, distribuido en forma masiva, con objetivos inofensivos a los sistemas, tales como molestar, alimentar el propio ego del creador o generar miedo.
En esta oportunidad, un hoax se ha distribuido por la popular red social Facebook. Muchos usuarios de esta, habrán visto en el día de hoy a alguno de sus contactos dejar un mensaje como el siguiente (el mensaje se distribuyó principalmente en inglés, pero dejo la traducción libre al español debajo):
ALERT >>>>> Has your facebook been running slow lately? Go to “Settings” and select “application settings”, change the dropdown box to “added to profile”. If you see one in there called “unnamed app” delete it… Its an internal spybot. Pass it on. about a minute ago….i checked and it was on mine.
ALERTA >>>>>> ¿Tu facebook está funcionando lento? Andá a “Configuración” y selecciona “Configuración de las aplicaciones” y cambiá el combo a “Agregadas al perfil”. Si observas un campo bajo el título “unnamed app” borralo, es un spybot interno. Pasá el mensaje, hace un minuto lo corroboré y yo lo tenía.
El mensaje es falso. La aplicación denominada “unnamed app” no es un spyware. Finalmente, se trató de un error en Facebook que modificó el nombre de un aplicación por error. Por lo tanto, si encuentran esa aplicación, no la borren, no es una amenaza.
Para corroborar el poder del hoax, incluso usuarios de Twitter continuaron el falso mensaje por fuera de la red social:
Hasta aquí la breve historia del hoax. Sin embargo, reflejo de la velocidad que poseen los atacantes para perpetrar amenazas; luego de que comenzara a circular el mensaje, una campaña de e BlackHat SEO fue lanzada utilizando el nombre de esta supuesta aplicación, tal como se observa en la siguiente imagen:
Si el usuario accede a alguno de los enlaces maliciosos (en el recuadro rojo), observará un clásico rogue que presenta falsas alertas de seguridad, y que luego descarga un archivo malicioso detectado por la heurística de ESET NOD32 como “una variante de Win32/Kryptik.BXJ“.
En resumen, los atacantes convirtieron lo que era un inofensivo hoax, en una nueva oportunidad para propagar malware.
Los atacantes son rápidos, y del lado del usuario es importante actuar de la misma forma: no hacer clic en enlaces desconocidos, mantenerse informados y protegidos con una solución antimalware.
Sebastián Bortnik
Analista de Seguridad
Categories: Alertas, Hoax, Malware
2 Comments »
Como bien anunciaba mi compañero Jorge Mieres en el post sobre Operación Aurora, luego de la realización de un ataque dirigido a grandes organizaciones (por lo cual fue popularizado el incidente), el mismo ahora “ocurre en forma masiva desde distintos sitios a través de Drive-by-Download“. Para más detalles sobre el ataque pueden leer la nota de prensa publicada al finalizar la semana por ESET Latinoamérica.
Desde el blog de ESET en inglés, Pierre-Marc Bureau comparte algunos datos sobre la mencionada masificación de esta amenaza:
Hasta el momento, hemos detectado más de 650 versiones del código del exploit, todos detectados por ESET NOD32 como Trojan.JS/Exploit.CVE-2010-0249. También hemos identificado más de 220 puntos de distribución únicos del exploit, en su mayoría localizados en Asia. Los países donde hemos visto la mayoría de los ataques son China, Corea y Taiwan.
En un análisis del proceso de infección y el código del ataque, se concluye que un usuario que acceda a un sitio web malicioso con un exploit para esta vulnerabilidad, y que no haya actualizado (instalado el parche) su navegador Internet Explorer, o no posea una solución antivirus con la base de firmas actualizada, terminará infectado con 8 archivos maliciosos distintos.
Como bien indica Bureau, “la evolución del uso del exploit sigue el curso natural de lo que hemos venido observando en los últimos meses“. Vulnerabilidades de este tipo son aprovechadas en una primera etapa para realizar unos pocos ataques dirigidos (como lo anunciáramos en el informe de tendencias para el 2010). Cuando los detalles del exploit se vuelven públicos, “los desarrolladores de malware lo integran en su código y lo usan para infectar tantos usuarios como sea posible“.
Esta evolución puede observarse para otros códigos maliciosos que explotan vulnerabilidades, como el caso de Conficker. Especialmente la segunda etapa es la más importante para aprender de este tipo de incidentes: los ataques se vuelven masivos luego de la publicación de los detalles.
Aunque los índices de infección no reflejen lo mismo, esta característica debería ser aprovechada por los profesionales responsables de la seguridad en las redes corporativas. Al masificarse los ataques luego de la publicación de las mismas, aquellos que deban gestionar la seguridad en las redes deben estar atentos a cuáles son las vulnerabilidades que se van publicando, y mantener lineamientos proactivos en protección de los sistemas: contar con soluciones antivirus con capacidades de detección proactiva y base de firmas actualizada, y mantener una política de actualización de software para no tener aplicaciones o sistemas operativos vulnerables.
Son muy pocos (prácticamente nulos) los casos en donde se explota masivamente una vulnerabilidad que no sea pública, y esto debe ser aprovechado por las organizaciones para mantener sus redes libres de malware.
Sebastián Bortnik
Analista de Seguridad
Categories: Alertas, Malware
3 Comments »
|
