Hoy en día se pueden encontrar varios tipos de ataques destinados a afectar los gamers. Anteriormente hemos analizado diferentes muestras de la clase OnlineGames y demostramos cómo operan los atacantespara lograr sus objetivos. La muestra que analizaremos hoy, detectada por ESET NOD32 Antivirus como Win32/PSW.WOW.NSA, presenta un tipo de ataque no muy común, que atenta contra los datos de las credenciales del usuario.

Este código malicioso afecta a los servidores americanos de World of Warcraft (WoW). Cabe destacar qu este juego es uno de los MMORPG más difundidos a nivel mundial, teniendo al día de la fecha una cantidad estimada de 10 millones de usuarios repartidos alrededor del globo.

Por medio de diferentes imágenes trataremos de ir explicando cómo el código malicioso logra obtener información acerca de las cuentas de WoW que tenga el usuario afectado. Es casi un hecho que cada vez que nos hacemos una cuenta en algún juego o servicio de Internet, en este se solicita un correo electrónico para mandar la información de registro con los datos de la cuenta creada.

Partamos de eso para pensar como un desarrollador de malware podría obtener nuestras credenciales “hackeando” nuestro mail y leyendo los datos desde allí. Eso es lo que hace la muestra analizada.

El malware usa diferentes técnicas para capturar y analizar la memoria del navegador del usuario. Si nos fijamos en las strings del ejecutable con OllyDBG, nos encontraremos con varias direcciones IP:

Ver m�s… »

Categories: Análisis de malware, Curiosidades
No Comments »

Así como hemos anunciado en tendencias, las botnets van ocupando un lugar importante en la lista de los códigos maliciosos de mayor propagación. Estas redes afianzan el malware dinámico como una estrategia más efectiva de manipulación de equipos con fines delictivos.

El blog de seguridad suizo, abuse.ch, realizó un análisis más detallado de esta amenaza. De esta forma ,se establece el vínculo entre la magnitud de las botnets y su capacidad de hacer daño. Para poder estimar el tamaño de estas redes, se utilizó una técnica denominada sinkholing: se trata de redirigir el tráfico que proviene de cada cliente hacia un servidor que no es el C&C (servidor de Comando y Control) de la botnet; y así poder analizar su comportamiento para desarticular la amenaza.

A continuación veremos una tabla con la cantidad de direcciones IP registradas para algunas de las botnets más reconocidas.

En la gráfica podemos observar que la botnet TDSS, también detectada por ESET como: Alureon, Tidsserv o TDL4; posee 90.330 equipos infectados. De esos, más de 50 mil son nuevas direcciones IP. Resulta llamativo, por otro lado, que los troyanos bancarios (Carberp, Gozi, SpyEye y ZeuS) poseen mucho menos cantidad de terminales infectadas que la TDSS, el famoso rootkit de fraude a través de clics. Según la fuente, este comportamiento se debe a que el fraude bancario llama más la atención a las autoridades. Se necesita una cuenta adonde transferir los fondos, o en sus efectos, un procedimiento de lavado de dinero.

El fraude a través de los clics, no obstante, es más fácil de encubrir ya que normalmente nadie sabe de lo que se está hablando. Las personas que están infectadas, no se ven comprometidas, ya que sólo se simula un acceso a los anuncios publicitarios sin ocasionar mayores problemas al usuario.

En la gráfica siguiente, podemos observar a Artro, que es una botnet con 167.523 terminales, casi el doble de equipos infectados que TDSS. De igual modo, ¿es ese número suficiente para poder decir que una botnet es grande?

Antes de contestar a esa pregunta, es interesante prestar atención a la siguiente imagen, en donde aparece Ponmocup. Una botnet de gran tamaño que posee más de un millón de clientes. Se cree que deben existir muchas otras botnets que superan el millón de terminales y aún no fueron detectadas. El objetivo de estas redes es justamente trabajar en silencio el mayor tiempo posible:

No obstante, recordamos la entrevista realizada en una oportunidad al investigador de ESET, Pierre-Marc Bureau, en donde nos comentaba que todo indica que las grandes botnets tienden a desaparecer. Éstas serán reemplazadas por redes más pequeñas y con operadores locales. Es decir, cada vez más redes y más pequeñas.

Por lo tanto, podemos afirmar que el tamaño de una botnet no es necesariamente lo que la hace más efectiva. Ya sean formadas por algunas decenas de miles, como por millones de clientes, su impacto va a estar dado por la adaptación de su tamaño a la actividad delictiva que desempeñen.

Raphael Labaca Castro
Awareness & Research Specialist

Categories: Estadísticas, Malware
No Comments »

Pensar la seguridad en la empresa no es tarea sencilla: es un proceso complejo y continuo, que involucra diversos controles tanto tecnológicos, como de gestión como educativos. No obstante, desde ESET creemos firmemente que todas las empresas están preparadas para afrontar este desafío, y para ello, qué mejor que conocer los principios que deben regir la protección de la información. Para ello, hemos desarrollado este material, que compartimos hace unas pocas semanas con ejecutivos de empresas colombianas, y que ahora ponemos a disposición del público: los 10 mandamientos de la seguridad corporativa:

1. Definirás una política de seguridad: es el documento que rige toda la seguridad de la información en la compañía. ¿Algunos consejos? Que no sea muy extensa (ningún empleado podrá comprometerse con un documento de cincuenta páginas), que sea realista (pedirle a los empleados cosas posibles, ya que sino perderán credibilidad) y que se les de valor (otra recomendación: que las mismas sean entregadas a los empleados por los altos cargos o el departamento de Recursos Humanos, en lugar del soporte técnico de IT).
2. Utilizarás tecnologías de seguridad: son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam; estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.
3. Educarás a tus usuarios: …y comenzando por la aclaración: educarás a todos tus usuarios. Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ThreatSense.Net,
   el 45% de las amenazas detectadas en la región utilizan Ingeniería Social, por lo que atentan contra el desconocimiento del usuario para infectarlo.
4. Controlarás el acceso físico a la información: la seguridad de la información no es un problema que deba abarcar sólo la información “virtual”, sino también los soportes físicos donde esta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a estos? Sin lugar a dudas, el acceso físico es fundamental. También deben se considerados en este aspecto los datos impresos, como por ejemplo el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.); o el acceso a las impresoras (¿alguien podría tomar “accidentalmente” información confidencial?).
5. Actualizarás tu software: las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.
6. No utilizarás a IT como tu equipo de Seguridad Informática: es uno de los errores más frecuentes, y omiten la importancia de entender que la seguridad, no es un problema meramente tecnológico. Además, es importante que exista un área cuyo único objetivo sea la seguridad de la información, y esta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.
7. No usarás usuarios administrativos: de esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo. Una vez más, vale destacar la importancia de aplicar este control para toda la empresa: los integrantes del departamento de IT o la alta gerencia, también deben utilizar permisos limitados en el uso diario de la computadora.
8. No invertirás dinero en seguridad, ¡sin pensar!: la seguridad deben ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad, sin medir el valor de la información que se está protegiendo, y la probabilidad de pérdidas por incidentes; puede derivar en dinero mal invertido, o básicamente en dinero perdido. La seguridad debe proteger la información, el valor de esta y, como se dijo, el negocio. Para ello, es importante calcular… ¡y pensar!
9. No terminarás un proyecto en seguridad: se que parece extraña, pero no lo es, porque… ¡tampoco empezarás un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información no puede ser pensada como un proyecto, sino como una etapa de mejora continúa, como una necesidad permanente del negocio.
10. No subestimarás a la seguridad de la información: finalmente, entender el valor que asigna al negocio tener la información protegida, es nuestro último y quizás más importante mandamiento. Pensar que un control no debe implementarse, porque “no creo que esto me ocurra”, es uno de los peores errores que un ejecutivo puede cometer y, en caso de que ocurra, serán muchos los que deban arrepentirse: muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

Estos son, a nuestro criterio, los diez mandamientos de la seguridad en la empresa. Y tú, ¿qué opinás? Si agregarías o sacarías alguno, este es el lugar para dejar tu opinión. Si no, es momento de ponerse a trabajar: a cuidar la empresa.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Gestión
6 Comments »

Luego de varios meses de mucho trabajo por parte de un numeroso grupo de colaboradores, la iniciativa Argentina Cibersegura ve la luz oficialmente. El día 1 de junio fue la fecha elegida, y se hará en el marco de un evento al cual asistirán tanto los miembros actuales como una gran cantidad de invitados, y se abrirá la convocatoria a todos aquellos que quieran participar y sumarse a esta interesante propuesta de educación en ciberseguridad. La entrada es libre y gratuita.

El proyecto busca crear un espacio online seguro, en base a la concientización y educación de las personas que lo utilizan. Para esto se han juntado profesionales de diferentes áreas de la seguridad de la información, desde la tecnología, la gestión, las leyes; hasta la seguridad física, ya que la seguridad no es un tema de un solo sector ni es exclusivo de la tecnología, sino que es transversal a varias disciplinas.

Argentina Cibersegura es un proyecto abierto y sin fines de lucro, conformado tanto por profesionales independientes, como por empresas privadas, organismos públicos, fuerzas de seguridad e instituciones educativas. La idea surgió originalmente de una adaptación de Securing Our eCity, el modelo de ciudad cibersegura desarrollado por ESET Norteamérica, que a la vez tuvo su inspiración en la Gira Antivirus de ESET Latinoamérica. Con el tiempo, Securing Our eCity, que supo ser un proyecto propio de ESET Norteamérica, terminó por ser hoy en día abierto e independiente de toda empresa. Argentina Cibersegura nació como proyecto abierto como parte de la adaptación del modelo, y se espera que con el tiempo pueda llevarse también a otros países de la región.

El día del evento expondrán varios colaboradores de la iniciativa, como el Dr. Ricardo Saenz, que hablará sobre la ley de delitos informáticos en Argentina a 3 años de su creación, Hernán Racciatti y Claudio Caracciolo, que compartirán su amplia experiencia en charlas educativas para niños, padres y docentes, Facundo Malaureille y Federico Pacheco, que explicarán la estructura de la iniciativa, el camino recorrido, y la planificación del camino por recorrer y como figura destacada e invitada especial, nos acompañará Liz Fraumann, directora del proyecto Securing Our eCity en USA, que nos hablará sobre su arduo trabajo desde los inicios hasta hoy, con la gran dimensión que ha tomado el proyecto. También disertarán miembros de los grupos de trabajo para contar el por qué de la existencia de cada grupo, las ideas que surgieron y las dificultades a las que se enfrentaron en el trayecto.

Para más información sobre el evento, o si desean participar, en el sitio web del proyecto pueden encontrarse los detalles. Esperamos que este sea un exitoso comienzo formal para un proyecto tan ambicioso como interesante, donde ESET Latinoamérica también colabora, como parte de su compromiso constante con la educación.

Federico Pacheco
Education & Research Manager

Categories: Eventos
1 Comment »

Siempre es para mí un agrado empezar la semana compartiendo con ustedes todas las actividades referidas a la Gira Antivirus, la iniciativa educativa de ESET Latinoamérica por la cual llevamos charlas sobre Seguridad de la Información a todos los países de la región. Esta semana, los países que estarán recibiendo nuestras charlas y seminarios son Uruguay y Argentina.

En el primero, estaremos realizando actividades en varias universidades del país, según el siguiente cronograma:

• Lunes 30 de mayo, a las 20:00hs. en el Universitario Autónomo del Sur (Avenida Uruguay 1225).
• Martes 31 de mayo, a las 18:30hs. en el BIOS (Hotel Ibis, Calle la Cumparsita 1473).
• Miércoles 1 de junio, a las 10:00hs. en el UDELAR Zona ESTE.
• Miércoles 1 de junio, a las 19:00hs. en la ORT (Cuareim 1451).

En todas las universidades, estaré dictando el seminario “Ataques informáticos: las armas del cibercrimen“.

Finalmente, el día jueves 2 de junio estaremos asistiendo junto a Videosoft, Distribuidor Exclusivo de ESET, a Segurinfo Uruguay, donde además de contar con un stand, en el cual estaremos todo el día escuchando sus consultas; estaré dictando una conferencia a las 10:00hs., titulada “Malware y cibercrimen en Latinoamérica“. ¡Los esperamos!

Por otro lado, en Argentina, tenemos nuevamente actividades junto a la Universidad Tecnológica Nacional, a través de la iniciativa Gira Tecnológica. Pablo Ramos, Especialista de Awareness & Research, estará visitando esta semana las facultades de Córdoba (martes 31 de mayo) y Villa María (miércoles 1 de junio), donde estará participando con un seminario ambos días a partir de las 19:00hs. Otras empresas tecnológicas nos acompañarán para hacer una jornada especial para los estudiantes de estas facultades.

Como verán, seguimos en actividad para no dejar ningún rincón de Latinoamérica sin cubrir. Como les digo siempre: si aún no llegamos a su país, no se preocupe, seguro lo haremos los próximos meses, ¡sigan atentos!

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación
No Comments »