A lo largo de este 2011 ya son varias las empresas de renombre que han sufrido filtrados de documentos confidenciales. Podemos recordar que uno de los hechos que más dio que hablar durante el año 2010, fue el caso de Wikileaks que marcó un antes y un después en los problemas de falta de estándares de regulación seguridad, cabe remarcar que este problema es conocido hace mucho tiempo por la industria de la seguridad de la información. En las siguientes líneas vamos a realizar un breve resumen de las empresas afectadas durante el 2011.

• El año comenzó con un filtrado de datos por parte de Vodafone Australia, donde uno de sus principales distribuidores estaba involucrado en prácticas no éticas con los datos de los clientes, que eran utilizados para aumentar sus ganancias.
• Durante febrero las cosas no cambiaron mucho, ya que la empresa de seguridad HBGary, después de anunciar públicamente que tenía la identidad de algunos de los miembros del grupo Anonymous, este contraatacó obteniendo la base de datos con todos los correos y poniéndolas a disposición de todo el mundo.
• El mes de marzo fue un mes complicado para algunas empresas con el filtrado de documentos, es el caso de la conocida empresa de seguridad RSA, ya que sufrió un cuidadoso ataque en donde se utilizó un fallo de seguridad del tipo 0-day de Flash incrustado en un archivo de Excel. Los criminales pudieron llegar a obtener información sensible de las soluciones de autentificación de RSA.
• Continuando con marzo, Tripadviso,r una empresa dedicada al viajero, anunciaba públicamente que alguien había sustraído parte de la base de datos de sus usuarios, alcanzando los 20 millones de direcciones de correos.
• MySQL no estuvo exenta, ya que fue víctima de un error de inyección de SQL, en donde los atacantes lograron obtener datos confidenciales como los usuarios y correos de las base de datos que luego publicaron online.
• La compañía de publicidad Epsilon también registró un robo masivo de información. Los atacantes lograron obtener datos de los clientes en donde se encontraban grandes compañías de renombre como Amazon, Hilton, JPMorgan Chase y Citigroup, entre otras.
• En abril Sony anunciaba una intrusión en los sistemas de PlayStation Network donde se puso en riesgo a 77 millones de clientes. Los atacantes lograron datos del historial de compras y los datos de las tarjetas de créditos.

Como bien remarcábamos en el inicio del post, el problema de robo de información no es nuevo. Muchas de las fugas de información no se hacen públicas para no dañar la imagen de la empresa, lo cual supone un gran problema, ya que en muchos casos las víctimas no son informadas. También es creciente la tendencia de los criminales en obtener grandes bases de datos con la información de los usuarios y, como clientes, es importante estar atentos a estos tipos de ataques para minimizar el impacto del robo de información.

Vodafone, HBGary, RSA, MySQL, Epsilon, Sony… ¿quién sigue?

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Fuga de información
9 Comments »

En los últimos días hemos recibido en nuestro Laboratorio de Análisis e Investigación varias muestras de una clase de malware identificados como OnlineGames. Estas amenazas acapararon nuestra atención primero, por la cantidad de muestras que se pueden encontrar y, segundo, por la cantidad de sitios diferentes que tratan de afectar.

La temática puede variar pero la esencia es siempre la misma, el malware tiene como objetivo robar las credenciales de usuarios en varios servidores de juegos en linea como pueden ser World of Warcraft, Seven Souls o Aion. Concretamente la amenaza que vamos a presentar afecta a las versiones de Seven Souls y Aion.

El malware, detectado por ESET NOD32 como Win32/PSW.OnLineGames.OUM, llega adjunto a un mail con un nombre poco descriptivo como podría ser “photo_0809.jpg.exe” (atención a la doble extensión JPG y EXE). Esto es una conocida técnica de Ingeniería Social que tiene como objetivo engañar a un usuario desprevenido haciéndole creer que le ha llegado una foto, cuando en realidad se trata de un archivo ejecutable.

Como nos podemos imaginar, tendremos más que una imagen para mirar una vez que le demos doble clic. Un análisis hecho en nuestro laboratorio reveló que el mismo genera una “dll” que se carga junto al proceso explorer.exe y analiza el tráfico que tiene la computadora infectada hacia Internet, pudiendo así ver cualquier comunicación no cifrada, como indica la siguiente imagen:

Ver más… »

Categories: Análisis de malware, Malware
3 Comments »