El grupo hacktivista Anonymous Bolivia ejecutó un ataque durante el domingo sobre el sitio web de los Yacimientos Petrolíferos Fiscales Bolivianos (YPFB). Este ataque está dirigido a la petrolera estatal con el objetivo de protestar frente a la nueva Ley de Telecomunicaciones que ha sido aprobada frente a una gran disputa en el congreso de Bolivia hace aproximadamente un mes.

Debido a la polémica generada, el grupo hacktivista decidió tomar cartas en el asunto y realizó un defacement a la página de la petrolera estatal:

Según las autoridades bolivianas no hubo fuga de información posterior a la realización del ataque. Por lo que, los atacantes sólo se dedicaron a modificar la página de inicio de YPFB.

A partir de este incidente, el gobierno local ha intensificado sus esfuerzos por mantener sus redes seguras, ya que este podría ser el presagio de algún nuevo ataque a entidades del gobierno. Esto también demuestra las fallas que poseen los sistemas a nivel regional, ya que a pesar de que estas acciones normalmente ocurren de forma públicamente planeada, los sitios sufren las consecuencias de los ataques.

Con este nuevo ataque, el grupo de hacktivistas sigue sumando países latinoamericanos a sus objetivos. Nuestra región es cada vez más partícipe de este nuevo escenario de protesta digital.

Raphael Labaca Castro
Especialista de Awareness & Research

Categories: Alertas
2 Comments »

Internet es un lugar en donde diariamente se generan nuevos negocios mundiales. Uno de esos negocios creado por la comunidad de la red es la utilización de una moneda virtual llamada Bitcoin. Esta moneda virtual y descentralizada, que ya lleva un par de años en la red, posee algunos inconvenientes desde el punto de vista de la seguridad: carece de control por parte de entidades bancarias u organismos de control. No obstante, cada día esta moneda está siendo más utilizada por los usuarios en la red y en diferentes tipos de comercios.

El diseño tecnológico de esta divisa virtual, es transferida a través de una red peer to peer la cual goza con la ventaja, como ya se mencionó, de no poseer autoridad que registre la transacciones o emita dinero. A esto también se le suma la dificultad de rastrear la identidad de la transferencia, ya que las mismas van cifradas.

Para comenzar a entender cómo se utilizan los Bitcoin, primero hay que conocer algunos conceptos básicos de su funcionamiento. Lo más importante es que para obtener un Bitcoin, el usuario debe utilizar un programa llamado “minero Bitcon“, el cual utiliza la potencia de las placas de video (GPU) para resolver cálculos de bloques de transacciones como retos, que en caso de resolverlos, el usuario obtienen 50 BTCs (Bitcoin).

Luego de generar dicha ganancia, estos montos pueden ser cambiados por dinero físico o por servicios que acepten esta moneda. El valor de una Bitcoin comparado con otras monedas varía según la oferta y demanda generada por los usuarios que desean los BTC. Esto tiende a confundir mucho a los usuarios que comienzan a utilizar esta moneda. El siguiente es un gráfico grafica el aumento en la cantidad de Bitcoins a lo largo del tiempo, y esto implica que cada vez es una tarea más difícil, ya que existe un número máximo fijo de 21 millones de BTC:

Cada día se hacen más preciados los BTC por la dificultad de generarlos, es por eso que los criminales informáticos empezaron a enfocar sus amenazas a este mercado que cada vez tiene más seguidores. De a poco se están encontrando códigos maliciosos que despliegan módulos en las maquinas infectadas para generar BTC de forma ilícita, ya que se aprovechan del proceso de cálculo de las placas, como es el caso del troyano detectado por ESET NOD32 Antivirus como Win32/Delf.QCZ.

Este troyano, mejor conocido como Trojan.Badlib o Trojan.Win32.Miner.h, pertenece a una botnet peer to peer que mantiene su comunicación a través del protocolo HTTP. Una vez que este malware se ejecuta en el sistema, despliega varios módulos entre los cuales podemos destacar:

• btc_server.exe : Server de Bitcoin que administra las tareas a los clientes.
• client_8.exe : Instala y ejecuta el software para minar

Claramente todo lo que pueda sacar provecho de las maquinas infectadas por software malicioso, va a rendir para los criminales informáticos. Estos no tardaron mucho tiempo en empezar a utilizar las botnet para sacar rédito de este servicio. Es por eso, que es importante contar con una solución de seguridad con capacidad proactiva y así poder evitar estas amenazas que cada vez abarcan mas servicios.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Malware
No Comments »

Durante los últimos días, se ha detectado un gran aumento en el tráfico que a través del puerto 3389, y en este post vamos a ver el porqué. Un nuevo gusano se ha estado propagando a través del protocolo de Escritorio Remoto de Windows (RDP), explotando aquellas contraseñas débiles que algunos usuarios o administradores pueden utilizar. El protocolo RDP fue desarrollado por Microsoft y permite las conexiones a escritorios remotos.

Además de la metodología implementada por este gusano para propagarse, entre sus funciones, reporta a un Centro de Control (C&C), desde donde recibe órdenes, para realizar la instalación de otros códigos maliciosos y efectuar ataques de denegación de servicio. Como se podrán imaginar, el nivel de peligrosidad de este tipo de amenaza es alta, ya que se puede propagar a través de la red de una organización que utilice este protocolo activo en sus equipos.

Aunque con algunas diferencias, existen algunas similitudes en el método de propagación del famoso gusano Conficker, a través de carpetas compartidas: ambos contienen una base de datos con contraseñas que utilizan para propagarse a través de la red, y lograr así infectar la mayor cantidad de equipos.

Un equipo que se encuentre infectado con este código malicioso, presentará una serie de modificaciones en el sistema como así también la creación de distintos archivos en el mismo:

Ver más… »

Categories: Alertas, Malware
1 Comment »

En repetidas ocasiones, compartimos con ustedes información acerca de cómo un atacante puede intentar engañar a los usuarios, a través del uso de Ingeniería Social. Hoy vamos a describir un engaño utilizado para obtener las credenciales de acceso de los usuarios de Facebook, a través de una página que se aloja dentro de la misma red social, y que simula ser una aplicación para comprobar la seguridad de la clave.

Al momento de crear una cuenta en una red social, en un correo electrónico o cualquier otro servicio que requiera de una contraseña, muchos usuarios suelen pasar por alto la importancia de utilizar una clave fuerte.  Es por ello que en ciertas oportunidades, cuando un servicio no oficial les ofrece comprobar que tan segura puede ser su clave, los usuarios pueden caer víctimas del robo de sus credenciales.

Cómo les habíamos comentado , se trata de engaño para los usuarios de Facebook, en dónde una página que simula ofrecer un servicio para verificar que tan segura es su clave, pero que además de la misma, también solicita la dirección del correo electrónico y el nombre.  Entonces, para poder conocer el nivel de complejidad de la contraseña utilizada, una posible víctima de este engaño debe ingresar toda la información necesaria para iniciar sesión en Facebook.

La página se llama “Facebook Checker” y tiene un aspecto similar al de la siguiente imagen, con lo que logra que un usuario desprevenido crea que se trata de un servicio oficial y entregue así su información al atacante:

De esta manera el atacante no sólo obtiene las credenciales de acceso del usuario, sino que además una dirección de correo válida, a la que podría enviar mensajes de spam u otro tipo de amenazas. Para aquellos usuarios que ingresen su información en el sitio y pasen por alto las medidas de seguridad, se les recomienda cambiar la contraseña de Facebook de manera urgente. En realidad los datos no están siendo verificados, son reenviados a un sitio externo en dónde se almacenan la información de los usuarios.

Esta es otra ocasión en la que podemos observar como el robo de credenciales se efectúa sin el uso de ningún código malicioso, sino que un atacante logra engañar al usuario a través del uso de la Ingeniería Social, sin tener que infectar ningún equipo, modificar la configuración del sistema ni mediante el envío de correos falsos. Este ataque se propaga pura y exclusivamente a través de la red social. Una vez mas, vemos como no solo es recomendable el uso de una solución antivirus con capacidad de detección proactiva sino que además los usuarios deben contar con una educación acerca de cómo navegar por Internet de manera segura.

Pablo Ramos
Especialista en Awareness & Research

Categories: Alertas
1 Comment »

El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto realizado por David Harley, Aleksandr Matrosov y Eugene Rodionov, publicado en el blog de ESET en inglés donde podrán observar cómo varían las técnicas utilizadas para la infección de bootkits en arquitecturas x64.

Durante la primera mitad del 2011, hemos sido testigos de un importante crecimiento en la cantidad de códigos maliciosos para plataformas de 64 bits, los ejemplos más interesantes de este tipo de amenazas son los bootkits. Actualmente existen distintas familias de malware:

• Win64/Olmarik, un bootkit de la MBR (Master Boot Record, en español, el sector de arranque).
• Win64/Rovnix, un bootkit de VBR (Volume Boot Record, en español, primer sector del disco).
• Win64/TrojanDownloader.Necurs
• Win64/Spy.Banker

Si se compara la cantidad de amenazas para plataformas x64, los códigos maliciosos para estas plataformas no son muchos. Pero observando las estadísticas, el porcentaje de amenazas de nuevas familias que han aparecido en lo que va del año, demuestra un aumento considerable. En comparación con las índices del verano del 2010, existe un alza en las detecciones de códigos maliciosos para plataformas de 64 bits, lo que marca una clara tendencia. Esto se encuentra relacionado con la aparición de una nueva versión de Win64/Olmarik (TDL4) y sus índices de propagación.

Todas estas amenazas utilizan trucos para evadir (bypass) la comprobación de las firmas digitales, que se encuentran divididas en dos grupos. El primero de ellos, funciona completamente a nivel de usuario (user mode), y el segundo grupo apunta al proceso de inicio del sistema operativo (booting) para manipular la memoria en modo kernel (núcleo):

Ver más… »

Categories: Análisis de malware
1 Comment »