Trend Micro - Securing Your Journey to the Cloud

one site fits all

Una corriente en aumento: nuevos ataques amenazan las tecnologías de uso público

Las historias de este último cuarto de siglo nos permiten sospechar que muy bien podríamos hallarnos ante el auge de una nueva ola de amenazas que afectará a las personas a un nivel más pronunciado y físico. Los atacantes encuentran cada vez más lagunas de seguridad de las que abusar, ya se encuentren estas en tecnologías de cara al público existentes o en nuevos desarrollos en Internet de Todo. Esta intensificación de los ataques viene acompañada por nuevos ciberdelincuentes, actores independientes que utilizan malware simple para ejecutar operaciones regionales a gran escala. Si bien los organismos policiales están logrando avances en la lucha por la ciberseguridad, continúan planteándose estos desafíos.


Las tecnologías recientemente atacadas provocan interrupciones de los servicios públicos

Ya hemos visto anteriormente cómo ciertos sistemas de transporte automatizados podrían ser vulnerables a ciberataques, y ahora estamos identificando posibles amenazas en la aviación. El primer incidente tuvo lugar cuando el investigador de seguridad Chris Roberts tuiteó mensajes que sugerían que estaba manipulando los sistemas de entretenimiento en vuelo de la aeronave 737/800 en la que volaba. Más adelante se produjo un ataque DDoS en el aeropuerto Okecie de Varsovia, lo cual provocó retrasos que dejaron en tierra a más de 1.400 personas que volaban con LOT Polish Airlines.

[Lea: Piratería de altos vuelos: ¿debería preocuparse? (ingl.)]

Las siguientes víctimas fueron los enrutadores. Nuestros investigadores observaron un incremento de los ataques que utilizaban malware modificador de DNS que afectaba a enrutadores domésticos. Muchas de las infecciones se detectaron en Brasil, EE.UU. y Japón. Con un 81% de las infecciones, Brasil se llevó la peor parte. Estos ataques mediante malware pretendían sustraer información personal de los dispositivos conectados a enrutadores domésticos.

[Lea: El malware modificador de DNS apunta a los enrutadores domésticos (ingl.)]

Estos ataques pretendían sustraer información personal de los dispositivos conectados a enrutadores domésticos utilizando malware modificador de DNS. Como su propio nombre indica, el malware modificador de DNS cambia el DNS de un enrutador, de modo que todo dispositivo conectado a este cargará una versión maliciosa de cualquier sitio web al que trate de acceder, incluidos los sitios web de banca online. Si bien el malware modificador de DNS no es nuevo, su relevancia continúa creciendo a medida que más hogares y negocios se conectan a Internet de Todo.

[Lea: El malware modificador de DNS apunta a los enrutadores domésticos (ingl.)]

Finalmente, a principios de abril, un ataque a la cadena de televisión francesa Network TV5 Monde paralizo la red de la empresa, interrumpiendo todas las emisiones durante cuatro horas. Los atacantes también se hicieron con el control de las cuentas de redes sociales de TV5 Monde y las utilizaron no solo para publicar propaganda, sino también para revelar información personal de los familiares de soldados franceses participantes en operaciones militares.

[Lea: El ataque a TV5 Monde: Cuatro horas que cambiaron el mundo (ingl.)]



Estos incidentes revelan que los ciberdelincuentes empiezan a mirar más allá de nuestros equipos de sobremesa y dispositivos móviles. Están expandiendo sus objetivos para incluir infraestructuras de cara al público y artilugios cuya seguridad normalmente damos por sentada.


Como en cualquier otro sistema, este [de aviónica] también presenta fallos en algún lugar; ningún sistema creado por el ser humano está completamente libre de errores. Deberán ser los gobiernos y los reguladores quienes obliguen a los proveedores (tanto de aeronaves como de sistemas de entretenimiento en vuelo) a ir más allá de la simple seguridad por ocultación y demostrar que los sistemas existentes son seguros, así como a subsanar cualquier vulnerabilidad que salga a la luz. Quizás los sistemas actuales han sido diseñados para ser sólidos y seguros y se muestran eficaces a la hora de mantener a raya a los atacantes. - Martin Rösler, director jefe de investigación sobre amenazas

Ciberdelincuentes en solitario descubiertos en varias regiones; persisten el ransomware y el malware de TPV

Durante el segundo trimestre observamos más casos de operaciones de ciberdelincuencia en solitario. Frapstar, un ciberdelincuente de Canadá que actuaba en solitario, se enriqueció vendiendo información personal robada. En Brasil, LordFenix se hizo de oro con su horda de troyanos bancarios de cosecha propia, cada uno de ellos valorado en más de 300 dólares estadounidenses. De forma similar, AlejandroV logró hacerse con 22.000 números de tarjeta de crédito únicos mediante su malware para terminales de punto de venta (TPV) bautizado como FighterPoS.

[Lea: FighterPoS: Combate contra una nueva familia de malware de TPV (ingl.)]

MalumPoS fue otro malware de TPV que irrumpió en escena por esa época. El malware fue detectado mientras sustraía información de sistemas ejecutados en Oracle MICROS, lo cual significaba que 330.000 establecimientos del mundo entero eran vulnerables, principalmente en los Estados Unidos.


Número de detecciones de malware de TPV (1.er trim. 2014-2.º trim. 2015)

La ligera disminución de las detecciones de malware de TPV podría deberse a que la amenaza ha alcanzado su punto de saturación.
Las últimas versiones de la amenaza durante la primera mitad del año podrían ser simplemente un último esfuerzo por capitalizar las ganancias que reportan.



[Lea: Trend Micro descubre MalumPoS (ingl.)]

Dos ciberdelincuentes nigerianos que actuaban en solitario utilizaron una sencilla aplicación de registro de pulsaciones de 35 dólares estadounidenses llamada Hawkeye para extorsionar a pequeñas empresas de todo el mundo, radicadas principalmente en la India, Egipto, Irán, Pakistán, Taiwán, Hong Kong, Rusia, Francia, Alemania y Estados Unidos.

[Lea: Cómo dos ciberdelincuentes ganaron millones utilizando un malware de 35 $ (ingl.)]


Brotes regionales de ransomware (junio de 2015)

Países afectados
El calendario muestra pruebas de intenciones de introducir ransomware en países concretos.
Este ransomware incluye las variantes TorrentLocker y CryptoWall.


La actividad de ransomware fue intensa durante el trimestre. Solo en junio, identificamos brotes de TorrentLocker y CryptoWall casi a diario en países entre los que se cuentan Estados Unidos, Reino Unido, Corea del Sur y China. También descubrimos a varios adolescentes en China lucrándose con ransomware móvil.


Países afectados por ataques de malware en el 2.º trim. 2015



HawkEye
Área Número
India 1,8
Egipto 1,8
Irán 1,8
Pakistán 1,8
Taiwán 1,8
Estados Unidos 1,8
Hong Kong 1,8
Rusia 1,8
Francia 1,8
Alemania 1,8
LordFenix
Área Número
Brasil 2,3
Argentina 0
México 0
Frapstar
Área Número
Canadá 4
Estados Unidos 4
EMOTET
Área Número
Alemania 2,3
Países Bajos 0
Italia 0
Ransomware móvil chino
Área Número
China 4
Mongolia 0
Tailandia 0
TorrentLocker
Área Número
Australia 1,1
Turquía 1,1
Francia 1,1
Alemania 1,1
Italia 1,1
Nueva Zelanda 1,1
Polonia 1,1
España 1,1
Taiwán 1,1
Reino Unido 1,1
Estados Unidos 1,1
TorrentLocker
Área Número
Australia 1,1
Taiwán 1,1
Corea del Sur 1,1
Japón 1,1
Francia 1,1
India 1,1
Canadá 1,1
Reino Unido 1,1
Estados Unidos 1,1


Probablemente, en el futuro observaremos la incorporación de nuevas y antiguas amenazas fusionadas con un mismo objetivo. Los defensores deben empezar a tener en cuenta las amenazas nuevas y futuras al tiempo que combaten las antiguas, sin descuidar potenciales ataques selectivos. Recomiendo adoptar una estrategia claramente definida para combatir las amenazas. Además de investigar eventos concretos dentro de un host, asegúrese de poder correlacionarlos también con eventos de red. - Jay Yaneza, analista de amenazas

Las actuaciones policiales dieron sus frutos a medida que los gobiernos priorizaron la seguridad

Algunos de los triunfos de seguridad logrados durante este trimestre fueron atribuibles a alianzas público-privadas. Trend Micro ayudó a la Interpol y a la Europol a desmantelar dos peligrosas redes robot: SIMDA y BEEBONE. Esta buena racha se prolongó en mayo con la condena a Ross Ulbricht, creador de Silk Road. Su juicio arrojó nueva luz sobre los mercados de Internet profunda, con productos que van desde pasaportes falsificados hasta encargos de asesinato.


[Lea: Bajo la superficie: exploración de Internet profunda (ingl.)]

También se produjeron algunos avances importantes en la legislación en materia de seguridad y protección de la privacidad. El más destacable tuvo lugar en los Estados Unidos, con la ratificación de la Freedom Act (Ley de la libertad) y cuando el gobierno estadounidense decretó que todos los sitios web federales deben utilizar HTTPS.


Uno de los mayores problemas a los que se enfrenta la legislación para combatir la ciberdelincuencia es que esta evoluciona con gran rapidez. La mayoría de leyes tardan entre 3 y 5 años en ser promulgadas. Por lo tanto, la clave radicará en leyes de carácter general que ya llevan mucho tiempo en vigor. Como ha sucedido en los Estados Unidos, han sido útiles para arrestar a personas acusadas de pertenencia a bandas criminales organizadas o extorsión. Estas leyes no revisten carácter “ciber-” específico, pero su existencia fue de gran ayuda. En general, lo que se debería hacer es armonizar las leyes entre países.

Al fin y al cabo, Internet es global. Por consiguiente, la ciberdelincuencia es global, de modo que sería mucho más sencillo perseguir a los delincuentes si la ley que castiga el pirateo de un servidor fuera exactamente la misma en Alemania que en Irlanda o Francia. Surgirán menos complicaciones cuando se produzcan incidentes de este tipo. Por otro lado, lo más importante es facilitar la comunicación dentro de las alianzas público-privadas. Si la comunicación resulta sencilla, los organismos policiales y los investigadores en materia de seguridad podrán compartir información fácilmente. - Robert McArdle, director jefe de investigación de amenazas

Su impacto nacional y político convirtió la filtración de los datos de la OPM en el incidente más grave hasta la fecha

En junio, más de 21 millones de actuales y antiguos empleados federales (incluidos sus familiares y candidatos rechazados) vieron revelada su información personal cuando la Office of Personal Management (Oficina de Administración de Personal) de los Estados Unidos fue víctima de una serie de filtraciones de datos. Los datos incluían números de la Seguridad Social e incluso huellas dactilares de los empleados.

[LEA: Filtración de datos federales: la más prolífica de la historia (ingl.)]

También el IRS (organismo de administración tributaria estadounidense) fue objeto de un ataque que filtró 100.000 expedientes de contribuyentes. Los delincuentes sustrajeron datos de una aplicación web del IRS atacada.


Principales violaciones de datos denunciadas (2.º trim.  2015)

Ubicación

Servicio de pensiones de Japón

Fecha de denuncia: 1 de junio de 2015
Sector: Pensiones
Impacto: 1 millón de víctimas (datos personales, incluidos números de la Seguridad Social)

OPM, Washington DC

Fecha de denuncia: 4 de junio de 2015
Sector: Gubernamental
Impacto: 21,5 millones de víctimas (números de la Seguridad Social)

Junio de 2015
Ubicación

CareFirst BlueCross BlueShield, Baltimore, Maryland

Fecha de denuncia: 20/5/2015
Sector: Sanidad
Impacto: 1,1 millones de víctimas

IRS, Washington DC

Fecha de denuncia: 26/5/2015
Sector: Gubernamental
Impacto: 100.000 víctimas

Mayo de 2015
Los organismos gubernamentales fueron los principales objetivos de ataques durante este trimestre. La filtración de datos de la OPM constituyó el incidente más grave hasta la fecha, dado que reveló más de 20 millones de expedientes.

Fuente: https://www.privacyrights.org/data-breach

En ciertos aspectos, la filtración de la información personal de una persona es más peligrosa. Puedo cambiar mi tarjeta de crédito fácilmente pero, a menos que me mude, no puedo cambiar de dirección. Tampoco puedo cambiar la fecha de mi cumpleaños. La información personal identificable (IPI) no solo identifica al usuario, sino que normalmente también es difícil, cuando no imposible, de cambiar. - Raimund Genes, director de tecnología

Los recientes ataques contra organismos gubernamentales pusieron de manifiesto motivaciones políticas tras las campañas selectivas

La Casa Blanca y miembros de la Organización del Tratado del Atlántico Norte (OTAN) se convirtieron en los últimos objetivos de la operación Pawn Storm, una campaña de ciberespionaje económico y político que descubrimos el año pasado. Mientras tanto, instituciones gubernamentales en Filipinas y Taiwán fueron víctima de otras dos campañas de ataques selectivos: Tropic Trooper y ESILE.

[Lea: La operación Pawn Storm intensifica sus actividades; ataques a la OTAN y la Casa Blanca (ingl.)]

Los países que trataban de detener las capacidades de desarrollo nuclear de Irán sufrieron ataques mediante Duqu 2.0 que explotaban diversas vulnerabilidades de día cero. Mientras tanto, otros creadores de amenazas habían empezado a utilizar malware de macros en campañas de ataques selectivos tales como GHOLE. Esto podría explicar el crecimiento sostenido del volumen de malware de macros observado durante el pasado trimestre.


Detecciones de malware de macros (2014-1.er sem. 2015)

El número de detecciones de malware de macros aumentó ligeramente trimestre tras trimestre, probablemente debido a un incremento del uso de anuncios maliciosos que conducían a sitios de descarga de malware de macros.


En términos de tradición, los ataques selectivos contra objetivos políticos y contra empresas son bastante similares. No obstante, existen algunas pequeñas diferencias en cuanto a motivación y resultado final. Los ataques políticos tienden a utilizar vectores de ataque de día cero en combinación con estrategias “tradicionales”. En cambio, los ataques contra empresas emplean tradicionalmente metodologías “estándar”, dado que casi siempre se basan en el factor humano, que es el eslabón más débil de la cadena. - Kyle Wilhoit, investigador jefe de amenazas

Las infecciones secundarias están creciendo debido a tres ominosos fenómenos. En primer lugar, cada vez más ciberdelincuentes atacan la cadena de suministro de información de las organizaciones, utilizando dominios con nombres de pequeñas islas para acceder a los hosts internos. En segundo lugar, tras la intrusión, el uso de esteganografía permite establecer un segundo canal de comando y control dentro de los sistemas atacados, permitiendo al adversario neutralizar eficazmente la respuesta al incidente. Finalmente, una vez que el ciberdelincuente ha sustraído propiedad intelectual o IPI, utilizan la marca de la organización para atacar a sus miembros mediante tácticas de abrevadero. Estos ataques han aumentado exponencialmente durante los seis primeros meses de 2015. - Tom Kellermann, director de ciberseguridad


Las vulnerabilidades amenazaron sitios web de cara al público y dispositivos móviles



En abril, la plataforma de blogs WordPress sufrió una vulnerabilidad que permitió a los atacantes insertar código JavaScript malicioso en la ventana del navegador del administrador. Magento, una plataforma de comercio electrónico utilizada por eBay y más de 240.000 otros sitios de compra online de todo el mundo, también fue víctima de una vulnerabilidad descubierta a finales de junio. Las grandes bases de usuarios de estas aplicaciones web demuestran que las vulnerabilidades de estas plataformas son tan peligrosas como las presentes en el software tradicional.

[Lea: Magento, la plataforma de comercio electrónico eBay, golpeada por ladrones de tarjetas de pago (ingl.)]

Las plataformas móviles también se vieron afectadas por un buen número de vulnerabilidades tales como la vulnerabilidad de SwiftKey en Android, que permite a los atacantes hacerse con el control del dispositivo móvil de un usuario. Si bien se ha publicado un parche, la fragmentación de los dispositivos continúa ralentizando su instalación en los terminales afectados. También se detectaron enormes fallos de seguridad en los mecanismos de aislamiento de procesos de aplicaciones que protegen los sistemas OSX y iOS.



Los atacantes explotan vulnerabilidades y debilidades en todas las plataformas. Lo único que necesitan es una vía de acceso. Las empresas deben permanecer muy atentas a las vulnerabilidades en el software de base y los complementos que utilizan. Un programa enfocado y permanente de evaluación de vulnerabilidades debe complementarse mediante un programa de evaluación de la configuración. Aunque las vulnerabilidades en el software estándar como Flash, Java, Firefox e Internet Explorer® se utilizan como vara de medir para dibujar el panorama de amenazas, no deberíamos olvidar que las vulnerabilidades en aplicaciones personalizadas (principalmente aplicaciones web) también son muy numerosas y muchas de ellas no llegan a ser incluidas en la lista CVE. Las aplicaciones personalizadas requieren comprobaciones personalizadas. Siempre es aconsejable una buena prueba de penetración en aplicaciones personalizadas. - Pawan Kinger, director de Deep Security Labs

Se triplica el número de accesos del kit de explotación Angler, observada una integración más rápida de explotaciones en kits

A medida que salieron a la luz nuevas vulnerabilidades, los kits de explotación también se actualizaron rápidamente para incluirlas. El kit de explotación Angler constituye un perfecto ejemplo de esta tendencia. Fue el primero en integrar vulnerabilidades casi al mismo tiempo que se descubrían. Esto podría explicar el aumento de su tasa de infección del primer al segundo trimestre de 2015, junto con el pico del número de usuarios que accedieron a URL relacionadas con kits de explotación entre mayo y junio. Angler destaca especialmente por su explotación de diversas vulnerabilidades de Adobe Flash Player, junto a otros kits de explotación tales como Nuclear y Magnitude.


Cronología de vulnerabilidades de Adobe Flash integradas en kits de explotación, 2.º trim. 2015


Las explotaciones de vulnerabilidades de Adobe Flash han sido integradas en cada vez más kits de explotación (especialmente Angler) desde principios de este año.



Los desarrolladores del kit de explotación Angler están añadiéndole de forma muy activa y agresiva explotaciones de vulnerabilidades de Adobe Flash. Los desarrolladores de los kits Magnitude y Nuclear están haciendo lo mismo. Es esta agilidad la que deberíamos continuar estudiando y monitorizando para proteger más eficazmente a nuestros clientes. - Joseph C. Chen, analista de amenazas

Panorama de amenazas

Trend Micro Smart Protection Network™ bloqueó más de 12.000 millones de amenazas durante el pasado trimestre, un descenso respecto de los 14.000 millones de amenazas contabilizados a principios del año. Esto podría deberse a que los ciberdelincuentes están concentrando sus ataques en lugar de aplicar una táctica de infección indiscriminada.

Número total de amenazas bloqueadas

2.º trim. 2015

Tasa de detección (número de amenazas bloqueadas por segundo)

2.º trim. 2015

Las tres principales familias de malware de estas amenazas contabilizadas el último trimestre fueron SALITY (88.000), DOWNAD/CONFICKER (77.000) y GAMARUE (58.000). Las variantes de SALITY son conocidas por sus rutinas dañinas, que incluyen la propagación de archivos .EXE y .SCR infectados. Las variantes de DOWNAD/CONFICKER deben su fama a su persistencia a la hora de explotar vulnerabilidades y a su elevada velocidad de propagación. Las variantes de GAMARUE son capaces de robar información y hacerse con el control de un sistema para lanzar ataques contra otros sistemas.


Principales familias de malware

*Basadas en detecciones de PC

El número total de aplicaciones maliciosas y de alto riesgo para Android ha aumentado hasta aproximadamente 7,1 millones. Esto supone un incremento del 31% en comparación con el primer trimestre de 2014 (5,4 millones).

DESCARGAR EL INFORME COMPLETO


Una corriente en aumento: nuevos ataques amenazan las tecnologías de uso público