Trend Micro - Securing Your Journey to the Cloud

one site fits all
Anticiparse a los riesgos: las vulnerabilidades actuales son la antesala de ataques inminentes

Anticiparse a los riesgos: las vulnerabilidades actuales son la antesala de ataques inminentes

Los desastres, sean naturales u obra del hombre, suelen acontecer de forma inesperada. Sin embargo, es posible evitar una crisis si las señales se detectan a tiempo. Tras analizar minuciosamente los incidentes de seguridad más importantes del pasado trimestre, creemos que podrían anunciar amenazas mayores y más devastadoras en un futuro cercano. Estas amenazas actúan como las ondas de un sismógrafo: señalan importantes irregularidades que se traducen en un terremoto inminente. Estos movimientos bien podrían sacudir el sector de la seguridad durante los próximos meses. ¿Estamos preparados para estas situaciones?

Las extracciones de las filtraciones de datos han generado extorsiones y más ataques

En el tercer trimestre de 2015, se ha dado una de las peores situaciones de seguridad imaginables: se ha utilizado información obtenida de filtraciones de datos para llevar a cabo nuevos ataques, por ejemplo, de chantaje y extorsión.

[Lea: Unpatched Flash Player flaws: More POCs found in Hacking Team leak]

El ataque a Hacking Team, denunciado a principios de julio, es un ejemplo de este tipo de situación. Los 400 GB de información robada permitieron descubrir cinco grandes vulnerabilidades de día cero, así como herramientas de espionaje para iOS y Android. Algunas de estas vulnerabilidades se utilizaron más adelante en los ataques del kit de explotación Angler en Japón y Corea, además de ayudar a comprometer los sitios Web de los gobiernos de Taiwán y Hong Kong.

[Lea: Hack Team Flash Zero Day integrated into exploit kits]

Cabe esperar que se produzcan más ataques de reacción en cadena. Las organizaciones más grandes y seguras podrían llegar a sufrir filtraciones si los atacantes logran extraer datos de sus partners, más pequeños y con menos seguridad. Asimismo, si las empresas continúan experimentando filtraciones debido a esta progresión lateral de ataques, los particulares también podrían verse expuestos.

[Lea: Hacking Team Flash Zero Day tied to attacks in Korea and Japan on July 1]

Ahora más que nunca, las organizaciones y las empresas necesitan priorizar la seguridad y prepararse para los inevitables intentos de filtración de datos.


El ciberespacio se ha vuelto más punitivo. Los casos mencionados no eran casos aislados. Es por ello que las empresas deben ajustar sus planes de respuesta frente a incidentes para gestionar la aparición de las fases secundarias de un ataque, tanto si se trata de infecciones secundarias como del uso de datos robados para dirigir ataques o extorsionar a sus comunidades de usuarios. La supresión de intrusiones se convertirá en el objetivo de la respuesta frente a incidentes, ya que es fundamental que el tiempo de permanencia del adversario sea limitado. Debemos mermar la capacidad de los enemigos de permanecer en los hosts y, con ello, inhabilitarlos para llevar a cabo infecciones secundarias. La protección virtual, la integración de sistemas de detección de filtraciones con la gestión de eventos e información de seguridad (SIEM) y la monitorización de la integridad de los archivos serán instrumentos clave a la hora de mitigar los ataques punitivos de 2016. - Tom Kellermann, director de ciberseguridad

Nuevos ataques que reinciden en problemas existentes de iOS y Android

El tercer trimestre de 2015 no fue especialmente positivo para las plataformas móviles establecidas. Durante este periodo se han detectado importantes vulnerabilidades no solo en Android, sino también en la plataforma iOS de Apple. Debido a los fallos descubiertos recientemente, se trata de la primera vez que ambas plataformas se consideran gravemente comprometidas.

[Lea: Trend Micro discovers vulnerability that renders Android devices silent]

Ubicación

Vulnerabilidad Stagefright (CVE-2015-3824)

Fecha del incidente: julio
Plataforma: Android
Impacto: afectó al 94,1% de todos los dispositivos Android.
Descripción: podría conllevar la instalación de malware a través de MMS, una aplicación maliciosa o una URL especialmente diseñada.

Vulnerabilidad ANDROID-21296336

Fecha del incidente: julio
Plataforma: Android
Impacto: afectó al 50% de todos los dispositivos Android.
Descripción: silencia los dispositivos o les impide la respuesta.

Julio de 2015
Ubicación

Vulnerabilidad CVE-2015-3823

Fecha del incidente: agosto
Plataforma: Android
Impacto: afectó al 89% de todos los dispositivos Android.
Descripción: podría implicar la ejecución arbitraria de códigos y el reinicio en bucle.

CVE-2015-3842 (vulnerabilidad Audioeffect)

Fecha del incidente: agosto
Plataforma: Android
Impacto: afectó a las versiones 2.3 a 5.1.1.
Descripción: podría implicar la ejecución arbitraria de códigos.

Agosto de 2015
Ubicación

Vulnerabilidad Quicksand

Fecha del incidente: agosto
Plataforma: iOS
Descripción: podría derivar en filtraciones de datos.

Agosto de 2015
Ubicación

Descubrimiento de herramientas de desarrollador maliciosas (Xcode y Unity)

Fecha del incidente: septiembre
Plataforma: iOS
Descripción: da lugar a la publicación de aplicaciones maliciosas en la tienda de aplicaciones oficial de Apple.

Vulnerabilidad AirDrop

Fecha del incidente: septiembre
Plataforma: iOS
Descripción: conlleva la instalación de malware por proximidad.

Septiembre de 2015

[Lea: MMS not the only attack vector for StageFright]

Todas las vulnerabilidades de Android mencionadas están relacionadas con el uso de Mediaserver, el servicio de Android responsable de la apertura y visualización de medios digitales (archivos de imagen, audio y vídeo) en la plataforma. Los investigadores de Trend Micro han determinado que Mediaserver es un hervidero de vulnerabilidades de esta gravedad y advierten de que aparecerán más fallos en el futuro. Desde entonces, Google viene anunciando un cambio hacia un proceso de actualización de parches más frecuente para solventar las vulnerabilidades con mayor eficacia.

[Lea: Android Mediaserver bug traps phones in endless reboots]

Si bien podemos prever que las vulnerabilidades de Android continuarán existiendo, los descubrimientos que se han realizado este trimestre sobre iOS abren la plataforma a ataques más agresivos y dañinos en el futuro.


La creciente cuota de mercado de telefonía de Apple incita a los atacantes a centrar más esfuerzos en la explotación de las aplicaciones iOS. No obstante, las estrictas políticas de seguridad de Apple sobre la publicación de aplicaciones iOS les obligan a crear trucos más inteligentes, como la infección a través de herramientas de desarrollo y bibliotecas para realizar el trabajo sucio. Inevitablemente, veremos más amenazas de tipo "Ghost". Los atacantes también pueden utilizar certificados e interfaces de programación de aplicaciones (API) en su propio beneficio para distribuir malware de iOS. Para contrarrestar estos ataques, Apple debe reajustar constantemente sus políticas de publicación de aplicaciones. - Ju Zhu, investigador de amenazas móviles

La técnica de bombardeo indiscriminado en los ataques de malware de TPV afecta cada vez a más PYMES

En el tercer trimestre de 2015, las pequeñas y medianas empresas se vieron gravemente afectadas tras ser el objetivo de ataques de malware de TPV (terminal de punto de venta) que utilizaban métodos para alcanzar a un gran número de mayoristas como objetivos potenciales con la esperanza de llegar a uno o dos de los objetivos realmente deseados.

[Lea: New GamaPOS threat spreads in the US via Andromeda Botnet; Spreads in 13 States]

El ataque se produjo en julio, a partir de una campaña de spam basada en una red robot Andromeda que enviaba una variante de GampaPOS. Los mensajes de spam también se enviaron a objetivos no codiciados, con la esperanza de infectar dispositivos de TPV. Posteriormente, los atacantes utilizaron el kit de explotación Angler para detectar sistemas de TPV e infectarlos. Gracias al uso de anuncios maliciosos y de sitios comprometidos, consiguió incrementar su tasa de detección un 40% respecto al trimestre anterior.

En septiembre, los atacantes enviaron mensajes de spam con variantes de Kasidet/Neutrino que incorporaban funciones de raspado de RAM para TPV. Las detecciones de Kasidet abarcaron el 12% del número total de detecciones de malware de TPV que se produjeron durante el tercer trimestre.

La ofensiva contra las PYMES es una consecuencia de la adopción de tecnologías de seguridad más avanzadas por parte de las empresas de mayor tamaño. Las PYMES cuentan con una seguridad más débil y, por lo tanto, son un objetivo más sencillo y tentador. Si a ello se le une la lenta adopción de los sistemas de pago EMV/chip y PIN, es evidente que las PYMES seguirán siendo víctimas del malware de TPV.


Que el malware de TPV se dirija a las PYMES no supone ninguna novedad; de hecho, hace ya tiempo que hablamos del tema. Lo novedoso es que los ciberdelincuentes hayan pasado de los ataques dirigidos al uso de técnicas de infección masiva tradicional, como el spam, las redes robot y los kits de explotación.

Lo que no ha cambiado son los peligros que plantea este malware para los usuarios comunes que realizan pagos con tarjetas de crédito. Disponer de una red más extensa es una estrategia arriesgada, ya que, aunque el malware se detectaría y se neutralizaría más rápidamente, sería muy sencillo encontrar nuevas víctimas. Quizás los ciberdelincuentes, tras elegir una nueva víctima y extraer sus datos, optarían por utilizar una campaña más dirigida hacia ese objetivo. - Numaan Huq, investigador jefe de amenazas

Personalidades del mundo de la política: los objetivos preferidos del ciberespionaje

Pawn Storm ha aumentado el número de operaciones este trimestre atacando a las fuerzas armadas de un país de la OTAN y a una organización de defensa de EE.UU. Además, ha ampliado sus objetivos tras la inclusión de entidades políticas de Rusia, como activistas, celebridades mediáticas y diplomáticos. También se lanzó ataque contra el director ejecutivo de una empresa de cifrado local, así como a un desarrollador de correo de mail.ru.

[Lea: Pawn Storm Targets MH17 Investigation Team]

Rocket Kitten, un grupo de creadores de amenazas, fue descubierto dirigiendo un ataque a un profesor experto en lingüística y cultura iraní preislámica que ayudaba a los investigadores de ciberseguridad en la investigación de Thamar Reservoir. También atacó al personal de Infosec, especialmente a un investigador de ClearSky.

Objetivos de la campaña Pawn Storm

Los políticos de EE.UU. y Rusia siempre han figurado como objetivos de Pawn Storm desde 2011.


Objetivos de Rocket Kitten en marzo y septiembre de 2015

La mayoría de las víctimas de Rocket Kitten fue personal diplomático y de asuntos exteriores, así como investigadores de las políticas de Oriente Medio.


Angler sigue siendo el kit de explotación más utilizado

El kit de explotación Angler se actualizó a principios de julio para incluir la vulnerabilidad de día cero descubierta en la extracción de datos de Hacking Team, lo que le permitió mantener su reputación como el kit de explotación más agresivo en términos de adopción de vulnerabilidades.

[Lea: Angler and Nuclear Exploit Kits integrate Pawn Storm Flash exploit]


Número de explotaciones integradas en Angler por trimestre

Varios kits de explotación (HanJuan, SweetOrange y Fiesta) no han mostrado ningún tipo de actividad este trimestre.


Además de emplearlo para llevar a cabo infecciones de malware de TPV, también se utilizó en un ataque de anuncio malicioso en Japón que comprometió 3.000 sitios de perfil alto a finales de septiembre.

También en septiembre, varios atacantes que usaban el kit de explotación se aprovecharon del protocolo de cifrado Diffie-Helman para ocultar el tráfico de red.


Dispositivos conectados a Internet: plagados de problemas de seguridad

Gracias a las investigaciones realizadas con nuestro sistema de control de los surtidores de combustible (Gaspot), obtuvimos información sobre el modo en el que los atacantes pueden comprometer la seguridad pública secuestrando surtidores de combustible y modificando sus características. Consultas posteriores realizadas a SHODAN han revelado que suministros públicos similares como sistemas de calefacción, sistemas de vigilancia y centrales eléctricas son igualmente peligrosos.

Los investigadores de Infosecurity Charlie Miller y Chris Valasek fueron capaces de demostrar que es posible secuestrar un coche remotamente. Para ello utilizaron un Jeep Cherokee y fueron capaces de controlar el motor, los frenos y otros sistemas del vehículo simplemente conociendo su IP pública.


Panorama de amenazas

Trend Micro Smart Protection Network™ bloqueó más de 12.000 millones de amenazas durante el pasado trimestre, siguiendo la tendencia de descenso global del 20% desde 2012. Esto puede deberse a que los atacantes todavía prefieren seleccionar cuidadosamente a sus víctimas (en su mayoría, PYMES y grandes empresas) para obtener mejores resultados.

Número total de amenazas bloqueadas

Tercer trimestre de 2015

Tasa de detección (número de amenazas bloqueadas por segundo)

Tercer trimestre de 2015

Las tres principales familias de malware de las amenazas contabilizadas en el último trimestre fueron SALITY (81.000), DOWNAD/CONFICKER (71.000) y GAMARUE (48.000). Las variantes de SALITY son conocidas por sus rutinas dañinas, que incluyen la propagación de archivos .EXE y .SCR infectados. Las variantes de DOWNAD/CONFICKER deben su fama a su persistencia a la hora de explotar vulnerabilidades y a su elevada velocidad de propagación. DOWNAD todavía figura en la lista de malware más importante siete años después de su creación. Esto podría deberse al hecho de que los usuarios (probablemente empresas) siguen utilizando versiones de Windows antiguas y sin soporte como XP que son vulnerables a la amenaza.

BARTALEX ha entrado este trimestre en la lista de malware más importante debido a los ataques de malware relacionados basados en macros de este mes de julio. BARTALEX suele utilizar documentos adjuntos de Microsoft Word® que sirven para descargar UPATRE.


Principales familias de malware

*Basadas en detecciones de PC


DESCARGAR EL INFORME COMPLETO (PDF/ingl.)


Anticiparse a los riesgos: las vulnerabilidades actuales son la antesala de ataques inminentes