Resumen de amenazas 2014: ¿cómo vivimos la seguridad este año?
Con tanta acción durante los últimos doce meses en lo que refiere a ataques informáticos, y cerrando un año en el que la explotación de vulnerabilidades, los intentos por corromper la privacidad de los internautas y la proliferación del malware dieron mucho que hablar, les presentamos un resumen de los principales acontecimientos de 2014 en la comunidad de seguridad.
Sin perder el tiempo, los cibercriminales aprovecharon la creciente popularidad de la aplicación para engañar a los usuarios. Así, nos encontramos con dos amenazas destacadas.
Por un lado, un falso mensaje de WhatsApp descargaba Zeus, mediante un correo que simulaba contener un mensaje de voz, pero poseía adjunto un archivo comprimido con dos ejecutables. El segundo era ZBot, el malware detrás de la botnet Zeus detectado por ESET como Win32/Spy.Zbot.
Por otro lado, una campaña maliciosa en Brasil ofrecía un falso WhatsApp para PC, cuando la aplicación no estaba disponible para computadoras. La descarga instalaba un malware enfocado en la extracción de información personal bancaria.
Nos encontramos con una amenaza compleja con características muy interesantes como hooking de código, manejo de excepciones avanzadas POSIX y varias técnicas de ocultación, y estimamos que miles de sistemas fueron infectados con Linux/Ebury.
Además, los investigadores de ESET también alertaron sobre un malware que roba Bitcoins a través de aplicaciones de Mac, modificadas para propagar el código malicioso. Entre ellas se encontraba el popular juego Angry Birds.
Podríamos decir que en febrero, varias amenazas se enfocaron en Latinoamérica para robar datos de usuarios de nuestra región: una campaña en Colombia que usaba el nombre de Bancolombia para robar credenciales bancarias e información personal; otra que presentaba grandes similitudes con Dorkbot se propagó por Brasil; y por último, una variante de Python/Agent.A, un código malicioso que cuenta con distintas funcionalidades.
Este malware uede invadir la privacidad del usuario, acceder a su información e incluso ver y escuchar qué es lo que pasa alrededor del sistema. Según el análisis de ESET, la variante analizada de este código malicioso en particular se vio en Perú con un 66%, en Colombia 22% y Venezuela 12%, pero otras versiones de esta misma familia se vieron en Ecuador y Nicaragua.
Asimismo, se publicó la profunda investigación que develó a Operación Windigo, campaña que logró infectar a más de 500 mil computadoras. El malware logró infectar miles de servidores Linux y Unix, los cuales una vez comprometidos son usados para robar credenciales SSH, para redirigir a quienes visitan los sitios web a contenido malicioso y para enviar spam –con un promedio de 35 millones de mensajes diarios.
Los números eran significativos: más de 25.000 servidores afectados por Windigo en los últimos dos años, y ellos más de 10.000 aún infectados. En América Latina, los reportes indican aproximadamente 900 servidores infectados en Brasil, más de 250 en Argentina y 300 en México.
Finalmente, mientras se acercaba la Copa Mundial de la FIFA Brasil 2014, comenzamos a detectar campañas de phishing que proliferaron en los meses siguientes. En marzo, nos encontramos un falso concurso para asistir a los partidos.
Asimismo, analizamos un nuevo componente de Win32/Sality que cambia el DNS primario del router. El falso servidor DNS redirige a una página falsificada para la instalación de Google Chrome cuando se intenta resolver dominios que contienen las palabras “google” o “facebook”.
Y, por supuesto, el propio Facebook no quedó afuera: hablamos de iBanking, una aplicación maliciosa para Android que cuando es instalada en un teléfono móvil es capaz de espiar las comunicaciones -incluyendo la intercepción de SMS entrantes y salientes, el redireccionamiento de llamadas e inclusive capturar el audio del micrófono del dispositivo.
En medio de todo esto, Windows XP dejó de recibir soporte por parte de Microsoft y eso dejó abierta la posibilidad de que se presenten vulnerabilidades de tipo 0-day.
En lo que refiere a vulnerabilidades, siempre presentes, se encontró la forma de desactivar iCloud, el sistema en la nube que bloquea los iPhone cuando son robados o extraviados. La falla, básicamente, permite desbloquear al instante el teléfono en forma remota.
Y en otro plano, eBay fue víctima de un ciberataque que comprometió su base de datos, la cual contenía claves cifradas y otra información no financiera: nombres de clientes, direcciones de correo electrónico, direcciones postales, números de teléfono y fechas de nacimiento.
Entre tanto, se descubrió una vulnerabilidad en varios Smart TVs -precisamente en el modo en el que aplicaciones interactivas funcionan- que podría permitir vulnerar cientos de dispositivos al mismo tiempo. La transmisión “falsa” podría robar credenciales de acceso para sitios tales como Facebook y Yelp, vulnerar dispositivos como impresoras, e inclusive capturar tráfico de redes Wi-Fi no protegidas.
Por otro lado, analizamos una familia de malware llamada Win32/Aibatook, dirigida a la información de cuentas bancarias de usuarios japoneses y a las credenciales de cuentas de proveedores de hosting. Hablamos de un troyano bancario en sitios para adultos de Japón, que se propaga mediante una cadena de ataques personalizados desde los sitios infectados, y está dirigido a Internet Explorer.
Finalmente, en lo que refiere a la región latinoamericana, dimos con una falsa nota bancaria dirigida a México que propaga Dorkbot. Se trata de una variante de Win32/TrojanDownloader.Agent que utiliza Macros en un archivo de Word para infectar a los usuarios y descargar una variante de Dorkbot.
Además, encontramos al troyano Android/Spy.Krysanec, un RAT que se hace pasar por varias aplicaciones legítimas para Android. Una vez en el dispositivo móvil, este backdoor era capaz de tomar fotografías, grabar audio a través del micrófono, obtener ubicación por GPS, leer SMS y más.
El ransomware siguió haciéndose notar y fue así como supimos de Android Locker, un nuevo ransomware que busca suplantar antivirus. Además, solicita permiso para convertirse en administrador del dispositivo y tomar así el control del sistema dificultando su desinstalación. La aplicación realiza un falso análisis del dispositivo que arrojará un número de infecciones falsas –al tiempo que hace uso ilícito de una marca para conseguir su objetivo.
Las noticias de actualidad también intercedieron en el mundo de la seguridad cuando la muerte del actor Robin Williams se aprovechó para propagar un scam en Facebook:
Otro destacado de septiembre fue Shellshock, la vulnerabilidad en el intérprete de comandos Bash que permitiría la ejecución remota de código para así obtener el control de un ordenador. El problema radica en que Bash permite declarar, pero estas no se validan de forma correcta cuando se almacenan en una variable.
Finalmente, investigadores de ESET analizaron el regreso de BlackEnergy, con ataques dirigidos en Ucrania y Polonia. Se trata de un troyano utilizado para enviar spam y cometer fraudes bancarios online, así como para realizar ataques dirigidos. Su segunda versión incorporó técnicas de rootkit.
Y mientras preparábamos contenidos para contarles en profundidad qué son y cómo funcionan las botnets, viendo que están llegando para quedarse a Latinoamérica, nos enteramos de Qbot, que se cobró 500 mil víctimas zombis.
Asimismo, los investigadores de ESET analizaron cómo un archivo creado especialmente para mostrar una presentación de diapositivas en PowerPoint (.PPSX) llevó a la ejecución del dropper BlackEnergy.
Sin embargo, también fue resonante Winshock, la vulnerabilidad en Secure Channel (Schannel) de Windows que permitía la ejecución remota de código.
El ransomware, esta vez, volvió a apuntar a dispositivos móviles y utilizando imágenes de pornografía infantil. Una vez instalada, “Porn Droid” pide permisos para convertirse en administrador del sistema y bloquear la pantalla del dispositivo.
Por otro lado, luego de que la privacidad de los usuarios en la web haya estado en jaque en el último tiempo, Facebook ha anunciado nuevas políticas para enero 2015. Privacy Basics es una recopilación de todo lo que hay que saber en lo que refiere a privacidad, política de datos, interacción y demás. La idea detrás es ofrecer consejos y guías para que cada uno se encargue de tener una experiencia personalizada en la red social.
Y si hablamos de cibercimen, no podemos dejar de recordar la utilización del troyano Korplug en ataques dirigidos a objetivos militares, y los ataques del grupo de espionaje Sednit a redes seguras aisladas.
Tras ver cómo TorrentLocker se intensificaba comenzando a propagarse en correos en español, los investigadores de ESET publicaron un White Paper sobre este ransomware de “crimen organizado” que ha infectado a miles de sistemas de computadoras alrededor del mundo, tomando como rehenes a los datos y demandando el pago de un rescate para su devolución.
Por otro lado, analizamos a Virlock, otro ransomware con la peculiaridad de ser el primero que se autorepoduce, y además es polimórfico: bloquea las pantallas de las víctimas, y también actúa como un virus parasitario, ya que infecta los archivos existentes de los equipos.
Y de esta forma, cerramos este completo año viendo cómo el ransomware se sigue intensificando y diversificando, tal como habíamos anticipado en 2013, al tiempo que la explotación de vulnerabilidades toma cada vez mayor dimensión y las brechas de seguridad afectan a grandes empresas.
Fuente: WeLiveSecurity
Enero: WhatsApp cada vez más popular… y en la mira
Poco después de alcanzar los 400 millones de usuarios y sentar precedente entre las demás plataformas de mensajería instantánea, WhatsApp comenzó a mostrar algunos problemas en lo que refiere a seguridad.Sin perder el tiempo, los cibercriminales aprovecharon la creciente popularidad de la aplicación para engañar a los usuarios. Así, nos encontramos con dos amenazas destacadas.
Por un lado, un falso mensaje de WhatsApp descargaba Zeus, mediante un correo que simulaba contener un mensaje de voz, pero poseía adjunto un archivo comprimido con dos ejecutables. El segundo era ZBot, el malware detrás de la botnet Zeus detectado por ESET como Win32/Spy.Zbot.
Por otro lado, una campaña maliciosa en Brasil ofrecía un falso WhatsApp para PC, cuando la aplicación no estaba disponible para computadoras. La descarga instalaba un malware enfocado en la extracción de información personal bancaria.
Febrero: amenazas enfocadas en Latinoamérica
Mientras festejábamos San Valentín -en forma segura y libres de amenazas, por supuesto- nos sumergimos en un profundo análisis de Linux/Ebury, un backdoor de OpenSSH que roba credenciales de acceso a servidores.Nos encontramos con una amenaza compleja con características muy interesantes como hooking de código, manejo de excepciones avanzadas POSIX y varias técnicas de ocultación, y estimamos que miles de sistemas fueron infectados con Linux/Ebury.
Además, los investigadores de ESET también alertaron sobre un malware que roba Bitcoins a través de aplicaciones de Mac, modificadas para propagar el código malicioso. Entre ellas se encontraba el popular juego Angry Birds.
Podríamos decir que en febrero, varias amenazas se enfocaron en Latinoamérica para robar datos de usuarios de nuestra región: una campaña en Colombia que usaba el nombre de Bancolombia para robar credenciales bancarias e información personal; otra que presentaba grandes similitudes con Dorkbot se propagó por Brasil; y por último, una variante de Python/Agent.A, un código malicioso que cuenta con distintas funcionalidades.
Este malware uede invadir la privacidad del usuario, acceder a su información e incluso ver y escuchar qué es lo que pasa alrededor del sistema. Según el análisis de ESET, la variante analizada de este código malicioso en particular se vio en Perú con un 66%, en Colombia 22% y Venezuela 12%, pero otras versiones de esta misma familia se vieron en Ecuador y Nicaragua.
Marzo: develamos Operación Windigo
Apenas estaba terminando el primer trimestre del 2014 y los investigadores de ESET no tenían descanso: les contamos sobre un ransomware que cifra todos los archivos, documentos e imágenes del sistema para luego pedir un rescate en Bitcoins a través de un sitio alojado en la Deep Web, y que afecta a países de Latinoamérica como Argentina, Brasil, Colombia y México.Asimismo, se publicó la profunda investigación que develó a Operación Windigo, campaña que logró infectar a más de 500 mil computadoras. El malware logró infectar miles de servidores Linux y Unix, los cuales una vez comprometidos son usados para robar credenciales SSH, para redirigir a quienes visitan los sitios web a contenido malicioso y para enviar spam –con un promedio de 35 millones de mensajes diarios.
Los números eran significativos: más de 25.000 servidores afectados por Windigo en los últimos dos años, y ellos más de 10.000 aún infectados. En América Latina, los reportes indican aproximadamente 900 servidores infectados en Brasil, más de 250 en Argentina y 300 en México.
Finalmente, mientras se acercaba la Copa Mundial de la FIFA Brasil 2014, comenzamos a detectar campañas de phishing que proliferaron en los meses siguientes. En marzo, nos encontramos un falso concurso para asistir a los partidos.
Abril: Heartbleed marca un antes y un después
Este mes probablemente quede para la historia debido a que se conoció Heartbleed, la falla en OpenSSL que dejó al descubierto información sensible de miles de servidores en todo el mundo.Asimismo, analizamos un nuevo componente de Win32/Sality que cambia el DNS primario del router. El falso servidor DNS redirige a una página falsificada para la instalación de Google Chrome cuando se intenta resolver dominios que contienen las palabras “google” o “facebook”.
Y, por supuesto, el propio Facebook no quedó afuera: hablamos de iBanking, una aplicación maliciosa para Android que cuando es instalada en un teléfono móvil es capaz de espiar las comunicaciones -incluyendo la intercepción de SMS entrantes y salientes, el redireccionamiento de llamadas e inclusive capturar el audio del micrófono del dispositivo.
En medio de todo esto, Windows XP dejó de recibir soporte por parte de Microsoft y eso dejó abierta la posibilidad de que se presenten vulnerabilidades de tipo 0-day.
Mayo: el ransomware se instala en el mundo y en la región
Nuevas variantes de ransomware tienen a dispositivos Android como objetivo, y es así que nos encontramos nuevamente con el Virus de la Policía, pero dirigido a Android. Esto cumplió el pronóstico que habíamos anticipado en 2013 al presentar el informe de Tendencias 2014, en donde hablábamos de la intensificación del ransomware -tanto a nivel mundial como en la región latinoamericana.En lo que refiere a vulnerabilidades, siempre presentes, se encontró la forma de desactivar iCloud, el sistema en la nube que bloquea los iPhone cuando son robados o extraviados. La falla, básicamente, permite desbloquear al instante el teléfono en forma remota.
Y en otro plano, eBay fue víctima de un ciberataque que comprometió su base de datos, la cual contenía claves cifradas y otra información no financiera: nombres de clientes, direcciones de correo electrónico, direcciones postales, números de teléfono y fechas de nacimiento.
Junio: Simplocker, primer ransomware para Android activado en Tor
ESET analizó al troyano Android/Simplocker que escanea la tarjeta SD de un dispositivo con Android en busca de ciertos tipos de archivos, los cifra, y exige el pago de un rescate para descifrarlos. Simplocker constituye el primer malware de la familia Filecoder destinado al sistema operativo de Google, y usa el cifrado AES en imágenes, documentos o videos con extensiones como JPEG, JPG, PNG, GIF, DOC, AVI y MP4.Entre tanto, se descubrió una vulnerabilidad en varios Smart TVs -precisamente en el modo en el que aplicaciones interactivas funcionan- que podría permitir vulnerar cientos de dispositivos al mismo tiempo. La transmisión “falsa” podría robar credenciales de acceso para sitios tales como Facebook y Yelp, vulnerar dispositivos como impresoras, e inclusive capturar tráfico de redes Wi-Fi no protegidas.
Julio: Aibatook, un troyano bancario en sitios para adultos de Japón
Un mes después de que publicáramos su primer análisis, nos encontramos con que Simplocker utilizaba falsas advertencias del FBI y pedía 300 dólares de rescate, además de incorporar nuevos idiomas a sus mensajes de bloqueo. También implementó la táctica de intimidación scareware que muestra la imagen tomada por la cámara frontal del dispositivo.Por otro lado, analizamos una familia de malware llamada Win32/Aibatook, dirigida a la información de cuentas bancarias de usuarios japoneses y a las credenciales de cuentas de proveedores de hosting. Hablamos de un troyano bancario en sitios para adultos de Japón, que se propaga mediante una cadena de ataques personalizados desde los sitios infectados, y está dirigido a Internet Explorer.
Finalmente, en lo que refiere a la región latinoamericana, dimos con una falsa nota bancaria dirigida a México que propaga Dorkbot. Se trata de una variante de Win32/TrojanDownloader.Agent que utiliza Macros en un archivo de Word para infectar a los usuarios y descargar una variante de Dorkbot.
Agosto: BadUSB, Android Locker, y un scam de mal gusto
Como parte de nuestra cobertura de BlackHat USA 2014, estudiamos el funcionamiento de BadUSB, una amenaza que se planteaba como apocalíptica al no poder ser removida de dispositivos USB –pero, como siempre en lo que refiere a seguridad, no es necesario alarmarse. Es un vector de ataque realmente elaborado que no está al alcance de cualquiera, porque incluye modificar el firmware.Además, encontramos al troyano Android/Spy.Krysanec, un RAT que se hace pasar por varias aplicaciones legítimas para Android. Una vez en el dispositivo móvil, este backdoor era capaz de tomar fotografías, grabar audio a través del micrófono, obtener ubicación por GPS, leer SMS y más.
El ransomware siguió haciéndose notar y fue así como supimos de Android Locker, un nuevo ransomware que busca suplantar antivirus. Además, solicita permiso para convertirse en administrador del dispositivo y tomar así el control del sistema dificultando su desinstalación. La aplicación realiza un falso análisis del dispositivo que arrojará un número de infecciones falsas –al tiempo que hace uso ilícito de una marca para conseguir su objetivo.
Las noticias de actualidad también intercedieron en el mundo de la seguridad cuando la muerte del actor Robin Williams se aprovechó para propagar un scam en Facebook:
Septiembre: fotos íntimas de celebridades filtradas
Comenzamos el mes con la impactante noticia de que se habían filtrado fotos íntimas de Jennifer Lawrence y muchas otras celebridades como Rihanna o Kim Kardashian. Las fotos no se obtuvieron de dispositivos, sino gracias al acceso no autorizado a cuentas de iCloud y, en consecuencia, a las copias de seguridad almacenadas en este servicio.Otro destacado de septiembre fue Shellshock, la vulnerabilidad en el intérprete de comandos Bash que permitiría la ejecución remota de código para así obtener el control de un ordenador. El problema radica en que Bash permite declarar, pero estas no se validan de forma correcta cuando se almacenan en una variable.
Finalmente, investigadores de ESET analizaron el regreso de BlackEnergy, con ataques dirigidos en Ucrania y Polonia. Se trata de un troyano utilizado para enviar spam y cometer fraudes bancarios online, así como para realizar ataques dirigidos. Su segunda versión incorporó técnicas de rootkit.
Octubre: Poodle como vulnerabilidad destacada
Una nueva vulnerabilidad resonante fue Poodle, que afectaba a SSL 3.0 y fue descubierta por Google. Básicamente consiste en aprovechar una característica que hace que, cuando un intento de conexión segura falla, se proceda a intentar realizar de nuevo esa conexión pero con un protocolo de comunicación más antiguo.Y mientras preparábamos contenidos para contarles en profundidad qué son y cómo funcionan las botnets, viendo que están llegando para quedarse a Latinoamérica, nos enteramos de Qbot, que se cobró 500 mil víctimas zombis.
Noviembre: Rootpipe, Winshock y más ransomware
Este mes, la vulnerabilidad protagonista fue Rootpipe, que afecta a Mac OS X Yosemite y otras versiones. Esencialmente, permitiría a un atacante sin privilegios en el sistema conseguir permisos de administrador. Aquellos exploits que se aprovecharan de este agujero de seguridad podrían llegar a conseguir que un atacante tomase el control del sistema utilizando, por ejemplo, un rootkit.Sin embargo, también fue resonante Winshock, la vulnerabilidad en Secure Channel (Schannel) de Windows que permitía la ejecución remota de código.
El ransomware, esta vez, volvió a apuntar a dispositivos móviles y utilizando imágenes de pornografía infantil. Una vez instalada, “Porn Droid” pide permisos para convertirse en administrador del sistema y bloquear la pantalla del dispositivo.
Por otro lado, luego de que la privacidad de los usuarios en la web haya estado en jaque en el último tiempo, Facebook ha anunciado nuevas políticas para enero 2015. Privacy Basics es una recopilación de todo lo que hay que saber en lo que refiere a privacidad, política de datos, interacción y demás. La idea detrás es ofrecer consejos y guías para que cada uno se encargue de tener una experiencia personalizada en la red social.
Y si hablamos de cibercimen, no podemos dejar de recordar la utilización del troyano Korplug en ataques dirigidos a objetivos militares, y los ataques del grupo de espionaje Sednit a redes seguras aisladas.
Diciembre: Sony Pictures, víctima de un gran ciberataque
Sin dudas, el hecho destacado de este último mes fue la intrusión a Sony Pictures que comenzó con una fuga de información sensible, pasó por filtrar hasta películas sin estrenar, y terminó convirtiéndose en un conflicto entre Estados Unidos y Corea del Norte.Tras ver cómo TorrentLocker se intensificaba comenzando a propagarse en correos en español, los investigadores de ESET publicaron un White Paper sobre este ransomware de “crimen organizado” que ha infectado a miles de sistemas de computadoras alrededor del mundo, tomando como rehenes a los datos y demandando el pago de un rescate para su devolución.
Por otro lado, analizamos a Virlock, otro ransomware con la peculiaridad de ser el primero que se autorepoduce, y además es polimórfico: bloquea las pantallas de las víctimas, y también actúa como un virus parasitario, ya que infecta los archivos existentes de los equipos.
Y de esta forma, cerramos este completo año viendo cómo el ransomware se sigue intensificando y diversificando, tal como habíamos anticipado en 2013, al tiempo que la explotación de vulnerabilidades toma cada vez mayor dimensión y las brechas de seguridad afectan a grandes empresas.
Fuente: WeLiveSecurity
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios