Ataques DDoS en el segundo trimestre de 2016: aumenta su duración y las redes bots de Linux

Informe Ataques DDoS Q2 2016 – Kaspersky Lab

Madrid (España), 2 de agosto de 2016  / Sucesos - Kaspersky Lab / Gabinete de Prensa.

• El ataque DDoS más largo en el segundo trimestre de 2016 duró 291 horas (12 días), un aumento significativo frente al máximo del Q1, que fue de 8 días
• Alemania y Canadá abandonaron el puesto entre los 10 países más atacados, lugar que ahora ocupan Francia y Países Bajos
• Este ranking del TOP 10 también incluye Brasil, Italia e Israel: la cantidad de servidores activos de C&C alojados en estos países casi se triplicó

Kaspersky Lab ha hecho público su informe sobre ataques DDoS  del segundo trimestre de 2016 con datos extraídos de Kaspersky DDoS Intelligence (*). El número de ataques dirigidos a recursos ubicados en servidores chinos creció considerablemente. Brasil, Italia e Israel aparecieron entre los países líderes de hosting servidores C&C.

Durante el período del informe, los ataques DDoS afectaron a recursos de 70 países, pero los objetivos en China sufrieron la mayor parte de estos ataques (77%). Alemania y Canadá abandonaron el puesto entre los 10 países más atacados y han sido sustituidos por Francia y Países Bajos.

Corea del Sur sigue siendo el líder claro en términos del número de servidores C&C ubicados en su territorio ya que su cuota asciende al 70%. Este ranking del TOP 10 también incluye Brasil, Italia e Israel: la cantidad de servidores activos de C&C alojados en estos países casi se triplicó.

Durante el trimestre también se ha producido un aumento en la duración de los ataques DDoS. Mientras que la proporción de ataques con una duración de hasta 4 horas se redujo del 68% en el Q1 al 60% en el Q2, la proporción de ataques más largos creció considerablemente: aquellos que duran entre 20 y 49 horas representan el 9% (4% en el Q1) y los que duran 50- 99 horas representaron el 4% (1% en el Q1). El ataque DDoS más largo en el segundo trimestre de 2016 duró 291 horas (12 días), un aumento significativo frente al máximo del Q1, que fue de 8 días.

El número de ataques DDoS ha seguido creciendo de manera constante durante el segundo trimestre. Aunque SYN DDoS, TCP DDoS y HTTP DDoS fueron los escenarios de ataque más comunes, la proporción de ataques utilizando el método de SYN DDoS aumentó 1,4 veces en comparación con el trimestre anterior y representó el 76% del total. Esto fue debido en gran parte al hecho de que la proporción de ataques de botnets Linux casi se duplicó, es decir, las bots de Linux son la herramienta más eficaz para los ataques SYN-DDoS.

"Los servidores Linux a menudo contienen vulnerabilidades comunes y carecen de soluciones de seguridad, por lo que son propensos a infecciones de bots. Los ataques llevados a cabo por las bots basados ​​en Linux son sencillos pero eficaces; pueden durar semanas y se van ejecutando mientras el propietario del servidor no es consciente del ataque. Por otra parte, mediante el uso de un único servidor, los ciberdelincuentes pueden llevar a cabo un ataque con la misma potencia que cientos de ordenadores individuales. Es por eso que las empresas tienen que estar preparadas de antemano para un escenario de este tipo, garantizando una protección segura contra ataques DDoS de cualquier complejidad y duración", comenta Oleg Kupreev, analista de malware de Kaspersky Lab.

Kaspersky DDoS Protection combina la amplia experiencia de Kaspersky Lab en la lucha contra las ciberamenazas y otras soluciones únicas desarrolladas por la compañía. La solución protege contra todo tipo de ataques DDoS, independientemente de su complejidad, fuerza, o duración.

* El sistema DDoS Intelligence de Kaspersky DDoS Protection está diseñado para interceptar y analizar los comandos enviados a los bots de los servidores de comando y control (C&C), sin esperar a que los dispositivos de los usuario estén infectados o los comandos de los ciberdelincuentes se ejecuten con el fin de acceder a los datos. Es importante tener en cuenta que las estadísticas de DDoS Intelligence se limita a aquellos de botnets que fueron detectad s y analizadas por Kaspersky Lab.

Kaspersky Lab descubre un nuevo ataque phishing en Facebook con 10.000 víctimas en dos días

Madrid (España), 30 de junio de 2016 / Kaspersky Lab - Kaspersky Lab Facebook / Gabinete de Prensa.

Kaspersky Lab ha descubierto un ataque de malware que ha engañado a unos 10.000 usuarios de Facebook en todo el mundo al infectar sus dispositivos tras recibir un mensaje de un amigo pidiéndole que le mencione en Facebook. Los dispositivos comprometidos se han utilizado para secuestrar las cuentas de esta red social con el fin de propagar la infección a través de los amigos de la víctima y para permitir otras actividades maliciosas. Brasil, Polonia, Perú, Colombia, México, Ecuador, Grecia, Portugal, Túnez, Venezuela, Alemania e Israel han sido los países más afectados.

Entre el 24 y el 27 de junio miles de usuarios recibieron un mensaje de algún amigo en Facebook pidiéndole que le mencionara en un comentario. La cadena fue iniciada por unos ciberdelincuentes y desató un ataque de dos etapas. La primera etapa descargaba e instalaba un troyano en el ordenador del usuario y una extensión del navegador Chrome malicioso, entre otras cosas. Esto permitió que en la segunda etapa, se tomara el control de la cuenta de Facebook de la víctima al iniciar sesión de nuevo a través del navegador comprometido.

Un ataque con éxito permitía cambiar la configuración de privacidad, extraer datos y mucho más; lo que posibilitó que la infección se propagara a través de la red de amigos de Facebook de la víctima, e incluso llevar a cabo otras actividades maliciosas como spam, robo de identidad y la generación fraudulenta 'likes' o ‘compartir’. El malware trató de protegerse a sí mismo del acceso a las listas negras de cientos de sitios web, como las de los proveedores de software de seguridad.

Las personas que utilizan equipos basados en Windows para acceder a Facebook tenían un mayor riesgo. Los usuarios con dispositivos móviles Android e iOS eran inmunes ya que el malware utiliza bibliotecas que no son compatibles con estos sistemas operativos móviles. El troyano utilizado por los atacantes no es nuevo. Se informó de él hace un año, cuando hizo uso de un proceso de infección similar. En ambos casos, los signos del lenguaje en el malware parecen apuntar a ciberdelincuentes de habla turca.

Facebook ha mitigado esta amenaza y bloqueado las técnicas que se utilizan para propagar malware de equipos afectados. Google también ha eliminado al menos una de las extensiones culpables de Chrome Web Store.

"Dos aspectos a destacar de este ataque: en primer lugar, la entrega del malware era extremadamente eficiente, llegando a miles de usuarios en sólo 48 horas. En segundo lugar, la respuesta de los usuarios y medios de comunicación ha sido muy rápida. Esa reacción aumentó la concienciación sobre la campaña y condujo a que los analistas lo descubrieran rápidamente", afirma Ido Naor, analista principal de Kaspersky Lab.

Los usuarios que crean que pueden estar infectados deben realizar un análisis de malware en su ordenador o abrir su navegador Chrome y buscar extensiones sospechosas. Si las hay, deben cerrar la sesión de la cuenta de Facebook, cerrar el navegador y desconectar el cable de red del  ordenador. Debe contar con una solución de seguridad que analice el equipo, compruebe, limpie y elimine el malware.

Además, Kaspersky Lab recomienda a todos los usuarios seguir las siguientes pautas de ciberseguridad:

• Instalar una solución antimalware en todos los dispositivos y mantener el software del sistema operativo actualizado.
• Evitar hacer clic en enlaces de mensajes de desconocidos o en mensajes inesperados de amigos.
• Ten cuidado en todo momento cuando estés online y en redes sociales: si algo parece incluso un poco sospechoso, probablemente lo es.
• Implementa la configuración de privacidad adecuada en redes sociales como Facebook.
• Los productos de Kaspersky Lab detectan y bloquean la amenaza.

Más información sobre el proceso de ataque, cómo saber si estás infectado y lo que debes hacer: https://securelist.com/blog/incidents/75237/facebook-malware-tag-me-if-you-can/

Se duplican en 2015 los ataques cryptolocker a empresas

INFORME SOBRE PRINCIPALES HITOS EN CIBERSEGURIDAD 2015 Y TENDENCIAS 2016

• El 2015, el 58% de los ordenadores corporativos sufrieron, al menos una vez, un intento de infección por malware

• Los ciberdelincuentes y grupos APT se centraron en objetivos financieros

• Los terminales del punto de venta, utilizados por los minoristas y otras organizaciones que trabajan de cara al consumidor fueron otro de los objetivos de ataques en 2015

Madrid (España), 22 de diciembre de 2015 / Internet / Gabinete de Prensa.

Las herramientas usadas en los ciberataques contra las empresas son diferentes a las que se usan contra los usuarios domésticos. Entre ellas se incluyen una mayor explotación de software legítimo y malware con firmas digitales válidas para mantener los archivos maliciosos ocultos durante más tiempo. Los expertos de Kaspersky también han detectado un aumento constante en el número de usuarios corporativos atacados por ransomware.

En 2015 algo más de la mitad, el 58%, de los ordenadores corporativos, se vieron afectados por al menos un intento de infección, tres puntos más que en 2014. Uno de cada tres equipos de empresas (29%) estuvieron expuestos al menos una vez a un ataque a través de Internet; con una explotación de apps de oficina tres veces superior a las usadas en ataques a usuarios finales.

Porcentaje de ataques corporativos por países

Además, el 26% de los ordenadores corporativos se enfrentaron a amenazas locales, como memorias USB infectadas u otros dispositivos extraíbles comprometidos. Los expertos también observaron un aumento del 7% en los exploits dirigidos a la plataforma Android, lo que confirma el creciente interés de los cibercriminales por los datos almacenados por los empleados en sus dispositivos móviles.

Estos ataques fueron cuidadosamente planeados por ciberdelincuentes, que se tomaron tiempo en investigar los contactos y proveedores de la compañía objetivo e incluso los intereses personales y los hábitos de navegación de los empleados. Este trabajo se utilizó para identificar los sitios web legítimos de cara a comprometerlos y distribuir el malware de modo que los ataques a menudo se repetían en el tiempo.

A la caza del dinero

En 2015, los cibercriminales y los grupos de amenazas persistentes avanzadas (APT) centraron gran parte de su atención en organizaciones de servicios financieros, como bancos, fondos de inversión e  intercambios tanto de valores como de  divisas, incluyendo el manejo de las criptodivisas.

Estos ataques incluyeron Carbanak, que penetró en las redes de los bancos, buscando sistemas críticos que le permitirían retirar dinero. Un solo ataque con éxito suponía una cantidad de entre 2,2 y 9 millones de euros. El grupo de ciberespionaje Wild Neutron también pasó gran parte de 2015 a la caza de sociedades de inversión, así como organizaciones que trabajan con Bitcoin y empresas que participan en fusiones y adquisiciones.

Diversificación

Los expertos de Kaspersky Lab observaron una creciente diversificación en los objetivos de los ataques. Por ejemplo, en 2015, la APT china, Winnti APT, cambió de objetivos, de dirigirse a empresas relacionadas con videojuegos a las de productos farmacéuticos y de telecomunicaciones.

"El futuro ciberpanorama al que se enfrentan las empresas incluye un nuevo vector de ataque: la infraestructura, ya que casi la totalidad de los datos valiosos de una organización se almacenan en servidores de centros de datos También esperamos normas de seguridad más estrictas de los reguladores, lo que podría conducir a más detenciones de ciberdelincuentes en 2016”, ha explicado Yuri Namestnikov, analista de seguridad senior del Equipo de Investigación y Análisis Global de Kaspersky Lab.

Robo en el punto de venta

Los terminales del punto de venta fueron otro de los objetivos en 2015. Los productos de Kaspersky Lab bloquearon más de 11.500 intentos de hackear este tipo de dispositivos. Kaspersky Lab tiene conocimiento de 10 familias de programas diseñadas para robar los datos de estos terminales; siete de ellas aparecieron por primera vez este año.

Ascenso del ransomware

En 2015 también se duplicó el número de ataques cryptolocker.  Kaspersky Lab detectó este tipo de archivo malicioso en más de 50.000 equipos corporativos. Esto podría ser un reflejo de que los rescates pagados por las organizaciones suelen ser mucho mayores que los de los usuarios finales. También existe una mayor probabilidad de que se pague el rescate. Muchas empresas no pueden funcionar si la información de varios ordenadores o servidores críticos está cifrada o es de difícil acceso.

"Las organizaciones que han sido víctimas de un cryptolocker pueden encontrarse ante una petición de rescate para detener un ataque DDoS, descifrar archivos, o mantener la confidencialidad de cualquier información robada. Debido a que las evidencias demuestran que los cibercriminales no siempre cumplen el acuerdo una vez se paga el rescate - como ocurrió en el caso de los ataques DDoS en Proton-Mail- muchos de los afectados deben llamar a la policía y a expertos en seguridad informática",  ha resaltado Yuri Namestnikov.

Kaspersky Lab recomienda que las empresas tomen medidas para reducir el riesgo y aumenten su conocimiento de las amenazas más recientes. Los principios básicos de seguridad en las redes corporativas siguen siendo los mismos: formar a los empleados, establecer procesos de seguridad fuertes y hacer pleno uso de las nuevas tecnologías y técnicas, ya que cada capa adicional de protección reduce el riesgo de penetración en la red.

Para eliminar la amenaza de infección ransomware, las empresas deben utilizar protección contra exploits y garantizar que sus soluciones de seguridad incluyen los métodos de detección de comportamiento, como Kaspersky Lab System Watcher.

Para más información:

• Lee cómo reducir los riesgos de una infección APT
• Busca estrategias de mitigación

Usa servicios de inteligencia contra amenazas. Por ejemplo Kaspersky Lab ofrece Kaspersky Intelligence Service. El ajuste temporal y la verificación de las redes basadas en estos datos ayuda a protegerte de ataques, o a identificar un ataque en las primeras etapas.

Las empresas se enfrentan a pérdidas de casi medio millón de euros por brechas de seguridad TI

INFORME SOBRE RIESGOS CORPORATIVOS DE SEGURIDAD TI

• Las pymes pueden enfrentarse a pérdidas de hasta 33.700 euros

• Contratar personal para reparar la brecha, hacer frente a posibles gastos legales y el tiempo de inactividad son los principales gastos a los que se enfrentan las empresas

• Las pymes y las grandes empresas se enfrentan también a una pérdida de reputación y de oportunidades de negocio

Madrid (España - Europa), 27 de octubre de 2015 / Seguridad en internet / Gabinete de Prensa.

El presupuesto medio que se necesita para recuperarse de un fallo de seguridad es de 490.000 euros en el caso de las grandes empresas y de 33.700 euros para las pymes. Esta es una de las principales conclusiones del informe sobre riesgos corporativos de seguridad TI elaborado por Kaspersky Lab*. Según este informe, las brechas de seguridad más caras son el fraude de empleados, el ciberespionaje, las intrusiones en la red y los fallos de terceros.

Una violación grave de los sistemas de seguridad TI ocasiona múltiples problemas en los negocios. Con tantos daños, a veces es difícil para las propias empresas estimar el coste total de la brecha. Los métodos usados para este informe se basan en datos de años anteriores, con el fin de determinar con precisión las áreas donde las empresas han tenido que gastar dinero después de una brecha de seguridad o han sufrido pérdidas económicas a consecuencia de una. Por lo general las empresas tienen que gastar más en servicios profesionales (tales como expertos TI externos, abogados, consultores, etc.) y ganan menos a causa de las oportunidades de negocio perdidas y el tiempo de inactividad.

La probabilidad de que se produzcan cada uno de estos gastos por separado también varía y esto, junto con el tamaño de una empresa, debe ser tenido en cuenta. Un método similar se usó para estimar el gasto indirecto: las empresas asignan un presupuesto después de la recuperación, conectado a ese fallo de seguridad. Así, en el top de cifras, las empresas suelen pagar entre 7.000 euros (pymes) y 61.000 (las grandes empresas) en aumentar el personal, capacitación e infraestructura y actualizaciones.

Un ejemplo de factura media de gastos de una gran empresa:

• Servicios profesionales (TI, gestión de riesgos, abogados): hasta 75.000 euros. con un porcentaje del 88% e negocios incurriendo en este gasto.

• Oportunidades de negocio perdidas: hasta 180.000 euros, con un porcentaje del 29% de negocios teniendo que hacer frente a este gasto.

• El tiempo de inactividad: hasta 1,2 millones de euros, con una proporción del 30% de negocios incurriendo este gasto

• Promedio total: 490.000 euros

• Gasto indirecto: hasta 61.000 euros

• La inclusión de daños a la reputación: hasta 182.000 euros

Distintas maneras de sufrir

El 90% de las empresas que participaron en la encuesta informaron de al menos un incidente de seguridad. Sin embargo, no todos los incidentes son graves y/o conducen a la pérdida de datos confidenciales. Lo más frecuente es un fallo de seguridad grave como resultado de un ataque de malware, phishing, fugas de datos por parte de los empleados y software vulnerable. La estimación de costes resalta la gravedad de los incidentes de seguridad TI y las perspectivas para las pymes y las grandes empresas es un poco diferente.

Las grandes empresas pagan mucho más cuando el fallo de seguridad es el resultado de un error de un tercero de confianza. Otras clases de brechas de seguridad incluyen el fraude de los empleados, el ciberespionaje y la intrusión de la red corporativa.

Las pymes, por otro lado, tienden a perder en casi todos los tipos de infracción, pagando un alto precio por ello y similar en cuanto a la recuperación de los actos de espionaje, así como de ataques DDoS y de phishing.

Para descargar el informe completo sobre el coste de las brechas de seguridad, haz clic aquí.

*Datos del informe: El informe se ha realizado mediante una encuesta mundial en 2015 en colaboración con B2B International  a 5.500 compañías en 26 países de todo el mundo.

Declaraciones Kaspersky Lab sobre el filtrado de datos de Ashley Madison

Madrid (España), 20 de agosto de 2015 / Seguridad de Internet / Gabinete de Prensa.

Tras el filtrado de los datos de la web de citas online Ashley Madison, hackeada de hace unos meses, analistas de Kaspersky Lab analizan la importancia de la seguridad empresarial, cómo evitar estos hackeos por parte de las empresas y de los usuarios de web que requieren datos personales y financieros para operar. David Emm y Marta Janus, analistas del GREAT de Kaspersky Lab:

“El grupo “Impact Team”, responsable del hackeo de la web de citas Ashley Madison, ha cumplido su promesa de revelar direcciones de correo electrónico, nombres de usuario, contraseñas y las transacciones con tarjetas de crédito de los usuarios. El impacto que la exposición de estos datos puede tener, no sólo es perjudicial para la seguridad de los usuarios al desvelarse detalles personales; también puede tener graves consecuencias financieras. Los usuarios que están confiando información privada en un sitio web deben poder estar seguros de que su información está a salvo y todas las empresas que manejan datos privados tienen el deber de garantizarlo.

Cualquier violación de la seguridad que resulta de una fuga de información privada es igual de perjudicial – independientemente de si el sitio es considerado "poco ético" o incluso ilegal - pero los usuarios afectados no son necesariamente culpables de esta actividad ilegal/no ético. En el caso del hackeo de Ashley Madison, los datos filtrados contienen información como nombres reales, direcciones y detalles de tarjetas de crédito. Ahora son públicos y los ciberdelincuentes tienen la oportunidad de utilizar esta información para robar dinero o identidades personales.

Aunque el motivo del hackeo de este sitio web parece tener fines éticos, los hackers han dejado claro que no todos los perfiles son reales - y podría de hecho ser una estafa. Esto ya es un peligro muy real asociado con los sitios web de citas online. Las acciones del grupo de hackers destacan lo importante que es para todas las empresas con presencia online entender que pueden en cualquier momento ser objeto, directa o indirectamente, de los ciberdelincuentes, y mientras las soluciones de seguridad mitigan significativamente el riesgo de un ataque con éxito, también hay otras medidas que se deben tomar con el fin de proporcionar una protección completa. Estas medidas incluyen la ejecución de software totalmente actualizado, la realización de auditorías de seguridad regulares en el código del sitio web y la penetración de las pruebas en toda la infraestructura.

También existen algunas medidas que los usuarios deben tomar para protegerse contra este tipo de ataques en el futuro.

-       Los usuarios siempre deben leer los términos de uso y políticas de privacidad con mucho cuidado antes de compartir datos confidenciales con los sitios web, especialmente cuando se requieren datos de la tarjeta de crédito. 

Desafortunadamente, una vez que se ha abierto una brecha de esta naturaleza, no hay mucho que se pueda hacer.
-       En este caso, los usuarios deben cambiar los nombres de usuario y contraseñas y notificar al banco solicitando una nueva tarjeta de crédito - sólo para estar seguros. En última instancia, el daño relacionado con la privacidad de los usuarios comprometidos por el hackeo no es algo que se puede solucionar fácilmente.

La mejor manera de que las organizaciones luchen contra este tipo de ciberataques es siendo cuidadoso desde el principio; tener una estrategia de ciberseguridad eficaz antes de que la empresa se convierte en un objetivo”.

Duqu ha vuelto: Kaspersky Lab descubre un ciberataque en su red corporativa que también ha atacado a víctimas de alto perfil en Occidente, Oriente Medio y Asia

• Kaspersky Lab ha descubierto Duqu 2.0 - una plataforma de malware altamente sofisticado capaz de explotar hasta tres vulnerabilidades de día cero (zero-day)
• Las infecciones de malware están relacionadas con los eventos P5+1 y los lugares de celebración de reuniones de alto nivel entre líderes mundiales
• Kaspersky Lab asegura la protección total para sus clientes y partners. No ha habido impacto en los productos, tecnologías y servicios de la compañía

Madrid (España), 10 de junio de 2015 / Internet - Seguridad / Gabinete de Prensa.

A principios de la primavera de 2015, Kaspersky Lab detectó una ciberintrusión que afectaba a varios de sus sistemas internos. A raíz de este descubrimiento, la compañía puso en marcha una investigación que llevó al descubrimiento de una nueva plataforma de malware de uno de los actores más hábiles, misteriosos y poderosos del mundo APT (ataques avanzados persistentes): Duqu.

Para Kaspersky Lab, los ciberatacantes estaban muy seguros de que era imposible descubrir el ataque, ya que incluía algunas características únicas e invisibles para que apenas dejase rastro. El ataque explota vulnerabilidades zero-day y tras la elevación a privilegios de administrador de dominio, el malware se propaga en la red a través de la instalación de paquetes MSI (Microsoft Software Installer), que son los archivos que los administradores de sistemas utilizan habitualmente para instalar software en equipos Windows en remoto. El ciberataque no realizaba cambios en el disco de la víctima o en la configuración del sistema, lo que hacía muy difícil la detección. La filosofía y la forma de pensar del grupo "Duqu 2.0" nos muestra una generación más avanzada, que va por delante de todo lo visto en el mundo APT.

Los analistas de Kaspersky Lab descubrieron que la empresa no era el único objetivo de este poderoso actor. Se han encontrado otras víctimas en países occidentales, así como en países de Oriente Medio y Asia. En particular, algunas de las nuevas infecciones entre 2014-2015 están vinculadas a los eventos P5+1 y lugares relacionados con las negociaciones con Irán sobre un acuerdo nuclear. El actor que está detrás de Duqu parece haber lanzado ataques en los lugares donde se produjeron estas negociaciones. Además de los eventos P5+1, el grupo Duqu 2.0 lanzó un ataque similar relacionado con el 70 aniversario de la liberación de Auschwitz-Birkenau. A estas reuniones asistieron muchos dignatarios y políticos extranjeros.

Kaspersky Lab realizó una auditoría de seguridad inicial y un análisis del ataque. La auditoría incluyó la verificación del código fuente y la comprobación de la infraestructura corporativa. La auditoría está todavía en curso y se completará en unas pocas semanas. Además del robo de propiedad intelectual, no se detectaron otros indicadores de actividad maliciosa. El análisis reveló que el principal objetivo de los atacantes era espiar las tecnologías de Kaspersky Lab, la investigación en curso y procesos internos. No se detectó interferencia con procesos o sistemas.

Kaspersky Lab garantiza que sus clientes y partners están seguros y que no hay impacto en los productos, tecnologías y servicios de la compañía.

Análisis del ciberataque

A principios de 2015, durante una prueba, un prototipo de la solución anti-APT desarrollada por Kaspersky Lab mostró signos de la existencia de un ataque dirigido complejo en su red corporativa. Cuando el ataque fue descubierto, se lanzó una investigación interna. El equipo de investigadores, los ingenieros y analistas de malware de la empresa trabajaron día y noche para analizar este ataque excepcional. La compañía ha hecho público todos los detalles técnicos sobre Duqu 2.0 en su blog Securelist.

Conclusiones:

1. El ataque fue cuidadosamente planeado y llevado a cabo por el mismo grupo que estaba detrás del infame ataque APT Duqu de 2011. Kaspersky Lab cree que esto es una campaña patrocinada por un estado.
2. Kaspersky Lab cree firmemente que el objetivo principal del ataque era obtener información sobre las tecnologías más recientes de la compañía. Los atacantes estaban especialmente interesados ​​en los detalles de las innovaciones de sus productos, entre los que se incluyen Kaspersky Lab Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network y soluciones Anti-APT. Los departamentos externos a I+D (ventas, marketing, comunicaciones, legal) estaban fuera de los intereses de los ciberdelincuentes.
3. La información a la que han tenido acceso los atacantes no es clave para el funcionamiento de los productos de la compañía. Con toda la información sobre este ataque, Kaspersky Lab continúa mejorando el rendimiento de sus soluciones de seguridad de TI.
4. Los atacantes también mostraron un gran interés por las investigaciones actuales de Kaspersky Lab sobre ataques dirigidos avanzados; probablemente conscientes de la reputación de la compañía como una de las más avanzadas en la detección y lucha contra los ataques APT complejos.
5. Los atacantes parecen haber explotado hasta tres vulnerabilidades zero-day. La última que quedaba (CVE-2015-2360) ha sido parcheada por Microsoft el 9 de junio de 2015 (MS15-061), cuando los expertos de Kaspersky Lab les informaron.
6. El programa malicioso utiliza un método avanzado para ocultar su presencia en el sistema: el código de Duqu 2.0 sólo existe en la memoria del equipo y trata de eliminar todos los rastros en el disco duro.

Origen y contexto

"Los ciberdelincuentes que están detrás de Duqu son uno de los grupos de APT más hábiles y potentes. Hicieron todo lo posible por mantenerse fuera del radar", afirma Costin Raiu, director del Global Research and Analysis Team de Kaspersky Lab. "Este ataque altamente sofisticado utiliza hasta tres exploits zero-day, algo muy sorprendente ya que los costes deben ser muy elevados. Para mantenerse oculto, el malware reside sólo en la memoria de kernel, por lo que las soluciones anti-malware podían tener problemas para detectarlo. Tampoco se conecta directamente a un servidor de comando y control para recibir instrucciones. En lugar de ello, los atacantes infectaron pasarelas de red y servidores de seguridad mediante la instalación de drivers maliciosos que dirigieron todo el tráfico de la red interna a los servidores de comando y control de los atacantes".

"Espiar a las empresas de seguridad es una tendencia muy peligrosa. El software de seguridad es la última frontera de protección para las empresas y los clientes en el mundo actual, donde el hardware y la red pueden verse comprometidos. Por otra parte, antes o después,  las tecnologías implementadas en los ataques dirigidos serán examinadas y utilizadas por los terroristas y delincuentes profesionales. Y eso es un escenario posible y de extrema gravedad ", explica Eugene Kaspersky, CEO de Kaspersky Lab.

"Reportar este tipo de incidentes es la única forma de hacer que el mundo sea más seguro. Esto ayuda a mejorar el diseño de la seguridad de las infraestructuras de las empresas y envía una señal clara a los desarrolladores de este malware: todas las operaciones ilegales serán detenidas y procesadas. La única manera de proteger el mundo es que los organismos policiales  y de control y las empresas de seguridad luchen contra este tipo de ataques abiertamente. Siempre vamos a informar de los ataques sin importar su origen ", apunta Eugene Kaspersky.

Kaspersky Lab  asegura a sus clientes y partners que la empresa continuará esta línea de actuación para protegerles contra cualquier ataque cibernético. Kaspersky Lab se ha comprometido a hacer lo mejor para sus clientes y mantener su confianza; la compañía ha resuelto este incidente previniendo que un problema similar pueda suceder. Kaspersky Lab se ha puesto en contacto con los correspondientes departamentos de policía en varios países solicitando que se lleven a cabo investigaciones oficiales sobre este ataque.  

Kaspersky Lab reitera que estos resultados son sólo preliminares en una primera fase de investigación. No hay duda de que este ataque ha tenido un alcance geográfico más amplio y muchos más objetivos. Por la información con la que la empresa ya cuenta,  Duqu 2.0 se ha utilizado para atacar a objetivos de alto nivel y perfil con intereses geopolíticos comunes. Para controlar esta amenaza,  Kaspersky Lab  ofrece su ayuda a todas las organizaciones interesadas.

Los procedimientos para la protección de Duqu 2.0 forman parte de los productos de Kaspersky Lab y detectan esta amenaza como HEUR: Trojan.Win32.Duqu2.gen.

Predicciones para 2015 sobre seguridad TI, según Kaspersky Lab

·         Las finanzas están en el punto de mira del cibercrimen: ataques contra sistemas de pago virtuales, que podrían extenderse al nuevo Apple Pay; ataques contra cajeros automáticos; e incidentes de malware en los que los bancos serán el objetivo

·         Con seguridad habrá ataques desde Internet contra impresoras en red y otros dispositivos conectados, que un avanzado atacante pueda utilizar para mantener movimientos persistentes y laterales dentro de una red corporativa

·      A pesar de los esfuerzos de Apple para asegurar su sistema operativo Mac, seguimos viendo programas maliciosos que se propagan mediante torrentes y programas pirateados

Madrid (España), 3 de diciembre de 2014 / Seguridad Informática / Gabinete de Prensa.

Los ciberdelincuentes cada vez se hacen más fuertes. Antes dirigían sus ataques hacia usuarios de servicios bancarios, a los que veían como el eslabón débil de la cadena de seguridad, pero los expertos de Kaspersky Lab anticipan que el próximo año veremos grandes ciberataques dirigidos a los propios bancos. Y no se detendrán aquí; también se prevé que traten de desarrollar nuevos programas maliciosos que faciliten el robo de dinero en efectivo directamente de los cajeros automáticos. Además de la ciberdelincuencia financiera, en 2015 también es probable que se incrementen aún más los problemas de privacidad, las preocupaciones sobre la seguridad en dispositivos Apple y surgirán nuevos temores sobre dispositivos conectados para evitar que los hackers utilicen herramientas, como las impresoras de red, para penetrar en las redes corporativas.

Ideas para el próximo año: ¿qué esperamos de los ciberdelincuentes?

• Ataques contra los sistemas de pago virtuales, que podrían extenderse al nuevo Apple Pay
• Ataques contra los cajeros automáticos
• Incidentes de malware en los que los bancos serán el objetivo, utilizando métodos que vienen directamente del libro de jugadas de los ataques dirigidos
• Más historias Internet-Bleed: vulnerabilidades peligrosas que aparecen en código antiguo, exponiendo la infraestructura de Internet a los ciberataques.
• Con seguridad habrá ataques desde Internet contra impresoras en red y otros dispositivos conectados, que un atacante podrá utilizar para hacer movimientos dentro de una red corporativa. Esperamos ver dispositivos IoT formando parte del arsenal de los grupos APT, especialmente si se trata de víctimas de alto perfil en los que la conectividad conduce a procesos industriales y de manufactura. El software malicioso diseñado para OSX lo veremos también a través de torrents y paquetes de software pirata
• A pesar de los esfuerzos de Apple para asegurar su sistema operativo Mac, seguimos viendo programas maliciosos que se propagan mediantes torrents y programas pirateados. Su ecosistema cerrado por defecto dificulta que este malware capture la plataforma, pero quedan usuarios que desactivan las medidas de seguridad de Mac OS X, especialmente los que quieren usar software pirateado

Vabanque: un cambio revolucionario

Durante una reciente investigación, los analistas de Kaspersky Lab descubrieron un ataque en el que el equipo de un contable se vio comprometido y se utilizó para iniciar una gran transferencia de una institución financiera. Representó la aparición de una nueva tendencia: los ataques dirigidos directamente a los bancos. Una vez que los atacantes consiguen entrar la red de un banco, absorbían información suficiente para permitir el robo del dinero directamente del banco de varias maneras:

• A través de un mando remoto de cajeros automáticos para disponer de efectivo.
• Realización de transferencias SWIFT de varias cuentas de los clientes
• Manipulación de los sistemas bancarios online para realizar transferencias.

Los cajeros automáticos son vulnerables

Los ataques contra los cajeros automáticos parecía que iban a explotar este año tras varios incidentes públicos en los que tuvieron que intervenir autoridades policiales a nivel mundial para hacer frente a esta crisis. Como la mayoría de estos sistemas están ejecutados con Windows XP y también sufren de la seguridad física frágil, son increíblemente vulnerables por defecto. "En 2015, esperamos ver una mayor evolución de estos ataques con el uso de técnicas maliciosos dirigidos a obtener acceso al "cerebro" de los cajeros automáticos. El siguiente paso será ver atacantes comprometer las redes de los bancos y el uso de ese nivel de acceso para manipular cajeros automáticos en tiempo real", comenta Alexander Gostev, jefe del GREAT de Kaspersky Lab.

Los ataques contra los sistemas de pagos virtuales

El equipo de analistas de Kaspersky Lab es consciente de que los ciberdelincuentes aprovechan la menor oportunidad de explotar los sistemas de pago. Los ataques anteriores se centraban en sistemas de pago NFC, pero por su limitada adopción, no han sido muy lucrativos. Se espera que Apple Pay cambie esto. El entusiasmo por esta nueva plataforma de pagos va a disparar su adopción e inevitablemente atraerá la atención de los ciberdelincuentes ansiosos por lucrarse con estas transacciones. El diseño de Apple ha sido concebido con importantes medidas de seguridad (como datos virtualizados de transacciones), pero seguro que los hackers intentan explotar las características de esta implementación

Links de utilidad:

Sala de Prensa de Kaspersky Lab España

http://www.viruslist.com/sp/analysis?pubid=207271274

Sobre Kaspersky Lab

Kaspersky Lab es la mayor empresa privada de soluciones de seguridad endpoint del mundo. La compañía se incluye entre los 4 mayores proveedores de soluciones de seguridad endpoint del mundo*. A lo largo de sus más de 17 años de historia, Kaspersky Lab ha seguido innovando en seguridad TI y ofrece soluciones de seguridad eficaces para grandes empresas, PYMES y consumidores. Actualmente, Kaspersky Lab opera en casi 200 países y territorios de todo el mundo, ofreciendo protección a más de 300 millones de usuarios. Más información en www.kaspersky.es

Kaspersky Lab participa, junto a fuerzas del orden y empresas, en la campaña contra el malware financiero Shylock

• La operación ha estado coordinada por la National Crime Agency del Reino Unido (NCA) y ha reunido a fuerzas del orden y del sector privado, incluyendo - además de Kaspersky Lab - Europol, el FBI, BAE Systems Applied Intelligence, Dell SecureWorks y GCHQ en el Reino Unido

• Shylock - llamado así porque su código contiene extractos de la obra de Shakespeare “El mercader de Venecia” - ha infectado a por lo menos 30 mil equipos con Microsoft Windows

• Los servicios de Inteligencia sugieren que Shylock está más dirigido al Reino Unido, que a cualquier otro país. Sin embargo, EEUU, Italia y Turquía también están en el punto de mira de este código malicioso

Madrid (España), 15 de julio de 2014 / Seguridad - Internet / Gabinete de Prensa.

Kaspersky Lab ha formado parte de la alianza creada entre fuerzas del orden y empresas de todo el mundo para combatir los dominios de Internet y los servidores que forman el núcleo de una infraestructura cibercriminal avanzada cuyo objetivo era atacar los sistemas de banca online en todo el mundo mediante el troyano Shylock.

El 8 y 9 de julio de 2014, las fuerzas del orden intervinieron el sistema el Shylock del que depende para funcionar con eficacia. Esta operación incluyó la incautación de servidores que forman el sistema de comando y control (C&C) del troyano, así como la toma de control de los dominios que Shylock utiliza para comunicar los equipos infectados.

La operación, coordinada por la National Crime Agency del Reino Unido (NCA), reunió a las fuerzas del orden y del sector privado, incluyendo - además de Kaspersky Lab - Europol, el FBI, BAE Systems Applied Intelligence, Dell SecureWorks y GCHQ en el Reino Unido (Government Communications Headquarters) para combatir conjuntamente la amenaza.

Se llevaron a cabo acciones de investigación desde el Centro Europeo de Ciberdelincuencia (EC3) de Europol en La Haya. Investigadores del Reino Unido (NCA), EE.UU. (FBI), Italia, Países Bajos y Turquía se unieron para coordinar la operación de sus respectivos países, junto con sus homólogos de Alemania, Francia y Polonia. La coordinación de Europol contribuyó a derribar los servidores que forman el núcleo de redes bots, malware y la infraestructura de Shylock. El CERT-UE (Equipo de Respuesta a Emergencias Informáticas de la UE) participó en el cierre y la distribución de información sobre los dominios maliciosos a sus compañeros.

Durante la intervención, se descubrieron varias partes hasta ahora desconocidas de la infraestructura, permitiendo que las acciones de seguimiento se iniciaran de inmediato y estuvieran coordinadas desde el centro de operaciones en La Haya. Shylock - llamado así porque su código contiene extractos de la obra de Shakespeare “El mercader de Venecia” - ha infectado por lo menos 30 mil equipos que ejecutan Microsoft Windows. Los servicios de Inteligencia sugieren que Shylock está más dirigido al Reino Unido, que cualquier otro país; sin embargo, EEUU, Italia y Turquía también están en el punto de mira de este código malicioso. Se cree que los presuntos promotores están asentados en otros lugares.

Las víctimas generalmente se infectan al hacer clic en enlaces maliciosos que pedían al usuario que descargase y ejecutase el malware sin que ellos lo supieran. Shylock buscaba cómo  acceder a los fondos depositados en cuentas bancarias personales o de negocios y transferirlos a los controladores de criminales.

Troels Oerting, jefe de EC3 en Europol, dijo: "El centro EC3 está muy satisfecho con esta operación contra el malware, en la que ha jugando un papel crucial para acabar con la infraestructura criminal. EC3 ha proporcionado una plataforma única y salas operativas dotadas de infraestructura y sistemas de comunicación seguros, así como ciberanalistas y expertos cibernéticos. De esta manera, hemos sido capaces de apoyar a los ciberanalistas, coordinados por NCA en el Reino Unido, y trabajando con presencia física del FBI de Estados Unidos y sus colegas de Italia, Turquía y los Países Bajos, con enlaces virtuales a los ciber-unidades en Alemania, Francia y Polonia”.

"Ha sido un placer ver la cooperación internacional entre policías y fiscales de muchos países y de nuevo han puesto a prueba nuestra capacidad para reaccionar con rapidez ante las amenazas cibernéticas. Es un paso más en la dirección correcta para hacer cumplir la ley y agradezco a todos los involucrados su gran compromiso y dedicación. Un agradecimiento concreto va a Kaspersky Lab, que ha contribuido de manera significativa al éxito de la operación - y nuestra cooperación seguirá creciendo en este y futuros casos".

Andy Archibald, director Adjunto de la Unidad de Crimen Cibernético Nacional de la autoridad nacional de competencia en el Reino Unido, afirma: "La NCA está tomando la iniciativa para hacer frente a las ciberamenazas dirigidas a empresas y particulares de todo el mundo. Esta fase de la actividad está destinada a tener un efecto significativo sobre la infraestructura de Shylock y demuestra cómo estamos usando las alianzas entre sectores y entre las fronteras nacionales para reducir los delitos cibernéticos".

Sergey Golovanov, analista de Seguridad de Kaspersky Lab, que presta el servicio de inteligencia de amenazas y ha hecho un seguimiento de la actividad del malware en el funcionamiento global, comentó: "Las campañas de fraude bancario ya no son casos excepcionales. Hemos visto un aumento significativo en este tipo de operaciones maliciosas. Sólo en 2013 el número de ciberataques que involucran malware diseñado para robar datos financieros aumentaron un 27,6% hasta alcanzar los 28,4 millones. Para luchar contra la ciberdelincuencia, proporcionamos  información sobre amenazas a los organismos policiales de todo el mundo y cooperaramos con organizaciones internacionales como Europol. Esta acción global trae resultados positivos - un ejemplo es la operación contra el malware Shylock".

Los que opten por las actualizaciones automáticas del sistema operativo - que puede asegurar que los ordenadores infectados con malware como Shylock se limpien de forma automática después de reiniciar del sistema - no necesitan hacer nada en este momento. Los que no opten por las actualizaciones automáticas o les gustaría saber más acerca de cómo comprobar sus equipos basados ​​en Windows y eliminar las infecciones, pueden ir a: http://support.microsoft.com/gp/cu_sc_virsec_master