¿Qué golpeó a la OPM? Lo que sabemos hasta ahora

Han pasado dos meses desde que sucedió la intrusión a la OPM y ha habido mucha especulación y fuga de detalles del ataque. A continuación presentamos un resumen de la información publicada hasta el momento.

4 de junio de 2015: La OPM anuncia que ha sufrido una intrusión.

8 de junio de 2015: Guidance Software anuncia que EnCase ha sido usado en la investigación de la OPM. Paul Shomo, Administrador Senior de Desarrollo de Software en Guidance Software, ha sido citado por SC MAGAZINE insinuando que el troyano de acceso remoto (RAT) PlugX fue utilizado por los atacantes de la OPM.

El Hack a la OPM: Indicios de una invasión mediante herramientas de administración remota

A raíz de la invasión a la OPM, donde los reportes sugieren que millones de registros de habilitación de seguridad se dirigieron directamente a unidades de inteligencia chinas, vamos a hablar acerca de herramientas de administración remota (RAT). Estas herramientas son de uso común en este tipo de ataques, así que vamos a caminar a través de una metodología común para la identificación de las RAT desconocidas.

En el sentido más amplio, las RAT se utilizan para acceder y controlar computadoras de forma remota. Los administradores de sistema a menudo utilizan estas herramientas para el bien, pero los hackers de sombrero negro desarrollan RAT especializadas que infectan, se esconden y actúan como puertas traseras.

La invasión a la OPM: qué se está haciendo correctamente

El día 4 de junio la oficina de la prensa federal de los Estados Unidos anunció una fuga “masiva” de datos del personal federal estadunidense, hospedados en la Oficina de Administración de Personal (OPM, según su sigla en inglés) dentro del Departamento de Seguridad Nacional de los Estados Unidos. Siguiendo a una fuga anterior descubierta en marzo de 2014, se dice que esta fuga ha expuesto la información personal de hasta 4 millones de empleados del estado. El Washington Post reportó que los oficiales estadunidenses sospechan que el gobierno chino esté por detrás del ataque, que representa “la segunda invasión extranjera significativa a redes del gobierno de los Estados Unidos en meses recientes”.

Visión General de la Integración con EnCase: EnCase & Splunk

Una de las características más poderosas de EnCase Cybersecurity es la habilidad de integrar a EnCase con otras herramientas de seguridad. Las capacidades de respuesta basadas en el contexto de EnCase Cybersecurity, al emparejarse con la tecnología de detección y correlación de eventos de seguridad de su elección, entrega un factor multiplicador a su habilidad de acercarse tanto como sea posible a un evento relacionado a la seguridad de la información. Mediante una arquitectura basada en un bus de servicio, EnCase Cybersecurity puede ser configurado para entregar automáticamente una visión completa y sin obstrucciones de los dispositivos en el momento en que se recibe una alerta para facilitar una variedad de necesidades de la seguridad de la información.

Para entregar un flujo de trabajo de seguridad completo desde la detección hasta la respuesta, EnCase Cybersecurity se integra con los proveedores líderes de tecnologías de detección de amenazas y de sistemas de administración de la información y de eventos de seguridad (SIEM), como HP ArcsSight, IBM Q1 Labs, FireEye, Sourcefire y otros. Cuando se hace uso de estas integraciones, EnCase Cybersecurity entrega tanto a pequeños equipos de seguridad TI como a grandes centros de operaciones de seguridad la validación y los detalles que necesitan de los hosts afectados prácticamente en tiempo real para entender completamente la naturaleza y el alcance de cualquier incidente, así como también permitir una rápida remediación.

CryptoWall 2.0, cuando los ciberatacantes le “protegen” sus datos

Existe una nueva amenaza sobre los datos, similar a CryptoLocker pero más sofisticada, que desde algunos meses está arrastrándose en los dispositivos con sistema operativo Windows. Este ransomware entra en una computadora mediante correos electrónicos con phishing, archivos PDF maliciosos o mediante enlaces a sitios web comprometidos. Una vez ha sido ejecutado en el sistema, el malware ejecuta su versión apropiada de 32 o 64 bits, dependiendo del sistema instalado en la computadora para usar un método particular a cada sistema para aprovechar una vulnerabilidad de Windows. Luego encripta los archivos doc, jpg, pdf, ppt, xls y otros del usuario y exige un pago a cambio de la clave para descifrar y restaurar los datos del usuario.

2015: La lucha contra ataques adaptables requiere defensas adaptables con respuesta automatizada

Los atacantes están en constante búsqueda de nuevas vulnerabilidades para explotar tecnologías adaptables a gran escala o en búsqueda de malware que se utilice, cree y modifique solo lo suficiente para eludir los métodos de detección conocidos para propagarse a través de la red corporativa. El mismo malware o la misma vulnerabilidad raramente son utilizados después su descubrimiento público. La identificación y la venta de nuevas vulnerabilidades son negocios de altos ingresos, así como la venta de “kits de malware” que pueden ser personalizados y utilizados como armas contra organizaciones desprevenidas. El cibercrimen es un negocio en alto crecimiento, los protagonistas están cada vez más organizados y sus métodos de ataques son cada vez más elaborados.

Sony Pictures de rodillas: La política del terror gana

¿Quién atacó a Sony Pictures? ¿Cómo lograron robar todos aquellos datos? ¿Cómo puede defenderse una organización?

El pasado 24 de noviembre un grupo de hackers llamado “Guardianes de la paz” traspasó las barreras de seguridad de Sony Picture Entertainment (SPE), parte de la multinacional Sony y una de las mayores distribuidoras y productoras de cine de EE.UU. Las redes de SPE fueron comprometidas mediante la instalación de un malware en las computadoras que copió miles de datos, los envió a un servidor remoto y los borró de los discos duros que los almacenaban. Fueron robados muchos terabytes de datos, incluyendo años de correos electrónicos de los dirigentes de la empresa, números y contraseñas de tarjetas de crédito, números de seguridad social de 47mil empleados, historiales médicos, contratos, salarios, imágenes e incluso cinco películas completas que aún no se han estrenado. Hasta ahora, solo una pequeña parte del material robado fue publicada, por lo que no se sabe que otra información confidencial podría develarse.   

¿Qué hemos aprendido de los ciberataques del 2014?

En Guidance Software tenemos el honor de entrenar y trabajar junto a equipos de seguridad de la información en numerosas corporaciones globales y agencias gubernamentales. Esto nos proporciona una ventaja ideal para aprender e incorporar la más grande inteligencia sobre los métodos de ataque y las mejores prácticas en respuesta a incidentes. Por esta razón, podemos ofrecerles una mirada a lo que hemos observado durante el aluvión de ciberataques ocurridos en este año.

Dónde invertir recursos en esta era de ataques de alto perfil  

En nuestra opinión, el impacto más grande que ha tenido el gran número de intrusiones famosas se encuentra en el crecimiento en la conciencia, tanto pública como corporativa, de estos ataques y de las dificultades presentes en asegurar los activos de una compañía. Esta concientización pone mayor presión y mayores demandas sobre aquellos que están en la primera línea de la batalla por la seguridad.

Perdiendo la capacidad de elegir: Botnets en Latinoamérica

¿Qué es una Botnet? ¿Cuál es su objetivo? ¿Se propaga también en Latinoamérica? ¿Cual son las más difundidas? ¿Cómo defenderse?

Aunque los zombis de Hollywood no son todavía una amenaza para la humanidad, existen otros tipos de zombis mucho más peligrosos para las compañías caminando entre nosotros. En los últimos años, una de las armas más eficaces utilizada por los ciberatacantes ha sido la “zombificación” de computadoras para crear botnets. Esto es tan cierto en Latinoamérica como en el resto del mundo. La amenaza de un “apocalipsis zombi” para las computadoras de nuestras empresas crece cada día, obligándonos a tomar las medidas necesarias para evitar la infección.

El Misterio del Ataque a JPMorgan Chase

Corría el mes de julio cuando los hackers se infiltraron en el sistema de  JPMorgan Chase, empresa financiera líder en inversiones bancarias, servicios financieros e inversiones privadas con sede en Nueva York. Los cibercriminales entraron masivamente en el sistema informático del banco llegando a más de 90 servidores y, después de tomar posesión de los programas cargados sobre las computadoras de JPMorgan Chase, han examinado los puntos débiles con el objetivo de encontrar puertas de entrada a los sistemas. Por varias semanas el banco tampoco se dio cuenta de esta profunda infiltración que,  como escribe el New York Times, subraya cuan vulnerable es el sistema financiero global a los ataques cibernéticos.