CryptoWall 2.0, cuando los ciberatacantes le “protegen” sus datos

Existe una nueva amenaza sobre los datos, similar a CryptoLocker pero más sofisticada, que desde algunos meses está arrastrándose en los dispositivos con sistema operativo Windows. Este ransomware entra en una computadora mediante correos electrónicos con phishing, archivos PDF maliciosos o mediante enlaces a sitios web comprometidos. Una vez ha sido ejecutado en el sistema, el malware ejecuta su versión apropiada de 32 o 64 bits, dependiendo del sistema instalado en la computadora para usar un método particular a cada sistema para aprovechar una vulnerabilidad de Windows. Luego encripta los archivos doc, jpg, pdf, ppt, xls y otros del usuario y exige un pago a cambio de la clave para descifrar y restaurar los datos del usuario.

2015: La lucha contra ataques adaptables requiere defensas adaptables con respuesta automatizada

Los atacantes están en constante búsqueda de nuevas vulnerabilidades para explotar tecnologías adaptables a gran escala o en búsqueda de malware que se utilice, cree y modifique solo lo suficiente para eludir los métodos de detección conocidos para propagarse a través de la red corporativa. El mismo malware o la misma vulnerabilidad raramente son utilizados después su descubrimiento público. La identificación y la venta de nuevas vulnerabilidades son negocios de altos ingresos, así como la venta de “kits de malware” que pueden ser personalizados y utilizados como armas contra organizaciones desprevenidas. El cibercrimen es un negocio en alto crecimiento, los protagonistas están cada vez más organizados y sus métodos de ataques son cada vez más elaborados.

Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos

El día 19 de diciembre de 2014 fue anunciado un estudio preparado por la empresa Gartner, una de las compañías de mayor reputación en consultoría e investigaciones relacionadas a TI, en el que se ha estimado que Guidance Software fue la líder del mercado de herramientas de detección y respuesta en dispositivos finales durante 2013. La investigación efectuada por Gartner examinó el comportamiento de compra de los clientes interesados en detección y respuesta, los casos de uso y las tecnologías que los gerentes de producto y los profesionales de marketing deberían considerar.

Sony Pictures de rodillas: La política del terror gana

¿Quién atacó a Sony Pictures? ¿Cómo lograron robar todos aquellos datos? ¿Cómo puede defenderse una organización?

El pasado 24 de noviembre un grupo de hackers llamado “Guardianes de la paz” traspasó las barreras de seguridad de Sony Picture Entertainment (SPE), parte de la multinacional Sony y una de las mayores distribuidoras y productoras de cine de EE.UU. Las redes de SPE fueron comprometidas mediante la instalación de un malware en las computadoras que copió miles de datos, los envió a un servidor remoto y los borró de los discos duros que los almacenaban. Fueron robados muchos terabytes de datos, incluyendo años de correos electrónicos de los dirigentes de la empresa, números y contraseñas de tarjetas de crédito, números de seguridad social de 47mil empleados, historiales médicos, contratos, salarios, imágenes e incluso cinco películas completas que aún no se han estrenado. Hasta ahora, solo una pequeña parte del material robado fue publicada, por lo que no se sabe que otra información confidencial podría develarse.   

Perdiendo la capacidad de elegir: Botnets en Latinoamérica

¿Qué es una Botnet? ¿Cuál es su objetivo? ¿Se propaga también en Latinoamérica? ¿Cual son las más difundidas? ¿Cómo defenderse?

Aunque los zombis de Hollywood no son todavía una amenaza para la humanidad, existen otros tipos de zombis mucho más peligrosos para las compañías caminando entre nosotros. En los últimos años, una de las armas más eficaces utilizada por los ciberatacantes ha sido la “zombificación” de computadoras para crear botnets. Esto es tan cierto en Latinoamérica como en el resto del mundo. La amenaza de un “apocalipsis zombi” para las computadoras de nuestras empresas crece cada día, obligándonos a tomar las medidas necesarias para evitar la infección.

Ataque a Home Depot: El Mayor Robo de Tarjetas en la Historia

Durante los primeros días de Septiembre los bancos de Norte América empezaron a sospechar  que Home Depot, empresa estadounidense de mejoramiento del hogar y material de construcción, podría haber sido la fuente de una nueva fuga masiva de tarjetas de crédito y débito.

El lunes 8 de Septiembre, Home Depot confirmó que los hackers se introdujeron en sus  sistemas de pago y tuvieron acceso a informaciones de tarjetas de crédito de los clientes. Además, declaró que cualquier persona que haya utilizado una tarjeta de pago en cualquiera de sus tiendas de Estados Unidos y Canadá desde abril puede ser una víctima.

Este ataque, escribe el New York Times, representa la mayor intrusión en una red informática de una empresa minorista; el número de datos de tarjetas de crédito robadas es de 56 millones.  En los ataques del año pasado en Target, hasta hoy día el más grande ataque a redes minoristas, los hackers habían robado los datos de 40 millones de tarjetas de crédito y débito.

Cortando el “Machete”: Nuevo Malware dirigido a Latinoamérica

Existe un nuevo contrincante en el campo de combate al malware, y utiliza el nombre de “Machete”. Machete es un malware desarrollado en Latinoamérica aparentemente para el robo de información relacionada a entidades gubernamentales de nuestra región. Sabemos que Machete fue desarrollado en Latinoamérica por el uso de español en el código del malware y por la ubicación de la mayoría de sus víctimas reportadas.

Machete inició su campaña de ataques dirigidos en el año 2010 y en 2012 mejoró su infraestructura. Este malware ha afectado mayormente a víctimas en Ecuador y Venezuela, pero otros países de Latinoamérica también han sido enfocados en los ataques, además de algunas víctimas afectadas en países lejanos como Rusia y hasta Malasia. Entre los afectados se han reportado organizaciones militares y de inteligencia, embajadas y otras agencias gubernamentales. De las casi 800 infecciones encontradas en organizaciones del mundo, más de 700 fueron organizaciones de Latinoamérica.

Detectando y Mitigando un Ataque CryptoLocker con EnCase

El más reciente Informe Sobre Investigaciones de Brechas en los Datos (DBIR) de Verizon reveló que el crimeware es un problema serio para las industrias de construcción, información y servicios básicos, representando más del 30% de los incidentes presentados. Entre los más malignos de la categoría de troyanos de ramsonware está el CryptoLocker.


Cómo funciona Cryptolocker

CryptoLocker llega mediante un archivo ZIP anexado a un mensaje de correo electrónico aparentemente inocente. Una vez descomprimido, el malware se instala en la carpeta del perfil de usuario, agrega una llave al registro para que se inicie automáticamente durante el arranque, y posteriormente empieza una conexión a un servidor de comando y control. Después de la conexión, el servidor genera un par de llaves RSA de 2048 bits y retorna la llave pública al computador, encripta archivos  de los discos duros locales y de las unidades de red mapeadas con esa llave pública, y apunta cada archivo encriptado en una llave del registro.  En este momento, el usuario recibe un mensaje que le informa que sus archivos han sido encriptados y que se requiere pagar una recompensa con Bitcoin.