Sophos Day 2017 radiografía el ransomware

El impacto económico del ransomware podría situarse entre los 3.000 y los 6.000 millones dólares a nivel mundial en 2017.

Sophos ha desvelado la radiografía del ransomware durante la celebración del Sophos Day 2017, en la que reunió a más de 400 profesionales de la ciberseguridad en Palco de Honor del Estadio Santiago Bernabéu, un escenario donde se analizaron las últimas tendencias en ciberamenazas, la diversidad y herramientas de hackeo, y se profundizó en la Seguridad Sincronizada, innovadora visión del fabricante que ha revolucionado el mercado de la ciberseguridad empresarial.

85

El director general de Sophos Iberia, Ricardo Maté, inauguró el evento haciendo un recuento de los últimos ataques masivos de Ransomware, como Wannacry y Petya, que han afectado a las empresas a nivel mundial, y cuyo impacto económico en 2017 podría situarse entre los 3.000 y los 6.000 millones de dólares, unas cifras que demuestran el rápido crecimiento de estas ciberamenazas, ya que, en 2016 el impacto fue de mil millones de dólares.

Lo cierto es que según el último Informe SophosLabs 2018 Malware Forecast, el malware ha trascendido los sistemas operativos, y hoy en día el Ransomware tiene como objetivo a usuarios tanto de Android, como de Mac, como de Windows o Linux por igual. Actualmente se está viviendo una oleada de ransomware alimentada por el RaaS (Ransomware-as-a-Service), negocio que consiste en comercializar dentro de la web oscura ciberataques de Ransomware, vendiéndolos como paquetes al mejor postor. Esta avalancha de ataques se ha amplificado además por el resurgimiento de gusanos informáticos, que son aquellos malwares que tiene la capacidad de duplicarse y hacen que la infección de los equipos sea rápida y fulminante.

Y las consecuencias nos son solo económicas, como ha explicado Maté, sino a nivel de negocio por la capacidad de estos ciberataques de paralizar todos los equipos e impedir el normal funcionamiento de la empresa afectada; y a nivel reputacional, como puede ser la mala imagen proyectada por algunas empresas, que tras ser atacadas por Wannacry, tardaron semanas en volver a ser operativas, afectando a miles de sus clientes.

La sanidad es un ejemplo de las industrias que están en la mira de los ciberdelicuentes. Según informe SophosLabs 2018, desde 2016, los ataques de Ransomware se comenzaron a centrar en las industrias con más probabilidades de pagar, como la sanidad, el gobierno, la infraestructura crítica, la educación y las pequeñas empresas.

En el Sophos Day se ha precisado además que el ransomware sigue siendo un gran problema para los usuarios de Android. Según un análisis realizado por SophosLabs, el número de aplicaciones maliciosas ha aumentado constantemente en los últimos cuatro años. En 2013, poco más de medio millón eran maliciosas. Para 2015 había aumentado a poco menos de 2,5 millones. Para 2017, la cantidad es de casi 3,5 millones.

01

Por otro lado, Maté destacó la importancia de contar con una solución de Seguridad Sincronizada para adaptarse al nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR) y evitar así brechas de seguridad como las que han vivido empresas como Equifax, cuyo impacto ha afectado en 87 millones de dólares y el cese de sus altos directivos; o Deloitte, que perdió el control de información, como nombres de usuario, contraseñas, direcciones IP o informes de salud de algunos de sus clientes más importantes.

Fuente Web: http://www.computing.es/seguridad/noticias/1102032002501/sophos-day-2017-radiografia-ransomware.1.html

Anuncios

Vulnerabilidades y espionaje: la otra cara de los juguetes conectados

La organización de consumidores británica Which? alerta sobre posibles fallos de seguridad de estos aparentemente inocentes aparatos para niños que suelen requerir el uso de un móvil y que podrían hacer que cualquiera se comunicara con el menor

43284535-k1eE--620x349@abc

Los juguetes «inteligentes» suelen despertar el interés de todos, sobre todo, el de los niños actuales. Robots, humanoides, muñecos interactivos. Un sinfín de productos que se suman a los ya clásicos peluches o coches. Los hábitos de los pequeños han cambiado con el tiempo y la tecnología está cada vez más presente en sus vidas. Pero aquellos que requieren de conectividad a Internet pueden conllevar ciertos riesgos si no se observan adecuadamente.

Como hiciera con anterioridad, la organización de consumidores británica Which? ha alertado de una serie de vulnerabilidades localizadas en algunos modelos de juguetes conectados y que podrían presentar un riesgo para la seguridad de los menores. Estos «agujeros de seguridad» provienen de la conectividad inalámbrica a través de Bluetooth o WiFi. La investigación ha descubierto que cualquier persona con conocimientos técnicos podría «comunicarse» con el usuario (un niño en este caso).

Los analistas han encontrado estas carencias técnicas en algunos juguetes de peluche de las marcas Furby, I-Que Intelligent Robot, Toy-fi Teddy y CloudPets. En cada uno de ellos, la conexión Bluetooth no contenía los estándares de de seguridad requeridos, lo que significa que durante las pruebas un cibercriminal no necesitaría de contraseña, código PIN ni ninguna otra autenticación para acceder a los datos que conectan al juguete con el dispositivo móvil.

¿Qué implica esto? Según las pruebas realizadas una persona puede conectarse a la red Bluetooth del juguete. «Nadie dejaría un niño pequeño con un smartphone sin supervisión», afirma en un comunicado el director de Productos y Servicios del Hogar de Which?, Alex Neill, pero insta a los padres a aplicar el «mismo nivel de cuidado» cuando le regalan a un niño un juguete conectado.

Las principales marcas han reaccionado. Así, la compañía de juegos Hasbro, creadora del Furby Connect, ha explicado que se toman las investigaciones sobre sus juguetes «muy en serio» y apunta a que las vulnerabilidades expuestas «únicamente pueden ser aprovechadas por alguien que esté muy cerca del juguete» y «tenga los conocimientos técnicos para rediseñar el ‘firmware’». Por su parte, Vivid Toys, distribuidora del robot i-Que, también ha señalado que no se han denunciado usos perniciosos de su producto y que su juguete «cumple con las normativas británicas y europeas».

Antecedentes similares

No es la primera vez que los llamados juguetes conectados se miran con lupa desde una perspectiva de ciberseguridad. CloudPets, peluches de la compañía Spiral Toys, también ha estado implicada en una polémica similar. El experto en ciberseguridad Troy Hunt descubrió que más de 800.000 cuentas de usuarios y más de dos millones de conversaciones de estos peluches fuerono expuestas sin ningún tipo de seguridad. La información de los usuarios (grabaciones de audio, correos electrónicos, contraseñas…) estuvo disponible en internet durante semanas, accesible para cualquiera y a la mano de los cibercriminales.

Vtech también tuvo que luchar contra una crisis derivada de la exposición de 6,3 millones de cuentas de usuarios menores, mientras que la muñeca Cayla se ha convertido en objeto de controversia: diversas asociaciones y organizaciones aseguraron que Genesis Toys, la marca responsable, «espiaba» a los menores. Incluso la clásica muñeca Barbie, que actualizó uno de sus modelos Hello Barbie, incluyendo capacidades de interacción con un software basado en aprendizaje automático, ha estado envuelta en polémica. Las conversaciones quedaban grabadas y almacenadas en los servidores de la marca propietaria Mattel durante dos años. La compañía tuvo que emitir un comunicado en el que aseguraba que respetaba la privacidad de los menores y que esas conversaciones se guardaban para «mejorar el producto» con previo consentimiento de los progenitores.

Fuente Web: http://www.abc.es/tecnologia/redes/abci-vulnerabilidades-y-espionaje-otra-cara-juguetes-conectados-201711160145_noticia.html

Los ciberenemigos más temidos de las empresas son empleados y despedidos

68429823_15_970x597

El enemigo más temible de las empresas es en ocasiones un empleado o un antiguo trabajador. El 47% de los ataques informáticos con origen dentro de las compañías tienen como autores a empleados o ex empleados, por un 40,7% causado por proveedores. Es uno de los datos de la Encuesta Mundial de Seguridad de la Información 2018, elaborada por la consultora PwC a partir de la opinión de 9.500 directivos y responsables de tecnologías de la información, de los cuales 336 españoles.

Hacer frente a los ataques surgidos de dentro de la organización (insider treats) es la principal prioridad de las empresas españolas para los próximos doce meses, según el informe de la consultora. Para frenarlos, el estudio propone garantizar la seguridad de los dispositivos móviles y monitorizar los sistemas y redes de la compañía, así como mejorar la gestión de identidades y aumentar la formación de los trabajadores sobre los riesgos informáticos que amenazan a las empresas.

Las empresas españolas paran 17 horas al año por ataques informáticos

Los ciberataques de origen externo tienen una autoría más repartida. El 28,2% están causados por empresas competidoras, el 25,4% los realizan organizaciones criminales y un 17,5% provienen de activistas. El documento revela que las empresas españolas se ven obligadas a parar sus operaciones 17 horas de media al año como consecuencia de los ataques informáticos. En todo el mundo, las compañías sufren de media 3,4 incidentes de seguridad al año, que hacen perder en términos globales 4,8 millones de dólares.

A medio plazo, la principal preocupación es garantizar la seguridad de los servicios almacenados en la nube, ya que la mitad de las empresas encuestadas prevé utilizar este medio para guardar información sensible en el próximo año y medio. Mientras avanza la digitalización, se incrementa la exposición a ataques informáticos. En este sentido, el 67,7% de los directivos encuestados por PwC en España consideran “probable” o “muy probable” que sus empresas vayan a sufrir algún ciberataque en los próximos meses.

El 67% de los directivos españoles ven “probable” o “muy probable” que sus empresas sufran ciberataques

El informe refleja que el 49% de los directivos españoles son conscientes de que sus empresas carecen de una estrategia integral de seguridad. Más de la mitad (53%) carecen de programas de formación para los empleados, mientras que el 55% no disponen de procedimientos previstos para responder a los incidentes. Cuando se produce un ciberataque, el 41% de las empresas españolas son incapaces de identificar la autoría.

“Las compañías deben contemplar de forma específica la seguridad a la hora de disfrutar de los beneficios de nuevas tecnologías a la hora de disfrutar de los beneficios de nuevas tecnologías que han llegado para quedarse, como cloud, big data o el internet de las cosas”, señala Jesús Romero, socio responsable de soluciones de seguridad de negocio de PwC.

Fuente web: https://www.economiadigital.es/tecnologia-y-tendencias/la-mitad-de-los-ciberataques-dentro-de-empresas-son-de-empleados_520085_102.html

Nuevos vectores de ataque de ransomware

ransomware2

La amenaza del ransomware está lejos de desaparecer. Cada día se lanzan nuevos ataques que secuestran los datos y los equipos de las empresas, que se enfrentan a pérdidas financieras enormes si no reaccionan a tiempo.

Si bien la mayoría de las variantes impiden a los usuarios acceder a sus documentos encriptándolos y pidiendo un rescate a cambio de volver a tener acceso a ellos, otras utilizan maneras diferentes y creativas de hacer dinero.

Ransomware IoT

En agosto de 2016, los ciberdelincuentes mostraron una forma muy ingeniosa de presionar para conseguir un rescate: se hicieron con el control de los termostatos de un edificio y aumentaron la temperatura hasta los 99 grados. En noviembre del mismo año, los viajeros del metro de San Francisco no pudieron comprar tickets en las estaciones debido a un ataque de ransomware en la red.

El uso creciente de dispositivos IoT hará que este vector sea cada vez más común en el futuro. A medida que el Internet de las Cosas se implemente en nuestra vida cotidiana, los creadores de amenazas encontrarán nuevas y mejores formas de extorsionar.

Ransomware de datos personales

Otro método es robar datos de las víctimas y amenazar con exponerlos a menos que se reciba un pago de rescate en un plazo determinado. Este modus operandi genérico ha sido utilizado por diferentes familias y campañas de malware. Por ejemplo, en mayo de 2016, se robaron más de 10 millones de registros de clientes de un importante contact center online surcoreano, incluidos nombres, direcciones y números de teléfono.

Los hackers exigieron más de 2.600 dólares en bitcoins para evitar la publicación de la información.

Ransomware DDoS

Algunos ciberdelincuentes amenazan con realizar un ataque de denegación de servicio a menos que la víctima pase por caja. Con el creciente uso de botnets para lanzar ataques DDoS, este vector de ataque es especialmente común contra bancos, y es muy atractivo, ya que es mucho más simple que desarrollar un ransomware de cifrado de archivos ‘tradicional’. En enero de 2017 se lanzó contra la web del British Lloyds Bank.  Los hackers emitieron una amenaza DDoS con una demanda de  94.000 dólares.

Bloqueadores de pantalla

Algunos ransomware simplemente evitan que las víctimas usen sus equipos bloqueando sus pantallas. Existen diferentes formas de realizar un ataque de estas características, como la cancelación de las opciones para cerrar un programa o para apagar el dispositivo. Algunos ejemplos son DeriaLock, que ataca a ordenadores y exige un pago de 30 dólares, y Flocker, que bloquea teléfonos y smart TV Android, y pide una tarjeta regalo de iTunes como pago.

Fuente Web: http://www.computing.es/seguridad/opinion/1101924002501/nuevos-vectores-de-ataque-de-ransomware.1.html

Lanzarán en la Argentina seguros contra ataques informáticos y el ciberdelito

Estarán enfocados principalmente en reparar daños a las empresas afectadas; la Superintendencia de Seguros está terminando su reglamentación y el año que viene empezarán a ofrecer las empresas del sector

tecnologia-1943622w620

ART, seguros de salud, de autos, de hogar. Hay muchos tipos de pólizas en la Argentina. Y dentro de poco habrá una más: la Superintendencia de Seguros de la Nación está terminando la reglamentación que permitiría a las empresas del sector empezar a ofrecer también seguros contra ciberdelitos. “La idea es que puedan asegurar tres tipos de riesgo: el primero es del impacto a la interrupción de negocio; el segundo es el riesgo de reputación, y el último tiene que ver con las demandas y reclamos de terceros en base a esos ataques, y los costos asociados”, señala Juan Pazo, a cargo de la Superintendencia.

El primero, el de la interrupción del negocio, hace alusión a lo que sucedió, por ejemplo, con WannaCry, donde numerosas empresas tuvieron que detener sus operaciones, ante la imposibilidad de acceder a sus archivos (encriptados por este ransonmware) y la necesidad de frenar la propagación del virus al resto de la red. ¿Cuánto dinero habrán perdido esos días las empresas que dejaron de producir? “Ese es uno de los principales riesgos que se podría asegurar, porque se puede cuantificar”, describe Pazo.

“El de la reputación es el más difícil de determinar y se necesita de un perito”, señala Pazo. “Es el daño que causa porque dejás de operar o lo hiciste mal, y eso provocó que perdieras valor en tu compañía. Las redes sociales pueden ser el lugar indicado para analizar esto. U otro ejemplo: si sos un banco, o tenés una actividad financiera, y basás en el secreto gran parte de tu matriz de negocio, pero de repente te roban información, y luego eso se viraliza o aparece en la tapa de un diario, eso generaría un costo que podría ser reparado”, amplía.

Por último, los costos asociados a terceros tienen que ver con indemnizaciones, peritos y abogados, entre otros gastos.

El foco de los seguros: las empresas

Las empresas son las más principales afectadas por los ataques informáticos: según la consultora en seguridad ESET, un 60% de empresas en Argentina sufrió algún tipo de incidente relacionado con seguridad informática; de manera específica, el 32% padeció algún caso de malware. Un relevamiento de Kaspersky Lab, en base a datos del tercer trimestre de 2017, ubicó a la Argentina como el séptimo país del planeta con mayor cantidad de ataques de phishing recibidos.

Con la regulación de la Superintendencia de Seguros, las empresas podrán empezar a ofrecer sus servicios el año que viene. “En América latina la regulación es incipiente, pero ya hay países más avanzados como Chile”, explica Pazo. El mercado de seguros en la Argentina mueve el 3,1% del PBI, y se compone en un 80% de los obligatorios (ART y de autos) y un 20% de los opcionales. “Hay apetito de las empresas por brindar estos seguros -dice Pazo-; y creen que hay una masa crítica que lo está buscando.”

Fuente Web: http://www.lanacion.com.ar/2080738-lanzaran-en-la-argentina-seguros-contra-ataques-informaticos-y-el-ciberdelito

ESET identificó una versión falsa de Windows Movie Maker en Google

La compañía de seguridad informática advierte sobre una estafa que distribuye un falso Windows Movie Maker pidiendo dinero a cambio.

Buenos Aires, Argentina – ESET, compañía líder en detección proactiva de amenazas, alerta sobre un grupo de estafadores que distribuía una versión falsa de Windows Movie Maker con el objetivo de recolectar dinero de usuarios desprevenidos. Esta estafa tuvo mucho éxito dado a su buen posicionamiento en el buscador Google.

Los ciberdelincuentes aprovecharon que Windows Movie Maker, el software de edición de video gratuito de Microsoft, fue discontinuado en enero de 2017 pero aun es demandado por muchos usuarios. El sitio web, windows-movie-maker.org, apareció como uno de los mejores resultados al buscar “Movie Maker” y “Windows Movie Maker”. Como consecuencia del alto posicionamiento del sitio en los motores de búsqueda, los estafadores han logrado llegar a una “audiencia” global.

newswelive

Pie de imagen: Alto posicionamiento en Google del sitio del engaño

El 5 de noviembre de 2017, fue la tercera amenaza más detectada en todo el mundo y la número uno en Israel. A partir del 6 de noviembre, la telemetría de ESET registró muchas detecciones en Filipinas, Israel, Finlandia y Dinamarca.

newswelive2

Pie de imagen: El sitio del engaño

Cuando los usuarios instalan el software ofrecido en el sitio web mencionado anteriormente, obtienen un Windows Movie Maker que funciona. Sin embargo, a diferencia de la versión oficial y gratuita de Microsoft, esta pretende ser una versión de prueba que debe actualizarse a una versión completa para poder ofrecer todas las funciones.

newswelive3

Pie de imagen: Indicador de pago mostrado por el Movie Maker modificado al guardar un documento.

Se le solicita repetidamente al usuario que compre la versión completa, primero cuando inicia el software y más tarde cuando intenta guardar un nuevo documento. En este último caso, el aviso impide que el usuario continúe, haciendo que parezca que guardar un documento era una función paga. El precio requerido por la falsa mejora del programa es 29,95 dólares, lo que se presenta como un descuento del 25% en el sitio de pago usado por los criminales.

ESET acerca algunos consejos para protegerte de este engaño:

  • Si ya se ha instalado el falso Movie Maker que se ofrece en windows-movie-maker.org, es importante desinstalarlo y hacer un escaneo del equipo con una solución antimalware acreditada.
  • Para evitar ser víctima de estafas similares, se recomienda siempre respetar las fuentes oficiales al descargar software.
  • Si realmente se necesita utilizar un software que ya no es distribuido por su creador original, hay que utilizar una solución de seguridad confiable para detectar y bloquear contenido malicioso, y considerar usar el reemplazo oficial para el software discontinuado, en este caso, Windows Story Remix.
  • Nunca pagar por el software que es o fue oficialmente ofrecido gratis. La información sobre los precios del software debe estar disponible en línea.

 

Fuente Web: https://www.welivesecurity.com/la-es/2017/11/09/falso-windows-movie-maker-posicionamiento-google/

Ransomware: cortina de humo para encubrir ataques dirigidos a corporativos e infraestructuras críticas

Ataques-Ransomware-300x169

Empresa española de seguridad cibernética, ha constatado que la persistencia de los ataques ransomware, en especial contra la industria japonesa en un periodo muy corto, ha disparado las alarmas acerca del verdadero objetivo de los referidos ataques, a nivel mundial.

“La constatación de ataques persistentes contra la industria japonesa en un marco temporal comprendido entre tres y nueve meses, entre cuyos objetivos se encontraba el de codificar cientos de máquinas a la vez, ha disparado las alarmas acerca de su verdadero objetivo”, explica Antonio Ruiz, Team Leader ACS & MSS de S21Sec para México y Latinoamérica.

En el proceso de análisis de los actores implicados en el ataque, los ransomware utilizados que responden al apelativo ONI y MBR-ONI, se comprobó que cada uno de ellos juega un papel diferenciado, que no está dirigido al carácter expropiatorio y lucrativo, sino al robo de información confidencial, lo que vendría a alertar sobre la existencia de operaciones de hackeo dirigido, poco frecuentes en este momento. Estas conclusiones llevan a considerar la existencia de una tendencia mundial preocupante.

Pero lo que realmente suscita el interés, no es tanto el empleo de ransomware en operaciones de hackeo, sino las funcionalidades de los vehículos empleados, en particular de ONI, que tiene el carácter de “limpiaparabrisas” o “limpiador dirigido”, como se le denomina comúnmente en el argot. Este tipo de malware elimina el rastro de la información sustraída y de la acción sustractora, encubriendo la operación de piratería.

“La singularidad de la alianza de ambos tipos de ransomware y las funcionalidades que desempeña cada uno de ellos, así como la particularidad de los objetivos, nos hace pensar en una nueva vertiente de la amenaza que eventualmente podría ser empleada para encubrir ataques de Estados u organizaciones criminales contra la industria occidental e infraestructuras críticas, empleando el ransomware como cortina de humo para el robo de información confidencial y estratégica”, apunta el especialista.

Los actores identificados

MBR-ONI.Es un nuevo bootkit (malware que aprovechando una vulnerabilidad del sistema operativo se escribe en el sector de arranque –MBR-Master Boot Record–, mueve el contenido original de este a un espacio protegido del disco duro y lo codifica), cuya principal característica es la incapacidad del sistema operativo para detectarlo debido a que sus componentes residen fuera del sistema de archivos MS Windows, que se basa en una versión modificada de una utilidad de cifrado de disco de código abierto llamada DiskCriptor, del que toma prestada una gran parte de su código.

Como dato interesante habría que resaltar que la referida utilidad DiskCriptor se ha empleado recientemente en el ransomware Bad Rabbit, el cual se ha utilizado para atacar diferentes sistemas en todo el mundo, principalmente Rusia y Ucrania.

ONI. Puede ser considerado una cepa anterior de ransomware en la misma cadena de ataques y, por los datos conocidos, parece compartir código con las variantes del ransomware GlobeImposter. La vía de infección es mediante correos electrónicos de spear-phishing que contienen el código malicioso; este se comprime en un archivo .zip y, una vez ejecutado, la carga maliciosa se recogerá en una variedad de dominios y comenzará a codificar los archivos en el punto final de la víctima. El malware tiene la capacidad de eliminar las copias de seguridad de Windows y limpiar los registros después de la infección.

LIMPIADORES DIRIGIDOS. No es la primera vez que se utilizan los “limpiadores dirigidos” o “limpiaparabrisas”, asociados al ransomware. En opinión de analistas de S21sec, se han utilizado ya en ataques dirigidos, por ejemplo:

Not Petya, que ha afectado a grandes firmas, incluyendo la petrolera rusa Rosnef, la empresa eléctrica estatal de Ucrania, el Metro y otras infraestructuras críticas de este país.

Shamoon, que se ha visto implicado en diferentes ataques a petroleras como Saudí Aramco, Chevron, RasGas, o la petroquímica saudita Sadara.

Bad Rabbit, entre cuyos objetivos se podrían citar grupos de medios rusos, el Aeropuerto Internacional de Odesa, el Ministerio de Infraestructura de Ucrania, y el Metro de Kiev, entre otros.

“Las nuevas funcionalidades detectadas en los ataques que hemos descrito ha suscitado inquietud en buena parte de analistas en todo el mundo, por la potencial proyección y consecuencias de su extensión a otros continentes. Esto, en buena medida, se fundamenta en el análisis del crecimiento del ransomware como amenaza global que puede generalizarse en el corto o mediano plazo, y que podría poner en serio peligro las infraestructuras de muchos países”, concluyó Antonio Ruiz.

Fuente Web: http://almomento.mx/ransomware-cortina-humo-encubrir-ataques-dirigidos-a-corporativos-e-infraestructuras-criticas/