Cyber Amenazas de Última Generación en L.A. como Detectarlas y Combatirlas

Franklin Cruz

Amenazas Actuales

Ataques Web 2.0 BotnetsRootkitsRobo de InformaciónRobo de IdentidadAdvanced Persistent Threat (APT)Phishing DirigidoPharming

Resultados de AmenazasReportes de Seguridad Recientes de Mcafee 

indican que el Cybercrimen genera mas de USD 1 Trillón al año.El Crimen Organizado se encuentra altamente 

involucrado en el Cybercrimen:Dinero RápidoBajo riesgo

Ataques patrocinados por Gobiernos en alza a nivel mundial para e‐Espiar y Razones Ideológicas

Amenazas Web 2.0

Ataques a Redes Sociales (Facebook, LinkedIn, Twiter, Myspace, etc.)Malware Instalado en Web Sites Legitimos50 M Malware Semanales de Múltiples Suplidores

Amenazas Web 2.0 (Twitter)

• 20 de Enero 2011 Ataque propagado a través de Twitter

• Utilización del servicio de redirección de Google (goo.gl)

• Descarga de un Fake Antivirus “Security Shield”

Amenazas Web 2.0 (Facebook)

• 2008, 2009, 2010 – 16, 25 de Mayo  2011

• Koobface, OMG, etc.• Descarga Malware• Copia lista de Contactos

• Music Player SPAM• Envía SPAM

Amenazas Web 2.0 (LinkedIn)

• Septiembre 2010• Here You Have• Solicitud de Conexión LinkedIn

• Descarga de Zeus  Data Theft Malware

• Solo 14% (6 de 43) Antivirus lo detectan

Amenazas Web 2.0 (Hotmail)

• Mayo 2011• Correo Explota Vulnerabilidad Hotmail

• Usuario solo debe abrir el correo

• Robo de mensajes del usuario

• Robo de información del Profile

Amenazas Mobiles  (Android)

• Mayo 2011• Virus propagado por SMS• Solicita la descarga de un “Update”

• Dirigido a usuarios Chinos (Por ahora)

• Envía mensajes a números Premium

Amenazas Móviles  (Blackburn, Symbian, Windows Mobile)

• Mayo 2011• Versión del Malware Zeus para “Smartphones”• Troyano instalado silenciosamente• Notifica al atacante que puede ser controlado• Bloquea llamadas y teléfonos, reenvía y borra SMS

• También Android es afectado

Ingeniería Socialingeniería social es lapráctica de obtenerinformación confidenciala través de lamanipulación de usuarioslegítimos.

El principio que sustentala ingeniería social es elque en cualquier sistema"los usuarios son eleslabón más débil".

Phishing (Old Style)El "Phishing" es una modalidad deestafa diseñada con la finalidad derobarle la identidad. El delitoconsiste en obtener información talcomo números de tarjetas decrédito, contraseñas, informaciónde cuentas u otros datospersonales por medio de engaños.

Este tipo de fraude se recibehabitualmente a través demensajes de correo electrónico ode ventanas emergentes.

Spear Phishing (New Style)Los atacantes de "spear phishing"envían mensajes de correoelectrónico que parecen auténticosa todos los empleados o miembrosespecíficos de una determinadaempresa, organismo, organizacióno grupo. Podría parecer que elmensaje procede de un jefe o de uncompañero que se dirige por correoelectrónico a todo el personal (porejemplo, el encargado deadministrar los sistemasinformáticos) y quizá incluyapeticiones de nombres de usuario ocontraseñas.

PharmingSe denomina pharming ala manipulación de laresolución de nombresproducido por un códigomalicioso, normalmenteen forma de troyano, quese nos ha introducido enla PC mientrasrealizábamos algunadescarga.

Scamming

Se denomina Scam a un tipomuy concreto de mensajes decorreo electrónico quecirculan por la red y en losque se ofrece la posibilidadde ganar grandes sumas dedinero de forma sencillacuando la intención de losremitentes no es otra que lade estafar a los destinatarios

Scavenging• Consiste en obtener información dejada en oalrededor de un sistema informático tras laejecución de un trabajo .

• El basureo puede ser físico, como buscar encubos de basura (trashing, traducido también porbasureo) listados de impresión o copias dedocumentos, o lógico, como analizar buffers deimpresoras, memoria liberada por procesos, obloques de un disco que el sistema acaba demarcar como libres, en busca de información.

Botnets

Un "bot" es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado. Por lo general, los bots, también conocidos como "robots web" son parte de una red de máquinas infectadas, conocidas como “botnet”, que comúnmente está compuesta por máquinas víctimas de todo el mundo.

Botnets Zeus (Zbot, PRG, Wsnpoem or Gorhax)

Es uno de los Botnets mas utilizadosSe concentra en el Robo de Información BancariaSe propaga mediante Downloads sigilosos y Esquemas de 

PhishingIdentificado inicialmente en 2007 (USA Departamento 

Transporte)Se estima que existen millones de PCs infectadas en el mundoMayo 2011 Código de Zeus fue liberado en la redZeus se puede adquirir desde USD 700 hasta USD 15,000Zeus tiene protección antipiratería 

Botnets SpyEye

Botnet que está ganando popularidad en la actualidad

Automatiza el proceso de formar el Botnet

Automatiza la liquidez de la información

Crea ventas fantasmas con la información robada

RootKits

Herramientas usadas para esconder procesos y archivos

Falsean información del S.O.

No son detectados por A.V.Permiten la ejecución de 

Malware silenciosamenteNo sirven los análisis de 

patronesSe debe analizar el 

comportamiento de todas las acciones

RootKits – Stalking TDL4

Una variante del familia de Malware TDSSUtiliza el sector de booteo 

para esconderseUtiliza vulnerabilidades 

para propagarseGran capacidad para 

extraer información

Advanced Persistent Threat

Ataque Cibernético Sofisticado y organizado

Acceder y Robar información del blanco

Atacantes con técnicas similares a otros Hackers

Diferenciación en Persistencia y RecursosEscalamiento de Ataques a 

medida que el Blanco robustece su seguridad

Advanced Persistent Threat (RSA)EMC ‐ RSA División Anti hacking 

Hackeada (Marzo 2011)• Autenticación de 2 Factores comprometido• Clientes de RSA : Militares, Bancos,  Gobiernos•La información fue utilizada para acceder a Lockheed Martin y L‐3 Communications, contratistas militares (Mayo 2011)

Malware en L.A.

Información según Kapersky LAB 1Q 2011

Malware en L.A.

Información según Kapersky LAB 1Q 2011

Malware en L.A.

Información según Kapersky LAB 1Q 2011

Malware en $

Malware en $ (Cont.)

Debilidades de S.I. en L.A.Falta de Concientización del UsuarioLos ataques de seguridad no son comunicadosFalta de personal capacitadoFalta de entrenamiento especializadoFalsa ilusión de seguridad por adoptar estándaresBaja inversión en seguridadDepartamentos de Seguridad en Actividades OperacionalesFalta de Legislación y Marco LegalFalta de interés y conocimiento para perseguir a los atacantesFalta de análisis de riesgo y pruebas de sistemasUtilización de software ilegal

Debilidades de S.I. en L.A. (Cont..)No existe una cultura de actualización de SistemasNo existe cultura para análisis de vulnerabilidades

Estamos en un mundo convergente

Que podemos hacer?Usar el sentido comúnConcientización del UsuarioCapacitar PersonalEstándares implementados con sentido comúnInversión adecuada en seguridadImpulsar Legislación y Marco Legal adecuadosEntrenamiento para perseguir a los atacantesRealizar análisis de riesgo y pruebas de sistemasNo Utilización de Software IlegalProbar SistemasRealizar escaneo de Vulnerabilidades

FuentesMcafeeTrend MicroKapersky LabThe RegisterViruslistBank Info SecurityISACA ISRMEsecurity PlanetWSJ