Archive for Seguridad Informática

junio 30th 2016

Informe KSN: Ransomware móvil en 2014-2016

Número de lecturas: 525
{lang: 'es-419'}

Estadísticas

La actividad del ransomware móvil, aunque no goza de tanta cobertura mediática como sus pares para PC, también se disparó en el periodo de referencia de este estudio. Especialmente en la segunda mitad.

Informe KSN: Ransomware móvil en 2014-2016

Cantidad de usuarios atacados por lo menos una vez con programas ransomware entre abril 2014 y marzo 2016

Desde abril de 2014 hasta marzo de 2105, las soluciones de seguridad para Android de Kaspersky Lab protegieron a 35.413 usuarios contra programas ransomware para dispositivos móviles. Un año después, esta cantidad casi se cuadriplicó, alcanzando los 136.532 usuarios. También aumentó la proporción de usuarios atacados con programas ransomware en relación a los atacados con cualquier otro tipo de programas maliciosos: del 2,04% en 2014-2015 al 4,63% en 2015-2016. La curva de crecimiento puede ser menor que la de los programas ransomware para PC, pero es lo suficientemente significativa como para confirmar una preocupante tendencia.

Principales actores del ransomware móvil

Durante todo el periodo cubierto en el informe, los investigadores de Kaspersky Lab lograron identificar algunas familias de ransomware para dispositivos móviles que atacaron con más frecuencia a los usuarios de nuestros productos. En 2014-2015 estas familias fueron: Pletor, Fusob, Svpeng y Small. En 2015-2016, Svpeng redujo notablemente su actividad, limitándose a atacar a un pequeño número de usuarios.

En algún momento durante 2014-2015, Svpeng, originalmente conocido como un programa malicioso bancario, fue modificado por sus creadores para añadirle la capacidad de bloquear un dispositivo infectado. Desde entonces hemos detectado las dos versiones de Svpeng: el bancario y el ransomware. El ransomware se hizo visible y famoso durante 2014-2015, representando el 5,64% de los usuarios atacados por programas maliciosos.

Esto cambió en el segundo periodo, pues el ransomware bajó hasta los últimos puestos de las 30 amenazas principales. Sin embargo, los programas bancarios de la familia Svpeng se reactivaron, lo que probablemente significa que sus autores sencillamente perdieron el interés en desarrollar ransomware y decidieron concentrarse en los bancarios.

Algo parecido sucedió con Pletor, considerado como el primer ejemplo de ransomware y al parecer creado por los mismos autores del famoso troyano bancario Acecard. En 2014-2015, Pletor se constituyó en un actor principal de los ataques de ransomware contra dispositivos móviles, pero en 2015-2016 perdió protagonismo, con lo que quedaron sólo tres grandes familias de ransomware en el “mercado”.

Informe KSN: Ransomware móvil en 2014-2016

Distribución de los usuarios atacados por las familias más activas de ransomware móvil en 2014-2015 (izquierda) en comparación con los atacados en 2015-2016 (derecha).

Otro hallazgo importante realizado durante los 24 meses cubiertos por el informe fue la rivalidad entre dos grandes familias de ransomware: Small y Fusob. En 2014-2015, la familia Small era líder, al menos en cuanto a la cantidad de usuarios atacados. Representaba el 69,11% de todos los usuarios atacados al menos una vez por programas ransomware para dispositivos móviles. Pero un año después, la familia Fusob tomó el liderazgo con el 56,25% de usuarios atacados. No obstante, la familia Small se mantuvo en segundo lugar con el 37,23% de usuarios atacados. Es probable que los autores de Svpeng, Pletor, Small y Fusob los estén vendiendo a otros ciberdelincuentes o que se empiecen a propagar mediante redes afiliadas, ya que las cuatro familias tienen numerosas modificaciones. Sin embargo, parece que Small y Fusob son los que más modificaciones han tenido, lo que queda claramente demostrado en las estadísticas.

A diferencia de los programas ransomware para PC, que reciben una atención relativamente mayor de parte de los investigadores de diferentes compañías, entre ellas Kaspersky Lab, el ransomware para dispositivos móviles hasta ahora no ha sido estudiado en profundidad. Para hacer frente a esto, ofrecemos una breve descripción de los ejemplos de programas de ransomware más peligrosos para dispositivos móviles detectados hasta abril de 2016.

Para conocer más sobre la evolución de la amenaza que representa el ransomware móvil, lea el informe completo aquí.

Fuente:

securelist.com

junio 30th 2016

xDedic: El sombrío mundo de los servidores hackeados en venta

Número de lecturas: 635
{lang: 'es-419'}

En los últimos años, en las profundidades oscuras de Internet ha florecido un nuevo tipo de mercado clandestino.

Su nombre, corto y cifrado, no nos dice mucho: xDedic. Sin embargo, en este mercado marginal se encuentran a la venta más de 70.000 servidores hackeados en todas partes del mundo.

xDedic: El sombrío mundo de los servidores hackeados en venta

Ingreso al foro de xDedic

Desde redes gubernamentales hasta redes corporativas, desde servidores web hasta bases de datos, xDedic es un mercado que ofrece de todo. Y lo mejor de todo es que es barato: el precio de acceso a un servidor en la red gubernamental de un país de la Unión Europea no cuesta más de 6USD.

Una vez hecho el pago, el comprador malicioso puede acceder a todos los datos en ese servidor y a la posibilidad de usarlo para lanzar ataques. Es el sueño de todo hacker: acceso barato, rápido y simplificado a las víctimas, además de nuevas oportunidades para los ciberdelincuentes y atacantes expertos.

xDedic: El sombrío mundo de los servidores hackeados en venta

Foro de compra-venta de servidores

La investigación realizada de forma conjunta entre Kaspersky Lab y European ISP nos permitió recopilar datos sobre las víctimas y descubrir la forma en que funciona este mercado.

En mayo de 2016, contabilizamos 70.624 servidores disponibles a la venta, desde 416 vendedores únicos en 173 países afectados. En marzo de este mismo año, esa cifra rondaba los 55.000, lo que es un claro indicio de que la base de datos de usuarios y servidores se mantiene y actualiza de forma cuidadosa.

xDedic: El sombrío mundo de los servidores hackeados en venta

Principales países con servidores en venta

Curiosamente, los desarrolladores de xDedic no venden nada; en lugar de ello, han creado un mercado donde una red de afiliados es la que vende accesos a servidores capturados. A decir verdad, los responsables de xDedic han creado lo que parece ser un servicio de “calidad”, pues el foro incluye soporte técnico en línea, herramientas especiales para parchar servidores hackeados para acceder a sesiones RDP múltiples y a herramientas de perfilaje para obtener información sobre los servidores hackeados en la base de datos xDedic.

xDedic: El sombrío mundo de los servidores hackeados en venta

Los 10 principales vendedores (mayo de 2016)

¿Quiénes son los vendedores xDedic que aparecen en la lista de arriba? Hemos logrado identificar un programa malicioso muy específico (SCCLIENT) de uno de ellos y obtener información de uno de sus servidores de administración. Esto nos permitió echar un vistazo a las operaciones de una de estas entidades, que por su número de víctimas, nos hace sospechar que se trata de Narko, xLeon o sirr.

xDedic: El sombrío mundo de los servidores hackeados en venta

Troyano SCCLIENT: Información de las víctimas a partir del drenaje (primeras 12 horas)

El programa de perfilaje diseñado por los desarrolladores de xDedic también recopila información sobre los programas instalados en el servidor (juegos de azar, compras y pagos en línea).

Al parecer, hay un marcado interés en programas de contabilidad, de informes de impuestos y de puntos de venta (PoS), que pueden abrir muchas oportunidades para los ciberpiratas.

Herramientas spam y de ataque Programas financieros y de juegos de azar Programa PoS
Advanced Mass Sender
Bitvise Tunnelier
DU Brute
LexisNexis Spam Soft
LexisNexis Proxifier
Proxifier
Spam Soft
Full Tilt Poker
iPoker Network
UltraTax 2010 (2011,..,2015)
Abacus Tax Software
CCH tax14 (tax15)
CCH Small Firm Services
ChoicePoint
ProSeries TAX (2014,2015)
ProSystem fx Tax
TAX Software
2015 Tax Praparation
Tax Management Inc.
Lacerte Tax
PosWindows
BrasilPOS
POS AccuPOS
POS Active-Charge
POS Amigo
POS Catapult
POS Firefly
POS ePOS
POS EasiPos
POS Revel
POS Software (Genérico)
POS Toast
POS QBPOS
PosTerminal
POS kiosk.exe
POS roi.exe
POS PTService.exe
POS pxpp.exe
POS w3wp.exe
POS DpsEftX.ocx
POS AxUpdatePortal.exe
POS callerIdserver.exe
POS PURCHASE.exe
POS XPS.exe
POS XChgrSrv.exe

En el transcurso de la investigación, contamos 453 servidores de 67 países con programas de puesto de ventas (PoS) instalados:

xDedic: El sombrío mundo de los servidores hackeados en venta

Servidores para programas PoS (mayo de 2016)

Por ejemplo, un ciberpirata podría ingresar al foro de xDedic, abrir una cuenta, llenarla de Bitcoins y comprar varios servidores que tengan instalados programas de puesto de ventas. Después, podrá instalar programas maliciosos para puestos de venta, como Backoff para recopilar números de tarjetas de crédito. La verdad es que las posibilidades son realmente infinitas.

Kaspersky Lab ha informado sobre este problema a las autoridades correspondientes y está cooperando en una investigación en curso.

Para leer nuestro informe completo sobre xDedic, que incluye IOCs, descargue aquí el documento PDFxDedic Marketplace Analysis.

Fuente:

Página de inicio

junio 27th 2016

Los 5 mejores métodos para almacenar tus contraseñas de forma segura

Número de lecturas: 685
{lang: 'es-419'}
Imagen: 1Password.

more »

abril 26th 2016

Cómo auditar la seguridad de tu sitio web con Vega

Número de lecturas: 1200
{lang: 'es-419'}

Las auditorías de seguridad en sitios web son una de las principales formas de bajar el riesgo deintrusión indebida a un servidor, y es por eso que cobra importancia elegir bien las herramientas de análisis.

Uno de los desafíos de todo Pentester o administrador de seguridad es estar actualizado en cuanto a las nuevas aplicaciones o herramientas automatizadas, que serán de gran ayuda para encontrar posibles deficiencias de código, malas implementaciones o una posible explotación de alguna vulnerabilidad.

En la actualidad existen varias herramientas comerciales y otras gratuitas; en este caso nos centraremos en Vega, una aplicación de código abierto que nos permitirá realizar escaneos automatizados de sitios web con una interfaz gráfica intuitiva.

Veamos su utilización paso a paso.

Instalación

Esta herramienta escrita en Java es multiplataforma, es decir que permite la instalación en sistemas operativos como Microsoft Windows, Mac OS X y Linux. Por supuesto, deben tener Java instalado para que la aplicación se ejecute correctamente.

Pueden descargarla desde la web del autor con sus respectivas dependencias, aunque otra opción es utilizar la versión incluida en Kali Linux versión 1.1.

Interiorizándonos con la herramienta

Vega posee dos modos de uso: el modo proxi, el cual es útil a la hora de interceptar peticiones, y el modo escáner que nos permitirá encontrar vulnerabilidades en un sitio.

En el modo escáner podemos diferenciar tres paneles móviles que nos permiten una clara lectura del estado del análisis, dejando mucha visibilidad de la información obtenida.

vega 1

Vega genera un examen recursivo, controlado y configurable sobre la estructura del sitio. Proporciona información sobre el árbol de directorios y archivos con parámetros POST o GET.

Para comenzar a probar la herramienta, deben ir al menú y ejecutar “New Scan”; pueden realizar un análisis de testeo de la aplicación con la web del autor, o alguna web que no sea productiva (siempre y cuando tengan la autorización para realizar este análisis).

02-03-2015 02-33-50 a-m-

En el siguiente cuadro definiremos los módulos y funciones que se cargarán para nuestro análisis, siendo los más importantes los estudiados por el OWASP como son las Inyecciones SQL o Blind SQL, Local file inclusion , Cross-Site scripting (XSS), entre otros. Recuerden que todas ellas también pueden ser comprobadas en un sitio mediante la herramienta OWASP-ZAP.

02-03-2015 02-40-40 a-m-02-03-2015 02-42-50 a-m-

En la siguiente imagen podremos seleccionar qué URL o directorios excluir (como por ejemplo el enlace típico de logout o cerrar sesión).

02-03-2015 03-17-48 a-m-

Una vez corriendo Vega, comenzaremos a visualizar la estructura del sitio y sus respectivos enlaces; cuando el portal sea muy grande, es recomendable configurar el nivel de profundidad en directorios y subdirectorios.

En el cuadro central veremos el estado del proceso con un gráfico de barra, y comenzarán a aparecer las alertas agrupadas por su grado de criticidad como Altas, Medias, Bajas e Informativas. Si por algún motivo necesitamos parar el análisis, deberemos hacer clic sobre el ícono rojo debajo del comando Scan.

02-03-2015 03-00-22 a-m-

En el cuadro inferior izquierdo podremos visualizar cada vulnerabilidad encontrada, su ruta, una descripción, el impacto y una posible solución con su referencia.

Debemos destacar que este tipo de herramientas automatizadas puede tener falsos positivos y detectar muchas vulnerabilidades que realmente no lo son. Este es un nuevo obstáculo que, como administradores de un sitio y al auditar la seguridad del mismo, deberán sortear haciendo un manejo y diversas pruebas sobre las alertas generadas. Pero, a estas alturas, es innegable laimportancia de identificar, analizar y evaluar vulnerabilidades.

Para finalizar, recomendamos siempre utilizar este tipo herramientas en ambientes controlados, analizando bien cuáles son los enlaces que se deberían exceptuar y luego verificando las alertas generadas de forma manual. De esta manera, podrán asegurar de una mejor manera y proactivamente su sitio, complicando mucho más las cosas para un potencial atacante.

Fuente:

welivesecurity.com