EnHacke
>

Los mercados negros cibernéticos presentan un crecimiento sin predecentes

cibercriminal_2Un estudio de RAND Corporation afirma que los mercados negros cibernéticos son una economía de millones de dólares madura y en crecimiento, con una sólida infraestructura y organización social, y que, al igual que cualquier otra economía, seguirá evolucionando y reaccionando a la ley de la oferta y la demanda.

Los mercados negros cibernéticos tienen una economía madura con características similares a las de una ciudad metropolitana próspera, con diversas comunidades, industrias e interacciones. Así lo sugiere un estudio encargado por Juniper Networks RAND Corporation, cuyas revelaciones demuestran que los mercados negros cibernéticos han alcanzado niveles de madurez y de crecimiento sin precedentes.

El informe titulado “Mercados de Herramientas del Cibercrimen y Robo de Datos: Bazar de Hackers Maliciosos”, examina por primera vez estos mercados en su totalidad, aplicando el análisis económico para comprender mejor cómo funcionan. RAND encontró niveles significativos de sofisticación económica, fiabilidad y accesibilidad a los productos en estos mercados, así como en los canales de distribución y los actores que intervienen en los mismos, confirmando la sospecha de Juniper Research de que losmercados negros cibernéticos son una economía de millones de dólares madura y en crecimiento, con una robusta infraestructura y organización social.

Torec.a, troyano para Android que usa TOR para robar tus datos

android_torCómo plataforma cada vez más popular, Android se ha posicionado en el ojo del huracán en cuanto a ciberataques. Nada del otro mundo, pero acaba de hacerse un nuevo descubrimiento del ingenio al que llegan los cibercriminales (no confundir con hackers) para crear un troyano que utiliza la red TOR para enviar datos.

Descubierto el pasado mes de febrero, el Backdoor.AndroidOS.Torec.a es el primer malware de este tipo para el sistema Android. Usando la red TOR permite al atacante actuar sin dejar rastro, manteniendo en el anonimato la dirección IP y la información que viaja por ella.

torec-a

Torec.a está basado en Orbot, una plataforma de código abierto del cliente TOR para Android, y utiliza un dominio .onion como un C&C para enviar sus comandos.

Alguna de las capacidades de Torec.a son las siguientes:
• Iniciar/detener la interceptación entrante de SMS
• Robo de SMS salientes
• Realizar una petición USSD

 

Careto: un malware muy sofisticado y (probablemente) con origen español

careto

 

El malware cada vez es más y más sofisticado. Hemos visto ejemplos como Flame o Stuxnet salir a la luz después de llevar varios años en la sombra. Kaspersky Labs ha añadido hoy una pieza más a esa lista: The Mask o Careto.

Los investigadores se encontraron, prácticamente de casualidad, con un malware que se aprovechaba de una vulnerabilidad en productos Kaspersky para hacerse invisible en el sistema. El hecho de que no se conociese ningún otro malware que la estuviese usando despertó su curiosidad y se empezó a investigar de dónde venía ese exploit.

El equipo de investigación de Kaspersky se ha encontrado con un malware muy complejo, que explota varias vulnerabilidades 0-day, con versiones para varios sistemas operativos y que ha estado funcionando desde 2007 (como mínimo).

Careto se propagaba a través de mensajes de correo electrónico. Las URLs parecían familiares. Muchas de ellas simulaban ser enlaces a páginas de diarios españoles (un ejemplo:politica.elpais.linkconf . net), pero en realidad dirigían a servidores que lanzaban ataques contra el visitante según su navegador y sistema operativo. Los investigadores han encontrado exploits para Java, Flash, y plugins para Chrome y Firefox en cualquier SO (Windows, Mac o Linux).

Una vez que el exploit accedía al sistema, descargaba dos paquetes de software: Careto y SGH. Careto funciona con permisos de usuario, mientras que SGH, un rootkit, se ejecuta en el núcleo del sistema. Para no levantar sospechas, ambos estaban firmados con un certificado de una compañía falsa.

Ya instalados en el sistema, Careto y SGH obtenían datos sensibles del ordenador: claves de cifrado, configuraciones de VPN y escritorio remoto, claves SSH… También se comunicaban usando HTTPS con los servidores C&C (Command and Control), de los que recibían órdenes y a los que transmitían resultados. Además, revisando los registros de esos servidores, Kaspersky Labs ha encontrado pruebas de que Careto también podría tener versiones para Android e iOS.

¿Quién está detrás de Careto?

En estos casos la autoría no se puede determinar fácilmente. Sin embargo, teniendo en cuenta la sofisticación del malware y los objetivos (instituciones, embajadas, compañías energéticas y activistas principalmente), lo más probable es que Careto haya sido creado por un Estado y no por unos hackers independientes.

Pero hay más. Lo primero es que en los ejecutables hay varias cadenas en español, incluyendo la muy reveladora clave de cifrado Caguen1aMar. La lista de dominios de phishing usados en los correos electrónicos contiene principalmente diarios españoles. Además, la mayoría de las víctimas tienen IP de España, de países hispanohablantes, de Francia o de Marruecos. También es llamativa la presencia de Gibraltar. Bruce Schneier especula con que todo esto apunta a España como fuente del malware.

También podrían ser pistas falsas, por supuesto, en cuyo caso serían pistas falsas muy bien puestas.

En resumen, Careto es un malware muy inusual, y que según Kaspersky está por encima de Duqu, Gauss, RedOctober o Icefog en cuanto a sofisticación. Una muestra más de que la seguridad informática ya no es cosa de hackers encerrados en un sótano, sino de grupos enteros dedicados a la seguridad dirigidos por agencias estatales.

Target: Hackers maliciosos pudieron utilizar a un tercero para infiltrarse y sustraer datos de clientes

target_2_150Una empresa de sistemas de aire acondicionado que es proveedora de Target fue víctima de una “sofisticada operación de ciberataque’’ que pudo haber permitido a los hackers maliciosos infiltrarse en los sistemas informáticos de la segunda cadena minorista más grande de Estados Unidos y robar millones de números de tarjetas de crédito y débito.

Fazio Mechanical Services Inc., con sede en Sharpsburg, Pensilvania, emitió un comunicado ayer después de que blogueros expertos en seguridad informática la identificaran como el tercero a través del cual hackers maliciosos ingresaron a los sistemas de Target.

La cadena de tiendas ha dicho que al parecer los hackers maliciosos ingresaron en un principio a su extensa red informática a través de uno de sus proveedores. Una vez dentro, los hackers maliciosos se movieron por las redes de Target y al final instalaron software malicioso en el sistema de punto de venta de la empresa.

Los expertos creen que la serie de infiltraciones dio a los intrusos acceso a unos 40 millones de números de tarjetas de crédito y débito, además de información personal de otras 70 millones de personas.

Brian Leary, portavoz del Servicio Secreto de Estados Unidos, confirmó que los negocios de Fazio están siendo investigados, pero no dio más detalles.

Molly Snyder, vocera de Target, no quiso hacer declaraciones debido a que la investigación que está en marcha.

“Al igual que Target, fuimos víctimas de una sofisticada operación de ciberataque”, dijo en un comunicado Ross Fazio, presidente y dueño de la empresa. La compañía está cooperando con el Servicio Secreto y Target para identificar la posible causa de la falla informática, dijo.

Peligrosa campaña de phishing con falsas ofertas de trabajo

phishing_150Los hackers maliciosos suelen aprovecharse de la debilidades de los usuarios para lanzar sus ataques. En muchas ocasiones buscan como gancho hechos sociales de gran repercusión para mandar mensajes de correo electrónico con malware adjunto. En otras ocasiones hacen uso de la ingeniería social para lanzar sofisticados ataques de phishing y poder así obtener datos de los usuarios y crear así una gran base de datos personales que, posteriormente, será vendida en el mercado negro.

Una nueva campaña de phishing a través del correo electrónico se está llevando a cabo a través de internet. Esta nueva campaña llega a los usuarios a través de una falsa oferta de trabajo solicitando a este que envíe su curriculum con datos personales que, posteriormente, podrán ser vendidos a los hackers maliciosos que están llevando a cabo esta campaña.

Como ya hemos dicho más veces, los datos personales son muy valiosos en la red ya que permiten, por ejemplo, a campañas publicitarias, orientar mejor sus anuncios o bombardear con publicidad engañosa adaptada a cada grupo de usuarios. Los datos que contiene un curriculum son prácticamente todos los personales, desde el nombre, dirección, residencia hasta los estudios y, con ello, los gustos e intereses de las víctimas.

Los mensajes de phishing tienen una apariencia similar a la siguiente:

phishing_spam_busqueda_empleo_foto

Esta campaña va dirigida hacia cualquier español con una dirección web. Debido a la situación actual en España, los piratas informáticos se están aprovechando de la búsqueda y necesidad de empleo para conseguir recopilar una gran base de datos personales de usuarios que, posteriormente, probablemente venderán en el mercado negro o a otras empresas.

Según recomienda Inteco, los usuarios afectados por esta campaña que hayan enviado el curriculum a través de internet deberían realizar algún control sobre la información que se publica en internet. Buscar en Google o utilizar servicios como Google Alerts ayudarán a los usuarios a tener un mayor control sobre su información personal que se publica en internet. En caso de encontrar información personal publicada se deberá poner en contacto con la Agencia Española de Protección de Datos o con los Cuerpos y Fuerzas de Seguridad del Estado.

Se han recibido más de 6.000 mensajes de phishing diferentes sobre este tema con más de 6000 asuntos y contenidos diferentes, por lo que es bastante difícil concretar el origen de este peligroso ataque. Los usuarios deben evitar abrir mensajes de correo de remitentes desconocidos. También debemos evitar descargar archivos que nos llegan desde estos correos ya que pueden contener malware que afecten a nuestro sistema y nos roben datos de él o, como ya ha ocurrido en ocasiones anteriores, que cifre los datos de nuestros discos y nos pida dinero por recuperarlos.

¿Has recibido algún correo electrónico similar?

Corea: 105,8 millones de números de tarjetas de créditos robadas

tarjeta-bank-150PandaLabs ha informado de un nuevo caso de hackeo masivo de datos delicados. En este caso la gran víctima ha sido Korea Credit Bureau (KCB), una compañía financiera coreana, que ha sufrido un ataque de un pirata informático que ha robado 105,8 millones de cuentas de usuarios que incluyen los detalles de tarjetas de crédito, nombre y apellidos, teléfonos, direcciones e incluso números de pasaporte. 

Según informa la empresa de seguridad, en Corea del Sur cada ciudadano tiene una media de al menos cinco tarjetas de créditos, la cantidad más alta del mundo. Los datos de KCB apuntan que con este ataque al menos 21 millones de usuarios coreanos han sido víctima del robo de datos.

Corea del Sur tiene una población estimada de 50.219.669 de ciudadanos. Es decir, este ataque lo han sufrido al menos un 41.8% de todos los coreanos.

PandaLabs asegura que este caso difiere mucho de los últimos episodios de hackeos masivos. Hablan de Target, tienda por departamentos estadounidense y del robo de cuentas en Alemania. Target sufrió por culpa de un malware, mientras que Alemania fue víctima de una red zombi de ordenadores (botnet).

En el caso de KBC ha sido un empleado que se ha aprovechado de su posición. El ladrón, explica PandaLabs, trabajaba para el departamento antifraude de la empresa y se dedicó durante meses a copiar toda la información de los usuarios del banco y luego la vendió.

The New York Times (NYT) explica que el caso se destapó en Corea del Sur a mitad de enero cuando fue arrestado Park, el empleado de 39 años que Korea Credit Bureau había contratado para mejorar su sistema de seguridad.

NYT reseña que Park copiaba toda la información en un dispositivo mediante USB. Los investigadores coreanos han afirmado que dos empresa de marketing telefónica habían sido acusadas de comprar esta información. Varios millones de coreanos, furiosos, decidieron cancelar sus tarejtas de créditos.

La empresa de seguridad plantea que aunque se trataba de un empleado, el robo se podía haber evitado o detectado con un mejor sistema de cifrado. «Ser capaz de robar información durante meses también indica una falta de supervisión y de control al acceso de datos», explica Luis Corrons, director técnico de PandaLabs.

«Limitando la cantidad de información a la que se puede acceder cada vez, podría mitigar el daño producido en este tipo de robo de datos: si solo se puede acceder a un número limitado de entradas de la base de datos cada vez –digamos 10 registros- esta persona habría necesitado repetir la misma operación más de 10 millones de veces. No solo eso, también se puede limitar la cantidad de información a la que se accede en un periodo de tiempo dado, o incluso mejor, tener una serie de alarmas ligadas a reglas complejas que envíen un aviso cuando tiene lugar algún hecho inusual», aconseja.

Este tipo de sistema ya se está implantando en las entidades financieras y les permite detectar casos de fraude y de robo de identidad.

Filezilla advierte que circulan versiones de su software con malware

filezilla-logoFilezilla es uno de los mejores clientes FTP del mercado. Al parecer, un grupo de hackers maliciosos han modificado esta aplicación de código abierto con el objetivo de robar datos y hay versiones modificadas circulando por Internet. No es la primera vez que sucede pero, según los responsables de la compañía, es una de las mayores campañas de malware que han visto hasta ahora.

“No toleramos este tipo de acciones y estamos trabajando para solucionar el problema lo antes posible” comenta Filezilla a la edición norteamericana de PCWorld. Al tiempo, reconocen que “es difícil controlar las versiones modificadas de nuestro software dado que el Proyecto Filezilla promueve la libre distribución, el espíritu del software libre bajo una licencia de código abierto”

Los expertos en seguridad de Avast advierte que las versiones modificadas son prácticamente idénticas a las originales, incluyendo iconos, imágenes y nombres de los archivos que forman el paquete. La única pista es el tamaño del ejecutable, ligeramente menor al real, como comentan en el blog de la compañía.

488x307xpayload-630x397.jpg.pagespeed.ic.0fHkJxnXEI

Los hackers han conseguido que Filezilla robe y envíe los datos como el nombre de usuario, la contraseña, el servidor FTP o el puerto codificados con un algoritmo base 64 a un servidor situado en Alemania conocido por albergar actividades relacionadas con el malware y el spam.

Filezilla recomiendan borrar cualquier versión que tengamos instalada y descargar la última disponible desde su sitio web oficial o desde SourceForge, uno de los socios que ayudan a distribuir la aplicación. También es interesante comprobar los valores has SHA256 de la versión que vayamos a instalar con los valores publicados en su web.

Detectan un ‘ciberataque’ a varios ordenadores del Ministerio de Defensa de Israel

31982a_botnet-150Al menos 15 ordenadores de una oficina dependiente del Ministerio israelí de Defensa encargada de facilitar permisos de entrada a palestinos fueron atacados con un malware, informa el diario Yediot Aharonot.

El Ejército israelí se limitó a responder, por su parte, que está analizando las informaciones.

De acuerdo con el medio, los intrusos informáticos lograron introducir el virus y bloquear los ordenadores de la oficina de Coordinación de las Actividades del Gobierno en los Territorios palestinos (COGAT, por sus siglas en inglés), así como de otras organizaciones gubernamentales de Israel que no precisa.

El troyano fue implantado en un mensaje de correo electrónico que supuestamente enviaba el servicio de seguridad general interior israelí, el ‘Shabak’, filtración que detectó la empresa de seguridad informática Seculert, agrega.

Dicha empresa fue consciente de la amenaza cibernética el pasado 15 de enero al identificar el virus, de nombre Xtreme RAT.

“El tema es muy preocupante porque se trata del COGAT, encargado de emitir los permisos de entrada a Israel” dijeron fuentes de la compañía de seguridad citadas por el medio.

El rotativo de Tel Aviv señala que las sospechas apuntan a que el origen del ciberataque está en Gaza, y que sus autores tuvieron pleno control a distancia y durante varias semanas de los ordenadores de las organizaciones alcanzadas.

Expertos en seguridad informática citados por la publicación afirman, igualmente, que los autores pertenecen al mismo grupo que atacó varios sitios de la Policía de israelí en 2012, obligando al organismo a desconectar sus ordenadores de Internet.

El correo electrónico que expandió el virus procedía de una cuenta de GMail e incluía varios documentos adjuntos sobre actividades terroristas en la última década.

La empresa de seguridad informática advirtió a las autoridades de la amenaza, si bien el Gobierno no se ha pronunciado al respecto.

Inteco revela cinco formas de infectar un smartphone o tablet sin percatarse

Inteco_150Una de las formas más frecuentes que utilizan los malos es camuflando virus bajo la apariencia de programas que simulan ser aplicaciones o juegos.

El aumento de usuarios con smartphones y tablets, unido a una baja o nula percepción de los problemas de seguridad implícitos a estos dispositivos, hace que sean un objetivo importante de los cibercriminales con dos fines principalmente: espiar qué hacemos con el dispositivo -páginas web que visitamos, servicios que usamos, robar nuestras credenciales, fotos y vídeos que realizamos…- y controlar nuestro dispositivo convirtiéndolo en un “zombi” o bot, sin que nosotros seamos consciente de ello.

¿Y para qué quieren hacer eso? Para envío de spam, infectar otros dispositivos móviles o realizar cualquier otra acción delictiva que se les ocurra desde nuestro móvil. Ya se sabe para qué quieren infectar nuestros smartphones y tabletas, pero, ¿cómo consiguen colarse en ellos? Inteco desvela las 5 vías de entrada más típicas.

¿Qué aplicaciones instalamos? ¿De dónde las descargamos?

Una de las formas más frecuentes que utilizan los “malos” para infectar dispositivos móviles es camuflando virus bajo la apariencia de programas que simulan ser aplicaciones o juegos. El usuario, pensando que es una app confiable, la descarga e instala sin ser consciente de que acaba de “abrir las puertas” de su dispositivo a los ciberdelincuentes.

En Internet, podemos encontrar apps para nuestros móviles en muchos sitios web, sin embargo, lo más recomendable siempre es hacerlo desde las tiendas oficiales: Google Play, Apple Store, Windows phone, BlackBerry World, etc. Y aún así, debemos tener mucha precaución, ya que pese a los esfuerzos que hacen las compañías desarrolladoras de las distintas plataformas móviles para evitar que se publiquen apps “dudosas”, se ha demostrado que es posible “colar” alguna app maliciosa en estos markets.

¿Necesitas instalar una app para ver un fichero? Precaución

Un truco muy utilizado para infectar ordenadores que se ha trasladado rápidamente a los móviles es el envío de ficheros maliciosos a través del correo electrónico, redes sociales o mensajería instantánea. Utilizando trucos de ingeniería social, consiguen que abramos el fichero para verlo, sin embargo, si no descargamos una app que nos sugieren, no podremos ver el archivo. ¿Dónde está la trampa? El virus está escondido en el supuesto reproductor de vídeo, visor de imagen, etc. que acabamos de descargar e instalar para ver correctamente el fichero.

Evita que los fallos de seguridad te pongan en peligro

Otra vía de infección por virus en nuestro dispositivo podría ser la descarga de ficheros que no son aplicaciones como tales. Los documentos de texto, presentaciones, imágenes, vídeos, etc. aunque no contienen el virus de forma directa, pueden aprovecharse de fallos de seguridad de las aplicaciones instaladas que los manejan, y ser capaces de descargar un virus a nuestro dispositivo.  Este tipo de infección es muy común en ordenadores y portátiles, y es probable, que comience a serlo en dispositivos móviles.

¡Algunas páginas web pueden infectarnos!

Algunas páginas web, en ocasiones legítimas, han sido manipuladas por “hackers maliciosos” para que cuando las visitemos, si no tenemos el software y las aplicaciones correctamente actualizados, infecten nuestros dispositivos. En este caso, nuevamente la ingeniería social se usaría para guiarnos hasta esa página web maliciosa.

Para este tipo de infección, se necesita que la página web manipulada identifique el sistema operativo y navegador que la está visitando y, a continuación, buscará fallos del sistema operativo, aplicaciones o del navegador, y si encuentra alguno, lo aprovechará para colarse en el dispositivo (descargar y ejecutar el virus).

Cuidado con las tarjetas de memoria y accesorios extraíbles

¿De qué otras formas puede llegar un fichero a nuestro smartphone o tableta? A través de algún dispositivo extraíble que conectemos. Un ejemplo, la tarjeta de memoria (microSD). Cuando conectamos un móvil a un ordenador, la memoria del teléfono y la tarjeta microSD, si la tiene, se comportan como unidades extraíbles del propio ordenador, y si el ordenador está infectado con un virus, éste podría copiarse en estas memorias.

El virus, si está programado para un sistema operativo Windows, no infectará el dispositivo móvil, pero actuará como “portador”. Esto quiere decir que si conectamos el móvil a otro equipo Windows, éste podría infectarse con el virus que las memorias del móvil almacenan.

¿Cómo podemos prevenir una infección?

Una vez que ya conocemos las principales vías de infección, hay una serie de medidas preventivas que podemos tomar. En primer lugar, tener instalado y actualizado un antivirus en el dispositivo, asegurándonos de que escanea de forma automática todos los ficheros que se guardan en el dispositivo o en la tarjeta de memoria. También el sistema y las aplicaciones deben estar siempre actualizados para evitar que posibles fallos de éstos sean utilizados para infectar nuestros dispositivos.

Asimismo, hay que descargar en la medida de lo posible las aplicaciones de las tiendas oficiales o de la página web del fabricante directamente: Google Play Apple Store, Windows phone, BlackBerry World. Una buena práctica es consultar información sobre la aplicación antes de descargarla: número de descargas, valoración y opiniones de los usuarios, etc.

El ‘malware’ que afectó a Target provenía de Rusia

targetIntelCrawler advirtió que el ataque cibernético que afectó a millones de clientes de la minorista podría extenderse a otras empresas.

La tienda de autoservicio estadounidense Target fue una de las afectadas por el ‘malware‘ de origen ruso BlackPOS.

Una compañía de seguridad indicó este lunes que un residente ruso escribió el malware que expuso a unos 110 millones de clientes de tarjeta de crédito de Target.

En un comunicado publicado el 17 de enero, IntelCrawler señaló que la falla en la seguridad fue resultado de un software malicioso que infectó el sistema de pagos de la cadena minorista y posiblemente comprometió las redes de otras tiendas. Neiman Marcus reportó un error similar este mes.

Anteriormente, la firma de seguridad apuntó a un menor de 17 años como el responsable del malware. El investigador de seguridad independiente, Brian Krebs, reportó antes que otro código en el hackeo de Target apuntaba a un residente de Ucrania.

Los expertos dicen que el autor pudo haber compartido el código con otros.

“Bueno, deberíamos estar preocupados. Una de las cosas que los hackers hacen es tomar el malware, como es llamado. Una vez que es identificado, entonces la comunidad de seguridad puede reunirse alrededor de él y ponerle controles en donde está. Pero el problema es que los hackers saben eso. Y manipulan o hacen mutar este malware, y luego lo reutilizan”, dijo el director de SecureState, Ken Stasiak.

“Creemos que él (el autor) originó el código, o el malware del que todo el mundo está hablando ahora. Y fue capaz de ponerlo en internet para su descarga para que otros hackers luego lo tomen, y lo utilicen para daños maliciosos potenciales. Y eso es lo que creemos que ocurrió con Target y Neiman Marcus”.

La primera muestra del malware fue creada en marzo y desde entonces, más de 40 versiones se han vendido en todo el mundo, según IntelCrawler. En primer lugar, infectó los sistemas de minoristas en Australia, Canadá y Estados Unidos.

Andrew Komarov, director de IntelCrawler, dijo que la mayoría de las víctimas son los grandes almacenes y que más infecciones con BlackPOS, así como nuevas violaciones, podrían aparecer pronto. Los minoristas deben estar preparados, añadió.

“Los números podrían ser asombrosos, de verdad, porque lo que los minoristas están buscando (evitar) son las demandas colectivas potenciales”, dijo el analista legal de CNN, Paul Callan.

“Digamos hipotéticamente que un minorista cuenta con 40 millones de operaciones por 40 millones de clientes diferentes. Todos los 40 millones pueden haber sido afectados de alguna manera, y en virtud de la ley se pueden unir en una demanda colectiva”, dijo.

Página siguiente »