33 ataques por segundo: Kaspersky Lab registra un aumento de 59% en ataques de malware en América Latina

Estadísticas de Kaspersky Lab revelaron que los usuarios en América Latina han recibido un total de 677,216,773 ataques de malware durante los primeros ocho meses del año (1ero. de enero a 31 de agosto). Esta cifra es significativamente mayor a los 398 millones que se registraron durante el mismo periodo en 2016, lo que representa un aumento de 59%. Para ponerlo en contexto, esto significa que cada hora, los usuarios en Latinoamérica son sujetos a 117,572 ataques de malware o 33 ataques por segundo.

Según el estudio, los usuarios en Brasil, México y Colombia han registrado el mayor número de ataques de malware en lo que va del 2017. Además, Brasil fue reconocido como el país más peligroso per cápita de cibernautas en Latinoamérica, en cuanto a amenazas en línea, donde los ataques en la red afectaron a 30% de los usuarios. Este es seguido por Honduras (23.5%), Panamá (22.6%), Guatemala (21.6%) y Chile (20.6%). Brasil también encabeza a los países latinoamericanos en términos de alojamiento de sitios maliciosos, 84% de hosts ubicados en América Latina que se utilizaron en ataques a usuarios de todo el mundo está ubicado en este país.

Los datos fueron divulgados durante la 7ma Cumbre Latinoamericana de Analistas de Seguridad de Kaspersky Lab, que se está realizando en Buenos Aires, Argentina, donde la empresa presentó su investigación sobre las más recientes amenazas en la región. Utilizando el servicio basado en la nube Kaspersky Security Network como la principal fuente de información, los analistas de seguridad estudiaron las detecciones de malware y spam del 1ero. de enero al 31 de agosto de 2017. Los resultados demostraron que toda la región en su conjunto ha experimentado una considerable cantidad de ciberamenazas, muchas de las cuales estaban encaminadas al robo de dinero.

Según el estudio, la gran mayoría de estos ataques se dieron fuera de línea, es decir, fueron detectados y bloqueados en el disco duro de los usuarios. La infección se pudo haber dado a través de memorias USB, redes de trabajo u otros medios. Sin embargo, si hablamos de los ataques con el uso del Internet, la mayoría de estos ataques se realizó vía Web (85%), mientras que 15% se realizó vía Email. El correo electrónico se destaca en los círculos cibercriminales para divulgar troyanos bancarios. Además, en el Top 20 de ataques se distingue la presencia de la familia de los troyanos Trojan.PDF.Phish, la cual se propaga vía documentos PDF diseñados a parecerse a los originales y donde a la víctima se le notifica sobre supuestas multas o beneficios.

En relación a los ataques registrados en computadoras, 40% de estos corresponde al uso de software pirata. Según el último informe de Software Business Alliance, más de la mitad (55%) de los programas y licencias utilizadas en América Latina en la actualidad son ilegales. Es más, si consideramos que muchos directores de informática desconocen el alcance del software implementado en sus sistemas o desconocen si el software es legítimo, según reveló el mismo reporte, el problema es aún más grave.

“Existen situaciones donde el paquete de software pirata ya viene troyanizado, lo que resulta en que el mismo usuario termine instalando malware en su propia máquina. Este problema está estrictamente relacionado con los hábitos de los usuarios y hace que el trabajo para los atacantes sea más fácil”, explicó Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab. “En el ámbito corporativo, es esencial educar a los empleados sobre la ciberseguridad e imponer políticas de seguridad de TI estrictas que limiten los programas y aplicaciones que su personal pueda descargar en sus equipos para proteger a la red empresarial. Además, es importante subrayar que los programas ilegales carecen de parches y actualizaciones y no reciben soporte técnico, lo que hace a sus usuarios vulnerables”.

Malware Móvil

Uno de los mayores riesgos de seguridad para la región está representado por amenazas móviles. Durante los primeros ocho meses del año, Kaspersky Lab registró 931,945 ataques de diferentes tipos de amenazas, como adware, malware o intentos de ingreso a los enlaces Web conocidos como maliciosos, hacia usuarios de Android o iOS. Es importante resaltar que la gran mayoría de las amenazas detectadas fueron diseñadas para infectar los equipos corriendo sobre la plataforma Android.

En América Latina, las amenazas para móviles más difundidas son los Troyanos-SMS que envían programas agresivos de publicidad y mensajes de texto desde dispositivos móviles infectados a números clasificados Premium. También se detectaron troyanos como el Backdoor.AndroidOS.Fobus.pac, que por medio de acceso remoto permite al atacante conectarse al dispositivo de la víctima y explorar su contenido, exfiltrando información valiosa.

Malware para MAC

Durante el periodo de esta investigación, Kaspersky Security Network reportó un total de 5,028 diferentes ataques de código malicioso y programas no deseados destinados a usuarios de MacOS. La amenaza “AdWare.OSX.Geonei.s”, que muchas veces se propaga a través del Internet como una aplicación falsa de actualización para Adobe Flash Player, ocupa el primer lugar. Es interesante notar que la amenaza “Trojan-Clicker.HTML.Iframe.dg”, que ocupa el segundo lugar, es la amenaza #1 detectada vía web para los sistemas operativos Windows. Esta amenaza existe en las páginas Web y por esto es multiplataforma, así que tanto usuarios de MacOS como de Windows pueden ser víctima de este ataque.

Igualmente se puede observar que en el Top20 se encuentran programas de código malicioso que técnicamente no representan peligro para los usuarios de MacOS, pues fueron diseñados para Windows. Sin embargo, los usuarios de MacOS las llegan a detectar porque algunas se distribuyen vía USB infectados y otros son programas que se descargan en las máquinas de MacOS para luego ser transportadas a Windows.

Kaspersky Lab registra más de 1.000 ataques de malware en puntos de venta durante los primeros 8 meses del año en América Latina

Los investigadores de Kaspersky Lab dieron a conocer cómo se desarrolla el malware dirigido a Puntos de Venta (POS) en América Latina, que tiene como objetivo clonar tarjetas de crédito y débito. Actualmente, más del 22% de la población adulta en la región posee al menos una tarjeta de crédito, y 72% de las transacciones de pago de América Latina se hacen de esa forma. Con más de 40 familias de malware dirigidas, incluidas aquellas creadas en América Latina, los investigadores de Kaspersky Lab presentaron las peculiaridades y metodología de los ataques durante la 7ma Conferencia Latinoamericana de Analistas de Seguridad que se celebra esta semana en Buenos Aires, Argentina.

Entre los años 2015 y 2016 sucedieron cerca de 1.300 ataques en puntos de venta en toda América Latina. Los criminales que clonaron esas tarjetas utilizaron el malware Dexter —un
código abierto disponible gratuitamente en Internet— para realizarlos. Tan solo en los primeros ocho meses de 2017 se registraron 1.000 ataques, principalmente por el malware NeutrinoPOS —encontrado por primera vez en 2015 y que también se utiliza en ataques de denegación de servicio (DDoS).

De acuerdo con los investigadores de Kaspersky Lab, Brasil es el país líder en clonación de tarjetas en puntos de venta en América Latina, responsable de 77.37% de los ataques dedicados en la región. Seguido por México con cerca del 11.6% de los ataques a tarjetas.

El malware para punto de venta tiene funciones de «memory scraping» de la memoria RAM, que tiene como objetivo recoger datos importantes de la tarjeta, como los tracks 1 y 2. Además, a través del uso de expresiones, comparaciones y del algoritmo de Luhn, el malware encuentra los datos en la memoria. Dado a que es común que los datos en la memoria de la computadora no se cifren, después de la recolección de los datos, se hace el envío al criminal.

«Los daños causados a los bancos por tarjetas clonadas pueden sumar millones al año. Los criminales constantemente están creando nuevas versiones. Como consecuencia, revenden la información de las tarjetas que se clonaron en puntos de venta en el mercado negro», dice Fabio Assolini, analista de seguridad senior de Kaspersky Lab.

Los ataques a los puntos de venta ocurren desde 2005, cuando los delincuentes usaban programas legítimos para interceptar el tráfico de la red de los PINPads ─dispositivo responsable de leer la tarjeta, donde el cliente digitaba el PIN. Antiguamente, la transferencia de información de estos dispositivos no estaba cifrada y, por lo tanto, era posible capturar la información enviada por los puertos USB con un software sniffer instalado en la computadora, obteniendo el Track 1 y Track 2 de las tarjetas ─datos suficientes para clonación de la tarjeta.

En 2010, Kaspersky Lab investigó el Trojan SPSniffer para entender dónde comenzaron los ataques y cuál era la metodología. La empresa descubrió que la instalación de ese troyano era manual, dirigida principalmente para transacciones realizadas en gasolineras. Para encriptar las tarjetas robadas, los criminales usaban la contraseña «Robin Hood». La solución para este tipo de ataque fue actualizar el firmware de los PINPads usados en Brasil. Pero esta familia de malware fue utilizada hasta el año 2014 y se encontraron más de 40 modificaciones de ese troyano.

Kaspersky Lab aconseja que los bancos y comercios implementen todas las reglas PCI-DSS en sus máquinas buscando proteger la información y evitar ataques. Además, busquen e instalen una solución de seguridad completa en todos los equipos que estén conectados con el sistema de pagos.

Para los usuarios que quieren protegerse de posibles clonaciones de tarjetas, Kaspersky Lab recomienda que:

  • Siempre que realice pagos con tarjeta de crédito o débito con su mano libre cubra el teclado al introducir su contraseña.
  • Siempre conserve su tarjeta de crédito en su poder. No permita que los empleados lleven su tarjeta lejos de usted al realizar pagos.
  • Opte por sacar dinero en cajeros automáticos que están cerca o dentro de bancos.
  • No utilice cajeros automáticos en la calle.
  • Tenga siempre más de una tarjeta de crédito y revise el estado de la factura regularmente.
  • Active con su banco u operador de la tarjeta un aviso de compra por SMS. Esto ayudará a mantener el control de sus transacciones, así como saber si se realiza alguna transacción indebida con su tarjeta de crédito.

Forcepoint agrega Detección Avanzada de Malware a los Firewalls de Próxima Generación

Forcepoint™, líder mundial en seguridad cibernética, anunció la disponibilidad de la más reciente versión de su software Next Generation Firewall (NGFW), a la cual se suma el soporte para el nuevo servicio Forcepoint Advanced Malware Detection basado en la nube.

La combinación de Forcepoint NGFW y las capacidades para la detección avanzada de malware ofrece acceso abierto y libre a los datos críticos y la propiedad intelectual, mientras reduce los riesgos de recibir ataques de día cero y otras amenazas emergentes.

“Las empresas y las organizaciones gubernamentales están enfrentando riesgos en la seguridad enfocada en el comportamiento de la gente, los cuales van desde la intrusión de malware malicioso hasta los errores que cometen los usuarios de manera involuntaria”, aseguró Antii Reijonen, vicepresidente y director general de negocios de Network Security en Forcepoint. “Advanced Malware Detecion y NGFW de Forcepoint trabajan en conjunto para ampliar la visibilidad de las acciones que la gente realiza dentro de la red, mientras que mantiene fuera a los atacantes. Estas nuevas capacidades también estarán disponibles en las soluciones de Web Security, Email Security y CASB, lo que hace a Forcepoint el único proveedor de NGFW que ofrece protección contra las amenazas avanzadas en las redes, la web, el correo electrónico y las aplicaciones en la nube”.

Al brindar protección consistente contra las amenazas avanzadas en los principales medios que se enlazan a una organización, Forcepoint puede detectar el malware en uno de esos medios y bloquear rápidamente en el resto de ellos, incluso cuando los usuarios están trabajando de modo remoto.

El nuevo servicio Advanced Malware Detection mejora la tecnología de filtrado de archivos NGFW de Forcepoint permitiendo analizar más a fondo los archivos transmitidos, con el fin de identificar código malicioso y bloquearlo rápidamente antes de que los atacantes puedan penetrar a una red y robar datos críticos o de propiedad intelectual. Además, los equipos responsables de redes y de seguridad ahora pueden detectar más fácilmente las tendencias que indican el comportamiento y la intención de un empleado para detener las malas prácticas cibernéticas.

La actualización del software NGFW y el servicio basado en la nube se implementan en minutos

La nueva versión 6.2 de Forcepoint NGFW con soporte para el servicio Advanced Malware Detection incluye innovaciones y beneficios adicionales tales como:

  • Más ofertas para MSPs: ahora los partners pueden ofrecer a sus clientes protección para aplicaciones de misión crítica con Forcepoint Sidewinder Security Proxies, los cuales son gestionados centralmente por el MSP.
  • Automatización de la gestión de cambios en las políticas: los clientes pueden eliminar los procesos manuales para aumentar la eficiencia y simplificar las auditorías con la aprobación de cambios a las políticas, integrada a la consola de gestión Forcepoint NGFW.
  • Control más estricto y rápido del tráfico encriptado: los administradores ahora tienen el control granular del volumen del tráfico encriptado, el cual crece a gran velocidad, tanto dentro como fuera de sus redes, con inspección de alto desempeño de las conexiones HTTPS, el control del nivel de comandos de las aplicaciones SSH/SFTP, y la aplicación dinámica de las políticas de privacidad del usuario.
  • Escalabilidad automática en los centros de datos virtualizados: los equipos de operaciones y de seguridad pueden abastecer y controlar automáticamente cientos o miles de firewalls virtuales en los entornos de VMware NSX con soporte para Open Security Controller (OSC).
  • Más de una docena de mejoras para los flujos de trabajo: el personal de TI puede incluso implementar, investigar y remediar los firewalls e IPSs de forma eficiente a través de su red, esto debido a las numerosas mejoras en la automatización y en la experiencia del usuario en el Forcepoint NGFW Security Management Center (SMC).

El software Forcepoint NGFW en su versión 6.2 y el servicio Forcepoint Advanced Malware Detection están disponibles de manera inmediata en la red global de socios de negocio y proveedores de servicio de Forcepoint. La nueva protección contra malware también se añadirá al bróker de seguridad para el acceso a la nube (CASB) de Forcepoint, los servicios web y de email security en el tercer trimestre de 2017.

Recursos adicionales

Las 5 principales redes de entrega de malware

El Informe de seguridad de mitad de año 2011 de Blue Coat describe las poderosas herramientas que permiten que estas redes de entrega de malware sean exitosas: enlaces web dinámicos que permiten que los delincuentes cibernéticos cambien los servidores de carga útil para evitar la detección.

El año pasado, la infraestructura web de entrega de malware atacaba dominios populares y confiables donde los delincuentes cibernéticos podían mostrar sus engaños al superar el alcance de los filtros de reputación y del bloqueo de categorías web.

Sin perder de vista las políticas de uso aceptable, los engaños a menudo ocupan categorías como Almacenamiento en línea y Descargas de software. No obstante, las categorías que atraen el porcentaje más alto de entradas en redes de malware son los motores de búsqueda (39,2%), el correo electrónico (6,9%), la pornografía (6,7%) y las redes sociales (5,2%). La actividad más peligrosa para los usuarios web fue la búsqueda de imágenes o multimedia pirateada.

El análisis de estos hallazgos obligó a extraer la siguiente conclusión: una sola capa de defensa – por ejemplo firewalls y software antivirus – resulta insuficiente para hacer frente a las amenazas dinámicas que se modifican constantemente. La solución más clara es una defensa web inteligente, en tiempo real y que resida en la nube y que sea tan dinámica y eficaz como tales amenazas.

En un determinado día, habrá en funcionamiento un promedio de 50 redes de entrega de malware. A continuación, se enumeran las principales redes:

Las 5 principales redes de entrega de malware por cantidad de nombres de hosts únicos

1. Shnakule

Host de ataques únicos: 2001 en promedio, 4.357 como máximo.
Por lejos, la red de entrega de malware más importante y exitosa. Durante la primera mitad de 2011, Shnakule fue la red más eficaz para engañar a los usuarios: atrajo un promedio de 21.000 solicitudes por día, con un máximo de 51.000 solicitudes. Ésta es una red de amplio alcance y sus actividades maliciosas incluyen descargas ocultas, antivirus y códecs falsos, actualizaciones falsas para Flash y Firefox, warez falsos (software pirateado distribuido por Internet), al igual que controles y comandos de botnet. La principal actividad maliciosa consiste en ataques de antivirus falsos, que por lo general se llevan a cabo mediante el envenenamiento de motores de búsqueda. Shnakule se dedica a múltiples actividades: pornografía, juegos de azar, farmacología, granjas de enlaces y estafas del tipo “gane mucho dinero trabajando en su hogar”. Cabe recordar que Shnakule está integrado por muchas otras redes. Ishabor, que figura en el segundo lugar de esta lista, es un componente de Shnakule, al igual que otras redes de entrega de malware identificadas en el Informe de seguridad de mitad de año.

2. Ishabor

Host de ataques únicos: 766 en promedio, 1.140 como máximo.
Ishabor, se dedica de manera exclusiva a distribuir scareware (software para asustar) con antivirus falsos. Esta red fue lanzada a fines de abril de 2011 y rápidamente incrementó su tráfico. Operó en forma independiente durante una semana. Dada la velocidad a la cual Ishabor pudo dirigir el tráfico hacia sus servidores de malware, quizás esta red formó parte de Shnakule desde un comienzo.

3. Cinbric

Host de ataques únicos: 505 en promedio, 1.602 como máximo.
Tal vez, para las redes de entrega de malware sea fundamental hallar la diversidad para lograr sobrevivir a largo plazo. No obstante, Cinbric demuestra el efecto de dedicarse únicamente a una actividad y hacerlo bien. Sobre todo, esta red depende del correo no deseado para dirigir el tráfico hacia ransomware (software con pedido de rescate) de temas pornográficos. Fundamentalmente, esta red engaña a los usuarios y los dirige hacia sus servidores de malware mediante promesas de acceso exclusivo a cámaras web con la condición de que descarguen e instalen su software. Si bien no ha tenido un crecimiento significativo este año, esta red continúa ofreciendo cifras que merecen nuestra atención, tanto en nombres de host únicos como en volumen de tráfico de ataques.

4. Naargo

Host de ataques únicos: 199 en promedio, 299 como máximo.
Si bien no se trata categóricamente de una red que se dedica a la entrega de malware, muchas de sus características sospechosas ameritan seguimiento e investigación de manera continua. Al igual que Cinbric, esta red se concentra sobre todo en utilizar el correo no deseado y el envenenamiento de motores de búsqueda para dirigir el tráfico hacia sitios web pornográficos.

5. Vidzeban

Host de ataques únicos: 156 en promedio, 347 como máximo
Se trata de una red de warez falsos donde predomina el idioma ruso. Al igual que con otras redes de warez falsos, el correo no deseado sólo dirige una pequeña cantidad del tráfico. Los usuarios que visitan este sitio buscan software para descargar e instalar, por lo que el envenenamiento de motores de búsqueda es su principal fuente de tráfico. A menudo, estos usuarios saben que están buscando en las áreas más sospechosas y con menor reputación de Internet.