Anuncian malware de Zeus en redes sociales para realizar fraudes

El crimen electrónico tiene un gran interés en la venta y comercialización de botnets y, en los últimos meses, uno de los sectores más afectados es el bancario. Una de las amenazas más activas, y que sigue amenazando a los bancos, es Zeus. Según las grandes necesidades del mercado negro, este malware es uno de los más viejos (está activo desde el 2007) y es un malware que ha proliferado con el tiempo.

Recientemente, en foros del mercado negro, abundan las ofertas de códigos maliciosos, servicios de robo de información y hospedaje de servicios a prueba de fallos, con el fin de organizar un fraude a gran escala. Los ciber criminales están vendiendo sus herramientas de ataque a precios razonables, además de poner en renta botnets enteras que incluyen información útil al momento de realizar los ataques.

Estas acciones se denominan como Fraud-as-a-Serviceo Fraude como un servicio y están ganando gran terreno. Códigos maliciosos como Zeus, SpyEye, Ice IX o Citadel cumplen con este modelo de ventas que ciertos ciber criminales y unos cuantos cientos de dólares usan para llevar a cabo sus planes maliciosos.

Desde entonces, el modelo de ventas y el actor han permanecido sin identidad y, usualmente, el acceso a estas ofertas de ciber crimen es através de canales selectos como la deep web o canales de chat IRC.

Expertos de RSA han publicado un artículo interesante para describir este problema, la oferta criminal ha sobrepasado la popularidad y a recurrido a la gran audiencia de las redes sociales para ofertar un panel de la botnet de Zeus, totalmente personalizado.

La aplicación maliciosa parece ser desarrollada por programadores indoneses que han aportado mejoras a las versiones de Zeus. El equipo optó por utilizar un acercamiento comercial al diseñar un sitio web de demostración para atraer posibles compradores por medio de una página de Facebook dedicada a la botnet.

Los ciber criminales utilizaron la red social para mantener notificados a sus clientes por medio de información de otras botnet, exploits, ciber crimen y, por supuesto, de sus propios productos y la versión 1.2.10.1 de Zeus.

Las diferentes leyes electrónicas en varios países, así como su escasa implementación en varios estados, han permitido el auge del ciber crimen a nivel mundial y los criminales ahora empiezan a comprar/vender de manera pública códigos maliciosos y servicios de robo de información en campañas maliciosas.

La comunidad de las TI a nivel mundial, requiere un marco de leyes y estándares globales que permitan procesar a las organizaciones de ciber criminales, la aplicación de las leyes necesita establecer penas severas y esfuerzos en conjunto para luchar una batalla contra un enemigo invisible que no tiene una connotación geográfica específica.

Los ciber criminales tienen la oportunidad de esconderse en un país, cuyas leyes gubernamentales no los persigan de manera correcta, haciendo imposible detener la ola de ciber crimen.

El ciber crimen ahora es una emergencia global.

Vía The Hacker News

Anuncios

Amenaza continua en Internet

El experto en seguridad, HD Moore, advierte de la existencia de terminales de servidores que se encuentran sin protección en Internet. El investigador comentó haber encontrado más de 100 mil sistemas con estas características durante sus análisis, más de 13 mil proporcionaban privilegios de administrador sin solicitar contraseña.

Laundry time screenshot

Los servidores terminal son esencialmente un tipo de interfaz en serie que se extiende dentro de Internet. Para ingresar a un puerto especifico TCP, los usuarios pueden hablar remotamente con el puerto serial del dispositivo conectado. Frecuentemente, estos dispositivos son el sistema de control o proporcionan acceso para el mantenimiento. HD Moore dijo que utilizó consultas SNMP para identificar 114 mil servidores terminales de Digi y Lantronix y que 95 mil fueron expuestos a Internet a través de conexiones móviles como GPRS o 3G.

Los servidores terminales a menudo pueden utilizarse para acceder a los sistemas de control, tales como los de una lavandería.

El problema es que estas conexiones frecuentemente no están protegidas. Moore dijo que poco más de 13 mil puertos seriales únicos están expuestos y ofrecen algún tipo de shell del sistema, la consola, fuente de datos o en el menú de administración.

El investigador explicó haber encontrado una mezcla heterogénea de diferentes tipos de sistemas que pueden ser clasificados en categorías, desde los monitores de tráfico y sistema de gestión de lavandería completa con terminales de pago, hasta  servidores VPN corporativos.

Cuando tales sistemas están conectados a la Internet, por ejemplo, con el fin de activar el mantenimiento remoto, se debe proporcionar una protección adecuada. Las medidas pueden incluir la limitación del acceso a través de redes virtuales privadas o la creación de un túnel SSH que requiera autenticaciónbfuerte. Por otra parte, Moore basa su investigación en los datos de Controversial Internet Census, mediante el cual un desconocido grupo usa una Botnet personalizada para realizar escaneos a Internet y posteriormente dar a conocer los resultados.

Vía The H Security

España: detienen a responsable del mayor ciberataque del mundo

MADRID, España, abr.28, 2013.- Agentes de la Policía Nacional de España detuvieron en Granollers, Barcelona, noreste del país, al responsable del mayor ciberataque de denegación de servicios DDOS de la historia que colapsó Internet, un hombre nacido en Holanda.

El Ministerio español del Interior precisó que la coordinación internacional entre los países afectados fue clave para la investigación que se inició en Holanda tras una serie de ataques contra una compañía anti-spam, que también afectó a Estados Unidos y Reino Unido.

Indicó que los investigadores llevaron a cabo el registro del búnker informático desde donde el ahora arrestado llegó a realizar entrevistas con distintos medios de comunicación internacionales a raíz de estos ataques informáticos.

Anotó que el detenido se desplazaba en una furgoneta que utilizaba como oficina informática móvil por distintos puntos de España.

En un comunicado, el Ministerio del Interior explicó que en marzo pasado las autoridades holandesas facilitaron a los agentes información acerca de una serie de ataques informáticos de denegación de servicio DDOS, que se había iniciado en este país durante esas fechas.

Considerado el mayor ciberataque del mundo, colapsó Internet por los intentos de hacerse con el control de los servidores afectados.

Una vez iniciada la investigación policial, los agentes pudieron atribuir la responsabilidad de los mismos al grupo “stophaus“, cuyo organizador, un activista holandés, se encontraba residiendo en España.

El ataque DDOS provoca una sobrecarga de los recursos del sistema informático hasta que la red se ralentiza por los accesos masivos a la misma.

Los intentos por recuperar el control por parte de los servidores asaltados y los ataques de los ciberactivistas provocaron tal ocupación de la red que ésta se vio afectada a nivel mundial.

Una vez recibido el aviso por parte de las autoridades de los Países Bajos, los policías establecieron un dispositivo que permitió la localización del principal investigado en la localidad de Granollers (Barcelona).

Si bien se constató que anteriormente había estado viajando por distintos puntos del territorio español, desplazándose en una furgoneta que utilizaba como oficina informática móvil, dotada de diferentes antenas para escanear frecuencias.

Igualmente se pudo saber que en su domicilio disponía de numerosos equipos informáticos habiéndolo establecido como su centro de comunicaciones.

Finalmente, el pasado día 25 y a petición de las autoridades judiciales de los Países Bajos, los agentes dieron cumplimiento a una orden europea de detención.

El arrestado, un individuo de 35 años nacido en Alkmaar (Holanda), decía ser diplomático y concretamente ministro de Telecomunicaciones y Asuntos Exteriores de la República del Cyberbunker.

Además en el registro de su vivienda fueron intervenidos dos ordenadores portátiles y documentación diversa relativa a su actividad delictiva.

vía esmas

Variante del troyano Gozi integrado a un rootkit

Una nueva variante del troyano bancario Gozi infectó miles de máquinas en los Estados Unidos, buscó atacar el master boot record (MBR) de los usuarios de Internet Explorer.

Los investigadores de seguridad de la firma Trusteer revelaron que un rootkit, una característica poco encontrada en malware financiero, fue empacado con la última versión de Gozi. En una entrada de blog el pasado jueves, Etay Maor, investigador de Trusteer, explicó que el rootkit es particularmente difícil de extraer.

“Debido a su ubicación estratégica en el núcleo del sistema operativo, los rootkit son difíciles de identificar y eliminar”, escribió Maor. También mencionó que Gozi, incrustado en el rootkit, se ubica silenciosamente en el MBR esperando a que Internet Explorer se inicie. Una vez que el navegador está corriendo, el troyano se auto inyecta en el navegador de la víctima y puede robar información financiera que el usuario usa en los sitios que navega.

El lunes en entrevista, Yishay Yovel, Vicepresidente  de Marketing de Trusteer, dijo al sitio SCMagazine.com que la firma detectó a lo mucho un par de miles de infecciones de esta variante en los Estados Unidos. Yovel dijo que, a pesar de que los líderes del grupo responsable del malware fueron atrapados por las autoridades federales, la campaña continúa.

En 2010, Nikita Kuzmin, el presunto creador de Gozi, fue arrestado en los Estados Unidos, seguido por Deniss Calovskis, quien presuntamente escribió partes del código del troyano. El arresto de Calovskis fue en el mes de noviembre en Lituania.

Desde que Gozi apareció por primera vez en 2005, los fiscales federales estiman que infectó al menos 100 mil computadoras alrededor del mundo, incluyendo 25 mil en los Estados Unidos, causando pérdidas por decenas de millones de dólares. “Existía la esperanza de que Gozi declinara con los arrestos, pero ahora estamos viendo su evolución”, dijo Yovel.

Al atacar los medios de distribución el malware se mantuvo igual, dijo, con autores que usan infección por descarga o correos electrónicos de phishing para engañar a los usuarios a instalar documentos como armas que contienen el troyano.

Para solucionar la infección de Gozi, los investigadores de Trusteer recomiendan a los usuarios hacer un formateo completo del disco duro, reinstalar el sistema operativo e implementar soluciones de seguridad en la empresa, dando prioridad a la actualización de sus credenciales de banca en línea.

Vía: SC Magazine

Sin antivirus 31% de computadoras en México

De acuerdo con información de Microsoft, al menos un 31% de las computadoras mexicanas no contaban con un antivirus para el segundo semestre del 2012.

Países como Guatemala y Perú tienen números similares, 35 y 32% respectivamente.

Por otro lado, en Costa Rica sólo un 23% de los ordenadores no cuentan con la protección, en Brasil un 21 y Paraguay un 19.

“No obstante los beneficios de un antivirus, mucha gente no se percata de que está desprotegido su equipo”, destacó la compañía en su Informe de Inteligencia de Seguridad.

Es importante mencionar que los equipos que no cuentan con ningún tipo de antivirus tienen cerca de 5.5 más probabilidades de infectarse por un virus o malware.

Las razones primordiales del por qué no se cuenta con la protección son: que algún delincuente cibernético lo desactivó o el desconocimiento de la importancia de contar con un programa antivirus.

Claro que también deberían considerarse los costos de dicho software (aunque hay que aceptar que han bajado sus precios en los últimos años).

Ahora, las mayores amenazas para los consumidores vienen de documentos o enlaces adjuntos en correos electrónicos. ¡Ten cuidado con lo que descargas!

vía techandbits

Un nuevo malware ataca a usuarios de Android

La tendencia de infectar a dispositivos mobiles sigue vigente.

La amenaza “BadNews” se encontró en 32 aplicaciones, que ya fueron retiradas de Google Play. Se estimó que las descargas podrían haber llegado a los 9 millones

Un nuevo malware ataca a usuarios de Android

 

La empresa de seguridad informática Lookout describió la amenaza convenientemente llamada “BadNews” (“Malas noticias”) como “un desarrollo significativo en la evolución del malware móvil”. “BadNews” se enmascara como una red de anuncios para poder ingresar a los dispositivos y allí liberar su código malicioso.

El malware puede enviar mensajes falsos, instar a los usuarios a instalar aplicaciones, enviar SMS fraudulentos, que cobran extra a los usuarios, y compartir datos del teléfono, como el número, con el servidor central.

Según informó la empresa, “BadNews” se encontró en 32 aplicaciones de 4 desarrolladores diferentes en Google Play, la tienda de aplicaciones para Android. Las descargas de apps infectadas podrían llegar hasta los 9 millones, según la compañía.

Alrededor del 50% de las aplicaciones infectadas están en ruso, al tiempo que el fraude mediante SMS estaría apuntado a usuarios en Rusia, Ucrania, Armenia, Bielorrusia y Kazajistán. Google ya retiró la totalidad de las apps maliciosas de su tienda online.

Computadoras corporativas sin actualizaciones de software

Si esto es a nivel empresa, como será a nivel usuario final?

Al 87% de las computadoras corporativas les faltan actualizaciones críticas de software que pueden amenazar la seguridad del negocio, de acuerdo con los datos de F-Secure de alrededor de 200 mil computadoras, la mayor parte de Europa.

Entre las actualizaciones faltantes más comunes están Java, las de Microsoft, Adobe Flash Player, Firefox y Open Office.

“Desde los números, parece que mucha gente no entiende completamente que mantener su software actualizado es un componente crítico de la computadora y de la seguridad de la empresa” dijo Esa Tornikoski, Product Manager en F-Secure. “Del 70 al 80% del top diez de malware detectado por nuestros laboratorios son exploits que tienen por objetivo las vulnerabilidades de software”.

De acuerdo con los datos, el 49% de las PC y laptops corporativas necesitan de una a cuatro actualizaciones críticas, al 25% carecen de entre cinco a nueve y el 13% tiene faltantes de 10 o más.

Los números golpean, especialmente cuando los ataques en corporaciones e instituciones a través de vulnerabilidades de software encabezan las noticias de los meses recientes.

El malware Red October, que robaba información sensible de organizaciones gubernamentales y de investigación, así como de otras compañías, estuvo latente por cinco años hasta que fue expuesto en enero, empleaba exploits de Microsoft Word, Excel y Java.

Esas violaciones de datos que explotaban vulnerabilidades de software y que a la larga se fueron parchando, pudieron haberse evitado al mantener el software actualizado.

Vía: Net Security