FormJacking

 


Segu-Info

Se llama FormJacking y es la nueva amenaza silenciosa que ya está comprometiendo la seguridad de cientos de tiendas on-line de todo el mundo. Según el nuevo informe anual sobre amenazas informáticas publicado por Symantec, esta técnica se ha convertido en una nueva mina de oro para los cibercriminales, ya que les permite enriquecerse rápidamente sin demasiado esfuerzo.

Cyber Attacks on the Energy Sector

Los investigadores en ciberseguridad de Symantec fueron los que descubrieron Dragonfly 2.0, diciendo sobre el tema que “el grupo tiene ahora potencialmente la capacidad de sabotear u obtener el control de esos sistemas”, pudiendo tener un acceso sin precedentes a los sistemas operacionales pertenecientes a compañías energéticas.

La misma compañía de ciberserguridad ya reportó la gran capacidad que adquirió el grupo de hackers para realizar operaciones contra objetivos concretos, con especial mención operadores de oleoductos, empresas eléctricas y proveedores Sistemas de Control Industrial (ICS). Según Symantec, sus acciones más destacadas son las siguientes:

  • Ha estado activo desde finales 2015 utilizando las mismas tácticas y herramientas que en sus inicios.
  • En Dragonfly 2.0 el objetivo fue recolectar información sobre inteligencia y obtener acceso a redes de organizaciones concretas, además de ser capaz de realizar sabotajes cuando se le fue requerido (ya que hay fuertes sospechas de que trabaja para otros estados).
  • Dragonfly 2.0 impactó sobre todo en los sectores energéticos de Estados Unidos, Turquía y Suiza.
  • Los principales tipos de ataque utilizados fueron emails con ficheros maliciosos adjuntados, ataques de agujeros de agua y troyanos que fueron utilizados como un vector de ataque inicial para obtener acceso a las redes informáticas de las víctimas.
  • El grupo ha usado un conjunto de herramientas llamado Phishery para llevar ataques basados en email. El código de ese conjunto de herramientas está disponible en GitHub.
  • Los troyanos eran enmascarados como actualizaciones de Flash, las cuales han recibido nombres como Backdoor.Goodor, Backdoor.Dorshel y Trojan.Karagany.B y permitían a los atacantes obtener acceso remoto al ordenador de la víctima.

El grupo de hackers Dragonfly llevó a cabo en diciembre de 2015 un ataque contra un centro de distribución de energía en Ucrania que dejó sin electricidad a 225.000 personas durante seis horas. Aquella fue la primera vez que un ataque hacker impactaba de forma directa en las infraestructuras energéticas de un país. Más adelante, en Alemania, se descubrió un troyano en una central nuclear que llevaba presente 8 años en uno de sus ordenadores.

Los investigadores de Symantec no han encontrado evidencias de que Dragonfly 2.0 haya explotado vulnerabilidades Zero-Day, utilizando en su lugar herramientas de administración disponibles de forma pública como PowerShell, PsExec y Bitsadmin. Esto, en teoría, añade mérito a lo realizado por el grupo de hackers.

Mezclar ataques cibernéticos y ciertos tipos de centrales eléctricas suena a una combinación terrorífica, siendo esto un tema que tendría que ser considerado como de seguridad estatal por parte de los gobiernos

Fuentes: blog.segu-info | The Hacker News | ArsTechnica

Muerte de Chávez, carnaza perfecta de cibercriminales

El deceso del presidente venezolano Hugo Chávez, tras una batalla de dos años frente al cáncer y varias operaciones, trajo consigo la difusion de la noticia por todo el mundo; oportunidad que aprovecharon los cibercriminales para compartir enlaces y direcciones URL maliciosas relacionadas con el hecho.

Los ataques son efectuados a través malware incluido en correos de spam y direcciones URLs maliciosas que contienen un código oculto, dirigiendo a los cibernautas a un Exploit de puerta trasera (Backdoor Exploit). Cabe mencionar que algunos de los dominios usados se registraron recientemente y otros parecen haber sido secuestrados.

Algunos de los URLs detectados con links maliciosos son:

[¡Error! Referencia de hipervínculo no válida.

[http://][REMOVED].info/images/bbb-compln.html

Ante estas situaciones, Symantec recuerda a los usuarios tomar precauciones y evitar abrir correos no solicitados o de desconocidos, así como ser cuidadoso con los URLs incluidos en mensajes electrónicos y posts de redes sociales para evitar ser víctima de este tipo de ataques. Asimismo, sugiere contar con un software de seguridad instalado y mantenerlo actualizado.

Fuente | bsecure

Las 10 mejores maneras de perder datos en 2013

 

Los datos van a seguir siendo el objeto de deseo de los ‘hackers’ este 2013. Los usuarios empresariales deben tomar precauciones para proteger su información. Sin embargo, hay 10 conductas básicas que pueden provocar precisamente lo contrario, desprotegiendo la información. La compañía Symantec ha presentado una infografía en la que detalla esas 10 maneras de exponer la información.

La empresa de seguridad se ha basado en distintas investigaciones, experiencias, encuestas y estudios para elaborar la lista de las 10 posibles situaciones que pueden poner en peligro la seguridad de los datos en pymes y ordenadores personales.

La primera manera de exponer los datos es con una contraseña no segura. En concreto, la empresa de seguridad explica que muchos usuarios utilizan el nombre de su mascota en muchos sitios web. Se trata de un riesgo ya que los cibercriminales suelen usar esa posibilidad entre sus primeros intentos.

En segundo lugar Symantec expone que otra forma de comprometer los datos es no realizar copias de seguridad de la información. Muchos usuarios y empresas dejan para otro día este procedimiento, que es un auténtico seguro para conservar los datos en caso de pérdida o deterioro de los equipos.

Las ciberestafas son otra forma de tentar a la suerte. En concreto, Symantec recomienda no hacer clic en enlaces que prometan premios extraños o vuelos no adquiridos previamente. Pese a las advertencias constantes de las empresas de seguridad, este tipo de estafas siguen siendo efectivas para los cibercriminales.

Otra forma de perder los datos en 2013, la cuarta en concreto, es sacar información confidencial de los sistemas del trabajo. Muchas personas deciden llevarse el trabajo a casa, sin ser conscientes del peligro que eso supone. También relacionado con el ámbito corporativo, Symantec destaca que el uso de conexiones Wi-Fi no seguras es peligroso siempre, pero sobre todo si se usan para enviar documentos de trabajo.

En sexto lugar está la descarga indiscriminada de aplicaciones móviles. Esta práctica es bastante habitual y suele llevar unido la falta de control sobre los permisos que se dan a las aplicaciones. Los usuarios descargan apps sin ser conscientes del peligro que eso puede generar para la seguridad de sus datos.

Los datos también pueden quedar expuestos si no se utilizan sistemas de identificación en los dispositivos. Es habitual disponer de contraseña para acceder a un ordenador, pero no todo el mundo hace lo propio con su ‘tablet’ o ‘smartphones’. Esta es la séptima causa de pérdida de datos que han destacado desde Symantec.

En la lista de Symantec no podía faltar una mención a las redes sociales. El octavo consejo es no aceptar solicitudes de amistad de que gente que no se conoce. Al aceptar dichas solicitudes se da acceso a los desconocidos a la información publicada, lo que en muchas ocasiones equivale a parte de la intimidad de los usuarios. También en esta línea, Symantec explica en el noveno punto de su infografía que no es bueno anunciar con mensajes automáticos que no se va a estar disponible durante un tiempo, puesto que se facilita la tarea a los cibercriminales.

Por último, la compañía destaca que conectar un pendrive desconocido es otra manera de exponer seriamente los datos de un equipo. Al no conocer el origen del pendrive o unidad de almacenamiento, se puede infectar un ordenador sin ser consciente.

“Sin duda, creemos que hay una necesidad clara de profundizar en la educación de las pymes en España en cuanto a la protección de datos. Confiamos en que a través de herramientas como esta infografía podamos sensibilizar a sus departamentos de TI y ayudarles a tomar las decisiones adecuadas”, ha explicado la directora de ventas SMB de Symantec Iberia, Gemma Gispert.

Fuente | europapress

Symantec se defiende:

 

  
El software de seguridad de Symantec no detectó recientemente un prolongado e intenso ataque contra el diario The New York Times. En un breve comunicado, Symantec se defiende y aclara.

Diario TI 04/02/13 7:05:49

La semana pasada se informaba que hackers chinos tuvieron durante cuatro meses acceso prácticamente ilimitado a los sistemas informáticos del diario New York Times. Aparte de las implicaciones políticas del caso, la situación fue considerada bochornosa para Symantec, proveedor de antivirus utilizado por el periódico afectado.

Según trascendió, hackers chinos instalaron 45 aplicaciones de malware en la red del periódico, pero sólo uno de los programas malignos fue detectado por el software antivirus. El resto pudo ejecutar su cometido sin activar alarma alguna. La situación fue detectada en una investigación posterior, que no implicó a Symantec.

Symantec ha comentado la situación en un breve comunicado, recalcando que el New York Times sólo utilizó una de sus soluciones de seguridad, un programa antivirus. En este contexto, Symantec menciona su tecnología que analiza el comportamiento de códigos sospechosos en una red, y por lo tanto puede bloquear ataques avanzados como el perpetrado contra el diario neoyorquino. Sin embargo, el New York Times no habría utilizado una de las soluciones completas de seguridad de Symantec, limitándose a instalar el software antivirus que, según la propia Symantec, sería insuficiente.

“No es suficiente activar un componente antivirus basado en firmas en un mundo que está en constante proceso de cambio con nuevas amenazas y ataques. El software antivirus, en sí, no es suficiente”, explica Symantec.

Paralelamente, el diario The Wall Street Journal informó haber sido atacado, al igual que el New York Times, por atacantes chinos. La conclusión del periódico es que los intrusos han intentado espiar a periodistas que cubren China con el fin de detectar las fuentes que éstos consultan al interior del aparato estatal chino, y las informaciones que estas fuentes habrían filtrado los medios de comunicación.

Paralelamente, el FBI dijo estar investigando el caso como una amenaza contra la seguridad nacional estadounidense.

 

Fuente | inkawebdesign

Microsoft y Symantec derrumban la red zombi Bamital

 

Symantec-Microsoft Bebaskan Ratusan Ribu PC dari Ancaman Bamital

 
Expertos de Microsoft y Symantec han liderado una exitosa operación para tomar control de los servidores de comando y control de la red zombi Bamital. Esto les permite detener sus ataques temporalmente, acceder a registros internos de la red zombi para poder estudiarla a fondo y alertar a los usuarios que la conforman para que tomen las medidas necesarias para desinfectar sus equipos.

La red zombi atacaba a sus víctimas con diferentes variantes que tenían diversas funciones. Al principio, los cibercriminales comprometían los ordenadores mediante inyecciones HTML en los navegadores de sus víctimas. “inyectaban un iframe en cada página”, dijo Thakur, “así que cualquier página que se cargara también cargaba contenidos de los cibercriminales”.

Variantes posteriores se abocaron a cometer fraude de clicks, redirigiendo a los usuarios varias veces mediante sitios que cobraban por cada visita que recibían. “Lo más preocupante es que estos cibercriminales hacían que la gente visitara sitios a los que no pensaban ir, robaban el control de los equipos a sus dueños”, dijo Boscovich, abogado de la Unidad de Crímenes Digitales de Microsoft. El programa operaba de tal modo que los usuarios no se daban cuenta de lo que sucedía.

Microsoft recibió la aprobación de un tribunal estadounidense para tomar el control de la red zombi el 1 de enero y lanzó el ataque fatal contra Bamital este miércoles. Los 300.000 equipos infectados que quedaron “libres” recibieron avisos en sus navegadores cuando trataban de conectarse a Internet que les informaban sobre su situación y les explicaban cómo desinfectar sus equipos para dejar de ser parte de la red maliciosa.

La empresa también publicó los sobrenombres, direcciones físicas y electrónicas de los supuestos responsables de crear y operar la red zombi. Todavía no se los ha arrestado, pero se cree que son rusos porque había una frase en ruso en una de las cookies de la red zombi.

Fuente : viruslist