Campaña de ciberespionaje de habla rusa aprovecha satélites para lograr el anonimato

Turla_2

Turla ha infectado a computadores en más de 45 países incluyendo Brasil, Ecuador y México

Al investigar a Turlael infame actor de ciberespionaje de habla rusa, los investigadores de Kaspersky Lab descubrieron cómo este evade la detección de su actividad y de su ubicación física. Como solución para el anonimato, el grupo utiliza las debilidades de seguridad en las redes de satélites globales.

Turla es un grupo de ciberespionaje sofisticado que ha estado activo durante más de ocho años. Los atacantes que están detrás de Turla han infectado a cientos de computadores en más de 45 países, entre ellos Kazakstán, Rusia, China, Vietnam y los Estados Unidos. Entre los países afectados a un nivel menor se encuentran Brasil, México y Ecuador. 

Los tipos de organizaciones que han sido infectadas incluyen instituciones gubernamentales y embajadas, así como entidades militares, de educación, investigación y farmacéuticas. En la etapa inicial, la puerta trasera Epic Turla realiza perfiles de las víctimas.  Luego, sólo para los objetivos con los perfiles más altos, los atacantes utilizan un amplio mecanismo de comunicación basado en satélites en las etapas avanzadas del ataque, lo cual les ayuda a ocultar su rastro.

Las comunicaciones por satélite son conocidas principalmente como herramientas para la transmisión de programas de televisión y para comunicaciones seguras; sin embargo, también se utilizan para tener acceso a Internet. Estos servicios se utilizan principalmente en lugares remotos donde otros tipos de acceso a Internet son inestables y lentos o incluso no existen. Uno de los tipos más extendidos y económicos de conexión a Internet por satélite es lo que se conoce como enlaces de flujo único descendente

En este caso, las solicitudes de salida de un computador de un usuario se comunican mediante las líneas convencionales (una conexión alámbrica o GPRS), de manera que todo el tráfico de ingreso viene del satélite. Esta tecnología permite al usuario obtener una velocidad de descarga relativamente rápida. Sin embargo, tiene una gran desventaja: todo el tráfico de descarga regresa a la PC sin ser cifrado. Cualquier usuario malicioso con el equipo y software adecuado podría simplemente interceptar el tráfico y obtener acceso a todos los datos que los usuarios de estos enlaces están descargando. 

El grupo Turla aprovecha esta debilidad  de una forma diferente: utilizándola para esconder la ubicación de sus servidores de comando y control (C&C), una de las partes más importantes de la infraestructura maliciosa. 

El servidor C&C es en esencia una “base” para el malware implantado en las máquinas seleccionadas.  El descubrimiento de la ubicación de dicho servidor puede conducir a los investigadores a descubrir detalles acerca del actor que se encuentra detrás de la operación, de manera que así es como el grupo Turla está evitando estos riesgos: 

1. El grupo primero “escucha” la descarga del satélite para identificar  las direcciones IP activas de usuarios de Internet por satélite que se encuentran en línea en ese momento. 

2. Seguido a esto, eligen una dirección de IP para enmascarar un servidor C&C, sin el conocimiento del usuario legítimo. 

3. Los equipos infectados por Turla son entonces instruidos para que retiren datos hacia las direcciones IP seleccionadas de usuarios regulares de Internet por satélite. Los datos viajan a través de líneas convencionales a telepuertos del proveedor de Internet por satélite, luego suben al satélite, y finalmente bajan del satélite a los usuarios con las IPs elegidas. 

Curiosamente, el usuario legítimo cuya dirección IP ha sido utilizada por los atacantes para recibir los datos de la máquina infectada, también recibirá estos paquetes de datos pero difícilmente los notará. Esto se debe a que los actores de Turla dan instrucciones a las máquinas infectadas para que envíen los datos a puertos que, en la mayoría de los casos, están cerrados por defecto. De manera que la PC de un usuario legítimo soltará simplemente estos paquetes, mientras que el servidor C&C de Turla, el cual mantiene esos puertos abiertos, recibirá y procesará los datos extraídos.

Otro detalle interesante de las tácticas del actor de Turla es que tienden a utilizar proveedores de conexión a Internet por satélite localizados en países del Medio Oriente y Africanos. En su investigación, los expertos de Kaspersky Lab han descubierto al el grupo Turla utilizando IPs de proveedores localizados en países como Congo, Líbano, Libia, Nigeria, Somalia o los Emiratos Árabes Unidos. 

La cobertura de estas trasmisiones de satélite que utilizan operadores en estos países normalmente no cubre territorios europeos ni norteamericanos, por lo que es muy difícil para la mayoría de los investigadores de seguridad rastrear tales ataques.  

“En el pasado, hemos visto a por lo menos tres actores diferentes que utilizaban enlaces a Internet por satélite para enmascarar sus operaciones. De estos, la solución desarrollada por el grupo Turla es la más interesante e inusual. Ellos son capaces de alcanzar el máximo nivel de anonimato mediante la explotación de una tecnología ampliamente utilizada- Internet por satélite de una vía. Los atacantes pueden encontrarse en cualquier lugar dentro del alcance de su satélite elegido, una área que puede exceder miles de kilómetros cuadrados”, dijo Stefan Tanase, Investigador Senior de Seguridad de Kaspersky Lab. “Esto hace casi imposible rastrear al atacante. Debido a que el uso de estos métodos son cada vez más comunes, es importante que los administradores de sistemas implementen las estrategias correctas de defensa para mitigar tales ataques”.

Los productos de Kaspersky Lab detectan de manera eficaz y bloquean el malware utilizado por el actor Turla con los siguientes nombres de detección:

Backdoor.Win32.Turla.*
Rootkit.Win32.Turla.*
HEUR:Trojan.Win32.Epiccosplay.gen

HEUR:Trojan.Win32.Generic

 Información adicional acerca de los ataques selectivos de Turla está disponible para los clientes de los Servicios de Inteligencia de Seguridad de Kaspersky. Contacto: intelreports@kaspersky.com

Lea más acerca de los mecanismos de abuso de enlaces de Internet por satélite que utiliza el grupo de ciberespionaje Turla, y vea los Indicadores de Compromiso en Securelist.com: http://www.viruslist.com/sp/weblog?weblogid=208189103

Descubra cómo los productos de Kaspersky Lab pueden ayudar a protegerlo contra la operación de Turla aquí: https://business.kaspersky.com/satellite-turla/4515/ 

Descubra más acerca de otras operaciones de ciberespionaje de habla rusa aquí: https://apt.securelist.com/#secondPage/language=5

Descubra cómo se investigan los ataques selectivos sofisticados: http://www.youtube.com/watch?v=FzPYGRO9Ls

Francisco Javier Gómez
Consultor de informática
francisco@itpro.com.co
Twitter: @GomezFJ

Acerca de francisco:
http://about.me/gomezfj

Grabit: un ciberespía que vigila a PyMEs

En América Latina, Chile se encuentra entre los países afectados

Sunrise, FL junio de 2015

Kaspersky Lab descubrió recientemente una nueva campaña de ciberespionaje dirigida a negocios llamada Grabit que pudo robar cerca de 10,000 archivos de empresas pequeñas/medianas principalmente de Tailandia, India y los Estados Unidos. La lista de los sectores objetivo incluye las áreas de la química, nanotecnología, educación, agricultura, medios, construcción y otros.

Otros países afectados son Emiratos Árabes Unidos, Alemania, Israel, Canadá, Francia, Austria, Sri Lanka, Chile y Bélgica.

“Vemos muchas campañas de espionaje enfocadas en empresas, organizaciones gubernamentales y otras entidades de alto perfil en donde rara vez se ven negocios pequeños o medianos en las listas de objetivos. Sin embargo, Grabit demuestra que no se trata sólo del juego del “pez grande”– en el mundo cibernético cada organización, que tenga dinero, información o influencia política, podría ser del interés potencial de uno u otro actor malicioso. Grabit sigue activo, y es crucial que las PyMEs revisen su red para asegurar que no haya sido afectada. El 15 de mayo se encontró que un registrador de teclas de Grabit estaba registrando miles de credenciales de cuentas de víctimas de cientos de sistemas infectados. Esta amenaza no se debe subestimar”, dijo Ido Noar, Investigador Senior de Seguridad del Equipo de Análisis e Investigación Global de Kaspersky Lab.

La infección comienza cuando un usuario de alguna organización comercial recibe un correo electrónico con un enlace que luce como un archivo de Word (.doc) de Microsoft Office. El usuario hace clic para descargarlo y el programa de espionaje entra a la máquina desde un servidor remoto que ha sido hackeado por el grupo para que sirva como un concentrador de malware. Los atacantes controlan a sus víctimas mediante un registrador de teclas HawkEye, una herramienta comercial de espionaje de HawkEyeProducts, y un módulo de configuración que contiene varias Herramientas de Administración Remota (RATs).

Para ilustrar la escala de la operación, Kaspersky Lab puede revelar que un registrador de teclas en sólo uno de los servidores de comando y control fue capaz de robar 2,887 contraseñas, 1,053 correos electrónicos y 3,023 nombres de usuario de 4,928 anfitriones diferentes, interna y externamente, incluyendo Outlook, Facebook, Skype, Gmail, Pinterest, Yahoo!, LinkedIn y Twitter, así como cuentas bancarias y otros.

Un grupo errático de ciberdelincuentes

Por un lado, el actor de Grabit no se preocupa por ocultar su actividad: algunas muestras maliciosas utilizaron el mismo servidor, incluso las mismas credenciales, debilitando su propia seguridad. Por otro lado, los atacantes utilizan técnicas fuertes de mitigación para mantener su código oculto para los ojos de analistas. Esto lleva a pensar a Kaspersky Lab que atrás de la operación de olfateo se encuentra un grupo errático, con algunos miembros más técnicos y enfocados en no ser rastreados que otros.  El análisis experto sugiere que quienquiera que haya programado el malware no escribió todo el código desde cero.

Para protegerse contra Grabit, Kaspersky Lab ofrece los siguientes consejos:

  • Revise esta ubicación: C:\Users\<PC-NAME>\AppData\Roaming\​Microsoft, si contiene archivos ejecutables, usted podría estar infectado con el malware. Esto es una advertencia que no debe ignorar.
  • Las Configuraciones del Sistema Windows no deben contener un archivo ejecutable grabit1.exe en la tabla de arranque.  Ejecute “msconfig” y asegúrese que no contenga los registros de grabit1.exe.
  • No abra archivos anexos y enlaces de personas que no conozca. Si no lo puede abrir, no lo envié a otros – pida asistencia a un administrador de TI.
  • Utilice una solución avanzada antimalware actualizada, y siempre siga la lista de tareas del antivirus para procesos sospechosos.

Los productos de Kaspersky Lab detectan todas las muestras conocidas de Grabit y protegen a usuarios contra esta amenaza.

Para obtener más información acerca de la operación Grabit, lea por favor el blog disponible en Securelist.com.

Francisco Javier Gómez
consultor de informática
francisco@itpro.com.co

El lobo disfrazado de oveja en la era digital

mobile-device-security

Por Santiago Pontiroli, analista de seguridad en Kaspersky Lab

Tanto la tienda de aplicaciones para dispositivos móviles que utilizan la plataforma Android, más conocida como Google Play, como su contrapartida de Apple, han superado por un amplio margen el millón de aplicaciones disponibles para que sus usuarios puedan descargar. De igual forma, cada día son agregadas una cantidad avasallante de utilitarios, programas y juegos, entre los cuales no todo es lo que parece ser, filtrándose una gran cantidad de aplicaciones maliciosas que posan inocentemente esperando ser instaladas en algún dispositivo.

Cada día, el equipo de investigación de Kaspersky Lab procesa 325,000 nuevos archivos maliciosos. Estos son 10,000 más al día en comparación con el 2013, y 125,000 más al día que en 2012. Sin dudas, este fuerte aumento en la tasa de crecimiento refleja el cambio significativo en las tácticas que los cibercriminales están implementando para infectar computadores y dispositivos móviles. Con 295,500 nuevos programas maliciosos que pueden poner en peligro su smartphone o tablet detectados durante el 2014, los troyanos bancarios móviles se han llevado el primer puesto mostrando un crecimiento de 9 veces más que el año anterior. Con semejante cantidad de aplicaciones falsas y maliciosas, ya no parece una tarea tan simple elegir de forma correcta que descargar a nuestros dispositivos sin poner en riesgo nuestra preciada información o finanzas.

Durante el año 2014, en América Latina hemos sido testigos de cómo eventos regionales han sido un gancho perfecto para infectar usuarios de forma masiva, ya sea a través de competiciones deportivas como la copa del mundo o tragedias del mundo del espectáculo como la muerte de Roberto Gómez Bolaños, más conocido por su personaje de “Chespirito”. Con cada evento, los cibercriminales se apresuran a poner a disposición del público sus creaciones, ya sea prometiendo más información, visualización de un cierto evento en tiempo real o simplemente una opción gratuita a un servicio que usualmente es pago.

Recientemente, la popular aplicación de mensajería WhatsApp con sus 700 millones de usuarios y sus 30 millones de mensajes diarios manejados, ha pasado a ofrecer una opción para equipos de escritorio, algo que sus usuarios estaban esperando desde hace bastante tiempo. Sin embargo, los cibercriminales también estaban atentos a la expectativa generada por esta nueva versión, y es por ello que fueron los primeros en ofrecer opciones maliciosas. Dentro de esta caja de pandora camuflada como un cliente de mensajería podíamos encontrar (entre las muchas sorpresas) sitios falsos que suscriben a la víctima a números SMS premium, pagando con nuestro crédito telefónico por una aplicación que es difundida a primera instancia de forma gratuita.

¿Qué podemos hacer entonces ante tal creciente amenaza? En primer lugar, si hablamos de dispositivos móviles, hacer jailbreak o rooting para instalar aplicaciones de tiendas de terceros incrementará el riesgo de que alguna de las aplicaciones que instalemos sea maliciosa. Tanto Google como Apple, poseen un proceso de verificación riguroso antes de aceptar cualquier desarrollo en sus tiendas oficiales, y si bien estos chequeos no son infalibles, al menos tendremos una primera medida de seguridad, pudiendo además observar la calificación y reseñas de otros usuarios de forma previa a la instalación.

Verificar los permisos que requiere una aplicación (prestando especial atención a aplicaciones que requieren permisos excesivos), nos ayudará a determinar qué tipo de información podemos estar poniendo en riesgo en caso de que la misma se trate de una aplicación maliciosa. Los cibercriminales se toman un buen trabajo para que sus aplicaciones se vean lo más parecidas a las originales, sin embargo son los pequeños detalles los que delataran la legitimidad de la aplicación, si algo parece fuera de lugar o no se ve bien en su pantalla, desconfíe.

Hoy en día ya no hay excusa para no contar con una solución de seguridad instalada en todos nuestros dispositivos. Desde nuestro smartphone hasta nuestro equipo de escritorio, debemos cuidar nuestra información en todos los frentes, adoptando buenos hábitos de seguridad de forma proactiva, tomando conciencia de que cada aplicación que instalemos puede ser una puerta de entrada más para los cibercriminales. El proverbial lobo disfrazado de oveja ahora es real en la era digital, pero de una u otra forma siempre revelará su verdadera naturaleza si estamos atentos.

El retraso de reportes sobre el robo de dispositivos móviles crea una ventana de vulnerabilidad para las empresas

shutterstock_1403792081

Una encuesta internacional de Kaspersky Lab realizada a profesionales de seguridad de TI encontró que conforme ha aumentado el robo de dispositivos móviles, el tiempo promedio para que los departamentos de TI respondan a esta amenaza de seguridad también ha aumentado. La causa de este retraso es que a los empleados cada vez les toma más tiempo notificar a sus empleadores de la pérdida o robo de sus dispositivos, y sólo la mitad de los empleados pasan su reporte con rapidez. Entre las empresas que ha experimentado el robo de dispositivos móviles, el 19% dijo que el robo de dispositivos tuvo como resultado la pérdida de datos de la empresa, es decir que las empresas tienen aproximadamente una de cada cinco posibilidades de pérdida de datos en caso del robo de un dispositivo móvil.

El riesgo es alto, pero la urgencia del empleado es baja

Después de recibir aportaciones de miles de administradores de seguridad de TI de todo el mundo como parte de la  Encuesta de riesgos de seguridad de TI, 2014, Kaspersky Lab informa que a más de un tercio de los empleados (38%) les toma hasta dos días notificarle a sus empleadores el robo de sus dispositivos móviles, y 9% de los empleados se esperan de tres a cinco días.El porcentaje de empleados que le notificaron sus empleadores el mismo día del incidente disminuyó del 60% al 50% de 2013 a 2014. Esta demora puede crear una importante ventana de vulnerabilidad y que haya más probabilidad de perder datos empresariales confidenciales.

La encuesta también encontró que la tasa de robo de dispositivos móviles en general ha mantenido una tendencia al alza en los últimos años, con un 25% de las empresas que ha experimentado el robo de un dispositivo móvil en el año 2014, un aumento importante en comparación con el 14% registrado en 2011. Sin embargo, a pesar de que el robo de dispositivos es cada día más común, los empleados parecen responder más lentamente, y sólo la mitad de los empleados en 2014 reportó el robo de un dispositivo el mismo día del incidente. La creciente prevalencia de dispositivos móviles robados puede ser un factor que contribuye con la apatía del empleado, debido a que el robo de un smartphone podría considerarse ahora como algo muy común, y no como una rara crisis que requiere atención.

La tasa de robos de dispositivos móviles varía de manera significativa entre las distintas regiones. En el Medio Oriente se reportó por mucho la tasa más baja de robo de dispositivos, en donde sólo el 8% de las empresas reportaron un incidente, seguido por un 15% en Japón y Rusia. Entre los países emergentes, México registró la tasa más alta con un 29% de robo de dispositivos.

Al analizar el comportamiento de los empleados en regiones específicas, los empleados en América del Norte son los más lentos en responder, según la encuesta de 2014, donde sólo el 43% de los empleados norteamericanos reportaron el robo del dispositivo el mismo día del incidente. La región Asia Pacífico manifiesta el cambio más grande año tras año donde sólo el 47% de los empleados notificaron el robo el mismo día en el año 2014, comparado con 74% en 2013.

Dolores de cabeza móviles para administradores de TI

Dado este aumento de la tasa de robos de dispositivos y datos de dispositivos móviles, no debe sorprender que el 52% de los encuestados indicaron que están “más preocupados por el trabajo móvil” que en años anteriores. De hecho, el 43% fue más allá, diciendo que los patrones de trabajo móvil introducen demasiado riesgo”, a pesar de las evidentes ventajas de productividad que estos dispositivos le pueden aportar a la empresa. Otro 42% cree que “las políticas para móviles BYOD (traiga su propio dispositivo) representan un mayor riesgo para la seguridad” en las empresas.

A pesar de estas preocupaciones de los departamentos de TI, el uso de dispositivos móviles no muestra signos de desaceleración. Más de un tercio, 34% de los encuestados, tenían entre sus prioridades “la integración de dispositivos móviles” como una de sus principales preocupaciones durante los últimos 12 meses, una tasa más alta que la administración de actualizaciones de hardware o incluso la implementación de tecnología para virtualización.

Esto deja a los administradores de TI con múltiples retos de seguridad asociados con una fuerza de trabajo móvil, y a medida que la demanda de movilidad aumenta, los usuarios parecen estar menos comprometidos para ayudar a asegurar las plataformas móviles. Este es un complicado conjunto de circunstancias que requiere una política de seguridad bien planeada y la tecnología de seguridad correcta. Una política para la administración de dispositivos móviles (MDM) que se integre con el software de seguridad para endpoint existente puede ser de enorme valor para los administradores de TI que tratan de mantenerse a la vanguardia en los retos de la seguridad móvil. Al mantener una política MDM administrada a través de la misma consola que el negocio utiliza para el software de seguridad de otros endpoints, los administradores de TI pueden aplicar políticas personalizadas para cada uno de los empleados, incluyendo la “contenedorización” que mantiene cifrada la información del negocio en los dispositivos móviles y separada de los datos de carácter personal en los dispositivos propiedad de los empleados. El software para MDM totalmente equipado también proporciona una gran variedad de medidas anti-robo, que incluye la posibilidad de eliminar de forma remota los datos de la empresa de los dispositivos robados. Para obtener más información acerca de las soluciones de seguridad para dispositivos móviles de Kaspersky Lab, por favor consulte la página de producto Kaspersky Security for Mobile, y lea nuestra “Dummies Guide” para obtener información acerca de la seguridad para móviles y BYOD.

Francisco Javier Gómez
Consultor de informática
francisco@itpro.com.co
about.me/gomezfj

Amenaza de seguridad para dispositivos móviles en América Latina

Who-can-fight-Android-malware2

Los dispositivos móviles cada vez se convierten en el blanco predilecto de cyberdelincuentes debido a la cantidad y tipo de información que una persona puede almacenar en estos dispositivos. Compartimos con ustedes la siguiente alerta de seguridad:

Analistas de Kaspersky Lab han detectado el troyano SMS Trojan-SMS.AndroidOS.FakeInst.ef que ataca a usuarios en 66 países, incluyendo Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, México, Perú y Venezuela. FakeInst fue detectado por Kaspersky Lab en febrero de 2013 y desde entonces han aparecido 14 versiones distintas de este troyano. Las primeras versiones sólo eran capaces de enviar mensajes a números comerciales en Rusia pero a mediados de 2013 aparecieron otros países en la “lista de soporte”.

Según estadísticas de Kaspersky Lab, la mayoría de las infecciones causadas por Trojan-SMS. AndroidOS.FakeInst.ef ocurrieron en Rusia y Canadá.

FakeInst se camufla como una aplicación para mirar videos pornográficos. La aplicación le pide al usuario que acepte enviar un mensaje de texto para comprar contenidos. Sin embargo, después de enviar el mensaje, el troyano abre un sitio de libre acceso.

Para enviar el mensaje, el troyano descifra un archivo de configuración que contiene todos los números y prefijos telefónicos. De esta lista, FakeInst selecciona los números y prefijos apropiados para el código de país para el móvil del usuario (MCC). “Por ejemplo, FakeInst es capaz de enviar 3085 diferentes modificaciones de textos que lucran a través del saldo de la víctima trayendo las ganancias ilícitas a los criminales. En México, el troyano envía mensajes a un número de 5 dígitos, en Chile a un número de 4 dígitos, en Brasil a un número de 5 dígitos, y lo mismo en Argentina. En el Ecuador, Perú, Colombia y Venezuela el troyano envía mensajes a un número corto de 4 dígitos, mientras que en Bolivia a un número de 3 dígitos”, explica Dmitry Bestuzhev, director del equipo de investigación y análisis para Kaspersky Lab América Latina.

El troyano también se comunica con su servidor de control y comando para recibir más instrucciones. De todos los comandos que recibe y procesa, está la habilidad para enviar un mensaje con un contenido específico a un número que aparece listado en el comando del C&C, y la habilidad para interceptar mensajes entrantes. El troyano puede hacer varias cosas con los mensajes entrantes: robarlos, eliminarlos o incluso responderles.

“La economía de América Latina que ha estado estable y en crecimiento, junto al crecimiento exponencial de los usuarios móviles en la región que tienen Internet, ha hecho posible que los criminales se enfoquen en nuestra región. La combinación mortal para un usuario es tener el hábito de ver pornografía en el celular y no tener un antivirus en el dispositivo móvil. La única manera de no perder el dinero de su saldo a causa de este troyano es teniendo un anti-virus que lo detecte e impida su instalación”, añade Bestuzhev.

Analistas de Kaspersky Lab consideran que FakeInst es obra de ciberdelincuentes rusos ya que sus primeras versiones estaban diseñadas para funcionar sólo en Rusia y porque todos sus servidores C&C están registrados y alojados con proveedores en ese país.

Francisco Javier Gómez
Consultor de informática
About.me/gomezfj
@GomezFJ

Kaspersky Small Office Security, ofreciendo apoyo renovado a las pequeñas empresas

Kaspersky Small Office Security_KSOS_Low

Bogotá, noviembre de 2013– Kaspersky Lab anunció la nueva versión de Kaspersky Small Office Security, la solución de seguridad de la compañía diseñada específicamente para empresas de menos de 25 empleados. Esta solución incluye nuevas funcionalidades que ayudan a las pequeñas empresas estar un paso adelante de los desafíos de seguridad modernos, e integra las últimas tecnologías antimalware de Kaspersky Lab en un producto fácil de usar que no requiere que los empresarios sean expertos en TI.

Según cálculos de IDC, hay más de 75 millones de empresas en el mundo entero que operan con menos de 10 empleados1. Estas “muy pequeñas empresas” procesarán millones, si no miles de millones, de dólares en el 2014. Aun así, este segmento ha sido tradicionalmente poco atendido por los proveedores de seguridad TI, que no ofrecen productos diseñados con estas empresas en mente. Como consecuencia, los empresarios se han visto forzados usar productos para usuarios particulares que no satisfacen adecuadamente sus necesidades, o versiones más básicas de productos para grandes compañías, que son engorrosas de manejar y obligan a las empresas a pagar por funciones de seguridad que nunca utilizan. Propietarios de pequeñas empresas pueden encontrar recursos valiosos, videos y consejos para elegir una solución de seguridad adecuada en la nueva página web para pequeñas empresas de Kaspersky Lab.

“Kaspersky Small Office Security está diseñada para cumplir con las necesidades de las PYMES, sin o con recursos de TI limitados, y combina una potente protección contra el cibercrimen con las funciones que este tipo de empresas necesitan para competir en la economía global”, comentó Daniel Molina, director general para los Mercados Emergentes de América Latina, Kaspersky Lab. “Más importante aún, Kaspersky Small Office Security es fácil de instalar y manejar, y ofrece un gran valor, tanto en los costos de compra como en el tiempo de administración”.

Continue reading “Kaspersky Small Office Security, ofreciendo apoyo renovado a las pequeñas empresas” »

¿Trick or treat? Kaspersky Lab desmiente mitos de seguridad TI y ofrece ‘dulces’ consejos

virus-halloween

Colombia, Bogotá, 28 de octubre 2013– Disfraces, sustos y engaños son acontecimientos comunes relacionados con la celebración del Día de las Brujas o Halloween pero que en los últimos años también han estado vinculados con situaciones desagradables en línea causadas por los diferentes trucos empleados por los ciberdelincuentes para engañar a sus víctimas y así robarle información sensible o su dinero.

Para evitar grandes sustos en línea y prevenir que tus dispositivos sean envenenados por malware o un virus,Kaspersky Lab ha recopilado una lista de los 5 “tricks” o mitos más comunes de seguridad TI este Halloween para desmentirlos y ofrece “treats” o consejos que ayudaran a proteger tu vida digital.

Redes sociales

Mito: Las redes sociales como Facebook y Twitter no causan problemas de seguridad. Son totalmente inofensivas.

Verdad: Facebook y Twitter, las redes sociales más populares, fueron víctimas de delitos informáticos a principios de este año:

  • ·         En febrero, Twitter anunció que ciberdelincuentes habían logrado robar datos de usuario (incluyendo las contraseñas) de 250.000 miembros de la red social.
  • ·         Dos semanas más tarde, Facebook anunció que varios equipos del personal de la empresa habían sido infectados durante visitas a un sitio para desarrolladores móviles. Facebook describió esto como un ataque sofisticado y específico con el objetivo de penetrar en su red corporativa.

Consejos: ¡No dejes que Twitter o Facebook se conviertan en un monstruo de dos caras!

  • ·         Ten cuidado antes de hacer clic en ese enlace que promete grandes descuentos en disfraces de Halloween: visita el sitio web oficial para realizar compras por Internet.
  • ·         No añadas ni aceptes solicitudes de amistad de personas que no conoces.

Virus

Mito: Sólo se puede obtener un virus si visitas a sitios pornográficos o de otro contenido para adultos.

Verdad: El método más popular utilizado por los cibercriminales para infectar a las computadoras, tabletas y dispositivos móviles no requiere ninguna acción por parte de la víctima.Los enlaces maliciosos representan el 91 % de todas las amenazas en línea. Estos enlaces conducen a sitios web recientemente hackeados o sitios web creados por usuarios maliciosos para infectar a las víctimas. A menudo, la víctima nunca se da cuenta que está visitando un sitio web infectado o falso.

Consejos: ¡No permitas que un virus informático envenene tus dispositivos!

  • ·         Evita abrir correos electrónicos sospechosos y no hagas clic en ningún enlace de estos correos. Estos son a menudo manipulados con URLs maliciosos o exploits que instalan malware.
  • ·         Si dudas del URL incluido en un correo electrónico, visita el sitio web oficial directamente para comprobar las notificaciones o teclea la dirección URL designada en la barra del navegador.

Continue reading “¿Trick or treat? Kaspersky Lab desmiente mitos de seguridad TI y ofrece ‘dulces’ consejos” »

Apple en la mirada de los cibercriminales

apple-security

Kaspersky Lab recomienda salvaguardar las cuentas de Apple y datos sensibles

Colombia, 17 de julio de 2013 – Kaspersky Lab ha publicado un informe de phishing que analiza el dramático aumento de campañas cibercriminales diseñadas para robar las contraseñas de los usuarios de Apple (ID’s) y la información mediante la creación de sitios fraudulentos de phishing que intentan imitar el sitio oficial apple.com. Los cibercriminales están usando los sitios de Apple falsos para tratar de engañar y hacer que los usuarios introduzcan sus credenciales de identificación de Apple, lo que permitiría a los ciberdelincuentes robar la cuenta de acceso de los usuarios y el acceso a los datos personales así como información de la víctima y números de tarjetas de crédito almacenadas en sus cuentas de iTunes y iCloud.

Desde enero 2012 a mayo 2013, la red de datos en la nube de Kaspersky Lab, Kaspersky Security Network (KSN), detectó un promedio de 200 mil intentos diarios de usuarios que pretendían acceder a sitios de phishing. Esta información es basada en cada vez que un usuario utilizaba los productos de Kaspersky Lab e intentaba dirigirse a uno de los sitios fraudulentos.

El aumento promedio de las detecciones es significativo en comparación con los resultados de 2011, el cual tuvo un promedio de sólo 1.000 detecciones por día. El módulo antivirus web de Kaspersky Lab detectó con éxito y evitó que sus usuarios accedieran los sitios. Sin embargo, el aumento de detecciones muestra cómo estas estafas son cada vez más utilizadas por los cibercriminales para campañas de phishing.

Los expertos de Kaspersky Lab analizan el comportamiento y los patrones sobre una base diaria y mensual de los cibercriminales, notando que las fluctuaciones y el aumento de los intentos de phishing a menudo coinciden con grandes eventos de Apple. Por ejemplo, el 6 de diciembre de 2012, inmediatamente después de la apertura de las tiendas de iTunes en la India, Turquía, Rusia, Sudáfrica y 52 países adicionales, Kaspersky Lab detectó un récord histórico de más de 900.000 intentos de phishing que dirigían a sitios falsos de Apple en un solo día.

Los correos electrónicos de phishing haciéndose pasar por Apple

El método principal de distribución utilizado por los cibercriminales para dirigir a los usuarios a los sitios web fraudulentos de Apple, son predominantemente correos electrónicos de phishing que se hacen pasar por soporte de Apple con los nombres de alias falsos en el campo “Remitente”, como services@apple.com. Estos mensajes suelen solicitar a los usuarios verificar su cuenta haciendo clic en un enlace e ingresar su información de ID de Apple. Estos correos electrónicos son aparentemente inteligentes y profesionalmente diseñados con el fin de hacer que parezcan auténticos, incluyendo el uso del logotipo de Apple y presentan el mensaje en un formato similar al estilo y color que Apple utiliza.

Otra variación de este tipo de mensajes de phishing es que están diseñados para robar información de tarjetas de crédito de los clientes de Apple. Esto se realiza mediante el envío de un correo electrónico solicitando a los usuarios que verifiquen o actualicen las credenciales de sus tarjetas de crédito ligadas a su ID de Apple haciendo clic sobre un enlace del mensaje. Este enlace dirige al usuario a un sitio de phishing que imita la forma de Apple y solicita la información de tarjetas de crédito de sus clientes para engañar a los usuarios a introducir su información personal.

Continue reading “Apple en la mirada de los cibercriminales” »

Kaspersky Lab descubre Jumcar: Código malicioso para el robo de información financiera en América Latina “Colombia dentro de los más afectados”

virus_and_spyware_removal

‘Jumcar’ tiene como objetivo el robo de información financiera de usuarios que utilizan servicios de banca en línea de importantes entidades bancarias en la región

Colombia, 21 de mayo de 2013—Analistas de Kaspersky Lab en América Latina acaban de revelar el descubrimiento de una familia de códigos maliciosos desarrollados en Perú que está desplegando sus maniobras de ataque por toda la región. Denominado “Jumcar” por el equipo de analistas, el principal objetivo de estos códigos maliciosos se resume en el robo de información financiera de usuarios latinoamericanos que hacen uso de los servicios de home-banking de importantes entidades bancarias.  De las víctimas, el 89% se canalizan en Perúa través de seis estrategias de Phishing basadas en la clonación fraudulenta de los sitios web bancarios.  Algunas variantes de la familia Jumcar también incorporan en la logística de la estrategia dos entidades bancarias de Chiley una de Costa Rica.

La cultura ciber-delictiva se expande con mucha fuerza en América Latina. Ejemplo de ello son algunas de las redes de bots gestionadas a través de crimeware desarrollado en la región, que además cuentan con la posibilidad de generar malware personalizado. Tales son los casos de las botnets que analistas de Kaspersky Lab han descubierto a lo largo de los últimos dos años y alertado al respecto oportunamente como vOlk-BotnetChimba-BotnetUELPAlbaBotnet y PiceBOT.

Sin embargo, según Jorge Mieres, analista para Kaspersky Lab, esta familia de malware posee características y componentes completamente diferentes y muy particulares en comparación con las anteriormente mencionadas. “Solo comparten el mismo objetivo: robar información financiera y, en similitud, la estrategia de propagación inicial: correo electrónico asociado con un fuerte componente de Ingeniería Social visual basado en falsos mensajes”, explicó Mieres.

Las campañas de propagación de ‘Jumcar’ son compatibles con las clásicas estrategias de Ingeniería Social visual que se basan en el envío de correos electrónicos fraudulentos, instancia en la cual se dispara hacia dos vetas de ataque:

1.      Un mensaje supuestamente emitido por Facebook con el asunto “Mensaje de Facebook”, acompañado con imágenes del logo de la red social, que direccionan el tráfico hacia un archivo llamado “Mensaje_Facebook_Privado.php” (o similar), que posee las instrucciones necesarias para la descarga de una variante de Jumcar.

2.      Un mensaje supuestamente emitido por una importante entidad bancaria de Perú que direcciona el tráfico del usuario hacia la clonación del sitio web de la entidad bancaria en cuestión. Esto es el clásico ataque de phishing.

image001

Mensaje malicioso emitido por correo electrónico. Es una de las estrategias de propagación de Jumcar 

“Todas las variantes de Jumcar son alojados en sitios web previamente vulnerados. Es decir, el atacante no registra nombres de dominio como parte de la estrategia de propagación. En ellos también se implantan losPhishingPack  utilizados para robar la información de los usuarios desprevenidos, un archivo en texto plano que aloja la configuración para el archivo hosts de los equipos víctimas, el MassMailer a través del cual se masifica el envío de los correos engañosos y un backdoor que le permite al atacante acceder y alojar las nuevas variantes del malware”, añadió Mieres.

El impacto que Jumcar ha tenido en los últimos meses es alto y específico. Los mayores niveles de infección se encuentran focalizados con mayor éxito de penetración en Perú y Chile:

image002

Las diferentes variantes de ‘Jumcar’ son detectadas por Kaspersky Lab como “Trojan.MSIL.Jumcar” y “Trojan.Win32.Jumcar”.

Analistas de Kaspersky Lab América Latina han analizado alrededor de 50 muestras pertenecientes a la familia de malware Jumcar que les permitieron recolectar un importante volumen de datos de interés que compartirán en los próximos días.

El artículo completo de la primera parte de esta investigación lo puede encontrar aquí: http://latam.kaspersky.com/Jumcar-parte1

Francisco Javier Gómez
Consultor de informática

ITPro. Adquiera los productos de Kapersky, proteja la información de su empresa. Consultoría gratuita. Atendemos su solicitud personalmete en Cali – Colombia, separe una cita. Escríbanos a francisco@itpro.com.co

Kaspersky Endpoint Security for Business llega a Colombia

Kaspersky Lab Responde al Llamado para la Visibilidad, Control y Protección, para Sobrepasar los Retos Modernos de la Seguridad Corporativa con Nuevas Soluciones para Endpoint


20130307-123452.jpg

Kaspersky Endpoint Security for Business Ofrece una Protección Más Profunda y Capacidad de Manejo Impecable para los Departamentos de TI Asediados por la Ciber Delincuencia y las Dinámicas Exigencias de las Compañías

Colombia, Bogotá – 6 de marzo de 2013 – Kaspersky Lab reveló el día de hoy su nueva generación de soluciones de seguridad de negocios diseñadas para ayudar a las compañías a sobrepasar los últimos retos del manejo de una red segura y eficiente. Kaspersky Endpoint Security for Business, la nueva plataforma insignia de seguridad para empresas de la compañía, fue construida para ofrecer la mejor protección existente en la industria contra el malware y la ciber-delincuencia avanzadas, así como para combatir otro enemigo común de la seguridad de TI – la complejidad. Kaspersky Endpoint Security for Business es la primera verdadera plataforma de seguridad construida desde cero, ofreciendo una combinación de alta criticidad para las empresas consistente en una profunda protección, eficiencia y capacidad de manejo impecable.

Nuevas Realidades de los Departamentos de TI

La misión fundamental del Administrador de TI no ha cambiado en gran medida, pero hay más obstáculos que se presentan en el camino. Las organizaciones de todos los tamaños deben enfrentar estos retos, pero las empresas pequeñas y medianas sufren a causa de un obstáculo adicional: la falta de recursos y experiencia para manejar estas nuevas exigencias.

Adicional al malware de alto grado de sofisticación que ataca a las empresas a diario en la actualidad, los Administradores de TI ahora deben considerar nuevas complejidades, entre las cuales están:

· Los Teléfonos Inteligentes y los tablets usados para acceder a las redes de la compañía desde cualquier parte del mundo

· Los empleados que prefieren usar sus propios dispositivos móviles y PCs para hacer su trabajo

· Información confidencial que se mueve libremente dentro de las redes de la compañía, o por fuera de la red a través de los computadores portátiles o las unidades de memoria USB.

· Encontrar y reparar las brechas en las aplicaciones de usuario y los sistemas operativos.

Estas nuevas realidades tecnológicas han dejado a los Administradores de TI en una permanente lucha contra las preocupaciones relacionadas con la seguridad y, en la mayoría de los casos, se ven obligados a evaluar, comprar, instalar y administrar una nueva herramienta para cada escenario. Mobile Device Management, Systems/Patch Management, Data Encryption y más—estas nuevas herramientas han sido entremezcladas con las tecnologías anti-malware existentes, lo cual deja a los Administradores de TI con una red que es más compleja de manejar, mas no necesariamente más segura.

Qué Hay de Nuevo y Mejorado en Kaspersky Endpoint Security for Business

Los nuevos retos de la ciber delincuencia organizada y una explosión del número de dispositivos de propiedad de los empleados han convertido a la protección de la información comercial en una tarea más difícil que en cualquier otro momento de la historia. Para simplificar y proteger las empresas de todos los tamaños, Kaspersky Endpoint Security for Business viene ahora con un número de tecnologías nuevas y mejoradas que permiten a los Administradores de TI Ver, Controlar y Proteger sus redes.

· Mobile Security and Device Management – Kaspersky Lab permite a los administradores asegurar y proteger la información, aún sobre los teléfonos inteligentes y tablets de los empleados. Mobile Endpoint Protection se puede implementar remotamente a través de un Mobile Device Management (MDM) centralizado.

· Data Encryption – Asegura archivos y carpetas individuales, unidades de disco completas, con cifrado de 256 bits Advanced Encryption Standard (AES) para garantizar que la información permanezca segura en el evento de la pérdida accidental o robo de un dispositivo. La nueva tecnología de cifrado de Kaspersky Lab también puede ser aplicada sobre dispositivos periféricos, discos removibles, archivos y carpetas, y es transparente para los usuarios y aplicativos mientras deja a los ciber delincuentes sin capacidad de lectura de datos.

· Endpoint Control Tools – Kaspersky Endpoint Security for Business está diseñado para controlar el uso de aplicativos a través de políticas y marcado dinámico en lista blanca (whitelisting). Los administradores también pueden crear políticas personalizadas en cuanto a los dispositivos removibles de almacenamiento de datos, unidades de memoria e impresoras USB y crear políticas web sobre los dispositivos para garantizar que los usuarios puedan navegar de manera segura por Internet, ya sea sobre la red corporativa o desde sus casas.

· Systems Management – Toda una gama de nueva configuración de sistemas, implementación y herramientas de administración incluidas en Kaspersky Endpoint Security for Business hace que las tareas altamente exigentes en tiempo de TI, como la instalación de Sistemas Operativos, inventario de redes, aprovisionamiento de los sistemas, administración remota, Network Admission Control (NAC) y administración de licencias, sean tanto más rápidas como menos complejas. El escaneo automatizado de vulnerabilidades y la administración de parches asegura que los usuarios y administradores siempre estén actualizados y completamente enterados de los riesgos críticos de la seguridad.

· Todo se maneja desde el Security Center de Kaspersky Lab – La poderosa consola administrativa que unifica cada aspecto del endpoint, servidor de archivos y protección virtual de la infraestructura de Kaspersky Lab bajo una sola ‘ventana’.

· Industry-Leading Anti-Malware – La mezcla comprobada de Kaspersky Lab de métodos en sitio, proactivos y basados en la nube para la detección del malware mantiene a los usuarios conectados a las últimas amenazas descubiertas por nuestro equipo de expertos. El sobresaliente desempeño de Kaspersky Lab durante una evaluación independiente en 2012 le proporcionó a la compañía los más grandes elogios de la industria. Dentro de su reporte de desempeño de fin de año, AV-Comparatives le otorgó a Kaspersky Lab el puntaje general más alto en sus pruebas “Producto del Año” por segundo año consecutivo. AV-Test también entregó sus Premios Best Protection y Best Repair en 2012 a Kaspersky Endpoint Security.

Al analizar todos los resultados de las pruebas realizadas en años recientes por firmas independientes, incluyendo a AV-Comparatives, AV-Test y más, los resultados han demostrado que Kaspersky Lab logra de forma consistente las tasas de éxito de detección de malware más altas, terminando dentro de los primeros tres en más del 80 por ciento de las pruebas, más de un 20 por ciento más frecuentemente que nuestra competencia más cercana.

Si requiere soluciones para seguridad informática de Kapersky Labs en su empresa puede contactarnos y obtener una valoración de un consultor, totalmente gratis

Francisco Javier Gómez | ITPro
Consultor especialista en TI y computación móvil
francisco@itpro.com.co
www.itpro.com.co
www.pdacolombia.com

Oficina: (2)3744444 – 3162229393
Av. 1N # 3N – 71 Edificio Los Puentes
Santiago de Cali