Kaspersky

Según Kaspersky, el temido gusano Stuxnet funciona de manera similar a los bloques plásticos interconectables Lego.

El gusano informático Stuxnet es considerado uno de los peores códigos malignos en la historia de la informática. Conocidos son los estragos que causó en los sistemas de control de centrífugas utilizadas para el enriquecimiento de uranio en Irán.

Expertos de Symantec detectaron en octubre pasado indicaciones que sustentan la teoría de que Duqu y Stuxnet tienen el mismo origen. Según Symantec, Duqu funciona como herramienta de reconocimiento que prepara ataques espiando sistemas TI.

Los colegas de Symantec en Kaspersky Lab respaldan la idea que ambos programas tienen el mismo origen, agregando que los mismos desarrolladores han creado nuevas ciberarmas, hasta ahora desconocidas.

Los científicos de la empresa rusa de seguridad aseguran haber encontrado pruebas que confirmarían la existencia de una plataforma común, que aparte de haber propiciado la creación de Stuxnet y Duqu habría sido utilizada para el desarrollo de, al menos, tres amenazas más.

“Legos” militares
Según Kaspersky, se trataría de una serie de módulos de software compatible desarrollados para funcionar conjuntamente, teniendo cada módulo su propia funcionalidad.

Según Kaspersky, los programadores de los códigos malignos pueden crear nuevas ciberarmas agregando o elminando módulos, que funcionan como los bloques interconectables lego.

La misteriosa plataforma ha sido denominada “Tilded” debido a que varios de los archivos asociados tienen nombres que comienzan con una tilde (~) seguido de la letra “d”.

Kaspersky dice no haber encontrado otros módulos con el mismo origen, agregando que los componentes utilizados por Stuxnet y Duqu aparentemente buscan distintas claves del registro de Windows que representan módulos que el malware intenta iniciar. La empresa considera que esta plataforma de ciberguerra tiene una data de aproximadamente cuatro años, o quizás incluso anterior. La base de tal razonamiento es la fecha de compilación del malware, que sería el 31 de agosto de 2007.

Aunque la mayoría de los programas antivirus ya han sido actualizados y protegen contra las infecciones causadas por Stuxnet y Duqu, para sus creadores no es problemático ajustar el código de forma que las nuevas variantes no sean detectadas, al menos inicialmente, concluye Kaspersky.

Anuncios

Mediante agujero desconocido en el kernel de Windows

Duqu causó gran interés entre las empresas de seguridad informática por tratarse de una amenaza vinculada directamente al temido gusano Stuxnet, diseñado el gobierno israelí para el sabotaje de sistemas industriales.

El troyano para Windows, Duqu, extrae información de los sistemas infectados, supuestamente para preparar ataques contra terceros. Aunque Duqu funciona de manera distinta al gusano Stuxnet, parte de su código fuente sería idéntica al de Stuxnet, lo que sugeriría la misma autoría.

Hasta ahora se había desconocido la forma en que el troyano logró infectar un número limitado de empresas, que incluye a fabricantes de sistemas industriales de control.

Agujero desconocido en Windows
Los mismos investigadores de la Universidad Técnica de Budapest, que inicialmente detectaron a Duqu, han revelado ahora la forma en que el troyano fue instalado subrepticiamente en los sistemas intervenidos.

El grupo de académicos, denominado CrySys, ha revelado el primer ejemplo concreto, señalando que el código fue oculto en un documento de Word, que aprovecha una vulnerabilidad hasta ahora desconocida en el kernel de Windows, según informa Symantec en un post de su blog oficial, publicado el 1 de noviembre.

Lo anterior implica que el ataque es iniciado enviando un archivo Word infectado a la potencial víctima. Cuando el documento es abierto se instalan los archivos binarios del troyano en el PC.

Symantec ha publicado la siguiente representación gráfica de la instalación del troyano:

De acuerdo con un informe de Symantec, los atacantes liberaron más de 286 millones de programas maliciosos diferentes en 2010 y en junio de este año, 1 de cada 286.7 mensajes de correo incluía alguna forma de phishing, mientras que el porcentaje global de virus contenidos en el tráfico de correo electrónico fue de 1 de cada 300.7 mensajes.

La mayoría de los ciberataques tiene como objetivo obtener información crítica de los usuarios y de las organizaciones como los secretos industriales, los planes de productos, y los resultados de investigaciones, entre otros, misma que después puede ser comercializada en el mercado negro.

Además, en promedio, existen aproximadamente 5.415 sitios web que hospedan diariamente software malicioso y otros programas potencialmente no deseados, entre los que se incluye spyware y adware; lo que representa un incremento del 70.8 por ciento comparado con mayo de 2011.

Si hablamos de ataques de phishing por sectores, el sector público fue el más atacado con 1 de cada 83.7 mensajes de este tipo, seguido del sector educativo con 1 de cada 151.4 y el sector financiero con 1 de cada 160.8.

Este escenario ha creado un desafío para las organizaciones que emplean soluciones de seguridad tradicionales basadas en firmas ya que es prácticamente imposible seguirle el ritmo al creciente volumen de ataques. Por ello, y pensando en las necesidades actuales, Symantec anunció Symantec Endpoint Protection 12, la nueva versión de la solución de protección para endpoints de organizaciones de todos los tamaños, disponible para el mercado hispanohablante.

Febrero 2011

Los volúmenes de integración de familias de malware a lo largo de redes estuvieron sobre lo normal.

Symantec Corp. anunció la publicación del Reporte de MessageLabs Intelligence correspondiente al mes de febrero de 2011.

El análisis revela que durante febrero, 1 de cada 290 correos electrónicos (0,345%) fue malintencionado, lo que convirtió a este mes en uno de los más prolíficos en ataques simultáneos y ataques compuestos perpetrados por importantes amenazas cibernéticas como Zeus (también conocido como ameZbot), Bredolab y SpyEye.

También en febrero, hubo al menos 40 variantes de malware relacionadas con el troyano Bredolab, que representó 10.3 por ciento del malware transmitido por correo electrónico bloqueado por MessageLabs Intelligence. Estos últimos hallazgos revelan que, contrario a creencias recientes, Bredolab no está muerto y las técnicas asociadas anteriormente con este malware son ahora más comunes que otras familias importantes de malware.

A principios de febrero, los ataques aumentaron en número y estas familias de malware se utilizaron agresivamente para llevar a cabo ataques simultáneos a través de técnicas de propagación, lo que determina la probabilidad de un origen común de estos mensajes de correo electrónico infectados.

“Parece que estos ataques en curso se alternan entre lo que históricamente han sido familias diferentes de malware. Por ejemplo, un día está dedicado a propagar principalmente las variantes de Zeus (conocido como ZBot), mientras que al día siguiente, las variantes de SpyEye. Al 10 de febrero, estos ataques se habían multiplicado más y se estaban propagando simultáneamente con cada familia de malware utilizando su propio empaquetador polimorfo para evadir la detección antivirus tradicional”, dijo Paul Wood, Analista Senior, MessageLabs Intelligence.

Aunque la gran mayoría de ataques se relacionaba con Zeus y SpyEye, muchos ataques comparten elementos comunes con el conocido troyano Bredolab, lo que indica que algunas de las características asociadas a Bredolab fueron utilizadas por Zeus y SpyEye. Todos estos ataques empleaban un archivo ZIP adjunto que contenía un ejecutable que comprendía el código de malware. En febrero, 1.5 por ciento del malware bloqueado contenía archivos adjuntos ZIP y un mayor análisis reveló que 79.2 por ciento de éste estaba relacionado con la última ola de ataques de Bredolab, Zeus y SpyEye.

Fuente: Symantec Corp.

Por referencias bíblicas, entre otras cosas
Nuevos detalles sobre el peligroso gusano Stuxnet apuntan hacia Israel. Stuxnet es el primer gusano conocido que espía y reprograma sistemas industriales, pudiendo afectar a infraestructuras críticas como centrales nucleares.

Symantec ha publicado un informe de 49 páginas sobre el gusano Stuxnet, inicialmente usado para sabotear instalaciones industriales en Irán. Aunque la mayor parte de las infecciones han ocurrido en ese país, durante los últimos días ha trascendido que también China se ha visto afectada.

En su informe, Symantec menciona una serie de detalles que apuntarían hacia Israel como posible origen del código maligno. Esta situación en sí no causa sorpresa, ya que Israel ha creado una unidad militar secreta encargada de ciberguerra.

Symantec ha detectado dos nombres de archivos en el código de Stuxnet; “myrtus” y “guava”, que probablemente hacen referencia a relatos del Antiguo Testamento. La empresa de seguridad informática encontró además el valor numérico “19790509” en el código, que podría hacer referencia a la fecha 9 de mayo de 1979, día en que un judío persa fue ejecutado en Irán.

Cabe señalar que estos indicios también podrían haber sido instalados deliberadamente por los autores del gusano con el fin de dirigir la atención hacia Israel.

Con todo, el informe de Symantec contiene varios datos interesantes. Stuxnet intenta infiltrar el software de control de instalaciones industriales de Siemens, WinCC/Step 7, pero dedicándose a una configuración exclusiva del sistema. Symantec intenta detectar donde es usada tal configuración específica. La empresa indica que la función “de comando y control” que hace posible controlar el gusano una vez instalado ya no está disponible, pero que sigue siendo posible controlar el código mediante tecnología P2P (peer-to-peer).

Symantec informa además que el gusano no está diseñado para comunicarse mediante Internet, sino es distribuido principalmente mediante memorias USB, y que su cometido fundamental es sabotear los sistemas infiltrados.

Las características de Stuxnet llevaron a Eugene Kaspersky, presidente de Kaspersky Labs, a señalar que el gusano es el pistoletazo de salida a una nueva guerra ciber-armamentista en el mundo.

Fuentes: Symantec y Wikipedia

Lindsay Lohan y Eclipse

Los ciberdelincuentes aprovecharon una vez más temas de interés para infectar decenas de páginas con virus legítimos y falsos, spyware, keyloggers y otros programas maliciosos con el fin de obtener acceso a computadores para robar información personal.

Un caso es el resultado de la investigación sobre la tercera película de la saga de vampiros, Eclipse, que ya representa el 50% de los resultados de búsqueda con links maliciosos. Otro ejemplo es el arresto de Lindsay Lohan, quien se entregó a la policía para cumplir una sentencia de cárcel de 90 días por violar la libertad condicional. Los criminales cibernéticos han visto una vez más la curiosidad de la gente y especialmente de los niños por estos dos criterios de búsqueda en internet.

Los niños están más propensos a caer en este tipo de estafa, ya que, según un estudio realizado por Symantec, Norton Family Online Report, el 19% de ellos simplemente hace clic en la recepción, sin preocuparse por la seguridad.

Con el fin de prevenir esto, los expertos de Norton dan algunos consejos sobre cómo protegerse de las amenazas en línea relacionadas con Lindsay Lohan y el equipo de Edward, Jacob y Bella:

– ¡Las fotos de Lindsay en la cárcel y fotos de Rob Pattinson con poca ropa pueden ser llamativas! No crea todo lo que lee. Los criminales cibernéticos utilizan títulos sensacionalistas para inducir a hacer clic en el link infectado.

– Utilice una herramienta de seguridad que puede identificar si los resultados de la investigación están contaminados.

– No hacer clic en los enlaces y vídeos enviados por amigos en los sitios de redes sociales.

Fuente: Symantec.

Incremento de un 27%

A la fecha, Symantec ha identificado diferentes tipos de engaños, phishing y spam que contiene archivos adjuntos maliciosos relacionados con el evento deportivo más grande del año.

El spam sobre la Copa del Mundo 2010 de la FIFA se ha incrementado en cerca de 27% de acuerdo con Symantec.

De acuerdo con especialistas de Symantec Security Response en estos días, los usuarios podrían recibir varios tipos de spam, como ofertas para boletos, videos falsos que supuestamente muestran las mejores jugadas pero en su lugar distribuyen malware y ofertas engañosas sobre productos oficiales de la FIFA.

“Nosotros observamos los primeros engaños relacionados con el tema de la Copa del Mundo 2010 hace cinco años, es decir, en 2005, cuando se anunció que Sudáfrica sería la sede del Mundial de Fútbol 2010. Sin embargo, el alto volumen de correos engañosos o falsos se ha incrementado significativamente en los últimos doce meses”, dijo Paulo Vendramini, gerente de Ingeniería de Symantec para América Latina.

Symantec sigue analizando el spam relacionado con la FIFA y ha identificado algunas palabras obvias usadas en los correos (encabezado, contenido, etc.), entre las que se encuentran “FIFA 2010″, “2010 FIFA”, “Football World Cup”, y “FIFA World Cup”.

“Mes a mes el spam ha aumentado conforme se acerca la fecha de inicio del Mundial. Si comparamos el volumen de spam registrado alrededor del tema de la Copa del Mundo de abril a mayo, éste ha aumentado 27%”, dijo Vendramini.

Fuente: Symantec.