Los 5 mejores Malwares que sacudieron al mundo en 2016
[ImageCredit: NextGov.com]
- Cómo prevenir el ransomware Koler
- ¿Cómo se detectan los virus?
- ¿Cómo elimino el virus a través de Kaspersky Antivirus?
- ¿Cómo elimina Kaspersky el antivirus?
- Cómo evitar que otra persona rastree lo que busco en mi computadora portátil
El malware nunca muere.
En su último índice de amenazas, Check Point informó un aumento del 61% en las familias de malware activo que atacan a las empresas entre enero y junio de 2016.
Con más de un cuarto de billón de cámaras CCTV en todo el mundo, así como el continuo crecimiento de otros dispositivos IoT, las nuevas variantes de malware que aprovechan la infraestructura de IoT han crecido enormemente.
Un patrón consistente que observa es el aumento del malware IoT dirigido a dispositivos integrados que no son de PC. Con el surgimiento de automóviles sin conductor, dispositivos de borde, sistemas de red inteligente, monitores para bebés, sistemas domésticos inteligentes, etc., los vectores de ataque Debido a que son accesibles a Internet, estos dispositivos integrados a menudo están diseñados para ser enchufados y olvidados por los propietarios de dispositivos y estos Por lo general, los dispositivos de IoT no son examinados por la seguridad presentan una oportunidad única y fácil para los atacantes.
Aquí están los 5 principales malwares de 2016 clasificados de menos peligrosos a extremadamente peligrosos.
5. Cerber Ransomware
Cuando sucedió: abril de 2016
Impacto: utilizando las botnets Dridex, expulse millones de mensajes de spam dirigidos por día
¿Cómo funciona el malware?
En febrero, Cerber, que es mejor conocido por su alto factor de arrastre en el uso de texto a voz para “hablar” su nota de rescate a las víctimas, fue visto por primera vez en la naturaleza.
Según FireEye, “el ransomware Cerber sigue el mismo marco de spam que Dridex”. Los objetivos son correos electrónicos enviados con un archivo adjunto disfrazado de una factura que contiene VBScript malicioso. Una vez que el usuario abre el documento, se le pedirá que habilite las macros. La macro descarga las descargas macro e instala el VBScript en la ruta% appdata% de la PC de destino.
Cerber olfatea si una víctima tiene conexión a Internet. Si es así, es cuando se entrega la última pieza del ransomware Cerber. “En los encabezados de solicitud HTTP, establece el valor del encabezado de rango en:” bytes = 11193- “. Esto indica al servidor web que devuelva solo el contenido que comienza en el desplazamiento 11,193 del archivo JPG ”, escribió FireEye.
Cerber generalmente apunta a correo electrónico, documentos de Word y archivos relacionados con juegos que añaden archivos cifrados con la extensión de archivo ‘.cerber’. Las víctimas son dirigidas a visitar varias versiones del dominio “decrypttozxybarc”.
Lecciones aprendidas:
1. Use la puerta de enlace de correo electrónico o la herramienta de filtrado de contenido / spam para detener cualquier VBScript malicioso como en este caso que podría haberse evitado en el perímetro o la puerta de enlace DMZ.
2. Aplique procesos de respuesta a incidentes, inteligencia de amenazas y análisis forense digital para investigar entornos empresariales vulnerados y contener esos ataques rápidamente de grupos APT, sindicatos del crimen organizado o cualquier otro hacktivista.
3. Como parte de su sólida defensa de punto final, su solución de punto final debe tener la capacidad de integrarse con su solución de inteligencia de amenazas y registros de feeds. Estos registros deberían proporcionar visibilidad y ayudar a su equipo de monitoreo y respuesta a contener el ataque.
4. El equipo de búsqueda de su organización debería poder detectar todas estas amenazas, encontrar e investigar miles de indicadores dinámicos de amenazas y evitar que sigan adelante.
4. LizardStresser (Bashlite, Gafgyt, Torlus, Lizkebab)
[ImageCredit: TechWorm]
Cuando sucedió: junio de 2016
Impacto: uso de 1300 cámaras web y ataques de hasta 400 Gbps; Dos grandes bancos brasileños, dos telecomunicaciones brasileñas, dos agencias gubernamentales brasileñas y tres grandes compañías de juegos de Estados Unidos.
¿Cómo funciona el malware?
LizardStresser es una botnet DDoS escrita en C y diseñada para ejecutarse en Linux.
También se sabe que esta no es una nueva variante de malware. En 2014, Bashlite explotó el error del software Shellshock para explotar los dispositivos que ejecutan BusyBox.
Las botnets LizardStresser llevan a cabo lo que se llama ataques de fuerza bruta telnet donde los piratas informáticos intentan iniciar sesión en direcciones IP aleatorias con una lista codificada / predeterminada de nombres de usuario y contraseñas. Una vez que se accede al dispositivo IoT, un servidor de comando y control envía el código de botnet a la cámara web.
Los ataques de amplificación son una forma para que un atacante aumente la cantidad de ancho de banda que puede apuntar a una posible víctima. Sin embargo, lo único del ataque LizardStresser IoT es que esta botnet puede lanzar ataques de hasta 400 Gbps sin ninguna amplificación.
Según ASERT, el 90 por ciento de los hosts tenían un título HTML de “NETSurveillance WEB”. Los investigadores de Arbor Networks creen que el código genérico de la interfaz web de NetSurveillance es utilizado por una gran cantidad de cámaras web con acceso a Internet.
Lecciones aprendidas:
1. No utilice ningún nombre de usuario y contraseña predeterminados proporcionados por el proveedor de IoT
2. Proteja la infraestructura de los ataques que apuntan a IoT como un vector en los activos de una organización, mediante el uso de controles de ciclo de vida del dispositivo IoT y un enfoque de seguridad en capas
3. Comprender y abordar las preocupaciones de privacidad de las partes interesadas antes de la implementación de las capacidades de IoT mediante la realización de una evaluación de impacto de privacidad
4. Actualice los dispositivos IoT con parches de seguridad tan pronto como estén disponibles.
5. Algunos dispositivos IoT no tienen capacidades de autenticación, mientras que otros tienen soporte limitado. Planifique cómo puede ampliar sus soluciones corporativas de encriptación y autenticación para dispositivos específicos de IoT para que pueda aplicar perfiles específicos de dispositivo
6. Incluya actividades de respuesta a incidentes basadas en IoT como parte de su plan general de respuesta a incidentes
7. Deshabilite Universal Plug and Play (UPnP) en los enrutadores a menos que sea absolutamente necesario
3. ProjectSauron APT
Cuando sucedió: agosto de 2016
Impacto: más de 30 organizaciones de víctimas (agencias gubernamentales, empresas de telecomunicaciones, organizaciones financieras, centros militares y de investigación) en Rusia, Irán, Ruanda, China, Suecia, Bélgica e Italia
¿Cómo funciona el malware?
La plataforma de ataque, por ejemplo, es un marco modular llamado Remsec que una vez desplegado permite el movimiento lateral, el robo de datos y la inyección de más código de ataque. La plataforma Remsec utiliza un motor de secuencias de comandos Lua para implementar la plataforma central y sus complementos. Una característica impresionante de ProjectSauron es su uso de algoritmos de cifrado fuertes, específicamente RC6, RC5, Salsa20 y otros.
Kaspersky Lab señaló que “ProjectSauron personaliza sus implantes e infraestructura para cada objetivo individual, y nunca los reutiliza. Este enfoque, junto con múltiples rutas para la exfiltración de datos robados, como canales de correo electrónico legítimos y DNS, permite a ProjectSauron llevar a cabo campañas de espionaje secretas a largo plazo en redes objetivo ”.
Este APT roba claves de cifrado, archivos de configuración y direcciones IP de los servidores de infraestructura clave relacionados con el software de cifrado. Los implantes utilizados en estos ataques funcionaron como puertas traseras que instalan nuevos módulos o ejecutan comandos. Cada implante es único, con nombres de archivo únicos y tamaños y misiones tales como robar documentos, registrar pulsaciones de teclas o robar claves de cifrado de discos locales y adjuntos.
Kaspersky Lab también señaló que “de esta manera, el módulo de puerta trasera pasiva ProjectSauron se inicia cada vez que cualquier usuario de la red o local (incluido un administrador) inicia sesión o cambia una contraseña, y recoge la contraseña en texto sin formato”.
“Para evitar la detección genérica de túneles DNS a nivel de red, los atacantes lo usan en modo de ancho de banda bajo, por lo que se utiliza únicamente para filtrar metadatos del sistema de destino”, dijo Kaspersky Lab en su informe.
Puede ver el típico círculo vicioso “entrada-explotación-infección-ejecución” como se ve con cualquier APT.
Lecciones aprendidas:
1. Ninguna herramienta es particularmente capaz de resistir estos ataques APT avanzados. Integre sus soluciones de protección de punto final y defensa perimetral con servicios de inteligencia de amenazas
2. Aproveche estas herramientas CLI como autorunsc, psexec, triage-ir, IOCFinder, etc. para descubrir los mecanismos de persistencia de un adversario para permitir que el malware continúe ejecutándose en un sistema incluso después de reiniciar
3. Busque los indicadores de compromiso (C2, nombres de archivo, cadenas en memoria, sniffer de red, etc.). Más detalles se pueden encontrar aquí.
4. Como siempre hay un elemento de spear phishing o ataques del lado del cliente, asegúrese de que el personal de su organización comprenda y practique prácticas responsables de seguridad cibernética
2. Malware de HummingBad
Cuando sucedió: julio de 2016
Impacto: 85 millones de dispositivos móviles vulnerables; Desconocido cuantos fueron afectados
¿Cómo funciona el malware?
HummingBad es un malware de Android que establece un rootkit persistente en el dispositivo, instala aplicaciones fraudulentas y permite actividades maliciosas adicionales, como instalar un registrador de claves, robar credenciales y omitir los contenedores de correo electrónico cifrados utilizados por las empresas.
Se informó que 85 millones de dispositivos móviles eran vulnerables. Skycure descubrió que en las grandes empresas el 3% de todos los dispositivos iOS están infectados con este malware.
Piense en los datos empresariales en estos dispositivos que tienen dos propósitos personales y laborales. Este malware obtiene “acceso de root” a Android y luego llama (C&C) a un servidor controlado por Yingmob, podría usarse para hacer prácticamente cualquier cosa que el atacante quiera, desde espiar su información personal hasta robar sus datos de inicio de sesión bancario.
Las versiones anteriores de Android como Jelly Bean (4.1 a 4.3) y KitKat (versión 4.4.x) tienen un mayor riesgo de explotar root.
Según Checkpoint, “otras empresas de investigación han asociado Yingmob con un malware iOS llamado Yispecter”.
Además, HummingBad y Yispecter compartieron las mismas direcciones de servidor de C&C y Yispecter utilizó los certificados empresariales de Yingmob para instalarse en los dispositivos.
Lecciones aprendidas:
1. Use una solución MDM empresarial y pueda hacer un inventario adecuado de sus activos empresariales (dispositivos móviles en este caso)
2. Usando una solución MDM, aplique una política empresarial para permitir que solo las aplicaciones confiables y esas aplicaciones se descarguen solo desde Google Play Store
3. Implemente una solución segura en contenedores y datos corporativos seguros en dispositivos móviles personales
4 Asegúrese de que el personal de su organización conozca las prácticas responsables de seguridad cibernética e informe a su equipo de seguridad de inmediato para informar cualquier notificación falsa de actualización del sistema o cualquier cosa sospechosa con sus dispositivos móviles empresariales.
1. Mirai botnet
Cuándo sucedió: septiembre, octubre, noviembre de 2016
Impacto: 1 ataque de Tbps en el proveedor web francés OVH; Más de 0.9 millones de enrutadores Deutsche Telekom forzados fuera de línea;
¿Cómo funciona el malware?
Mirai llegó a la atención pública por primera vez cuando se usó en un gran ataque DDoS contra el sitio web del periodista Brian Krebs, que alcanzó 620 Gbps, el 20 de septiembre. Después de los ataques de Krebs mencionados anteriormente, que fue un récord en ese momento, se usó Mirai en un ataque contra la empresa de hosting francesa OVH que alcanzó un máximo de 1 Tbps. El código fuente de la botnet fue lanzado públicamente en la comunidad de piratas informáticos Hackforums por un usuario que usaba el nombre de pantalla Anna-senpai.
Mirai trabaja escaneando continuamente dispositivos IoT que estén protegidos solo por nombres de usuario y contraseñas predeterminados de fábrica.
El análisis realizado por Symantec de muestras recientes de Mirai ha encontrado que el malware está configurado para usar una lista de al menos 62 combinaciones de nombre de usuario y contraseña, la mayoría de las cuales son credenciales predeterminadas comúnmente utilizadas para dispositivos IoT.
Lecciones aprendidas:
1. No utilice ningún nombre de usuario y contraseña predeterminados proporcionados por el proveedor de IoT.
2. Desactive el inicio de sesión Telnet y use SSH cuando sea posible
3. Desactive o proteja el acceso remoto a dispositivos IoT cuando no sea necesario
4. Comprender y abordar las inquietudes de privacidad de las partes interesadas antes de la implementación de las capacidades de IoT mediante la realización de una evaluación de impacto de privacidad
5. Proteja la infraestructura de los ataques que apuntan a IoT como un vector en los activos de una organización, mediante el uso de controles de ciclo de vida del dispositivo IoT y un enfoque de seguridad en capas
6. Actualice los dispositivos IoT con parches de seguridad tan pronto como estén disponibles.
7. Algunos dispositivos IoT no tienen capacidades de autenticación, mientras que otros tienen soporte limitado. Planifique cómo puede ampliar sus soluciones corporativas de encriptación y autenticación para dispositivos específicos de IoT para que pueda aplicar perfiles específicos de dispositivo
8. Incluya actividades de respuesta a incidentes basadas en IoT como parte de su plan general de respuesta a incidentes
9. Desactive Universal Plug and Play (UPnP) en los enrutadores a menos que sea absolutamente necesario
En resumen, si bien ha habido menos malware tradicional (virus y gusanos), también ha habido un aumento en el ecosistema IoT (termostatos, monitores para bebés, cámaras IP, enrutadores, etc.), lo que contribuyó a ataques de malware altamente específicos y sofisticados . También estamos viendo gran cantidad de ransomware y APT que una vez que tuvieron éxito en su misión se autodestruyen sin dejar rastro y tiempo para que los proveedores de antivirus identifiquen, detecten e implementen cualquier contramedida.
Inicie un enfoque global para combatir las amenazas de seguridad compartiendo información sobre amenazas con los proveedores de seguridad y los profesionales de su industria. ¡El malware debe morir!
