Mala configuración, el riesgo número uno para los entornos cloud

Gartner predice que para 2021, más del 75% de las organizaciones medianas y grandes habrán adoptado una estrategia de TI multi-nube o híbrida1. A medida que las plataformas de nube se vuelven más frecuentes, los equipos de TI y de desarrollo se enfrentan a problemas e incertidumbres adicionales relacionados con la seguridad de sus aplicaciones en la nube.

Este informe reafirma que las configuraciones incorrectas son la causa principal de los problemas de seguridad en la nube. De hecho, Trend Micro Cloud One – Conformity identifica 230 millones de configuraciones erróneas en promedio cada día, lo que demuestra que este riesgo es frecuente y generalizado.

“Las operaciones basadas en la nube se han convertido en la regla y no en la excepción, y los cibercriminales se han adaptado para aprovechar los entornos de nube mal configurados o gestionados”, dijo Greg Young, vicepresidente de ciberseguridad de Trend Micro. “Creemos que la migración a la nube puede ser la mejor manera de solucionar los problemas de seguridad al redefinir el perímetro de TI y los endpoints de las empresas. Sin embargo, eso solo puede ocurrir si las organizaciones siguen el modelo de responsabilidad compartida para la seguridad en la nube. Tomar el ownership de los datos de la nube es primordial para su protección, y estamos aquí para ayudar a las empresas a tener éxito en ese proceso”.

La investigación encontró amenazas y debilidades de seguridad en varias áreas clave de los equipos basados en la nube, que pueden poner en peligro las credenciales y los secretos de la empresa. Los delincuentes que se aprovechan de las malas configuraciones han atacado a las empresas con programas de ransomware, cryptomining, e-skimming y exfiltración de datos.

Tutoriales en línea engañosos agravaron el riesgo para algunas empresas, lo que condujo a credenciales y certificados en la nube mal administrados. Los equipos de TI pueden aprovechar las herramientas nativas de la nube para ayudar a mitigar estos riesgos, pero no deben depender únicamente de estas herramientas, concluye el informe.

Trend Micro recomienda varias prácticas adecuadas para ayudar a asegurar las implementaciones de la nube:

• Utilizar controles de privilegios mínimos: restringir el acceso solo a aquellos que lo necesitan.
• Comprender el Modelo de Responsabilidad Compartida: Aunque los proveedores de la nube cuentan con seguridad incorporada, los clientes son responsables de asegurar sus propios datos.
• Monitoreo de sistemas mal configurados y expuestos: Herramientas como Conformity pueden identificar rápida y fácilmente errores en las configuraciones en sus entornos de nubes.
• Integrar la seguridad en la cultura de DevOps: La seguridad debe ser incorporada en el proceso de DevOps desde el principio.

El informe completo puede ser descargado desde el sitio de Trend Micro  (documento PDF de 38 páginas; la descarga no requiere registro).

Tomado de: Diario TI

Utilizan vulnerabilidad zero-day de Adobe Flash para atacar a gobiernos

Adobe Flash. Imagen tomada de: TheInquirer.

El equipo de investigación de Trend Micro ha descubierto que los atacantes que están detrás de Pawn Storm están utilizando un nuevo exploit zero-day en Adobe Flash en su última campaña. Pawn Storm es una campaña de ciberespionaje de larga duración conocida por dirigirse a objetivos de perfil alto y por emplear la primera vulnerabilidad zero-day vista en Java en los dos últimos años.

En esta reciente campaña, Pawn Storm se dirigía a varios Ministerios de Asuntos Exteriores de todo el mundo. Los objetivos recibieron correos electrónicos de spear phishing que contenían enlaces conducentes al exploit. Los emails y direcciones URL fueron creados manualmente para información sobre temas de actualidad, empleando asuntos en el mensaje de correo electrónico que contienen los siguientes temas:

• “Un suicida con coche bomba se dirige al convoy de tropas de la OTAN en Kabul”
• “Las tropas sirias ganan terreno mientras Putin defiende con ataques aéreos”
• “Israel lanza ataques aéreos contra objetivos en Gaza”
• “Rusia advierte que responderá a Estados Unidos sobre la acumulación de armas nucleares en Turquía, Europa”
• “El ejército de Estados Unidos informa que 75 rebeldes entrenados por Estados Unidos regresan a Siria”

Según Trend Micro, las direcciones URL que alojan el exploit zero-day de Flash son similares a las URL observadas en los ataques dirigidos contra miembros de la Organización del Tratado del Atlántico Norte (OTAN) y de la Casa Blanca en abril de este año.

Los Ministerios de Asuntos Exteriores se han convertido en un particular foco de interés de Pawn Storm recientemente. Junto a los ataques de malware, también se han instalado en los diversos ministerios servidores Outlook Web Access (OWA) falsos. Estos se utilizan para perpetrar ataques de phishing de credenciales muy simples, pero extremadamente eficaces. Uno de los Ministerios de Asuntos Exteriores tenía sus configuraciones DNS para el correo entrante comprometidas. Esto significa que Pawn Storm ha estado interceptando el correo electrónico entrante a esta organización durante un prolongado período de 2015.

Según los análisis realizados por Trend Micro, el fallo zero-day en Flash afecta al menos a las versiones de Adobe Flash Player 19.0.0.185 y 19.0.0.207.

Trend Micro ya ha notificado a Adobe este hallazgo y está trabajando conjuntamente con Adobe para resolver este problema de seguridad. De paso, la empresa menciona que sus productos Trend Micro Deep Security y Vulnerability Protection protegen los sistemas de los usuarios de las amenazas que pueden aprovechar esta vulnerabilidad zero-day en Adobe Flash.

Tomado de: DiarioTI

Qué se oculta tras la misteriosa 'Internet profunda'

Datos en la red. Imagen tomada de: Vanguardia.com

La Internet profunda o 'Deep Web', ese gran espacio virtual que escapa el control de buscadores convencionales y que sería unas 400 veces más grande que el visible, esconde todo un mundo de actividades que buscan anonimato mientras que aumentan las ilícitas, según un informe de expertos en ciberseguridad. 

De ahí que sea un entorno ideal para realizar actividades criminales, así como para disidentes que evitan ser controlados. 

Más del 25% de vínculos entre la Internet oculta y la visible tienen fines de explotación infantil y pornografía, según el reciente informe de Trend Micro llamado Por debajo de la superficie: exploración de la Deep Web ('Below the Surface: Exploring the Deep Web'). 

Otro dato destacado es el precio de 180.000 dólares por asesinar a una personalidad o político que se oferta en sitios web de grupos cibercriminales en esta Internet profunda.

Cómo acceder

Para obtener información de esta 'Deep Web' aparentemente inexpugnable, los investigadores de Trend Micro utilizaron su sistema denominado Analizador de Deep Web (DeWa). 

DeWa recopila las URL vinculadas a 'Deep Web', incluyendo Tor y sitios I2P ocultos y los identificadores de recursos Freenet, tratando de extraer información relevante vinculada a ellos, como contenido de la página, enlaces, direcciones de correo electrónico, encabezados HTTP, y así sucesivamente.

Este sistema también alerta cuando aumenta mucho el tráfico de servicios ocultos y su número de sitios, algo especialmente útil cuando se buscan nuevas familias de 'malware' o código malicioso de cibercriminales que utilizan los servicios ocultos de la red Tor para esconder las partes más permanentes de sus infraestructuras. 

Las drogas blandas, especialmente cannabis, son la mercancía más intercambiada en esta Internet oculta, seguidas de productos farmacéuticos como Ritalin y Xanax, drogas duras, e incluso los juegos piratas y cuentas en línea. 

El 32% de los bienes que se comercializan en las quince tiendas 'top' o más importantes en la 'Deep Web' se relaciona con cannabis; el precio que se pide por conseguir la ciudadanía estadounidense en sitios especializados en crear pasaportes es de 5.900 dólares. 

La compra de una cuenta robada de eBay o PayPal en una de las tiendas que las venden en la 'Deep Web' cuesta cien euros; el 34% de las URL o direcciones que contienen "malware" en la web visible (la habitual para el internauta de a pie) tiene conexiones con la Internet profunda. 

El analista David Sancho, investigador de amenazas de Trend Micro en el área de 'Deep Web', ha explicado que, cuando se habla del volumen de actividad en la Web Profunda no sólo se tiene en cuenta el número de páginas alojadas sino también su número de servicios ocultos. Por ejemplo de servidores, centros de control de botnets (redes de ordenadores zombi), etc. 

Estos últimos, además de servir para diseminar información de perfil ilegal o prohibida, como la relacionada con pornografía, explotación y abusos infantiles o terrorismo, se usan también para venta de bienes y servicios al margen de la ley (comercialización de armas o drogas y servicios como el "hacking" o pirateo informático y asesinatos). 

En su opinión, la 'Deep Web' se está volviendo "más popular" tanto para usuarios que desean acceder a contenidos ilegales, alegales o prohibidos en sus respectivas jurisdicciones, como para los atacantes que alojan centros de comando de ataques.

Tomado de: 20minutos

Trend Micro anuncia proyecto de investigación y análisis de la Deep Web

Datos en la red. Imagen tomada de: Vanguardia.com

En octubre de 2013, luego de dos años de investigación, el FBI desmanteló Silk Road, deteniendo además a Ross Ulbricht, alias Temido Pirata Roberts, quien fuera el fundador y operador del mercado ilegal de narcóticos que operaba en la Deep Web, fue sentenciado no a una, sino a dos cadenas perpetuas en mayo de 2015.

Durante muchos años, el multimillonario mercado negro liderado por Ulbricht fue el primero en su tipo. Silk Road consistía de una plataforma en el que se traficaban drogas en línea y se lavaba dinero al mismo tiempo. Sin embargo, los expertos en seguridad coinciden en que definitivamente no será el último, advierte Trend Micro, informando que ya existen sitios que tratan de imitarlo como Agora, Silk Road 2 y Evolution, los cuales surgieron a raíz de la clausura de Silk Road. La empresa ha analizado con anterioridad las diferentes redes que garantizan el acceso anónimo y no rastreable al contenido de la Deep Web, y entre las cuales destaca la tristemente célebre red TOR.

La Deep Web es el segmento no indexado de Internet, y es invisible para los usuarios comunes debido a que no es posible llegar a sus páginas y elementos mediante el uso de los motores de búsqueda. Con frecuencia la Deep Web se asocia con TOR, Freenet y otras redes anónimas, las cuales se pueden clasificar como darknets (redes oscuras) y son parte de la Dark Web, una sección de la Deep Web que requiere de herramientas y equipo altamente especializados para poder tener acceso.

La Deep Web puede describirse como una operación minera subterránea en términos de escala, volatilidad y acceso. Hay ciertas partes de la Deep Web a las que no se puede tener acceso a través de los medios tradicionales, lo que la hace un paraíso digital seguro para los criminales cibernéticos o para quienes buscan un lugar para comercializar productos y servicios ilegales.

Por ejemplo, es posible adquirir drogas ilícitas en la Deep Web, pero el contrabando no es lo único que busca la gente. Trend Micro ha descubierto que los usuarios también pueden encontrar en esta red clandestina actividades como las siguientes:

• Servicios de lavado de dinero y de Bitcoins que permite a los usuarios intercambiar la moneda virtual por mercancías o servicios.
• Venta de cuentas y credenciales robadas. Por ejemplo, comprar 100 cuentas robadas de eBay o PayPal puede costar 100 dólares.
• Venta de pasaportes y nacionalidades con un precio de hasta 5,900 dólares.
• Información confidencial filtrada de gobiernos, organizaciones de seguridad y celebridades.
• Contratación de asesinos a sueldo, cuyo precio va desde los 180 mil dólares.

Es importante mencionar que éstos son sólo algunas de las cosas que pueden traficarse en la Deep Web.

Además del comercio de productos y servicios ilegales, los criminales también utilizan a la Deep Web para llevar a cabo sus operaciones. Por ejemplo, se ha observado que utilizan TOR como parte de la configuración del malware de amenazas relevantes como VAWTRAK y CryptoLocker, y lo hacen con el fin de evitar ser detectados.

La investigación titulada Bajo la Superficie: Explorando la Deep Web y el video realizado por los expertos de Trend Micro, analiza la dualidad de la Deep Web sobre cómo su capacidad de proteger el anonimato puede utilizarse para comunicarse libremente, lejos de la censura y las organizaciones policiacas, o utilizarse para acelerar persecuciones dudosas o criminales. También aborda brevemente el impacto de la Deep Web en el mundo real, y hace un pronóstico de cómo podría evolucionar en los próximos años.

“Sin duda, el anonimato en la Deep Web seguirá planteando muchos desafíos para los gobiernos, las empresas y los usuarios finales, además de ser un punto de interés tanto para los agentes de la ley que investigan actos criminales, así como también para los usuarios de Internet que quieren eludir la vigilancia y la intervención de los gobiernos en la comunicación de internet” afirmó, Juan Pablo Castro, Director de Innovación Tecnológica de Trend Micro México.

El nuevo informe de Trend Micro constituye una actualización del informe “Deep Web y Cibercrimen: Más allá de Silk Road”, presentado en octubre de 2013.

Para más información sobre la Deep Web y el Cybercriminal Underground, visite la sección Deep Web del Threat Intelligence Center de Trend Micro.

Tomado de: Diario TI

Cómo detectar fraudes en las redes sociales profesionales

Imagen: © Trend Micro. Tomada de: DiarioTI

LinkedIn, con 364 millones de usuarios activos en todo el mundo, se ha convertido en uno de los servicios de redes sociales profesionales más populares a día de hoy. Viadeo, un servicio similar, también está registrando un constante aumento de su base de usuarios, que ya ronda los 65 millones. 

Con tanta gente publicando sus perfiles profesionales online, es natural que los atacantes tomen nota y hagan algo con esos datos. En las manos equivocadas, ese tipo de información puede ponerle a usted o a su empresa en riesgo.

A continuación, Trend Micro ofrece una serie de consejos para detectar si alguien está tratando de engañarle para que divulgue información confidencial de la empresa.

¿Quién querría engañarle en las redes sociales profesionales?

1. Los atacantes / creadores de APT. Estos agentes buscan obtener cualquier tipo de información que puedan utilizar para infiltrarse en la red de la empresa. Utilizarán técnicas de ingeniería social para tratar de llamar la atención para que acepte sus invitaciones. Es probable que también envíen mensajes de correo electrónico con archivos adjuntos o enlaces maliciosos, que terminarán infectando tu equipo con malware. Una vez instalado, el malware, que sirve de puerta trasera, otorgará estos atacantes el acceso a tu sistema y a la red de corporativa. A partir de ahí, pueden hacer casi cualquier cosa: desde robar secretos de la compañía hasta manipular la infraestructura, etc.

2. Competencia. Utilizando identidades y empresas falsas, estas personas solicitan amistad en las redes sociales para estar en contacto, siendo muy amables y ganándose la confianza poco a poco. Una vez que lo han logrado, abusarán de esa confianza. Le pedirán que revele la información que necesitan o hacer el trabajo por ellos cuando comparta demasiados datos sobre su trabajo o sus empleados. Los competidores pueden utilizar esta información para obtener ventajas y ponerse por delante de su compañía.

3. Cazatalentos y empresas de selección de personal. Estas personas querrán recopilar tantos contactos como sea posible. Lo hacen para crear bases de datos completas acerca de su empresa, sus empleados y de los proyectos específicos en los que están trabajando. Utilizan estas bases de datos para reunir talento y encontrar a los candidatos adecuados para contratar o hacer contraofertas a la competencia.

Aunque sus motivaciones son diferentes, el objetivo final es siempre el mismo: conectar para recoger. Generalmente, estas personas comienzan con el envío de una invitación. Fingen ser compañeros de trabajo, clientes o un jefe. Si aceptas, serán capaces de ver tu perfil y tener acceso a tus contactos. Quieren añadirte o unirse a los grupos privados a los que perteneces para así poder conocer lo más posible tu compañía.

Nuestro propio ejemplo: el caso de Trend Micro Francia

Como proveedor de seguridad de TI, Trend Micro es a menudo blanco de atacantes y cazatalentos en las redes sociales.

Recientemente, la compañía ha identificado una oleada de invitaciones de Viadeo que llegan a Trend Micro Francia y que involucran un perfil de esta red social que está dirigido a varios empleados. La persona detrás del perfil fingía ser un director de TI de 18 años de Trend Micro Australia. El perfil de esta persona estaba bastante vacío y contenía sólo 4 contactos.

El perfil decía que esta persona estudió en “havard, new yord”, una errata obvia para “Harvard, New York”. Esto fue suficiente para levantar sospechas, y una comprobación rápida en el directorio de empresa confirmó que no había ningún empleado con el nombre que aparecía en este misterioso perfil. Se hizo otra comprobación para asegurar que la persona no era un ex-empleado; tampoco estaba.

Este ha sido un intento claro de recopilar contactos e información de Trend Micro.

Como respuesta inmediata, se lanzó una alama internamente para informar de este perfil a todos los empleados y evitar cualquier problema.

¿Qué convierte en sospechoso un perfil en una red social?

- ¿El perfil contiene toda la información? Las redes sociales profesionales se utilizan para hacer contactos y mejorar la visibilidad ante posibles empresas de contratación y head hunters. ¿Quién registraría una cuenta en este tipo de redes sólo para poner su nombre y el de la empresa, pero sin dar más detalles sobre sus actividades pasadas o actuales?

- ¿El perfil contiene errores tipográficos y faltas de ortografía? Un perfil en páginas como LinkedIn o Viadeo es casi similar a un currículum vitae. Tiene que contener buena información acerca de la persona y también debe estar bien escrito, es decir, sin faltas de ortografía u otro tipo de errores gramáticos. Un perfil lleno de errores no es atractivo para ningún potencial empleador.

- ¿El perfil tiene muy pocos contactos? En general, los estafadores crean estas cuentas temporales para dirigirse a las entidades o individuos objetivo; no necesitan añadir demasiados contactos. No obstante, y dado que hay personas reales con muy pocos contactos, este indicador en particular debe ser considerado solamente como algo orientativo y después de detectar otros signos o actividades sospechosas.

- ¿El perfil muestra inconsistencias en la trayectoria profesional de la persona? Si bien es probable que un empleado puede hacer grandes cambios en su perfil, un perfil que cambia constantemente y lo hace de forma drástica, y en un lapso corto de tiempo, es más probable que se utilice como un señuelo. Cuando el estafador quiere apuntar a un tipo de empresa o sector, sólo añade un nuevo trabajo que podría ser relevante para alcanzar sus objetivos. Así que durante unos meses puede ser director de recursos humanos, después un experto en marketing, acto seguido un ingeniero de software, etc.

- ¿El perfil contiene actividad sospechosa? Algunas redes sociales profesionales permiten ver todo el historial de las acciones que hace el propietario del perfil. Si de repente un nuevo perfil aparece y añade a personas sin relación que proceden de diferentes mercados verticales, o se une a una gran cantidad de grupos que parecen completamente ajenos entre sí, podría ser un ejemplo de actividad sospechosa.

¿Qué debe hacerse cuando se ven estos signos?

- Leer los perfiles con cuidado y tratar de buscar anomalías y señales de alarma como las mencionadas anteriormente.

- Cruzar la información para verificarla. Si la persona dice ser de la misma empresa, eche un vistazo y compruebe el directorio de la empresa, y no dude en verificarlo con Talento Humano.

- Preguntar a la persona. Una vez verificada la identidad de la persona, llámele o envíele un correo electrónico para ver si, de hecho, envió la invitación. No hay nada de malo en preguntar. Incluso podría salvarle por si alguien copia el perfil de un compañero o usurpa su cuenta real. Si el perfil es de otra compañía, trate de llegar a alguien que trabaje allí y que pueda hacer estas comprobaciones.

- Evite descargar o hacer clic en archivos o enlaces sospechosos.

Si después de esto, no está seguro de si aceptar una invitación, es mejor que no lo haga. En realidad no es un gran problema. Más vale prevenir que curar.

Por Cedric Pernet, Trend Micro Threat Researcher

Tomado de: Diario TI

Trend Micro, Microsoft y Kaspersky cooperan con Interpol para desmanterlar botnets mediante operación Simda

Interpol World 2015. Imagen tomada de: interpol-world.com

Además de esta iniciativa, los expertos de Trend Micro están presentes por primera vez en INTERPOL World 2015 que se celebra en Singapur entre los días 14 y 16 de abril, para mostrar sus soluciones de seguridad para las fuerzas del orden y organismos de seguridad.

“La colaboración entre expertos en tecnología y seguridad y los responsables del cumplimiento de la ley es fundamental para anticiparse a la sofisticación de los ciberataques amparados por estados y organizaciones criminales”, afirma Eva Chen, CEO de Trend Micro. “Operación SIMDA refuerza nuestra posición histórica de unir fuerzas con otras organizaciones cuando sea posible establecer un frente unido contra aquellos que utilizan la tecnología de manera perjudicial y dañina. Además, tenemos el honor de participar en el histórico evento INTERPOL World 2015 junto a otros expertos para compartir nuestra visión de trabajar para lograr que el mundo sea más seguro para el intercambio de información digital. Como expertos en defensa de amenazas, esperamos compartir nuestro conocimiento y experiencia para aunar esfuerzos para combatir el cibercrimen”.

Operación SIMDA es una iniciativa para eliminar un botnet masivo global que ha infectado a más de 770.000 equipos informáticos en todo el mundo. SIMDA ha sido utilizada por los ciberdelincuentes para obtener acceso remoto a ordenadores que permiten el robo de información personal, incluyendo contraseñas bancarias, así como instalar y propagar otro tipo malware. Las redes de bots son una red de equipos comprometidos que se mueve muy rápidamente y son utilizados para lanzar ciberataques informáticos de forma remota o difundir spam. La desactivación de botnets requiere habilidad, precisión y coordinación para garantizar que la amenaza no se propague. Además de Trend Micro e INTERPOL, entre los participantes que contribuyen a la desarticulación se encuentran Microsoft y Kaspersky Labs.

INTERPOL World 2015 es el primer evento bienal de este tipo para mostrar innovación, logros conjuntos y potenciales entre sector público y privado en el ámbito de la seguridad. Dirige la creciente demanda de tecnología y cooperación público-privada para enfrentar los desafíos globales de seguridad en cuatro áreas principales: ciberseguridad, ciudades seguras, gestión de fronteras y seguridad de la cadena de suministro.

Proyecto 2020: El futuro del cibercrimen

Tratando de anticiparse al futuro de la ciberdelincuencia y permitir a gobiernos, empresas y ciudadanos prepararse ante desafíos y oportunidades de la próxima década, el Proyecto 2020 es una iniciativa de la Alianza Internacional de Protección de la Ciberseguridad (ICSPA, por sus siglas en inglés) apoyado por Trend Micro y Europol.

Con el tiempo, los ciberdelincuentes se han congregado en foros clandestinos y han desarrollado servicios, habilidades, modelos de negocio y plataformas para hacer del cibercrimen automatizado una realidad, incluso operando en la parte inescrutable de Internet, conocida como DeepWeb.

Más información sobre INTERPOL World 2015 en el sitio del evento.

Tomado de: DiarioTI

Nuevo exploit de día cero afecta todas las versiones de Adobe Flash Player para Windows y Mac OSX

Exploit Adobe Flash Player. Imagen tomada de: Diario TI.

El equipo de investigación de Trend Micro Incorporated (TYO: 4704; TSE: 4704) ha descubierto una nueva vulnerabilidad crítica de día cero (CVE-2.015-0313) que afecta a todas las versiones de Adobe Flash Player para Microsoft Windows y Apple Mac OSX.

Los investigadores han identificado ataques activos utilizando anuncios maliciosos o “malvertisements” contra los sistemas Windows de Microsoft. Esta vulnerabilidad ha sido confirmada por Adobe y las dos compañías están colaborando en este descubrimiento para proporcionar un parche en su lugar esta semana. Trend Micro recomienda a los usuarios que consideren desactivar Flash hasta que se libere este parche.

El malvertising no solo afecta a un sitio web, sino más bien a toda una red de anuncios. Éste permite buscar malware que se propaga fácilmente a través de un gran número de sitios web legítimos sin comprometer directamente a los sitios. En base a los resultados de Smart Protection Network de Trend Micro, la mayoría de los usuarios que previamente han accedido al servidor malicioso residen en Estados Unidos.

Los usuarios de Trend Micro que actualmente utilicen Deep Security, Vulnerability Protection, Deep Discovery, Trend Micro Security, OfficeScan y Worry-Free Business Security están protegidos de los potenciales ataques de esta vulnerabilidad.

Si desea más información acerca de la vulnerabilidad Adobe Flash Player visite el blog de Trend Micro TrendLabs Security Intelligence Blog o el artículo publicado en Security Intelligence News, que incluye una complete infografía sobre cómo funcionan los ataques de día cero a través de malvertisements.

Tomado de: Diario TI