Blackhole y la seguridad de los navegadores de Internet.

Son Kit Exploid para las Masas

Los Blackhole incluyen una colección de herramientas para sacar partido de las vulnerabilidades de seguridad de los navegadores Web para descargar virus, bots, troyanos y otras variantes de software malicioso a los ordenadores de víctimas desprevenidas.

  

El gran incremento de la actividad maliciosa en el pasado año es atribuible en parte a que los hackers, que se sirven fácilmente de herramientas y paquetes estándar. Con un clic cualquiera puede descargar una  sofisticada suite de ataque repleta de opciones. Una de estas suites es el kit BlackHole – un paquete de

software muy extendido basado en Web. Los precios de estos kits van de los 50 $ para usar un día, hasta los 1.500 $ para todo el año.

 

A principios de abril, GatorHost informó sobre una red zombi con más de 90.000 direcciones IP únicas que se usaba para lanzar un violento ataque a nivel mundial contra las instalaciones de Wordpress. Se supone que el objetivo del ataque era introducir un troyano backdoor en los servidores y capturarlos para la red. En algunos casos, el famoso paquete exploit BlackHole se instaló con éxito.

Acceder a los servidores de Wordpress y abusar de ellos fue el logro de estos ciberdelincuentes que encontraron también la posibilidad de seguir distribuyendo programas maliciosos mediante blogs ya establecidos y con sus lectores habituales.

Entre los ciberdelincuentes, gozan de particular popularidad los troyanos dirigidos al robo de información de servicios de banca online. Además, muchos envíos masivos de spam contenían enlaces a conjuntos de exploits: en el primer trimestre de 2013 el más popular entre los delincuentes fue Blackhole.

Durante el primer trimestre de 2013 la cantidad de spam en el tráfico de correo ha sufrido grandes fluctuaciones y alcanzado una media del 66,55%. Esto es un 0,53% más que el trimestre anterior.

Campaña consistente en enviar falsos mensajes de parte de US Airways. Los ciberdelincuentes enviaban estos mensajes con el propósito de persuadir a los usuarios a que activasen los enlaces incrustados en los mensajes y que ofrecían "información de reservas online", además de opciones para el check-in de los vuelos. Si el usuario activaba cualquiera de los enlaces, acababa en un sitio fraudulento que contenía BlackHole Exploit Kit con una avanzada forma del programa malicioso ZeuS (GameOver). Este programa malicioso banquero se autoinstala en el ordenador del usuario y roba los datos de sus cuentas bancarias.  Con estos mensajes spam que se enviaron masivamente, los ciberpiratas apostaban a embaucar a algunos usuarios que hubiesen reservado pasajes en US Airways, lo que aumentaría las posibilidades de que activaran los enlaces.

Las fases del ciclo de vida de Blackhole:

Usuarios en un sitio de exploits Blackhole

Los delincuentes acceden de forma ilegal a sitios web legítimos e introducen contenido malicioso que genera enlaces a las páginas del sitio de Blackhole.

El usuario desprevenido visita unsitio legítimo, el navegador descarga de forma automática del servidor de Blackhole el código del kit de explotación.

Los sitios que alojan Blackhole cambian a menudo.

Utilizan dominios recién registrados y adquiridos mediante el uso ilegal de servicios de DNS

Los hosts desaparecen en el plazo de un día.

La capacidad de Blackhole para enviar tráfico constantemente a los hosts correctos demuestra un nivel de control centralizado impresionante.

Blackhole cuenta con varias estrategias para controlar el tráfico de usuarios.

Infectado a partir de la página de destino

El ataque comienza en cuanto el navegador absorbe el contenido del kit de explotación del servidor de Blackhole. En primer lugar, el código (normalmente, JavaScript) averigua cómo ha llegado el navegador al servidor de Blackhole y registra la información para identificar a los socios que han generado el tráfico y pagarles como lo haría una empresa legal. A continuación, obtiene la huella o el perfil del navegador para detectar el sistema operativo utilizado, la versión y si existen complementos de Flash, PDF, Java, etc. instalados.

Los agujeros en la seguridad de Java parecen ser la principal causa de las infecciones con Blackhole.

Blackhole utiliza código legítimo siempre que es posible. Carga del código del exploit a través del motor Java Open Business Engine.

Envío de la carga

El sistema de la víctima, Blackhole entrega la carga indicada.

Las cargas suelen ser polimórficas y cambian cada vez que infectan un equipo.

Las cargas de Blackhole utilizan herramientas personalizadas de cifrado para evitar ser detectadas por los antivirus.

.

Seguimiento

Blackhole toma nota de qué exploits funcionan con cada combinación de navegadores, sistemas operativos y complementos.

Blackhole es eficaz  y se aprovecha vulnerabilidades nuevas de día cero.

INFORME DE SEGURIDAD 2013

“AL IGUAL QUE EL AGUA NO MANTIENE UNA FORMA CONSTANTE,TAMPOCO

 EN LA GUERRA SE DAN CONDICIONES CONSTANTES” 

 

AUNQUE ESTA FRASE SEPRONUNCIÓ HACE 2600 AÑOS,SORPRENDETEMENTE SIGUE SIENDO MÁS QUE RELEVANTE, REFLEJANDO LA GUERRA ACTUAL – LA CIBERGUERRA.

Este es el principio de intenciones del INFORME DE SEGURIDAD 2013 DE CHECK POINT, de ENERO 2013

En este blog vamos a publicar lo mas significativo del Informe y sobre todo lo que mas nos pueda dar a conocer el mundo de la Ciberdelincuencia y los posibles mecanismos y herramientas para protegernos.

La publicación se irá produciendo de forma periódica.

Las técnicas de los hackers cambian constantemente,empleando métodos más avanzados y sofisticados de ataque, elevando las necesidades de seguridad a nuevos niveles. Los centros de datos, ordenadores y teléfonos móviles de empleados, son los primeros objetivos de los hackers, sembrando una amplísima variedad de malware como bots, troyanos y descargas ocultas. Los hackers recurren a las tretas y la ingeniería social, manipulando a usuarios inocentes, para acceder a información corporativa como documentación interna, registros financieros, números de tarjetas de crédito y credenciales de usuario, o simplemente para hacer caer servicios mediante ataques de denegación de servicio. Esta guerra moderna de engaños y ataques sofisticados es una realidad y va a perdurar. La cantidad de información corporativa almacenada en centros de datos, servidores, PCs y teléfonos móviles crece a velocidad de vértigo, y el mayor volumen de datos y plataformas implica mayor riesgo. Por último, la lista de amenazas de seguridad no es precisamente corta, revelando cada nuevo ataque mayor nivel de sofisticación. ¿Cuáles fueron los riesgos principales que afrontó su entorno de red el año pasado? ¿A qué riesgos estará expuesto el año que viene? Estas fueron las cuestiones principales que mantuvieronocupado al equipo de investigación en seguridad de Check Point los últimos meses. Buscando respuestas a estas preguntas, Check Point ha efectuado un análisis de seguridad intensivo.

Metodología
El Informe de Seguridad 2013 de Check Point está basado en la investigación cooperativa y análisis de incidentes de seguridad obtenidos de cuatro fuentes principales de informe: Check Point Security Gateways Analysis Reports, Check Point ThreatCloud©3, Check Point SensorNet© y Check Point Endpoint Security.
Se efectuó un análisis global de los incidentes de seguridad de la red de 888 compañías a partir de los datos recopilados por los Check Point Security Gateways, que inspeccionan el tráfico de red entrante y saliente en tiempo real. Se inspeccionó el tráfico mediante la tecnología multinivel Software Blades de Check Point para identificar un abanico de amenazas de seguridad como aplicaciones de alto riesgo, intentos de intrusión, virus y bots, pérdida de datos sensibles, etc. Se monitorizó el tráfico de red en tiempo real implementando Check Point Security Gateway en línea o en el modo de monitorización (tap).
De media, se monitorizó el tráfico de red de cada organización durante 134 horas. Las empresas recogidas en nuestros informes pertenecen a un amplio repertorio de negocios localizados por todo el mundo 

Además, se analizaron 111,7 millones de eventos procedentes de 1494 Security Gateways empleando los datos generados por ThreatCloud© de Check Point. ThreatCloud es una base de datos de seguridad actualizada en tiempo real y alimentada con los datos de una gran red de sensores globales, emplazados estratégicamente por todo el mundo que recogen información sobre amenazas y ataques de malware. ThreatCloud permite la identificación de tendencias y amenazas globales de seguridad, creando una red cooperativa para luchar contra el cibercrimen. En esta investigación se analizaron datos provenientes de ThreatCloud que se recopilaron durante un periodo de tres meses entre agosto y octubre de 2012.
En lo referente a datos de amenazas, estos se recopilaron de la red de sensores SensorNet© de Check Point entre el uno de julio y el 30 de septiembre de 2012. SensorNet de Check Point es una red de sensores distribuida por todo el mundo que proporciona información de seguridad y estadísticas de tráfico a un sistema de análisis centralizado. Se analizan estos datos para detectar tendencias y anomalías, así como para elaborar una vista en tiempo real de la seguridad por todo el mundo.

Por último, se consideró el análisis de 628 informes de seguridad de controles procedentes de una gran variedad de organizaciones. Los análisis de seguridad incluyeron la exploración de cada host para valorar los riesgos de pérdida de datos, riesgos de intrusión y por malware. Los análisis se efectuaron con la herramienta de informes Endpoint Security de Check Point verificando si se estaba ejecutando el antivirus en el host, si el antivirus estaba actualizado, si se ejecutaba la última versión del software y otros parámetros. La herramienta es gratuita y de libre acceso, pudiendo descargarse del sitio Web público de Check Point.
Este informe está basado en los datos recopilados de estas fuentes.

Los 10 signos de infección malware en el PC

Ventanas azules, sistema lento o dirección IP en listas negra están entre los síntomas más habituales de una amenaza de malware, recogidos por Kaspersky Lab.

Aún siguiendo las Reglas de Oro de Seguridad (actualizar regularmente tu sistema operativo y tus programas, evitar spam, nunca hacer clic en enlaces sospechosos y, por supuesto, una un buen producto antivirus), el malware puede salir de la nada e infectar tu sistema. Pero, ¿cómo darse cuenta? Estos 10 signos que verás aquí debajo no pueden indicarte a ciencia exacta que tu sistema está infectado, pero sí son advertencias a las cuales debes prestas atención:

  

 

1. Fallos inesperados. La consecuencia es muy llamativa: la pantalla se vuelve azul. Es un signo inequívoco de que algo va mal. Cuando sucede, es preciso analizar inmediatamente el sistema en busca de infecciones. 

2. Sistema lento. Si no hay instalada una aplicación que consume muchos recursos, pero aun así el sistema funciona más lento de lo normal, puede ser porque esté infectado con un virus.

3. Excesiva actividad del disco duro. De forma similar, si el equipo tira de disco duro sin causa aparente, es una advertencia de una potencial infección.

4. Ventanas extrañas. Otra señal son las ventanas que aparecen durante el proceso de arranque, particularmente aquellas que no permiten acceder a diferentes diiscos.

5. Mensajes extraños. Cuando aparecen estas cajas de dialogo, el  sistema esta alertando de que algunos programas o archivos no se abrirán. Mal indicio.

6. Funcionamiento erróneo de algún programa. Si tus programas se pierden, están corrompidos o empiezan a abrirse solos, o si recibes notificaciones de que un programa está intentando acceder a Internet por su cuenta, es un signo importante de que tu ordenador es víctima del malware.

7. Actividades inesperadas de la conexión. Si el router pestañea constantemente, indicando un alto nivel de actividad en la red, cuando no están funcionando programas importantes o accediendo a gran cantidad de datos en Internet, algo no funciona correctamente.

8. Fallos en el correo electrónico. Si los emails no llegan a enviarse,  o si nuestros  contactos están recibiendo correos extraños desde nuestra dirección, es una doble señal: o bien el sistema  ha sido atacado, o bien la contraseña de correo fue  robada.

9. Direcciones IP en listas negras. Si recibes una notificación de que tu dirección de IP fue puesta en una lista negra, considéralo un signo seguro de que tu ordenador ha sido hackeado y utilizado como parte del engranaje de una botnet.

10. Desactivación del antivirus. Muchos programas de malware se diseñan para desactivar los programas antivirus, que podrían detectarlos y eliminarlos. Si el antivirus se desactiva repentinamente, puede ser signo de un problema  mayor.

Si recibes una notificación de que tu dirección de IP fue puesta en una lista negra, considéralo un signo seguro de que tu PC no esta en buenas manos.