Amenazas durante el mes de Mayo 2016

Tao DambrevilleInside Solution Systems Eng.

Sebastian Brenner, PCIP, CISSPSecurity Strategist

Felipe Silgado, CISSP, CISMSystems Engineer Manager

Copyright © 2015 Symantec Corporation

Felipe SilgadoSystems Engineer Manager

Felipe_silgado@symantec.com

Ingeniero de Sistemas con mas de 15 años de experiencia en Project Management e Information Security; Posee un Post Grado en IT Management. Cuenta con una amplia experiencia en consultoría y manejo de entrega de proyectos y esta certificado como PMP, ITIL Foundations, CISSP, CISM, CRISC, ISO 27001 Lead Auditor y ABCP.

Tao DambrevilleInside Solution Systems Eng.

Tao_dambreville@symantec.com

Integrante del equipo de Ingeniería de SOS, un equipo de especialistas online que se encargan de recomendar y resolver todo tipo de problemas de seguridad con clientes en toda América Latina y el Caribe. Tao nació en Haití y es fluente en español, inglés y francés. Tiene dos años con Symantec y está ubicado en la oficina de Miami.

Sebastian BrennerSecurity Strategist

Sebastian_brenner@symantec.com

Participantes

Cuenta con más de 11 años de experiencia en las tecnologías y servicios de Symantec y ha trabajado con organizaciones de Gobierno e Instituciones públicas y privadas en más de 15 países de la región. Es parte de un equipo de Estrategas que se encargan de ayudar a desarrollar y mejorar los programas de Seguridad de los clientes y compartir su experiencia y opinión sobre las últimas tendencias en Ciberseguridad.

Ataques al sistema financiero SWIFT

3Copyright © 2014 Symantec Corporation

SWIFT - Introducción

4

• Society for Worldwide Interbank FinancialTelecommunications

• Sistema propietario de mensajes utilizado por organizaciones para transferencia segura de fondos a traves de patrones de códigos

• Acceso a las redes SWIFT es restringido

4

SWIFTly – Principales Incidentes

Copyright © 2014 Symantec Corporation5

Banco no informado?Reportado por SWIFT

SWIFT MalwareReportado por BAE Systems

SWIFT – Banco Central de Bangladesh

• Descubierto en Febrero 2016

• Transacciones ilegales por $951M via SWIFT

– Del Central Bank of Bangladesh al Federal Reserve Bank NY

– $20M rastreados a un banco en Sri Lanka

– $81M rastretados a un banco en Filipinas

– $850M Cancelados

• Error del criminal: escribio “foundation” como “fandation”.

• Software SWIFT probablemente comprometido.

Copyright © 2014 Symantec Corporation6

SWIFT Malware

• Reportado el 25 de Abril 2016

• Detectado por Symantec como Trojan.Banswift

• Blog Post por BAE Systems

Copyright © 2014 Symantec Corporation7

SWIFT MalwareReportado por BAE Systems

SHA1Data de Compilacion

Tam.(bytes)

Archivo

525a8e3ae4e3df8c9c61f2a49e38541d196e92282016-02-05 11:46:20

65,536 evtdiag.exe

76bab478dcc70f979ce62cd306e9ba50ee84e37e2016-02-04 13:45:39

16,384 evtsys.exe

70bf16597e375ad691f2c1efa194dbe7f60e4eeb2016-02-05 08:55:19

24,576 nroff_b.exe

6207b92842b28a438330a2bf0ee8dcab7ef0a163 N/A 33,848 gpca.dat

Figure from BAE Systems Blog.http://baesystemsai.blogspot.com.au/2016/04/two-bytes-to-951m.html

Casos durante el mes de Mayo

• Anunciado el 13 de Mayo de 2016• Informaron haber descubierto un segundo incidente con transacciones fraudulentas SWIFT• Muchas semejanzas con el incidente del Bank of Bangladesh• SWIFT no informo el nombre del banco o detalles de la transaccion.• Atacantes mostraron un conocimiento profundo y sofisticacion de controles operacionales especificos

• Anunciado el 15 de Mayo 2016• Trataron de transferir $1.1M USD• "did not cause any losses. It had no impact on the SWIFT system in particular and the transaction system

between the bank and customers in general,“• Ataque pudo ser facilitado por un malware

• 20 de Mayo 2016• Transferencia de $12M USD• Sin detalles sobre la herramienta utilizada en este incidente o si existe un enlace con los ataques en

Asia.

8

Banco no informado?Reportado por SWIFT

http://www.symantec.com/connect/blogs/swift-attackers-malware-linked-more-financial-attacks

Ransomware - Teslacrypt

9Copyright © 2014 Symantec Corporation

10

El Dominio Creciente de Crypto-Ransomware

APLICATIVO FRAUDULENTO

AV FALSO LOCKER RANSOMWARE CRYPTO-RANSOMWARE

Aumento del 35% en Ataques de Crypto-Ransomware

11

35%

TeslaCrypt cierra su operación

12

Mayo 19 de 2016

Recomendaciones

13

No pagar el rescate! Sensibilización a los usuarios Utilizar Symantec SEP y configuración avanzada Utilizar Mail Security o email Security.cloud Utilizar Symantec ATP EndPoint, Symantec ATP Network y Symantec ATP for email BackUp de datos de usuarios y servidores Mantener los sistemas con los últimos parches Limitar los permisos de usuarios en sus equipos (no admin.) Restringir los permisos de accesos a carpetas compartidas

Servicios de Consultoría de Symantec Servicios de Ciberseguridad (CSS) de Symantec

o MSSo DeepSighto Simulationo IR (Incident Response)

http://www.symantec.com/connect/blogs/ransomware-dos-and-donts-protecting-critical-data

Protección contra Ransomware

14Copyright © 2014 Symantec Corporation

Protección contra Ransomware y Eliminación con Symantec Endpoint Protection

Copyright © 2014 Symantec Corporation15

No hay garantía que los atacantes descifran los datos una vez que le pagan las victimas.

Usan el dinero del rescate para financiar ataques adicionales.

Desplegar y habilitar estas protecciones de Symantec Endpoint Protection:• IPS: (Sistema Prevención de Intruso) • SONAR: Protección basado en el comportamiento. • Download Insight:

http://www.symantec.com/connect/blogs/ransomware-protection-and-removal-symantec-endpoint-protection

Internet Security Threat Report

16Copyright © 2014 Symantec Corporation

Estadisticas Importantes

ISTR: Evaluando Violaciones de DatosUn examen detallados de las violaciones de datos, como ocurren los ataques y el riesgo que representa para su organización.

Copyright © 2014 Symantec Corporation17

• Según el informe ISTR de 2016, la cantidad de brechas revelada al publico llegó a 318 en 2015.

• Aunque las violaciones solamente salen en las noticias cuando impactan a millones de victimas, representaron tan solo 3% de la cantidad de violaciones reportadas en 2015.

• La cantidad promedia de identidades expuestas en 2015 era 4.885.

• En 2015, 429 millones de identidades fueron expuestos. • Aumento de 85% en la cantidad de violaciones sin

reporte de cuantas identidades expuestas.• Estimamos 1/2 mil millones en total en 2015.

http://www.symantec.com/connect/blogs/istr-insights-sizing-data-breaches

Megafugas – LinkedIn 117M

18Copyright © 2014 Symantec Corporation

232

93

552

348

429

0

100

200

300

400

500

600

2011 2012 2013 2014 2015

MIL

LON

ES

19

Total de Identidades Expuestas

+23%

500

+30%

ESTIMADO

Megafugas 2015

20

Noticias relevantes

Copyright © 2014 Symantec Corporation21

Recomendaciones

Copyright © 2014 Symantec Corporation22

Linkedin

Recomendaciones

23

Sensibilización a los usuarios Cerrar brechas comunes como: vulnerabilidades no corregidas, passwords por defecto, SQL injection,

malware) Implementar soluciones o servicios de correlación de eventos con inteligencia global Solución de Symantec DLP (EndPoint, Network, Web e Email) Solución de Symantec Encryption (EndPoint, Email, etc.) Procedimientos técnicos y políticas de cumplimiento de TI (por ejemplo chequeos de passwords y

configuración de políticas de passwords, configuraciones de servidores y firewall a nivel de hardening, manejo de parches, etc.)

Restringir los permisos de accesos a aplicaciones, carpetas compartidas y repositorios de datos

Servicios de Consultoría de Symantec Servicios de Ciberseguridad (CSS) de Symantec

o MSSo DeepSighto Simulationo IR (Incident Response)

http://eval.symantec.com/mktginfo/enterprise/other_resources/b-6-steps-prevent-data-reach_20049431-1.en-us.pdf

Exposicion de datos personales en Mexico

24Copyright © 2014 Symantec Corporation

Base de datos desprotegida expuso a millones de votantes mexicanos

• Chris Vickery, Investigador de Seguridad, descubrió que un servidor alojado en la nube de Amazon contenía la información de más de 93.4 millones de votantes mexicanos

• Más del 72% de la población mexicana.

• La base de datos era el “Padron Electoral,” la lista de todos losMexicanos registrados para votar hasta Febrero 2015

• Nombres, direcciones y números de identificación nacional de votantes registrados en México

• Instituto Nacional Electoral (INE), la autoridad electoral Mexicana,ha confirmado que el problema es legitimo

• La causa se encuentra bajo investigación.

Copyright © 2014 Symantec Corporation25

Tactical Cyber Security Checklist

26Copyright © 2014 Symantec Corporation

Tactical Cyber Security Checklist

Copyright © 2014 Symantec Corporation27

http://www.symantec.com/connect/blogs/tactical-cyber-security-checklist

Recomendaciones

28

Servicios de Consultoría de Symantec Servicios de Ciberseguridad (CSS) de Symantec

o MSSo DeepSighto Simulationo IR (Incident Response)

https://www.symantec.com/services/cyber-security-services

Uso de certificados digitales en malware

29Copyright © 2014 Symantec Corporation

Malware esta siendo firmado con multiples certificados para evitardeteccion

• Symantec ha observado recientemente varias familias de malware firmadas con varios certificados digitales

• Históricamente, los ataques se han centrado en el algoritmo SHA1

• A principios del año pasado, Microsoft anunció la suspensión de soporte para archivos firmados digitalmente con una firma SHA1 después del 1 de enero de 2016.

Copyright © 2014 Symantec Corporation30

• Últimamente nos encontramos con una campaña de spam utilizando un documento de Word malicioso que descarga payload para comprometer el computador

• El ¨payload¨ es reconocido por Symantec como Trojan.Carberp.B, un troyano financiero bien conocido que se dirige a las instituciones financieras y sus clientes

http://www.symantec.com/connect/blogs/malware-being-signed-multiple-digital-certificates-evade-detection

Reconstruyendo el ataque

• Comienza cuando un usuario desprevenido recibe el correo electrónico malicioso con el titulo, "ATTN 00890".

• El archivo adjunto malicioso contiene una macro maliciosa

• El archivo descargado, sexit.exe, se instala en los sistemas comprometidos sin el conocimiento de la víctima.

• La computadora de la víctima ha sido infectada con Trojan.Carberp.B .

Copyright © 2014 Symantec Corporation31

• sexit.exe muestra que utiliza dos certificados digitales robados para evitar su detección. Un certificado usa SHA1 mientras que el otro certificado usa SHA2

• Archivos firmados con varios certificados digitales mantienen su estado firmado incluso después de que una de las firmas haya sido revocado.

• Symantec Email Security.cloud , Symantec Messaging Gateway , y Symantec Mail Security para Microsoft Exchange pueden proporcionar capas adicionales de seguridad contra este tipo de amenaza. Los productos de Symantec y Norton tienen múltiples detecciones para proteger contra esta amenaza

Cuentas de Twitter Hackeadas

32Copyright © 2014 Symantec Corporation

Cuentas Pirateadas de Twitter están publicando enlaces a sitios de citas para adultos y anuncios personales de sexoMas de 2.500 cuentas de Twitter fueron afectadas

33

http://www.symantec.com/connect/blogs/hacked-twitter-accounts-are-posting-links-adult-dating-and-sex-personals

• Cambiaron:• Fotos de perfiles• Biografías y• Nombres.

Thank you!

Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Gracias!

Próximo Webinar:Sacandole la mayor ventaja a Data Loss Prevention 14.5