Академический Документы
Профессиональный Документы
Культура Документы
El ransomware
sigue creciendo
agran velocidad:
enel 2.trimestre el
nmero de muestras
nuevas creci
un58%.
Introduccin
ndice
Informe de McAfee Labs
sobreamenazas
Agosto de 2015
En la investigacin y redaccin de
este informe han participado:
Brad Antoniewicz
Christiaan Beek
Dave Bull
Torry Campbell
Cedric Cochin
Carric Dooley
Douglas Frosst
Robert Gresham
Paula Greve
Steve Grobman
Dave Marcus
Franois Paget
Eric Peterson
Matthew Rosenquist
RajSamani
Craig Schmugar
Mike Sentonas
Rick Simon
Bruce Snell
Dan Sommer
James Walter
Vincent Weafer
Resumen ejecutivo
Temas principales
16
26
30
Resumen ejecutivo
Intel + McAfee: retrospectiva de los ltimos cinco aos
En esta retrospectiva de los
ltimos cinco aos, echamos
la vista atrs y comparamos
nuestras predicciones con lo que
realmente ha ocurrido. Analizamos
las principales transformaciones
de la ciberseguridad: cmo han
cambiado los tipos de creadores
de amenazas, el comportamiento
y los objetivos de los agresores,
laeconoma de la ciberdelincuencia
y la respuesta del sector.
Durante los ltimos diez aos se ha producido un aumento colosal de las fugas
de datos de gran magnitud, as como del volumen de registros robados, desde
la sustraccin de 94 millones de registros de TJ Maxx en 2007 hasta la filtracin
este ao de 80 millones de historias de pacientes de Anthem. Este tema gira en
torno a un paso importante en el proceso del robo de datos: la filtracin de la
informacin. Es el modo en que el ciberdelincuente copia o traslada los datos
desde la red del propietario a una red que est bajo su control. Examinamos los
tipos de agresores, sus motivaciones y sus objetivos ms probables, los mtodos
y mecanismos que utilizan para robar datos, y las polticas que deberan aplicar
las empresas para detectar mejor una filtracin.
Los ataques de malware a las unidades de procesamiento grfico (GPU) llevan aos
producindose. De hecho, hay una forma de malware para la GPU circulando desde
hace al menos cuatro aos: los troyanos mineros de bitcoins que aprovechan
el rendimiento de la GPU para incrementar las ganancias que obtienen de cada
sistema infectado.
Hace poco un grupo public tres proyectos de prueba de concepto que,
conjuntamente, afirman utilizar las GPU como instrumento de evasin a base
deejecutar cdigo y almacenar datos en estas unidades, que nadie vigila. Eneste
tema principal, analizamos detalladamente estas afirmaciones para dilucidar qu
puede conseguirse realmente con el uso de estos mdulos desoftware.
Temas principales
Intel + McAfee: retrospectiva de los ltimos
cinco aos
La filtracin de datos: un paso importante
en el desarrollo de un ciberdelito
Malware para la GPU: mitos yrealidades
Compartir opinin
Temas principales
Ya han pasado cinco aos: qu tal funciona la alianza? Doce lderes de opinin con
cargos relevantes en Intel y McAfee desde antes de la adquisicin han colaborado en
este anlisis sobre la evolucin del mercado de la ciberseguridad y el desarrollo de
nuestro trabajo juntos. En esta retrospectiva examinamos nuestras previsiones sobre
el panorama de las amenazas, lo que ha ocurrido realmente y qu acontecimientos
nos han sorprendido.
Temas principales
Consideraciones
Cuando Intel anunci la adquisicin, expusimos nuestros motivos a tcnicos,
analistas e inversores. Uno de los motivos fundamentales era acercar el software
al hardware para reforzar la seguridad y contrarrestar con ms eficacia las
amenazas avanzadas. Estas amenazas, junto al importante aumento del nmero
y tipo de dispositivos, estaban sentando las bases de una "tormenta perfecta"
de vulnerabilidades y brechas de seguridad. Creamos que estas nuevas
amenazas seran ms difciles de detectar, que requeriran nuevas estrategias
de ciberdefensa. Tambin pensbamos que el panorama de las tecnologas de
la informacin iba a cambiar drsticamente, ya que se estaban conectando alas
redes miles de millones de dispositivos que no eran PC. Juntos, todos estos
elementos impulsaran el desarrollo econmico y tcnico de las ciberamenazas.
As pues, qu direccin tomamos?
La seguridad en el hardware
Desde el principio, un eje importante de la adquisicin era desplazar la tecnologa de
seguridad al hardware. Este paso era difcil, dada la velocidad con que la comunidad
de ciberdelincuentes puede copiar y mejorar las amenazas ms sofisticadas,
amenudo a los pocos das de su descubrimiento pblico. Elhardware de seguridad
tarda mucho ms en desarrollarse, comercializarse ydesplegarse que el software,
y el sector de la seguridad depende de la agilidad y la capacidad de adaptacin del
software para combatir las amenazas nuevas e imprevistas. Losclientes necesitan
actualizar sus defensas con rapidez para protegerse de ataques que ayer mismo
eran inimaginables, as que no digamos dentro de cincoaos, que es la duracin
tpica del ciclo de diseo del hardware.
En lugar de esforzarnos por incorporar antimalware en los chips, consideramos
que sera ms lgico aumentar el rendimiento del cifrado asistido por hardware,
mejorar las medidas antimanipulacin y la supervisin del kernel con funciones
de bajo nivel y disear componentes primitivos de seguridad en el interior de
los chips de prxima generacin que despus aprovecharan el software de
seguridad y el sistema operativo.
Desde la adquisicin, hemos
lanzado el marco de cdigo
abierto CHIPSEC para analizar los
componentes de hardware y de
firmware, y evaluar los riesgos de
seguridad de bajo nivel, as como
la tecnologa Intel Kernel Guard,
para garantizar la integridad en
tiempo de ejecucin.
Los ataques de bajo nivel al firmware y la BIOS permiten que la amenaza persista
ypor eso son atractivos para el ciberespionaje y otros delitos con proyeccin a largo
plazo. Al comprobar que este tipo de malware se introduca ms profundamente
en el sistema operativo para permanecer oculto y sobrevivir alimpiezas y reinicios,
lanzamos CHIPSEC, un marco de cdigo abierto para analizar los componentes de
hardware y firmware, y evaluar los riesgos de seguridad de bajo nivel, la tecnologa
Intel Kernel Guard, que asegura la integridad en tiempo de ejecucin, y BIOS Guard,
que facilita la autenticacin y la proteccin. La combinacin de los conocimientos,
laexperiencia y la presencia en el mercado de Intel y McAfee nos ha otorgado un
punto de vista nico para observar, adaptarnos y anticiparnos a los cambios en
el panorama de las amenazas. Nuestro objetivo sigue siendo distribuir software
de seguridad para los nuevos prototiposdispositivos mviles, el Internet de las
cosasy la nube mientras llegan al mercado los chips con seguridad mejorada.
Temas principales
Est claro que los ciberdelincuentes han aprovechado este incremento enorme
de blancos potenciales y han ampliado su superficie de ataque. Alprincipio,
estasamenazas eran preocupantes sobre todo para los gobiernos, lasinstituciones
financieras y los proveedores de seguridad, pero ahora tambin lo son para
empresas y consumidores, ya que pueden afectar significativamente al valor de un
negocio y ocasionar importantes quebraderos de cabeza en nuestra vida privada.
Actualmente nos enfrentamos a una ciberguerra entre pases que incluye ataques
estatales muy notorios, aunque negados enrgicamente, y espionaje a largo plazo.
Tambin aqu, aunque predijimos la mayora de estos acontecimientos, nos han
sorprendido la rpida evolucin del malware, el aumento del volumen de ataques
y la escala de los ataques perpetrados por pases.
Cambio del perfil de los agresores
Financiados
Q4
2014
por pases
Crimen
organizado
Hacktivistas
Delincuentes
Diversin
Fama y notoriedad
Recursos tcnicos
limitados
Exploits conocidos
Reivindicaciones
Implacables,
muy implicados
Vandalismo
Redes de
Conocimientos
gran tamao
tcnicos limitados
Ataques
selectivos
Beneficio
econmico
Conocimientos
y recursos
tcnicos
considerables
Organizaciones
establecidas
Adware,
crimeware,
robo de
propiedad
intelectual
Ciberquerra,
secretos de
estado, espionaje
industrial
Muy sofisticados
Recursos
prcticamente
ilimitados
Amenazas
persistentes
avanzadas
Detectar lo indetectable
Para responder en parte a la tormenta perfecta, nos pareci que debamos aumentar
rpidamente el antimalware basado en firmas aadiendo tecnologa quedetectara
lo indetectable, ya que el malware estaba evolucionando yadaptndose para
evitar las defensas de seguridad tradicionales. A fin de cuentas, y a diferencia de
lamayora de los ataques, las defensas suelen estar disponibles para que cualquiera
las pruebe y las evale. Cualquier agresor puede llevar un producto deseguridad
aunlaboratorio y probarlo de todas las maneras posibles, buscando sus puntos
dbiles para aprovecharlos o las formas de eludir su deteccin.
Temas principales
2013
2014
2015
Descargas desapercibidas
Amenazas permanentes en el navegador
Explosin de kits de exploits
Amenazas sin archivos/intrusiones sin malware
Polimorfismo del lado del servidor/hashbusters
Diversificacin
de plataformas
de malware
y ataques
multiplataforma
Vulnerabilidades principales
2011
2012
2013
2014
2015
BEASTCVE-2011-3389
CRIMECVE-2012-4929, CVE-2012-4930
RC4CVE-2013-2566
HeartBleedCVE-2014-0160,
CVE-2014-0346
Shellshock
CVE-2014-6271,
CVE-2014-6277,
CVE-2014-6278,
CVE-2014-7169,
CVE-2014-7186,
CVE-2014-7187
BERserkCVE-2006-4339,
CVE-2014-1568
Poodle
CVE-2014-3566,
CVE-2014-8730
FREAK
CVE-2015-0204,
CVE-2015-1637
Logjam
CVE-20154000
Temas principales
Cada vez hay ms ataques de larga duracin que se prolongan durante meses
oataques a largo plazo que esperan y observan antes de actuar maliciosamente.
Probablemente, la mayora de ellos pretenden desempear una labor de espionaje
permanente en lugar de vender los datos filtrados. Aunque en 2010 ya preveamos
la existencia de los ataques de larga duracin, algunas de las tcticas y tcnicas
utilizadas en estos ataques eran inimaginables hace cinco aos. Documentamos
unode estos ataques en "El Equation Group: ataques al firmware de los discos duros
yde las unidades en estado slido", un tema principal del Informe de McAfee Labs
sobre amenazas de mayo de 2015. En el informe Diseccin de la operacin Troy:
elciberespionaje en Corea del Sur se describe otro de estos ataques a largo plazo.
Temas principales
La adopcin de la nube ha
cambiado la naturaleza de algunos
ataques, ya que su objetivo no
es la pequea cantidad de datos
que albergan los dispositivos,
sinoque sirven como va para
llegar al lugar donde residen
losdatosimportantes.
Tipo de vulnerabilidad
Adobe Reader
500030000 dlares
Mac OS X
2000050000 dlares
Android
3000060000 dlares
40000100000 dlares
Word
50000100000 dlares
Windows
60000120000 dlares
Firefox o Safari
60000150000 dlares
80000200000 dlares
iOS
100000250000 dlares
Temas principales
Asistimos a la transformacin de la
ciberdelincuencia en una industria
en toda regla, con sus distribuidores,
mercados, proveedores de servicios,
sistema de financiacin y comercio,
y una proliferacin de modelos
denegocio.
Temas principales
En general, los pases tienen motivos distintos para sus ataques, pero normalmente
emplean la misma infraestructura delictiva. Los pases no suelen actuar motivados
por la rentabilidad directa y pueden iniciar acciones a ms largo plazo con recursos
enormemente diferentes. Para nosotros el espionaje es la actividad discreta de un
pequeo nmero de personas, y ese ha sido en general el caso del ciberespionaje.
Sin embargo, la escala del ciberespionaje patrocinado por pases ha superado
nuestras expectativas: en solo los dos ltimos aos ha cobrado mucha ms
visibilidad, incluso para el pblico en general.
Ms sorpresas
Empresas y consumidores por
igual siguen sin prestar suficiente
atencin a actualizaciones, parches,
proteccin con contraseas, alertas
de seguridad, configuraciones
predeterminadas y otros medios
sencillos pero indispensables para
proteger los activos electrnicos
yfsicos.
El descubrimiento y el
aprovechamiento de
vulnerabilidades bsicas de
Internet han puesto de manifiesto
que algunas tecnologas
fundamentales carecen de
lafinanciacin y del personal
queprecisan.
Nos hemos llevado algunas sorpresas que no encajan del todo en las categoras
descritas. Posiblemente la mayor de ellas es la continua falta de atencin que
empresas y consumidores por igual prestan a actualizaciones, parches, proteccin
de contraseas, alertas de seguridad, configuraciones predeterminadas y otras
formas fciles pero indispensables de proteger activos electrnicos y fsicos.
Estono es nuevo en el sector de la seguridad: llevamos dcadas insistiendo
en ello y sin embargo siguen siendo los vectores ms probables de que un
ataqueprospere.
Cuando se trata de recursos fsicos, nos asombra que no se haya producido con
xito un ataque catastrfico a alguna infraestructura crtica. Este tipo de ataques
no son convenientes para los ciberdelincuentes porque no reportan beneficios
fciles, pero desde luego s lo son para los terroristas y quiz para algunos
pases. Aunque hemos observado actividades de exploracin electrnica de
infraestructuras crticas, suponemos que hay motivos polticos o estratgicos
que han impedido que se lleven a cabo... hasta ahora.
En lo que respecta a las infraestructuras, el inesperado y reciente descubrimiento
de vulnerabilidades en el ncleo de Internet en cdigo que tiene dcadas de
antigedad y su explotacin han demostrado cmo algunas tecnologas bsicas
carecen de la financiacin y el personal que necesitan. El reconocimiento de este
riesgo ha generado el patrocinio de software y una mayor colaboracin entre
importantes organizaciones que dependen de Internet para todas susactividades.
Temas principales
Conclusin
Hace cinco aos acertamos con algunas de nuestras predicciones, no as con otras.
Muchos de los componentes anunciados de la tormenta perfecta se han hecho
realidad, mientras que otros nos han tomado por sorpresa. Tres elementos han
continuado desafiando el panorama de la ciberseguridad: el crecimiento de la
superficie de ataque, la industrializacin de la ciberdelincuencia y la complejidad
y fragmentacin del mercado de la seguridad de TI. La ciberdelincuencia ha
madurado mucho antes de lo que esperbamos; de ser una aficin ha pasado
aser una industria que prueba diferentes modelos de negocio y funciona con
unamezcla de motivos delictivos, polticos y militares.
La conciencia sobre la ciberseguridad est en su apogeo, en parte por los medios
de comunicacin, por las nuevas normativas que exigen la divulgacin de las
intrusiones y por un mayor conocimiento y madurez. Sin embargo, hoyhay mucho
ms en juego, el panorama ha cambiado en favor de los agresores y sus capacidades
y recursos han crecido ms que nunca. Las batallas de seguridad siguen siendo
un tremendo reto, pero la guerra no ha terminado. Entre los factores beneficiosos
cabe mencionar una mayor sensibilizacin, la incorporacin de ms profesionales
de la seguridad, las innovaciones tecnolgicas y el reconocimiento de los gobiernos
de supapel para proteger alos ciudadanos en el ciberespacio. La fusin de Intel
y McAfee forma parte de una evolucin cuyo fin es proporcionar seguridad para
proteger a las personas ylas tecnologas en el futuro.
Temas principales
Los ltimos 10 aos tambin han registrado un aumento tremendo del nmero de
fugas de datos importantes. En 2007, TJ Maxx sufri una de las primeras brechas
de seguridad a gran escala, en la que se rob informacin de tarjetas de crdito
y dbito de hasta 94 millones de clientes. Tan solo dos aos despus, Heartland
Payment Systems, el gigante de procesamiento de pagos, sufri un ataque en
el que perdi datos de aproximadamente 130 millones de clientes. Durante los
aos siguientes se descubrieron fugas an mayores cuyo blanco eran redes de
informacin ms extensas.
Adems de nmeros de tarjetas de crdito y dbito, los ciberdelincuentes
hanrobado casi todos los dems tipos de datos personales: nombres, fechas
de nacimiento, direcciones, nmeros de telfono, nmeros de documentos
de identidad, informacin sanitaria, credenciales de cuentas eincluso
preferenciassexuales.
Ahora sabemos que los ciberdelincuentes no son solo grupos o personas
que pretenden lucrarse. Los motivos que los mueven han creado distintas
categoras de delincuentes, cada una con una intencin propia para robar
datos. Como demuestra la reciente oferta de trabajo de un gobierno extranjero
para "agente de inteligencia estadounidense", los datos personales robados
tienen una finalidad diferente cuando las vctimas son empleados de un
organismo pblico y los ciberdelincuentes actan en nombre de un pas.
El xito de Internet y la evolucin de la ciberdelincuencia tambin han dado nuevas
alas al ciberespionaje, lo que convierte el robo de propiedad intelectual digital
en una amenaza real. Se han robado secretos comerciales de organizaciones de
todos los tipos desde Google, Microsoft y Sony hasta Boeing, Lockheed Martin
yDuPont lo que demuestra que los ciberdelincuentes encuentran valor en todos
los lugares donde lo hay.
Este tema principal gira en torno a un paso importante en el proceso de un robo de
datos: la filtracin o fuga de la informacin. En esta fase, el ciberdelincuente copia
o traslada los datos de la red del propietario a una red que est bajo su control.
Lafiltracin de datos la llevan a cabo delincuentes cuya intencin es robar datos,
nose trata de prdidas de datos accidentales en equipos extraviados u olvidados
(enlas que el ladrn est ms interesado en sacarle rentabilidad al hardware).
Creadores de amenazas
Orgenes de la amenaza, creadores de la amenaza y agentes de la amenaza
son los trminos empleados para describir a un grupo o individuo que pretende
conseguir acceso no autorizado a redes informticas y sistemas. Entre las distintas
publicaciones, tanto del sector pblico como privado, que intentan clasificar dichas
amenazas, encontramos que generalmente los autores se clasifican en tres tipos:
pases, delincuentes organizados y hacktivistas.
Temas principales
Motivacin
La motivacin es una de las caractersticas fundamentales
que distinguen a los creadores de las amenazas. Aunque
no todos ellos necesitan robar datos durante cada una de
las campaas para conseguir su objetivo, suele ser el caso
en muchas de las campaas.
Pases
Motivacin general
Ciberespionaje
Ventajas estratgicas
Cdigo fuente
Mensajes de correo
electrnico
Documentos internos
Actividad militar
Informacin de
identificacin
personal de
empleados de la
administracin
Crimen organizado
Econmica
Informacin de
cuentas bancarias
Nmeros de tarjetas
de crdito
Informacin de
identificacin
personal (nmeros
de documentos de
identidad, datos
sanitarios, etc.)
Hacktivistas
Reputacin
Social
Mensajes de
correo electrnico
Informacin de
losempleados
Cualquier tipo
de informacin
confidencial interna
Pequeo-grande
Grande
Pequeo-grande
Sofisticacin de las
tcnicas de filtracin
Alta
Media-baja
Media-baja
Ubicacin de la red
Desconocida/dispersa
Conocida
Conocida y desconocida/
dispersa
Temas principales
Acceso fsico
Si el creador de una amenaza tiene la posibilidad de acceder fsicamente a un
sistema, aunque sea a travs de un proxy, ya cuenta con una ventaja enorme.
Losdispositivos de almacenamiento USB ofrecen un mtodo fcil para filtrar
grandes cantidades de datos sorteando los controles de seguridad de la red.
Para iniciar un ataque, un ciberdelincuente puede darle un soporte extrable
aunempleado que no sospeche nada y, de manera inadvertida, lance el ataque
al insertar el dispositivo.
Filtracin de datos
Copiar datos de una red que ha sufrido un ataque puede una tarea complicada.
Requiere un conocimiento detallado de la configuracin de seguridad de la
organizacin, los puntos dbiles en la segmentacin de su red, la ubicacin
y configuracin de los controles de seguridad, y los privilegios que conceden
acceso a los sistemas.
Para entender y clasificar estas complejas tcnicas, hemos dividido los componentes
en cinco reas principales:
Objetivo
de datos
Infraestructura
intermedia
Internet
Servidores
de volcado
Transportes/manipulacin de datos
Temas principales
Objetivos de datos
Una vez que el agresor ataca a un sistema de la red, la puerta est abierta para
explorar otros sistemas y descubrir los que albergan datos interesantes. Una red
completa contiene diversos tipos de datos, por lo que este proceso es largo para
los ciberdelincuentes que no disponen de informacin privilegiada.
Entre los principales objetivos de datos se encuentran los siguientes:
Objetivo de datos
Tipos de datos
Sistemas de base
de datos
Crimen organizado,
hacktivistas
Repositorios de
cdigo fuente
Cdigo fuente,
credenciales, claves
Pases, hacktivistas
Sistemas
especializados
Varan
Recursos de archivos
compartidos
ysistemas similares
Pases, hacktivistas
Correo electrnico
ycomunicaciones
Diseos, comunicaciones
Pases, hacktivistas
Temas principales
Sistemas especializados
Los ataques contra comercios minoristas y fabricantes demuestran que los autores
persiguen datos que se almacenan en sistemas especializados oendpoints
especficos para un sector concreto. Entre ellos se incluyen:
Repositorios de archivos
Para un ciberdelincuente, el ingente volumen de datos de los grandes repositorios
de archivos ofrece ventajas y desventajas. Por una parte, pueden contener multitud
de informacin; y por otra, filtrarla de forma manual puede ser una tarea inacabable,
ya que se incluyen datos no estructurados. Los sistemas que se agrupan en esta
categora son:
Temas principales
Infraestructura intermedia
Cuanto ms segmentado
yprofundo est el objetivo en
lared, ms difcil ser para el
creador de la amenaza filtrar
losdatos.
Agregador
Agente de filtracin
Internet
Servidores
de volcado
Endpoints
Este diagrama representa una arquitectura de filtracin de datos tpica, pero existen
otras. Por ejemplo, una campaa que se diseccion pblicamente estableca una
red especial de agentes de filtracin y agregadores dispersa geogrficamente que
operaba con una planificacin rotativa al transferir los datos entre los sistemas
ya los servidores de volcado. En otro caso, se utilizaba un servidor de contenido
accesible a travs de Internet, propiedad de una empresa, como agente de filtracin
mediante la incrustacin de datos en el flujo de vdeo del contenido saliente.
Temas principales
Servidores de volcado
Un servidor de volcado es el primer punto en el que residen los datos robados
cuando ya no estn bajo control de la empresa. Sin embargo, es posible que
tampoco estn bajo el control del agresor, sino simplemente en un lugar al que
este puede acceder fcilmente. Los servidores de volcado pueden ser:
Temas principales
Transportes de datos
Los transportes de datos son los protocolos y mtodos
empleados para copiar la informacin de una ubicacin
o sistema en otro, como entre un agente de filtracin y el
servidor de volcado o entre el endpoint y el agregador.
Transporte
Descripcin
Interno
HTTP/HTTPS
FTP
USB
Externo
Hay registros DNS especficos, como TXT o incluso los registrosA yCNAME,
que pueden almacenar datos en su interior hasta cierto punto. Con el
control de un dominio y un nombre de servidor, un agresor puede transmitir
pequeas cantidades de datos realizando consultas especficas en el
sistema atacado.
Tor
La red Tor es cada vez ms popular. Esto permite a los agresores enviar
datos filtrados a servidores que son difciles de localizar. Sin embargo, el
trfico Tor en redes empresariales no suele ser legtimo por lo que puede
detectarse y detenerse fcilmente.
SMTP/correo
electrnico
SMB
RDP
Transportes
personalizados
Temas principales
Los transportes que ofrecen alternativas cifradas (como HTTPS) pueden incrementar
la dificultad de deteccin para las organizaciones. Hemos observado un aumento,
aunque limitado, en el uso del cifrado a nivel de transporte. Lafalta de cifrado
implica que la deteccin ser ms fcil, pero tambin supone un riesgo aadido
paralos datos, ya que en ocasiones se transmiten a travs de Internet.
Muchos transportes requieren el uso de credenciales vlidas o bien alguna forma
de acceso abierto/annimo para poder utilizarse en el servidor. En este caso,
si el agresor desea automatizar la filtracin de datos, deber dejar un nombre
de usuario/contrasea en el host atacado o bien se arriesga a que alguien no
autorizado acceda al sistema de forma remota.
Manipulacin de datos
La manipulacin de los datos antes
de su transferencia contribuye
a evitar la deteccin, reduce el
tiempo de transferencia y aumenta
el tiempo de anlisis.
Tcnicas
Descripcin
Compresin
Fragmentacin
Codificacin/
ocultacin
Cifrado
Conclusin
La informacin digital se ha convertido en el objetivo principal de los ciber
delicuentes. Los datos que se roban incluyen desde grandes bases de datos
de empleados a memoria voltil en sistemas TPV. En cuanto los sistemas
de defensa crean una nueva capa de seguridad en sus redes, los agresores
encuentran la forma de poner a los sistemas de confianza contra la organizacin
convirtindolos en sus propios cmplices.
Temas principales
El primer paso para hacerse con el control es entender quines son los creadores
de las amenazas, cules son sus motivaciones y qu tcnicas emplean. Aunque la
filtracin de datos puede ser un pequeo componente de una campaa global,
es tambin el ms importante que debe ejecutar el agresor y bloquear el sistema
de defensa. Establecer directivas y procedimientos eficaces, adems de crear
una lnea de defensa alrededor de los activos y los datos crticos permite a las
organizaciones priorizar sus esfuerzos de manera que se otorgue ms atencin
alos sistemas que son ms importantes.
Lleve a cabo una evaluacin de riesgos que obligue a los principales implicados aidentificar
los datos confidenciales de su red, y dnde estn almacenados.
Considere utilizar software de supervisin de flujos de datos en tiempo real para conocer
los movimientos de datos.
Identificar los requisitos
normativos y de proteccin
de la privacidad
Asignar propietarios
delosdatos
Garantizar la proteccin
delos datos
Desarrolle un programa que detalle los propietarios de los datos y sus responsabilidades.
Establezca una poltica para definir los requisitos de seguridad de los datos en
movimiento y en reposo.
Revisar el programa
conregularidad
Gestin de cambios
Defina un proceso de gestin de riesgos para los datos de manera que se revisen
anualmente las polticas y los procedimientos.
Gestin de riesgos
Temas principales
Casi todo el malware actual ha sido diseado para ejecutarse desde la memoria
del sistema principal y en la CPU. Ocurre as desde hace dcadas y por este
motivo, la inmensa mayora de las herramientas de defensa y de anlisis forense
basadas en el host se desarrollan partiendo de esta idea. Cualquier excepcin
a esta norma hay que estudiarla con detenimiento y ha dado quebraderos de
cabeza a muchos profesionales de la seguridad de la informacin este ao.
Ya hace aos que se observan ataques de malware a unidades de procesamiento
grfico (GPU) con mayor o menor intensidad. De hecho, ese tipo de malware lleva
en circulacin y activo desde hace al menos cuatro aos: troyanos mineros de
bitcoins que aprovechan el fantstico rendimiento de la GPU para incrementar
las ganancias que obtienen de cada sistema infectado.
ltimamente se ha despertado de nuevo el inters por este tema, tras la aparicin
de los principios del cdigo de prueba de concepto en GitHub, el host de cdigo
ms grande del mundo.
"Team JellyFish" public tres proyectos sobre este asunto por entonces. Se supone
que este nuevo cdigo va un paso ms all y no se limita a aprovechar la eficacia
de la GPU para el procesamiento bruto, sino que emplea la arquitectura como
instrumento de evasin mediante la ejecucin de cdigo y el almacenamiento
de los datos, en un lugar que nadie controla. En las pginas de cada proyecto de
GitHub aparecen las siguientes descripciones:
Demon, un registrador de pulsaciones (keylogger) para GPU que se describe
con las siguientes funciones:
JellyFish, descrito como un rootkit para GPU basado en Linux, que ofrece
algunas ventajas:
Temas principales
La arquitectura unificadade
dispositivos de cmputo
(CUDA, Compute Unified Device
Architecture), de NVIDIA, esuna
plataforma informtica en paralelo
y un modelo de API que permite
a los desarrolladores desoftware
utilizar unidades GPU con CUDA
para procesamiento con fines
generales. La plataforma CUDA
ofrece acceso directo al conjunto
de instrucciones virtuales
yelementos computacionales
enparalelo de la GPU.
Para responder a estas afirmaciones, McAfee Labs cre una lista de miembros
del grupo Visual and Parallel Computing Group (VPG) de Intel por su experiencia
para ayudar a determinar su validez. En el apartado siguiente se exponen las
respuestas sobre las reas de especializacin que ofrece Intel, concretamente
grficos integrados y OpenCL, aunque la mayora de los datos afectan a tarjetas
grficas especficas y a la plataforma CUDA de NVIDIA.
Temas principales
Resumiendo
Las amenazas contra las GPU son una preocupacin real. Sin embargo, ese tipo
de ataques todava no ha alcanzado el nivel de la tormenta perfecta. Por un lado,
revertir su ingeniera y realizar el anlisis forense de dichas amenazas es mucho
ms complejo y complicado que en el caso de sus equivalentes contra laCPU,
yesto puede provocar que una infeccin pase desapercibida durante ms tiempo.
Al trasladar parte del cdigo malicioso fuera de la CPU y la memoria del host,
sereduce la superficie de deteccin, lo que complica la deteccin de los ataques
a los sistemas de defensa basados en el host. Por otro lado, no se ha eliminado
completamente la superficie de deteccin. En el peor de los casos, quedan trazas
de la actividad maliciosa, lo que permite a los productos de seguridad para
endpoints detectar y corregir la amenaza.
Existen algunos paralelismos entre el malware para las GPU y los rootkits del
kernel de Windows que observbamos hace unos 10 aos. Uno de los requisitos
de los rookits del kernel era la ejecucin de cdigo malicioso con privilegiosque,
una vez ejecutado, poda ocultar su presencia. Adems, las herramientas de
anlisis de rootkits eran ms limitadas. Ahora es ms difcil que nunca que un
agresor consiga y ejecute cdigo con privilegios (algo que sigue siendo necesario
en el caso del malware para GPU ms catastrfico). Los productos de seguridad
incorporaron defensas especficas contra rootkits y Microsoft distribuy una serie
de protecciones del kernel, incluida PatchGuard, la implementacin de firma de
controladores, ELAM (Early Launch Anti-Malware), el arranque seguro y otras
funciones de defensa. Muchas de estas protecciones juegan un papel importante
contra los ataques a la GPU asistidos por kernel de Windows.
Un avance reciente que afecta a la viabilidad del malware para las GPU en
determinados sistemas es la funcin Device Guard de Microsoft, que aprovecha
la unidad de gestin de memoria de entrada/salida (en el caso de Intel, la
tecnologa de virtualizacin para E/S dirigida o Intel VT-d) en hardware para
permitir a los administradores bloquear dispositivos de manera que nicamente
se ejecuten las aplicaciones de confianza y firmadas por Microsoft. Aunque esta
funcin solo est disponible en determinadas circunstancias, puede proporcionar
ms seguridad a los encargados de proteger la informacin crtica.
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 28
Temas principales
Compartir opinin
1.er trim.
4. trim.
Total de malware
para mviles
Total Mobile
Malware
9 000 000
El nmero total de muestras de
malware para mviles creci un
17% en el 2. trimestre.
8 000 000
7 000 000
6 000 000
5 000 000
4 000 000
3 000 000
2 000 000
1 000 000
0
3.er trim. 4. trim.
2013
1.er trim.
4. trim.
10 %
8%
6%
4%
2%
0%
frica
Asia
Australia
Europa
y frica
Amrica
del Norte
Amrica
del Sur
Tasas mundiales
de infeccin
porInfection
malwareRates
para mviles
Global Mobile
Malware
30 %
25 %
20 %
15 %
10 %
5%
0%
4. trim.
2013
1.er trim.
2. trim.
3.er trim.
2014
4. trim.
1.er trim.
2. trim.
2015
Malware
Malware
NuevoNew
malware
60 000 000
50 000 000
40 000 000
30 000 000
20 000 000
10 000 000
0
3.er trim. 4. trim.
2013
1.er trim.
4. trim.
Total deTotal
malware
Malware
500 000 000
4. trim.
New Rootkit
Nuevos
rootkitsMalware
120 000
100 000
80 000
60 000
40 000
20 000
0
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2013
2014
2015
Total
Rootkit Malware
Total
de rootkits
1 800 000
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4. trim.
2013
1.er trim.
4. trim.
Nuevo New
ransomware
Ransomware
1 400 000
El ransomware sigue creciendo
agran velocidad: en el 2.trimestre
el nmero de muestras nuevas se
increment un 58%. Talycomo
afirmamos enel Informe de
McAfeeLabs sobre amenazas
demayo de 2015 , atribuimos
esteincremento al rpido
crecimiento de nuevas familias
como CTB-Locker yCryptoWall,
entreotras. Elnmero total de
muestras de ransomware creci
un127% elao pasado.
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4. trim. 1.er trim.
2013
Ransomware
Total deTotal
ransomware
4 500 000
4 000 000
3 500 000
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
3.er trim. 4. trim.
2013
1.er trim.
4. trim.
Nuevos archivos
maliciosos
New binarios
Maliciousfirmados
Signed Binaries
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
3.er trim. 4. trim.
2013
1.er trim.
4. trim.
Total de archivos
maliciosos
Total binarios
Maliciousfirmados
Signed Binaries
20 000 000
18 000 000
16 000 000
14 000 000
12 000 000
10 000 000
8 000 000
6 000 000
4 000 000
2 000 000
0
3.er trim. 4. trim.
2013
1.er trim.
4. trim.
Amenazas web
New
Suspect URLs
Nuevas URL
sospechosas
35 000 000
30 000 000
25 000 000
20 000 000
15 000 000
10 000 000
5 000 000
0
3.er trim. 4. trim.
2013
URL
1.er trim.
4. trim.
Dominios asociados
New
Nuevas URL
dePhishing
phishingURLs
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
3.er trim. 4. trim.
2013
URL
1.er trim.
4. trim.
Dominios asociados
New
Nuevas URL
deSpam
spamURLs
2 000 000
Las nuevas URL de spam y sus
dominios se dispararon un 380%
en el 2. trimestre. La mayor parte
de este aumento se debe alos
cientos de miles de dominios
autogenerados o secuenciales
dedicados a campaas de spam
que descubrimos tras mejorar
nuestra coleccin de listas
negras en tiempo real (Real-time
Blackhole Lists).
1 800 000
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4. trim.
2013
URL
1.er trim.
4. trim.
Dominios asociados
1.er trim.
4. trim.
1.er trim.
2. trim.
Mensajes
de spam
las 10
de bots principales
Spam
Emailsde
From
Topredes
10 Botnets
(millones
de mensajes)
(millions
of messages)
1 400
1 200
1 000
800
600
400
200
0
3.er trim. 4. trim.
2013
1.er trim.
4. trim.
Kelihos
Gamut
Asprox
Cutwail
Otros
Stealrat
Slenfbot
Darkmailer
Dyre
Wapomi
22,0 %
19,9 %
Muieblackcat
Ramnit
2,0 %
Sality
2,7 %
18,4 %
5,1 %
Darkness
Maazben
7,5 %
10,2 %
12,2 %
Dorifel
H-Worm
Otros
McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected,
su innovador enfoque de seguridad reforzada por hardware y su exclusiva red
Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar
soluciones y servicios de seguridad proactivos que protejan los sistemas, las
redes y los dispositivos mviles de uso personal y empresarial en todo el mundo.
IntelSecurity combina la experiencia y los conocimientos de McAfee con la
innovacin y el rendimiento demostrados de Intel para hacer de la seguridad
uningrediente fundamental en todas las arquitecturas y plataformas informticas.
Lamisin de Intel Security es brindar a todos la tranquilidad para vivir y trabajar
deforma segura en el mundo digital. www.intelsecurity.com.
www.intelsecurity.com
1. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_
Top_Threats_in_2013.pdf
La informacin de este documento se proporciona nicamente con fines informativos y para la conveniencia de los clientes
de McAfee. La informacin aqu contenida est sujeta a cambios sin previo aviso y se proporciona "TAL CUAL" singarantas
respecto a su exactitud o a su relevancia para cualquier situacin o circunstancia concreta.
Intel y los logotipos de Intel y de McAfee son marcas comerciales registradas de Intel Corporation en EE.UU. y en otros
pases. Los dems nombres y marcas pueden ser reclamados como propiedad de otros. Copyright 2015 McAfee, Inc.
62058rpt_qtr-q2_0815