1. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Eduardo Godoy
Territory Manager
Chile, Bolivia, Paraguay y Uruguay
1
Ataques avanzados persistentes,
la actual amenaza en la red
2. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 2
La vida era más simple?
3. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
6 de Marzo de 1992
3
Michelangelo
4. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Enero 1999
4
5. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Julio 2001
5
Code Red
6. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 6
NO ERA MAS SIMPLE,
SOLO DIFERENTE
7. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
En 2009,
2.361.414
nuevas instancias de malware fueron creadas.
Eso significa
1.179.000
por día.
En 2015, la cifra fue
430,555,582
7
8. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
En 2015, la cifra fue
14 malware por segundo
8
9. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 9
175M
equipos
57M sensores de
ataque en 157 países
182M Ataques Web
bloqueados el año pasado
3.7T registros de
telemetría
30% del tráfico empresarial
mundial de correo electrónico
escaneado cada día
9 centros de respuesta de
amenazas
6 SOCs
Seguridad sin igual con una visibilidad única (GIN – Global Intelligence Network)
Symantec tiene una visibilidad única del panorama actual de amenazas – GIN la red global civil de inteligencia mas
grande del mundo
10. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Ataques Dirigidos
10
11. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
2012 2013 2014
• Destinatarios
por Campaña
• Número Promedio
de Ataques de
Correo Electrónico
por Campaña
• Campañas
11
2015
Campañas de Ataques Dirigidos
300
600
900
1.200
1.500150
120
90
60
30
12
25
29
122
111
23
18
11
1.305
841
779
408
Aumento de 55%
12. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Vulnerabilidades de Día Cero
12
13. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
2006
14
2007 2008 2009 2010 2011 2012
0
2
4
6
8
10
12
14
16
13
15
9
12
14
8
Vulnerabilidades de Día Cero
2013 2014
24
23
2015
54
13
14. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Violaciones de Identidades
14
15. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
232
93
552
348
429
0
100
200
300
400
500
600
2011 2012 2013 2014 2015
MILLONES
15
Total de Identidades Expuestas
+23%
500
+30%
ESTIMADO
16. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Vulnerabilidades en Sitios Web
16
17. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 17
18. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Ransomware
18
19. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
CRYPTO-RANSOMWARE
“TASA”
LOCKER RANSOMWARE
“MULTA”
AV FALSO
“LIMPIEZA”
APLICATIVO
FRAUDULENTO
“CORRECCIÓN”
2014-20152012-20132010-2011
Trayectoria de Evolución
2005-2009
19
20. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 20
El Dominio Creciente de Crypto-Ransomware
APLICATIVO
FRAUDULENTO
AV FALSO LOCKER RANSOMWARE CRYPTO-RANSOMWARE
21. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 21
Familias de Ransomware
• Android
• Linux
• OSX
22. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Profesionalización del Cibercrimen
22
23. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 23
Fraudes de Soporte Técnico – Llamadas de Call Centers ("Boiler Rooms")
para dar Soporte al Fraude
Hola señor,
Su computadora está infectada.
Por favor, adquiera nuestro plan
de soporte por US$ 75 para que
podamos ayudarlo ...
24. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
TeslaCrypt Ransomware – Soporte Técnico Disponible
24
Mayo 19 de 2016
25. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Banda Criminal Dridex - Número Conocido de Spams Ejecutados
Diariamente
25
26. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Cuando los Cibercriminales
Trabajan en Call Centers, Escriben Documentaciones
y Descansan el Fin de Semana
Usted Sabe que es una Profesión.
26
27. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
Datasheet de Chile
27
28. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 28
29. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 29
30. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 30
31. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 31
Ataques por correo electrónico
32. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21 32
34. Copyright 2016, Symantec CorporationInforme sobre las Amenazas a la Seguridad en Internet 2016 - Volumen 21
PREVENGA
Detener ataques
DETECTE RESPONDA
Contención y
Remediación de
problemas
RECUPERE
Restauración de
Operaciones
LA PREVENCIÓN POR SI SOLA NO ES SUFICIENTE
34
IDENTIFIQUE
Saber en donde
esta la
información
importante
Encontrar
invasiones
On March 6, if the PC is an AT or a PS/2, the virus overwrites the first one hundred sectors of the hard disk with nulls. The virus assumes a geometry of 256 cylinders, 4 heads, 17 sectors per track. Although all the user's data would still be on the hard disk, it would be irretrievable for the average user.
The worm installs itself and runs in the background of a victim's machine, without their knowledge. It is generally considered the first virus to propagate by email, and has served as a template for the creation of other self-propagating viruses. Happy99 has spread on multiple continents, including North America, Europe, and Asia.
Code Red was a computer worm observed on the Internet on July 15, 2001. It attacked computers running Microsoft's IIS web server.
Symantec descubrió más de 430 millones de nuevas instancias únicas de malware en 2015, un aumento del 36 % en relación al año anterior. Quizás lo más interesante es que esa cifra no nos sorprende más. Como la vida real y la vida online se tornan indistinguibles entre si, el cibercrimen se ha tornado una parte de nuestras vidas diarias. Los ataques contra las empresas y las naciones llegan a los titulares de prensa con tanta frecuencia que se tornan apenas una noticia más.
Symantec descubrió más de 430 millones de nuevas instancias únicas de malware en 2015, un aumento del 36 % en relación al año anterior. Quizás lo más interesante es que esa cifra no nos sorprende más. Como la vida real y la vida online se tornan indistinguibles entre si, el cibercrimen se ha tornado una parte de nuestras vidas diarias. Los ataques contra las empresas y las naciones llegan a los titulares de prensa con tanta frecuencia que se tornan apenas una noticia más.
Los ataques de spear phishing son menos propensos a levantar sospechas con campañas menores, más cortas y con pocos destinatarios como objetivo. Hace algunos años, una campaña de ataque dirigido era enviada a cien o más individuos, cualquiera de los cuales podría sospechar del ataque y avisar a la organización. Con menos personas, se reduce demasiado esa probabilidad.
Si bien ha disminuido el número de correos electrónicos enviados, lo mismo no ha ocurrido con el número de ataques o campañas.
Desde 2012, hemos visto un constante descenso del número de correos electrónicos enviados y del número de destinatarios por campaña.
Eso indica que los ataques, a pesar de ser cada vez más selectivos en sus objetivos concretos, están usando menos correos electrónicos para llegar a su objetivo. Es un movimiento más sigiloso. Ellos quieren evitar que las organizaciones tengan conocimiento acerca de los ataques.
Asimismo, están efectuando más reconocimientos iniciales - antes de lanzar sus ataques - para entender a quienes desean atacar y como pueden perfeccionar su ingeniería social en relación a esos blancos, necesitando enviar menos correos electrónicos y correr menos riesgo de ser descubiertos.
En 2015, hubo un aumento del 55% en las campañas.
Ésta es una visión acerca de las vulnerabilidades de día cero desde 2006.
Entre 2006 y 2012, las vulnerabilidades de día cero se descubrieron en un ritmo bastante consistente. Si bien hemos visto una variación máxima de 15 y una mínima de 8 en un año, la cifra ha oscilado anualmente entre estos límites.
En 2013, el número de vulnerabilidades de día cero (23) se duplicó en relación al año anterior. Cuando esa cifra se mantuvo el año siguiente (24), creíamos que habíamos llegado a un nuevo nivel, indicando el papel fundamental que las vulnerabilidades de día cero ejercían en los ataques dirigidos. Dado el valor de esas vulnerabilidades, no nos sorprende que se haya desarrollado un mercado para atender a la demanda y que el número de vulnerabilidades descubiertas de día cero presente un crecimiento anual.
La mayoría de los ataques de día cero vistos en 2015 tenían como objetivo las tecnologías antiguas y "fieles" que fueron atacadas por años. 10 vulnerabilidades diferentes de día cero contra Flash Player de Adobe fueron blancos de ataques durante el año. Microsoft recibió igual atención por parte de los desarrolladores maliciosos de día cero, si bien las 10 vulnerabilidades de día cero encontradas con su software como blanco fueron distribuidas entre Microsoft Windows (6x), Internet Explorer (2x) y Microsoft Office (2x). El sistema operativo Android también fue atacado por cuatro vulnerabilidades de día cero en 2015.
Se estableció un nuevo récord, próximo al fin de año, cuando 191 millones de identidades fueron expuestas, superando el récord anterior de la mayor violación única de datos.
Ayudado en gran parte por esta gigantesca violación, la cifra total global de identidades expuestas creció un 23 %, para 429 millones. Lo más alarmante es que este número probablemente sea mucho mayor, debido a la creciente tendencia de las organizaciones en limitar la información divulgada sobre la magnitud de las violaciones que sufren. En 2015, el número de violaciones reportadas que no incluyeron un número de identidades expuestas aumentó un 85 %, de 61 para 113. Symantec estima que si esas violaciones fuesen reportadas con números completos, el total de identidades expuestas sería por lo menos de quinientos millones.
El ransomware moderno fue creado a partir de malware de generación de ingresos directos (pago).
Aplicativos fraudulentos - pagar por licencia para corregir problemas (Agresión = Baja)
AV Falso - pago de licencia/suscripción para limpiar la computadora y por soporte (Agresión = Mediana)
Locker - Bloquea la computadora, solicita el pago de multa por cometer crímen. (Agresión = Alta)
Crypto - Cifra archivos, solicita el pago de una tasa para descifrar los archivos. (Agresión = Más Alta)
Actualmente existen en circulación dos formas principales de ransomware:
• Locker ransomware (bloqueo de la computadora): Niega el acceso a la computadora o dispositivo
• Crypto-ransomware (bloqueo de los datos): Impide el acceso a archivos o datos.
Crypto-ransomware no necesariamente precisa usar cifrado para impedir que los usuarios accedan a sus datos, pero la gran mayoría de las
instancias lo utiliza. Ambos tipos de ransomware se enfocan directamente en nuestro estilo de vida digital. Son proyectados para negarnos el acceso a algo que deseamos o necesitamos y nos ofrece a cambio algo que nos pertenece por derecho, mediante el pago de un rescate. A pesar de que tengan objetivos semejantes, los abordajes adoptados por cada tipo de ransomware son bien distintos.
Las deficiencias en todos los otros esquemas de extorsión ha llevado a los cibercriminales a volver al modelo original
de ransomware. Desde 2013 hasta la actualidad, los ataques retornaron su enfoque a crypto-ransomware. Crypto-ransomware normalmente no usa ingeniería social; al contrario, es directo sobre sus intenciones y exigencias. Las
amenazas generalmente exhiben un mensaje de extorsión, ofreciendo la devolución de los datos mediante el pago de considerables rescates.
Crypto-ransomware aumentó el valor exigido de rescate a un nuevo nivel. Una amenaza típica de crypto-ransomware solicita el pago de alrededor de US$ 300 para una única computadora. Las amenazas actuales de crypto-ransomware son mucho más
capaces de que sus antecesores, con procedimientos operativos y de cifrados más fuertes.
Otra forma de observar el crecimiento de ransomware es por el número de familias. Una familia es una nueva instancia de malware, que puede tener muchas variantes únicas, sin embargo todas funcionan del mismo modo. Este gráfico muestra como las nuevas familias han entrado en escena, reflejando el creciente número de bandas cibercriminales involucradas. Y podemos ver de esta forma la expansión hacia plataformas además del PC.
Finalmente, ¿usted recuerda aquellos fraudes de soporte técnico? Eso, tan solo es posible porque la organización administra Call Centers repletos de personas dispuestas a responder las llamadas. Sus operadores están a disposición.
TeslaCrypt es uno de los crypto-ransomware más sobresalientes en el mercado. Ofrece una interfaz profesional. Ha creado su propia marca - al contrario de la mayoría de instancias de malware, el mismo se creó un nombre, no esperó que las investigaciones de seguridad lo hiciesen. Y ofrece soporte técnico.
Ahora vamos a observar la banda cibercriminal Dridex. Ellos infectan a los usuarios con troyanos bancarios para robar dinero de las cuentas bancarias de las víctimas. El malware es enviado a las víctimas a través de spam. Se envían de 2 a 8 campañas de spam por día. Excepto los fines de semana y feriados.
Even with a solid foundation and a strong approach to Threat Protection, the evidence shows that a breach of some kind is inevitable.
Organizations need to make solid preparations, not only to be able to respond to problems when they are discovered, but shift from a pure prevention strategy – that is, attempting to keep 100% of the threats off of the endpoints and out of the network - to a more comprehensive approach that focuses on prevention, detection and response.
Well, for one thing, today’s security products are largely not integrated – SOC analysts need to examine many distinct consoles and manually “connect the dots” to get visibility into suspicious activity in their environment. Or, they may need to export log files from various products into a 3rd-party Security Incident and Event Manager (SIEM) and create complex rules in an effort to uncover new threat activity. Then, once a security team does learn about an attack inside their organization, it can require days, weeks, or even months to completely remediate it.