6. Que es Malware?
Malware (del inglés malicious
software), también
llamado badware, software
malicioso o software
malintencionado es un tipo
de software que tiene como objetivo
infiltrarse o dañar
una computadora sin el
consentimiento de su propietario.
Fuente: Wikipedia
Preparado por:
9. Malware gana la batalla a los antivirus
• Los cibercriminales tienen la posibilidad de
traspasar la defensa ofrecida por los
antivirus entre 10% y 45%, además de
contar con una probabilidad de 25% a
97% de comprometer los equipos. Estos
resultados pueden variar según la
protección que se éste utilizando.
• Norton Internet Security 2010 de
Symantec logró detener 72% de los
ataques de malware y 64% de las
vulnerabilidades, pero no reaccionó ante
28% y 36% restante en cada caso.
Fuente: bSecure NSS Labs
Preparado por:
11. Que son los exploits?
• Exploit (del inglés to
exploit, explotar o aprovechar) es
una pieza de software, un fragmento
de datos, o una secuencia
de comandos con el fin de
automatizar el aprovechamiento de
un error, fallo o vulnerabilidad, a fin
de causar un comportamiento no
deseado o imprevisto en los
programas informáticos, hardware, o
componente electrónico (por lo
general computarizado)
Fuente: Wikipedia
Preparado por:
14. Crimeware
• Crimeware es cualquier tipo de malware que ha sido diseñado y
desarrollado para perpetrar un crimen del tipo financiero o
económico.
Preparado por:
15. Modelo Globalizado
• El modelo de negocio que se crea en torno al crimeware tiene su origen
en países de Europa del Este, particularmente en la zona europea de
Rusia, y es llevado a cabo por personas malintencionadas que utilizan
estas aplicaciones en beneficio del desarrollo de una economía
clandestina.
Preparado por:
• Estas actividades fraudulentas y
dañinas están siendo imitadas por
países de América Latina como
Brasil, México, Perú y Argentina
16. Rentabilidad
Rentabilidad obtenida por un spammer
Gastos
• Compra del troyano escrito a medida: U$S 2.000
• Alquiler de la botnet: U$S 5.000
• Costos totales: U$S 7.000 (cabe destacar que se puede alquilar
la botnet sin comprar el troyano, y viceversa)
Ganancias
• Un troyano diseñado para enviar spam, infecta 1.000 sistemas
• Cada sistema infectado envía 100.000 correos
• Un anunciante (advertiser), persona que contrata el servicio,
paga U$S 0,002 por cada
correo
• Ganancia: 1.000 * 100.000 * 0,002 = U$S 200.000
Rentabilidad
• Ganancia Neta (Ganancia - Costos): U$S 200.000 - U$S 7.000 =
U$S 193.000
• Índice de rentabilidad (Ganancia / Costos): U$S 193.000 / U$S
7.000 = 25 veces
Preparado por:
17. Rentabilidad
Rentabilidad obtenida por Phising
Gastos
• Un kit de phishing puede adquirirse por U$S 10
• Costo de una base de datos de correo : U$S 8
• Alquiler de servidor para enviar correo, por día: U$S 120
• Se envían 100.000 correos cada 6 hs. (400.000 en el día).
• Sitio vulnerado para alojar la página falsa: U$S 10
• Tarjeta de Crédito válida : U$S 8
• Registro del dominio (con la Tarjeta de Crédito): U$S 10
Costos totales: U$S 166
Ganancia
• La tasa de éxito de un correo de phishing es de 0,0001. Una persona es engañada
cada
10.000 correos enviados (con 400.000 correos diarios son engañados 40 usuarios)
• Promedio de ganancia (dinero u objetos) obtenido por cuenta robada: U$S 1.000
• Ganancia: 40 * U$S 1.000 = U$S 40.000
Rentabilidad
• Ganancia Neta (Ganancia - Costos): U$S 40.000 - U$S 166 = U$S 39.834
• Índice de rentabilidad (Ganancia / Costos): 39.834 / 166 = 240 veces
18. Cybercrime-as-a-Service (CaaS)
• El proceso inicial de
publicidad y marketing se
realiza a través de foros
clandestinos, donde se
oferta el crimeware; sin
embargo, durante 2009 se
vieron casos donde la
campaña de marketing se
realizaba a través de redes
sociales y páginas web.
Preparado por:
19. Forma de Contacto
• La segunda etapa corresponde a
la del contacto que entabla un
potencial comprador con el
desarrollador del crimeware
quien además ofrece
asesoramiento a sus clientes.
• Esta acción se lleva a cabo
generalmente a través de
clientes de mensajería
instantánea, siendo ICQ uno de
los canales más utilizados.
Preparado por:
20. Comercialización
• El tercer paso del ciclo de
comercialización es la
realización de la compra. En
esta fase el cliente debe realizar
el pago por el crimeware a
través de servicios que permiten
realizar transacciones
comerciales y son difíciles de
rastrear.
• Generalmente, el mecanismo
se lleva a cabo a través de
servicios de transacciones en
línea como los ofrecidos por
WebMoney, e-Gold o Z-
PAYMENT.
Preparado por:
21. Programas de afiliados
• Otra alternativa dentro del ciclo de
comercialización es la adhesión,
por parte de los delincuentes
informáticos, a un “programa de
afiliados”. Se trata de un sistema
que se encarga de administrar,
controlar y proveer el código
dañino que es objeto de
propagación.
• Quienes se adhieren a los
programas de afiliados reciben un
porcentaje de dinero en concepto
de comisión, por la venta y/o
instalación exitosa de cada
amenaza, que suele rondar entre
el 30% y el 40%.
Preparado por:
22. Caso Mariposa
Desmantelan el botnet Mariposa que controlaba 13
millones de PCs
Gran logro el que ha hecho la Guardia Civil de España, en
colaboración con elFBI y la firma Panda Security, al
desmantelar una importante red de bots llamada
“Mariposa”, la cual controlaba más de 13 millones de
afectaba a importantes empresas y entidades financieras de
todo el mundo.
Las autoridades arrestaron a tres personas que se presume
eran los principales responsables de la red de bots, e
intervinieron ordenadores que almacenaban los datos
personales de más de 800.000 usuarios.
Los tres arrestados son ciudadanos españoles y se
enfrentan a una condena máxima de seis años de prisión en
caso de ser declarados culpables.
El botnet Mariposa fue detectado en mayo de 2009 por la
empresa Defence Intelligence, quienes tras descubrir que
era operado dede España se unieron con Panda Security
para seguirle la pista. De acuerdo con investigadores de la
Guardia Civil, el botnet logró extenderse en más de
190 países. Sin duda es un muy duro golpe, pocas veces
se desarman redes de bots tan grandes.
Preparado por:
24. Ataque a Instalaciones
Energéticas - 2009
Preparado por:
Se cree que un grupo de hackers que pudiera
estar respaldados por el régimen comunista
chino lograron penetrar y comprometer
sistemas y equipos considerados esenciales para
el funcionamiento de la red e infraestructura
eléctricas de los Estados Unidos.
Los ataques fueron dirigidos a las Empresas más
importantes del ramo, al parecer estos ataques
fueron orientados hacia dichos blancos dentro
de Estados Unidos y no necesariamente a una
Empresa en particular.
http://www.theepochtimes.com/n2/content/view/15058/
25. El ataque Google / Aurora
El nombre de "Operación Aurora", se debió al
nombre del archivo que carga el código
malintencionado que fue creado por un grupo de
hackers.
El ataque fue dirigido a las cuentas de correo
electrónico de Google Gmail ™ de activistas chinos
de los derechos humanos y por lo menos tres
docenas de organizaciones de gran tamaño.
Los atacantes tomaron ventaja de una
vulnerabilidad conocida como “zero-day,” (CVE-
2010-0249) en múltiples versiones de Internet
Explorer.
Preparado por:
26. Stuxnet
Preparado por:
A mediados de julio se detecto una amenaza llamada
Win32/Stuxnet.A que poseía la particularidad de
explotar una vulnerabilidad 0-day que permitía la
ejecución de código malicioso dentro de dispositivos
USB sin la necesidad de utilizar un archivo
autorun.inf.
El código de Stuxnet parecía, en aquel entonces,
poseer instrucciones para realizar ataques específicos
a sistemas de control Industrial SCADA ,
particularmente a los productos SIMATIC WinCC y
SIMATIC STEP 7 de la empresa Siemens.
Luego de que mas de 45,000 equipos de control
industrial fueran afectados alrededor del
mundo, esta sospecha ya fue confirmada. Como
dato curioso, el 52,2% de dichas infecciones fueron
detectadas en equipos de instalaciones nucleares
ubicados en Irán.
Fuente: blogs.eset.com
28. Reducir niveles de exposición
Un elemento importante para prevenirse de
incidentes de seguridad es eliminar la mayor
cantidad de vulnerabilidades
• Escanear la red
• Auditar la red
• Implementar Detección de Intrusiones/
Systemas de Prevención
• Establecer modelo de Defensa en
Profundidad
32. Consolidación de Logs
Implementar modelos de Defensa en Profundidad utilizando diferentes
dispositivos.
Firewalls, NIPS, HIPS, AV, AAA, VPN, Eventos, Logs SO
Universal SYSLOG support
AAA
33. Respuesta a Incidentes
Son procedimientos bien definidos
para manejar cualquier situación
imprevista.
Un Plan de Respuesta a Incidentes
incluye:
Acción inmediata
Procesos de Investigación
Forense
Procedimientos de BC y DR
Reporte de incidentes por medio
de los canales adecuados.
Preparado por:
35. En resumen
• La seguridad se basa en un conjunto de
elementos, no en un solo producto o
sistema.
• Si un atacante quiere comprometer su
red, lo va a conseguir solo es cuestión
de tiempo.
• Lo que importa es saber como
reaccionar para minimizar el impacto
• La mejor manera de defenderse es
conocer al enemigo
Preparado por: