View
248
Download
3
Category
Preview:
Citation preview
Amenazas durante el mes de Mayo 2016
Tao DambrevilleInside Solution Systems Eng.
Sebastian Brenner, PCIP, CISSPSecurity Strategist
Felipe Silgado, CISSP, CISMSystems Engineer Manager
Copyright © 2015 Symantec Corporation
Felipe SilgadoSystems Engineer Manager
Felipe_silgado@symantec.com
Ingeniero de Sistemas con mas de 15 años de experiencia en Project Management e Information Security; Posee un Post Grado en IT Management. Cuenta con una amplia experiencia en consultoría y manejo de entrega de proyectos y esta certificado como PMP, ITIL Foundations, CISSP, CISM, CRISC, ISO 27001 Lead Auditor y ABCP.
Tao DambrevilleInside Solution Systems Eng.
Tao_dambreville@symantec.com
Integrante del equipo de Ingeniería de SOS, un equipo de especialistas online que se encargan de recomendar y resolver todo tipo de problemas de seguridad con clientes en toda América Latina y el Caribe. Tao nació en Haití y es fluente en español, inglés y francés. Tiene dos años con Symantec y está ubicado en la oficina de Miami.
Sebastian BrennerSecurity Strategist
Sebastian_brenner@symantec.com
Participantes
Cuenta con más de 11 años de experiencia en las tecnologías y servicios de Symantec y ha trabajado con organizaciones de Gobierno e Instituciones públicas y privadas en más de 15 países de la región. Es parte de un equipo de Estrategas que se encargan de ayudar a desarrollar y mejorar los programas de Seguridad de los clientes y compartir su experiencia y opinión sobre las últimas tendencias en Ciberseguridad.
Ataques al sistema financiero SWIFT
3Copyright © 2014 Symantec Corporation
SWIFT - Introducción
4
• Society for Worldwide Interbank FinancialTelecommunications
• Sistema propietario de mensajes utilizado por organizaciones para transferencia segura de fondos a traves de patrones de códigos
• Acceso a las redes SWIFT es restringido
4
SWIFTly – Principales Incidentes
Copyright © 2014 Symantec Corporation5
Banco no informado?Reportado por SWIFT
SWIFT MalwareReportado por BAE Systems
SWIFT – Banco Central de Bangladesh
• Descubierto en Febrero 2016
• Transacciones ilegales por $951M via SWIFT
– Del Central Bank of Bangladesh al Federal Reserve Bank NY
– $20M rastreados a un banco en Sri Lanka
– $81M rastretados a un banco en Filipinas
– $850M Cancelados
• Error del criminal: escribio “foundation” como “fandation”.
• Software SWIFT probablemente comprometido.
Copyright © 2014 Symantec Corporation6
SWIFT Malware
• Reportado el 25 de Abril 2016
• Detectado por Symantec como Trojan.Banswift
• Blog Post por BAE Systems
Copyright © 2014 Symantec Corporation7
SWIFT MalwareReportado por BAE Systems
SHA1Data de Compilacion
Tam.(bytes)
Archivo
525a8e3ae4e3df8c9c61f2a49e38541d196e92282016-02-05 11:46:20
65,536 evtdiag.exe
76bab478dcc70f979ce62cd306e9ba50ee84e37e2016-02-04 13:45:39
16,384 evtsys.exe
70bf16597e375ad691f2c1efa194dbe7f60e4eeb2016-02-05 08:55:19
24,576 nroff_b.exe
6207b92842b28a438330a2bf0ee8dcab7ef0a163 N/A 33,848 gpca.dat
Figure from BAE Systems Blog.http://baesystemsai.blogspot.com.au/2016/04/two-bytes-to-951m.html
Casos durante el mes de Mayo
• Anunciado el 13 de Mayo de 2016• Informaron haber descubierto un segundo incidente con transacciones fraudulentas SWIFT• Muchas semejanzas con el incidente del Bank of Bangladesh• SWIFT no informo el nombre del banco o detalles de la transaccion.• Atacantes mostraron un conocimiento profundo y sofisticacion de controles operacionales especificos
• Anunciado el 15 de Mayo 2016• Trataron de transferir $1.1M USD• "did not cause any losses. It had no impact on the SWIFT system in particular and the transaction system
between the bank and customers in general,“• Ataque pudo ser facilitado por un malware
• 20 de Mayo 2016• Transferencia de $12M USD• Sin detalles sobre la herramienta utilizada en este incidente o si existe un enlace con los ataques en
Asia.
8
Banco no informado?Reportado por SWIFT
http://www.symantec.com/connect/blogs/swift-attackers-malware-linked-more-financial-attacks
Ransomware - Teslacrypt
9Copyright © 2014 Symantec Corporation
10
El Dominio Creciente de Crypto-Ransomware
APLICATIVO FRAUDULENTO
AV FALSO LOCKER RANSOMWARE CRYPTO-RANSOMWARE
Aumento del 35% en Ataques de Crypto-Ransomware
11
35%
TeslaCrypt cierra su operación
12
Mayo 19 de 2016
Recomendaciones
13
No pagar el rescate! Sensibilización a los usuarios Utilizar Symantec SEP y configuración avanzada Utilizar Mail Security o email Security.cloud Utilizar Symantec ATP EndPoint, Symantec ATP Network y Symantec ATP for email BackUp de datos de usuarios y servidores Mantener los sistemas con los últimos parches Limitar los permisos de usuarios en sus equipos (no admin.) Restringir los permisos de accesos a carpetas compartidas
Servicios de Consultoría de Symantec Servicios de Ciberseguridad (CSS) de Symantec
o MSSo DeepSighto Simulationo IR (Incident Response)
http://www.symantec.com/connect/blogs/ransomware-dos-and-donts-protecting-critical-data
Protección contra Ransomware
14Copyright © 2014 Symantec Corporation
Protección contra Ransomware y Eliminación con Symantec Endpoint Protection
Copyright © 2014 Symantec Corporation15
No hay garantía que los atacantes descifran los datos una vez que le pagan las victimas.
Usan el dinero del rescate para financiar ataques adicionales.
Desplegar y habilitar estas protecciones de Symantec Endpoint Protection:• IPS: (Sistema Prevención de Intruso) • SONAR: Protección basado en el comportamiento. • Download Insight:
http://www.symantec.com/connect/blogs/ransomware-protection-and-removal-symantec-endpoint-protection
Internet Security Threat Report
16Copyright © 2014 Symantec Corporation
Estadisticas Importantes
ISTR: Evaluando Violaciones de DatosUn examen detallados de las violaciones de datos, como ocurren los ataques y el riesgo que representa para su organización.
Copyright © 2014 Symantec Corporation17
• Según el informe ISTR de 2016, la cantidad de brechas revelada al publico llegó a 318 en 2015.
• Aunque las violaciones solamente salen en las noticias cuando impactan a millones de victimas, representaron tan solo 3% de la cantidad de violaciones reportadas en 2015.
• La cantidad promedia de identidades expuestas en 2015 era 4.885.
• En 2015, 429 millones de identidades fueron expuestos. • Aumento de 85% en la cantidad de violaciones sin
reporte de cuantas identidades expuestas.• Estimamos 1/2 mil millones en total en 2015.
http://www.symantec.com/connect/blogs/istr-insights-sizing-data-breaches
Megafugas – LinkedIn 117M
18Copyright © 2014 Symantec Corporation
232
93
552
348
429
0
100
200
300
400
500
600
2011 2012 2013 2014 2015
MIL
LON
ES
19
Total de Identidades Expuestas
+23%
500
+30%
ESTIMADO
Megafugas 2015
20
Noticias relevantes
Copyright © 2014 Symantec Corporation21
Recomendaciones
Copyright © 2014 Symantec Corporation22
Recomendaciones
23
Sensibilización a los usuarios Cerrar brechas comunes como: vulnerabilidades no corregidas, passwords por defecto, SQL injection,
malware) Implementar soluciones o servicios de correlación de eventos con inteligencia global Solución de Symantec DLP (EndPoint, Network, Web e Email) Solución de Symantec Encryption (EndPoint, Email, etc.) Procedimientos técnicos y políticas de cumplimiento de TI (por ejemplo chequeos de passwords y
configuración de políticas de passwords, configuraciones de servidores y firewall a nivel de hardening, manejo de parches, etc.)
Restringir los permisos de accesos a aplicaciones, carpetas compartidas y repositorios de datos
Servicios de Consultoría de Symantec Servicios de Ciberseguridad (CSS) de Symantec
o MSSo DeepSighto Simulationo IR (Incident Response)
http://eval.symantec.com/mktginfo/enterprise/other_resources/b-6-steps-prevent-data-reach_20049431-1.en-us.pdf
Exposicion de datos personales en Mexico
24Copyright © 2014 Symantec Corporation
Base de datos desprotegida expuso a millones de votantes mexicanos
• Chris Vickery, Investigador de Seguridad, descubrió que un servidor alojado en la nube de Amazon contenía la información de más de 93.4 millones de votantes mexicanos
• Más del 72% de la población mexicana.
• La base de datos era el “Padron Electoral,” la lista de todos losMexicanos registrados para votar hasta Febrero 2015
• Nombres, direcciones y números de identificación nacional de votantes registrados en México
• Instituto Nacional Electoral (INE), la autoridad electoral Mexicana,ha confirmado que el problema es legitimo
• La causa se encuentra bajo investigación.
Copyright © 2014 Symantec Corporation25
Tactical Cyber Security Checklist
26Copyright © 2014 Symantec Corporation
Tactical Cyber Security Checklist
Copyright © 2014 Symantec Corporation27
http://www.symantec.com/connect/blogs/tactical-cyber-security-checklist
Recomendaciones
28
Servicios de Consultoría de Symantec Servicios de Ciberseguridad (CSS) de Symantec
o MSSo DeepSighto Simulationo IR (Incident Response)
https://www.symantec.com/services/cyber-security-services
Uso de certificados digitales en malware
29Copyright © 2014 Symantec Corporation
Malware esta siendo firmado con multiples certificados para evitardeteccion
• Symantec ha observado recientemente varias familias de malware firmadas con varios certificados digitales
• Históricamente, los ataques se han centrado en el algoritmo SHA1
• A principios del año pasado, Microsoft anunció la suspensión de soporte para archivos firmados digitalmente con una firma SHA1 después del 1 de enero de 2016.
Copyright © 2014 Symantec Corporation30
• Últimamente nos encontramos con una campaña de spam utilizando un documento de Word malicioso que descarga payload para comprometer el computador
• El ¨payload¨ es reconocido por Symantec como Trojan.Carberp.B, un troyano financiero bien conocido que se dirige a las instituciones financieras y sus clientes
http://www.symantec.com/connect/blogs/malware-being-signed-multiple-digital-certificates-evade-detection
Reconstruyendo el ataque
• Comienza cuando un usuario desprevenido recibe el correo electrónico malicioso con el titulo, "ATTN 00890".
• El archivo adjunto malicioso contiene una macro maliciosa
• El archivo descargado, sexit.exe, se instala en los sistemas comprometidos sin el conocimiento de la víctima.
• La computadora de la víctima ha sido infectada con Trojan.Carberp.B .
Copyright © 2014 Symantec Corporation31
• sexit.exe muestra que utiliza dos certificados digitales robados para evitar su detección. Un certificado usa SHA1 mientras que el otro certificado usa SHA2
• Archivos firmados con varios certificados digitales mantienen su estado firmado incluso después de que una de las firmas haya sido revocado.
• Symantec Email Security.cloud , Symantec Messaging Gateway , y Symantec Mail Security para Microsoft Exchange pueden proporcionar capas adicionales de seguridad contra este tipo de amenaza. Los productos de Symantec y Norton tienen múltiples detecciones para proteger contra esta amenaza
Cuentas de Twitter Hackeadas
32Copyright © 2014 Symantec Corporation
Cuentas Pirateadas de Twitter están publicando enlaces a sitios de citas para adultos y anuncios personales de sexoMas de 2.500 cuentas de Twitter fueron afectadas
33
http://www.symantec.com/connect/blogs/hacked-twitter-accounts-are-posting-links-adult-dating-and-sex-personals
• Cambiaron:• Fotos de perfiles• Biografías y• Nombres.
Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Gracias!
Próximo Webinar:Sacandole la mayor ventaja a Data Loss Prevention 14.5
Recommended