PandaLabs Blog

Informe Anual PandaLabs – 2011

Luis Corrons — Tue, 31 Jan 2012 09:04:14 +0000

Hoy publicamos el Informe Anual de PandaLabs correspondiente al año 2011, donde prodréis disfrutar de una perspectiva de las principales noticias de seguridad y cifras sobre lo ocurrido en los últimos 12 meses. Veréis cómo la creación de malware vuelve a batir récord situándose en los 26 millones de nuevos ejemplares, siendo los troyanos el tipo de malware más creado, y algunas historias interesantes sobre cibercrimen y ciberguerra, así como información sobre redes sociales.

Realmente espero que lo disfrutéis, os podéis descargar todos nuestros informes desde aquí.

Video de Katy Perry falso en Facebook

Luis Corrons — Thu, 26 Jan 2012 10:35:34 +0000

A pesar de la cantidad de engaños que se expanden como la pólvora en Facebook, la curiosidad de los usuarios parece que hace que no aprendamos de nuestros errores. En los últimos días hemos visto como un supuesto video casero de Katy Perry y Russell Brand no para de aparecer en los muros de cientos de usuarios. Lo que vemos si uno de nuestros amigos ha caído en la trampa es lo siguiente:

Al pinchar en el enlace para ver el video, llegamos a una página que se hace pasar por Facebook, donde se nos indica que hace falta instalar un plugin para poder ver el supuesto video:

Todos los likes, comentarios, etc. son falsos, ya que se trata de una imagen. Si pinchamos en “Install Plugin” efectivamente si somos usuarios de Firefox o de Chrome se nos instalará un nuevo plugin que lo que hará será empezar a publicar en nuestro muro dicho video. En caso de ser usuarios de Internet Explorer, al no tener un plugin que les pueda hacer este trabajo han optado por diversificar y mostrarnos el siguiente engaño:

Como se puede observar conserva el aspecto de Facebook, para que no nos demos cuenta de que realmente no estamos en la red social. Si pinchamos en cualquiera de los links nos llevará a una página donde nos solicitarán nuestro número de teléfono móvil para así poder pasar a cobrar por sus “servicios”:

Para evitar caer en este tipo de engaños, desde PandaLabs te ofrecemos una serie de consejos que es importante tener en cuenta:

- Desconfía siempre de este tipo de noticias sensacionalistas.
- Antes de hacer click en un enlace que proviene de cualquier contacto, asegúrate de que tu amigo lo ha enviado de forma consciente y no es producto del envío masivo de un gusano como este.
- No aceptes la amistad de alguien que no conoces, eso también ayudará a que tu privacidad se mantenga a salvo.
- Ten siempre actualizado tu sistema operativo y tus navegadores, y cuenta siempre con una protección antivirus instalada y actualizada en tu ordenador.

Y si a pesar de ello caíste en la trampa:

- Revisa los plug-ins de tus navegadores y elimina aquellos que no sean de confianza.
- Revisa las aplicaciones a las que has dado permiso para acceder a tu cuenta de Facebook y elimina aquellas que no conozcas.
- Cambia las claves de tu cuenta de Facebook. Si utilizas las mismas claves en otros servicios, cámbialas también. Siempre es mejor maximizar las precauciones.

Sexo, mentiras y Twitter

Luis Corrons — Tue, 24 Jan 2012 13:03:35 +0000

La semana pasada obtuvimos un nuevo follower en Twitter, Alena Edwards:

No ha realizado ningún tweet, la única información sobre “ella” que podemos obtener es el mensaje que incluye en su perfil, en el que comenta que busca chicos divertidos y muestra un enlace. Probablemente sea un spammer que, en vez de twittear los enlaces, prefiere incluirlo en su biografía. Así que veamos qué ocurre cuando accedemos al enlace:

A primera vista parece el típico sitio de citas, quizás no para relaciones convencionales, sino más bien para momentos algo más “picantes”… Lo que sorprende es el gran número de chicas despampanantes que se encuentran solas y buscan amigos Echad un vistazo a algunas de las fotografías que podemos ver:

Después de comprobar que no existen exploits, etc., intenté obtener más información sobre el dominio, y esto fue lo que encontré:

Por lo que podemos comprobar que este site fue creado el día antes de que Alena comenzara a seguirnos. Tras esto, creé una dirección de correo con la que registrarme, completando todos los campos. Ya estaba registrado, pero no en el dominio en el que estaba, sino en uno nuevo llamado XXXBlackBook. Me informaron de que recibiría un email para activar mi cuenta, por lo que corriendo me fui a mi bandeja de entrada para encontrar el siguiente mensaje:

Una vez completada la validación del registro, ya soy un miembro más. En la misma web tienes una bandeja de entrada en la que otros miembros pueden mandarte mensajes y, en pocos minutos, ya tenía un mensaje nuevo:

Para seguir mi investigación, abrí el mensaje para echarle un vistazo, pero tristemente me encontré esto:

Así que puedo recibir mensajes pero para poder leerlos tengo que hacer upgrade a una cuenta silver o gold… y no es algo barato:

Justo en el momento en que estaba cogiendo mi tarjeta de crédito mi mujer entró en la habitación y tuve que abortar la investigación

Megaupload y la lucha contra el cibercrimen

Luis Corrons — Fri, 20 Jan 2012 10:11:41 +0000

Como ya sabréis a estas alturas, ayer Megaupload fue cerrada por el FBI, acusada de “copyright infringement” (violación de copyright) . Podéis leer la nota de prensa del FBI aquí (en inglés) donde se explican los detalles del caso, y podéis ver cómo cada persona de las acusadas se podrían enfrentar hasta a 50 años de cárcel.

Deberíamos empezar a preocuparnos, ya que el próximo paso podría ser cerrar Google o Bing, ya que al fin y al cabo es lo que utilizamos para encontrar lo que buscamos en Internet, y he sido testigo muchas veces de resultados en dichos buscadores con links de Megaupload. ¿Qué será lo siguiente? ¿Cerrarán Internet?

Anonymous por supuesto a reaccionado, y ha comenzado un ataque DDoS contra varias páginas web, entre las que se encuentran la del Department of Justice (Ministerio de Justicia), RIAA y Universal Music. De nuevo, vemos cómo lo que mejor sabe hacer Anonymous para protestar es lanzar ataques DDoS. Podrían intentar dar información a la gente, etc. pero claro, eso es aburrido para ellos, es mucho más divertido violar la ley.

Volviendo a la nota de prensa del FBI, podemos leer lo siguiente:

This case is part of efforts being undertaken by the Department of Justice Task Force on Intellectual Property (IP Task Force) to stop the theft of intellectual property.

(En la lengua de Cervantes: “Este caso es parte de los esfuerzos realizados por el Grupo de Trabajo sobre Propiedad Intelectual del Ministerio de Justicia para detener el robo de propiedad intelectual”)

Mientras tanto, en el mundo real, miles de millones de dólares son robados cada año por cibercriminales (dinero real, robado de tarjetas de crédito y cuentas bancarias). Pero mientras no haya robo de propiedad intelectual, todo está bien. Un momento, ¿seguro que está bien? Quizás deberían ajustarse algunas prioridades.

El Auge del Ransomware

Luis Corrons — Thu, 19 Jan 2012 11:18:01 +0000

Durante los ultimos mese hemos sido testigos de un incremento en ataques haciendo uso de técnicas de ransomware. Mientras que los primeros que vimos se hacían pasar por Microsoft para amenazar al usuario por haber sido detectado una copia pirata de Windows, y en caso de no pagar la multa contactarían con la policía, los más recientes se hacen pasar directamente por las fuerzas del orden del país en cuestión.

Normalmente estamos acostumbrados a ver la mayoría de estos ataques utilizando como idioma el inglés, en este caso los ataques están localizados, hemos visto cómo han usado el alemán, español, holandés o italiano (entre otros) en función del país de la víctima. Todos los ataques tienen como objetivo algún país europeo, por lo que parece que todos ellos están relacionados y podría ser la misma banda de ciberdelincuentes la que está detrás de los mismos.

El último ha aparecido hace un par de días, en este caso el objetivo es España. El fichero utiliza como icono el siguiente Internet meme:

Una vez que te has infectado, esto es lo que verás en tu escritorio:

El mensaje es claro, dice que ha sido detectado acceso a contenido ilegal desde ese ordenador (desde pornografía infantil a envío de spam con temática terrorista), y que el equipo será bloqueado para evitarlo. Eso sí, podemos solucionarlo pagando una multa de 100€.

Lo peor para el usuario es que realmente bloquea el ordenador, por lo que no es sencillo de eliminar. Para hacerlo, debemos reiniciar el ordenador en modo seguro y analizar el ordenador con una solución antivirus que sea capaz de detectarlo.

Aquí os dejo varios ejemplos de diferentes ataques similares ocurridos en los últimos meses:

Alemán

Holandés

Italiano

Inglés

Español

Tendencias Seguridad 2012

Luis Corrons — Thu, 15 Dec 2011 12:26:58 +0000

Estamos llegando ya al final del año 2011, así que es hora de tratar de ver qué nos podemos esperar los próximos 12 meses:

Redes sociales: Los ataques de ingeniería social funcionan muy bien para engañar a los usuarios de redes sociales, y la utilización de temas populares como las próximas Olimpiadas o las elecciones a la presidencia de Estados Unidos serán un gancho que se utilizará. Las redes sociales también tendrán su importancia ya que cada vez hay más usuarios y se tratará de abusar de estas plataformas para tratar de infectar y sacar provecho de los ejemplares de malware, así como cualquier otra táctica para poder sacar un beneficio (spam, robo de información, etc.).

Crecimiento de malware: Durante los últimos años, el número de ejemplares de malware creados ha crecido de forma brutal, y todo indica que durante 2012 va a continuar esta tendencia. No en vano el malware es el armamento utilizado por los ciberdelincuentes para llevar a cabo sus ataques.

Troyanos: los troyanos seguirán siendo el arma preferida por los ciberdelincuentes para llevar a cabo sus ataques. Durante 2011, 3 de cada 4 nuevos ejemplares de malware creados eran troyanos, la mayoría de ellos diseñados para permanecer de forma silenciosa en nuestro ordenador mientras nos roban toda nuestra información.

Ciberguerra: O quizás sería más adecuado calificarlo de ciberespionaje. 2011 ha sido el año de la historia en el que hemos visto más casos de intrusiones en gobiernos e instituciones de todo el mundo. Desde Nueva Zelanda a Canadá, pasando por Japón y el mismísimo Parlamento Europeo, han sucedido ataques cuya finalidad era la obtención de información. Vivimos en un mundo en el que toda la información se encuentra en formato digital, por lo que el James Bond de turno ya no necesita infiltrarse físicamente en unas instalaciones para robar información, sino que “sólo” le basta con tener ciertas habilidades para poder acceder a los secretos mejor guardados, y todo desde el sofá de su casa. 2012 será un año donde este tipo de ataques será aún más frecuente.

Malware para Mac: mientras observamos cómo la cuota de mercado de Mac va creciendo, vemos también que el interés de los ciberdelincuentes en esta plataforma aumenta. Afortunadamente parece que los usuarios de Mac se van concienciando de que no viven en una plataforma inmune y el uso de antivirus en esta plataforma también ha aumentado, dificultando un poco más el trabajo a los ciberdelincuentes. Durante 2012 crecerá el número de ejemplares de malware para Mac, aunque aún estarán muy lejos de las cifras que existen en PC.

Malware para móviles: hace más de una década ya podíamos encontrar compañías antivirus que nos vendían el apocalipsis en el mundo de los móviles, contándonos que íbamos a sufrir una inundación de ataques en estos dispositivos. Años más tarde, y a pesar de seguir prediciendo lo mismo, la situación no cambió, por lo que empezaron a utilizar el argumento de que no había sucedido gracias a los antivirus para móviles. Evidentemente volvían a estar equivocados; si por la existencia de antivirus se solucionaran los problemas de malware todos viviríamos mucho más tranquilos, pero lamentablemente no somos ni los usuarios ni los fabricantes de software de seguridad los que tomamos este tipo de decisiones, sino los ciberdelincuentes que atacan a las plataformas que más beneficio les pueden reportar. Ya en este contexto, para 2011 vaticinamos un aumento notable en la creación de malware para Android, vaticinio que ha sido confirmado, siendo Android el sistema operativo móvil más atacado durante este año. En 2012 continuarán los ataques a Android, y aumentarán, pero no en forma de epidemia. Sin embargo, a lo que debemos estar atentos es a los nuevos sistemas de pago mediante teléfono móvil que se van a comenzar a extender a lo largo de 2012, como los basados en el estándar NFC, que podrían motivar aún más a los ciberdelincuentes para diseñar troyanos que traten de atacarlos. Como todo, dependerá principalmente de la popularidad que dichos sistemas lleguen a alcanzar.

Malware para Tablets: Al compartir sistema operativo con sus hermanos pequeños, los smartphones, se verán igualmente afectados por el malware que aparezca para estas plataformas. Además, los tablets tienen un atractivo extra para los ciberdelincuentes, ya que muchos usuarios lo utilizan como un sustituto del PC y almacenan en el dispositivo información susceptible de ser robada de forma mucho más habitual que en los teléfonos.

Pequeñas y medianas empresas en el punto de mira de los ciberdelincuentes: ¿Por qué los clientes de entidades financieras son atacados constantemente en lugar de atacar directamente a estas entidades para robar el dinero? La respuesta a esta pregunta es el análisis del coste-beneficio que se lleva a cabo: las entidades financieras suelen estar muy bien protegidas, por lo que conseguir llevar a cabo un ataque exitoso, además de poco probable es muy costoso, mientras que atacar a sus clientes para robar su identidad y hacerse pasar por ellos es algo mucho más sencillo. Sin embargo, si miramos a pequeñas y medianas empresas, su seguridad no es tan férrea, por lo que pasan a ser un gran atractivo para los amantes de lo ajeno, ya que de un solo golpe pueden llevarse información de cientos o miles de usuarios. En muchos caso las pequeñas y medianas empresas no cuentan con un equipo dedicado a la seguridad informática, lo que las hace mucho más vulnerables.

Windows 8: La nueva versión del popular sistema operativo de Microsoft será lanzada, si todo va según lo previsto, en Noviembre de 2012. Si bien este lanzamiento no creemos que repercutirá en corto plazo (2012) en la creación de malware, abrirá nuevas posibilidades a los ciberdelincuentes. En Windows 8 se podrán diseñar aplicaciones que puedan funcionar en Windows 8 tanto en PCs, como en Tablets y Smartphones, por lo que el desarrollo de aplicaciones maliciosas como las que hemos visto en Android podrán llegar a ser una realidad, aunque lo más probable es que esto sea algo que no veremos hasta 2013.

¿Se pueden evitar los ataques dirigidos?

Luis Corrons — Fri, 02 Dec 2011 13:01:37 +0000

Esto podría ser un post larguísimo, pero voy a intentar ser breve. En cualquier caso, para todos aquellos que seáis más perezosos, aquí está la respuesta a la pregunta:

Ahora sí, para todos aquellos interesados en la historia completa, continúo. Una de las características de los ataques dirigidos es que el atacante ha estudiado previamente a su víctima (ya sea una persona u organización específica). El atacante ha analizado todos los puntos necesarios: qué sistemas utiliza, dónde está localizada la información más valiosa, qué defensas utiliza, etc. Y no sólo eso, también estudiarán a las propias personas que manejan esos sistemas, en qué áreas trabajan, qué hobbies tienen, etc. Esta es la razón por la que los ataques dirigidos son imposibles de evitar. De todas formas esta no es razón para bajar las defensas, y es algo que realmente me deja intrigado: echando un vistazo a los ataques más importantes de los últimos años, muchos de ellos fueron posibles porque los servidores no contaban con protección antivirus, tenían un sistema operativo anticuado, etc. En una única palabra: negligencia.

Por suerte, no siempre es así. Si observamos los dos ataques más importantes que han tenido lugar en 2011 (el incidente de la RSA y el caso Duqu), podemos ver que ambos ataques son realmente sofisticados, y que la manera de comenzar la intrusión era una mezcla de ingeniería social con algún tipo de vulnerabilidad en el software. Me gustaría apuntar que en ambos casos los usuarios recibieron un documento que, una vez abierto, descargaba y ejecutaba un archivo en el sistema, con lo que desde ese momento ya se había producido la infección. Desde luego, este tipo de ataques se pueden realizar utilizando vulnerabilidades tanto conocidas como desconocidas, y se puede argumentar que un usuario no puede detectar si un documento está corrupto por esa razón, y que el antivirus no es capaz de detectar un ejemplar único, ya que será nuevo y el atacante habrá chequeado previamente que el malware en cuestión no era detectado: muy bien, estoy de acuerdo con eso.

¿Y si te digo que si hubieran utilizado Panda, el ataque podría haberse detectado? En 2004 lanzamos las tecnologías TruPrevent, con el objetivo de detectar parte del nuevo malware, que no era capaz de ser detectado por el archivo de firmas. Desde entonces nuestros productos cuentan con estas tecnologías, y uno de ellos básicamente evita que al abrir un documento se pueda descargar y ejecutar ningún archivo. Fácil de usar, seguro, ligero… J

Conclusión, en caso de que RSA, o que cualquiera de las compañías afectadas por Duqu hubieran utilizado la versión gratuita de Panda Cloud Antivirus, esas intrusiones no se habrían producido… DE LA MANERA EN QUE LO HICIERON. En cualquier caso, recordad la respuesta a la pregunta (“NO”). Los atacantes habrían descubierto otra manera de eludir la protección, probablemente realizando otro tipo diferente de ataque, pero cuanto más difícil se lo ponemos, más probabilidades tendremos para evitarlos.

Tenemos gallo nuevo en el corral

Luis Corrons — Wed, 30 Nov 2011 12:04:13 +0000

Mucha gente piensa que el negocio de los falsos antivirus (aka rogueware) está en declive, y es cierto que durante algunos meses las infecciones por este tipo de malware no han sido las principales, sobre todo gracias a los esfuerzos realizados por las autoridades con la ayuda de las compañías de seguridad IT, pero era cuestión de tiempo tenerlos de vuelta. En las últimas semanas hemos visto un incremento de infecciones, hoy quiero mostraros una de las novedades, llamada “Cloud AV 2012″.

Los cibercriminales siempre tratan de engañar a sus víctimas, por lo que suelen utilizar nombres muy similares a los utilizados por los antivirus reales. En este caso, han utilizado a nuestro famoso Panda Cloud AV para su estafa. Una vez que se instala en el ordenador, crea un icono en el escritorio para abrir el programa, pero es necesario ejecutarlo, ya que nada más instalarse se ejecuta y lanza un escaneo, que da como resultado un montón de malware encontrado en el ordenador. Por supuesto que esto no es cierto, pero a ellos no les importa:

Lo que haría cualquier usuario en este caso sería hacer click en “Eliminar amenazas”, en ese caso aparece una ventana emergente ofreciendo la compra del producto:

Por supuesto, si alguien quiere comprarlo, se le redirige a una página web donde puede hacer el pago:

Si se pagan los 52$ el falso antivirus limpiará esas supuestas amenazas, pero si no, seguirá apareciendo la alerta de infección. Además esas alertas se repetirán cada vez que se intente ejecutar cualquier programa, por lo que el ordenador quedaría inutilizado.

Por lo tanto, ¿qué hacer si estás infectado? Debes reiniciar tu ordenador en Modo Seguro, acceder a www.cloudantivirus.com e instalar el verdadero Panda Cloud Antivirus para eliminar todos los archivos maliciosos. Sencillo, ¿no?

Hong Kong, AVAR 2011

Luis Corrons — Mon, 14 Nov 2011 12:38:27 +0000

¡Saludos desde Hong Kong! La semana pasada hemos celebrado la conferencia de Seguridad AVAR en Hong Kong. Hemos tocado muchos temas muy interesantes, como la charla “Malware en EFI”, donde Igor Muttik de Intel nos mostró cómo el malware puede aprovecharse del EFI (Extensible Firmware Interface) y los retos que puede provocar, así como qué se puede hacer al respecto. Otro de los temas que se está tratando mucho es el malware para dispositivos móviles. A pesar de que no es tan frecuente, es cierto que se trata de una amenaza emergente y se plantean algunas ideas interesantes. Por supuesto, la nube es otro de los temas tratados, pero uno de los más interesantes es la charla sobre ataques dirigidos en ciertos países de Asia, como Corea del Sur y Japón. El programa completo está aquí (en inglés) en caso de que quieras echarle un vistazo.

Como alguno de vosotros podrá recordar, en la conferencia AVAR del año pasado en Bali fui galardonado con el premio “Wildlist Reporter of the year”, por lo que este año me tocó entregar el premio al siguiente ganador. La noche del jueves, tras la cena de gala, subí al escenario a anunciar el ganador de este año del premio “Wildlist Reporter of the year”, el cual finalmente fue concedido a mi buen amigo Philipp Wolf, Director de Protection Labs en Avira. En la siguiente imagen, de izquierda a derecha, somos Luis Corrons, Philipp Wolf y Peter Chung (Director de Wildlist):

Informe Trimestral – T3 2011

Luis Corrons — Thu, 03 Nov 2011 08:24:55 +0000

El nuevo Informe Trimestral de Panda ya está publicado. Puedes ver qué ha sucedido durante los últimos tres meses en el mundo de la seguridad. Pincha sobre la portada y puedes descargarte el Informe.

En este trimestre se han creado 5 millones de nuevos ejemplares, y se ha batido el récord de troyanos, ya que es la categoría preferida por los ciberdelincuentes para llevar a cabo sus robos de información.

El grupo Anonymous, protagonista del segundo trimestre del año, ha seguido acaparando titulares en este período debido al arresto de algunos de sus miembros, el robo de datos de diferentes sitios web y la operación PayPal.

El Informe de PandaLabs también tiene un espacio para hablar del cibercrimen, la ciberguerra, las redes sociales, Mac y plataformas móviles, las redes sociales y un amplio apartado para explicar cómo funcionan los exploits.

Lo más llamativo de este tercer trimestre es el récord registrado en la creación de nuevos ejemplares de troyanos. Que 3 de cada 4 nuevas muestras de malware creadas por los ciberdelincuentes sean de este tipo, revela que están centrados en el robo de información de los usuarios, ya que ésta es su arma preferida para llevar a cabo sus fechorías.