Kaspersky Lab sigue pronosticando su panorama de amenazas para el 2016, y dentro de sus informes destaca que las amenazas persistentes avanzadas (APT por su sigla en inglés), no tendrán tanto destaque. Los investigadores explican que tal y como se conocen hoy en día, serán reemplazadas por ataques menos persistentes y más elaborados que serán difíciles de detectar, ya que los cibercriminales reutilizarán malware para reducir costos y preparar algo más complejo.

Según la experiencia del Equipo de Análisis e Investigación Global de Kaspersky Lab, las amenazas persistentes avanzadas tendrán un gran cambio el próximo año, esto significa que cambiará su estructura y forma de operar. Se volverán menos persistentes, haciendo hincapié en el malware residente en memoria o sin archivo, lo que reduce las posibilidades de detección en un sistema infectado. Por otra parte, los atacantes ya no invertirán en bootkits, rootkits y otro tipo de malware, los investigadores señalan que se reutilizará el malware personalizado para sacarle más provecho a la inversión.

«En 2016 habrá una evolución significativa en el ciberespionaje, a medida que los autores de amenazas sofisticadas minimizan la inversión mediante la reutilización de malware disponible comercialmente y se convierten en expertos en ocultar sus herramientas avanzadas, infraestructura e identidades eliminando la persistencia por completo», comentaba Juan Andrés Guerrero-Saade, experto de seguridad senior en el Equipo de Investigación y Análisis Global de Kaspersky Lab.

Más cosas para destacar, en 2016 se verá un aumento significativo del ransomware que seguirá diciendo presente dentro de los troyanos bancarios y se propagará a nuevas áreas de trabajo, por ejemplo dispositivos OS X, móviles y la Internet de las cosas (IOT). Kaspersky Lab explica en uno de sus estudios que algo que también causó muchos problemas este año fueron las “amenazas internas” en las empresas, en otras palabras sus empleados que fueron la principal causa de pérdidas de datos confidenciales. Un informe explica que el 73% de las empresas se vio afectada por este motivo, el 42% sufrió pérdidas de datos  por parte de sus empleados y el 21% de las empresas que perdieron datos sintieron el efecto en sus negocios.

Mirando los registros, el 28% de las empresas registraron fugas de datos accidentales, mientras que el 14% fueron fugas intencionales. Pasando a los números de las pérdidas que tuvieron lugar en pequeñas y grandes empresas podemos ver sumas de 33.000 dólares por fugas accidentales, contra 47.000 dólares por fugas intencionales. Si vamos al ámbito de las grandes empresas veremos valores de 544.000 dólares por fugas accidentales y 748.000 dólares por fugas intencionales.

Otro objetivo claro de los cibercriminales serán los sistemas de pago electrónico alternativo como el ofrecido por Apple (Apple Pay), y el de Google (Android Pay), además de la atención que se ganarán las bolsas de valores, Kaspersky Lab explica que los ciberataques financieros serán moneda corriente durante los primeros meses del año.

Algo que este año se ha visto mucho son los ataques de extorsión y humillación pública por parte de los hacktivistas, dicho sea de paso hubo un aumento con relación al año pasado. Los ataques constan en extorsionar a la víctima mediante una estrategia muy cruel para conseguir sus cometidos, publicar fotos privadas o cualquier tipo de información que pueda causar un daño moral a la persona, desde Kaspersky Lab creen que este tipo de ataque irá aumentando su intensidad a medida que el año se ponga en marcha.

“En 2016 también veremos más jugadores entrando en el mundo de los cibercriminales. La rentabilidad de los ciberataques es indiscutible y cada vez más personas quieren una parte del botín. A medida que los cibercriminales entran en el juego, una elaborada industria de subcontratación ha ido aumentando para satisfacer las demandas de nuevo malware e incluso de operaciones completas. Esto da lugar a un nuevo esquema de acceso-como-servicio, en el que hasta se ofrece acceso a objetivos ya hackeados al mejor postor», finaliza Andrés Guerrero-Saade.

Con el fin de año a la vuelta de la esquina y el nuevo que se avecina, las amenazas comienzan a desarrollarse y preparar sus ataques para el 2016, habrá que estar atentos a los nuevos pronósticos para que los cibercriminales no nos tomen desprevenidos.

El año 2015 ya está por terminar y McAfee comienza a hacer sus pronósticos para el año que comenzará en poco más de un mes. Sus predicciones abarcan toda la variedad de tendencias actuales, podemos ver desde ransomware hasta ataques dirigidos a los sistemas de automóviles inteligentes, servicios en la nube, wearables y ventas de datos que los cibercriminales roban de sus víctimas mediante diversas técnicas de phishing.

La firma Intel Security ha hecho público el informe de Predicciones de Amenazas de McAfee Labs, donde destaca ciertos puntos clave que se podrían producir en el 2016, y también probable respuesta de la industria de seguridad de la tecnología de la información (TI). “Para hacer frente al panorama de amenazas al que se enfrentan los negocios, hay que ayudar a las organizaciones a llegar a donde tienen que estar, utilizando las tecnologías que permitan y no obstaculicen sus negocios, y a entender qué tipo de amenazas podrían enfrentar mañana”, explicaba el Vicepresidente de McAfee Labs de Intel Security, Vincent Weafer.

A todo esto, la firma de seguridad perteneciente a Intel, ha elaborado una serie de puntos donde se destaca frente a qué nos enfrentaremos el próximo año:

Comenzamos por el hardware, sí, que no nos engañe este punto, el hardware también puede ser vulnerado por cibercriminales. Los ataques contra todo tipo de hardware y firmware podrían continuar, ayudado por la expansión del mercado de herramientas que hace posible este tipo de ataques. Se cree que las máquinas virtuales pueden ser atacadas con rootkits de firmware del sistema, causando así, grandes inconvenientes para la seguridad del equipo.

Segundo punto, el ransomware que trae consigo el anonimato de las redes y sus formas de pago podrían seguir con el creciente aumento de esta amenaza que tanto ruido hizo en este año. Los pronósticos de McAfee aseguran que para el próximo año los cibercriminales novatos aprovecharán ofertas de ransomware en el mercado negro, haciendo que la amenaza crezca a una velocidad incalculable.

Para el tercer punto algo no tan comentado, los dispositivos Wearables, que son por ejemplo un smartwatch, u otro dispositivo inteligente que sea de uso corporal. Estos dispositivos almacenan en su interior una pequeña cantidad de datos personales, y para el 2016 los cibercriminales podrían estar preparando algún tipo de amenaza para poner en peligro los smartphones, que son los encargados de gestionar los dispositivos que llevamos en la muñeca. Los investigadores se concentrarán en proteger todas las superficies de ataque, kernels de sistemas operativos, redes, software Wi-Fi, interfaces de usuario, memoria, archivos locales, sistemas de almacenamiento, máquinas virtuales, aplicaciones web, entre otros.

Cuarto punto, los ataques mediante los sistemas de los empleados, comúnmente los cibercriminales se concentran en las empresas como objetivo, próximamente cambiarán su rumbo atacando a las empresas mediante sus empleados, es decir, atacando sus sistemas domésticos y dispositivos personales en busca de información vinculada con su lugar de trabajo. Esto se debe a que las organizaciones están haciendo especial hincapié en materias de seguridad, instalando buenos escudos y contratando gente muy capaz con habilidades para crear una política de seguridad a la medida.

En el quinto punto encontramos los servicios en la nube, los cibercriminales podrían tratar de explotar las políticas débiles de seguridad corporativa establecidas para proteger los servicios en la nube. Los servicios en la nube tienen un gran volumen de información y son cada vez más utilizados, todos los datos aquí almacenados pueden ser vistos desde cualquier lugar, por cualquier dispositivo, es por eso que en caso de ser vulnerados podrían comprometer la organización de una empresa.

Los automóviles vienen en sexto lugar, este año nos hemos encontrado con grandes vulnerabilidades en automóviles inteligentes, siendo los cibercriminales capaces de controlar cada parte del vehículo de forma remota. Las predicciones indican que los cibercriminales continuarán centrándose en los automóviles que carezcan de una seguridad adecuada, es por ello que los fabricantes y proveedores de seguridad tendrán que brindar mejores soluciones para no ser afectados.

Séptimo puesto, los datos robados, toda la información que es robada por los cibercriminales se está centrando en grandes almacenes de datos, haciendo que en grandes cantidades la información sea más valiosa para los cibercriminales. Esto se resume en un aumento en el tráfico de información en el mercado negro, los datos personales, nombres de usuario y contraseña serán lo más solicitado.

Ataques a la integridad del usuario ocupa el octavo lugar, se trata de una incautación y modificación de las transacciones que realizan los usuarios. El cibercriminal modifica el destino del dinero a su favor, por ejemplo si la víctima realiza un depósito de un cheque en su cuenta, el cibercriminal puede interceptar la transferencia y hacer que el dinero sea depositado en otra cuenta. Desde McAfee Labs indican que para el próximo año se podría presenciar un ataque a la integridad en el sector financiero, donde se podrían ver afectados millones de dólares por parte de cibercriminales.

Quizás este último punto es más de prevención y no tanto de amenaza, pero los investigadores destacan el intercambio de inteligencia de amenaza entre las empresas y los proveedores de seguridad, con el fin de compartir información que ayude a prevenir posibles ataques. McAfee Labs asegura que el intercambio de inteligencia de amenazas crecerá rápidamente y madurará, los gobiernos podrán compartir información y las entidades estarán mucho más preparadas a la hora de la verdad.

Cuando hablamos de ataques DDoS lo normal es pensar en pequeños o medianos períodos de tiempo, pero un informe realizado por la firma Kaspersky Lab asegura que el 90% de los ataques DDoS se extienden durante menos de 24 horas. El número de ataques que logró superar las 150 horas de ejecución aumentó de forma considerable, mientras que las botnets basadas en Linux sumaron más del 45% de los ataques registrados por los investigadores.

Son muchos los datos que se pueden sacar del informe trimestral que realiza Kaspersky Lab sobre los ataques DDoS, lo que hay que destacar es que los ataques de este tercer trimestre del año alcanzaron a víctimas de 79 países, los más destacados en la cima del raking fueron China, Corea y Estados Unidos . Como lo dice el título de la noticia, Kaspersky Lab logró registrar un ataque DDoS que tuvo una duración de casi dos semanas continuas, hablamos de unas 320 horas. Otro dato importante, el mayor número de ataques DDoS sufridos por una misma persona fue de 22 veces, teniendo como objetivo un servidor ubicado en Holanda.

Estos ataques se realizan por medio de redes de botnets basadas en Linux, no es otra cosa más que equipos infectados de forma remota, que luego se utilizan para saturar redes informáticas, y son estas botnets las responsables del 45,6% de los ataques registrador por Kaspersky. Los investigadores destacan que el 91,6% de los recursos de las víctimas están localizados en 10 países, y también se supo que la gran mayoría de los ataques DDoS se originan en los mismos países donde residen sus víctimas. Sin embargo, no es el caso de otros cibercriminales que optan por robar datos personales como tarjetas de crédito, en este caso sus operaciones las hacen fuera del país para reducir riesgos.

“Basándonos en nuestras observaciones, no podemos señalar una dirección exacta a la que se mueve el negocio de los ataques DDoS. De hecho, la amenaza parece estar creciendo hacia todos sitios. Hemos registrado ataques complejos dirigidos a bancos, demandando un rescate, pero también hemos observado nuevos métodos de bajo costo, diseñados para tirar abajo las operaciones de una compañía durante un período de tiempo significativo. Los ataques están creciendo en volumen, la mayoría de ellos centrados en atacar e interrumpir, pero el número de ataques prolongados, capaces de producir la bancarrota de una empresa desprotegida también van en aumento. Estos descubrimientos obligan a las compañías a tomar medidas para prevenir la amenaza real y el creciente riesgo que suponen los ataques DDoS”, comentaba Evgeny Vigovsky, encargado del área de protección contra ataques DDoS de Kaspersky.

Hablando de ataques DDoS y sitios web, también podemos colgarnos de otro informe realizado por SiteGround sobre la seguridad en las herramientas más usadas para crear sitios web, hablamos del popular WordPress, donde cualquier usuario puede crear su blog personal en unos simples pasos, y también de Joomla, Drupal o Magento. El informe internacional publicado por la firma revela que detectaron más de 1.000 millones de ataques a sitios web empresariales, blogs y tiendas en línea por mes. Los datos vertidos por el estudio indican que se detectaron y bloquearon aproximadamente 3.5 millones de intentos de ataques a cada servidor, lo que se resume en 5.000 ataques por sitio web alojado en el mismo.

La gran mayoría de los ataques son detenidos por las propias empresas que brindan los servidores para que el usuario pueda montar su sitio web, hoy en día todas las prestadoras de este servicio saben que tener un buen firewall es totalmente imprescindible para cuidar la seguridad de sus clientes. En cambio, los cibercriminales siempre tratarán de hacer sus intentos para ver qué tan preparados están los propietarios de los sitios web y aprovechar su falta de mantenimiento, o simplemente obtener cierta ventaja en el desconocimiento del usuario.

No cabe duda que la popularidad de WordPress ha ido en aumento durante los últimos años, hoy en día es la plataforma de creación de blogs más atacada en cuanto a número de intentos, y es por ello que sus responsables tienen que tener la mayor seguridad posible en sus servidores. A comienzos de año las cifras eran descomunales, 74.652 millones de sitios web en el mundo dependen de la plataforma WordPress para funcionar, casi un 50% de estos blogs están alojados gratuitamente en WordPress, mientras que los restantes se encuentran en servidores propios de los usuarios.

Desde SiteGround fueron directo al punto y sin rodeos: “No hay ninguna web que sea infranqueable”, todo sitio web tiene una puerta de entrada para los cibercriminales y es por eso que siempre hay que tener una segunda opción, por ejemplo, un respaldo del sitio web para lograr recuperarse de un posible desastre lo más pronto posible. Si lamentablemente te toca ser víctima de un ataque, tendrás que comenzar a analizar la información de los meses anteriores a la intrusión, de esta manera podrás saber en qué momento tu sitio web comenzó a registrar actividades maliciosas. Por lo general las empresas proveedoras de los servicios de hosting cuentan con un mantenimiento y podrán darte una solución al problema eliminando todo rastro de amenaza cibercriminal.

Remtasu es un troyano que está presente en varios países del mundo, pero por estas horas ha tenido un fuerte repunte en el país colombiano, esta no es la primera vez que se oyen incidencias de Remtasu, a comienzos de año, más exactamente en febrero, ya hubo una primera campaña de propagación en Colombia. El equipo de investigación de ESET Latinoamérica pudo detectar una nueva campaña  maliciosa del troyano que está atacando principalmente a los usuarios residentes en Colombia.

El troyano Remtasu es una familia de troyanos especializada en el robo de información sensible del equipo de la víctima, por ejemplo datos que se almacenan en el portapapeles, o mediante lo que se digita en el teclado a modo de keylogger. Toda la información recogida dentro del equipo de la víctima infectada es guardada en un archivo en el mismo equipo, y luego se envía (sin que el usuario se percate) a los cibercriminales de forma remota. Si bien el troyano tiene su punto fuerte en Colombia, es posible que se expanda a otros países de Latinoamérica, por lo tanto hay que estar alertas y saber cómo opera Remtasu.

Los investigadores de ESET explican que los códigos maliciosos que se pudieron detectar contienen archivos adjuntos en correos electrónicos con nombres relacionados con cuentas de cobro o facturas, dichos archivos se camuflan como un archivo de Microsoft Word. Una vez que la víctima ejecuta estos archivos que llevan de nombre “Factura + una serie de números al azar”, empezará a ejecutarse en segundo plano el plan de los cibercriminales para robar información, su primer paso será conectarse con un servidor remoto.

Como pasa en muchos casos, este tipo de amenazas tiene sus servidores de comando y control en otra parte del mundo, pero no es el caso de Remtasu, por lo que pudieron detectar los investigadores el servidor de comando se ubica en Colombia. ¿Algo muy arriesgado? Los cibercriminales tendrán sus motivos, pero se piensa que se trata de un ataque dirigido.

Ahora bien, ¿cómo hace el troyano para evadir la seguridad? La respuesta es fácil y muestra el nivel de desarrollo que posee Remtasu, una vez que el usuario ejecuta el archivo, este se inyecta en dos procesos para mantenerse en el sistema operativo sin llamar la atención. Uno de los procesos es el del navegador Firefox que se estaba utilizando, y otro es un proceso de Windows llamado svchost, de esta manera el troyano se asegura de no crear un nuevo proceso y que el sistema pueda sospechar de su contenido. Otra de sus características es su capacidad de guardarse a sí mismo, Remtasu es capaz de crear una copia en la carpeta del sistema y modifica algunas keys en el registro de Windows para asegurarse de que se ejecuta cada vez que se inicia el equipo.

Y esto no queda aquí, la amenaza quiere asegurarse de que su sigilo sea el mejor de todos, por ese motivo modifica los permisos de la carpeta system32 para que quede como oculta y el usuario no pueda acceder a ella en primera instancia. Como si fuera poco, el archivo csrrs.exe que se ejecuta durante la infección y se inicia junto con el equipo tiene el mismo MD5 que el archivo de nombre Factura, que venía adjunto en el correo electrónico infectado y también queda oculto dentro de la carpeta para que no sea descubierto.

Desde ESET explican por qué la amenaza ejecuta dos procesos a la misma vez, se debe a la forma con la que interactúa en el sistema, el proceso que se vincula con el navegador Firefox tiene como tarea mantener las comunicaciones con el servidor controlado por los cibercriminales, y el proceso svchost de Windows hace que la amenaza siga activa durante la sesión del usuario.

En el mes de octubre Remtasu se distribuyó por 114 países y hubo una clara tendencia que más de la mitad de los afectados eran colombianos. Si se compara con el primer empuje de esta campaña, allá por febrero, se llegó a registrar cifras de un 30% de usuarios colombianos, un 20% menos que en octubre, eso quiere decir que el rango de infección ahora es aún mayor. Hay más países de Latinoamérica que tienen esta y otras variantes de Remtasu, pero es Colombia la que se lleva los principales puestos como el país con más infecciones de la variante Win32/Remtasu.Y.

ESET advierte que la amenaza ya ha sido propagada mediante falsos correos electrónicos gubernamentales en El Salvador y durante el mes de octubre se detectaron casos en Argentina, Brasil, Perú, Ecuador, México y Guatemala, entre otros.

¿Cómo evitar ser víctima de Remtasu? Manteniendo tu producto antivirus actualizado y teniendo cuidado de dónde se hace click, y mucho más en qué tipo de archivo descargamos en el equipo. Recuerda que nunca debes abrir un correo electrónico del que desconoces su remitente.