Trend Micro, lider de Seguridad global en la nube, mantiene su posición más alta en el mercado de seguridad para usuarios finales con un 23.7% del mercado de acuerdo con el reporte “Worldwide Endpoint Security 2011-2015” El estudio estima un crecimiento del 6.1%, alcanzando los 694.4 millones de dólares para el 2015. La adopción de soluciones en la nube también está conduciendo a que la trayectoria del mercado de seguridad para servidores crezca a medida que las “nubes” se van integrando en las redes. A todo este crecimiento, Trend Micro ofrece Deep Security, el cual cumple con los retos operacionales de seguridad y necesidades de cumplimiento de normativas que los centros de datos hoy necesitan; también,  es la primera y única solución capaz de integrarse sin necesidad de instalar agentes en el entorno virtual de VMWare, permitiendo a las empresas a obtener mejor rendimiento, gestión y seguridad. La gran ventaja que tiene Trend Micro es que puede dotar seguridad tanto el entorno físico, virtual y en la nube, siendo una gran ventaja estratégica tanto para grandes empresas como en PyMES. Su innovación al introducir seguridad agentless (sin agentes) en el entorno VMWare ha supuesto un gran éxito para Trend Micro. La virtualización y las aplicaciones en la nube hay que estar enfocados en el data center, la seguridad en los servidores debe de aumentar y es donde Trend Micro sobresale.

A medida que el mundo evoluciona desde la PC de escritorio hacia la movilidad y el cloud computing, los cibercriminales actuarán con más “persistencia y sofisticación”, asegura Trend Micro, que acaba de lanzar sus predicciones de seguridad para el próximo año, cuando los administradores de TI abordarán un enfoque más centrado en datos –protegiendo los datos y no sólo los sistemas. Entre las “12 Predicciones de Amenazas para 2012” de Trend Micro, se recoge que el “verdadero desafío para los propietarios de centros de datos residirá en la cada vez mayor complejidad de la seguridad de los sistemas físicos, virtuales y cloud”. Las plataformas cloud y virtuales son fáciles de atacar, pero son más difíciles de proteger, según la empresa de seguridad, que mantiene que los administradores de TI tendrán que asegurar los datos críticos de la empresa a medida que adopten estas tecnologías. Las brechas de datos y los incidentes de seguridad en 2012 obligarán a las compañías de todo el mundo a enfrentarse a los retos relacionados con BYOD (bring your own device) o, lo que algunos han bautizado como ‘consumerización’. Cada vez son más los datos corporativos almacenados a los que se accede a través de estos dispositivos que no están completamente controlados por los administradores de TI, de ahí que se incremente la probabilidad de que los incidentes relacionados con la pérdida de datos causada por el uso incorrecto de los dispositivos personales, asegura Trend Micro. Las aplicaciones móviles también son un caldo de cultivo para los cibercriminales. Actualmente las amenazas para las plataformas móviles se presentan en forma de aplicaciones maliciososas, pero Trend Micro prevé que los ciberdelincuentes irán tras las aplicaciones legítimas, “buscando vulnerabilidades o errores de código que pueden permitir la exposición de la información o su robo”. Grupos organizados online tales como Anonymous y LulzSec incrementaron su importancia en 2011, enfocándose en compañías y personas por diferentes motivos políticos. En 2012 estos grupos serán más hábiles y expertos. Finalmente Trend Micro destaca que la nueva generación de redes sociales redefinirá la “privacidad” ya que los jóvenes usuarios de las redes sociales son más propensos a revelar información personal online, pero que con el tiempo las personas conscientes de su privacidad se convertirán en un grupo minoritario, “unos candidatos ideales para los atacantes”, revela Trend Micro”.   Fuente: 
http://www.itespresso.es/los-ataques-de-seguridad-en-2012-seran-mas-sofisticados-57780.html  

Trend Micro ha descubierto una campaña de ataques dirigidos que han conseguido comprometer la seguridad de empresas de la industria de defensa de Japón, Israel, India y EE.UU. Hemos podido identificar a 8 víctimas de este ataque y nos encontramos en el proceso de notificarles esta situación. En total, los atacantes han pirateado 32 equipos informáticos, si bien detectamos múltiples ataques en varias ubicaciones. Esta red lleva activa desde julio de 2011 y continúa enviando documentos maliciosos con el fin de comprometer la seguridad de otros objetivos adicionales. Hemos analizado una muestra que se conecta al mismo servidor de comando y control (C&C) de este ataque dirigido. También hemos analizado el malware de la segunda etapa utilizado por los atacantes que fue diseñado específicamente para una de las compañías objetivo, así como el troyano de acceso directo (RAT) que usaron los atacantes.
Vector de ataque Los atacantes enviaron correos electrónicos con un archivo adjunto .PDF malicioso, detectado por Trend Micro como
TROJ_PIDIEF.EED, que aprovecha la vulnerabilidad de versiones específicas de
Adobe Flash y Reader (
CVE_2011-0611) para copiar archivos maliciosos en el equipo del objetivo. Esta carga maliciosa, detectada por Trend Micro como
BKDR_ZAPCHAST.QZ, se conecta a un servidor C&C al que comunica algunos elementos de información sobre sí mismo y del que espera recibir más comandos. En la segunda etapa de los ataques intervinieron dos componentes. Los atacantes emitieron comandos que instruían al equipo pirateado a comunicar información sobre la red y nombres de archivos ubicados en directorios específicos. A algunos objetivos se les ordenaba descargar DLLS personalizados, detectados por Trend Micro como
BKDR_HUPIG.B, que contienen funcionalidades específicas relacionadas con la entidad comprometida. Una vez dentro de la red, los atacantes emiten comandos para que el equipo comprometido descargue herramientas que les permitan moverse lateralmente por la red. Entre ellas se incluyen las denominadas “
pass-the-hash”, las cuales permiten activar técnicas de autenticación automática. A continuación emiten comandos adicionales que causan que el equipo comprometido descargue un troyano de acceso remoto (RAT) que permita a los atacantes controlar en tiempo real el sistema pirateado. Trend Micro detecta este RAT como
BKDR_HUPIGON.ZXS y
BKDR_HUPIGON.ZUY.  
Troyano de acceso remoto (RAT) Este RAT se denomina “cazador de MFC” y consta de tres componentes:

Saber con certeza quién está detrás de los ataques dirigidos es una tarea complicada. Requiere una combinación de análisis técnico y contextual sumada a la capacidad de relacionar datos dispersos a lo largo del tiempo. Además, los investigadores no suelen disponer de todas las informaciones necesarias y se ven obligados a interpretar las pruebas disponibles. Con demasiada frecuencia, la atribución se basa única y exclusivamente en pruebas falseadas con gran facilidad tales como direcciones IP y registros de nombre de dominio. Esta publicación es una continuación de la publicada ayer. Incluye información de referencia sobre los
ataques LURID y sobre la relación con los ataques Enfal anteriores para contextualizar el caso presente. Resulta interesante saber que, a pesar de que los ataques Enfal previos se habían atribuido a China, en este caso, las direcciones IP de los servidores de comando y control (C&C) pertenecían a Estados Unidos y el Reino Unido. Sin embargo, la información de registro de los nombres de dominio utilizados sugiere que los propietarios están en China. En cualquier caso, no es nada difícil manipular esta información. Ninguno de estos dos elementos son determinantes por si mismos para averiguar la atribución del ataque.
Historia de Enfal La historia de este malware, junto con la naturaleza de algunas de las víctimas seleccionadas, ofrece algunas pistas. El malware de los ataques “Lurid Downloader” se conoce popularmente como “Enfal” y
se ha venido utilizando en ataques dirigidos desde el año 2006. En el 2008, Maarten Van Horenbeeck documentó una
serie de ataques de malware dirigidos que utilizaron el troyano Enfal para atacar
organizaciones gubernamentales y no gubernamentales (ONG), así como
contratistas de defensa y empleados del gobierno de los EE.UU.. En el año 2009 y 2010, investigadores de la Universidad de Toronto publicaron informes sobre dos redes de ciberespionaje, conocidas como
“GhostNet” y
“ShadowNet”, que contenían malware e infraestructuras de comando y control conectadas con el troyano Enfal. Además, los nombres de dominio utilizados por Enfal como servidores C&C están vinculados, según la filtración de documentos diplomáticos de los EE.UU. a
WikiLeaks, a una
serie de ataques conocidos como “Byzantine Hades.” Según los
documentos filtrados, estos activistas llevan perpetrando amenazas desde 2002, y existen subgrupos de esta actividad conocidos como “Byzantine Anchor,” “Byzantine Candor” y “Byzantine Foothold.” Cabe destacar, además del uso de Enfal, lo que parece ser la existencia de diferentes conjuntos de infraestructuras de C&C; no obstante, la relación entre los usuarios que controlan cada una de estas infraestructuras todavía es un misterio.  
LURID y Enfal… ¿están relacionados o no? Parece ser que los ataques Lurid Downloader conforman una red independiente, pero relacionada a su vez con la red Enfal por su foco geográfico. A pesar de las pruebas que demuestran claramente que la comunidad tibetana también es uno de los objetivos, resulta curioso que la mayoría de las víctimas del ataque se concentren en Rusia y otros países de la CEI. El análisis realizado nos ha permitido determinar que muchas embajadas y ministerios gubernamentales, incluidos algunos de Europa Occidental, han estado expuestos al peligro, así como instituciones de investigación y organismos relacionados con el sector espacial. La utilización de Enfal, la familia de malware a la que pertenece Lurid Downloader, ha estado vinculada históricamente a activistas de China. En este caso, el vector de ataque (un correo electrónico malicioso con un archivo adjunto igualmente malicioso) que pudimos analizar estaba relacionado con la comunidad del Tíbet, lo que muchos consideran un indicio de asociación con China. Sin embargo, las entidades chinas también fueron víctimas del ataque Lurid Downloader. Hemos elaborado un informe que se publicará en breve en el que se resume la historia de estos ataques y se esboza el contexto de los mismos, además de incluir varios análisis técnicos detallados; a pesar de ello, no se llegan a atribuir los ataques a ninguna entidad en concreto. No podemos dejar de destacar que todavía no se sabe del cierto quién está detrás de los ataques Lurid Downloader. Fuente:
http://blog.trendmicro.com/lurid-attribution-isnt-easy/

Trend Micro ha descubierto una serie continuada de ataques dirigidos, conocidos com “LURID”, que han logrado poner en peligro 1.465 equipos de 61 países distintos. Hemos sido capaces de identificar 47 víctimas, entre los que figuran misiones diplomáticas, ministerios gubernamentales, organizaciones gubernamentales relacionadas con la actividad espacial y otras empresas y centros de investigación. Los países que más se han visto afectados por este ataque son Rusia, Kazajistán y Vietnam, además de otros países, especialmente de la CEI-CIS (Comunidad de Estados Independientes o antigua Unión Soviética). Esta campaña en particular estaba integrada por más de 300 ataques dirigidos maliciosos que los atacantes controlaban mediante un identificador único incrustado en el malware asociado. El análisis realizado de la campaña revela que los atacantes elegían comunidades de ubicaciones geográficas específicas y creaban campañas dirigidas a víctimas concretas. En resumen, los atacantes utilizaron una red de comando y control con 15 nombres de dominio asociados con los atacantes y 10 direcciones IP activas para mantener un control permanente sobre las 1.465 víctimas. “Lurid Downloader”, frecuentemente denominado “Enfal”, es una familia de malware muy conocida, pero no es un kit de herramientas que puedan comprar públicamente todos aquellos que anhelan convertirse en ciberdelincuentes. Esta familia de malware se ha utilizado en el pasado para atacar tanto al gobierno de los EE.UU. como a organizaciones no gubernamentales (ONG). Sin embargo, no parece existir una relación directa entre esta red concreta y las anteriores. Cada vez es más frecuente denominar los ataques de malware dirigidos de este tipo como Amenazas Persistentes Avanzadas. El blanco del objetivo recibe un mensaje de correo electrónico animándole a abrir un archivo adjunto. Los archivos que envían los atacantes contienen código malicioso que aprovecha las vulnerabilidades de programas informáticos conocidos como
Adobe Reader (p. ej., archivos .PDF) y
Microsoft Office (p. ej., archivos .DOC). Las rutinas de estas infracciones son el malware que se ejecuta silenciosamente en el equipo atacado. De este modo, los atacantes pueden hacerse con el control del mismo y conseguir sus datos. A continuación, van avanzando lateralmente por la red del objetivo y es frecuente que puedan llegar a tener el control de los equipos atacados durante periodos de tiempo prolongados. El objetivo último de los ataques consiste en identificar y sustraer información confidencial de la red de la víctima.
Disección de la amenaza del ataque
Avanzada: se trata de una serie continuada de campañas de ataque dirigidas que aprovechan las diferentes vulnerabilidades de
Adobe Reader, entre ellas
CVE-2009-4324 y
CVE-2010-2883, y archivos de compresión RAR que contienen salvapantallas maliciosos. Independientemente del vector de ataque, el malware “LURID” se ejecuta en el sistema de las víctimas para conectarse a la misma red de servidores de comando y control (C&C). Los atacantes no siempre aprovechan las vulnerabilidades de “día cero”, sino que tienden a utilizar vulnerabilidades más antiguas y fiables y se reservan las de día cero para los objetivos reforzados. Aunque todavía tenemos que determinar las muestras utilizadas en estas campañas con vulnerabilidades de día cero, los identificadores de campaña que emplean los atacantes hacen referencia al aprovechamiento de dichas vulnerabilidades.
Persistente: durante nuestra investigación hemos detectado que el malware se basa en dos mecanismos distintos de persistencia. Una de las versiones conseguía ser persistente instalándose como servicio de Windows, mientras que la otra se copiaba en la carpeta del sistema y garantizaba su persistencia modificando la carpeta de inicio común de Windows por otra especial creada por él mismo. Una vez hecho esto, copiaba todos los elementos habituales del inicio automático, además de copiarse a sí mismo. También hemos podido organizar el malware y las víctimas por “campañas” (el malware puede rastrearse por un “marcador”, elemento similar al que todos incluirían en cualquier campaña promocional) a fin de realizar un seguimiento de quién ha resultado infectado y por qué tipo de malware.
Amenaza: el malware recopila información de los equipos expuestos al peligro y la envía al servidor C&C a través de HTTP POST. Gracias a la comunicación con los servidores de comando y control, los atacantes envían diferentes comandos a los equipos atacados. Dichos comandos les permiten enviar y recibir archivos y activar una shell interactiva remota en los equipos en cuestión. Por lo general, los atacantes recuperan listados de directorio de los equipos y sustraen información (como archivos .XLS específicos). Los investigadores de Trend Micro disponen de algunos de los comandos, pero carecen de los archivos reales. Hablando de números, y a partir de la información recuperada de los servidores C&C, podemos confirmar los siguientes datos: 1.465 hosts únicos (nombre de host + dirección mac, tal como los almacena el servidor C&C) 2.272 direcciones IP externas únicas Los 10 países con mayor número de víctimas (calculado a partir de 2.272 direcciones IP):