Informe Regional de Amenazas Avanzadas Informe Regional de Amenazas Avanzadas América Latina 1H 2014 Panorama de Amenazas Índice de Materias Índice de Materias ................................................................................................................................................ 2 Introducción .......................................................................................................................................................... 3 Resumen Ejecutivo................................................................................................................................................ 4 Definiciones........................................................................................................................................................... 5 Amenazas Cibernéticas a Industrias Latinoamericanas ........................................................................................ 7 Delito Informático ............................................................................................................................................. 7 Espionaje Cibernético ....................................................................................................................................... 7 Hacktivismo ....................................................................................................................................................... 8 Infecciones Únicas en el Vertical Industrial .......................................................................................................... 9 Principales Alertas de Malware para la Región .................................................................................................. 12 Contexto de Malware: Detecciones Globales ..................................................................................................... 13 Conclusiones y Recomendaciones ...................................................................................................................... 14 Panorama de Amenazas Introducción Agradecemos la oportunidad de proveerle una comprensión única del panorama de amenazas dentro de América Latina en el primer semestre de 2014. Durante años hemos estado afirmando que más de 95% de las empresas, sin saberlo, alberga dentro de sus redes corporativas computadores comprometidos, y este año no es diferente. Durante nuestra evaluación, identificamos todos los tipos de actores de amenazas que comprometen las redes de nuestros clientes, incluyendo actores apoyados por estadosnaciones sospechosos de llevar a cabo espionaje cibernético, cibercriminales y hacktivistas buscando hacer una declaración. Los actores de amenazas bien establecidos han ajustado sus técnicas desde genéricas, oportunistas y aleatorias a dirigidas, flexibles y evasivas. Es un placer para mí presentar un análisis que provee una evaluación integral del panorama latinoamericano de amenazas. Espero con interés poder discutir este informe con usted y ayudarle a definir y ejecutar su estrategia de seguridad cibernética para 2014 y más allá. Un gran saludo Panorama de Amenazas Resumen Ejecutivo Este Informe de FireEye de Amenazas Avanzadas para América Latina presenta una visión general de las amenazas persistentes avanzadas (APT) descubiertas por FireEye dirigidas a redes de computadores en América Latina durante el primer semestre de 2014. Los actores de amenazas motivados por objetivos financieros, políticos y sociales están explotando métodos cada vez más sofisticados para robar propiedad intelectual confidencial, datos privados, información personal y otros datos que pueden generarles beneficios económicos. Dicha violación podría poner tanto a personas como a organizaciones en riesgo de consecuencias financieras, legales y de reputación. Este informe de FireEye resume los datos deducidos a partir de la nube de Inteligencia Dinámica de Amenazas (DTI) de FireEye. En los últimos seis meses, FireEye identificó en la región latinoamericana: - 9 familias únicas de malware (software malicioso) de APT, de un total de 227 familias únicas de malware de APT en el mundo 32.339 sesiones únicas de Comandos y Controles (C2), de un total de 2,7 millones de sesiones C2 únicas en el mundo 11 países albergando infraestructura C2, de un total de 84 países albergando infraestructura C2 globalmente 16 verticales afectados, en comparación con 34 verticales afectados en el mundo Descargo de responsabilidad: Este informe sólo cubre la actividad de la red de computadores de clientes objetivo de FireEye que comparten sus mediciones con FireEye. De ninguna manera constituye una fuente autorizada de toda la actividad de APT enfocada en América Latina o en otros lugares. En este conjunto de datos, tomamos las precauciones razonables para filtrar el tráfico de redes "de prueba", así como el tráfico indicativo de intercambio de inteligencia manual entre nuestra base de clientes dentro de diversas comunidades de seguridad cerradas. Nos damos cuenta de que algunas tácticas, técnicas y procedimientos (TTP) populares de APT pueden ser reutilizadas y reformuladas por muchos diferentes actores de amenazas. Para abordar esta cuestión, empleamos filtros conservadores y chequeos cruzados para reducir la probabilidad de error en la identificación. Panorama de Amenazas Definiciones Amenaza Persistente Avanzada (APT): La Inteligencia de FireEye define a los actores de amenazas persistentes avanzadas (APT) como actores de amenazas que reciben dirección y apoyo de un gobierno nacional. Sin importar si su misión es robar información o causar interrupción o destrucción, ellos persiguen sus objetivos tenazmente, utilizando una amplia gama de herramientas y tácticas, incluyendo diferentes tipos de malware. Retro llamada: una comunicación no autorizada entre el computador de una víctima en peligro y su infraestructura de Comando-y-Control (C2). Herramienta de Acceso Remoto (RAT): software que permite a un usuario de computador (para los fines de este informe, un actor de amenaza) controlar un sistema remoto como si él o ella tuviera acceso físico a dicho sistema. Las RAT ofrecen numerosas características tales como captura de pantalla, robo de archivos, etc. Comúnmente, un atacante instala la RAT en un sistema objetivo a través de otros medios, tales como la suplantación de identidad (spear phishing) o la explotación de una vulnerabilidad de día-cero, y entonces la RAT intenta mantener su existencia escondida del propietario legítimo del sistema. Evento de Seguridad: FireEye descubre regularmente una amplia variedad de amenazas en la web, en correos electrónicos y ubicadas en archivos, incluyendo la apertura de un malware anexo, un clic en un hipervínculo malicioso o la retro llamada desde una máquina infectada a su red de comando-y-control (CnC). Ataque dirigido: un evento único malicioso realizado entre un actor de amenazas de APT y una red víctima específica. Actor de Amenazas: el perpetrador detrás de la actividad cibernética. Este actor podría ser un hacktivista, un cibercriminal o parte de un grupo más amplio, tal como una unidad militar, una agencia de inteligencia, una organización contratista o un actor no estatal con patrocinio estatal indirecto. Herramientas, Técnicas y Procedimientos (TTP): las características específicas de las acciones y herramientas (como malware) de un actor de amenazas, empleadas contra una red víctima. Los actores de APT normalmente emplean múltiples TTP, y múltiples actores de APT pueden también utilizar las mismas TTP. Esta dinámica frecuentemente complica el análisis de la defensa cibernética. Vertical: una de las 20 distintas categorías industriales de FireEye: Aeroespacial, Químicos, Construcción, Comercio Electrónico, Educación, Energía, Medios/Entretenimiento, Finanzas, Gobierno, Atención de Salud, Alta Tecnología, Seguros, Legal, Manufactura, Otros, Retail, Servicios, Telecomunicaciones, Transporte y Mayoristas. Panorama de Amenazas Objetivo: el destinatario del ataque de un actor de amenazas. En la mayoría de los casos, las bajas tasas de "falsos positivos" inherentes a las alertas de FireEye sugieren que el ataque descubierto fue exitoso. Panorama de Amenazas Amenazas Cibernéticas a Industrias Latinoamericanas Delito Informático El delito informático sigue constituyendo una amenaza para las personas y organizaciones latinoamericanas, ya que la población está cada vez más conectada a Internet y la banca y sistemas de pago en línea están cada vez más extendidos. En un informe conjunto con la Organización de los Estados Americanos, los investigadores de seguridad descubrieron que la región había experimentado un aumento del delito informático en 2013, dado que los criminales establecidos desarrollaron su propio malware y herramientas para llevar a cabo operaciones cibernéticas. La primavera pasada, los investigadores identificaron un grupo cibercriminal sospechoso de haber robado hasta USD$3.750.000.000 desviando transacciones en línea hechas a través de BoletoBancario, un método común de pago en línea en Brasil. 1Anticipamos que los países latinoamericanos seguirán enfrentando amenazas de delito informático debido a laxos protocolos de seguridad y a un mayor uso por parte de la población de sistemas bancarios y de pago en línea.2 Cibercriminales motivados financieramente también se aprovecharon de grandes eventos deportivos, tales como la Copa Mundial de la FIFA, para perpetuar estafas dirigidas a la información personal o financiera de individuos; los próximos Juegos Olímpicos probablemente no serán diferentes. FireEye observó a actores de amenazas financieras llevando a cabo 419 estafas de boletos y algunos ataques de suplantación de identidad utilizando temas de la Copa Mundial como señuelos3. Aunque no observamos ningún grupo de APT conocido o sospechoso de haber utilizado temas de la Copa del Mundo en correos electrónicos de suplantación de identidad, no obstante, consideramos que estos actores de amenazas también pueden haber utilizado el evento como señuelos en correos electrónicos de suplantación de identidad. Espionaje Cibernético Las organizaciones latinoamericanas probablemente se enfrentan a riesgos de espionaje cibernético, por parte de actores de amenazas que trabajan para o están asociados con gobiernos de estados-naciones en búsqueda de objetivos económicos, militares, políticos o sociales. Varios gobiernos latinoamericanos han aumentado su enfoque en la mejora de las prácticas de seguridad cibernética doméstica tras las recientes revelaciones acerca de la vigilancia de gobiernos y personas extranjeros por parte de la Agencia de Seguridad Nacional de Estados Unidos.4 1 “New Scams Targeting Brazilian Users Focus on World Cup Scheme.” Mandiant Intelligence Center, FireEye. 21 Mayo 2014. Web. 12 Ago. 2014. 2 “Cybercriminals Targeting Financial Transaction System in Brazil may have Diverted up to 3.75 billion USD.” Mandiant Intelligence Center, FireEye. 7 Julio 2014. Web. 12 Ago. 2014. 3 “New Scams Targeting Brazilian Users Focus on World Cup Scheme.” Mandiant Intelligence Center, FireEye. 21 Mayo 2014. Web. 12 Ago. 2014. 4 “Brazil’s Threat Landscape.” Mandiant Intelligence Center, FireEye. 14 Julio 2014. Web. 12 Ago. 2014. Panorama de Amenazas Hace poco vimos a un actor de amenazas desplegar malware SOGU para atacar una agencia de gobierno latinoamericana. El grupo de amenazas entregó el malware a través de un correo electrónico de suplantación de identidad que empleó un señuelo relacionado con energía; el anexo al correo electrónico parecía imitar o posiblemente originarse desde la agencia nacional de energía de otro gobierno regional latinoamericano. Anteriormente hemos observado a grupos de APT con sede en China utilizando SOGU/PlugX, y es muy probable que un grupo de APT con sede en China se haya enfocado en la agencia gubernamental para espionaje cibernético. A principios de este año, los investigadores de seguridad de otra compañía descubrieron a otro actor de amenazas avanzadas realizando operaciones de espionaje cibernético global enfocado en sistemas en Argentina, Bolivia, Brasil, Colombia, Costa Rica y Venezuela, entre otras naciones. 5Los investigadores de Kaspersky, que llamaron a la actividad "Careto" o "la Máscara", afirmaron que los objetivos principales eran las instituciones gubernamentales, oficinas diplomáticas, embajadas, organizaciones de energía, petróleo y gas, organizaciones de investigación y activistas. Los investigadores señalaron que el grupo de amenazas, que parece haber estado activo durante aproximadamente siete años, había escrito el malware para buscar nombres de rutas españolas, más que Inglesas, lo que sugiere que los autores son de habla hispana y/o específicamente enfocados en víctimas de habla hispana.6 Hacktivismo FireEye espera que las organizaciones seguirán enfrentando amenazas de seguridad cibernética por parte de hacktivistas que dependen de desfiguraciones de sitios web, de ataques distribuidos de denegación de servicio (DDoS) y de otros métodos para llamar la atención sobre sus causas. Durante los disturbios civiles en Venezuela a principios de este año, individuos identificándose como miembros de Anonymous desfiguraron numerosas páginas web pertenecientes al gobierno venezolano, en respuesta a la muerte de varios manifestantes. 7El hacktivismo tiene el potencial para avergonzar a las víctimas e interrumpir sus operaciones y puede causar daño a la reputación a través de la exposición de información confidencial o de revelar prácticas pobres de seguridad. 5 “Kaspersky Lab Uncovers “The Mask:” One of the Most Advanced Global Cyber-espionage Operations to Date Due to the Complexity of the Toolset Used by the Attackers.” Kaspersky Lab. 11 Feb 2014. Web. 12 Ago. 2014. 6 Latin American + Caribbean Cybersecurity Trends.” Symantec. Organization of American States. Junio 2014. Web. 12 Ago. 2014. 7 Kovacs, Eduard. “Venezuelan Police and Government Sites Hacked in Protest Against Killing of Students.” Softpedia. 17 Feb. 2014. Web. 12 Ago. 2014. Panorama de Amenazas Infecciones Específicas en el Vertical Industrial En América Latina, FireEye observó el mayor número de eventos de APT en el sector de energía y servicios públicos. El siguiente gráfico representa los eventos de APT por industria que afectan a las organizaciones latinoamericanas. Los Químicos/Manufactura/Minería y los Servicios/Consultoría/Revendedores con Valor Agregado (RVA) constituyen casi la mitad de todas las alertas de APT: Educación: Telecomunicacione Aeroespacial/Defen Educación Superior s (Internet, Teléfono sa/Aerolíneas 2% & Cable) 2% 7% Energía/Servicios Públicos/Refinerías de Petróleo 7% Gobierno: Federal 10% Químicos/Manufact ura/Minería 34% Servicios Financieros 12% Gobierno: Estadual & Local 12% Servicios/Consultoría /RVA 14% Figura 1: Eventos de APT por industria que afectan a organizaciones latinoamericanas Panorama de Amenazas A modo de comparación, el siguiente gráfico muestra los eventos de APT en las industrias de nuestros clientes en América Latina como porcentaje, en comparación con los verticales a nivel mundial. Este gráfico sugiere que los Químicos/Manufactura/Minería están enfocados de forma desproporcionada en la región latinoamericana, en comparación con los clientes de Químicos/Manufactura/Minería a nivel global. Sugerimos que los actores de amenazas se enfocan desproporcionadamente en clientes del sector latinoamericano de Químicos/Manufactura/Minería ya que la industria es un principal motor estratégico y económico de la región. En 2012, las minas latinoamericanos representaron 22%, 20%, y 46% del total de la producción mundial de mineral de hierro, oro y cobre del mundo, respectivamente. 8Los actores de amenazas enfocados en este sector están probablemente tratando de obtener información sobre tecnologías patentadas, procesos de negocio y fijación de precios que proporcionarían a gobiernos u organizaciones patrocinadoras ventajas económicas competitivas en acuerdos de negocios. Por medio de simple número de grupos de amenazas, hemos visto no menos de 10 grupos de amenazas separados enfocados en el vertical de Químicos/Manufactura/Minería en todo el mundo. Figura 2: Eventos de APT detectados por los aparatos de FireEye por industria como porcentaje de todas las alertas en el mundo versus sólo la región latinoamericana. Los datos no se han normalizado para el número de clientes en una industria dada. 8 “State of the Market: Latin America Annual Mining Report 2013.” SNL Metals & Mining, SNL Financial. 2013. Web. 13 Ago. 2014. Panorama de Amenazas Comparativamente, para todos nuestros clientes en el mundo, vemos el sector de alta tecnología como el más atacado. Figura 3: Eventos de APT detectados por los aparatos de FireEye por industria como porcentaje de todas las alertas Panorama de Amenazas Principales Alertas de Malware para la Región El siguiente gráfico muestra las principales alertas de malware a partir de aparatos de FireEye para la región: GRILLMARK 2% 9002 Kaba 2% 7% HCStealer 2% XtremeRAT 26% Houdini 12% LV 14% DarkComet 20% SpyNet 15% Figura 4: Principales malware observados por aparatos de FireEye en América Latina Los aparatos de FireEye en la región latinoamericana observaron con mayor frecuencia malware que incluye: XtremeRAT, DarkComet, SpyNet y LV (también conocido como njRAT). XtremeRAT, DarkComet, Houdini y Spynet son todos RAT disponibles públicamente y relativamente simples pero eficaces. Debido a que están fácilmente disponibles, podrían ser utilizados por atacantes avanzados para "integrarse", pero también podrían ser empleados por diferentes tipos de actores de amenazas con todo tipo de motivos, debido a su facilidad de acceso y a la baja barrera de entrada. FireEye ha identificado previamente grupos de APT con sede en China utilizando Kaba (también conocido como SOGU o PlugX) y el malware que llamamos "9002" (también conocido como HOMEUNIX) al llevar a cabo las operaciones. Panorama de Amenazas Contexto de Malware: Detecciones Globales DarkComet también estuvo entre las detecciones globales más frecuentes de FireEye, seguido por Gh0stRAT, LV, y XTremeRAT. A continuación se presentan las principales alertas de malware que los aparatos de FireEye identificaron en el mundo: Fertger 2% SpyNet 5% Page 2% Taidoor 3% 9002 4% DarkComet 35% Kaba 5% XtremeRAT 11% LV 15% Gh0stRat 18% Figura 5: Principales malware en el mundo identificados por aparatos de FireEye Panorama de Amenazas Conclusiones y Recomendaciones La evidencia destacada en este informe demuestra que las organizaciones latinoamericanas son un objetivo para las amenazas avanzadas. El tipo de malware que identificamos en este informe es congruente con los malware que vemos enfocándose en víctimas en otros países y verticales. Estos atacantes enfocados son persistentes y continuarán persiguiendo su meta por todos los medios necesarios. Recomendamos lo siguiente: 1. Aún cuando las amenazas son cada vez más sofisticadas y difíciles de detectar, la higiene básica es más importante que nunca. Asegúrese de que las herramientas de seguridad existentes están actualizadas. Muchos de los productos básicos de malware pueden ser fácilmente abordados con herramientas heredadas basadas en firmas. 2. Implemente sistemas de protección contra amenazas avanzadas para asegurar que los datos de alto valor están salvaguardados. Esto incluye tanto los mecanismos de detección situados en la red/web y en correos electrónicos no basados en firmas, así como la capacidad para encontrar amenazas a través de sus puntos finales de acceso. Las organizaciones deben poseer la capacidad de hacer preguntas a través de sus puntos finales, no sólo desde el punto de vista de la amenaza, sino a partir de un enfoque de comportamiento y metodología. 3. Planifique e implemente una capacidad de seguridad de operación (SOC), así como un Equipo de Respuesta a Incidentes en Computadores (CIRT) y una estrategia de Plan de Administración para cerrar las brechas de seguridad existentes. La función SOC/CIRT dentro de una organización debe tener tanto la función de "alerta de vigilancia" como de capacidad de "caza" para encontrar de forma proactiva las amenazas no descubiertas dentro de una organización. 4. Utilice, recopile y comparta inteligencia sobre amenazas, tanto dentro de su organización como con otras organizaciones en su vertical y zona geográfica. Colabore con otras entidades en amenazas cibernéticas emergentes para optimizar su posición de seguridad. La inteligencia de seguridad provee las bases necesarias para ayudar al descubrimiento y mitigación de amenazas. La inteligencia de amenazas se presenta en dos formas: inteligencia formateada estructurada para el consumo por parte de la tecnología, tal como un Indicador de Compromiso (IOC) o una dirección IP/Dominio; e inteligencia no estructurada a partir del análisis humano, tal como este informe que describe las tendencias geográficas de amenazas o tal vez un expediente sobre un grupo de amenazas y sus familias de malware específicas enfocadas en determinadas industrias. Panorama de Amenazas 5. Por último, la mejor tecnología en el mundo no puede ser efectiva sin recursos capacitados. Las organizaciones deben invertir en gran medida en la formación y retención del personal de seguridad de la información. Las organizaciones deben enfocarse no sólo en conservar su personal de seguridad valioso, sino en buscar otras fuentes de recursos, tales como servicios gestionados, reclutamiento desde la universidad y prácticas internas. win/92626.doc 5.11.14