http://vianews.com.br/clientes/fire-eye/informe-regional-amenazas-avanzadas-espanol.pdf

Informe Regional de Amenazas Avanzadas
Informe Regional de Amenazas Avanzadas
América Latina 1H 2014
Panorama de Amenazas
Índice de Materias
Índice de Materias ................................................................................................................................................ 2
Introducción .......................................................................................................................................................... 3
Resumen Ejecutivo................................................................................................................................................ 4
Definiciones........................................................................................................................................................... 5
Amenazas Cibernéticas a Industrias Latinoamericanas ........................................................................................ 7
Delito Informático ............................................................................................................................................. 7
Espionaje Cibernético ....................................................................................................................................... 7
Hacktivismo ....................................................................................................................................................... 8
Infecciones Únicas en el Vertical Industrial .......................................................................................................... 9
Principales Alertas de Malware para la Región .................................................................................................. 12
Contexto de Malware: Detecciones Globales ..................................................................................................... 13
Conclusiones y Recomendaciones ...................................................................................................................... 14
Panorama de Amenazas
Introducción
Agradecemos la oportunidad de proveerle una comprensión única del panorama de
amenazas dentro de América Latina en el primer semestre de 2014. Durante años hemos
estado afirmando que más de 95% de las empresas, sin saberlo, alberga dentro de sus
redes corporativas computadores comprometidos, y este año no es diferente. Durante
nuestra evaluación, identificamos todos los tipos de actores de amenazas que
comprometen las redes de nuestros clientes, incluyendo actores apoyados por estadosnaciones sospechosos de llevar a cabo espionaje cibernético, cibercriminales y
hacktivistas buscando hacer una declaración.
Los actores de amenazas bien establecidos han ajustado sus técnicas desde genéricas,
oportunistas y aleatorias a dirigidas, flexibles y evasivas. Es un placer para mí presentar un
análisis que provee una evaluación integral del panorama latinoamericano de amenazas.
Espero con interés poder discutir este informe con usted y ayudarle a definir y ejecutar su
estrategia de seguridad cibernética para 2014 y más allá.
Un gran saludo
Panorama de Amenazas
Resumen Ejecutivo
Este Informe de FireEye de Amenazas Avanzadas para América Latina presenta una visión
general de las amenazas persistentes avanzadas (APT) descubiertas por FireEye dirigidas a
redes de computadores en América Latina durante el primer semestre de 2014.
Los actores de amenazas motivados por objetivos financieros, políticos y sociales están
explotando métodos cada vez más sofisticados para robar propiedad intelectual
confidencial, datos privados, información personal y otros datos que pueden generarles
beneficios económicos. Dicha violación podría poner tanto a personas como a
organizaciones en riesgo de consecuencias financieras, legales y de reputación.
Este informe de FireEye resume los datos deducidos a partir de la nube de Inteligencia
Dinámica de Amenazas (DTI) de FireEye. En los últimos seis meses, FireEye identificó en la
región latinoamericana:
-
9 familias únicas de malware (software malicioso) de APT, de un total de 227 familias
únicas de malware de APT en el mundo
32.339 sesiones únicas de Comandos y Controles (C2), de un total de 2,7 millones de
sesiones C2 únicas en el mundo
11 países albergando infraestructura C2, de un total de 84 países albergando
infraestructura C2 globalmente
16 verticales afectados, en comparación con 34 verticales afectados en el mundo
Descargo de responsabilidad: Este informe sólo cubre la actividad de la red de
computadores de clientes objetivo de FireEye que comparten sus mediciones con FireEye.
De ninguna manera constituye una fuente autorizada de toda la actividad de APT
enfocada en América Latina o en otros lugares. En este conjunto de datos, tomamos las
precauciones razonables para filtrar el tráfico de redes "de prueba", así como el tráfico
indicativo de intercambio de inteligencia manual entre nuestra base de clientes dentro de
diversas comunidades de seguridad cerradas. Nos damos cuenta de que algunas tácticas,
técnicas y procedimientos (TTP) populares de APT pueden ser reutilizadas y reformuladas
por muchos diferentes actores de amenazas. Para abordar esta cuestión, empleamos
filtros conservadores y chequeos cruzados para reducir la probabilidad de error en la
identificación.
Panorama de Amenazas
Definiciones
Amenaza Persistente Avanzada (APT): La Inteligencia de FireEye define a los actores de
amenazas persistentes avanzadas (APT) como actores de amenazas que reciben
dirección y apoyo de un gobierno nacional. Sin importar si su misión es robar información o
causar interrupción o destrucción, ellos persiguen sus objetivos tenazmente, utilizando una
amplia gama de herramientas y tácticas, incluyendo diferentes tipos de malware.
Retro llamada: una comunicación no autorizada entre el computador de una víctima en
peligro y su infraestructura de Comando-y-Control (C2).
Herramienta de Acceso Remoto (RAT): software que permite a un usuario de computador
(para los fines de este informe, un actor de amenaza) controlar un sistema remoto como si
él o ella tuviera acceso físico a dicho sistema. Las RAT ofrecen numerosas características
tales como captura de pantalla, robo de archivos, etc. Comúnmente, un atacante instala
la RAT en un sistema objetivo a través de otros medios, tales como la suplantación de
identidad (spear phishing) o la explotación de una vulnerabilidad de día-cero, y entonces
la RAT intenta mantener su existencia escondida del propietario legítimo del sistema.
Evento de Seguridad: FireEye descubre regularmente una amplia variedad de amenazas
en la web, en correos electrónicos y ubicadas en archivos, incluyendo la apertura de un
malware anexo, un clic en un hipervínculo malicioso o la retro llamada desde una
máquina infectada a su red de comando-y-control (CnC).
Ataque dirigido: un evento único malicioso realizado entre un actor de amenazas de APT y
una red víctima específica.
Actor de Amenazas: el perpetrador detrás de la actividad cibernética. Este actor podría
ser un hacktivista, un cibercriminal o parte de un grupo más amplio, tal como una unidad
militar, una agencia de inteligencia, una organización contratista o un actor no estatal con
patrocinio estatal indirecto.
Herramientas, Técnicas y Procedimientos (TTP): las características específicas de las
acciones y herramientas (como malware) de un actor de amenazas, empleadas contra
una red víctima. Los actores de APT normalmente emplean múltiples TTP, y múltiples
actores de APT pueden también utilizar las mismas TTP. Esta dinámica frecuentemente
complica el análisis de la defensa cibernética.
Vertical: una de las 20 distintas categorías industriales de FireEye: Aeroespacial, Químicos,
Construcción, Comercio Electrónico, Educación, Energía, Medios/Entretenimiento,
Finanzas, Gobierno, Atención de Salud, Alta Tecnología, Seguros, Legal, Manufactura,
Otros, Retail, Servicios, Telecomunicaciones, Transporte y Mayoristas.
Panorama de Amenazas
Objetivo: el destinatario del ataque de un actor de amenazas. En la mayoría de los casos,
las bajas tasas de "falsos positivos" inherentes a las alertas de FireEye sugieren que el
ataque descubierto fue exitoso.
Panorama de Amenazas
Amenazas Cibernéticas a Industrias Latinoamericanas
Delito Informático
El delito informático sigue constituyendo una amenaza para las personas y organizaciones
latinoamericanas, ya que la población está cada vez más conectada a Internet y la
banca y sistemas de pago en línea están cada vez más extendidos. En un informe
conjunto con la Organización de los Estados Americanos, los investigadores de seguridad
descubrieron que la región había experimentado un aumento del delito informático en
2013, dado que los criminales establecidos desarrollaron su propio malware y herramientas
para llevar a cabo operaciones cibernéticas. La primavera pasada, los investigadores
identificaron un grupo cibercriminal sospechoso de haber robado hasta USD$3.750.000.000
desviando transacciones en línea hechas a través de BoletoBancario, un método común
de pago en línea en Brasil. 1Anticipamos que los países latinoamericanos seguirán
enfrentando amenazas de delito informático debido a laxos protocolos de seguridad y a
un mayor uso por parte de la población de sistemas bancarios y de pago en línea.2
Cibercriminales motivados financieramente también se aprovecharon de grandes eventos
deportivos, tales como la Copa Mundial de la FIFA, para perpetuar estafas dirigidas a la
información personal o financiera de individuos; los próximos Juegos Olímpicos
probablemente no serán diferentes. FireEye observó a actores de amenazas financieras
llevando a cabo 419 estafas de boletos y algunos ataques de suplantación de identidad
utilizando temas de la Copa Mundial como señuelos3. Aunque no observamos ningún
grupo de APT conocido o sospechoso de haber utilizado temas de la Copa del Mundo en
correos electrónicos de suplantación de identidad, no obstante, consideramos que estos
actores de amenazas también pueden haber utilizado el evento como señuelos en correos
electrónicos de suplantación de identidad.
Espionaje Cibernético
Las organizaciones latinoamericanas probablemente se enfrentan a riesgos de espionaje
cibernético, por parte de actores de amenazas que trabajan para o están asociados con
gobiernos de estados-naciones en búsqueda de objetivos económicos, militares, políticos o
sociales. Varios gobiernos latinoamericanos han aumentado su enfoque en la mejora de
las prácticas de seguridad cibernética doméstica tras las recientes revelaciones acerca de
la vigilancia de gobiernos y personas extranjeros por parte de la Agencia de Seguridad
Nacional de Estados Unidos.4
1
“New Scams Targeting Brazilian Users Focus on World Cup Scheme.” Mandiant Intelligence Center, FireEye. 21 Mayo 2014.
Web. 12 Ago. 2014.
2
“Cybercriminals Targeting Financial Transaction System in Brazil may have Diverted up to 3.75 billion USD.” Mandiant
Intelligence Center, FireEye. 7 Julio 2014. Web. 12 Ago. 2014.
3
“New Scams Targeting Brazilian Users Focus on World Cup Scheme.” Mandiant Intelligence Center, FireEye. 21 Mayo 2014.
Web. 12 Ago. 2014.
4
“Brazil’s Threat Landscape.” Mandiant Intelligence Center, FireEye. 14 Julio 2014. Web. 12 Ago. 2014.
Panorama de Amenazas
Hace poco vimos a un actor de amenazas desplegar malware SOGU para atacar una
agencia de gobierno latinoamericana. El grupo de amenazas entregó el malware a través
de un correo electrónico de suplantación de identidad que empleó un señuelo
relacionado con energía; el anexo al correo electrónico parecía imitar o posiblemente
originarse desde la agencia nacional de energía de otro gobierno regional
latinoamericano. Anteriormente hemos observado a grupos de APT con sede en China
utilizando SOGU/PlugX, y es muy probable que un grupo de APT con sede en China se
haya enfocado en la agencia gubernamental para espionaje cibernético.
A principios de este año, los investigadores de seguridad de otra compañía descubrieron a
otro actor de amenazas avanzadas realizando operaciones de espionaje cibernético
global enfocado en sistemas en Argentina, Bolivia, Brasil, Colombia, Costa Rica y
Venezuela, entre otras naciones. 5Los investigadores de Kaspersky, que llamaron a la
actividad "Careto" o "la Máscara", afirmaron que los objetivos principales eran las
instituciones gubernamentales, oficinas diplomáticas, embajadas, organizaciones de
energía, petróleo y gas, organizaciones de investigación y activistas. Los investigadores
señalaron que el grupo de amenazas, que parece haber estado activo durante
aproximadamente siete años, había escrito el malware para buscar nombres de rutas
españolas, más que Inglesas, lo que sugiere que los autores son de habla hispana y/o
específicamente enfocados en víctimas de habla hispana.6
Hacktivismo
FireEye espera que las organizaciones seguirán enfrentando amenazas de seguridad
cibernética por parte de hacktivistas que dependen de desfiguraciones de sitios web, de
ataques distribuidos de denegación de servicio (DDoS) y de otros métodos para llamar la
atención sobre sus causas. Durante los disturbios civiles en Venezuela a principios de este
año, individuos identificándose como miembros de Anonymous desfiguraron numerosas
páginas web pertenecientes al gobierno venezolano, en respuesta a la muerte de varios
manifestantes. 7El hacktivismo tiene el potencial para avergonzar a las víctimas e
interrumpir sus operaciones y puede causar daño a la reputación a través de la exposición
de información confidencial o de revelar prácticas pobres de seguridad.
5
“Kaspersky Lab Uncovers “The Mask:” One of the Most Advanced Global Cyber-espionage Operations to Date Due to the
Complexity of the Toolset Used by the Attackers.” Kaspersky Lab. 11 Feb 2014. Web. 12 Ago. 2014.
6
Latin American + Caribbean Cybersecurity Trends.” Symantec. Organization of American States. Junio 2014.
Web. 12 Ago. 2014.
7
Kovacs, Eduard. “Venezuelan Police and Government Sites Hacked in Protest Against Killing of Students.” Softpedia. 17 Feb.
2014. Web. 12 Ago. 2014.
Panorama de Amenazas
Infecciones Específicas en el Vertical Industrial
En América Latina, FireEye observó el mayor número de eventos de APT en el sector de
energía y servicios públicos. El siguiente gráfico representa los eventos de APT por industria
que afectan a las organizaciones latinoamericanas. Los Químicos/Manufactura/Minería y
los Servicios/Consultoría/Revendedores con Valor Agregado (RVA) constituyen casi la
mitad de todas las alertas de APT:
Educación:
Telecomunicacione Aeroespacial/Defen
Educación
Superior
s (Internet, Teléfono
sa/Aerolíneas
2%
& Cable)
2%
7%
Energía/Servicios
Públicos/Refinerías
de Petróleo
7%
Gobierno: Federal
10%
Químicos/Manufact
ura/Minería
34%
Servicios Financieros
12%
Gobierno:
Estadual &
Local
12%
Servicios/Consultoría
/RVA
14%
Figura 1: Eventos de APT por industria que afectan a organizaciones latinoamericanas
Panorama de Amenazas
A modo de comparación, el siguiente gráfico muestra los eventos de APT en las
industrias de nuestros clientes en América Latina como porcentaje, en comparación con
los verticales a nivel mundial. Este gráfico sugiere que los Químicos/Manufactura/Minería
están enfocados de forma desproporcionada en la región latinoamericana, en
comparación con los clientes de Químicos/Manufactura/Minería a nivel global.
Sugerimos que los actores de amenazas se enfocan desproporcionadamente en
clientes del sector latinoamericano de Químicos/Manufactura/Minería ya que la
industria es un principal motor estratégico y económico de la región. En 2012, las minas
latinoamericanos representaron 22%, 20%, y 46% del total de la producción mundial de
mineral de hierro, oro y cobre del mundo, respectivamente. 8Los actores de amenazas
enfocados en este sector están probablemente tratando de obtener información sobre
tecnologías patentadas, procesos de negocio y fijación de precios que proporcionarían
a gobiernos u organizaciones patrocinadoras ventajas económicas competitivas en
acuerdos de negocios.
Por medio de simple número de grupos de amenazas, hemos visto no menos de 10
grupos de amenazas separados enfocados en el vertical de
Químicos/Manufactura/Minería en todo el mundo.
Figura 2: Eventos de APT detectados por los aparatos de FireEye por industria como
porcentaje de todas las alertas en el mundo versus sólo la región latinoamericana. Los
datos no se han normalizado para el número de clientes en una industria dada.
8
“State of the Market: Latin America Annual Mining Report 2013.” SNL Metals & Mining, SNL Financial. 2013. Web. 13 Ago.
2014.
Panorama de Amenazas
Comparativamente, para todos nuestros clientes en el mundo, vemos el sector de alta
tecnología como el más atacado.
Figura 3: Eventos de APT detectados por los aparatos de FireEye por industria como
porcentaje de todas las alertas
Panorama de Amenazas
Principales Alertas de Malware para la Región
El siguiente gráfico muestra las principales alertas de malware a partir de aparatos de
FireEye para la región:
GRILLMARK
2%
9002
Kaba 2%
7%
HCStealer
2%
XtremeRAT
26%
Houdini
12%
LV
14%
DarkComet
20%
SpyNet
15%
Figura 4: Principales malware observados por aparatos de FireEye en América
Latina
Los aparatos de FireEye en la región latinoamericana observaron con mayor frecuencia
malware que incluye: XtremeRAT, DarkComet, SpyNet y LV (también conocido como
njRAT). XtremeRAT, DarkComet, Houdini y Spynet son todos RAT disponibles públicamente y
relativamente simples pero eficaces. Debido a que están fácilmente disponibles, podrían
ser utilizados por atacantes avanzados para "integrarse", pero también podrían ser
empleados por diferentes tipos de actores de amenazas con todo tipo de motivos, debido
a su facilidad de acceso y a la baja barrera de entrada.
FireEye ha identificado previamente grupos de APT con sede en China utilizando Kaba
(también conocido como SOGU o PlugX) y el malware que llamamos "9002" (también
conocido como HOMEUNIX) al llevar a cabo las operaciones.
Panorama de Amenazas
Contexto de Malware: Detecciones Globales
DarkComet también estuvo entre las detecciones globales más frecuentes de FireEye,
seguido por Gh0stRAT, LV, y XTremeRAT. A continuación se presentan las principales alertas
de malware que los aparatos de FireEye identificaron en el mundo:
Fertger
2%
SpyNet
5%
Page
2%
Taidoor
3%
9002
4%
DarkComet
35%
Kaba
5%
XtremeRAT
11%
LV
15%
Gh0stRat
18%
Figura 5: Principales malware en el mundo identificados por aparatos de FireEye
Panorama de Amenazas
Conclusiones y Recomendaciones
La evidencia destacada en este informe demuestra que las organizaciones
latinoamericanas son un objetivo para las amenazas avanzadas. El tipo de malware que
identificamos en este informe es congruente con los malware que vemos enfocándose en
víctimas en otros países y verticales. Estos atacantes enfocados son persistentes y
continuarán persiguiendo su meta por todos los medios necesarios.
Recomendamos lo siguiente:
1. Aún cuando las amenazas son cada vez más sofisticadas y difíciles de detectar, la
higiene básica es más importante que nunca. Asegúrese de que las herramientas
de seguridad existentes están actualizadas. Muchos de los productos básicos de
malware pueden ser fácilmente abordados con herramientas heredadas basadas
en firmas.
2. Implemente sistemas de protección contra amenazas avanzadas para asegurar
que los datos de alto valor están salvaguardados. Esto incluye tanto los mecanismos
de detección situados en la red/web y en correos electrónicos no basados en
firmas, así como la capacidad para encontrar amenazas a través de sus puntos
finales de acceso. Las organizaciones deben poseer la capacidad de hacer
preguntas a través de sus puntos finales, no sólo desde el punto de vista de la
amenaza, sino a partir de un enfoque de comportamiento y metodología.
3. Planifique e implemente una capacidad de seguridad de operación (SOC), así
como un Equipo de Respuesta a Incidentes en Computadores (CIRT) y una
estrategia de Plan de Administración para cerrar las brechas de seguridad
existentes. La función SOC/CIRT dentro de una organización debe tener tanto la
función de "alerta de vigilancia" como de capacidad de "caza" para encontrar de
forma proactiva las amenazas no descubiertas dentro de una organización.
4. Utilice, recopile y comparta inteligencia sobre amenazas, tanto dentro de su
organización como con otras organizaciones en su vertical y zona geográfica.
Colabore con otras entidades en amenazas cibernéticas emergentes para optimizar
su posición de seguridad. La inteligencia de seguridad provee las bases necesarias
para ayudar al descubrimiento y mitigación de amenazas. La inteligencia de
amenazas se presenta en dos formas: inteligencia formateada estructurada para el
consumo por parte de la tecnología, tal como un Indicador de Compromiso (IOC) o
una dirección IP/Dominio; e inteligencia no estructurada a partir del análisis
humano, tal como este informe que describe las tendencias geográficas de
amenazas o tal vez un expediente sobre un grupo de amenazas y sus familias de
malware específicas enfocadas en determinadas industrias.
Panorama de Amenazas
5. Por último, la mejor tecnología en el mundo no puede ser efectiva sin recursos
capacitados. Las organizaciones deben invertir en gran medida en la formación y
retención del personal de seguridad de la información. Las organizaciones deben
enfocarse no sólo en conservar su personal de seguridad valioso, sino en buscar
otras fuentes de recursos, tales como servicios gestionados, reclutamiento desde la
universidad y prácticas internas.
win/92626.doc
5.11.14