No está construido sobre arena

No está construido sobre arena

El Sandbox de Hornetsecurity llega hasta el fondo de los ficheros maliciosos.

 

Uno de los puntos de entrada del malware sigue siendo el email. No importa si se trata de un archivo adjunto o a través de un enlace de descarga: una vez que el código malicioso se encuentre en los dispositivos locales, está claro que las medidas de seguridad han fallado. Y la carrera armamentística entre los atacantes y proveedores de seguridad informática persiste. Es por ello que Hornetsecurity continúa con el desarrollo de métodos de defensa, y uno de ellos es el Sandbox de Hornetsecurity Advanced Threat Protection (ATP), que examina a fondo los adjuntos de email y archivos sospechosos durante la reescritura de URL dentro de un ambiente controlado y aislado de otros sistemas. Para lograr un análisis preciso de los ficheros, se emplean diferentes técnicas.

 

Análisis estático

 

Antes de colocarlos en el Sandbox, se analizan los archivos en condiciones de análisis estático, sin ejecutarlos. Aquí, el sistema de reconocimiento revisa los metadatos generales del archivo, como la fecha de creación, la fecha de modificación y el autor. Además, se realiza un análisis de las macros de archivos de Office y código de JavaScript en ficheros PDF. Se escanean cada una de las secciones de un Portable Executable -en archivos ejecutables de Windows- para detectar contenidos críticos. Durante este proceso, el sistema recoge información acerca de las bibliotecas utilizadas, por ejemplo, para identificar si el archivo se comunica con Internet. Además, se analizan los caracteres de salida legibles. De esta manera, por ejemplo, pueden detectarse visitas a sitios web sospechosos incluso antes de que se ejecute el archivo. El análisis estático también incluye la revisión del valor hash del archivo a través de una variedad de programas antivirus.

 

Durante el análisis estático, un algoritmo “diseca”, en sentido literal, al archivo, con el fin de descubrir la mayor cantidad de información posible, y usarla como base para el desarrollo de la firma del virus. Estas firmas se utilizan para identificar a cada virus según sus patrones específicos.

 

La siguiente captura de pantalla muestra el código de un macro de Office durante el análisis estático.

 

 

 

El análisis del Sandbox

 

El análisis dinámico de los archivos se lleva a cabo en un Sandbox. En este punto, el motor de Sandbox analiza todos cambios en el sistema mientras el archivo se ejecuta. Este documenta el comportamiento de los procesos de sistema, las llamadas y cambios en el registro, y luego analiza todo esto en búsqueda de actividades anormales (captura de pantalla 2). Además, se registra todo el tráfico de red del sistema para detectar conexiones sospechosas. Si el archivo intenta comunicarse con un servidor de comando y control y carga aún más código malicioso, el Sandbox intercepta este proceso y quita el malware. Durante la ejecución del archivo, el sistema automáticamente toma capturas de pantalla de todas las llamadas.

 

Luego de haber completado el análisis dinámico, se restablece a su estado previo el entorno virtual de Sandbox que se usó para ejecutar el archivo. De esta forma, en caso de infección, puede limpiarse el sistema de cualquier rastro de malware.

 

 

Con base en todos los análisis disponibles, el Sandbox evalúa el riesgo potencial del archivo. Esto da como resultado un valor de entre 0 y 10.

 

El nuevo reporte de ATP

 

Con la actualización del Sandbox a la versión 2.0, ATP-Report ha sido revisado a fondo. Aquí, los usuarios de ATP podrán conseguir información detallada sobre el archivo analizado.

 

El resumen recoge los principales puntos de análisis. Además del análisis de riesgo del archivo (captura de pantalla 3), el informe muestra las firmas de virus correspondientes y las divide según el nivel de amenaza en tres categorías: atención, advertencia y peligro (captura de pantalla 4). También enumera las capturas de pantalla generadas durante el análisis del Sandbox (captura de pantalla 5).

 

 

 

 

Los otros menús del reporte de ATP muestran los resultados del análisis detallado.

 

Análisis del Sandbox de ATP con nueva apariencia

 

Análisis del Sandbox de ATP con nueva apariencia
Además de la revisión del reporte de ATP, la última actualización trae muchas mejoras al Sandbox. Entre otras cosas, es capaz de analizar completamente todas las aplicaciones de 64 bit. Además, los especialistas de Hornetsecurity revisaron el sistema de evaluación y llevaron a cabo actualizaciones con nuevas firmas y comportamientos de virus. También agregaron análisis estático a través de mejoras al motor de análisis de código JavaScript en archivos PDF, junto con importantes mejoras en la infraestructura y los sistemas de Sandbox, para aumentar considerablemente el rendimiento y la capacidad de análisis.

 

Desarrollo continuo

 

El laboratorio de seguridad de Hornetsecurity trabaja constantemente en la mejora del Sandbox, de modo que sea capaz de detectar las amenazas más recientes y sofisticadas. Para poder responder a ataques nuevos en cualquier momento, se añaden nuevas firmas de virus, y se mejoran las existentes. Asimismo, pueden emplearse fragmentos de comportamiento general y tráfico de red para obtener reglas generales que ayuden a detectar nuevos tipos de Malware.

 

Así es como funciona Advanced Threat Protection de Hornetsecurity en detalle:

 

Alta disponibilidad – todavía una carencia entre las pymes

Alta disponibilidad – todavía una carencia entre las pymes

Cuando el servidor de correo o algún otro componente importante de la compañía se ve interrumpido, la opción de un asesoramiento profesional resulta costosa. Para una pyme con una plantilla de 200 a 500 empleados, un incidente de este tipo, estaría rondando entre cifras de cuatro a seis dígitos -la hora. Estos datos son el resultado de un estudio hecho por Techconsult. Esta cifra se deriva de la suma de muchos factores, entre ellos, de la baja en la productividad del área de TI, de la ganancia que se ha dejado de percibir durante el período de inactividad, así como de los costes derivados de la interrupción del servicio.

 

A pesar de ello, las empresas medianas no le dan la atención merecida que la alta disponibilidad conlleva, así como el período de inactividad, y terminan reaccionando cuando ya es muy tarde. ¿Qué pueden hacer las empresas para no caer ante ese escenario de terror?

 

Quien ya se ha familiarizado con la alta disponibilidad de las infraestructuras de TI, conoce la complejidad en la materia. Por ello les resulta difícil a las empresas con escaso know-how en el área de TI, manejar adecuadamente dicha problemática. No suelen tener un concepto claro de la temática. Aunado a esto muchos buscan escapar de los costes, que un ajuste necesario del sistema conllevaría.

Los apagones o las caídas del disco duro, son de los casos menos deseados por el departamento de TI. Aún más cuando durante todo el año, no se le ha prestado la atención merecida al tema de la alta disponibilidad como responsabilidad del área de TI. En cuanto a la incidencia en el tráfico del correo electrónico, puede resultar muy molestoso.

 

Imaginando el peor escenario, cuando no se cuenta con otra alternativa de comunicación más que el servidor de correo, no solo resulta que los empleados no pueden enviar ni recibir correos, sino que los emails que entren durante dicho período, no llegarán a sus destinatarios una vez que la comunicación sea reestablecida. Por esta razón, podrían incrementarse los daños económicos. Una vez sucedido esto, la empresa tendrá que plantearse cómo quiere resolver un escenario tal, de forma rápida y efectiva.

 

Fácil y seguro con una alta disponibilidad -así sí funciona

 

Aquí entran en juego las soluciones de seguridad basadas en la nube. El servicio de continuidad de correo de Hornetsecurity, garantiza a la empresa por ejemplo, una disponibilidad del tráfico de correo de un 99,9%. Gracias a una monitorización automática, el servicio se activa de forma inmediata y por sí solo ante una caída del servidor de correo, evitando así, una interrupción de la comunicación.

 

Los correos electrónicos son distribuidos a través de medios alternativos (buzón de correo POP3/IMAP o acceso por Webmail). Si resultara una caída completa del sistema TI sin contar con soluciones alternativas, los correos serían guardados durante el tiempo que le tome al servidor de correo restablecerse. No hay posibilidad de que se pierdan los emails, incluso cuando los mismos han sido eliminados de forma accidental, en cuestión de pocos segundos estará a su disposición un respaldo del tráfico de correo de los últimos 90 días. En un caso ideal, los empleados y clientes no tendrán ni porqué enterarse de que hubo una interrupción en la infraestructura de TI.

 

Según un estudio realizado, más de la mitad de los especialistas en TI encuestados (57%), habían sufrido al menos una caída del sistema en los últimos tres meses. De esta manera podemos entrever que el servicio de continuidad de correo de Hornetsecurity, está lejos de acabar. Existe actualmente una carencia importante en el mercado. Las pymes no están aún al tanto de los peligros y sobre todo de los costes resultantes de los mismos. Si quiere mantenerse y ser competitivo en el futuro, deberá considerar seriamente la adquisición de servicios de seguridad en la nube.

 

Petya vs. NotPetya – Hornetsecurity identifica la última modificación en 56 segundos

Petya vs. NotPetya – Hornetsecurity identifica la última modificación en 56 segundos

Desde hace dos días se está distribuyendo una versión modificada del conocido Ransomware Petya. Algunas firmas a nivel mundial ya han sido víctimas de este ataque. Después de varios análisis, se identificó como objetivo principal a Ucrania, sin embargo, algunas empresas en Alemania también se vieron afectadas. La dispersión se realizó de igual forma como hace dos meses con el Ransomware ‚WannaCry‘. Nosotros le seguimos el paso a ’NotPetya’.

 

Como el troyano WannaCry, que estuvo en los encabezados de las noticias hace dos meses, NotPetya se distribuye a través del hueco de seguridad EternalBlue via SMB y no, como Petya hace un año, a través de correos comerciales falsos con enlaces de descarga con dirección al Ransomware Petya. NotPetya es una modificación del viejo Ransomeware Petya y dispone de nuevas características que le permiten dispersarse en la red local a través de un ordenador infectado.

 

El Ransomeware utiliza PsExec y Windows Management Instrumentation para atacar a otros sistemas en la red. Para utilizar estos programas, requiere el programa de derechos de administración con el fin de buscar dentro del ordenador las contraseñas en la memoria local y en los sistemas de datos locales.

 

El Advanced Threat Protection de Hornetsecurity reconoció el Ransomware 56 segundos después de hacer sido ejecutado en el entorno asegurado de Sandbox como una modificación de la familia Petya.

NotPetya fue reconocido por el ATP de Hornetsecurity 56 segundos después de su ejecución.

 

Dentro del análisis de códigos de Hornetsecurity, y a pesar de las modificaciones extremas en comparación con el clásico Malware de la familia Petya, este fue identificado de manera exitosa. De esta forma es NotPetya un „NuevoPetya“.

 

Aquí una prueba del análisis de comportamiento ATP de NotPetya: la parte maliciosa de NotPetya se ejecuta de forma automática después del Reboot.

Cambios en la nube – ¿nuevas alternativas para el mercado TI?

Cambios en la nube – ¿nuevas alternativas para el mercado TI?

El significado de la nube

Para muchos estudiantes de informática el término “nube” ha estado en vigencia desde hace algún tiempo. La tecnología en la nube tiene una cabida cada vez mayor en nuestras vidas, así como la importancia de su significado mismo. Muchas empresas trabajan almacenando documentos compartidos en la nube, aprovechando la gran ventaja de poder trabajar con los mismos en paralelo. Otra ventaja de la tecnología en la nube, es poder compartir calendarios y trabajarlos en conjunto, esto se traduce en un mayor rendimiento y flexibilidad a la hora de trabajar.

 

La nube como tendencia futura

Un estudio de la International Data Corporation (IDC) denominado “Computación en la nube en Alemania 2017”, refleja cómo en el marco de la transformación digital muchas empresas entre medianas y grandes, planean invertir en servicios en la nube. La demanda de tecnologías en la nube aumentará en los próximos años, situación la cual representa un excelente punto de partida para las empresas que ofertan el servicio. Ha surgido un vuelco hacia las aplicaciones en la nube, estas se hacen cada vez más profesionales y ofrecen grandes ventajas. Muchos proveedores ofrecen sus servicios desde centros de datos alemanes o al menos europeos. La ley alemana y en general europea de protección de datos, genera mucha confianza a los consumidores finales.

 

El desarrollo de del mercado IT a través de la nube

Junto a la creciente demanda de tecnología en la nube crece el mercado IT y según el índice de personal cualificado IT de Hays, este ha crecido un 26% del 2011 al 2016. Los cargos favoritos y más solicitados por las compañías son los desarrolladores de aplicaciones, administradores de red, así como los empleados de soporte IT.

 

Bien equipado para el trabajo de IT

A través de una encuesta de recursos humanos en el 2017, se señala que el personal directivo valora cada vez más las competencias mentales y sociales de sus empleados, sobre todo en lo que se refiere a la disposición al cambio, así como al manejo de situaciones complejas e inseguras.

Para los encuestados, los temas top del año fueron la flexibilización y la digitalización, así como también se reflejó un gran interés en lograr una mayor retención de los empleados, un mejor clima organizacional, así como la asignación de tareas más interesantes. En el reporte de 2017 sobre la encuesta a desarrolladores alemanes de Stack Overflow , un 32% de los encuestados afirmaron que su formación profesional “no era muy importante” o “nada importante” para alcanzar el éxito en su vida laboral. Un 93% de ellos obtuvieron su conocimiento a través del estudio individual y complementado con cuotas Open Source, competencias de programación o Hackathons. Muchos programadores han hecho de su trabajo un hobby, por ello valoran mucho la posibilidad de poder seguir desarrollándose en su especialidad así como en el lenguaje técnico, infraestructura y tecnología en una empresa.

 

Hornetsecurity como proveedor de servicios en la nube

Tecnología en la nube es un tema fundamental paraHornetsecurity, esta constituye la plataforma de las soluciones que ofrece nuestra compañía. Por esta razón estamos en la búsqueda de nuevos empleados que tengan ganas de continuar desarrollando nuestras soluciones en la nube, que disfruten formar parte de la empresa y estén dispuestos a nuevos retos. Queremos ser parte del futuro del sector IT, ¡sélo tú también! Postúlate a través de Hornetsecurity.

El ATP de Hornetsecurity lo protege de ataques ransomware, desde el primer correo malicioso

El ATP de Hornetsecurity lo protege de ataques ransomware, desde el primer correo malicioso

En más de 150 países WannaCry causó severos daños: ante la ola de ataques a nivel mundial, se vieron afectados entre muchos otros: el servicio nacional de salud del Reino Unido, el fabricante de automóviles Renault, e incluso también algunos departamentos de la empresa ferroviaria alemana Deutsche Bahn fueron vulnerados. Sin embargo, desde el primer correo malicioso, Hornetsecurity Advanced Threat Protection pudo detectar e impedir dicho ataque a tiempo.

 

WannaCry es un software extorsivo que se transporta por email y de ahí se expande. De ser activado desde un dispositivo local, codifica los archivos allí existentes. Luego a los usuarios se les pide sumas de dinero para obtener nuevamente la clave de decodificación, lo cual no es aconsejado por los expertos en seguridad. En el caso de WannaCry el malware se aprovechó de un Exploit, cuyo origen se le atribuye a la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés) y que un grupo de hackers llamados “Shadow Brokers” descubrió y publicó.

 

Captura de pantalla de WannaCry

Este mensaje apareció el fin de semana en miles de ordenadores

Lo pérfido de WannaCry, es que el software malicioso se aprovecha de un punto de vulnerabilidad en el “protocolo del bloque de mensajes del servidor” (SMB, por sus siglas en inglés), para así expandirse y seguir infectando a otros sistemas de computación. Por este motivo, WannaCry ha alcanzado un grado alarmante de expansión a nivel mundial. WannaCry está basado en el viejo sistema operativo Windows XP, usado todavía con frecuencia. Por considerarse este desactualizado, su fabricante Microsoft no previó actualizaciones de seguridad para Windows XP, situación la cual ha cambiado drásticamente a raíz del éxito obtenido por WannaCry.

 

 

Hornetsecurity Advanced Threat Protection (ATP) ha detectado el novedoso ransomware desde el primer indicio, a través de patrones de análisis dinámicos detectados en el Sandbox y colocados en cuarentena. Análisis posteriores de WannaCry por parte de especialistas en seguridad de Hornetsecurity, aseveraron que el software instala una variante del Backdoor DOUBLEPULSAR, mediante la cual se filtra el código malicioso. Seguidamente el programa codifica los diversos archivos y les añade la terminación “.wncry”, así p. ej. al archivo finanzas.xlsx lo convierte en finanzas.xlsx.wncry. Debido a esto, los archivos se vuelven inservibles al usuario. Al mismo tiempo los hosts infectados empiezan a formar parte de una red bot, controlada a su vez por la red de enrutamiento de cebolla (TOR, por sus siglas en inglés).

 

El email atacante contiene solo un documento adjunto

Hornetsecurity recomienda tomar las siguientes medidas de protección ante un ataque: empresas y personas que todavía utilizan el sistema operativo Windows XP, deben poner en uso el patch creado por Microsoft y actualizar el sistema. Incluso mejor, es la adopción de nuevos sistemas operativos con actualizaciones de seguridad activadas (al menos MS17-010). Añadido a esto, las empresas deben ajustar su Firewall de manera tal que el tráfico SMB que ingrese a través del puerto 445, así como el tráfico TOR saliente de la red corporativa, sea bloqueado. En términos generales, los expertos en seguridad de Hornetsecurity recomiendan examinar minuciosamente correos electrónicos contentivos de facturas y antes de abrirlos, verificar al menos con un escáner de virus las posibles vinculaciones con archivos de Office, Skript o ficheros ejecutables (archivo portable ejecutable, PE). Gracias al escaneo y reescritura de URL, el ATP de Hornetsecurity como protección integral ante nuevos tipos de amenazas, realiza un análisis profundo de los URLs contenidos en los correos electrónicos.

Virus disfrazado de Dropbox

Virus disfrazado de Dropbox

A primeros de Marzo, nuestros filtros de spam y virus detectaron correos electrónicos referentes a temas de facturación con enlaces vinculados a archivos de Dropbox.

 

De esta forma los estafadores buscan que el destinatario descargue los archivos con supuestas informaciones de pago o facturas. La descarga con el contenido de pago no se realiza directamente en el dispositivo local, sino a través de un archivo ZIP contentivo del virus. Los archivos comprimidos “factura1.zip”, “factura2.zip”, etc., contienen a su vez un archivo .js con distintas firmas con malware.

 

“Saludos” maliciosos – archivo adjunto con virus

 

Nuestros filtros detectaron inmediatamente esta ola de ataques, reaccionando al mismo: la reescritura del enlace ha modificado los enlaces de descarga de las facturas mencionadas. El Sandbox de nuestro producto ATP se encargaría de verificar el archivo, una vez hecho clic en el enlace de descarga, el virus sería detectado y así detenido el ataque. Luego de la fase de reconocimiento de nuestro Advanced Threat Protection, serían tomadas las medidas pertinentes necesarias para proteger a nuestros clientes.

 

Incluso los programas de antivirus clásicos, prácticamente no detectaron los virus (solo cuatro de 56 dispositivos reconocieron al código malicioso), así mismo ese día la tasa de detección fue de 19 de 58 escáneres de virus. Desde entonces, se ha pedido mucha cautela a los usuarios con emails contentivos del asunto “Su factura” o “Detalles de pago”, en cuyo contenido se encuentra un enlace vinculado a Dropbox. Tal correo electrónico debe ser borrado de forma inmediata.

 

Hornetsecurity Advanced Threat Protection protege a las empresas de ataques como el Ransomware, el Fraude del CEO y el Phishing. Para más información haga clic aquí.