Una nueva ola de virus de extorción en la red social más popular de Rusia, VKontakte, utiliza las vulnerabilidades de navegador junto con los métodos típicos de ingeniería social para distribuirse.

Como “cebo” se le promete al usuario una mayor puntuación en la red social o una cierta cantidad de dinero en la moneda interna de la red.

El usuario se redirige a una página Web que imita la interfaz de la red social donde se le ofrece introducir su contraseña. La contraseña robada se utiliza para enviar esta oferta a los amigos del usuario, mientras que el usuario recibe un archivo ejecutable que copia el contenido del archivo host del sistema operativo.

Después, cuando el usuario intenta iniciar sesión en la mayoría de las redes sociales más populares (Vkontakte, Odnoklassniki, Mail.ru), ellos aterrizan en la página Web del defraudador donde se le ofrece enviar un mensaje SMS de pago.

La manera más fácil de eliminar este virus es limpiar a mano el contenido del archivo C:\WINDOWS\system32\drivers\etc\hosts y comprobar las unidades del ordenador con un programa antivirus de buena calidad.

Las empresas de software de antivirus hace poco han descubierto un virus que infecta a los terminales de pagos de QIWI. El análisis del código del virus ha demostrado que éste ha sido diseñado para penetrar en el sistema operativo de los terminales (Windows) y cambiar el número de cuenta a la cual se transfiere el dinero.

El virus ha sido llamado Trojan.PWS.OSMP.

El programa dañino no ha sido encontrado en los terminales en sí, sin embargo el virus estaba libremente accesible por internet (sólo sus propietarios tienen acceso a los terminales), de manera que es imposible saber el nivel de peligro que presenta. Todo esto indica que el virus existe y que los terminales sólo se pueden infectar manualmente a través de acceso físico al dispositivo.

Poco tiempo después, ha sido descubierta una modificación del virus que también estaba dirigida para afectar a los terminales.
Sin embargo, este virus funciona diferente.
El virus intenta robar los archivos de configuración de terminal, lo que en teoría daría a los criminales la posibilidad de robar dinero imitando los terminales en sus ordenadores personales.

La empresa que ofrece los servicios de QIWI ha declarado que ya es la vigésima versión del virus y que no tiene nada nuevo. El virus fue descubierto y neutralizado por el sistema antivirus interno de terminales el 20 de febrero y no supone ningún peligro.

Los agentes de sistemas de pago han explicado que sus terminales utilizan un sistema efectivo de defensa de múltiples niveles que impide que los virus causen problemas serios. Cualquier cuenta que recibe un número grande de transferencias de distintas cuentas se comprueba por los especialistas y se puede bloquear. Además, el sistema de protección de los terminales no permitiría a nadie imitar sus señales, aún después de obtener los archivos de configuración y claves de cifrado.

De acuerdo con Thomas de Maiziere, Ministro de Interior de Alemania, durante el primer semestre de este año se creará el Centro Nacional de Ciberdefensa, un departamento nuevo para proteger los recursos de Internet.

El Departamento de Seguridad de TI, que ya realiza funciones similares, dirigirá el centro.

Este proyecto fue debatido por primera vez durante el verano de 2010, cuando se descubrió el virus Stuxnet. El ataque del virus a Irán no afectó a Alemania, pero fue motivo suficiente para que las autoridades se dieran cuenta de que la infraestructura del país no estaba preparada para enfrentarse a esa amenaza.

Se propuso que las agencias de inteligencia y la policía invistieran de autoridad al Centro Nacional de Ciberdefensa, lo que le dotaría de la capacidad necesaria para combatir los ataques de los hacker. Por cierto, dicha autoridad ya había sido objeto de numerosas discusiones políticas. Por ejemplo, el Partido Democrático Liberal de Alemania aduce que la creación de un cuerpo con tales facultados es contrario a derecho.

Enero es la hora de mirar hacia atrás al año anterior y estudiar pronósticos de expertos para el año actual. El campo de seguridad de información no es una excepción.

Una empresa grande que diseña soluciones para este campo, Stonesoft (Helsinki, Finlandia), ha preparado un informe sobre las amenazas próximas basado en el análisis de datos de los últimos años.

Los expertos de Stonesoft con una experiencia de 20 años en seguridad de información han compuesto una lista de tendencias para este año:

• Se espera aparición de virus para los sistemas de Apple.
• El número de ataques a redes sociales irá creciendo, incluso los intentos de craquear cuentas de usuarios.
• Se esperan “Guerras de información”, ataques dirigidos a instituciones gubernamentales con fines políticos y financieros.
• Va a haber un incremento en el número de ataques a las empresas con fines económicos, incluso con utilización de los métodos de ingeniería social.
• Es probable que incremente el número de ataques parecidos a Stuxnet a páginas Web importantes.
• Los teléfonos móviles y Smartphones pueden llegar a ser un posible objetivo de ataques.
• Los virus van ser cada día más complejos en lo que se refiere a la búsqueda y utilización de las vulnerabilidades de sistemas y cumplimento de la tarea de “infectar todo a cualquier precio”.
• Los desarrolladores de sistemas de seguridad tendrán que unir sus fuerzas para buscar métodos de prevenir ataques que utilizan el mecanismo de AET recién descubierto.
• El director de seguridad de información de Stonesoft Joona Airamo cree que en 2001 los peligros más grandes serán las extensiones lógicas de los temas más importantes de 2010.

Estos son el gusano intelectual Stuxnet, técnicas de invasión avanzadas (AET) y tradicionalmente ingeniería social.

El año 2010 se hizo el año de un crecimiento rápido del fraude en línea. Millones de ordenadores fueron infectados, docenas de esquemas nuevas de fraude fueron utilizadas por primera vez y millones de dólares fueron robados.

La única bajada de actividades fraudulentas ha sido detectada en las filas de spammers: después de haber desactivado unos cuantos botnets grandes, el tráfico de correo no solicitado ha disminuido un 10%.

También el año pasado demostró en acción el término completamente nuevo de seguridad de información – guerras cibernéticas. Las principales agencias gubernamentales dos veces experimentaron las consecuencias de ataques intrincados y muy complejos. El gusano llamado Stuxnet atacó a una central nuclear en Irán y la “Operación Aurora” permitió a sus iniciadores robar datos confidenciales de las bases de datos de grandes empresas internacionales.

En la mayoría de los casos los ordenadores de usuarios fueron infectados de una de las siguientes maneras:

• A través de redes sociales
• A través de páginas Web de phishing
• Mediante ataques de día cero

Echemos un vistazo a los 10 métodos de fraude más populares que fueron utilizados en línea en el año pasado (según los datos facilitados por las empresas de antivirus):

1. Los virus diseñados para robar información de cuentas de sistemas bancarias en línea.

Actualmente, casi todos los bancos ofrecen servicios bancarios en línea que ganan la popularidad muy rápidamente. Es la razón por la cual la información de autorización de usuarios es un objetivo para los hackers y creadores de virus. Hasta ahora su objetivo eran en su mayoría las personas particulares, sin embargo, actualmente los negocios son los que más están amenazados ya que sus cuentas a menudo contienen cantidades de dinero más grandes. More »

Entensys y Commtouch han publicado un informe detallado sobre las amenazas más graves que se produjeron en Internet durante el tercer trimestre de 2010.

Entensys desarrolla una línea de productos de control de tráfico y de acceso a Internet y es sobre todo conocida por UserGate, su producto estrella.

Commtouch (Israel) está especializada en el estudio de nuevas actividades de spam y en el desarrollo de soluciones anti-spam.

El informe contempla las siguientes tendencias:

• Además de los mensajes de spam habituales con enlaces a software malicioso, los usuarios han empezado a recibir mensajes con archivos adjuntos infectados.
• Los distribuidores de spam están utilizando invitaciones falsas a redes sociales (LinkedIn, etc.) y notificaciones para distribuir enlaces a software malicioso y farmacias ilegales.
• Las empresas han identificado que una parte del software malicioso ahora se distribuye usando un nuevo y complejo esquema de infección en varios pasos.
• El fraude mediante PayPal se ha focalizado en Telescope Shop de Sudáfrica.
• Los enlaces a vendedores ilegales de medicamentos se disfrazan cada vez más de cartas de apoyo a políticos.

Puede leer la versión completa del informe en el sitio Web de Entensys.

Microsoft Corporation ha publicado los resultados de un estudio que revelan que, durante el primer semestre del año, 2 millones de ordenadores han formado parte de redes zombi (botnets) inadvertidamente. Se trata de redes de hacker cuyo objetivo es realizar ataques distribuidos de denegación de servicio, robar contraseñas y distribuir spam y software malicioso.

La cantidad de ordenadores infectados se calculó a partir de los datos procedentes de 88 países. Estados Unidos ocupa el primer lugar, con un total de 2,2 millones de ordenadores domésticos infectados. El segundo lugar lo ocupa Brasil, con 550 mil. En Rusia se han infectado 4,3 ordenadores por cada 1.000, ligeramente por encima de la cifra promedio mundial, 3,2 por cada 1.000.

Un solo software malicioso llamado Win32/Rimecud es responsable del 37% de los ordenadores infectados en Rusia.

El estudio arrojó como resultado que el software malicioso se eliminara de 6,5 millones de ordenadores domésticos. Igualmente, se cerró Waledac, una de las mayores redes zombi que distribuían spam.

Las autoridades inglesas y estadounidenses han comunicado sobre arresto de un grupo criminal acusado del fraude mayor. Los criminales supuestamente han robado de cuentas bancarias más de 19 millones de dólares estadounidenses mediante unos virus que interceptan los datos de usuarios.

El crimen fue realizado con la herramienta de administración ZeuS bot-net muy popular en el mundo de los hackers. Además, los defraudadores usaron un troyano de Zbot para phishing mediante el cual robaban contraseñas de cuentas bancarias y varios datos privados.

La información robada fue utilizada para transferir dinero de las víctimas del fraude a las cuentas bancarias de los criminales para después sacarlo con ayuda de unas personas que fueron reclutadas especialmente para esto (llamados «mules» o «drops»). Estos «mules» forman  la mayor parte de los sospechosos que fueron arrestados, sin embargo, su líder también fue detenido. En total fueron capturadas 20 personas, 17 ya están localizados y más de cien están en la lista de sospechosos.

La mayoría de los sospechosos son procedentes de Rusia y de la ex URSS. Sin embargo, el consulado general de Rusia en Nueva York ha sido informado por FBI sobre sólo 4 ciudadanos rusos detenidos. Lo más probable es que los demás criminales con nombres rusos no tienen ciudadanía rusa o estaban utilizando documentos falsificados.

Symantec ha anunciado Ubiquity, una nueva tecnología contra software malintencionado.

Las estrategias tradicionales para detectar amenazas (el análisis semántico y las coincidencias de las firmas de los virus) han demostrado que no son efectivas contra los virus polimórficos, que cambian cada vez que infectan un equipo, o contra virus poco extendidos. Dichos virus son una considerable amenaza para la seguridad: en 2009, Symantec detectó más de 240 millones de ejemplos únicos de software malintencionado, muchos de los cuales tenían una sola copia.

La nueva tecnología intenta resolver dos problemas a la vez con algoritmos modernos: la incapacidad de enfrentarse al tipo de amenazas indicadas anteriormente y la baja velocidad de procesamiento. El núcleo de la nueva solución es Global Intelligence Network (GIN), que almacena los datos de todas las aplicaciones iniciadas por los usuarios de la tecnología Ubiquity. En función de esos datos, el sistema califica el software, es decir, crea una lista blanca de programas fiables y una lista negra de programas sospechosos. Hasta el momento, el sistema ha calificado 1.500 millones de archivos, cifra que se incrementa en 22 millones cada semana. Symantec afirma que la solución supera el análisis de virus de cualquier otro antivirus dado que excluye los archivos que, de acuerdo con GIN, son fiables.

Durante 2 años, Symantec ha investigado los servicios de la computación en nube y es muy probable que Ubiquity se convierta en la forma de incorporar la tecnología de largo desarrollo Quorum en los productos Norton 2011 y Hosted Endpoint protection. Además, está previsto extender las aplicaciones de esta tecnología a Symantec Web Gateway y otras soluciones corporativas de Symantec.

Merece la pena destacar que Kaspersky Software usa una lógica similar de computación en nube desde 2009. Se llama Kaspersky Security Network y ha demostrado ser efectiva.