informe regional de amenazas avanzadas · panorama de amenazas definiciones amenaza persistente...

Informe Regional de Amenazas Avanzadas

Informe Regional de Amenazas Avanzadas América Latina 1H 2014

Panorama de Amenazas

Índice de Materias

Índice de Materias ................................................................................................................................................ 2

Introducción .......................................................................................................................................................... 3

Resumen Ejecutivo ................................................................................................................................................ 4

Definiciones........................................................................................................................................................... 5

Amenazas Cibernéticas a Industrias Latinoamericanas ........................................................................................ 7

Delito Informático ............................................................................................................................................. 7

Espionaje Cibernético ....................................................................................................................................... 7

Hacktivismo ....................................................................................................................................................... 8

Infecciones Únicas en el Vertical Industrial .......................................................................................................... 9

Principales Alertas de Malware para la Región .................................................................................................. 12

Contexto de Malware: Detecciones Globales ..................................................................................................... 13

Conclusiones y Recomendaciones ...................................................................................................................... 14


Introducción

Agradecemos la oportunidad de proveerle una comprensión única del panorama de

amenazas dentro de América Latina en el primer semestre de 2014. Durante años hemos

estado afirmando que más de 95% de las empresas, sin saberlo, alberga dentro de sus

redes corporativas computadores comprometidos, y este año no es diferente. Durante

nuestra evaluación, identificamos todos los tipos de actores de amenazas que

comprometen las redes de nuestros clientes, incluyendo actores apoyados por estados-

naciones sospechosos de llevar a cabo espionaje cibernético, cibercriminales y

hacktivistas buscando hacer una declaración.

Los actores de amenazas bien establecidos han ajustado sus técnicas desde genéricas,

oportunistas y aleatorias a dirigidas, flexibles y evasivas. Es un placer para mí presentar un

análisis que provee una evaluación integral del panorama latinoamericano de amenazas.

Espero con interés poder discutir este informe con usted y ayudarle a definir y ejecutar su

estrategia de seguridad cibernética para 2014 y más allá.

Un gran saludo


Resumen Ejecutivo

Este Informe de FireEye de Amenazas Avanzadas para América Latina presenta una visión

general de las amenazas persistentes avanzadas (APT) descubiertas por FireEye dirigidas a

redes de computadores en América Latina durante el primer semestre de 2014.

Los actores de amenazas motivados por objetivos financieros, políticos y sociales están

explotando métodos cada vez más sofisticados para robar propiedad intelectual

confidencial, datos privados, información personal y otros datos que pueden generarles

beneficios económicos. Dicha violación podría poner tanto a personas como a

organizaciones en riesgo de consecuencias financieras, legales y de reputación.

Este informe de FireEye resume los datos deducidos a partir de la nube de Inteligencia

Dinámica de Amenazas (DTI) de FireEye. En los últimos seis meses, FireEye identificó en la

región latinoamericana:

- 9 familias únicas de malware (software malicioso) de APT, de un total de 227 familias

únicas de malware de APT en el mundo

- 32.339 sesiones únicas de Comandos y Controles (C2), de un total de 2,7 millones de

sesiones C2 únicas en el mundo

- 11 países albergando infraestructura C2, de un total de 84 países albergando

infraestructura C2 globalmente

- 16 verticales afectados, en comparación con 34 verticales afectados en el mundo

Descargo de responsabilidad: Este informe sólo cubre la actividad de la red de

computadores de clientes objetivo de FireEye que comparten sus mediciones con FireEye.

De ninguna manera constituye una fuente autorizada de toda la actividad de APT

enfocada en América Latina o en otros lugares. En este conjunto de datos, tomamos las

precauciones razonables para filtrar el tráfico de redes "de prueba", así como el tráfico

indicativo de intercambio de inteligencia manual entre nuestra base de clientes dentro de

diversas comunidades de seguridad cerradas. Nos damos cuenta de que algunas tácticas,

técnicas y procedimientos (TTP) populares de APT pueden ser reutilizadas y reformuladas

por muchos diferentes actores de amenazas. Para abordar esta cuestión, empleamos

filtros conservadores y chequeos cruzados para reducir la probabilidad de error en la

identificación.


Definiciones

Amenaza Persistente Avanzada (APT): La Inteligencia de FireEye define a los actores de

amenazas persistentes avanzadas (APT) como actores de amenazas que reciben

dirección y apoyo de un gobierno nacional. Sin importar si su misión es robar información o

causar interrupción o destrucción, ellos persiguen sus objetivos tenazmente, utilizando una

amplia gama de herramientas y tácticas, incluyendo diferentes tipos de malware.

Retro llamada: una comunicación no autorizada entre el computador de una víctima en

peligro y su infraestructura de Comando-y-Control (C2).

Herramienta de Acceso Remoto (RAT): software que permite a un usuario de computador

(para los fines de este informe, un actor de amenaza) controlar un sistema remoto como si

él o ella tuviera acceso físico a dicho sistema. Las RAT ofrecen numerosas características

tales como captura de pantalla, robo de archivos, etc. Comúnmente, un atacante instala

la RAT en un sistema objetivo a través de otros medios, tales como la suplantación de

identidad (spear phishing) o la explotación de una vulnerabilidad de día-cero, y entonces

la RAT intenta mantener su existencia escondida del propietario legítimo del sistema.

Evento de Seguridad: FireEye descubre regularmente una amplia variedad de amenazas

en la web, en correos electrónicos y ubicadas en archivos, incluyendo la apertura de un

malware anexo, un clic en un hipervínculo malicioso o la retro llamada desde una

máquina infectada a su red de comando-y-control (CnC).

Ataque dirigido: un evento único malicioso realizado entre un actor de amenazas de APT y

una red víctima específica.

Actor de Amenazas: el perpetrador detrás de la actividad cibernética. Este actor podría

ser un hacktivista, un cibercriminal o parte de un grupo más amplio, tal como una unidad

militar, una agencia de inteligencia, una organización contratista o un actor no estatal con

patrocinio estatal indirecto.

Herramientas, Técnicas y Procedimientos (TTP): las características específicas de las

acciones y herramientas (como malware) de un actor de amenazas, empleadas contra

una red víctima. Los actores de APT normalmente emplean múltiples TTP, y múltiples

actores de APT pueden también utilizar las mismas TTP. Esta dinámica frecuentemente

complica el análisis de la defensa cibernética.

Vertical: una de las 20 distintas categorías industriales de FireEye: Aeroespacial, Químicos,

Construcción, Comercio Electrónico, Educación, Energía, Medios/Entretenimiento,

Finanzas, Gobierno, Atención de Salud, Alta Tecnología, Seguros, Legal, Manufactura,

Otros, Retail, Servicios, Telecomunicaciones, Transporte y Mayoristas.


Objetivo: el destinatario del ataque de un actor de amenazas. En la mayoría de los casos,

las bajas tasas de "falsos positivos" inherentes a las alertas de FireEye sugieren que el

ataque descubierto fue exitoso.


Amenazas Cibernéticas a Industrias Latinoamericanas

Delito Informático El delito informático sigue constituyendo una amenaza para las personas y organizaciones

latinoamericanas, ya que la población está cada vez más conectada a Internet y la

banca y sistemas de pago en línea están cada vez más extendidos. En un informe

conjunto con la Organización de los Estados Americanos, los investigadores de seguridad

descubrieron que la región había experimentado un aumento del delito informático en

2013, dado que los criminales establecidos desarrollaron su propio malware y herramientas

para llevar a cabo operaciones cibernéticas. La primavera pasada, los investigadores

identificaron un grupo cibercriminal sospechoso de haber robado hasta USD$3.750.000.000

desviando transacciones en línea hechas a través de BoletoBancario, un método común

de pago en línea en Brasil. 1Anticipamos que los países latinoamericanos seguirán

enfrentando amenazas de delito informático debido a laxos protocolos de seguridad y a

un mayor uso por parte de la población de sistemas bancarios y de pago en línea.2

Cibercriminales motivados financieramente también se aprovecharon de grandes eventos

deportivos, tales como la Copa Mundial de la FIFA, para perpetuar estafas dirigidas a la

información personal o financiera de individuos; los próximos Juegos Olímpicos

probablemente no serán diferentes. FireEye observó a actores de amenazas financieras

llevando a cabo 419 estafas de boletos y algunos ataques de suplantación de identidad

utilizando temas de la Copa Mundial como señuelos3. Aunque no observamos ningún

grupo de APT conocido o sospechoso de haber utilizado temas de la Copa del Mundo en

correos electrónicos de suplantación de identidad, no obstante, consideramos que estos

actores de amenazas también pueden haber utilizado el evento como señuelos en correos

electrónicos de suplantación de identidad.

Espionaje Cibernético Las organizaciones latinoamericanas probablemente se enfrentan a riesgos de espionaje

cibernético, por parte de actores de amenazas que trabajan para o están asociados con

gobiernos de estados-naciones en búsqueda de objetivos económicos, militares, políticos o

sociales. Varios gobiernos latinoamericanos han aumentado su enfoque en la mejora de

las prácticas de seguridad cibernética doméstica tras las recientes revelaciones acerca de

la vigilancia de gobiernos y personas extranjeros por parte de la Agencia de Seguridad

Nacional de Estados Unidos.4

1 “New Scams Targeting Brazilian Users Focus on World Cup Scheme.” Mandiant Intelligence Center, FireEye. 21 Mayo 2014.

Web. 12 Ago. 2014. 2 “Cybercriminals Targeting Financial Transaction System in Brazil may have Diverted up to 3.75 billion USD.” Mandiant

Intelligence Center, FireEye. 7 Julio 2014. Web. 12 Ago. 2014. 3 “New Scams Targeting Brazilian Users Focus on World Cup Scheme.” Mandiant Intelligence Center, FireEye. 21 Mayo 2014.

Web. 12 Ago. 2014. 4 “Brazil’s Threat Landscape.” Mandiant Intelligence Center, FireEye. 14 Julio 2014. Web. 12 Ago. 2014.

http://www.as-coa.org/articles/explainer-cybercrime-latin-america

http://www.as-coa.org/articles/explainer-cybercrime-latin-america


Hace poco vimos a un actor de amenazas desplegar malware SOGU para atacar una

agencia de gobierno latinoamericana. El grupo de amenazas entregó el malware a través

de un correo electrónico de suplantación de identidad que empleó un señuelo

relacionado con energía; el anexo al correo electrónico parecía imitar o posiblemente

originarse desde la agencia nacional de energía de otro gobierno regional

latinoamericano. Anteriormente hemos observado a grupos de APT con sede en China

utilizando SOGU/PlugX, y es muy probable que un grupo de APT con sede en China se

haya enfocado en la agencia gubernamental para espionaje cibernético.

A principios de este año, los investigadores de seguridad de otra compañía descubrieron a

otro actor de amenazas avanzadas realizando operaciones de espionaje cibernético

global enfocado en sistemas en Argentina, Bolivia, Brasil, Colombia, Costa Rica y

Venezuela, entre otras naciones. 5Los investigadores de Kaspersky, que llamaron a la

actividad "Careto" o "la Máscara", afirmaron que los objetivos principales eran las

instituciones gubernamentales, oficinas diplomáticas, embajadas, organizaciones de

energía, petróleo y gas, organizaciones de investigación y activistas. Los investigadores

señalaron que el grupo de amenazas, que parece haber estado activo durante

aproximadamente siete años, había escrito el malware para buscar nombres de rutas

españolas, más que Inglesas, lo que sugiere que los autores son de habla hispana y/o

específicamente enfocados en víctimas de habla hispana.6

Hacktivismo FireEye espera que las organizaciones seguirán enfrentando amenazas de seguridad

cibernética por parte de hacktivistas que dependen de desfiguraciones de sitios web, de

ataques distribuidos de denegación de servicio (DDoS) y de otros métodos para llamar la

atención sobre sus causas. Durante los disturbios civiles en Venezuela a principios de este

año, individuos identificándose como miembros de Anonymous desfiguraron numerosas

páginas web pertenecientes al gobierno venezolano, en respuesta a la muerte de varios

manifestantes. 7El hacktivismo tiene el potencial para avergonzar a las víctimas e

interrumpir sus operaciones y puede causar daño a la reputación a través de la exposición

de información confidencial o de revelar prácticas pobres de seguridad.

5 “Kaspersky Lab Uncovers “The Mask:” One of the Most Advanced Global Cyber-espionage Operations to Date Due to the

Complexity of the Toolset Used by the Attackers.” Kaspersky Lab. 11 Feb 2014. Web. 12 Ago. 2014. 6 Latin American + Caribbean Cybersecurity Trends.” Symantec. Organization of American States. Junio 2014.

Web. 12 Ago. 2014. 7 Kovacs, Eduard. “Venezuelan Police and Government Sites Hacked in Protest Against Killing of Students.” Softpedia. 17 Feb.

2014. Web. 12 Ago. 2014.


Infecciones Específicas en el Vertical Industrial

En América Latina, FireEye observó el mayor número de eventos de APT en el sector de

energía y servicios públicos. El siguiente gráfico representa los eventos de APT por industria

que afectan a las organizaciones latinoamericanas. Los Químicos/Manufactura/Minería y

los Servicios/Consultoría/Revendedores con Valor Agregado (RVA) constituyen casi la

mitad de todas las alertas de APT:

Figura 1: Eventos de APT por industria que afectan a organizaciones latinoamericanas

Químicos/Manufact

ura/Minería

34%

Servicios/Consultoría

/RVA

14%

Gobierno:

Estadual &

Local

12%

Servicios Financieros

12%

Gobierno: Federal

10%

Energía/Servicios

Públicos/Refinerías

de Petróleo

7%

Telecomunicacione

s (Internet, Teléfono

& Cable)

7%

Aeroespacial/Defen

sa/Aerolíneas

2%

Educación:

Educación Superior

2%


A modo de comparación, el siguiente gráfico muestra los eventos de APT en las

industrias de nuestros clientes en América Latina como porcentaje, en comparación con

los verticales a nivel mundial. Este gráfico sugiere que los Químicos/Manufactura/Minería

están enfocados de forma desproporcionada en la región latinoamericana, en

comparación con los clientes de Químicos/Manufactura/Minería a nivel global.

Sugerimos que los actores de amenazas se enfocan desproporcionadamente en

clientes del sector latinoamericano de Químicos/Manufactura/Minería ya que la

industria es un principal motor estratégico y económico de la región. En 2012, las minas

latinoamericanos representaron 22%, 20%, y 46% del total de la producción mundial de

mineral de hierro, oro y cobre del mundo, respectivamente. 8Los actores de amenazas

enfocados en este sector están probablemente tratando de obtener información sobre

tecnologías patentadas, procesos de negocio y fijación de precios que proporcionarían

a gobiernos u organizaciones patrocinadoras ventajas económicas competitivas en

acuerdos de negocios.

Por medio de simple número de grupos de amenazas, hemos visto no menos de 10

grupos de amenazas separados enfocados en el vertical de

Químicos/Manufactura/Minería en todo el mundo.

Figura 2: Eventos de APT detectados por los aparatos de FireEye por industria como

porcentaje de todas las alertas en el mundo versus sólo la región latinoamericana. Los

datos no se han normalizado para el número de clientes en una industria dada.

8 “State of the Market: Latin America Annual Mining Report 2013.” SNL Metals & Mining, SNL Financial. 2013. Web. 13 Ago.

2014.


Comparativamente, para todos nuestros clientes en el mundo, vemos el sector de alta

tecnología como el más atacado.

Figura 3: Eventos de APT detectados por los aparatos de FireEye por industria como

porcentaje de todas las alertas


Principales Alertas de Malware para la Región

El siguiente gráfico muestra las principales alertas de malware a partir de aparatos de

FireEye para la región:

Figura 4: Principales malware observados por aparatos de FireEye en América

Latina

Los aparatos de FireEye en la región latinoamericana observaron con mayor frecuencia

malware que incluye: XtremeRAT, DarkComet, SpyNet y LV (también conocido como

njRAT). XtremeRAT, DarkComet, Houdini y Spynet son todos RAT disponibles públicamente y

relativamente simples pero eficaces. Debido a que están fácilmente disponibles, podrían

ser utilizados por atacantes avanzados para "integrarse", pero también podrían ser

empleados por diferentes tipos de actores de amenazas con todo tipo de motivos, debido

a su facilidad de acceso y a la baja barrera de entrada.

FireEye ha identificado previamente grupos de APT con sede en China utilizando Kaba

(también conocido como SOGU o PlugX) y el malware que llamamos "9002" (también

conocido como HOMEUNIX) al llevar a cabo las operaciones.

XtremeRAT

26%

DarkComet

20%

SpyNet

15%

LV

14%

Houdini

12%

Kaba

7%

9002

2%

GRILLMARK

2% HCStealer

2%


Contexto de Malware: Detecciones Globales

DarkComet también estuvo entre las detecciones globales más frecuentes de FireEye,

seguido por Gh0stRAT, LV, y XTremeRAT. A continuación se presentan las principales alertas

de malware que los aparatos de FireEye identificaron en el mundo:

Figura 5: Principales malware en el mundo identificados por aparatos de FireEye

DarkComet

35%

Gh0stRat

18%

LV

15%

XtremeRAT

11%

Kaba

5%

SpyNet

5%

9002

4%

Taidoor

3%

Fertger

2% Page

2%


Conclusiones y Recomendaciones

La evidencia destacada en este informe demuestra que las organizaciones

latinoamericanas son un objetivo para las amenazas avanzadas. El tipo de malware que

identificamos en este informe es congruente con los malware que vemos enfocándose en

víctimas en otros países y verticales. Estos atacantes enfocados son persistentes y

continuarán persiguiendo su meta por todos los medios necesarios.

Recomendamos lo siguiente:

1. Aún cuando las amenazas son cada vez más sofisticadas y difíciles de detectar, la

higiene básica es más importante que nunca. Asegúrese de que las herramientas

de seguridad existentes están actualizadas. Muchos de los productos básicos de

malware pueden ser fácilmente abordados con herramientas heredadas basadas

en firmas.

2. Implemente sistemas de protección contra amenazas avanzadas para asegurar

que los datos de alto valor están salvaguardados. Esto incluye tanto los mecanismos

de detección situados en la red/web y en correos electrónicos no basados en

firmas, así como la capacidad para encontrar amenazas a través de sus puntos

finales de acceso. Las organizaciones deben poseer la capacidad de hacer

preguntas a través de sus puntos finales, no sólo desde el punto de vista de la

amenaza, sino a partir de un enfoque de comportamiento y metodología.

3. Planifique e implemente una capacidad de seguridad de operación (SOC), así

como un Equipo de Respuesta a Incidentes en Computadores (CIRT) y una

estrategia de Plan de Administración para cerrar las brechas de seguridad

existentes. La función SOC/CIRT dentro de una organización debe tener tanto la

función de "alerta de vigilancia" como de capacidad de "caza" para encontrar de

forma proactiva las amenazas no descubiertas dentro de una organización.

4. Utilice, recopile y comparta inteligencia sobre amenazas, tanto dentro de su

organización como con otras organizaciones en su vertical y zona geográfica.

Colabore con otras entidades en amenazas cibernéticas emergentes para optimizar

su posición de seguridad. La inteligencia de seguridad provee las bases necesarias

para ayudar al descubrimiento y mitigación de amenazas. La inteligencia de

amenazas se presenta en dos formas: inteligencia formateada estructurada para el

consumo por parte de la tecnología, tal como un Indicador de Compromiso (IOC) o

una dirección IP/Dominio; e inteligencia no estructurada a partir del análisis

humano, tal como este informe que describe las tendencias geográficas de

amenazas o tal vez un expediente sobre un grupo de amenazas y sus familias de

malware específicas enfocadas en determinadas industrias.


5. Por último, la mejor tecnología en el mundo no puede ser efectiva sin recursos

capacitados. Las organizaciones deben invertir en gran medida en la formación y

retención del personal de seguridad de la información. Las organizaciones deben

enfocarse no sólo en conservar su personal de seguridad valioso, sino en buscar

otras fuentes de recursos, tales como servicios gestionados, reclutamiento desde la

universidad y prácticas internas.

win/92626.doc 5.11.14

informe regional de amenazas avanzadas · panorama de amenazas definiciones amenaza persistente...

Documents