tequila con malware, limón y sal 2 - unam · panorama del malware. 200,000 nuevas variantes de...
TRANSCRIPT
Miguel Ángel Mendoza
ESET Latinoamérica
Tequila con malware, limón y sal 2.0
• Panorama del malware
• Regionalización de las amenazas informáticas
• Campañas de malware en Latinoamérica
• Operación Liberpy (Venezuela)
• CPL malware (Brasil)
• VBA/TrojanDonwaloaders (México)
• ¿Qué estamos haciendo para protegernos?
• Conclusiones
PANORAMA DEL MALWARE
200,000Nuevas
variantes de
malware por día
0 10 20 30 40 50 60
Ninguno
Fraude interno/externo
Falta de disponibilidad de servicios críticos
Explotacion de vulnerabilidades
Phishing
Ataque de denegacion de servicio
Acceso indebido a aplicaciones y/o bases de datos
Infección de malware
Pequeña Mediana Grande
INCIDENTES DE SEGURIDAD
45%Malware, la principal
causa de incidentes
VARIANTES WIN32/FILECODER
JS/BONDAT
56%
28%
10%
3%
2%
1% 0%
0%
Perú
México
Colombia
Brasil
Argentina
Chile
El Salvador
Costa Rica
• Comunicación HTTP
• Propagación vía USB
• Modifica página de
inicio de los
navegadores
• Instala bitcoins miners
• Activa desde
septiembre del 2014
WIN32/DORKBOT
36%
16%11%
8%
6%
5%
5%
5%
2%
2% 1%1% 1%
1%México
Perú
Argentina
Venezuela
Colombia
Ecuador
Chile
Guatemala
Brasil
El Salvador
Honduras
Panamá
Nicaragua
Costa Rica
• Comunicación IRC
• Propagación vía USB,
correos, Facebook,
Skype y Twitter.
• Roba credenciales
(redes sociales, correos
electrónicos)
• Instala otros códigos
maliciosos
• Activa desde el 2011
WIN32/REMTASU
61%
9%
7%
6%
5%
4%
2%2%
2%
2% 0% Colombia
Perú
El Salvador
Brasil
México
Argentina
Guatemala
Venezuela
Ecuador
Chile
Costa Rica
• Comunicación HTTP
• Propagación vía correos
electrónicos
• Keylogger y permite
acceso remoto
• Puede instalar otros
códigos maliciosos
• Existe desde 2011,
pero desde el 2014 en
Latinoamérica
WIN32/NEUREVT
• Comunicación HTTP
• Permite acceso remoto
al atacante
• Propagación vía USB y
documentos maliciosos
de Office
• Existe desde el 2013,
activa en Latinoamérica
desde Abril del 2015
30%
26%10%
9%
8%
6%
5%
2% 2%1% 1% México
Brasil
Perú
Ecuador
Colombia
Argentina
Chile
Guatemala
Venezuela
El Salvador
Honduras
El 78% de las amenazas detectadas son gusanos
El 66% de las familias de bots en Latinoamérica se pueden propagar a través de USB
Cinco de cada diez familias de bots que vimos en el 2015 cuentan con funcionalidades de Keylogging
El 21% de las detecciones de bots en Latinoamérica pueden realizar ataques de DDoS
REGIONALIZACIÓN DE LAS
AMENAZAS INFORMÁTICAS
Unos días más tarde…
CAMPAÑAS DE MALWARE
EN LATINOAMÉRICA
OPERACIÓN LIBERPY
(VENEZUELA)
CARACTERÍSTICAS DEL MALWARE
• Supuesto software para tracking de compras
• Ejecutables: “Liberty2-0.exe” y “Liberty1-0.exe“
• Identificados como: Python/Liberpy.A y
Python/Spy.Keylogger.G
• Funcionalidad keylogger
• Captura movimientos del mouse
• Posterior propagación vía USB (oculta archivos y
los reemplaza por acceso directos)
SCRIPT DE PYTHON
PORCENTAJES DE DETECCIÓN
BOTS POR PAÍS
DIRECCIÓN IP DE BOTS
MALWARE CPL
(BRASIL)
CARACTERÍSTICAS DEL MALWARE
• CPL (Control Panel Application)
• Biblioteca de enlace dinámico (DLL)
• Requiere ser invocada por un programa en
ejecución
• Doble clic sobre un archivo DLL no ejecuta
código en forma automática
• Doble clic sobre un archivo CPL ejecuta
control.exe la aplicación del Panel de Control de
Microsoft Windows
• 1,500 muestras para el estudio
• 82% de las detecciones son variantes de
Win32/TrojanDownloader.Banload
• Robo de datos bancarios de la víctima
MUESTRA DE MALWARE
VBA/TROJANDOWNLOADER
(MÉXICO)
CAMPAÑAS DE PROPAGACIÓN
INSTITUCIONES AFECTADAS
MALWARE IDENTIFICADO
• Dorkbot
• Neurevt
• Dridex
2014 Q2
2014 Q3
2014 Q4
2015 Q1
2015 Q2
2015 Q3
PROPAGACIÓN EN MÉXICO
PROPAGACIÓN EN ECUADOR
PROPAGACIÓN EN EL MUNDO
PROPAGACIÓN EN OTROS PAÍSES
¿QUÉ ESTAMOS HACIENDO
PARA PROTEGERNOS?
EVOLUCIÓN DE LA TECNOLOGÍA
EDUCACIÓN Y CONCIENTIZACIÓN
EDUCACIÓN Y CONCIENTIZACIÓN
CONCLUSIONES
MALWARE GENERA MÁS INGRESO EN
MENOS TIEMPO
REGIONALIZACIÓN DE LOS CÓDIGOS
MALICIOSOS
MALWARE COMPLEJO, MÉTODOS DE
PROPAGACIÓN CONOCIDOS
SOLUCIONES DE SEGURIDAD,
BUENAS PRÁCTICAS Y EDUCACIÓN
¡DISFRUTEMOS DE
TECNOLOGÍA MÁS SEGURA!
