McAfee Lao Tzu, es un filósofo de la antigua China podría decir "Mi mente me dice que me de por vencido, pero mi corazón no me lo permite." El panorama de las amenazas es de hecho un campo de batalla. Tal vez Sunzi, también conocido como Sun Tzu y otro filósofo de la antigua China, dijo mejor con "invencibilidad radica en la defensa; La posibilidad de la victoria en el ataque" Nosotros hemos aprendido mucho sobre el malware y varias amenazas a través de los años, pero parece que crecen y alcanzan nuevas alturas cada trimestre. Si malware y otras amenazas cibernéticas tienen éxito depende de muchos interconectados factores Mirando el segundo trimestre de 2012, las cosas importantes que se destacaron fueron la aparición de la telefonía móvil (Android) "drive-bydownload" como un nuevo vector de ataque, el uso de Twitter para el control de redes de bots móviles, y la aparición de la telefonía móvil "ransomware" como la nueva forma de extracción de fondos confiados víctimas. Gran parte del crecimiento y el rebote en el malware y las amenazas que vimos el último trimestre ha continuado fuertemente. Última PC de malware en su trimestre tuvo su período más activo en la historia reciente, pero en este trimestre ha sido aún más ocupado. Hemos visto un crecimiento significativo en los rootkits establecidos pero una desaceleración en los demás. Casi todas las familias de malware que examinamos para seguir y llegar a nuevos niveles, con actividad entre los ladrones de contraseñas Troyanos especialmente fuerte. Durante los últimos trimestres hemos visto que el sistema operativo Android es el blanco más popular para los escritores de malware móvil. Este trimestre no fue diferente, prácticamente todo el malware móvil nuevo se dirigió a la plataforma Android. La mezcla incluye el envío de SMS-malware, botnets móviles, spyware y troyanos destructivos. Aunque en números absolutos en este trimestre no fue tan explosivo como el crecimiento pasado, este año se mantiene sin precedentes. Las descargas llegaron para Android este trimestre con Android / NotCompatible.A. Al igual que en instalaciones driveby en el PC, simplemente visitando un sitio infecta su computadora móvil malicioso drive-by download caída en su teléfono cuando usted visita un sitio. La víctima aún tiene que instalar el malware descargado, pero cuando un atacante nombra el archivo de actualización del sistema Android 4.0.apk, desaparecen la mayoría de las sospechas. Un nuevo cliente botnet, Android / Twikabot.A, usa Twitter para su control. En lugar de conectarse a un servidor web, las búsquedas de malware para los comandos de control específicos atacante cuentas de Twitter. El atacante puede dar un tweet de comandos y todos los dispositivos infectados seguirlos. El uso de un servicio como Twitter permite a un atacante para aprovechar los recursos de los demás sin tener que pagar un servidor dedicado o robar uno que pertenece a una víctima. Internet Relay servidores de chat han sido explotados en el pasado por razones similares, pero utilizando el servicio web da a los atacantes una pequeña medida de anonimato. El trimestre pasado vimos un programa troyano Android caballo, Android / Moghava.A, que corrompe todas las fotos en una tarjeta SD. Este trimestre parece los creadores de malware han creado una nueva variante, Android / Stamper.A, que utiliza una imagen diferente y los aficionados blancos de un grupo de canto popular japonesa. Los rootkits se elevaron ligeramente en general este trimestre, con Koutodor mostrando un gran crecimiento. ZeroAccess y TDSS disminuyo un poco desde el último trimestre, pero su influencia en otras clases de malware que se puede palpar. Los rootkits, o malware sigiloso, son una de las peores clasificaciones de malware que vemos, ya que tienen una gran influencia en casi todas las otras áreas de malware. Están diseñados para evitar la detección y "en vivo" en un sistema durante un período prolongado. Los atacantes firmar malware en un intento de engañar a los usuarios y administradores para que confíe en el archivo, pero también en un esfuerzo por evitar ser detectados por el software de seguridad y eludir las directivas del sistema. Gran parte de este malware está firmado con certificados robados, mientras que otros binarios son auto-firmado o "firmada prueba". Firma de prueba se utiliza a veces como parte de una ingeniería social attack.1 Hemos visto el crecimiento de este método avanzado de ataque durante el trimestre. En nuestras predicciones 2012 Amenazas que predijo que esta técnica, probablemente inspirado por el éxito de Duqu y Stuxnet, se levantaría en 2012.2 Esa opinión parece ser un ejemplo exitoso de mirar crystal-ball. Ransomware mantiene como rehenes a los datos La popularidad de ciertos tipos de software malicioso subidas y caídas. Fake-alert/fake-AV software ha ido disminuyendo desde el año 2011, en el total de muestras únicas y el número de máquinas de informes de detecciones. La disminución puede ocurrir por varias razones, incluyendo tanto los esfuerzos de aplicación de la ley cada vez mayores, así como la búsqueda de criminales cibernéticos que sea más difícil de procesar los pagos con tarjeta de crédito víctimas. Por desgracia, los criminales cibernéticos no empaqueta la tienda cuando un modelo de negocio deja de funcionar, sino que inventar otras maneras de hacer dinero. Recientemente los desarrolladores de malware han dirigido su atención hacia "ransomware". Ransomware mantener la totalidad o parte de la computadora de la víctima o rehén de datos. El software malicioso cifra los datos o de todo el equipo y, a continuación, utilizando los métodos anónimos de pago, exige dinero para restaurarlo. El delincuente no necesita encontrar un procesador de pagos con tarjeta de crédito. La estafa no es nada nuevo. Uno de los Troyanos Visto por primera vez en el PC, el Trojan-SIDA en 1989, funcionó exactamente así, pero durante muchos años este tipo de ataques son poco frecuentes. Ahora se han convertido en mucho más común. Ransomware se ha incrementado durante los últimos trimestres. Este trimestre hemos visto ransomware en su más ocupado nunca. Ransomware es particularmente problemático porque el daño es instantánea y comúnmente se representa una máquina totalmente inutilizable. Así que no sólo son los datos de la víctima destruida, pero algunos de dinero de la víctima también se ha ido, si él o ella intenta pagar el rescate del atacante. Y aunque es un desastre personal para un usuario doméstico que perder años del valor de los datos, fotos y recuerdos, la situación puede ser mucho peor en una empresa si el malware encripta todos los datos que la víctima tiene acceso de escritura a un red corporativa. ¿Cómo podemos defendernos? Además de ser muy cuidadoso con los archivos adjuntos o enlaces en el correo electrónico y en línea, copias de seguridad de sus sistemas sobre una base regular. Los administradores corporativos deben considerar el uso de normas accessprotection en sus productos de seguridad para prevenir infecciones. Mensajería Amenazas A pesar de los picos en octubre de 2011 y enero de 2012, los niveles de spam siguen en descenso. Vimos un pequeño aumento en el trimestre, pero no creo que vaya a cambiar la tendencia a la baja. En las tasas de spam por país se observó estabilidad en algunos y disminuye en otros. Sólo Colombia, Japón, Corea del Sur, y Venezuela mostraron un aumento en el volumen de más de 10 por ciento. Pero no se deje engañar: El spam es aún spearphishing ataques peligrosos y específicas, son aún más. Las amenazas de red Hemos ampliado considerablemente nuestra red basada en el análisis. Examinar estos datos muestra que la oxigenación de ataque y la atribución es un negocio complejo. Es difícil responder a las preguntas "¿De dónde vino este ataque viene?" o "¿Quién es responsable de este ataque?" con certeza. El análisis de código no suele proporcionar información detallada sobre quién la escribió. Análisis de red ataques de los indicadores y marcadores de atribución es igualmente difícil. Hemos hecho un buen comienzo hacia atribución, pero sólo estamos en las primeras etapas de la celebración de quiénes son los actores. A veces todo lo que puedo decir es que "así es como el código se comporta", "esto es lo que el ataque lo hace", o "esto es donde nosotros lo creemos originado "Cualquier cosa más allá de la crítica de arte los riesgos de Oscar Wilde. Todo el arte está en la superficie una vez y el símbolo. Los que van por debajo de la superficie lo hacen bajo su propio riesgo. Los que leen el símbolo lo hacen bajo su propio riesgo. Es el espectador, y no la vida, que el arte refleja realmente. La diversidad de opiniones sobre una obra de arte muestra que la obra es nueva, compleja y vital. Desde El retrato de Dorian Gray El mundo de la seguridad tiene muchas opiniones diversas sobre la atribución. La mayoría simplemente reflejan lo preconcebido opinión de la analista. Esta diversidad demuestra que estamos en el comienzo mismo de la investigación sobre la atribución. A veces hay que mirar los datos y decir es lo que es. Las amenazas de tipo son idénticos en nombre del último año, pero los gráficos circulares han cambiado de tamaño debido a un una mayor cantidad de actividad de llamada a procedimiento remoto este momento. Todas las otras áreas disminuido como resultado de esta , pero las categorías mantienen su orden. Las amenazas de red Como ya comentamos este último año, hemos ampliado considerablemente nuestra red con sede en Estados Unidos apenas venció a Venezuela por el primer lugar entre los atacantes, pero claramente es líder en las víctimas categoría. Amenazas Web A finales de junio, el número total de direcciones URL mal referenciados por nuestros laboratorios alcanzó 36 millones. Esta es equivalente a 22,6 millones de nombres de dominio. En estos tres meses se registró un promedio de 2,7 millones de nuevas URLs que estan mal por mes. En junio, estas nuevas URLs están relacionados con cerca de 300.000 dominios malos, que es equivalente a 10.000 nuevos dominios maliciosos cada día, un poco más al trimestre anterior. Es interesante tener en cuenta que esta cifra es comparable con los 9.500 sitios web maliciosos nuevos Google anunció en un junio blog. Los Estados Unidos apenas vencieron a Venezuela por el primer lugar entre los atacantes, pero claramente es líder en la categoría de las víctimas. Nos hicieron ver un cambio significativo en la ubicación de estos servidores defectuosos durante este período. Considerando que el último trimestre casi el 92 por ciento tenía su sede en América del Norte, en este trimestre la pieza más grande de la web malicioso pastel contenido se trasladó a Europa y Oriente Medio. Al mirar más profundamente en cada región Ciberdelincuencia Hosting blindado Este trimestre, continuamos nuestra revisión de "crimeware como servicio" con una mirada al alojamiento a prueba de balas. Último trimestre, ha destacado "la Operación Market abierto", un esfuerzo por el Servicio Secreto de Estados Unidos contra 50 personas que eran miembros,socios o empleados de la organización criminal Carder.su. Uno de los acusados, conocido como Dorbik y Matad0r, era un vendedor de dichas instalaciones. En 2010, él habló de su servicios en diversos foros especializados: Acciones contra los Ciberdelincuentes En Varias acciones policiales en este trimestre han tenido éxito: Ocho sospechosos en los Estados Unidos y otros países fueron arrestados y acusados por su participación en un mercado de drogas en línea accesible sólo a través de la red de anonimato Tor. Los sospechosos se pasaron un sitio web llamado mercado del agricultor, que ofrecía LSD, éxtasis, marihuana y otras drogas para la venta. Entre enero de 2007 y octubre de 2009 se procesaron cerca de 5.256 pedidos en línea a unos 3.000 clientes en 34 países por un valor de más de 1 dólar EE.UU. millones. Antes de mudarse a Tor en 2010, el Mercado del granjero procesados los pedidos a través Hushmail, un servicio de correo electrónico cifrado. El 26 de abril, la Agencia contra el Crimen Organizado (SOCA) del Reino Unido anunció la terminación de una operación conjunta con la Mesa (EE.UU.) Federal de Investigaciones y el Departamento de EE.UU. de Justicia, dirigido a 36 sitios web penales que se ocupan de la tarjeta de crédito robada y cuenta bancaria en línea información.5 Estos sitios utilizan plataformas de comercio electrónico conocidos como carros de expendedoras automáticas (AVC) a permiten a los delincuentes para vender de forma rápida y fácilmente grandes cantidades de datos robados. Hoy en día, las ofertas como estas son numerosos en el Internet, y no hay duda de quiénes son los clientes. Los siguientes ejemplos son en ruso: En junio, Anonymous lanzó OpIndia, que criticó la censura creciente del gobierno Internet y en particular la prohibición judicial reciente en sitios como Torrent y Vimeo. El 9 de junio, india Activistas de Internet, atendiendo al llamado de protestas Anónimos, realizada en varias ciudades de la India. La participación fue activistas bajos, pero los jóvenes con máscaras Anónimos demostró en 16 ciudades, incluyendo Mumbai, Pune, y Bangalore. Anonymous también atacó a los sitios web de cert-in.org.in y india.gov.in. Estos fueron más abajo de la day. En Quebec, los partidarios anónimos robado y publicado los datos de la Policía SPVM (Montreal Service) sitio web, incluyendo miles de nombres de usuario, nombres, correos electrónicos, direcciones y demás personal information. Como parte de opQuebec, también dirigida la Unión de Crédito Desjardins sitio policía. La Página de bienvenida habitual se sustituyó por una plantilla simple negro con enlaces a recursos Anónimos. Los nombres y correos electrónicos de lo que parecen ser los clientes del banco y los empleados eran tanbien displayedt Acerca de los autores Este informe fue preparado y escrito por Zheng Bu, Dirro Toralv, Paula Greve, Lin Yichong, Marcus David, François Paget, Pogulievsky Vadim, Schmugar Craig, Jimmy Shah, Sommer Dan, Szor Peter y Adam Wosotowsky de los laboratorios de McAfee. Labs McAfee Labs es el equipo global de investigación de McAfee. Con la organización de investigación sólo se dedica a todo los vectores de amenazas-malware, web, correo electrónico, redes y vulnerabilidades de McAfee Labs reúne información- de sus millones de sensores y su servicio basado en la nube de McAfee Global Threat Intelligence. El McAfee Labs equipo de 350 investigadores multidisciplinares en 30 países sigue a la gama completa de las amenazas en tiempo real, la identificación instantánea vulnerabilidades de aplicaciones, analizando y correlacionando riesgos, y permitiendo remediación para proteger a las empresas y al público. Acerca de McAfee McAfee, una subsidiaria en propiedad absoluta de Intel Corporation (NASDAQ: INTC), es el mayor del mundo dedicado la empresa de seguridad tecnológica. McAfee ofrece soluciones proactivas y probadas y servicios que ayudan sistemas de seguridad, redes y dispositivos móviles en todo el mundo, permitiendo a los usuarios conectarse de forma segura a la Internet, navegar y comprar en la Web con mayor seguridad. Respaldado por su inigualable Global Threat Intelligence, McAfee crea productos innovadores que brindan a usuarios domésticos, empresas, sector público y servicios proveedores por lo que les permite cumplir regulaciones, proteger datos, prevenir interrupciones, identificar vulnerabilidades y supervisar y mejorar continuamente su seguridad. McAfee está implacablemente se centró en la búsqueda de nuevas formas de mantener a nuestros clientes a salvo.