Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Cybercrime Underworld (reducida)

No description

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Cybercrime Underworld (reducida)

Nacimos en mundo analógico y no tenemos desarrollados sentidos para el mundo digital
4ª Píldora Tecnológica:

'Amenazas. Ataques persistentes y ciberextorsión'
Nuestros ojos no perciben el ciberespacio como nosotros desearíamos
Juan Carlos Ruiloba Castilla
juancrui@sit1.es
Nuestros padres
son tambien
ciegos a la tecnología


...y nuestros compañeros de facultad, profesores y amigos
tampoco pueden guiarnos
Y, si sufrimos un cibercrimen ¿quién nos puede ayudar?
¿La Policía?
¿Letrados y Jueces?
¿Quizá los técnicos ...?
Pero ellos también son tuertos en este cibermundo.

Empecemos a abrir los ojos y entendamos lo que está dentro del ciberespacio
CYBERCRIME UNDERWORLD
¡NO LO VEMOS PERO EXISTE!

Malware
Son las armas utilizadas por ciberdelincuentes para obtener beneficios.
Mercado de alquiler y venta de malware y del fruto de éste.
Dinamismo de la Tecnología
Desconocimiento de los usuario
Inseguridad del Sistema y de las aplicaciones
El gran numero de víctimas potenciales
¿Cómo es este malware?
Virus
Gusanos
Troyanos
Rootkits
Drive-by Downloads
Backdoors
Botnets
Spyware
Adware
Hijacking
Keyloggers
Stealers
ScreenGrabbers
Otros
Infecciosos
Ocultos
Publicidad
Robar
información
RogueWare
Ransomware
APTs
Koler: Ransomware de Android que solicita $300
Ransomware: Son programas informáticos (malware) que bloquean el acceso a determinadas partes del sistema o cifra la información solicitando una cantidad de dinero para quitar esa restricción
Bloqueadores: Lockers
Cryptorbit

Ransomware que pide el pago a través de una mensaje en la red TOR por medio de bitcoins
Cifradores: Cryptolockers
Ya en esa dirección se nos presenta un formulario donde introducir el Personal Code, dato que aparecía en los ficheros de los directorios cifrados, y al ponerla nos dice el precio que hay que pagar para recuperar la información
Se crean en cada directorio que ha cifrado información una serie de ficheros con información de la extorsión
Si conectamos a la Red Tor (The Onion Router) podemos acceder a la dirección facilitada por los cibercriminales
Y cuando somos atacados por una organización cibercriminal

¿Quién nos puedes ayudar?
¿Qué lo propicia?
La ceguera de los investigadores
¿Cuáles son lo problemas que estamos detectando?
1) Los antivirus no son eficaces
Si bien las soluciones de seguridad integran múltiples protecciones además del clásico antivirus como son cortafuegos, detección de intrusiones, heurísticas, virtualizaciones, VPNs, protección de contraseñas, zonas de cuarentena, copias de seguridad entre otros muchos niveles de protección.
Interpretación que dieron a las declaraciones de Brian Dye, vicepresidente senior de Symantec encargado del departamento de Seguridad de la Información
2) Heartbleed: ¡A cambiar contraseñas!
El fallo se encuentra en una de las implementaciones más populares del OpenSSL, la capa de cifrado y de autenticidad que da la seguridad a muchos de los protocolos de Internet (HTTPs, FTPs, SSTP, u otros). Según la Tool Online Shodan hay más de 5 Millones de servidores que tienen instalado OpenSSL
De acuerdo con los datos de Netcraft: aunque el 66% de los sitios usan OpenSSL, sólo el 17% son vulnerables a Heartbleed.

No se es vulnerable:

Si no se usa OpenSSL
Si se usa OpenSSL y no está habilitada la función heartbeat
Si se usa una versión de OpenSSL 1.00 o anterior, o una igual o superior a la 1.01g.
3) Ataques a nuestras credenciales y datos personales
Constantemente aparecen noticias de ataques a información confidencial como la que en mayo de 2014 afecto a eBay y que en el mercado Underground se puso a la venta más de 145 millones de cuentas por 1453 BTC o a los pocos días a Spotify.
Venta en Pastebin de la
Base de datos de eBay
... podríamos seguir nombrando innumerables ejemplos
4) Botnets (redes de ordenadores zombies)
5) Ingeniería Social (ataques al eslabon más débil)
6) Phishing (Captura de información)
7) Roguewares (Falsos anivirus)
8) Stealers (troyanos captadores de información)
9) Downloaders (descargadores de malware)
10) Exploits Kits
11) 0-Days
12) Crypters FUD (Fully UnDetectable)
13) Keyloggers y Screengrabbers
14) PPI (Pay Per Install)
14) y muchos más ...
Como píldora centrémonos en:

Ransomwares
(Extorsionadores criptovirales)
APT's
(Amenazas Persistentes Avanzadas)
Podríamos perseguir ese monedero virtual de bitcoins para detectar ingresos de otras víctimas y transferencias a otros monederos
¿Por qué no debemos pagar?
Favorecemos la continuidad de los criminales y encima es una estafa, te quedas infectado y/o con los ficheros cifrados.

Como alternativa, en este caso, bastantes de los ficheros se pueden recuperar ya que solo cifra 512 bytes de la cabecera del fichero, lo que permite la recuperación de las mayoría.

Además tenemos otras alternativas ...
¿Qué debemos hacer?
Evidentemente denunciar y no pagar.
Contactar con especialistas en malware y/o FFCCSE y seguir sus indicaciones como podrían ser:
Desconectar el ordenador de la red.
Clonados para salvaguardar las evidencias y análisis posteriores.
Localizar el foco de la infección para saber si puede existir más malware, es habitual en el malware actual que sea multifuncional.
Cambio de contraseñas, cambios de puertos remotos de las VPN
Por ejemplo otro componente que se incluye comúnmente con CrypTorBit es un minero cripto-moneda que utiliza la CPU de su PC para minar monedas digitales como Bitcoin u otras, para que el desarrollador del software malicioso engrose su billetera.
Las copias de seguridad y/o Restaurar el Sistema a una fecha previa en las últimas versiones de Windows nos permitirá recuperar la información.
Utilidades de desarrolladores que intentan reconstruir las cabeceras dañadas como DecrypterFixer o Anti-CryptorBitV2
Pero ¿Son seguras estás herramientas?
Si analizamos Online el Anti-CryptorBitv2 nos dará como suceptible de ser malware
Son falsos positivos, la realidad es que los verdaderos malwares son los que no suelen dar positivo (crypters)
Cryters FUD
Son herramientas que se utilizan para ofuscar el código del malware y que los antivirus no los detecten
¿Cómo hemos llegado a esto?
Es un compendio de negocio del malware desde ExploitsKits pasando por Botnets y vendiendo o alquilando víctimas
Blackhole
ZeroAccess
Redes Sociales
SCAM
Mensajería Instantánea
Blackhole es uno de los ExploitKits que recolecta la información (gathering) obteniendo información de las vulnerabilidades de nuestro sistema y aplicaciones para venderlas o alquilarlas a otros grupos que gestionan Botnets como ZeroAccess o instalando malware
ZeroAccess, se introduce en nuestro equipo detecta la seguridad, la neutraliza y una vez el equipo preparado puede empezar a obtener beneficios minando, "Pay per Click" o descargando malware de terceros como los ransomwares
Los cibercriminales hackean un WS legítimo o a través de campañas de SCAM e introducen código malicioso que genera enlaces a Servidores de Blackhole donde el kit escanea las vulnerabilidades de la víctima.
Los desarrolladores lo están alquilando a cualquiera por 500 dólares (400 euros) al mes en sus propios servidores. Si el cliente tiene su propio servidor, la licencia es mucho más barata: 700 dólares (560 euros) para tres meses, 1.000 dólares (800 euros) para seis meses y 1.500 dólares (1.200 euros) para un año entero.

Los ciberdelincuentes incluso ofrecen soporte en los días laborables entre 9 y 19.
Pero también abre una puerta trasera para ser controlado a través de la red desde un servidor C&C (Command & Control) que permite al atacante el control remoto del equipo. Esto convierte a este equipo en una máquina Zombie, es decir integrante de una Botnet más amplia, además utilizando comunicaciones P2P que hace más difícil el identificar y neutralizar esas comunicaciones.
¡Por suerte, y de momento, ZeroAccess quedó fuera de juego! pero, por desgracia, existen muchos otros "ZeroAccess"
APT: Advanced Persistent Thread
Acrónimo creado por Mandiant o por la US Air Force en 2006
Avanzada: Técnicas sofisticadas para explotar nuevas vulnerabilidades ó 0-days
Persistente: el C&C externo continuamente monitoriza y extrae datos del objetivo a lo largo tiempo (mínimo 1 año) reduciendo el riesgo de detección
Amenaza: Participación humana en la organización del ataque
Peligro importante y como no se ve no se conoce y no se tiene en consideración
La diferencia con otros ataques es:
MOTIVACIÓN
RECURSOS
PERSEVERANCIA
Características de las APT
Personal: objetivos con intereses políticos, comerciales o de seguridad.
Persistencia: Si existe resistencia al ataque cambiara a un nuevo tipo de ataque, incluso pasar de ataques externos a internos.
Control y enfoque: Dirigido a hacerse con el control de infraestructuras (redes eléctricas o de comunicaciones), comprometer la propiedad intelectual o la seguridad nacional.
Tiempo y dinero: No se preocupan del coste del ataque (financiación por Organizaciones militares o de Inteligencia estatales) o grandes Organizaciones.
Automatización: La automatización es dirigida para aumentar el poder de penetración en un solo objetivo, a diferencia de la automatización clásica para atacar múltiples objetivos.
Una sola capa: Solo un grupo u organización posee y controla todos los roles del ataque y no están distribuidos en grupos externos a la organización atacante.
No busca un beneficio a corto plazo, prefiere permanecer escondida hasta lograr su objetivo.
Ciclo de vida ataque APT
Reconocimiento inicial
Los atacantes recolectan la información a través de fuentes públicas o privadas y métodos de test. Búsqueda de vulnerabilidades, Ingeniería Social y Spear-Phishing.
El objetivo del ataque puede ser directo o a través de una víctima que puede proporcionar el acceso colateral.
Compromiso inicial
Establecer puntos de apoyo
Establecer accesos para controlar desde el exterior entre los C&C y los equipos comprometidos. Estas puertas traseras pueden permanecer largo tiempo latente.
Escalar privilegios
La escalada de privilegios consiste desde obtener nombres de usuario y passwords al acceso de certificados PKI, software cliente VPN, ordenadores privilegiados.
Reconocimiento interno
Recopilar información sobre la estructura interna de la Red
Mover lateralmente
A menudo las máquinas primeras comprometidas no tienen datos que desean por lo que deben moverse a otras de la red para obtener la información, esta actividad puede ser realizada a través de herramientas del Sistema u otras usadas por los administradores de la red.
Administrar y Mantener presencia
Instalar nuevas medidas como backdoors, malware en varios equipos. Métodos de acceso que no sean backdoors como PKI's validos, credenciales VPN. ataques "Red herring" malware para distraer a los administradores.
Completar misión
Si el objetivo principal es robar datos, los empaquetan y cifran. La extracción de la información puede ser con técnicas de goteo "drip fed" o a chorro "Fire hosed", dependiendo del atacante, la habilidad de detección de la víctima o la necesidad de extraer la información rápidamente.
Métodos para penetrar en la red del objetivo. Ganar el acceso (Spear-Phishing, DNS-Spoofing, MitM, exploits, medios físicos como USB memory sticks, ataques basados en Web) y determinar los métodos mas efectivos o eficientes de explotar la información. Pueden intentar ofuscar sus intenciones mediante la instalación de rogueware u otros malwares.
Se empiezan a conocer multitud de APTs que han estado conviviendo con nuestros sistemas, algunas incorporan varios módulos
Recon: recolecta información general para lanzar los siguientes módulos
Password: roba las credenciales de aplicaciones y recursos
Keyboard: Almacena las teclas de pulsadas grabando el texto de los campos de password y capturando pantallazos
Email: roba correos electrónicos MS local como servidores remotos
Persistence: Contiene instalador y carga de un plugin en aplicaciones populares como MS Office o Adobe Reader. Es una puerta trasera para recuperar el acceso perdido en la máquina.
Mobile: Vuelca la información de los móviles conectados localmente
Spreading: Busca hosts de la red y los infecta por vulnerabilidades o a través de las credenciales de administrador robadas
Exfiltration: Mientras que algunos módulos funcionan off-line guardando los datos localmente, este grupo transfiere la información a los servidores C&C llegando a FTP, redes remotas, unidades de disco locales. A diferencia de recon, actúa en varias ocasiones.
Ataques contra la Seguridad Nacional:

a) Contra infraestructuras críticas
b) Ciberespionaje gubernamental y a la economía
c) Ciberespionaje Industrial
d) Ciberguerra

Nettrav
Es una nueva amenaza a tener en cuenta, muy peligrosa y debemos considerarla en su justa medida
RESUMEN APTs
MEDIDAS APTs
Víctimas se descargan un troyano-dropper que se utiliza para descargar malware adicional con capacidad de espionaje: registro de teclas, recopilación de listados de directorios, acceso por control remoto y robo de documentos HWP (relacionados con el procesador de texto de Corea del Sur del paquete Hancom Office, muy usado por el gobierno local).
Precisamos tener y formar un GRUPO DE TRABAJO dedicado a las APTs, el cuál deberá realizar las siguientes funciones:
VIGILANCIA CONSTANTE mediante herramientas automatizadas y monitorización en tiempo real.
Buscar COMPORTAMIENTOS ANÓMALOS.
Vigilancia del TRÁFICO DE NUESTRA RED que entra y sale e incluso dentro de nuestra Red.
CONCIENCIAR Y EDUCAR al personal de la empresa.
ANÁLISIS DE RIESGOS previos antes de implantar nuevas tecnologías.
Emplear las TÉCNICAS DE DETECCIÓN anteriormente descritas y analizar sus resultados para establecer técnicas de hardening.
Estar al día de los resultados de los CERTs.
Emplear el SENTIDO COMÚN y utilizar SOLUCIONES PERSONALIZADAS de herramientas y configuraciones fuera de lo estándar.
Obtener más INFORMACIÓN DEL ATACANTE.
INTERCAMBIO DE INFORMACIÓN.
ANALIZAR PROBLEMAS: privacidad, material sensible, asuntos legales, ventaja de mercado de las empresas que tienen información.
No nos sirven las soluciones habituales del resto de amenazas
Los atacantes tienen conocimiento de las posibles herramientas y metodologías de seguridad así que conocen cual va a ser la defensa.
Los defensores conocemos muy poco del atacante
Programa de afiliados para la distribución
Vías de Infección:

1) Ingeniería Social combinada:
a) Malware procedente de Internet:
a.1: A través de sitios Web
a.2: Spear Phishing
a.3: Archivos compartidos / P2P
a.4: Wares, keygens, cracks.
b) Medios físicos (sticks USB, tarjetas de memorias, DVDs, CDs, dispositivos infectados, puertas traseras de equipos)
2) WebKits/Exploits
3) Vulnerabilidades desconocidas por el público
a) Bugs en Sistemas Operativos y aplicaciones (Ejemplos: Navegador Web, Suite de Oficina)
b) Ejecución de código arbitrario (Ejemplo: instalador de malware)
Origen: Damballa
¿Quién nos está atacando?
¿Qué debemos saber?
¿Quién debe llevar la coordinación de las acciones?
¿Qué es lo que persiguen?
¿Lo han conseguido?
¿A quién comunicamos el incidente?
¿Hay más víctimas?
¿Desde cuándo nos atacan?
¿Debo comunicar a las víctimas?
¿Qué información se han llevado?
¿Qué puedo hacer para protegerme?
¿Qué acciones legales debo seguir?
Adquirir la información - Digital Forensics
Volcados de memoria
Coordinación entre los Informáticos forenses
Detectar la fuente de la infección - Análisis de los correos electrónicos, historiales de navegación, mensajería instantánea, Redes sociales, descargas
Múltiples Puntos finales pueden estar involucrados en el ataque hay que tratarlos en conjunto
Análisis de la Red - Análisis de Archivos
Datos importantes a conocer
Dirección IP del lugar donde se produjo el ataque
Servidor de Exploits, tipo, versión, fingerprint
Servidor C&C (Command and Control), dirección IP, Versión y tipo, fingerprint
Servidor donde fluye la información, dirección IP
Datos importantes a conocer
La OPERACIÓN EN SU CONJUNTO es lo que importa, hay que tomar una visión global no solo con los distintos actores que nos afectan a nosotros sino en un conjunto global con lo que está ocurriendo en la sociedad, otras empresas, otros países.
Hay que averiguar QUIÉN es el que IDEÓ EL ATAQUE que no tiene porque ser el que la ejecute
Los atacantes habrán dejado indicios/pruebas que la informática forense puede dejar al descubierto
La economía del cibermundo underground dejan huellas digitales que sirven para la investigación:

Sistemas de distribución
Capacidad de explotación
C&C (Command and Control)
¿Qué hacen con la carga útil una vez dentro?
Hay que averiguar QUIÉN DIRIGE LA OPERACIÓN Y CUÁLES SON SUS INTENCIONES
Datos importantes a conocer en ataques de Grupos criminales como la criptoextorsión
El malware puede tener identificadores como ID DE AFILIADOS que nos pueden ayudar
El BOT MASTER puede realizar pagos a terceros por infecciones los que deberá identificar la ID
El comprador de la información puede mover el dinero de las cuentas bancarias de las víctimas, IP's de origen de las transacciones, uso de TOR, Uso de zombies de una botnet. Varios ataques de una misma organización dejará muchas REFERENCIAS CRUZADAS los que nos dará un fingerprint (huella digital)
La GEOLOCALIZACIÓN de las DIRECCIONES IP's involucradas solo son indicios y pueden utilizarse servidores proxies para anonimizar el origen real del atacante. Hay que COTEJAR con los LENGUAJES del software utilizado, MAPA DE CARACTERES específicos, CÓDIGOS DE IDIOMA en los recursos
UTILIZACIÓN DE TERCEROS para sacar el dinero (mulas) para evitar alarmas y dificultar el seguimiento final, o el empleo de LOOPINGS en las monedas virtuales
¿Dónde se vende el malware? ¿Existe un espacio social cómo un foro, chat? El ANÁLISIS de las relaciones del vendedor con otras personas del ESPACIO SOCIAL son indicadores: Si pide ayuda técnica o ha consultado el precio en el pasado posiblemente es que ha comprado
Medidas preventivas
CONOCER ¿dónde se vende? ¿Quién? ¿Cuándo aparece?
Requiere un SEGUIMIENTO en el mundo underground, MONITORIZAR toda la inteligencia de código abierto y seguir los mercados de malware y ofuscación
Requiere un presupuesto para la ADQUISICIÓN de esos productos y poder conocer la forma de actuar para aplicar medidas preventivas
Conclusiones
La seguridad existente no funciona
Hay que ir más allá de lo estándar. NIST, ISO, CoBIT mitiga el riesgo pero no lo elimina
La financiación de los adversarios está dirigida con intención
Hay que conocer las amenazas y nuestras vulnerabilidades
Música de Jamendo (J.L.T - Digital World) / Imágenes propias u obtenidas de Internet, presuntamente imágenes libres y solo para fines educativos, cualquier posible error o falta de cita ruego comuniquen para su eliminación o corrección juancrui@gmail.com
Fortalecer la protección de los activos más valiosos, no todos
No se puede ganar esta batalla solos
La seguridad es una inversión de la empresa y es cuestión de ella y no de las IT's
Conclusiones
Promover la formación y concienciación de todo el personal de la empresa
Cualquier nueva tecnología incorpora nuevos riesgos
Aplicar la Inteligencia, detección efectiva, análisis de datos, Forensics y respuesta inteligente a incidentes es la base de una Seguridad en Profundidad contra las APTs
Hay que centrarse en lo penal no en las herramientas
Retroalimentarse de la experiencia e incidentes anteriores propios y ajenos
Vigilancia constante y esperar lo inesperado
El desarrollo de combinación de medidas de prevención, detección y corrección es más eficaz que solo usar medidas preventivas
Víctimas potenciales y vulnerabilidades
Hay que conocernos a nosotros mismos, SABER CUÁLES SON NUESTROS ACTIVOS para conocer si tenemos POTENCIALES ENEMIGOS que deseen invertir tiempo, dinero y recursos en conocer o hacerse con nuestra información. De esa manera sabremos si somos una víctima potencial de un ataque dirigido.
Según las CARACTERÍSTICAS DE NUESTRA SEGURIDAD, INTELIGENCIA, FORMACIÓN y CONCIENCIACIÓN de nuestros empleados seremos potenciales víctimas de un ataque.
CREER QUE ESTAMOS SEGUROS es signo de ser una víctima potencial del cibercrimen, la sensación de seguridad y el pensar que a mi no me va a ocurrir, relaja la atención a aquello fuera de lo habitual y es uno de los mayores riesgo que actualmente tenemos
CENTRARSE SOLAMENTE EN LA SEGURIDAD TECNOLÓGICA y obviar la formación a resistir los ATAQUES DE INGENIERÍA SOCIAL aumenta las probabilidades en convertirnos en víctimas de un ataque cibernético. Debemos corregir esos aspectos además de seguir efectuando auditorías, monitorizaciones y actualizaciones de las políticas de seguridad.
¿Qué hacer cuando se tiene conocimiento de un compromiso informático?
CONTACTE CON UN RESPONSABLE LEGAL O GABINETE JURÍDICO Y CON UN EXPERTO EN ADQUISICIÓN DE PRUEBAS DIGITALES E INVESTIGACIÓN TECNOLÓGICA que les asesoren como tomar o guardar las evidencias, en síntesis:
Colocar todo a salvaguarda de manipulación de terceros iniciando la cadena de custodia, recopilando la documentación de los Sistemas de Información, Topología de las Redes y Sistemas de Seguridad y permaneciendo en el lugar hasta la llegada de los investigadores.
Ya éstos en el lugar analizaran la información y identificaran cada evidencia con un testigo, firmar sellar y datar cada indicio (cálculos de hash).
Centrarse en las evidencias volátiles.
Realizar copias forensics para salvaguardar la integridad los originales.
No hacer nada que no se sepa el resultado o que pueda llevar a un camino equivocado y no ser reversible.
COORDINAR CON SUS PROVEEDORES DE SERVICIOS TECNOLÓGICOS porque los mismos pueden ayudar mediante registros, monitorizaciones, salvaguarda de información por si le es solicitada por la autoridad judicial. Haga lo necesario para que colaboren facilitando todo lo necesario del incidente y mantenga las comunicaciones con ellos fuera de las vías de comunicación de la tecnología atacada.
¿Qué hacer cuando se tiene conocimiento de un compromiso informático?
EVALUAR SI el incidente esta dentro de una TIPIFICACIÓN PENAL, que no sea un mero accidente o una negligencia. Si es positivo contacte inmediatamente con una unidad especializada de las FFCCSE, en caso de no saberlo, analice el incidente con todas las garantías procesales como si lo fuera, manteniendo la integridad de la información, proteja la escena del crimen, refleje todo en una bitácora e inicie la cadena de custodia. Entreviste a los testigos e imponga la necesidad de saber.
Cualquier acceso de MALWARE a nuestro sistema sin consentimiento lleva RESPONSABILIDAD PENAL, ya sea de descubrimiento de secretos o de vulneración de las medidas de seguridad establecidas 197.3CP. La facilidad que el malware provoque daños puede provocar la tipificación del 263 y ss del CP.
Al tener noticia de un ataque de una APT, ya sea por una agencia externa o por alguna alerta interna, se deberá aplicar el PLAN DE CONTINGENCIA previsto donde deberá figurar una PERSONA QUE TOME LA RESPONSABILIDAD DE LAS ACCIONES a realizar. Esta responsabilidad no implica que es la persona al que debemos cargar el muerto sino que es la persona más cualificada para el esclarecimiento de los hechos
¿Qué hacer cuando se tiene conocimiento de un compromiso informático?
Notifique el incidente al FUNCIONARIO APROPIADO, todo detallado de lo instruido, los equipos comprometidos, todo lo observado, quien sabe del incidente, todo anotado, fechado y guardando la cadena de custodia. Comunique el incidente a un CERT (Coordination Center) y a los grupos de delitos tecnológicos de las FFCCSE, ellos ayudaran a mantener la cadena de custodia de los indicios y pruebas y pueden tener información de otras víctimas y de como es el ataque por casos similares para ayudar a la gestión de su control y erradicación.
Notifique el incidente al FUNCIONARIO APROPIADO, todo lo instruido detallado, los equipos comprometidos, todo lo observado, quien sabe del incidente, todo anotado, fechado y manteniendo la cadena de custodia. Comunique el incidente a un CERT (Coordination Center) y a los grupos de delitos tecnológicos de las FFCCSE, ellos ayudaran a mantener la cadena de custodia de los indicios y pruebas. Además pueden tener información de otras víctimas y de las características del ataque a través de casos similares, lo que servirá para gestionar mejor el incidente.
EVALUAR posibles DAÑOS COLATERALES como robo de información personal de terceros para cumplimentar, de acorde al departamento legal, las notificaciones correspondientes, cumplimentando las legislaciones/reglamentaciones correspondientes.
¿Por dónde han entrado?
¿Hay un responsable interno del incidente?
¿Qué impacto habrá si la información se divulga?
¿Qué debo transmitir a los medios si el ataque se hace público?
¿Han dejado Backdoors?
¿Cómo han sacado la información?
Juan Carlos Ruiloba Castilla
juancrui@sit1.es
Música de Jamendo (J.L.T - Digital World) / Imágenes propias u obtenidas de Internet, presuntamente imágenes libres y solo para fines educativos, cualquier posible error o falta de cita ruego comuniquen para su eliminación o corrección juancrui@gmail.com
@juancrui
http://blog.sit1.es
Gracias,¿Alguna cuestión?
La mejor estrategia ante las APT's es no tener estrategia.
Mi estrategia será el resultado de sus estrategias y mis pasos el resultado de sus pasos. Mis defensas serán propias, dinámicas y ya están incorporadas.

juancrui (c) 2013
Debemos ganar antes de ir a la Guerra.

Sun Tzu
juancrui@sit1.es
Y, si sufrimos un cibercrimen ¿quién nos puede ayudar?
el 18 de mayo en un foro salió a la venta un troyano que funcionaba en Android por $5000 y el 6 de junio ya se habían contabilizado en 13 países la acción de ransomware en Android
La infección procedía de la descarga de aplicaciones fuera de la tienda oficial de Google.

Como positivo si entramos en los móviles en modo seguro podemos desinstalar la aplicación y buscar la key de descifrado en el dispositivo
Simplocker
Noticias y noticias (mayo-junio 2014)
Venta en Pastebin de la
Base de datos de eBay
Los antivirus no son eficaces
Noticias y noticias (mayo-junio 2014)
Tercer intento desde 2011 de tumbar ZeuS
Full transcript