Gestión de incidentes - CCN-CERT · VIII JORNADAS STIC CCN-CERT Incidentes notificados [CCN-CERT#140127491] Detectado contacto DNS ciberataque BYC [CCN-CERT#140128142] Detectado

La defensa del patrimonio tecnológico frente a los ciberataques

10 y 11 de diciembre de 2014

www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID

Gestión de incidentes

VIII JORNADAS STIC CCN-CERT

www.ccn-cert.cni.es

2

Equipo CCN-CERT

CCN-CERT [email protected]


3

2 Código dañino más visto

Índice

3 Ransomware

4 Campañas APT destacadas

5 Snake/Uroburos/Turla

6 Grupo ByC CHINA

1 Estadísticas de incidentes

www.ccn-cert.cni.es

7 Sectores que reciben más ataques


11483

7263

3998

1914

458

193

0 5000 10000 15000

2009

2010

2011

2012

2013

2014

6

91

777

92

0

Bajo Medio Alto Muy Alto Crítico

Noviembre

Enero-Octubre9.0

10

895

1.1

95

255

128

Recogida de Información

1,23% Fraude 0,43%

Intrusiones 13,95%

Disponibilidad 0,65%

Contenido Abusivo 0,14%

Código Dañino 82,04%

Seguridad de la información

0,94%

Otros 0,58%

www.ccn-cert.cni.es

4

Estadísticas de incidentes (noviembre 2014)


Código dañino más visto en 2014

0 20 40 60 80 100 120 140 160 180

InstallCore.Gen (adware)

Conficker

Skintrim

Koutodoor

Zbot

Zusy

Wysotot

Xtrat.A

Mudrop

Dragonfly

Intallmate

Ramnit

Virut

SpeedingUpMyPC

www.ccn-cert.cni.es

5


Múltiples oleadas de infección por ransomware

en los últimos meses.

A través de campañas de phishing

Correos

…

Publicación de Informe de Amenazas IA-21/14

sobre Medidas de seguridad contra ransomware

¡Copias de seguridad de la información

importante!

Ransomware

6

www.ccn-cert.cni.es


Rusia

SNAKE / UROBUROS / TURLA

Energetic BEAR / Dragonfly

APT28

China

GRUPO A APT1,

GRUPO B Leounica

GRUPO C

GRUPO E MSUpdater,

GRUPO T

Campañas APT destacadas

7

www.ccn-cert.cni.es


Hispanoparlantes

CARETO (The Mask)

MACHETE

Otros países

REGIN

…//…

Campañas APT destacadas

8

www.ccn-cert.cni.es


Detectado con

Diferentes vectores y diferentes fases de infección

Incidentes gestionados en 2014

Diversos incidentes relacionados con Watering hole attacks en

Administración Local

Incidentes relacionados con fases iniciales de la infección en diferentes

organismos de la Administración / Empresas

Snake/Uroburos/Turla

9

www.ccn-cert.cni.es


Incidentes notificados [CCN-CERT#140127491] Detectado contacto DNS ciberataque BYC

[CCN-CERT#140128142] Detectado contacto DNS ciberataque BYC


[CCN-CERT#140218084] Detectado contacto CompressNet de ciberataque BYC

[CCN-CERT#140207201] Detectado contacto desde IP ciberataque BYC


[CCN-CERT#140213539] Detectado contacto SMTP ciberataque BYC




[CCN-CERT#140128151] Aviso de seguridad

11 familias de malware

Win32/Ziyanzho.D

Win32/Ziyanzho.C ó HTool-Pipecmd

Network Shell with Injection

KeyloggerDownloader

HackTool:Win32/Onaht

Win32/Ziyanzho.B

TROJ_LOCATI.ZZXX

Jsp File Browser

UPSmgr Installer

Win32/Ziyanzho.A

Trojan.Win32.Ziyanzho.A

Grupo ByC CHINA

10

www.ccn-cert.cni.es


Sectores que reciben más ataques en ESPAÑA

Energético

Transportes

Tecnologías de la Información

Industria Nuclear

Financiero

Sanidad

Alimentación Hídrico

Espacio

Industria Química

Instalaciones de Investigación

Administración

Infraestructuras Críticas

Aeroespacial

Defensa

Química

Comunicaciones

Energético

Ingeniería

Financiero

Derechos Humanos

Administración

Minería

Farmacéutico

Marítimo

Sectores Más atacados

www.ccn-cert.cni.es

11


Catálogo de Servicios

Actualmente hay 80

empresas adscritas al servicio de información.

Envío de reglas / Alertas / Buenas Prácticas

Acceso eventos CCN-CERT

Acceso Parte privada portal

LUCIA

SAT INTERNET

CARMEN

Ingeniería Inversa / Análisis forense

Canales cifrados PGP/GPG

www.ccn-cert.cni.es

12

Gestión de incidentes - CCN-CERT · VIII JORNADAS STIC CCN-CERT Incidentes notificados [CCN-CERT#140127491] Detectado contacto DNS ciberataque BYC [CCN-CERT#140128142] Detectado

Documents