Agenda una reunión o demostración en vivo con un representante Widefense

Agendar

Ransomware

Imagen para ilustrar artículo sobre el Ransomware

Ransomware: ¿pagar o no pagar?

El Ransomware es un código malicioso que hace inaccesibles los datos de un dispositivo y pide un “rescate” a cambio. En 2017, este tipo de ataque se hizo muy popular tras el caso del WannaCry. Por ello, es importante saber cómo funciona y qué hacer en caso de ser una víctima.

 

¡Alerta de Ransomware! 

 

Saber si ha sido afectado por un Ransomware es muy fácil. El cibercriminal intentará a toda costa llamar su atención. En ese sentido, lo primero que hará será desplegar en su pantalla un aviso de que su información fue secuestrada. 

 

Para las empresas, esta situación es un dolor de cabeza. Si se comprometen sus datos, pueden haber importantes consecuencias. Entre ellas, pérdidas financieras, (sobretodo en aquellos casos en donde información de los clientes se ve comprometida); daño a la reputación y complicaciones legales.

 

Los cibercriminales están muy al tanto de esto, por lo que muchos ransomware son creados especialmente para comprometer archivos o datos corporativos. Esto no solo porque los criminales están al tanto de las consecuencias. También porque las empresas trabajan con redes compartidas de información, las que facilitan que la infección pase de un colaborador, a los servidores de la compañía y otros lugares en donde se almacene información sensible.

Alerta para empresas

 

Frente a un ransomware, muchas empresas optan por pagar porque los costos de detener sus operaciones, o arriesgarse a que se haga público el ataque, son mucho mayores que la demanda del cibercriminal. No obstante, esto no es lo recomendado.

 

Si bien, al pagar, en muchas ocasiones se recupera la información, se debe tener en cuenta que del otro lado de la pantalla hay un desconocido y, tal como en la vida “real”, no existe ninguna garantía de que cumplirá su parte del trato.

 

Al pagar se contribuye con el negocio del ransomware. Hay que tener en cuenta que los cibercriminales incluso pueden hacerse con cientos de dólares con solo un click. Y si las personas ceden a ello, la consecuencia directa es que se perfeccionarán los ataques. 

 

Sin embargo, si las personas periódicamente hacen backup de sus datos sensibles, mantienen sus dispositivos actualizados y cuentan con un sistema de ciberseguridad, no será necesario pagar ningún rescate y lógicamente el negocio del ransomware perderá fuerza.

 

En esos casos, existen herramientas como Cylance, la cual emplea inteligencia artificial para detectar ataques hasta con 36 meses de antelación. Asimismo, un buen complemento a ello son los servicios ofrecidos por los expertos en ciberseguridad de Widefense. Esto último para proteger lo que los antivirus tradicionales no son capaces de abordar.

 

Para finalizar, el ransomware es una amenaza que ha cobrado fuerza. El WannaCry fue solo un ejemplo de ello. No obstante, si las personas cuentan con una buena educación en ciberseguridad y las empresas combaten la amenaza con los expertos y las herramientas adecuadas, los pagos a los cibercriminales no serán necesarios.

 

Consiga una asesoría gratuita para su empresa en www.widefense.com/contacto

 

¿Qué es el ‘ransomware’ y cómo protegerse? Las tres claves que explican el ciberataque

 

Todo apunta a que un nuevo ‘ransomware’ llamado Petya está extendiéndose de forma rápida y virulenta por países como España, Ucrania, India, Rusia y UK

 

El Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI), ha alertado a las administraciones sobre la existencia de un nuevo ciberataque de virus randsomware a escala internacional que, de momento, no ha afectado a ningún organismo público.

 

Fuentes del Centro Criptológico han indicado que hasta ahora no hay constancia de que el ataque haya afectado a ningún organismo de la administración.

 

Sin embargo, las fuentes han añadido que se han recibido en el centro avisos informales de ataques por parte de algunas empresas multinacionales como Mondelez, Maersk, DLA Piper y Merck, que tienen oficinas en España.

 

¿Qué es el ‘ransomware’?

Un ataque de ‘ransomware’ consiste en cifrar los archivos de un ordenador para impedir que el usuario tenga acceso a ellos. Una vez conseguido, lo más habitual es que aparezca un mensaje en la pantalla exigiendo el pago de unos 300 dólares en Bitcoins en un plazo de entre 48 y 72 horas. A cambio, el criminal promete entregar al usuario la clave que le permitirá desbloquear su dispositivo.

 

De todos modos, también son muchos los casos de víctimas que han cumplido con las exigencias del rescate y después no han recibido clave alguna. De hecho, algunos de los cryptors que se utilizan para cifrar los archivos pueden tener fallos que impiden recuperar los archivos incluso con la contraseña correspondiente.

 

¿Cómo se infecta el ordenador?

El ‘ransomware’ se puede transmitir como un troyano, es decir, un software malicioso que infecta el dispositivo al descargarse un archivo que se presenta al usuario como un programa legítimo e inofensivo. Sin embargo, una vez se hace clic en el mismo, el ‘ransomware’ se iniciará y cifrará todos los archivos. Aunque el método cambia de unos casos a otros, el virus tiende a camuflarse en archivos adjuntos de correos electrónicos o supuestas actualizaciones de sistemas.

 

Cabe señalar, sin embargo, que no siempre hace falta descargar un archivo para que se infecte el dispositivo, y es que a veces basta con que el virus aproveche una vulnerabilidad del sistema. Prueba de ello es el último ciberataque del pasado mayo, cuando los sistemas de empresas como Telefónica fueron infectados por un ‘gusano’ que se paseaba por las redes de forma autónoma y aprovechó un ‘agujero’ de Windows para infectar sistemas de todo el mundo.

 

¿Cómo protegerse del ataque?

A la hora de evitar ataques en forma de troyano, lo más recomendable es no descargar archivos sobre cuya procedencia no se esté seguro. Algunos antivirus pueden detectar estos softwares maliciosos a tiempo y neutralizarlos, pero en todo caso la prudencia es siempre una garantía.

 

Cuando se trata de un gusano que aprovecha una vulnerabilidad del sistema, la única opción es entonces mantenerse al tanto de las actualizaciones que ofrece la empresa correspondiente e instalarlas en el dispositivo. En el ataque ocurrido en mayo, por ejemplo, Windows había informado sobre el agujero un mes antes y ya existía un parche que permitía blindarse.

 

Recomendaciones de mejores prácticas contra Ransomware

En los últimos días hemos visto noticias sobre el ciberataque mundial que ha “provocado problemas importantes a nivel mundial”. Es cierto que hacía tiempo que no se veía un ataque que fuera tan grave, global y problemático. Se ha hablado de cifras de infección de en torno a 300.000 equipos en 150 países, como una de las más elevadas. Sin embargo parece un número bajo comparado a las infecciones provocadas por malware anteriores, por citar algunos representativos:

Los datos hablan por sí solos y las comparaciones son odiosas, pero en cualquier caso, ¿se aprendió algo de estos otros malware con infecciones masivas? Todo indica que muy poco.

Las conclusiones y lecciones después de cada caso son muy similares. Nada nuevo pero no está demás listarlos.

 

 

COMPARATIVA ENTRE RANSOMWARE CONOCIDO Y WANNACRY

Recomendaciones y mejores prácticas

  • Actualice los sistemas a su última versión o parches según recomiendan las marcas
  • Respalde sus equipos e información crítica  
  • Asegúrese que las actualizaciones  que  previenen amenaza, se han desplegado, y se han actualizado  en toda su red.
  • Desconfíe de los documentos no solicitados enviados por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique la fuente.
  • No abra archivos adjuntos desconocidos o emails con asuntos o remitentes desconocidos.
  • Segmente su red manteniendo equipos críticos separados de los sistemas que usan navegación web y correo electrónico.
  • Genere campañas permanentes de concientización de seguridad a sus colaboradores
  • Siempre confié solo en sitios oficiales para la descarga de parches
  • Evalúe los niveles de sensibilidad de sus herramientas Antispam y Filtro de correo.
  • Controle y monitoree el acceso de equipos externos a su red y verifique que cuenten con un nivel mínimo de seguridad.

 

Fuera de la recomendaciones y buenas prácticas presentadas también puede fortalecer la seguridad de su infraestructura tecnológica con tecnología disponible hoy en el mercado. Entre las recomendaciones queremos recomendar:

 

1. Next-generation Endpoint Protection: utilizan inteligencia artificial que permite identificar código malicioso sin ejecutar los archivos haciendo un análisis de “ADN” al código en cuestión, identificando patrones sospechosos como encriptación, borrado, ejecución de macros con malware, comportamientos anormales que vienen definidos desde el propio código. No importa si es una variante nueva, si está derivado de algún patrón identificado estos pueden determinar por su comportamiento que se trata de código malicioso. 

 

2. Anti-spam: remueve amenazas en el correo entrante y saliente, bloqueo de spam, detecta amenazas que hayan traspasado las defensas perimetrales. Protege datos críticos utilizando DLP y tecnologías de reputación.

 

3. Proxy: Un filtro de navegación o contenido web filtra el tráfico entrante a la red de las páginas web para determinar si parte o todo el contenido debería ser desplegado al usuario. El filtro verifica el origen o contenido de una página web contra un conjunto de reglas o políticas definidas por la empresa o persona que instaló el filtro de contenido web. El objetivo principal bloquear acceso a paginas pornográficas, material no apropiado, spyware, virus, etc.

 

4. Intrusion Prevention System: La prevención de intrusiones es un enfoque preventivo hacia la seguridad de la red usado para identificar amenazas potenciales y responder (tomar acción) de forma rápida. Al igual que un sistema de detección de intrusos (IDS), un IPS monitorea el tráfico desde y hacia la red de una empresa.

 

5. Vulnerability Manager: La gestión de la vulnerabilidades es un enfoque proactivo para gestionar la seguridad de la red al reducir la probabilidad de que las fallas en el código o el diseño, falta de parches, entre otros, comprometan la seguridad de un endpoint o una red.

 

6. SIEM (Security Information and Event Management): es un enfoque a la gestión de seguridad que provee una vista holística de la seguridad TI. El principio fundamental de un sistema SIEM es que los datos pertinentes sobre la seguridad de una empresa se produce en múltiples lugares y ser capaz de mirar a todos los datos desde un único punto de vista hace que sea más fácil de detectar tendencias y ver los patrones que están fuera de lo común.

 

7. Network Access Control: NAC es un método de admisión a la red (alámbrica o inalámbrica) que llega a reforzar la seguridad en una red al restringir la disponibilidad de recursos en la red a solo equipos o dispositivos que cumplen con políticas de seguridad definidas.

 

8. Sandbox: es un entorno informático aislado en el que se puede ejecutar un programa o un archivo sin afectar a la aplicación en la que se ejecuta. Permiten ejecutar la aplicaciones y observar todos los cambio que este ejecuta en el sistema operativo para determinar si es una aplicación segura o si tiene código o comportamiento que pudiese ser peligroso al ser ejecutado por un usuario o sistema operativo en el ambiente de producción.

 

 

¿CONOCES TU GAP EN CIBERSEGURIDAD? Contáctanos AQUÍ!

 

Recomendaciones para recuperar sus operaciones en forma controlada

Hasta el momento se reportaron 452 variantes hasta hace 6 horas y siguen apareciendo muestras las cuales están siendo analizadas por los fabricantes. Nuestro equipo continúa monitoreando y analizando activamente esta situación, y le estará comunicado nuevos avances vía email, twitter y nuestra web.

 

RECOMENDACIONES PARA VOLVER A LA OPERACIÓN

Si aún no logra recuperar la operación de su empresa le recomendamos 4 simples pasos.

 

 

Puede revisar todas la recomendaciones realizadas durante el fin de semana en nuestra pagina web:
www.widefense.com/noticias Nota: 
Adicionalmente le comentamos que McAfee ha liberado un nuevo DAT el cual debe ser actualizado a la brevedad. Estos son: 

  • 8530.0000 para McAfee VirusScan
  • 2981.0 para Endpoint 10

 

Prueba de software de backup: el seguro contra ransomware

Un concepto de seguridad bien pensado siempre ha incluido, además de protección antivirus, un software de backup. Y precisamente ahora que los ataques de ransomware son cada vez más refinados, los nuevos programas especializados en asegurar datos pueden ayudar a ahorrarse tiempo, dinero y malos ratos. El instituto AV-TEST ha puesto a prueba cuatro programas de backup nuevos, pero solo uno de los programas de la prueba recibe el certificado “Approved Backup & Data Security Software”.

 

Una vez se ha vencido la barrera del antivirus y el bloqueo de la pantalla impide acceder al sistema y a archivos importantes, los usuarios de Windows se dividen en dos grupos: las víctimas de rasomware y los usuarios de programas de backup. Estos últimos pueden afrontar los ataques de troyanos chantajistas con bastante más tranquilidad, puesto que disponen de un nivel de protección adicional contra los agresivos ataques de malware. En un caso ideal, el programa de backup detecta el ataque, lo detiene y restablece el estado del sistema o los archivos atacados de la última copia de seguridad. Si esto no es posible, siempre se puede restablecer el estado del último almacenamiento seguro. Los expertos de AV-TEST comprobaron en esta prueba, además de las funciones de backup clásicas, la usabilidad y la velocidad de copiado y de restablecimiento, así como la reacción de los programas ante ataques con malware actual.

Ataque de ransomware: ¡Tiempo es dinero!

Los troyanos chantajistas con frecuencia hacen que el software antivirus parezca anticuado. Por lo general pasan varias horas hasta que el software malicioso actual es incorporado a la más reciente definición de virus basándose en el hallazgo inicial de algunos programas antivirus. Un espacio de tiempo que aporta una peligrosa ventaja a los ciberchantajistas, puesto que, según lo extendido que esté este malware, un mero clic en el enlace de un correo electrónico en el momento inoportuno puede convertir al que era hasta ese instante un usuario despreocupado en una víctima de un chantaje en línea por valor de cientos de euros. Por eso, un buen concepto de seguridad siempre cuenta con un software de backup como complemento de un programa antivirus actualizado continuamente. 

 

La nueva generación de backup

Mientras muchos fabricantes, al igual que muchos usuarios de PC, no consideran los programas para asegurar datos como un componente de una estrategia de seguridad de dos niveles como la descrita, otros fabricantes avanzan por nuevos caminos. Los programas de backup de nueva generación “Acronis True Image 2017 New Generation Premium” 21.0.0.6106, “Carbonite Personal PLUS” 6.2.1 build 6804, “CrashPlan for Home” 4.8.0 (1435813200480) y “IDrive” 6.5.1.23 intentan ganarse la confianza de los usuarios. Todas estas ofertas de backup dominan los métodos convencionales de backup, como realizar copias de seguridad de archivos individuales, así como crear una imagen del sistema completo en un soporte de datos, por ejemplo, un disco duro externo.

Protección en la nube contra chantajistas

Pero además del almacenamiento en la nube, los programas ofrecen otras funciones.  Entre ellas está la “comprobación de autenticidad” de los archivos mediante muestras de reconocimiento digitales guardadas en una base de datos en línea protegida. De este modo se puede comprobar si un archivo se halla en el estado original guardado o ha sido modificado posteriormente. Con esta tecnología de cloud se puede determinar también si los archivos han sido modificados por un ataque de malware, como sería en el caso de un cifrado no deseado por parte de un troyano chantajista. Si el software detecta una modificación probablemente no deseada durante la comparación online en segundo plano, advierte al usuario y puede sustituir un archivo posiblemente infectado por el estado en el que se guardó de forma segura por última vez.

 

Una protección activa no es en absoluto lo habitual 

En la prueba, los programas de backup tuvieron que defender ordenadores de prueba con Windows 7 y su fondo de datos contra versiones de ransomware actuales. Entre ellas había dos versiones muy recientes del ampliamente extendido criptotroyano Cerber, que se transmite a través de anexos de correo maliciosos o páginas web infectadas. Los programas recurrieron a diferentes métodos para defenderse frente a troyanos encriptadores. True Image de Acronis fue el único producto en la prueba  capaz de conseguir puntos con detección activa de malware. Mediante la detección de malware basada en el comportamiento a través de la nube, Acronis detectó y bloqueó muestras de ransomware en cuanto desplegaron su potencial dañino en los sistemas de prueba. Este tipo de funciones de prueba se pueden complementar con software anti-ransomware independiente.

El resto de los candidatos no ofrecieron esta detección activa, no obstante consiguieron puntos en la prueba gracias al casi siempre seguro restablecimiento de la copia de seguridad de archivos infectados. Para ofrecer una buen protección por esta vía es decisivo que la frecuencia de almacenamiento sea corta. Cuanto más breve sea el intervalo entre la realización de copias de seguridad, más actuales serán los archivos de rescatados. En este elemento de la prueba recibió puntos IDrive. El software aseguró los datos de los sistemas de prueba, en la configuración estándar examinada, cada 20 segundos. Todo lo contrario en el caso de Carbonite, que si bien realizó la primera copia de seguridad a los diez minutos de empezar a trabajar, no volvió a permitir asegurarlos hasta el día siguiente, exactamente 24 horas después. Este plazo es claramente demasiado largo como para proteger de forma efectiva contra el ransomware.

 

Fácil de configurar

En la prueba, ninguno de los programas dio pie a la excusa de que el software de backup es muy complicado. A través de menús bien estructurados, los cuatro candidatos de la prueba permitieron seleccionar los datos a asegurar, establecer los lugares e intervalos de almacenamiento, así como acceder a otras funciones. Si bien los programas se distinguieron notablemente en el número de pasos requeridos para la configuración, esto se debe a la diferente estructuración de las interfaces del programa y no da pie a una valoración negativa de la usabilidad. Carbonite fue el programa cuya configuración supuso un menor esfuerzo para el usuario. Al igual que la selección de las funciones adicionales ofrecidas, la usabilidad es cuestión de gustos y cada usuario tiene distintas expectativas. 

Datos en vez de espera

Otro punto decisivo en el examen de programas de backup es la velocidad con la que se aseguran y restablecen los datos. En el laboratorio se comprobaron las diferentes configuraciones con distintos conjuntos de datos. Entre otras cosas, tuvieron que dividir y asegurar una copia de seguridad completa de un conjunto de datos de prueba de 50 GB, compuesto por 56 imágenes de CD y archivos de películas. Se copiaron los datos de un disco duro SSD a uno HDD. En esta, al igual que en las siguientes pruebas de velocidad, Acronis dejó muy atrás a la competencia. Para este conjunto de datos, el software necesitó menos de 12 minutos, mientras que IDrive le siguió en segundo lugar con más de 53 minutos. CrashPlan necesitó una hora y tres minutos para copiar el conjunto de datos. También en la comprobación del tiempo requerido para asegurar diferentes datos y crear backups incrementales, el software Acronis quedó notablemente por delante de los demás productos examinados. 

En la recuperación y el restablecimiento del conjunto de datos asegurado, Acronis también demostró ser el más veloz: Tras 10 minutos y 39 segundos había restablecido el sistema asegurado. CrashPlan necesitó casi el doble de tiempo con 20 minutos y 40 segundos. IDrive informó que el sistema de prueba volvía a estar restablecido tras 17 minutos y 17 segundos. A la hora de reproducir backups incrementales, Acronis adelantó a ambos productos a una velocidad casi diez veces superior. Dado que el software Carbonite utiliza solo el almacenamiento en la nube para asegurar los datos, este no fue tenido en cuenta en la prueba de rendimiento.

Conclusión

La prueba muestra claramente que una protección contra malware razonable debería incluir software de backup. “Acronis True Image 2017 New Generation Premium” fue la única solución de backup en la prueba capaz de detener ataques de ransomware. Por eso el programa, que también convenció enormemente por los resultados de la prueba en el criterio de funcionalidad backup, es galardonado por el instituto AV-TEST con el certificado “Approved Backup & Data Security Software”. La solución de Acronis ayuda claramente a los usuarios a defender el sistema de su propio ordenador y sus datos importantes sin que requiera mucho esfuerzo por su parte. El extenso estudio sobre seguridad realizado en cuanto a la prueba puede leerse también en este archivo PDF (en inglés), que ha elaborado el laboratorio.

 

Fuente: https://www.av-test.org/es/noticias/news-single-view/prueba-de-software-de-backup-el-seguro-contra-ransomware/

SATAN, Ransomware-as-a-Service

Si ha sido golpeado por ransomware que ha codificado los nombres de sus archivos cifrados y ha anexado la extensión .stn a ellos, que ha sido blanco de SATAN – no el “Príncipe de la Oscuridad”, sino por el nuevo Ransomware-as-a-Service (RaaS).

SATAN fue descubierto el miércoles por el investigador de seguridad Xylitol y, como resulta, el RaaS está siendo activamente comercializado en foros ocultos en la Deep Web.

 

Cualquier persona puede usar a SATAN de forma gratuita, el vendedor pide el 30 por ciento de cada solicitud de rescate exitoso a cambio de proporcionar el servicio.

Una visita al sitio web del servicio (en Tor) revela una página bien diseñada que ofrece a los usuarios la posibilidad de crear una variante del malware configurado a su gusto, una selección de técnicas de obfuscación para el método de descarga, la oportunidad de traducir la nota de rescate , y una forma de contactar con el autor de malware.

Taken from BleepingComputer.com

 

A través del sitio web, los usuarios registrados también pueden ver cuántas de las instancias de ransomware que enviaron fueron exitosas y la cantidad que han ganado hasta ahora.

Por el momento, todavía se desconoce qué método de cifrado utiliza SATAN y, por lo tanto, no hay ninguna herramienta de descifrado disponible.

Desafortunadamente, el SATAN RaaS es extremadamente fácil de usar y accesible a cualquier persona que no tenga escrúpulos ni conocimientos especiales.

 

Fuente: https://www.helpnetsecurity.com/2017/01/20/satan-ransomware/

Prevención Multicapa contra Ransomware

Ransomware es una amenaza de la familia de los malware que ENCRIPTA los archivos locales de los usuarios, así como también archivos compartidos en red con el equipo infectado.

El objetivo de esta amenaza es obtener una recompensa económica de la víctima a cambio de la recuperación de sus archivos.  El pago de esta recompensa no asegura la liberación de los archivos y según estadísticas de Kaspersky Labs, 36% de las personas que realizó el pago no recuperó sus archivos.

wd2

Figura 1 Evolución del Ransomware en el tiempo. Fuente: Symantec Internet Security Threat Report 2015

 

¿CÓMO OPERA?

wd3A través de correo electrónico, el usuario recibe un correo con un archivo adjunto (*.zip / *.docm), este adjunto contiene un archivo VBS (Visual Basic Script), Javascript u otro adjunto, que al ser ejecutado realiza conexiones hacia el servidor privado del atacante descargando una DLL que se ejecuta a través de Rundll32.exe comenzando la encriptación de los archivos del usuario.

En el tercer trimestre de 2016 detectamos 21 nuevas familias y 32 091 nuevas modificaciones de programas maliciosos cifradores. El número de nuevas familias de cifradores fue ligeramente inferior a la del segundo trimestre (25), pero en cambio el número de nuevas modificaciones se multiplicó por un factor de 3.5 en comparación con las descubiertas el trimestre anterior.

 

MEDIDAS DE PREVENCIÓN DE RANSOMWARE

 

captura-de-pantalla-2016-11-30-a-las-12-47-20Entrenamiento de usuario
La mayoría del ransomware se propagan a través de correos electrónicos de phishing y estafa. Por lo tanto, vale la pena mantener un ojo en las actuales tendencias de estafa y spam.

En la seguridad corporativa, los usuarios son el eslabón más débil y la formación adecuada juega un factor importante en la prevención de las brechas de seguridad y si se produce una violación, ayuda a contener la amenaza.

 

Gestión eficiente de parches

De acuerdo con el informe anual de riesgos de Cyber de HP, el 44% de los ataques durante el año pasado se debieron al código sin parche que tenía de dos a cuatro años. Dos causas más comunes de retraso en el despliegue de parches son la inestabilidad y el tiempo de inactividad. Un nuevo parche puede desestabilizar el sistema y un sistema con un requisito de alta disponibilidad espera hasta que la industria lo haya probado. Muchas veces hemos visto un parche ser lanzado apresuradamente para solucionar una vulnerabilidad. Estos parches no probados solucionan vulnerabilidades de seguridad, pero ocasionalmente causan problemas operacionales. En algunas ocasiones, instalamos parches que se publicaron para solucionar los problemas causados por un parche anterior.

Equipo de Seguridad de TI Efectivo y Mandado

La seguridad informática es un campo en constante evolución y requiere capacitación e investigación continuas. Cuando un equipo de seguridad se da cuenta de un riesgo potencial, un paso difícil es convencer a la administración de negocios a que dedique el tiempo y esfuerzo necesarios para desplegar los controles preventivos esenciales. Las maneras tradicionales de medir el retorno de la inversión (ROI, Return On Investment) son ineficaces debido a que los negocios no realizan completamente el riesgo hasta que es demasiado tarde. En 2014, Sony Entertainment gastó decenas de millones de dólares después de que las brechas de seguridad le costaran a la compañía unos $ 1,25 mil millones.

Copias de seguridad

La defensa más eficaz contra ransomware es la copia de seguridad de los archivos de datos. Los datos de un usuario corporativo, almacenados en una unidad de red, se respaldan de forma regular. Sin embargo, no es una práctica habitual respaldar el escritorio de un usuario. Los administradores de sistemas de información necesitan ampliar el alcance de las copias de seguridad con actualizaciones de almacenamiento y ancho de banda. Con la posibilidad de que las copias de seguridad sean cifradas por ransomware, debemos mantener varias copias de datos (copia de seguridad de copias de seguridad), durante un período más largo.

Restringir el uso de privilegios elevados

Cuando un usuario corporativo es atacado, sólo los archivos de datos que son accesibles a ese usuario se cifran. En muchos casos, los administradores usan privilegios elevados para operaciones normales, como navegar por Internet y comprobar el correo electrónico. Cualquier clic incorrecto puede descargar ransomware, ejecutándose con los mismos privilegios elevados y puede resultar en la codificación de los datos de toda la organización (incluyendo copias de seguridad).

 

PREVENCIÓN MULTICAPA CON INTEL SECURITY

wd5

 

Prevenir Contacto Inicial

El principal medio de propagación de Ransomware es a través de correo electrónico, el usuario recibe un correo con un archivo adjunto que al ser ejecutado por el usuario gatilla el proceso de cifrado.

La primera medida para reducir los riesgos de infección ante este tipo de amenazas es concientizar a los usuarios a que no abran correos ni archivos adjuntos en estos provenientes de cuentas de correos desconocidas.

Contar con filtros anti spam el cual monitorea todo el tráfico entrante y filtra la salida de correos con links y archivos adjuntos potencialmente inseguros.

Generalmente sobre el 85% del tráfico de correo en las grandes empresas corresponde a Spam, un buen dominio de las plataformas de AntiSpam y las configuraciones adecuadas podría bloquear hasta un 99,9% de Spam recibidos.

 

Prevenir Descargas

intel securityEn caso de que la plataforma AntiSpam no sea capaz de contener un correo con archivos maliciosos adjuntos, el usuario ejecuta el archivo adjunto y Ransomware comienza si ejecución estableciendo comunicación hacia los servidores del atacante en este punto entra en juego la siguiente capa de protección, usando algún filtro de contenidos como Global Threat Intelligence (GTI) y Threat Intelligence Exchange (TIE) quienes son capaces de detectar el trafico establecido por el malware, terminando y bloqueando la conexión o comunicación con el Comando y control.

Ahora además se encuentra disponible Endpoint 10 que cuenta con 2 herramientas: Dynamic Application Conteiment y Real Protect (Static y Dynamic) que trabaja como un Sandbox local.

 

Prevenir la Ejecución del Malware

 

Si la capa de prevención anterior no fue capaz de bloquear la comunicación establecida entre el equipo comprometido y el servidor del atacante, el malware comenzara su ejecución, es en este caso cuando la plataforma Endpoint (McAfee VirusScan Enterprise o Endpoint Security) pueden detener la ejecución del código malicioso, usando funciones como “Escaneo en Acceso”, “Prevención de Ejecución” y “Detección de Anomalías”.

Detectar y Prevenir Archivos Encriptados

McAfee es capaz de monitorear y detectar cambios en el sistema de archivos y llaves de registro, ya sean estos, creación, ejecución y modificación de archivos y generar un evento, esto nos permite prevenir la infección completa de la maquina.

File Integrity monitoring puede utilizarse para detectar cambios maliciosos en los archivos del sistema y en el registro. La monitorización de integridad de archivos se puede utilizar para detectar una actividad de creación / modificación de archivos de masa y de cambio de nombre de archivo y generar una alarma. La función de supervisión de contenido mantiene pistas de cambios en el contenido del archivo y puede ayudar a recuperar archivos críticos.

Protección de bases de datos

McAfee Database Security Product se sitúa frente a la base de datos y escanea todos los comandos de tráfico y base de datos y protege contra las sentencias SQL ofuscadas. Puede proteger una base de datos sin parche contra una vulnerabilidad conocida, una característica conocida como parcheo virtual.

Como ejemplo, la instrucción SQL a continuación es utilizada por los atacantes para verificar la autenticación pero no extrae los datos para evitar la detección.

 

Fuentes:
Symantec Internet Security Threat Report 2015
SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks
Kaspersky Labs: Desarrollo de las amenazas informáticas en el tercer trimestre de 2016. Estadística
https://securelist.lat/analysis/informes-trimestrales-sobre-malware/84164/it-threat-evolution-q3-2016-statistics/

Ransomware – Cómo recuperar los datos sin pagar el rescate

En la actualidad las posibilidad de recuperar los datos encriptados por ransomware con bajas. Suele ser muy difícil encontrar un algoritmo de descifrado universal para el ransomware moderno. Por eso, normalmente lo único que la víctima puede hacer es pagar el rescate. Según estadísticas de Kaspersky Labs 36% de las personas que pagan el rescate no recuperan sus archivos y es por esto que no recomendamos hacerlo a menos que sea el último recurso, asumiendo el riesgo.

 

1. Recuperar el archivo de copia de seguridad

La manera más eficiente y efectiva de recuperar los datos es restaurar archivos de datos desde una copia de seguridad. En la mayoría de los entornos corporativos los archivos se respaldan regularmente para que la recuperación no sea un problema. Normalmente se realiza una copia de seguridad para las unidades compartidas y asignadas. Los datos de escritorio del usuario raramente se guardan.

Los usuarios deben hacer una copia de seguridad de los archivos en una unidad de red o unidad USB y desconectarlo después de la copia de seguridad. Casi todos los ransomwares cifran las unidades de red.

 

2. Utilice los servicios integrados de control de versiones de archivos como Windows Volume Shadow Copy

Windows Volume Shadow Copy se puede activar en cualquier unidad. Mantiene el historial de versiones de todos los archivos de la unidad y hace posible volver a la línea de tiempo. Sin embargo, los ransomwares más recientes intentan eliminar todas las copias de la sombra usando un comando de Windows

“C: \ Windows \ Sysnative \ vssadmin.exe” Eliminar sombras / todo / silencioso “

Es un hecho interesante que la función de copia de instantáneas de volumen también es utilizada por malware para almacenar un código malicioso y sobrescribirlo con contenido inocente para evadir el análisis antivirus incluso con una firma actualizada. Este código malicioso se recupera y ejecuta posteriormente cuando es necesario.

 

3. Recuperar los datos más críticos utilizando técnicas forenses

Cuando se abre un archivo para su edición, casi todas las aplicaciones crean una copia temporal del archivo original. Todos los cambios se realizan en el archivo temporal que sobrescribe el archivo original cuando se guarda. Así es como Microsoft Office recupera archivos si la aplicación se cierra abruptamente. Una vez que un usuario sale de la aplicación, el archivo temporal se elimina. En Windows, eliminar un archivo significa eliminar el puntero del archivo (no del contenido) en el sistema de archivos NTFS / FAT / EFS. Este espacio se marca entonces como libre y disponible para sobrescribir. Utilizando las técnicas forenses avanzadas, es posible recoger el espacio libre en el disco para obtener información útil. Cuanto más tiempo se utilice el sistema después de un ataque, mayor será el riesgo de sobrescribir los archivos originales.

Por ejemplo, durante el proceso de cifrado, Cryptolocker 2.0 crea un nuevo archivo .encrypt. Lee el contenido del archivo original y lo guarda en la memoria, luego encripta el contenido y escribe el contenido cifrado en el archivo ‘.Encrypt’ – después de lo cual se eliminan los archivos originales.

 

Se espera que la versión más reciente de ransomware utilice programas incorporados de Windows para eliminar permanentemente los datos. Por ejemplo, en ventanas, una herramienta integrada diseñada para cifrar y descifrar datos también puede emplearse para eliminar permanentemente el contenido mediante el comando “cipher / w c: \ backup.txt”.

Un comando similar en Unix (dependiendo de la distribución) es “srm” o “rm – p” que se puede utilizar para borrar un archivo a un estado irrecuperable.

Eliminar de forma segura un archivo lleva más tiempo que crearlo. Normalmente, los hackers estudian el patrón de uso del objetivo y realizan un proceso de eliminación de cifrado / seguro cuando el sistema no está en uso.

 

4. Encontrar fallas en la implementación del cifrado

La mayoría de los ataques contra el cifrado son exitosos debido a defectos de programación o arquitectura en la rutina de cifrado, como el uso de una semilla repetitiva, predecible o información errónea sobre la fuerza de las rutinas criptográficas, etc.

Una variante de cryptolocker, Racketeer, que se extendió a través de un falso correo electrónico de Energy Australia, usó un proceso defectuoso de generar un par de claves RSA en la máquina de una víctima, que luego se resquebrajó durante el análisis y la clave privada fue recuperada usando la técnica de fuerza bruta.

En otro caso, el investigador de seguridad Fakebit (fakebit.com) descubrió un intento fallido de falsificar el criptorrector bien diseñado. Esta variante decía utilizar RSA de 2048 bits, pero en su lugar utilizaba el Tiny Encryption Algorithm (TEA).

 

5. Aplicación de la ley rastrea a los criminales y se apodera de las claves privadas.

Ransomware es una amenaza constante, y los gobiernos y los proveedores de TI tienen que unir fuerzas para llevar a los criminales a la justicia.

Un notable esfuerzo combinado por parte del sector privado y del gobierno es “Operación Tovar” contra la botnet Gameover Zeus. Gameover Zeus era una red peer to peer de botnet y fue ampliamente utilizado como plataforma de lanzamiento para ataques cryptolocker. En 2014, los funcionarios de la aplicación de ley de los EEUU anunciaron el éxito de la operación Tovar e interceptaron la transferencia de 500.000 llaves privadas. El creador de Gameover Zeus botnet, apodado “lucky12345” fue identificado como un hombre ruso, Evgeniy Bogachev. En febrero de 2015, el FBI anunció una recompensa de $ 3million para cualquier información sobre su paradero.

 

captura-de-pantalla-2016-11-24-a-las-16-07-48

Finalmente la Europol EC3 en conjunto de algunos colaboradores como Intel Security y Kaspersky, ha publicado herramientas para desencriptar archivos afectados por algunos tipos de Ransomware. Puedes revisarlas en: https://www.nomoreransom.org 

Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks
https://www.nomoreransom.org

Anatomía del ataque de Ransomware

1. Selección de una víctima

Hay 2 tipos de ataques:

  • Lanza el ataque a gran escala, normalmente a través de un correo electrónico de phishing a una lista de correo que contiene miles de direcciones de correo electrónico o la víctima visita el sitio web malicioso o comprometido y descarga el ejecutable infectado o una vulnerabilidad en su equipo. Por lo general, una organización insegura con usuarios no entrenados y software del lado del cliente sin revisión puede ser una víctima de un ataque de conducción de guerra.
  • En ataques dirigidos, el atacante selecciona un conjunto de objetivos. Recientemente, nos encontramos con un ataque de este tipo. Cuando los atacantes se dieron cuenta de que los productos de McAfee se están utilizando ampliamente en la empresa, enviaron un correo electrónico de phishing para que un empleado entrara en una sesión de chat utilizando un conocido proveedor de acceso de soporte remoto. Una vez que la víctima es atraída a la sesión de chat, el hacker instala el malware / ransomware en el servidor AV (Anti-Virus), neutralizando así una defensa crítica. A continuación, utilizando el servidor ePO de McAfee como máquina de ensayo, encripte cada recurso accesible de la organización.

 

2. Cómo obtener la carga útil en el ordenador de la víctima

Hay muchas maneras de soltar un ransomware, y un ataque de correo electrónico de phishing es el más popular. Por ejemplo, en la notificación de infracción de tráfico de la figura 6, tanto los enlaces FACTURA como VIEW CAMERA IMAGES le redirigen al sitio web del atacante para descargar e instalar el paquete de ransomware.

 

infografia_ataque

Figura 3 Anatonía del ataque de Ransomware. Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks

 

3. Contactar con Command and Control

El primer paso después de la instalación de ransomware es ponerse en contacto con el servidor de comando y control (C & C) para obtener más instrucciones o clave de cifrado. La mayoría del software antivirus bloquea el malware evitando su ejecución en primera instancia si tiene una firma de detección conocida. AV, IPS (Intrusion Prevent System) y Firewalls mantienen una lista de proxies maliciosos y direcciones IP C & C y así detectan la presencia de malware cuando un programa malicioso intenta comunicarse. Este método no es muy eficiente ya que no es posible construir una lista completa de todos los destinos maliciosos. Además, el servidor C & C puede haber sido eliminado por la policía, y el malware puede quedar como “huérfano”. Así, en lugar de usar un servidor C & C estático, los hackers han comenzado a utilizar una técnica de Algoritmo de Generación de Dominio Dinámico. La última variante de cryptolocker genera una lista de 1200 dominios e intenta conectarlos hasta que se ha realizado una conexión satisfactoria. Este proceso se repite si los C & C conectados se han desconectado. De esta manera, una computadora comprometida puede estar bajo el control de numerosos servidores C & C. Este sistema interconectado de servidores C & C y computadoras comprometidas (bots) se conoce como una botnet.

 

4. Descargar las claves públicas

Un atacante puede decidir usar el sistema infectado como una plataforma de lanzamiento de ransomware para propagar la infección a través de la red. Una vez que el atacante está satisfecho con el número de infecciones en una organización en particular, las claves públicas se entregan a todos los bots.

 

Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks
Kaspersky Labs: Desarrollo de las amenazas informáticas en el tercer trimestre de 2016. Estadística

Cerber: Ransomware que encripta bases de datos

El Ransomware Cerber, es una amenaza que se comercializa en Rusia y la cual tiene un sin número de versiones. La última versión ahora es capaz de además de encriptar los archivos comunes, puede detener los procesos de los software de bases de datos, para encriptar estos archivos.

.

¿QUÉ ES?

Es una amenaza que encripta los archivos de los usuarios, así como las carpetas compartidas a las cuales tiene acceso y los archivos de bases de datos, incluso si un servidor de bases de datos se encuentra mapeado a una carpeta compartida. El objetivo de este actuar es obtener una recompensa económica de la víctima, lo cual no asegura en ningún caso que pueda recuperar sus archivos.

.

cerber-2¿CÓMO OPERA?

Esta amenaza utiliza campañas de spam que se aprovechan de la confianza de los usuarios, fingiendo ser proveedores de servicios de pago y notificando al usuario que ha excedido su línea de crédito. El spam es variado y puede contener un link malicioso para descargar la amenaza o un archivo adjunto .zip que contiene un archivo JavaScript malicioso o incluso ser archivos .doc con Macros maliciosas. Los archivos adjuntos parecen ser detalle de boletas, cartolas de pago, e-tickets, recibos o similares.

..

¿CÓMO PUEDE INFECTARSE?

El usuario puede infectarse hacer clic en el link, o al ejecutar el archivo que se encuentra adjunto el correo.

.

 ¿CÓMO SE DETECTA?

encrypted-files_1 readme-fileEl usuario visualiza que cada uno de sus archivos tiene una extensión diferente, la cual está compuesta de 4 números. A su vez en cada carpeta se visualiza un archivo READ ME, el cual es un .html que al hacer clic indica las instrucciones para realizar el pago.

 .

WIDEFENSE RECOMIENDA

Debido a que estás amenazas buscan perjudicar información sensible de las compañías, es clave realizar respaldos de su información crítica. Así como:

  • Informar a sus usuarios sobre campañas maliciosas relacionadas a problemas con sus cuentas bancarias. No confiar en remitentes desconocidos y ante la duda, reportarlo a sus áreas TI.
  • No abrir archivos adjuntos desconocidos
  • No hacer clic en links de correos que desconoce