Agenda una reunión o demostración en vivo con un representante Widefense

Agendar

Ransomware

Anatomía del ataque de Ransomware

1. Selección de una víctima

Hay 2 tipos de ataques:

  • Lanza el ataque a gran escala, normalmente a través de un correo electrónico de phishing a una lista de correo que contiene miles de direcciones de correo electrónico o la víctima visita el sitio web malicioso o comprometido y descarga el ejecutable infectado o una vulnerabilidad en su equipo. Por lo general, una organización insegura con usuarios no entrenados y software del lado del cliente sin revisión puede ser una víctima de un ataque de conducción de guerra.
  • En ataques dirigidos, el atacante selecciona un conjunto de objetivos. Recientemente, nos encontramos con un ataque de este tipo. Cuando los atacantes se dieron cuenta de que los productos de McAfee se están utilizando ampliamente en la empresa, enviaron un correo electrónico de phishing para que un empleado entrara en una sesión de chat utilizando un conocido proveedor de acceso de soporte remoto. Una vez que la víctima es atraída a la sesión de chat, el hacker instala el malware / ransomware en el servidor AV (Anti-Virus), neutralizando así una defensa crítica. A continuación, utilizando el servidor ePO de McAfee como máquina de ensayo, encripte cada recurso accesible de la organización.

 

2. Cómo obtener la carga útil en el ordenador de la víctima

Hay muchas maneras de soltar un ransomware, y un ataque de correo electrónico de phishing es el más popular. Por ejemplo, en la notificación de infracción de tráfico de la figura 6, tanto los enlaces FACTURA como VIEW CAMERA IMAGES le redirigen al sitio web del atacante para descargar e instalar el paquete de ransomware.

 

infografia_ataque

Figura 3 Anatonía del ataque de Ransomware. Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks

 

3. Contactar con Command and Control

El primer paso después de la instalación de ransomware es ponerse en contacto con el servidor de comando y control (C & C) para obtener más instrucciones o clave de cifrado. La mayoría del software antivirus bloquea el malware evitando su ejecución en primera instancia si tiene una firma de detección conocida. AV, IPS (Intrusion Prevent System) y Firewalls mantienen una lista de proxies maliciosos y direcciones IP C & C y así detectan la presencia de malware cuando un programa malicioso intenta comunicarse. Este método no es muy eficiente ya que no es posible construir una lista completa de todos los destinos maliciosos. Además, el servidor C & C puede haber sido eliminado por la policía, y el malware puede quedar como «huérfano». Así, en lugar de usar un servidor C & C estático, los hackers han comenzado a utilizar una técnica de Algoritmo de Generación de Dominio Dinámico. La última variante de cryptolocker genera una lista de 1200 dominios e intenta conectarlos hasta que se ha realizado una conexión satisfactoria. Este proceso se repite si los C & C conectados se han desconectado. De esta manera, una computadora comprometida puede estar bajo el control de numerosos servidores C & C. Este sistema interconectado de servidores C & C y computadoras comprometidas (bots) se conoce como una botnet.

 

4. Descargar las claves públicas

Un atacante puede decidir usar el sistema infectado como una plataforma de lanzamiento de ransomware para propagar la infección a través de la red. Una vez que el atacante está satisfecho con el número de infecciones en una organización en particular, las claves públicas se entregan a todos los bots.

 

Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks
Kaspersky Labs: Desarrollo de las amenazas informáticas en el tercer trimestre de 2016. Estadística

Cerber: Ransomware que encripta bases de datos

El Ransomware Cerber, es una amenaza que se comercializa en Rusia y la cual tiene un sin número de versiones. La última versión ahora es capaz de además de encriptar los archivos comunes, puede detener los procesos de los software de bases de datos, para encriptar estos archivos.

.

¿QUÉ ES?

Es una amenaza que encripta los archivos de los usuarios, así como las carpetas compartidas a las cuales tiene acceso y los archivos de bases de datos, incluso si un servidor de bases de datos se encuentra mapeado a una carpeta compartida. El objetivo de este actuar es obtener una recompensa económica de la víctima, lo cual no asegura en ningún caso que pueda recuperar sus archivos.

.

cerber-2¿CÓMO OPERA?

Esta amenaza utiliza campañas de spam que se aprovechan de la confianza de los usuarios, fingiendo ser proveedores de servicios de pago y notificando al usuario que ha excedido su línea de crédito. El spam es variado y puede contener un link malicioso para descargar la amenaza o un archivo adjunto .zip que contiene un archivo JavaScript malicioso o incluso ser archivos .doc con Macros maliciosas. Los archivos adjuntos parecen ser detalle de boletas, cartolas de pago, e-tickets, recibos o similares.

..

¿CÓMO PUEDE INFECTARSE?

El usuario puede infectarse hacer clic en el link, o al ejecutar el archivo que se encuentra adjunto el correo.

.

 ¿CÓMO SE DETECTA?

encrypted-files_1 readme-fileEl usuario visualiza que cada uno de sus archivos tiene una extensión diferente, la cual está compuesta de 4 números. A su vez en cada carpeta se visualiza un archivo READ ME, el cual es un .html que al hacer clic indica las instrucciones para realizar el pago.

 .

WIDEFENSE RECOMIENDA

Debido a que estás amenazas buscan perjudicar información sensible de las compañías, es clave realizar respaldos de su información crítica. Así como:

  • Informar a sus usuarios sobre campañas maliciosas relacionadas a problemas con sus cuentas bancarias. No confiar en remitentes desconocidos y ante la duda, reportarlo a sus áreas TI.
  • No abrir archivos adjuntos desconocidos
  • No hacer clic en links de correos que desconoce

 

La historia detrás de la ciberextorsión «Ransomware»

Un poco de historia del Ransomware:

Hoy la amenza de “Ransomware”, está en boca de todos, dado que ya muchas instituciones han tenido ataques y sufrido con el secuestro de información, pero la verdad es que los primeros incidentes se conocen a partir de 1989.

En el año 2000 se conoció “Gpcode”, que tenía la capacidad de cifrar archivos con algoritmos propios de encriptación. Luego de que se identificara este malware se conocieron otras variantes como Krotten y Crypzip, entre otros. La verdad es que en esos momentos no se pensó que estos ataques se convertirían en epidemias como lo que está pasando hoy.

Inclusive en Septiembre 30 del 2008, Techworld publicó:

A pesar de su temible reputación, la amenaza de “ransomware” es todavía, por suerte, un fenómeno raro.

Hay varias teorías de por qué estos son casos raros:

  • Complejidad del software
  • La dificultad de establecer un canal seguro a través del cual se puedan recibir los pagos de los rescate de las víctimas.
  • Existen otro tipo de malware más fáciles de utilizar y más rentables para los criminales.”

Qué es el Ransomware

El ransomware es un tipo de código malicioso (malware) que tras infectar un equipo, secuestra la información para extorsionar a las víctimas, solicitando el pago de sumas de dinero (Ej: Bitcoins) para restaurar la operatividad de los datos privados de la víctima.

Los delincuentes amenazan con actuar contra la información ya secuestrada en la medida que pasa el tiempo desde el ataque. En este proceso y para ejercer más presión, el malware en forma automática y dirigido por centros de comando y control externo, empiezan a eliminar información de la víctima.

 

slice-6

El proceso de infección por lo general se compone de dos etapas. La primera requiere que la víctima tome una acción, como por ejemplo de intentar abrir un archivo desconocido el cual por lo general se ejcutará sin llamar la atención, y posteriormente este archivo (malware) accederá al sitio del atacante, desde donde será instalado el “ransomware”que en definitiva cifrará la información. Posteriormente los datos de la víctima serán encriptados utilizando procedimientos criptográficos, que en algunos casos pueden modificar los archivos de manera irrecuperable. El proceso de cifrado generará dos claves (pública y privada), y el atacante ofrece enviar una llave a cambio del pago.

 

 

Malware con proceso de cifrados. ¿Por qué duele tanto?

La estrategia de cifrado de archivos basa su eficiencia, en que el valor de la información para el usuario (Persona/Empresa) es único, es su activo más valioso y solo pueden volver a tenerlos si cuentan con respaldos y/o pagando el rescate. Esto ha dado mucho poder a los delincuentes que piden grandes cifras de dinero y la alternativa del Bitcoins que se hizo popular entre los ciberdelincuentes les facilita su accionar dado que rastrear una transacción sigue siendo muy difícil.

 

Los Ransomware más comunes:

  • Cifran archivos de equipos personales y servidores
  • Keranger, PayCrypt, Job Cryptor, LockyMagic, entre otros.
  • Bloquean Pantallas de ingreso a los equipos (Método menos usado, antiguo)
  • Cifran y secuestran dispositivos móviles (Aumentando)

Cómo llega el ransomware a los usuarios:

  • Propagación por correos electrónicos dirigidos o Spam
  • Páginas WEB infectadas (El usuario no se da cuenta)
  • Conexión de dispositivos periféricos (USB)

Qué pasa en Chile Según los Laboratorios de Kaspersky (informe de marzo de 2016)

“En lo referente a América Latina, los países más afectados, clasificados según la penetración del ransomware, son: Brasil, Costa Rica, Chile, Argentina y Colombia. Principalmente, los analistas de software, culpan de esto a la piratería del sistema operativo. ¿Por qué? Debido a que así se podría contar con un software original y actualizado lo que podría entregar seguridad fiable y de varias capas que puede detener el cryptomalware.”

Ransomware as a Service (RAAS)

El número de infecciones ransomware se ha incrementado en el último tiempo, esto podría deberse en parte al modelo de “negocio-como-un-servicio ransomware” (RAAS). Esta estrategia particular ha demostrado ser muy lucrativa para los cibercriminales, permitiendo que los creadores de este tipo de malware estén reclutando a redes de distribuidores de su código. El esquema funciona debido al tipo de malware que se puede vender y que se puede extender a varios distribuidores y el creador puede conseguir un beneficio real. Los distribuidores no necesitan mucho capital o de altos conocimientos técnicos para comenzar; incluso los que no tienen experiencia de codificación pueden poner en marcha una campaña de “ransomware” sin mayor experiencia.

Como se activa y actúa el ransomware: Se debe ejecutar el archivo infectado (usualmente recibido por email) El malware baja el resto del código malicioso desde el servidor del atacante El Malware identifica los archivos a cifrar Elementos de Office Imágenes entre otros Correos electrónicos Inicia el proceso de cifrado de datos, hoy comúnmente utilizando 2048 bits El Malware notifica a la víctima de la situación y pide el rescate. El delincuente espera por el pago, en medios poco rastreable, para entregar clave Posible envío de clave de desbloqueo desde el delincuente. No hay seguridad de recuperar la información

Algunas Recomendaciones

 

  • Tenga siempre respaldo de sus archivos importantes-
  • Compruebe regularmente que su copia de respaldo funciona.
  • Desconfíe de los correos de los cibercriminales. Los tres clics son letales. No confíe en nadie. Inclusive sus amigos pueden estar infectados y podrían enviarle mensajes comprometidos.
  • Verifique las extensiones de los archivos. Los delincuentes usan para infectar (EXE, VBS, SCR, PDF, entre otros).
  • Mantenga actualizado su sistema operativo (Windows o Mac) y el sistema de antivirus lo más regularmente que pueda. Esto puede mantenerlo bastante protegido del “ransomware”.
  • Existen herramientas que previenen que este malware tome el control de sus datos, contacte a su proveedor para anticiparse a este problema.

 

Elaborado por: Cristian Fuentes – Senior Security Advisor Widefense

MarsJoke: el cifrador y la solución de Kaspersky

A diario, aparecen nuevas versiones y variaciones de ransomware. Los creadores de malware siguen creyendo que el ransomware es la mejor forma de enriquecerse, a pesar de que los organismos policiales cada vez prestan más atención al problema.

De hecho, existen muchísimas versiones y los creadores de ransomware han empezado a repetirse o copiar el trabajo de otro. Por ejemplo, el recién descubierto troyano Trojan-cryptor Polyglot, conocido como MarsJoke, es una imitación del infame ransomware CTB-Locker.

Se pueden ver rastros de CTB-Locker por todo Polyglot. Su interfaz es absurdamente parecida a la del antiguo troyano. Cambia el fondo de pantalla de la víctima del mismo modo y, al igual que CTB-Locker, permite a la víctima desbloquear cinco archivos como prueba de que se pueden descifrar.

Las instrucciones de Polyglot para la víctima también son idénticas a las de CTB-Locker (parece que han copiado y pegado el texto). Incluso la ventana de “petición fallida” que aparece si no hay conexión a Internet es la misma.

polyglot-comparison-screen

El algoritmo de cifrado que utiliza Polyglot también es el mismo (y son muy fuertes). Polyglot se distribuye mediante correo no deseado con enlaces maliciosos que supuestamente llevan a documentos importantes. Por supuesto, no hay documentos, tan solo un archivo malicioso ejecutable. Una vez instalado, Polyglot se conecta con su servidor de mando y control, envía información sobre el PC infectado y fija el rescate.

Quizá la única discrepancia visual entre CTB-Locker y su nuevo clon sea que MarsJoke/Polyglot deja los archivos cifrados con su extensión original, mientra que CTB-Locker la cambiaba (normalmente a .ctbl o a .ctb2).

A pesar de las aparentes similitudes entre Polyglot y CTB-Locker, son dos tipos de malwarediferentes. Casi no comparten código. Nuestros expertos creen que al imitar la apariencia de CTB-Locker, los creadores de Polyglot intentaban despistar a los investigadores.

polyglot-comparison-screen2

Como ya sabrás, no hay forma conocida de descifrar los archivos que CTB-Locker ha cifrado sin pegar el rescate. Pero, de nuevo, Polyglot y CTB-Locker no son del todo iguales. Y, por fortuna, los creadores de Polyglot cometieron un error con el generador de claves que posibilitó que los investigadores de Kaspersky Lab crearan una solución (una utilidad gratuita que puede descifrar todos los archivos dañados).

Para descifrar los archivos que Polyglot/MarsJoke ha cifrado, descarga e instala la utilidad gratuita RannohDecryptor (versión 1.9.3.0 o posterior) desde noransom.kaspersky.com. Recuperará tus archivos.

La verdad es que tenemos suerte con Polyglot/MarsJoke. Los creadores de malware están constantemente adaptando y mejorando sus creaciones. Por ejemplo, después de que solucionáramos en tres ocasiones lo de CryptXXX, al final su creador mejoró tanto su algoritmo de cifrado que nuestras utilidades no pueden con él. Quizá el creador de Polyglot llegue a hacer lo mismo. Conclusión: no se puede confiar en que una utilidad de descifrado esté disponible para cualquier ransomware que te encuentres.

Fuente: https://blog.kaspersky.es/polyglot-decryptor/9217/

Enfrentando el Ransomware

Las nuevas versiones de ramsonware han incrementado su complejidad y ha creado una red más robusta para su operación y segura para el anonimato, han cambiado el medio de cobro a bitcoins y utilizan principalmente la red TOR para comunicarse y descargar la amenaza.

Hasta el año 2014, el objetivo eran personas, después de Criptolocker, la nueva tecnología conocida cómo CTB-Locker se movió a los almacenamientos virtuales, los sistemas de almacenamiento en red (NAS) y utiliza redes TOR.  La complejidad para su detección ha aumentado, utilizan técnicas de evasión avanzada y han elevado su efectividad para desencriptar.  En los últimos 9 meses el aumento de actividad ha sido exponencial y se ha convertido en un negocio altamente rentable, que cuenta con modelos definidos de asociación, distribución y rentabilidad totalmente articulados.

Los nuevos Ramsonware evitan ser detectados y atacan vulnerabilidades (similar a un gusano), necesita ser activado por el usuario (similar a un troyano) y se propaga por web y correo (técnicas de Phishing).  Tienen una alta capacidad de adaptar el mensaje, el idioma e incluso pueden personalizarse con temas locales de actualidad.

El factor común entre la antigua y la nueva versión de la amenaza sigue siendo el usuario, su bajo conocimiento del tema y su poca preocupación por combatir las amenazas lo convierten en el eslabón más débil en la cadena de seguridad.  Las últimas versiones se han movido a androide (cada vez más personal).

¿Qué podemos hacer?

Para elevar la protección contra esta amenaza es necesario integrar al usuario final y adoptar medidas de protección integral, algunas recomendaciones incluyen:

Formación de usuarios para elevar su estado de alerta (Awareness): La mayoría de los ataques de ransomware comienzan con correos electrónicos de phishing, la sensibilización de los usuarios es muy importante y necesaria. Por cada diez correos electrónicos enviados por los atacantes, al menos uno será exitoso.

Recopilar todos los eventos de seguridad: contar con un sistema de registro y análisis de eventos e incidentes de seguridad, permite aprender, reaccionar más rápido y tomar acciones preventivas y correctivas que lleven a una mejora continua.

Mantener actualizados los sistema (parches al día): Las nuevas versiones de ransomware explotan vulnerabilidades. Es fundamental mantener al día los parches de los sistemas operativos, Java, Adobe Reader, Flash y aplicaciones. Lo ideal es tener un procedimiento análisis de vulnerabilidad y remediación, adicionalmente se debe verificar que los parches se aplicaron con éxito.

Cuidado al abrir archivos adjuntos: Escanear con antivirus automáticamente todos los email y mensajes instantáneos adjuntos. Definir y fomentar el uso correo electrónico seguro, evitar que abran automáticamente adjuntos, ni los elementos gráficos y asegurar que el panel de vista previa este desactivado. Nunca abra correos electrónicos no solicitados o inesperados y menos archivos adjuntos.

Tener cuidado con los esquemas de phishing basados en spam: no haga clic en enlaces en correos electrónicos o mensajes instantáneos.

LAS INFECCIONES POR CRYPTOLOCKER NO SE DETIENEN

En efecto, y de acuerdo a un informe de McAfee Labs, se trata de los ataques basados en firmware, casos de ransomware y los exploits para Adobe Flash, los cuales se han incrementado en los últimos meses.

 

Kenneth Daniels, gerente general para Chile y Centroamérica de Widefense, explica que los primeros están relacionados con un malware muy sofisticado que está vinculado a los hackers de “Equation Group” y que afecta al firmware de los discos duros y de las unidades físicas.  “De hecho, este programa malintencionado hace que los sistemas comprometidos sigan infectados aunque se reformatee la unidad de disco o se reinstale el sistema operativo. Asimismo, tanto el firmware reprogramado como el malware asociado resultan difíciles de detectar para el software de seguridad”.

 

En relación a los casos de ransomware, el ejecutivo comenta que estos han experimentado un importante crecimiento en el último tiempo sobre todo por la aparición de una nueva familia llamada CTB-Locker.  “Este nuevo tipo de ransomware se distribuye de variadas maneras: redes P2P, protocolo IRC (Internet, Relay Chat), spam por correo electrónico y publicaciones de grupos de noticias, entre otras. Asimismo, y para eludir los productos de seguridad, el downloader se oculta en un archivo .zip que contiene, a su vez, otro archivo .zip que, finalmente, se descomprime en un archivo de protector de pantalla”, destaca Daniels.

 

 

Respecto a la tercera amenaza informática, el gerente general de Widefense manifiesta que los ciberdelincuentes, por lo general, miran a Adobe Flash como una excelente superficie para cometer sus acciones.  “Puede instalarse en varias plataformas, existe una gran cantidad de vulnerabilidades conocidas  sin parche y los exploits son, generalmente, difíciles de detectar. De hecho, los exploits para Adobe Flash crecieron en más de 300% el último trimestre”, sostuvo.

Enfrentando el Ransomware

Las nuevas versiones de ramsonware han incrementado su complejidad y ha creado una red más robusta para su operación y segura para el anonimato, han cambiado el medio de cobro a bitcoins y utilizan principalmente la red TOR para comunicarse y descargar la amenaza.

Hasta el año 2014, el objetivo eran personas, después de Criptolocker, la nueva tecnología conocida cómo CTB-Locker se movió a los almacenamientos virtuales, los sistemas de almacenamiento en red (NAS) y utiliza redes TOR.  La complejidad para su detección ha aumentado, utilizan técnicas de evasión avanzada y han elevado su efectividad para desencriptar.  En los últimos 9 meses el aumento de actividad ha sido exponencial y se ha convertido en un negocio altamente rentable, que cuenta con modelos definidos de asociación, distribución y rentabilidad totalmente articulados.

Los nuevos Ramsonware evitan ser detectados y atacan vulnerabilidades (similar a un gusano), necesita ser activado por el usuario (similar a un troyano) y se propaga por web y correo (técnicas de Phishing).  Tienen una alta capacidad de adaptar el mensaje, el idioma e incluso pueden personalizarse con temas locales de actualidad.

El factor común entre la antigua y la nueva versión de la amenaza sigue siendo el usuario, su bajo conocimiento del tema y su poca preocupación por combatir las amenazas lo convierten en el eslabón más débil en la cadena de seguridad.  Las últimas versiones se han movido a androide (cada vez más personal).

 

¿Qué podemos hacer?

Para elevar la protección contra esta amenaza es necesario integrar al usuario final y adoptar medidas de protección integral, algunas recomendaciones incluyen:

Formación de usuarios para elevar su estado de alerta (Awareness): La mayoría de los ataques de ransomware comienzan con correos electrónicos de phishing, la sensibilización de los usuarios es muy importante y necesaria. Por cada diez correos electrónicos enviados por los atacantes, al menos uno será exitoso.

Recopilar todos los eventos de seguridad: contar con un sistema de registro y análisis de eventos e incidentes de seguridad, permite aprender, reaccionar más rápido y tomar acciones preventivas y correctivas que lleven a una mejora continua.

Mantener actualizados los sistema (parches al día): Las nuevas versiones de ransomware explotan vulnerabilidades. Es fundamental mantener al día los parches de los sistemas operativos, Java, Adobe Reader, Flash y aplicaciones. Lo ideal es tener un procedimiento análisis de vulnerabilidad y remediación, adicionalmente se debe verificar que los parches se aplicaron con éxito.

Cuidado al abrir archivos adjuntos: Escanear con antivirus automáticamente todos los email y mensajes instantáneos adjuntos. Definir y fomentar el uso correo electrónico seguro, evitar que abran automáticamente adjuntos, ni los elementos gráficos y asegurar que el panel de vista previa este desactivado. Nunca abra correos electrónicos no solicitados o inesperados y menos archivos adjuntos.

Tener cuidado con los esquemas de phishing basados en spam: no haga clic en enlaces en correos electrónicos o mensajes instantáneos.

Lo que hay que conocer acerca de las infecciones por Cryptolocker

Un llamado a estar alertas y tomar las medidas necesarias para prevenir las consecuencias negativas de tres peligrosas amenazas informáticas realizó Widefense, a organizaciones y personas.

 

En efecto, y de acuerdo a un informe de McAfee Labs, se trata de los ataques basados en firmware, casos de ransomware y los exploits para Adobe Flash, los cuales se han incrementado en los últimos meses.

 

Kenneth Daniels, gerente general para Chile y Centroamérica de Widefense, explica que los primeros están relacionados con un malware muy sofisticado que está vinculado a los hackers de “Equation Group” y que afecta al firmware de los discos duros y de las unidades físicas.

“De hecho, este programa malintencionado hace que los sistemas comprometidos sigan infectados aunque se reformatee la unidad de disco o se reinstale el sistema operativo. Asimismo, tanto el firmware reprogramado como el malware asociado resultan difíciles de detectar para el software de seguridad”.

 

En relación a los casos de ransomware, el ejecutivo comenta que estos han experimentado un importante crecimiento en el último tiempo sobre todo por la aparición de una nueva familia llamada CTB-Locker.

“Este nuevo tipo de ransomware se distribuye de variadas maneras: redes P2P, protocolo IRC (Internet, Relay Chat), spam por correo electrónico y publicaciones de grupos de noticias, entre otras. Asimismo, y para eludir los productos de seguridad, el downloader se oculta en un archivo .zip que contiene, a su vez, otro archivo .zip que, finalmente, se descomprime en un archivo de protector de pantalla”, destaca Daniels.

 

Respecto a la tercera amenaza informática, el gerente general de Widefense manifiesta que los ciberdelincuentes, por lo general, miran a Adobe Flash como una excelente superficie para cometer sus acciones.

“Puede instalarse en varias plataformas, existe una gran cantidad de vulnerabilidades conocidas  sin parche y los exploits son, generalmente, difíciles de detectar. De hecho, los exploits para Adobe Flash crecieron en más de 300% el último trimestre”, sostuvo.