FacebookXLinkedInWhatsAppInstagram

Ransomware como servicio

marzo 6, 2017|

Ransomware como servicio

Dado el éxito de ransomware, no es de extrañar que los autores de malware continúen desarrollando más ransomware que nunca.

El año pasado, el costo de los ataques de ransomware fue aproximadamente de mil millones de dólares. Lo cual, muestra que para los ciberdelincuentes este tipo de ataques puede ser muy lucrativo.

De acuerdo con información proporcionada por Fortinet, el aumento de estos ataques también se atribuye a la creciente disponibilidad del Ransomware-as-a-Service (RaaS, Ransomware como Servicio).

Sus desarrolladores hacen publicaciones en foros para promover su malware. Con la posibilidad de ganar dinero a través de la extorsión cibernética sin necesidad de contar con la experiencia para crear su propio malware.

A continuación algunos ejemplos de dichas publicaciones:

HOSTMAN Ransomware

Precio: USD 9.95 (uso limitado), USD 49.95 (uso ilimitado).

Publicación del mes de enero, seafirma que además de la encriptación de archivos, también cuenta con capacidades de gusano. Resultando en un número mayor de usuarios infectados.

FLUX Ransomware

Precio: USD 45.00, Código fuente – USD 150.00

Este anuncio de ransomware publicado en enero, incluye una característica de cifrado de archivos sin conexión, que vuelve más difícil identificar actividad maliciosa en la red. El inconveniente, sin embargo, es que las víctimas infectadas con FLUX Ransomware podrían llegar a usar el mismo descifrador privado para recuperar la información.

Como muchos de los anuncios de RaaS, FLUX también incluye la advertencia “solo para uso educativo”, pero incluye un informe de productos antivirus que no logran detectarlo, lo que implica que está destinado a ser distribuido y utilizado.

Red de afiliados

Precio: Gratis

Beneficios: 25% para el desarrollador del ransomware y 75% para el afiliado.

Más de 100,000 instalaciones por mes: 15% para el autor del ransomware y 85% para el afiliado.

Este ransomware se ofrece de forma gratuita, pero proporciona el pago por comisión.

El anuncio se presenta con una afirmación directa: “somos codificadores, no spammers“. Buscan afiliados con experiencia en propagación de malware.

Soporta varios idiomas, incluyendo ruso, inglés, alemán y chino. Este ransomware proporciona incentivos para aquellos que logran más de 100,000 instalaciones en un mes.

La creciente accesibilidad del RaaS (Ransomware-as-a-Service) permite a cualquiera operar dentro del negocio del cibercrimen.

Para abordar el reto de seguridad que esto supone, las soluciones necesitarán responder de manera eficiente en cualquier entorno. Especialmente a medida que su entorno de red evoluciona y se expande.

En Adaptix Networks recomendamos las soluciones de seguridad Fortinet, cuyo equipo de trabajo monitorea permanentemente los desarrollos en materia de ransomware.

Le invitamos a ponerse en contacto con nosotros para proveerle más información al respecto.

Predicciones de ciberseguridad 2017, Fortinet

diciembre 15, 2016|

Predicciones de ciberseguridad 2017, Fortinet

Los investigadores de Fortinet, empresa de soluciones en ciberseguridad, anticipan las tendencias en cibercriminalidad que impactarán la economía digital mundial.

  • Ataques cada vez más inteligentes y automatizados. Malware con habilidades adaptables ‘simulando ser una persona’.
  • Los consumidores podrían dejar de comprar productos conectados a Internet por miedo y desconfianza. Llamado a la creación y aplicación de estándares de seguridad por parte de consumidores, proveedores y otros grupos de interés.
  • Los criminales cibernéticos aprovecharán los cerca de 20 mil millones de dispositivos conectados a Internet para atacar a los clientes. Consiguiendo con ello, penetrar la Nube de los proveedores.
  • Hackers volcarán sus esfuerzos hacia las ciudades inteligentes, los edificios automatizados y sus sistemas de administración. Riesgo de una enorme perturbación civil, si los sistemas integrados se ven comprometidos.
  • Ataques dirigidos contra objetivos específicos de alto perfil como celebridades, figuras públicas y grandes organizaciones. La economía de escala generará un mayor costo-beneficio, estafas con pequeñas cantidades de dinero pero a un gran número de víctimas. Ataques ransomware se llevarán a cabo, principalmente a través de dispositivos IoT.
  • La escasez actual de profesionales con habilidades en ciberseguridad pondrá en riesgo la economía digital mundial. Muchas empresas no contarán con la experiencia o el entrenamiento necesarios para desarrollar políticas de seguridad, proteger sus recursos importantes o responder a los ataques sofisticados.

En Adaptix Networks destacamos la importancia de implementar soluciones de seguridad integrales para disminuir de manera importante el riesgo de sufrir algún ataque.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a la implementación de soluciones Fortinet.

Ransomware metro San Francisco

diciembre 1, 2016|

Ransomware metro San Francisco

La agencia de transporte de San Francisco fue víctima de un ataque por ransomware. Ocasionando que sus pasajeros pudieran viajar sin pagar.

Las computadoras de la red de transporte fueron inhabilitadas con pantallas que exhibían un mensaje de los atacantes:

“Hacked, ALL Data Encrypted. Contact For Key (cryptom27@yandex.com) ID: 681, Enter”.

Como medida de precaución, el personal decidió apagar todas las máquinas que realizan la venta de entradas de la red de transporte, San Francisco Municipal Transportation Agency conocida como MUNI.

Los atacantes pidieron un rescate por 100 Bitcoin, que asciende a unos 70,000 dólares.

El sitio de noticias Hoodline de San Francisco, informó que los atacantes proporcionaron un listado de las máquinas infectadas en la red. El total superaba las 2,000 e incluía los equipos utilizados para procesar la nómina e información personal de los empleados.

Se ha identificado que este ataque se realizó con una nueva variante del malware Mamba.

Este ransomware no cuenta con grandes técnicas de cifrado o anti-sandbox. Tampoco cuenta con mecanismos antidepuración como en el caso de otros ransomware considerados de mayor peligro.

Sin embargo, la eficacia de un ataque depende en gran medida de la manera en que logra introducirse en los sistemas. Sin importar cuán peligroso, simple o complicada sean las técnicas utilizadas.

Cada vez se han hecho más frecuentes los ataques que utilizan algún crypto-malwareransomware. Es importante proteger los sistemas empresariales con soluciones de tipo corporativo que faciliten su administración e incluyan las herramientas necesarias para su monitoreo y control por parte del equipo de TI.

Este ransomware ya se había identificado dos meses antes de registrarse el ataque a MUNI. Habría sido detectado fácilmente por las herramientas de seguridad adecuadas. Evitando así todos los inconvenientes que se presentaron.

Pago de rescate por ransomware

noviembre 3, 2016|

Pago de rescate por ransomware

A menudo, cuando se habla de ransomware, se recomienda que las víctimas no paguen el rescate. Ya que al realizar el pago, se anima a los creadores de malware a continuar su negocio.

Es la ley de la oferta y la demanda: si paga más gente, aumentará el volumen de mercado que conducirá a la creación de más malware.

Sin embargo, siempre será una decisión complicada para una empresa por la naturaleza de la información en cuestión: registros financieros, historiales médicos, datos personales de clientes o trabajadores, entre muchos otros…

Tampoco se debe olvidar que pagar el rescate no garantiza la recuperación de los archivos. Un estudio reciente de Kaspersky Lab confirma que el 20% de los usuarios que pagaron el rescate, nunca recuperaron sus archivos.

La empresa hace algunas recomendaciones para proteger su información o tratar de recuperarla en caso de haber sido víctima de un ataque:

  1. Realizar copias de seguridad regulares.
  2. Utilizar una solución de seguridad.
  3. Si se utiliza una de las soluciones de seguridad Kaspersky, activar la característica System Watcher, especialmente diseñada para la detección de ransomware.
  4. Si es víctima de algún ransomware, ingrese al sitio web www.nomoreransom.org. En el que se encuentran disponibles algunas herramientas para descifrar archivos.

Fantom finge ser Windows Update

septiembre 5, 2016|

Fantom finge ser Windows Update

Se recomienda actualizar de manera regular, el sistema operativo y programas para evitar que el malware utilice sus vulnerabilidades.

Sin embargo, un ransomware llamado Fantom aprovecha dicha recomendación para realizar sus ataques. Según la información revelada por AVG.

Dicho ransomware finge ser una actualización crítica de Windows Update. Al ponerse en marcha, ejecuta dos programas: un cifrador y otro con el nombre WindowsUpdate.exe.

El último simula una ventana de Windows Update para informar que el sistema operativo está siendo actualizado.

Mientras Fantom cifra en segundo plano los archivos del equipo, el mensaje en pantalla indica el progreso de la “actualización”.

Este truco está diseñado para desviar la atención de las víctimas y que no sospechen de la actividad en sus equipos de cómputo.

Una vez que concluye el proceso de cifrado, Fantom eliminará sus archivos ejecutables y dejará una nota de rescate en .html en cada carpeta. Además, reemplazará el fondo de pantalla con la notificación.

Los atacantes incluyen una dirección de correo electrónico para que la víctima pueda comunicarse y recibir sus instrucciones.

Aún no existe manera de descifrar los archivos sin pagar el rescate, el cual no se recomienda realizar.

Para evitar ser víctima de este y otros tipos de ransomware se recomienda:

  1. Realizar copias de seguridad frecuentemente, en una unidad externa y sin conexión. Esto significará la posibilidad de restaurar el sistema y sus archivos.
  2. No abrir archivos adjuntos de correos electrónicos sospechosos y evitar el acceso a páginas inseguras. Fantom puede usar estos vectores de ataque para infiltrarse en el sistema.
  3. Utilizar una herramienta de seguridad robusta que incluya la detección de acciones sospechosas para bloquearlas.

Iniciativa No More Ransom

julio 27, 2016|

Iniciativa No More Ransom

No More Ransom es la iniciativa que ha surgido entre Kaspersky Lab, Intel Security, la Europol y la Policía Nacional Holandesa para luchar en contra del ransomware.

El ransomware es un tipo de malware que bloquea la computadora de la víctima y cifra su información. Para después exigir el pago por el acceso al dispositivo y sus datos.

A raíz de la iniciativa, surge el sitio web www.nomoreransom.org cuyo objetivo es proporcionar recursos a las víctimas del ransomware.

Los usuarios encontrarán información acerca de cómo protegerse contra este malware y algunas herramientas que pueden ayudar a recuperar sus datos.

El mensaje que se resalta en el portal web es no pagar el rescate que exigen los atacantes. El pago les incentiva a continuar con este delito.

Además, no existe garantía alguna de que realmente se obtendrá la clave para descifrar su información.

El proyecto No More Ransom ha sido concebido como una iniciativa no comercial que une a instituciones públicas y privadas bajo un mismo objetivo, combatir el ransomware.

Dicho proyecto se encuentra abierto para recibir la cooperación de más empresas y organismos policiales de otros países y regiones.

Al anunciar la iniciativa, Wil van Gemert, director adjunto de Operaciones de la Europol destacó:

“Desde hace algunos años, el ransomware se ha convertido en una preocupación en la Unión Europea. Es un problema que afecta de igual manera a ciudadanos y empresas. Iniciativas como esta, demuestran que la unión es el camino a seguir para una exitosa lucha contra los ciberdelincuentes”.

Protegerse del ransomware

mayo 20, 2016|

Protegerse del ransomware

Diversas publicaciones han informado de una serie de empresas afectadas por ransomware.

Con un poco de información, se puede reducir significativamente el riesgo y el impacto sobre las organizaciones.

¿Qué es el ransomware?

Es un tipo de malware que infecta dispositivos, redes y centros de datos. Impidiéndoles ser utilizados, hasta que el usuario u organización paga un rescate.

El ransomware ha existido al menos desde 1989. Cuando el troyano “PC Cyborg” cifraba los archivos del disco duro y exigía el pago de USD $189 para desbloquearlos.

El impacto de este tipo de malware es difícil de calcular. Sin embargo, un informe sobre la campaña del ransomware Cryptowall v3, publicado en octubre de 2015 por Cyber Threat Alliance, estima que su costo fue de aproximadamente 325 millones de dólares.

Existen todo tipo de exigencias para obtener el pago y poder desbloquear o liberar el sistema, archivos o datos.

El 31 de marzo de 2016, el U.S. Cyber Emergency Response Team y el Canadian Cyber Incident Response Centre advirtieron sobre el tema, después de varios ataques de alto perfil en hospitales.

Según esta alerta, los usuarios atacados reciben un mensaje como los siguientes:

  • “La computadora ha sido infectado con un virus. Haga clic aquí para resolver el problema”.
  • “La computadora se ha utilizado para visitar sitios web con contenido ilegal. Para desbloquear el equipo, deberá pagar una multa de $100”.
  • “Todos los archivos de su equipo han sido cifrados y deberá pagar este rescate dentro de las siguientes 72 horas para recuperar el acceso a sus datos”.

10 puntos para la protección contra los efectos de ransomware

  1. Desarrollar un plan de respaldo y recuperación. Realizar regularmente copias de seguridad y mantenerlas en un dispositivo sin conexión.
  2. Utilizar herramientas profesionales de correo electrónico y seguridad web que analicen los archivos adjuntos en busca de malware. Deben incluir la funcionalidad de sandbox, para que los archivos nuevos o no reconocidos sean ejecutados en un ambiente seguro.
  3. Mantener sistemas operativos, dispositivos y software actualizado.
  4. Asegurar que el antivirus y herramientas antimalware se están ejecutando con las últimas actualizaciones.
  5. Hacer uso de listas blancas de aplicaciones. Impedirá la descarga y ejecución de aplicaciones no autorizadas.
  6. Segmentar la red, de esta forma una infección no se propagará fácilmente.
  7. Establecer y cumplir la asignación de privilegios para que el menor número de usuarios puedan afectar las aplicaciones críticas de negocio, datos o servicios.
  8. Establecer y hacer cumplir una política de seguridad BYOD para inspeccionar dispositivos.
  9. Implementar herramientas de análisis forense. Permitirán identificar de dónde provino, el tiempo que ha permanecido, si ha sido retirado de todos los dispositivos y asegurarse de que no volverá.
  10. No depender de los empleados para mantener la seguridad. Aunque es importante su capacitación, los seres humanos son el eslabón más vulnerable de la cadena de seguridad.

Recomendaciones adicionales

  • Si al recibir un ataque, se cuenta con la copia de seguridad, se podrá continuar con la operación de la organización de forma normal.
  • Considerar a la seguridad como parte integral del negocio.
  • Asegúrese que está colaborando con expertos que entienden la seguridad como más que un dispositivo.
  • Contar con tecnologías altamente integradas y de colaboración, combinadas con una política eficaz y un enfoque de ciclo de vida de preparar, proteger, detectar, responder y aprender.
  • Las soluciones de seguridad necesitan compartir la información con el fin de detectar y responder eficazmente a las amenazas. Siendo capaces de adaptarse dinámicamente a medida que las nuevas amenazas se descubren.

Ransomware en Backblaze

mayo 19, 2016|

Ransomware en Backblaze

Hace unos días, la empresa norteamericana Backblaze publicó su reciente experiencia de ransomware.

La publicación detalla que una de sus empleadas del departamento de contabilidad, abrió un archivo adjunto en un correo electrónico, desencadenó una infección por ransomware en su sistema.

Un momento después, notó algo extraño, la imagen de fondo en el escritorio había desaparecido, sustituyéndola una imagen genérica de un campo de flores.

Al no comprenderlo, “Elli” llamó al departamento de TI.

Después de revisar el equipo, el encargado preguntó acerca de las acciones más recientes en el equipo. Ella le indica el correo electrónico abierto en la esquina de la pantalla. El encargado preguntó acerca del archivo adjunto, cuando ella le confirma que lo abrió, le informa que el equipo ha sido atacado por un ransomware.

Desconecta el equipo de la red inalámbrica, también desconecta el cable de red, apaga el equipo y desconecta el disco duro.

Posteriormente la unidad infectada fue puesta en una sandbox. Como medida de seguridad para evitar que otros equipos en la red fueran infectados.

Cuando el ransomware procesa los archivos del equipo, incluye algunos archivos “de ayuda”. En los que se dan las indicaciones para que el usuario pueda recuperar sus archivos mediante el pago del rescate.

No fue necesario pagar el rescate, debido a que los archivos se recuperaron de una copia de seguridad.

Sin embargo, es importante mencionar que las diferentes versiones de ransomware pueden complicar el proceso de recuperación de datos.

Algunos ataques retrasan su inicio, esperando un periodo de tiempo hasta una fecha específica antes de iniciar el proceso de cifrado. En ese caso, la copia de seguridad tendría que ser capaz de retroceder hasta una fecha previa a la infección para hacer la recuperación de archivos.

Algunos ataques intentarán cifrar otras unidades a las que se tenga acceso. Por ejemplo la unidad de copia de seguridad local. Por esta razón, es importante una copia de seguridad interna y una externa.

Ingeniería Social

Se puede definir como la “manipulación psicológica para la realización de acciones o divulgación de información confidencial”.

En este caso se identificaron varios trucos:

  • El correo electrónico tenía en el destinatario el nombre completo de la empleada.
  • Era normal en su oficina, recibir mensajes de correo electrónico con archivos adjuntos desde el sistema de correo de voz.
  • Era normal en su oficina, recibir mensajes desde QuickBooks (software de contabilidad).

Es difícil saber si ella fue solo una de las millones de personas atacadas por ransomware o, como es más probable, “Elli” fue víctima de un ataque dirigido.

Los ataques dirigidos, también conocidos como spear phishing, requieren que el atacante obtenga información detallada sobre el blanco para que el correo electrónico parezca lo más auténtico posible.

Encontrar la información necesaria para crear un correo electrónico creíble es tan fácil como ingresar al sitio web de la empresa y hacer un poco de investigación en sitios sociales como Facebook, LinkedIn, Google +, entre otros.

Sería fácil culpar a “Elli” por permitir que el sistema se infectara, pero hubo varios errores:

  • Ella estaba usando un navegador para acceder a su correo electrónico en la Nube, pero el sistema de correo no bloqueó el mensaje que contenía el malware.
  • Ni el navegador, ni el sistema de correo le advirtieron que el archivo ZIP adjunto contenía un archivo ejecutable.
  • Por último, tampoco el antivirus detectó algo al descargar y descomprimir el archivo de malware.

El número de ataques ransomware se incrementa de manera constante.

También, el uso de la ingeniería social por parte de los atacantes es cada vez más frecuente. Con lo cual la posibilidad de convertirse en víctima de un ataque será mayor.

Además de las medidas de seguridad preventivas, es necesario tomar acciones para identificar y responder cuanto antes a un ataque para evitar sus terribles consecuencias.

CTB-Locker en servidores web

mayo 18, 2016|

CTB-Locker en Servidores web

TeslaCrypt, CryptoWall, TorrentLocker, Locky y CTB-Locker son solo algunos de los programas maliciosos a los que se han enfrentado los usuarios en los dos últimos años.

En fechas recientes se ha detectado una nueva variante de CTB-Locker. Antes, este ransomware se diferenciaba por el uso que hacía de la red Tor Project para protegerse y de únicamente recibir bitcoins, la conocida cripto-moneda descentralizada y anónima.

Ahora, la nueva variante ataca a Servidores web y exige un rescate de medio bitcoin (aprox. 150 USD). Si el pago no se envía en el plazo exigido, el rescate se duplica a 300 USD. Una vez hecho el pago, se genera una llave de decodificación para los archivos.

Una falla de seguridad en el Servidor web permite la infección de los archivos. En este caso, se sustituye la página php/html principal, y se usa como vehículo del mensaje.

Es importante mencionar que no se elimina el código original. Se almacena con un nombre diferente y de manera codificada.

La llave de decodificación se guarda en un Servidor remoto, pero se le permite a la víctima decodificar dos archivos de forma gratuita, como muestra de su autenticidad.

Otra función que existe en el sitio web atacado le permite a la víctima comunicarse con el atacante mediante chat. Se requiere una firma/código personal sólo disponible para las víctimas.

Aún no se sabe cómo CTB-Locker se instala en los Servidores web. Pero hay un elemento común entre los servidores atacados: utilizan la plataforma de WordPress como herramienta de gestión de contenidos.

WordPress contiene muchas vulnerabilidades en sus versiones no actualizadas. También los plugins de terceros para WordPress hacen que el Servidor sea más vulnerable a los ataques.

Por el momento, la única forma de eliminar esta amenaza es mantener copias de seguridad de los archivos en otra parte.

Incluso, algunos sitios web suelen tener múltiples versiones de sus contenidos, propagados en varios Servidores web. En muchos otros casos, son supervisados y probados por profesionales en pruebas de seguridad anti-penetración.

Seguridad informática empresarial amenazada

mayo 17, 2016|

Seguridad informática empresarial amenazada

De acuerdo al Kaspersky Security Bulletin 2015 para el entorno empresarial:

  • En 2015 se neutralizó al menos un ataque de software malintencionado en el 58% de los equipos corporativos.
  • El 29% de los equipos del entorno empresarial ha sido objeto de al menos un ataque a través de Internet.
  • Se usaron exploits con una frecuencia tres veces mayor en los ataques a las aplicaciones de oficina que en los ataques a usuarios domésticos.
  • El antivirus de archivos se activó en el 41% de los equipos de usuarios corporativos, se detectaron objetos maliciosos en los medios extraíbles: USB, tarjetas de memoria, teléfonos, discos duros externos y unidades de red.

En el TOP 10 de Malware de Kaspersky, se puede observar que se trata de diferentes troyanos y exploits (toman el control de otros programas o aplicaciones para conseguir un comportamiento no deseado del mismo).

La distribución de exploits utilizados según el tipo de aplicaciones en usuarios corporativos es la siguiente:

  • Navegadores, 58%
  • Office, 12%
  • Java, 11%
  • Android, 7%
  • Adobe Reader, 7%
  • Adobe Flash Player, 5%

En 2015 se detectaron troyanos cifradores (ransomware) en más de 50 mil equipos de redes corporativas, más del doble de lo registrado el año pasado. Es importante entender que si un programa de este tipo infecta a una empresa, puede dar lugar a la interrupción del negocio al cifra datos críticos, mediante la encriptación en un servidor de misión crítica que resulte bloqueado.

En este mismo reporte se indica que se registraron más de 11,500 intentos de ataques a terminales POS (Punto de Venta), en esta cifra se debe considerar que si un ataque logra tener éxito, se pueden llegar a comprometer los datos de miles de tarjetas de crédito.

Los ataques se basan en el uso de las vulnerabilidades conocidas, para aprovechar la lentitud que implica la instalación de actualizaciones de software en las organizaciones. Por lo que es altamente recomendable la utilización de herramientas de seguridad de tipo corporativo que faciliten la administración y correcta actualización de todos los equipos.

Además del robo de datos, hay casos en que se usaron los servidores afectados como una herramienta para lanzar ataques DDoS, o simplemente cifrar los datos para exigir un rescate. En este caso es importante contar con la realización automática de respaldos de información.

En primera instancia y de acuerdo a la Australian Signals Directorate, existen cuatro principales estrategias que reducen la probabilidad de éxito de los ataques selectivos:

  • Utilización de listas blancas de aplicaciones que permiten bloquear la ejecución de software malicioso y programas no aprobados.
  • La instalación de parches para aplicaciones como Java, visor de archivos PDF, Flash, navegadores web y aplicaciones de MS Office.
  • Eliminación de vulnerabilidades en el sistema operativo mediante la instalación de parches.
  • Limitación de los derechos de acceso administrativo al sistema operativo y las aplicaciones, basada en las funciones laborales de cada usuario.

El segundo factor importante es el uso de servicios de inteligencia sobre amenazas como las herramientas de Kaspersky Lab.

Finalmente, los principios básicos de la seguridad en las redes corporativas siguen siendo los mismos:

  • Formación del personal, la seguridad de la información no es solo tarea del departamento de TI.
  • Establecimiento y ajuste de los procesos de seguridad, el sistema de seguridad debe responder adecuadamente a las amenazas en evolución.
  • El uso de las nuevas tecnologías y técnicas, cada capa adicional de protección permite reducir el riesgo de penetración en la red.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a los beneficios que una herramienta de tipo corporativo puede significar para la seguridad informática y administración empresarial.

Aceptamos

visa
mastercard
paypal
transferencia
Oficina

37 Poniente 2701, Segundo Piso
Col. Benito Juárez C.P. 72410
Puebla, Pue. México

email

info@adaptixnetworks.com

Teléfono

+52 222 555 2355

adaptix-w
Servicios
Información

© Copyright 2026 | Adaptix Networks, S.A. de C.V.

Go to Top