Archivo mensual: Noviembre 2017

Ransomware Scarab ataca a escala global

Una campaña con correos maliciosos está tomando forma, el mayor botnet de spam, Necurs, envía una nueva cadena de ransomware a una escala de 2 millones de correos por hora.
Entre el spam malicioso que se encuentra distribuyendo están el los troyanos Dridex y Trickbot, además de los ransomware Locky y Jaff, junto con una nueva versión de Scarab.

En estos correos se encuentra un script de VB y un adjunto comprimido en 7zip para realizar la descarga. Estos correos llegan con un adjunto en formato “Scanned from <MARCA_IMPRESORA>”.
Como siempre la principal recomendación es no abrir correos no esperados o de alguna otra forma sospechosos. Adicionalmente es grato saber que Sophos Antivirus detecta y previene este malware.
Para el próximo año se espera que el ransomware sea el principal método de ataque para los ciberdelincuentes, una excelente forma de prevención es Sophos Intercept X, el cual utiliza el comportamiento de las aplicaciones para evitar encriptaciones no solicitadas.
Información Técnica:
SHA-256:
Script: c7e3c4bad00c92a1956b6d98aae0423170de060d2e15c175001aaeaf76722a52
7zip: 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
URL de descarga (bloquear):
hard-grooves[.]com/JHgd476?
pamplonarecados[.]com/JHgd476?
miamirecyclecenters[.]com/JHgd476?
———–
Adicionalmente se detectaron nuevos hashes y fuentes de amenazas, los cuales también se recomienda bloquear:
http://8 0.211.173.20:80/amnyu.arm 0255c6d7b88947c7bc82c9b06169e69d http://8 0.211.173.20:80/amnyu.arm 3e72bbab07516010ab537d7236c48a2c http://8 0.211.173.20:80/amnyu.arm 6c5cadcc9dbcac55b42d1347f4b51df1 http://8 0.211.173.20:80/amnyu.arm7 2e5ec99ef2cf8878dc588edd8031b249 http://8 0.211.173.20:80/amnyu.arm7 359527251c09f4ec8b0ad65ab202f1bb http://8 0.211.173.20:80/amnyu.arm7 4c21d1f6acfb0155eb877418bb15001d http://8 0.211.173.20:80/amnyu.arm7 5cd69f7c5cd6aef4f4b8e08181028314 http://8 0.211.173.20:80/amnyu.arm7 794f01740878252e8df257b0511c65df http://8 0.211.173.20:80/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20:80/amnyu.arm7 eee4ff0e2c9482acea3251c9c2ce6daf http://8 0.211.173.20:80/amnyu.arm a6f11eba76debd49ee248b6539c4d83c http://8 0.211.173.20:80/amnyu.arm ccc8761335b2d829dff739aece435eac http://8 0.211.173.20:80/amnyu.arm dd10fb3ed22a05e27bca3008c0558001 http://8 0.211.173.20:80/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20:80/amnyu.m68k 1782f07f02d746c13ede8388329921e4 http://8 0.211.173.20:80/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20:80/amnyu.m68k 84d737bc5a1821c2f21489695c2c3a71 http://8 0.211.173.20:80/amnyu.m68k 8f347206f06b05ea8d2e8ea03f4f92d4 http://8 0.211.173.20:80/amnyu.m68k 94353157ddcd3cb40a75a5ecc1044115 http://8 0.211.173.20:80/amnyu.m68k b1c66e2a2ed68087df706262b12ca059 http://8 0.211.173.20:80/amnyu.m68k b8aedf6ee75e4d6b6beeafc51b809732 http://8 0.211.173.20:80/amnyu.mips 0ee0fc76a8d8ad37374f4ac3553d8937 http://8 0.211.173.20:80/amnyu.mips 2aa0c53d7d405fa6ffb7ccb895fb895f http://8 0.211.173.20:80/amnyu.mips 56b74e34ddf0111700a89592b5a8b010 http://8 0.211.173.20:80/amnyu.mips 62fa57f007a32f857a7e1d9fb5e064eb http://8 0.211.173.20:80/amnyu.mips 633df071ac6f1d55193fc4c5c8747f2a http://8 0.211.173.20:80/amnyu.mips 6eed6b55c5cd893aa584894a07eec32f http://8 0.211.173.20:80/amnyu.mips 97c314a2a100ea4987e73e008225d3be http://8 0.211.173.20:80/amnyu.mpsl 09d98cbaa9794184841450221d410f15 http://8 0.211.173.20:80/amnyu.mpsl 21f1ab847a9b27f8aaabcafd9cf59756 http://8 0.211.173.20:80/amnyu.mpsl 33e1e2803bb70cd0d66911175782c6a1
http://8 0.211.173.20:80/amnyu.mpsl 4e63eccca00b01b66162fa5258d03956 http://8 0.211.173.20:80/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http://8 0.211.173.20:80/amnyu.mpsl 7e0f883f239c922a151aab2500400880 http://8 0.211.173.20:80/amnyu.mpsl e46cbc10309e970ec267afee496832c9 http://8 0.211.173.20:80/amnyu.ppc 3dadafe1cc9639a7d374682dafab954c http://8 0.211.173.20:80/amnyu.ppc 49e4b3e5d7302c2faf08c1ed585a89ca http://8 0.211.173.20:80/amnyu.ppc 80bcea07b752ae4306da5f24f6693bea http://8 0.211.173.20:80/amnyu.ppc 9e4caeada13676ddc5b7be44e03fe396 http://8 0.211.173.20:80/amnyu.ppc a40852f9895d956fe198cb2f2f702ebf http://8 0.211.173.20:80/amnyu.ppc a8bde89d2fe98268801b58f42214cdca http://8 0.211.173.20:80/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http://8 0.211.173.20:80/amnyu.sh4 141930ed206ef5f076b2a233b390ea65 http://8 0.211.173.20:80/amnyu.sh4 1bdaf4cd21fb9cb42d971a25fb183d04 http://8 0.211.173.20:80/amnyu.sh4 25d3ddb85bf392c273dd93922199628c http://8 0.211.173.20:80/amnyu.sh4 39eddba755333e22841b2627a2a19e59 http://8 0.211.173.20:80/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http://8 0.211.173.20:80/amnyu.sh4 56afda94860e8d1ca8a7b9960769020d http://8 0.211.173.20:80/amnyu.sh4 9dc0c166e30922d1ea8da06ba46996dc http://8 0.211.173.20:80/amnyu.spc 3f0322c0b7379e492a17d3cb4fa2c82e http://8 0.211.173.20:80/amnyu.spc 53c60f58ce576071c71ede7df656e823 http://8 0.211.173.20:80/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http://8 0.211.173.20:80/amnyu.spc 651b186b04583f0067d4cc2d95565a95 http://8 0.211.173.20:80/amnyu.spc a18b4a6250f51c1f350b37e1187292fb http://8 0.211.173.20:80/amnyu.spc c5e1a57671dab607b8fa7363ab6582ab http://8 0.211.173.20:80/amnyu.spc e6cd9197d443fb9fa79ab103232e2b67 http://8 0.211.173.20:80/amnyu.x86 018a9569f559bfafbc433dc81caf3ec0 http://8 0.211.173.20:80/amnyu.x86 1663952daca0c49326fb8fa5585d8eec http://8 0.211.173.20:80/amnyu.x86 243d2c8ba1c30fa81043a82eaa7756e7 http://8 0.211.173.20:80/amnyu.x86 4b375509896e111ef4c3eb003d38077f http://8 0.211.173.20:80/amnyu.x86 6371b6b1d030ac7d2cb1b0011230f97f
http://8 0.211.173.20:80/amnyu.x86 64bda230a3b31a115a29e0afd8df5d8a http://8 0.211.173.20:80/amnyu.x86 ed825b8aadee560e5c70ffaa5b441438 http://8 0.211.173.20/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20/amnyu.mips 97c314a2a100ea4987e73e008225d3be http:// 80.211.173.20/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http:// 80.211.173.20/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http:// 80.211.173.20/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http:// 80.211.173.20/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http:// 80.211.173.20/amnyu.x86 4b375509896e111ef4c3eb003d38077f http:// blacklister.nl/bins/mirai.arm be6165a3e131cc92d3f7d51284cf70bb http:// blacklister.nl/bins/mirai.arm5n c639bc6b50ab0be250147572956a9d6b http:// blacklister.nl/bins/mirai.arm6 8f9c5099e3749d0199262289c9deaa3d http:// blacklister.nl/bins/mirai.arm7 e508956188f2cb71605ae0e8fbdf4a64 http:// blacklister.nl/bins/mirai.i486 25846ce769f0bd5b204f440127d51f21 http:// blacklister.nl/bins/mirai.i686 d3c82dd5d512304efc6a42018f0bf2a7 http:// blacklister.nl/bins/mirai.m68k 3ef657efcfe16ad869a587d30480306f http:// blacklister.nl/bins/mirai.mips b4af22c2b3b1af68f323528ee0bc6637 http:// blacklister.nl/bins/mirai.mips64 1e1d6b41a13c97ad3754815021dd0891 http:// blacklister.nl/bins/mirai.mpsl 6adb31781db797712d759f564b9761b6 http:// blacklister.nl/bins/mirai.ppc 7936cc1d021664892c48408ec1c9143c http:// blacklister.nl/bins/mirai.ppc440fp fd6235e4e1cf4a0f6c2d609a7b1ffc55 http:// blacklister.nl/bins/mirai.sh4 5c8ef7f23f26e0e48ab527ef83874213 http:// blacklister.nl/bins/mirai.spc 7ce73df7fb50beda2f549f9695a23538 http:// blacklister.nl/bins/mirai.x86 539e9bf8c81bd3e9ae520fd74218a6b8 http:// blacklister.nl/bins/mirai.x86_64 d69e501480f03f06e4579fa13e47d04a

Phishing utiliza imagen de BancoEstado para distribuir malware

El cybercrimen nunca descansa, recientemente descubrimos una nueva campaña de distribución de malware mediante phishing:

El link de descarga ya se encuentra catalogado como peligroso por algunas empresas porveedoras de Antivirus, mientras otras se encuentran analizándolo De cualquier forma no se trata de un correo oficial del banco ni es un aviso de transferencia real, esto se puede deducir al analizar el encabezado del correo:
Return-Path: <root@comprobante3.notificacionmail.com> Received: from comprobante3.notificacionmail.com (comprobante3.notificacionmail.com. [185.181.10.56])
Message-Id: <20171114154932.D1ED71CA167@comprobante3.notificacionmail.com>

Un correo real de Banco estado luce de la siguiente forma, sin requerir que el usuario descargue nada:

Otra muestra de correo real:

Evite ser víctima de estos delincuentes y recuerde no abrir correos electrónicos inesperados por mas atractivo que sea el asunto

2017: El año en que se demostró la necesidad de seguridad en TI

Existe una pregunta que suele ser cada vez mas frecuente: ¿Que debo hacer en caso de ser víctima de ransomware?, la respuesta es un poco más compleja de lo que quisiéramos. Los ataques de ransomware son cada vez mas frecuentes y complejos, afectando a organizaciones de cualquier tipo y tamaño a escala global. De hecho debemos plantearnos que los ciberataques están mas presentes que nunca y que afectan nuestra vida profesional y privada… a menos de que nos preparemos, lo cual es la clave para alejarnos de estos problemas.
Existen varios ejemplos en distintas industrias que han sido afectadas: Educación, salud, banca, infraestructura y más. Estas organizaciones son atractivas para los criminales ya que las vulnerabilidades que estas presentan son la puerta de entrada para que ellos encuentren lo que buscan: ganancia. Mediante el robo de información sensible (correos, números de RUT, tarjetas de crédito, contraseñas) además del secuestro de datos y equipos, y la inyección de malware que convierte nuestros equipos en recursos malignos para propagación, control y ataque. Por consiguiente la ganancia para los ciber criminales es alta junto con los daños para nuestros negocios.
La pérdida de datos médicos de un paciente hospitalario puede tener consecuencias fatales, análogamente en una institución financiera una intrusión y robo de datos puede provocar la quiebra financiera de clientes e inclusive existen casos de extorsión industrial con amenazas de sabotaje mediante malware, en los cuales es la producción de una compañía es la amenazada, junto con todo lo que esto conlleva.
Una encuesta del instituto SANS indica que el mayor tipo de ataque a instituciones financieras es el ransomware, seguido del phishing.
Esto nos lleva a la pregunta inicial: ¿Que debo hacer en caso de ser víctima de ransomware?. Primero debemos modificar esta pregunta por: ¿Que debo hacer para evitar ser víctima de ransomware?, y no solo de ransomware, sino de cualquier tipo de ciberataque. Aquí la respuesta viene con un prefacio: Somos blanco de ciberataques de forma permanente, la prevención es la mejor defensa. La prevención consiste en disminuir nuestra superficie de ataque, y eso se logra de la siguiente manera:
Gestión de vulnerabilidades: Es el proceso de identificar brechas de seguridad en nuestros sistemas y gestionar la mitigación de tales brechas. Como ejemplo: El ransomware WannaCry utiliza una brecha de seguridad del stack SMB en Windows para su propagación, existe un parche por parte de Microsoft desde 1 mes antes de que empezaran los ataques masivos; gran parte de la propagación de este ransomware se pudo haber evitado si tal actualización se hubiese aplicado oportunamente, (artículo recomendado: http://www.corporateit.cl/index.php/2017/09/08/gestion-de-vulnerabilidades-lecciones-para-prevenir-y-para-no-lamentar/)
Antivirus: Base de la protección de sistemas, el antivirus es una herramienta que debe estar presente en todos los dispositivos finales que se encuentren conectados a alguna red y/o que contengan información valiosa. Aunque su nombre ya debiese ser “antiMALWARE”, consiste en la detección oportuna de código malicioso, para su eliminación. Además de sus actualizaciones constantes y frecuentes, brinda una protección primaria siempre disponible. En Makros recomendamos Sophos Endpoint Protection, para usuarios particulares existe una opción gratuita en Sophos Home
Protección por análisis de comportamiento: Se trata de un símil a un antivirus pero que no se basa en “firmas” para la detección de amenazas, sino en el comportamiento de las aplicaciones en ejecución. Mediante este análisis se puede detener y frenar exitosamente problemas tan graves como el ransomware, pues cuando detecta un cifrado de archivos que no es solicitado por el usuario, lo detecta, detiene y reporta. Un excelente ejemplo es Sophos Intercept X
(Next Generation) Firewall: Un cortafuegos es otra medida base en un sistema de seguridad, el filtro de acceso a ciertos sitios y el bloqueo de puertos de entrada locales reduce aún mas las posibilidades de que un atacante pueda tener éxito en ciertos tipos de intrusión. Esto sumado a una reportabilidad incluida “out-of-the-box” y la posibilidad de enlazarse con la consola de antivirus (Sophos Endpoint Protection) crean una potente herramienta en pos de aumentar la seguridad perimetral e interna de nuestra organización.
Anti Phishing: Sin duda la puerta de entrada principal para el malware y otros cibercrimenes es el usuario final, los correos de suplantación de identidad y sitios falsos son el factor que presenta la mayor amenaza en contra de la seguridad organizacional. El entrenamiento de nuestros usuarios debiese ser parte central de una campaña de “prevención de riesgos informáticos”. En Makros ya contamos con una plataforma de medición y entrenamiento para la prevención de phishing, la cual se encontrará a disposición en diciembre de 2017 completamente en español. De todas formas es una gran ayuda para medir cuán seguros estamos frente a la ingeniería social.
Resumiendo: Según los eventos mas relevantes de este año en materia de seguridad, debemos tener siempre en consideración estos aspectos de defensa (y otros a detallar en próximas entregas) para la protección de nuestros activos mas valiosos, la información y las personas.
Ah, y finalmente… nunca pagar el “rescate” de un ransomware, ya que no existe la seguridad de que el pago de tal rescate nos permita recuperar los datos secuestrados. Además de que al pagar estaremos validando esta actividad criminal. Una buena política de respaldos de información y la aplicación de las medidas indicadas en este artículo disminuyen en gran medida la posibilidad de un ataque y su eventual impacto.