Archivos de etiquetas: ransomware

10 Riesgos de seguridad de datos que te podrían impactar en 2020

n el panorama digital de hoy, pocas cosas causan tanto temor como una filtración de datos. No sólo por el enorme costo monetario en multas, corrección, y reparación, sino también por las consecuencias de mercado a las que son expuestas las empresas que son víctimas de ataques, con sus consecuencias publicitadas, lo que se traduce en un menoscabo de la apreciación de seriedad de la organización ante su púbico objetivo.

Es precisamente esta visibilidad la que convierte a la ciberseguridad en una publicidad positiva “no-implícita” para las organizaciones.

Aún más, la seguridad de los datos debiese ser el resultado más importante en una operación para las empresas entrando el año 2020, ya que no toda ciberamenaza tiene el mismo riesgo, y las compañías pueden trabajar para proveer una protección de datos sobresaliente al fortalecer sus estándares de seguridad en contra de las amenazas más alarmantes.

En este afán es que presentamos 10 riesgos a la privacidad de los datos que podrían afectar a las organizaciones el próximo año 2020:

1.- Filtración accidental

No todos los eventos de pérdida de datos son fruto de alguna complicada operación de cibercriminales. De hecho un gran número de filtraciones de datos provienen de los propios empleados de la compañía, quienes en ocaciones accidentalmente comparten o manejan de mala manera los datos sensibles. El extravío de activos de información o errores de direccionamiento de los datos son algunas de las formas en que esta problemática se presenta.

De acuerdo a un reporte de Shred-it, el 40% de los ejecutivos senior atribuyeron sus más recientes incidentes de seguridad a estos comportamientos.

Por ejemplo, en agosto, la información personal identificable de cientos de australianos, junto a sus detalles de salud, fueron expuestos al público luego de que un empleado accidentalmente enviara a un proveedor una planilla conteniendo información sensible.

La gente comete estos errores, y mitigar el riesgo asociado a estos errores es crítico para proteger la privacidad de los datos.

2.- Equipos de ciberseguridad sobreexigidos

Es poca la cantidad de profesionales que hoy soportan la carga del panorama de la ciberseguridad, como los administradores de TI que deben proteger la información más sensible de una organización.

Quizás no debamos sorprendernos si es que se sienten desgastados.

Más de 2/3 de los profesionales de la ciberseguridad han considerado dejar sus trabajos o inclusive dejar la industria, y su fatiga en general hace que una eventual situación difícil sea aún mas complicada.

Esto deja a las organizaciones expuestas, lo que podría incrementar el ímpetu de implementar automatización donde y cuándo sea posible. Esto ayuda a bajar la carga de actividades repetitivas y desgastantes, mejorar su presición, y especializar a los profesionales de seguridad TI con herramientas que permitan apuntar a la excelencia en su trabajo.

3.- Robo de datos por empleados

Cuando las compañías consideran sus riesgos de ciberseguridad, las amenazas externas se encuentran típicamente como primera preocupación. De hecho los cibercriminales juegan un rol prominente en los robos de datos, sin embargo los empleados de la compañía pueden ser protagonistas de muchos otros.

Un reporte de amenazas internas que realizó Verizon, indica que el 57% de las brechas en bases de datos incluye amenazas internas y que el 61% de estos empleados no tienen un rol de liderazgo cuando han comprometido los datos de sus clientes o usuarios.

Afortunadamente, existen mecanismos y procedimientos para evitar los riesgos ocasionados por sus amenazas internas. Por ejemplo el DLP de Sophos que evita el envío de información sensible mediante correo electrónico y dispositivos extraíbles, entre otros.

4.- Ransomware

Pocas amenazas atraen tanto la atención de los medios de comunicación e infunden el miedo como lo hacen los ataques de ransomware. Estos ataques son cada vez mas frecuentes y las víctimas son organizaciones de todos los tamaños, además de que sus consecuencias pueden ser bastante costosas.

El costo de los ataques con ransomware aumenta más del doble con cada año, y se estima que esta tendencia seguirá así a futuro.

Muchos ataques con ransomware comienzan a nivel de los empleados de una compañía, en la forma de estafas con phishing y otras comunicaciones maliciosas enviadas por los atacantes, las cuales gatillan la infección. Por tanto, además de tener precaución en los posibles puntos de entrada de estas amenazas, es recomendable utilizar una herramienta de protección en contra de esta clase de amenazas. Intercept X de Sophos tiene un mecanismo de detección de operaciones sospechosas por parte de los procesos y protección de archivos contra modificaciones maliciosas, mitigando así el problema de la ejecución de un ransomware y protegiendo los archivos posiblemente encriptados.

5.- Mala higiene de contraseñas.

Recientemente Google realizó un estudio en varias credenciales de acceso y concluyó que el 1,5% de toda la información de login en el internet es vulnerable a ataques con credenciales robadas, estos accesos maliciosos posteriormente pueden ser utilizados para infringir ataques a la red de una compañía.

Muchas credenciales de acceso son comprometidas en robos de datos previos, y con muchas personas utilizando las mismas claves o algunas fáciles de adivinar, esta información puede ser utilizada para acceder a datos de una empresa aún cuando sus redes estén securizadas.

Por tanto, las mejores prácticas como por ejemplo, requerir que se cambien las contraseñas de forma periódica, es una forma simple pero consecuente de abordar esta posible amenaza.

También ayuda de cierta forma un gestor de contraseñas, nuestro partner ManageEngine, cuenta con la herramienta Password Manager Pro, la cual permite configurar un periodo de renovación de contraseñas, sugerencia de contraseñas aleatorias, y alertas de uso de cuentas, entre otros.

6.- Cohecho

Datos de la compañía y propiedad intelectual son ambos increíblemente valiosos y, en algunos casos, los empleados pueden ser sobornados para revelar esta información.

Por ejemplo, el 2018, Amazon acusó a varios empleados de participar en una confabulación que comprometió datos de clientes; y en 2019, se descubrió que empleados de AT&T recibieron sobornos para implantar malware en la red de la compañía.

Por supuesto que el cohecho no es la mejor manera de ejecutar un robo de datos, pero, especialmente para las compañías cuyo valor reside en su propiedad intelectual, puede ser un serio problema de seguridad de datos.

7.- Demasiado acceso a los datos.

Los datos que puede albergar una empresa son uno de los activos mas valiosos, y deben ser protegidos adecuadamente.

En un contexto simplificado: el acceso a los datos debe ser de acuerdo a la necesidad de saber los datos, minimizando la exposición y por ende, reduciendo el riesgo de mal uso accidental o doloso.

8.- Phishing

Los correos de phishing se encuentran en aumento, se ha observado un aumento del 250% en este año. Al mismo tiempo, la nueva tecnología y el aumento del acceso a la información hacen que estos ataques sean cada vez más sofisticados, aumentando así la posibilidad de que los atacantes infiltren los sistemas de información.

El aumento se debe a la facilidad con que un correo phishing puede implantar un agente malicioso dentro de una red corporativa, es mucho mas fácil inducir mediante un correo de engaño a un empleado para que visite un sitio que le instalará malware, a intentar otros métodos de intrusión.

A pesar de los mejores esfuerzos que cada organización aplica, estos mensajes maliciosos inevitablemente llegan a las bandejas de entrada de los empleados.
Manejar este trafico equipar a los empleados con las herramientas necesarias para defenderse de esta amenaza (educación y entrenamiento) es un aspecto crítico. PhisThreat de Sophos es una excelente plataforma de entrenamiento para usuarios, controlable desde la consola central de Sophos Cloud, con la capacidad de crear campañas de entrenamiento y obtener detalles y estadísticas para ir mejorando la conciencia del phishing dentro de la organización.

9.- Fraude

Los correos electrónicos y contraseñas se encuentran en alta demanda por los cibercriminales, ya que son los principales datos que son robados entre 70% y 64% de los ataques exitosos, respectivamente. ya que esta información puede ser usada posteriormente para desplegar otros ataques, las compañías deben estar alerta de como sus datos pueden ser utilizados en contra de ellos.

10.- Denegación

En el año que viene, muchas compañías no se ajustarán adecuadamente a medidas de integridad de datos, y este es potenciado cuando se trata de PYMEs, las cuales estadísticamente son las más vulnerables a los robos de datos. Un estudio de Keeper Security y Ponemon Institute halló que el 67% de las PYMEs tuvieron un incidente de ciberseguridad significativo durante el año pasado.

El panorama digital de hoy puede ser paralizante, pero no es imposible de surcar. Al controlar lo incontrolable, la responsabilidad de de mitigación de riesgos e implementar una estrategia de ciberseguridad holística. Cada organización debe poner su mejor esfuerzo en el empuje hacia delante cuando se trata de la seguridad de datos y la privacidad.

Fuentes:
https://www.forbes.com/sites/theyec/2019/10/01/10-data-security-risks-that-could-impact-your-company-in-2020
https://www.techrepublic.com/article/over-40-of-reported-security-breaches-are-caused-by-employee-negligence/
https://www.zdnet.com/article/cybersecurity-staff-burnout-risks-leaving-organisations-vulnerable-to-cyberattacks/
https://enterprise.verizon.com/resources/reports/insider-threat-report/
https://www.bleepingcomputer.com/news/security/google-estimates-15-percent-of-web-logins-exposed-in-data-breaches/
https://www.wsj.com/articles/amazon-investigates-employees-leaking-data-for-bribes-1537106401
https://www.zdnet.com/article/at-t-employees-took-bribes-to-plant-malware-on-the-companys-network/
https://www.digitaltrends.com/computing/microsoft-security-massive-increase-phishing-scams/
https://www.scmagazine.com/home/security-news/data-breach/first-half-2019-sees-4000-data-breaches-exposing-4b-records/
https://keepersecurity.com/assets/pdf/Keeper-2018-Ponemon-Report.pdf

Rootkit infecta a mas de 50.000 servidores MS-SQL y PHPMyAdmin

En una campaña que investigados apodaron como Nansh0u, un grupo de cibercriminales utilizando un estilo de ataque de tipo APT, ha afectado aproximadamente 50.000 servidores, instalando un rootkit bastante sofisticado, el cual en modo kernel evita que este malware sea finalizado.
La campaña, que se remonta al 26 de febrero pero fue detectada por primera vez a principios de abril, se ha encontrado que ofrece 20 versiones diferentes de carga útil alojadas en varios proveedores de alojamiento.
El ataque se basa en la técnica de fuerza bruta después de encontrar servidores MS-SQL y PHPMyAdmin de acceso público mediante un simple escáner de puertos.
Luego de una autenticación de inicio de sesión exitosa con privilegios administrativos, los atacantes ejecutan una secuencia de comandos MS-SQL en el sistema comprometido para descargar la carga útil malintencionada desde un servidor de archivos remoto y ejecutarlo con privilegios de SISTEMA.
En el fondo, la carga útil aprovecha una vulnerabilidad conocida de escalada de privilegios (CVE-2014-4113) para obtener privilegios de SISTEMA en los sistemas comprometidos.
La carga útil luego instala un malware de minería de criptomoneda en servidores comprometidos para extraer la criptomoneda de TurtleCoin .
Además de esto, el malware también protege su proceso de la terminación mediante el uso de un rootkit de modo de kernel firmado digitalmente para la persistencia.

Los investigadores también han publicado una lista completa de IoC (indicadores de compromiso) y un script gratuito basado en PowerShell que los administradores de Windows pueden usar para verificar si sus sistemas están infectados o no.
Como el ataque se basa en una combinación de nombre de usuario y contraseña débiles para los servidores MS-SQL y PHPMyAdmin, se recomienda a los administradores que siempre mantengan una contraseña sólida y compleja para sus cuentas.
Prevención y remediación.
Fuentes:

Sophos incorpora protección de movimientos laterales a su XG Firewall para detener el avance de los ciberataques

Sophos (LSE: SOPH), líder global en seguridad para protección de redes y endpoints, ha anunciado que su firewall de nueva generación: Sophos XG Firewall ahora incluye la protección contra movimientos laterales para prevenir ataques dirigidos manualmente o impedir que exploits avancen en una red comprometida.
En El informe de ciberamenazas 2019 de SophosLabs se ha analizado el aumento en el ransomware dirigido. Se estima que más de 6,5 millones de dólares han sido recaudados gracias a la campaña del rasomware SamSam, por lo que no es una sorpresa que los delincuentes se sientan atraídos por este método. En estos ataques, los ciberdelincuentes se dirigen a los puntos débiles de entrada y las contraseñas de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) mediante fuerza bruta. Una vez dentro, se mueven de forma lateral, trabajando paso a paso para robar las credenciales de administrador del dominio, manipular los controles internos y deshabilitar las copias de seguridad, entre otros ataques. Para cuando la mayoría de los administradores de TI se den cuenta de lo que está ocurriendo, el daño estará hecho.
“La mayoría de las organizaciones están centradas en protegerse contra los bots automáticos, pero no contra los ataques interactivos y dirigidos por humanos. Si los adversarios activos entran en el sistema pueden “pensar lateralmente” para sortear obstáculos, evadir las detecciones y moverse por todo el sistema. Es difícil detenerlos a no ser que se tomen las medidas de seguridad adecuadas” afirmó Dan Schiappa, senior vice president y general manager of products de Sophos. “La mayoría de los movimientos laterales se producen en el endpoint, por ello la sincronización en la seguridad es importante. Los atacantes intentarán avanzar sin usar técnicas de malware, tales como exploits, Mimikatz y escalada de privilegios. La red necesita saber para poder responder y apagar o aislar automáticamente los dispositivos infectados antes de que alguien o algo continúe propagándose”.
Ataques similares como BitPaymer, Dharma y Ryuk, usan técnicas de movimientos laterales parecidas para distribuir el rasomware de forma manual. Estos ataques son muy diferentes a los kits de herramientas de Rasomware como servicio (RaaS) que se venden en la dark web. Desde Sophos se espera que los ataques controlados manualmente continúen en 2019.
“Detener los movimientos laterales, tanto de atacantes activos como de exploits de tipo gusano, compartiendo información entre el firewall y los endpoints y aislar automáticamente los sistemas infectados es fundamental para todas las empresas hoy en día”, comentó Schiappa. “Desafortunadamente, muchos entornos empresariales pueden tener puntos ciegos en los switches de red o sus segmentos LAN, y estos se pueden convertir en secretas plataformas de lanzamiento para los ataques. Las nuevas características del XG Firewall de Sophos previene que las amenazas se extiendan, incluso cuando el firewall no tenga control directo sobre el tráfico”.
La Protección de Movimiento Lateral se habilita a través de la Seguridad Sincronizada
Sophos XG Firewall interactúa automáticamente con las soluciones endpoint de Sophos, incluyendo el nuevo Intercept X Advanced con Endpoint Detection and Response (EDR), para ofrecer esta nueva capa de protección. Estos anclajes de seguridad esenciales se conectan a través del Security Heartbeat en la tecnología de Seguridad Sincronizada de Sophos. Esto crea una solución inteligente que puede predecir y proteger contra las amenazas proactivamente, detectar y prevenir nuevas infecciones al aislar automáticamente las máquinas y poner remedio a la infección. La tecnología Security Heartbeat permite aislar automáticamente endpoints de alto riesgo del resto de máquinas en el mismo dominio de difusión o segmento de red.
“Nuestros ingeniosos y agresivos adversarios están pendientes de desarrollar nuevas ciberamenazas, aprovechando los exploits o atacando a las empresas de forma manual, accediendo a través de un punto débil en la red, seguido por un movimiento lateral y la elevación de credenciales, es una técnica habitual a día de hoy”, ha dicho Frank Dickson, research vice president, Security Products, IDC. “Al conectar la red y la información de los endpoints a través de Security Heartbbeat, Sophos ha implementado una significativa e innovadora característica para identificar y mitigar los ciberataques centrados en movimientos laterales en cuestión de segundos, automatizando la prevención de la propagación de una amenaza al aislar el endpoint. Esencialmente, Intercept X se fortalece con la aplicación de Sophos XG Firewall para crear un enfoque más integrado y sinérgico de la ciberdefensa para las empresas, aliviando la carga administrativa para los profesionales de ciberseguridad”.
“Hace unos años, cuando todo el mundo hablaba sobre la necesidad de tener los mejores productos para crear un enfoque por capas, Sophos ya era pionero en la Seguridad Sincronizada y había revolucionado el mercado de la ciberseguridad con su solución Security Heartbeat. En el mundo de hoy de ciberamenazas en constante cambio, tener soluciones para protección de endpoints y redes que se comuniquen entre ellos y que compartan inteligencia es más importante que nunca”, ha declarado Brandon Vancleeve, vice president, Pine Cove Consulting, un partner de Sophos en Bozeman, Montana. “La Protección de Movimiento Lateral es una gran mejora de la ya impresionante Seguridad Sincronizada de Sophos. Ahora, la protección del XG Firewall y del endpoint podrán aislar los dispositivos dentro de su propia subred. Esto es un importante desarrollo que solo aumentará la seguridad de nuestros clientes, permitiéndoles una visibilidad instantánea de las amenazas más allá de la red. La mayoría de nuestros clientes tienen varios segmentos LAN o Layer 3 Networks, por lo que la nueva capacidad de detección se suma a lo que consideramos la mejor protección disponible en el mercado”.
Las nuevas y mejoradas funciones en Sophos XG Firewall incluyen:
Mejoras en la protección

Cobertura IPS más profunda y amplia con mayor granularidad en los patronesProtección de JavaScript contra el cryptojacking
Mejoras en el sandboxing de Sandstorm

La integración con Intercept X para identificar las amenazas el día cero antes de que entren en la redAnálisis profundo de comportamiento, redes y memoria con machine learning, CryptoGuard y detección de vulnerabilidades de seguridad
Mejoras de networkingNuevo cliente Sophos Connect IPSec VPN con soporte para Seguridad Sincronizada
Herramientas de formación
Compatibilidad con la autenticación del cliente de Chromebook para la política basada en el usuario e informesSoporte de políticas de usuario/grupo para las restricciones de SafeSearch y YouTube
Disponibilidad
Sophos XG Firewall está disponible a través de los partners registrados de Sophos en todo el mundo. No es necesario ningún hardware para una prueba gratuita de XG Firewall, disponible en Makros.

Nuevo ransomware se propaga rápidamente en China, infectando sobre 100.000 computadores

Un nuevo ransomware se está propagando rápidamente en China. Este ya ha infectado más de 100.000 computadores en los últimos cuatro días como resultado de un ataque de cadena de producción, y el número de afectados crece cada hora.
Algo interesante en este malware es que no demanda un pago en Bitcoins, en vez de eso los atacantes solicitan el pago de 100 yuanes (cerca de 16 dólares) como rescate mediante WeChat Pay (el sistema de pagos ofrecido por la aplicación de mensajería más usada en China).
Al contrario de las epidemias de WannaCry y NotPetya que ocasionaron caos a nivel mundial el año pasado, este ransomware sólo está afectando a usuarios de China.
Además, incluye una habilidad adicional de robar las contraseñas de los usuarios de Alipay, NetEase, Baidu Cloud Disk, Jingdong, Taobao, Tmall, AliWangWang y QQ.
De acuerdo a lo informado por la empresa china de ciberseguridad Velvet Security, los atacantes agregaron un código malicioso en el software de programación “EasyLanguage”, utilizado por un gran número de desarrolladores.
El programa modificado maliciosamente está diseñado para inyectar este ransomware en cada aplicación y software compilado por esta plataforma, en otro ejemplo de un ataque en cadena de producción para distribuir el malware rápidamente.
Este malware encripta todos los archivos en el sistema infectado, exceptuando aquellos con extensión .gif, .exe, y .tmp.
Para defenderse de los antivirus tradicionales, los atacantes firmaron el código de su malware con una firma digital de confianza de Tencent Technologies, esto además evita que se encripten datos de algunos directorios específicos como “Tencent Games”, “League Of Legends”, entre otros.
Si el rescate no es pagado en el tiempo indicado, el malware amenaza con borrar la llave de desencriptación de sus servidores de comando y control.
Junto con la encriptación de archivos y el robo de credenciales, este ransomware ademas colecta información del equipo infectado: modelo de CPU, resolución de pantalla, información de la red y un listado del software instalado.
Los investigadores de ciberseguridad encontraron que el ransomware fue programado de manera simple y los atacantes mienten acerca del proceso de encriptación, ya que la nota de rescate indica que los archivos fueron encriptados utilizando el algoritmo DES, pero en realidad están encriptados con un algoritmo mucho menos seguro llamado Xor y además almacena una copia de la llave de desencriptación localmente en %user%AppDataRoamingunname_1989dataFileappCfg.cfg
Usando esta información, Velvet Security creó una herramienta de desencriptación gratuita que puede desencriptar los archivos fácilmente sin la necesidad de pagar por algún rescate.
Debido a la innovación en la forma que se están produciendo las amenazas, de forma cambiante continuamente, es recomendado contar con alguna herramienta de protección avanzada de amenazas y análisis de comportamiento como Sophos Intercept X
Fuente: https://thehackernews.com/2018/12/china-ransomware-wechat.html

SamSam Ransomware ya llega a casi US$6 millones en ganancias

Recientemente Sophos publicó un estudio de este ransomware, incluyendo su método de propagación y ganancias de los atacantes. Considerando la gravedad de los casos como por ejemplo en hospitales, municipalidades y plantas industriales de Estados Unidos. Esta publicación además incluye consejos para evitar este tipo de ataques.
A inicios de 2016 fueron las primeras detecciones del ransomware SamSam, un malware cuyo modo de infección era distinto a todo lo conocido anteriormente. Este ataque utiliza una variedad de herramientas incluodas en Windows para escalar sus propios privilegios y luego analizar la red en búsqueda de objetivos. Luego se copia en cada equipo posible.
Una vez que se ha copiado la carga en los equipos de una red, la instrucción de encriptar se ejecuta considerando el horario local de las maquinas infectadas, con tal de que los administradores se encuentren – literalmente – durmiendo.
Al contrario de otros ransomware, la distribución de SamSam es manual. No existen campañas de spam con adjuntos sospechosos. En este caso el ataque es “a la antigua”, forzando ingresos a puertos RDP expuestos por ejemplo, y explotando vulnerabilidades de los sistemas. SamSam tiene mayor éxito cuando se trata de un sistema con una contraseña fácil de adivinar.
Puntos clave:
SamSam ha recaudado aproximadamente US$6 millones desde fines de 2015.74% de las víctimas conocidas se encuentran en Estados Unidos. Otras regiones afectadas en menor medida son Canada, Reino Unido y el Medio Este.La mayor cantidad pagada por rescate por una víctima individual, hasta ahora, está avaluada en US$64.000, bastante más que la mayoría de las familias de ransomware.Los objetivos han sido organizaciones de sector público en salud, educación y gobierno en un 50%, siendo la otra mitad empresas que no han revelado públicamente detalles de estos ataques.Los atacantes escogen cuidadosamente al objetivo meticulosamente y el proceso de encriptación ocurre en momentos donde el monitoreo de los administradores de sistemas es poco probable.Al contrario de otro ransomware, SamSam no solo encripta documentos, imágenes, datos personales o de trabajo, también encripta archivos de configuración necesarios para ejecutar aplicaciones (como Microsoft Office). De esta forma las estrategias de respaldo comunes quedan obsoletas y la única forma de recuperar el equipo es reinstalando todo.Cada ataque subsiguiente muestra un progreso en la sofisticación de la seguridad operacional del ransomware.El costo para las víctimas ha ido en ascenso permanente, sin señal alguna de un declive en la cantidad de ataques.
Anatomía del ataque
El patrón de ataque mediante SamSam es relativamente predecible, comprendiendo las siguientes 6 etapas:
1.- Identificación y adquisición de objetivo
Para la primera parte aún se desconoce el método exacto, pero una posibilidad muy real es la compra de listados de servidores vulnerables en la dark web, o realizando búsquedas en motores como Shodan o Censys. Lo claro es que se tienda a apuntar a organizaciones de mediano y gran tamaño principalmente en Estados Unidos.
La segunda parte, adquirir el objetivo, es bastante directa, en sus comienzos este ransomware explotaba vulnerabilidades en sistemas JBOSS para adquirir los privilegios con los cuales solía distribuirse. Hoy tiene mayor alcance al utilizar fuerza bruta a cuentas de RDP de Windows.
2.- Penetración de la red
Como ya fue descrito, los atacantes concentran sus esfuerzos en utilizar ataques de fuerza bruta al forzar la entrada en máquinas accesibles en internet usando el protocolo de Escritorio Remoto (RDP). Aunque parezca asombroso, una simple búsqueda en Shodan puede revelar miles de direcciones IP accesibles sobre el puerto 3389 (RDP por defecto).
3.- Elevación de privilegios
Esto ocurre mediante una serie de exploits al RDP. Una vez dentro de la red, el atacante utiliza una combinación de herramientas para elevar sus privilegios al nivel de administrador de dominio.Esto puede tomar dias inclusive, la máquina comprometida se encuentra corriendo Mimikatz, una herramienta que registra credenciales, por lo que ellos roban la credencial de administrador al minuto de que ésta es ingresada.
4.- Búsqueda de objetivos en la red
A diferencia de otros ransomware mas conocidos como WannaCry, SamSam no posee capacidades del tipo gusano o virus, no se replica independientemente. En vez de esto, el ataque se desarrolla utilizando herramientas legítimas de Windows tales como PsExec junto con credenciales robadas, tal como si se tratase de una aplicación legítima administrada por el dominio del usuario.
El atacante utiliza las credenciales robadas para tomar control de uno de los servidores víctima, el cual utiliza como centro de comando para todo el ataque. Desde esta ubicación se realiza un análisis de la red, una vez que puede ingresar a otro sistema, escribe un archivo llamado test.txt, a la vez genera un archivo llamado alive.txt en el servidor de comando, el cual será utilizado como lista de objetivos.
Al ser este procedimiento de forma manual, no llama mucho la atención. También permite que el atacante escoja sus objetivos prácticamente “con pinza” y conocer cuales son los equipos encriptados.
5.- Despliegue y ejecución del ransomware
La forma mas común de ejecución es la aplicación Sysinternals PsExec, mediante la cual el atacante copia los archivos a través de la red. En casos de bloqueo de PsExec se ha detectado la utilización de PowerAdmin PaExec.
6.- Pago
una vez que el ataque fue iniciado, lo único que queda para el atacante es esperar a ver si la víctima toma contacto mediante el sitio de pagos en la dark web. El atacante otorga 7 días para el pago del rescato, aunque por un costo adicional se puede extender este tiempo
Prevención e IoC
La extensión de los archivos encriptados ha ido variando conforme evolucionan las versiones de SamSam, originalmente siendo .stubbin para luego cambiar en abril de 2018 a .berkshire, después a .satoshi y últimamente a .sophos. Lo cual es considerado como un tributo debido a las dificultades que Sophos les ha puesto para la propagación de este ransomware.
Algunos URL de sitios de pago:
roe53ncs47yt564u.onion/east3roe53ncs47yt564u.onion/fatmanroe53ncs47yt564u.onion/athenaevpf4i4csbohoqwj.onion/hummerevpf4i4csbohoqwj.onion/cadillac
Algunas billeteras de Bitcoin asociadas:
136hcUpNwhpKQQL7iXXWmwUnikX7n98xsL1FDj6HsedzPNgVKTAHznsHUg4pKnGRarH61EzpHEojHsLkHTExyz45Tw6L7FNiaeyZdm1NkDXh778bwxhKb1Wof9oPbUfs6NWrURja182jpCsoGD92Pi5JrKnfAhoHVF9rqHdCjm
Nombres de nota de rescate:
HELP_DECRYPT_YOUR_FILES.htmlHOW_TO_DECRYPT_FILES.htmlHELP_FOR_DECRYPT_FILE.htmlI_WILL_HELP_YOU_DECRYPT.htmlPLEASE_READ_FOR_DECRYPT_FILES.htmlWE-CAN-HELP-U.html
Extensiones de archivos encriptados:
.encryptedRSA.encryptedAES.btc-help-you.only-we_can-help_you.iloveworld.VforVendetta
Porcentaje de víctimas por sector industrial:
Gobierno: 13%
Educación: 11%
Salud: 26%
Privado: 50%
La mejor forma de que una organización se proteja ante SamSam, y muchos otros ataques, es reduciendo el perfil de amenaza, y no siendo un objetivo fácil en primer lugar.
Una forma de lograrlo es manteniendo los sistemas con sus actualizaciones de seguridad al día y configuraciones seguras (Gestión de Vulnerabilidades). También que los empleados usen métodos de autenticación seguros, incluyendo contraseñas fuertes (Políticas de contraseña) y en lo posible utilizar un segundo factor de autenticación.
Las organizaciones que no estén parchando regularmente contra vulnerabilidades conocidas en sus aplicaciones y sistemas operativos utilizados, quedan expuestos a que sus sistemas queden públicamente expuestos a estos ataques. Se deben corregir la mayoría de los errores frecuentes tan pronto como posible, como por ejemplo securizar o cerrar el puerto de RDP por defecto 3389 de internet.
Además, Sophos recomienda tomar las siguientes medidas:
Seguir un protocolo estricto de parchado en los sistemas operativos y todas las aplicaciones que se ejecutan en éste.Realizar análisis de vulnerabilidades y pentesting en red interna y perimetral.Evaluaciones periódicas para identificar los servicios y puertos accesibles públicamente, utilizando herramientas externas como Censys o Shodan, para luego securizarlos.Restringir el acceso al puerto 3389 sólo al personal con acceso, por ejemplo, mediante VPN.Implementar un segundo factor de autenticación en los sistemas internos, aún siendo para colaboradores en la misma LAN o VPN.Mejorar las políticas de contraseñas. Motive a los colaboradores a utilizar gestores de contraseña, claves mas largas y evitar la reutilización de credenciales para múltiples cuentas.Mejorar los controles de acceso. Activar políticas sensibles para securizar cuentas inactivas, bloqueo automático y notificación de cuentas en casos reiterados de logins fallidos.Monitoreo en tiempo real con metas en la identificación y bloqueo necesario en caso de actividad inusual en cuentas, principalmente en las privilegiadas.Educar al personal en temas de seguridad, realizar tests de phishing periódicamente.
Principio del menor privilegio (PoLP)
Refiere a entregar a los usuarios y administradores la menor cantidad de acceso que necesiten para realizar su trabajo, por ejemplo:
Usuarios que no necesiten instalar software no deben tener privilegios de administrador o root en los dispositivos que controlan.Administradores de TI no deberían usar una cuenta con credenciales de administrador de Dominio para ver la web y revisar el correo.Cuentas de servicio que son usadas para servicios importantes como Base de Datos, no deberían acceder a servidores de respaldo.

SamSam ransomware y el ataque a la ciudad de Atlanta

El jueves 22 de marzo de 2018 fuimos testigos de las consecuencias que trae un ataque de ransomware organizado y dirigido. La última víctima de infecciones del ransomware SamSam fue la ciudad de Atlanta en EEUU. Fuentes oficiales indicaron que la ciudad se encontraba activamente luchando contra una infección por ransomware, lo cual resultó en la pérdida de acceso a archivos y la baja de servicios y sistemas.
Según el Jefe de Operaciones de la ciudad, Ricard Cox, la infección se detectó a las 5:40 am del jueves (hora local) afectando en principio a los servicios relacionados con el pago de cuentas y archivos judiciales en línea. El lado positivo es que el sitio web y la infraestructura crítica como el sistema de seguridad pública, aguas y el aeropuerto operaron sin mayores problemas.
La nota de rescate desplegada en cada equipo indica que los atacantes solicitaban $6.800 dólares americanos para desencriptar los archivos en cada computador infectado. Alternativamente se le ofreció a “la ciudad” la opción de pagar $51.000 dólares a cambio de las llaves de desencriptación para todos los computadores afectados en el ataque.
La alcadesa de Atlanta, Keisha Lance Bottoms, al ser consultada por los planes de la ciudad para pagar el rescate, no descartó la opción inmediatamente, aduciendo que estaban a la espera de consejo por parte de agencias federales.
La ciudad estuvo trabajando con el FBI, el departamento de seguridad interna, Microsoft y Cisco para determinar la causal de esta infección y la mejor forma de responder al ataque. Los expertos que revisaron la nota encontraron similitudes que sugieren que el ransomware involucrado es SamSam, una cadena de ransomware que ha incrementado en actividad en lo que va del año, infectando otras agencias de gobierno estadounidense. SamSam tiene un historial de réplica mediante internet, principalmente a través de ataques de fuerza bruta en RDP o explotando vulnerabilidades específicas.
También se confirmó que los sistemas de esta ciudad tienen servidores con SMBv1 expuesto a internet, lo que permitiría una explotación mediante EternalBlue (el mismo exploit de WannaCry y NotPetya).
Algunas cosas acerca del ransomware SamSam
Su notoriedad comenzó junto con el 2018: Éste no fue el primer ataque con un objetivo gubernamental utilizando SamSam, ya en enero otras municipalidades y oficinas de gobierno fueron infectadas, en más de una ocasión. Aunque originalmente fue descubierto en 2016 al ser utilizado contra blancos consistentes en organizaciones relacionadas con la salud que utilizaban servidores vulnerables JBoss. Una de sus víctimas, Erie County Medical Center, sufrió por meses sus consecuencias y el daño se estimó en $10 millones de dólares. Actualmente los atacantes que lo utilizan llevan acumuladas ganancias de más de $300.000 dólares en Bitcoin.SamSam se utiliza principalmente contra organizaciones gubernamentales y de salud: Como ya fue indicado anteriormente, este ransomware fue utilizado en ataques contra este tipo de organizaciones, se intuye que esto se debe a los presupuestos acotados junto con la gran criticidad de los servicios ofrecidos, de esta forma el impacto es mayor en muchos aspectos, lo que fuerza a sus víctimas a realizar el pago del rescate para recuperar la operatividad de sus servicios.

No se propaga por correos: Al contrario de muchas cadenas de ransomware, SamSam no depende de empleados despistados ni de correos con supuestos premios que tienten a hacer “click aquí”. En vez de eso, este ransomware utiliza las vulnerabilidades en servidores para ganar acceso mediante credenciales débiles o expuestas. Tampoco son los únicos que utilizan este enfoque, identificar los puertos abiertos y servicios como RDP es una técnica frecuente en los ataques en el último tiempo. Para prevenir los ataques por RDP se sugiere:

Restringir el acceso mediante firewalls y utilizar un gateway de RDP, usar VPN.Usar contraseñas robustas y un segundo factor de autenticaciónLimitar los usuarios que puedan utilizar el Escritorio Remoto.Implementar una política de bloqueo de cuentas para bloquear aquellas que son víctimas de ataques de fuerza bruta

Los atacantes detrás de SamSam son especialistas en evitar detecciones de antivirus y en atacar a ls mismas víctimas en reiteradas oportunidades: En cada uno de estos incidentes, las limitaciones de los antivirus tradicionales han sido expuestas. Con el más claro ejemplo del ataque al departamento de transporte de Colorado el cual fue infectado a pesar de contar con el antivirus McAfee en todos sus equipos. McAfee respondió actualizando su software con nuevas firmas para bloquear esta variante de SamSam. Sin embargo al cabo de 8 dias después los atacantes enviaron una nueva variante diseñada para evadir la detección por firmas, infectaron a la misma organización por segunda vez, en esta ocasión el portavoz de la oficina de tecnologías de la información de Colorado asumió que las herramientas que estaban utilizando no sirvieron pues el malware se encuentra adelantado a ellos. En este punto una herramienta de detección por comportamiento como Sophos Intercept X hubiese sido vital desde un comienzo para salvaguardar la integridad y disponibilidad de los datos.SamSam puede ser evitado: Hoy los ataques avanzados evaden o inhabilitan los antivirus. Para poder detenerlos, las organizaciones deben invertir en herramientas más inteligentes, la seguridad endpoint avanzada debe tener la habilidad de no sólo bloquear ejecutables, sino detener el comportamiento malicioso en tiempo real. Sophos Intercept X con Deep Learning es un sistema liviano de análisis de comportamiento, el deep learning de Intercept X hace que sea mas inteligente y brinda mayor seguridad que las herramientas que utilizan únicamente el aprendizaje automático tradicional o la detección basada en firmas.

Fuente: https://blog.barkly.com/atlanta-ransomware-attack-2018-samsam

WannaMine, el nuevo modelo de ataque que desplaza progresivamente al ransomware

El año pasado estuvimos repletos de historias acerca de ataques ransomware, los cuales son bastante dolorosos.
Son rápidos, brutales y altamente perjudiciales, el ransomware difiera de otros ataques de malware que intentan mantener un bajo perfil y evitar la exposición.
Además el ransomware puede salir bastante caro de remediar, aún cuando tenga un proceso de respaldo y recuperación eficientes, es mas engorroso este proceso de que tan solo seguir trabajando normalmente.
De hecho, el ransomware puede ser aún mas caro, puede ser un desafío ético, forzándonos a tomar difíciles desiciones entre intentar reparar el problema o hacer un trato con los criminales con la esperanza de tener nuestro negocio funcionando libremente.
Pero hay un nuevo tipo de malware en el 2018: Cryptomining.
El malware de criptominado se trata cuando los delincuentes infectan sigilosamente su computador con un software que realiza cálculos que generan criptodivisas tales como Bitcion, Monero o Ethereum, así los delincuente se quedan con las criptodivisas generadas.
Esto lo realizan dado que para generar dinero con el “minado” de criptodivisas, necesitas mucha electricidad para entregar mucho poder de procesamiento a muchos computadores.
Entonces puedes arrendar espacio en un rack gigante de servidores, por ejemplo en Islandia, donde la electricidad es barata y el clima es lo suficientemente frío como para evitar que tus servidores se frían…
… o puedes robar la electricidad de otras personas, poder de procesamiento y aire acondicionado al utilizar malware que infiltre criptominadores en sus redes, sus navegadores, sus cafeterías, y más.
Cual es el daño
Si se infecta con un criptominador, todos sus datos seguirán ahi, y aún tendrá acceso a ellos, entonces el criptominado suena como un golpecito comparado con el ransomware.
Sin embargo, su computador probablemente se volverá enervantemente lento, los ventiladores de los portátiles rugirán todo el tiempo y la duración de la batería será nula.
En un dispositivo móvil, todos estos efectos secundarios son mucho mas graves, ya que el quedarse sin batería implica que se apagará rápido y el sobrecalentamiento asociado con el uso suer-pesado del procesador podría ocasionar un daño permanente.
Irónicamente, mucha información acerca del criptominado indica que no se sugiere minar en teléfonos móviles, el poder de procesamiento no es suficiente para resultados decentes, así el costo superaría a los beneficios. Claro que a los delincuentes detrás de este tipo de ataque no les importa.
¿Como protegerse?
Un software de prevención de exploits como Sophos Intercept X puede bloquear este tipo de ataques, al reconocer el comportamiento de este malware detecta el abuso de condiciones en el sistema operativo y lo bloquea.
Un sistema de antivirus y prevención de intrusos (Sophos Endpoint Protection) puede detener los procesos maliciosos que permiten que se ejecute el ataque, aún cuando los exploits que lo permiten se reinicie cada vez.
Un dispositivo de seguridad en la red como el Firewall XG de Sophos puede bloquear el tráfico de red que un malware criptominador requiere para funcionar.
Junto con lo anteriormente expuesto, la mejor defensa es la preparación, parchar nuestros sistemas oportunamente nos da la ventaja de estar al día en las protecciones que el fabricante de nuestro sistema operativo ofrece.
Un ejemplo es con el tristemente célebre ransomware WannaCry, cuya propagación era evitable luego de instalar el parche MS17-010 de Microsoft para sus sistemas operativos Windows.
Esto no impide que se sigan ejecutando ataques con ransomware, de hecho esta semana ha causado un gran revuelo el ransomware GrandCrab, el cual solicita una recompensa cercana al millón de pesos en una criptomoneda llamada Dash (la cual es mucho mas difícil de rastrear que el general de las criptodivisas)

Ransomware Scarab ataca a escala global

Una campaña con correos maliciosos está tomando forma, el mayor botnet de spam, Necurs, envía una nueva cadena de ransomware a una escala de 2 millones de correos por hora.
Entre el spam malicioso que se encuentra distribuyendo están el los troyanos Dridex y Trickbot, además de los ransomware Locky y Jaff, junto con una nueva versión de Scarab.

En estos correos se encuentra un script de VB y un adjunto comprimido en 7zip para realizar la descarga. Estos correos llegan con un adjunto en formato “Scanned from <MARCA_IMPRESORA>”.
Como siempre la principal recomendación es no abrir correos no esperados o de alguna otra forma sospechosos. Adicionalmente es grato saber que Sophos Antivirus detecta y previene este malware.
Para el próximo año se espera que el ransomware sea el principal método de ataque para los ciberdelincuentes, una excelente forma de prevención es Sophos Intercept X, el cual utiliza el comportamiento de las aplicaciones para evitar encriptaciones no solicitadas.
Información Técnica:
SHA-256:
Script: c7e3c4bad00c92a1956b6d98aae0423170de060d2e15c175001aaeaf76722a52
7zip: 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
URL de descarga (bloquear):
hard-grooves[.]com/JHgd476?
pamplonarecados[.]com/JHgd476?
miamirecyclecenters[.]com/JHgd476?
———–
Adicionalmente se detectaron nuevos hashes y fuentes de amenazas, los cuales también se recomienda bloquear:
http://8 0.211.173.20:80/amnyu.arm 0255c6d7b88947c7bc82c9b06169e69d http://8 0.211.173.20:80/amnyu.arm 3e72bbab07516010ab537d7236c48a2c http://8 0.211.173.20:80/amnyu.arm 6c5cadcc9dbcac55b42d1347f4b51df1 http://8 0.211.173.20:80/amnyu.arm7 2e5ec99ef2cf8878dc588edd8031b249 http://8 0.211.173.20:80/amnyu.arm7 359527251c09f4ec8b0ad65ab202f1bb http://8 0.211.173.20:80/amnyu.arm7 4c21d1f6acfb0155eb877418bb15001d http://8 0.211.173.20:80/amnyu.arm7 5cd69f7c5cd6aef4f4b8e08181028314 http://8 0.211.173.20:80/amnyu.arm7 794f01740878252e8df257b0511c65df http://8 0.211.173.20:80/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20:80/amnyu.arm7 eee4ff0e2c9482acea3251c9c2ce6daf http://8 0.211.173.20:80/amnyu.arm a6f11eba76debd49ee248b6539c4d83c http://8 0.211.173.20:80/amnyu.arm ccc8761335b2d829dff739aece435eac http://8 0.211.173.20:80/amnyu.arm dd10fb3ed22a05e27bca3008c0558001 http://8 0.211.173.20:80/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20:80/amnyu.m68k 1782f07f02d746c13ede8388329921e4 http://8 0.211.173.20:80/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20:80/amnyu.m68k 84d737bc5a1821c2f21489695c2c3a71 http://8 0.211.173.20:80/amnyu.m68k 8f347206f06b05ea8d2e8ea03f4f92d4 http://8 0.211.173.20:80/amnyu.m68k 94353157ddcd3cb40a75a5ecc1044115 http://8 0.211.173.20:80/amnyu.m68k b1c66e2a2ed68087df706262b12ca059 http://8 0.211.173.20:80/amnyu.m68k b8aedf6ee75e4d6b6beeafc51b809732 http://8 0.211.173.20:80/amnyu.mips 0ee0fc76a8d8ad37374f4ac3553d8937 http://8 0.211.173.20:80/amnyu.mips 2aa0c53d7d405fa6ffb7ccb895fb895f http://8 0.211.173.20:80/amnyu.mips 56b74e34ddf0111700a89592b5a8b010 http://8 0.211.173.20:80/amnyu.mips 62fa57f007a32f857a7e1d9fb5e064eb http://8 0.211.173.20:80/amnyu.mips 633df071ac6f1d55193fc4c5c8747f2a http://8 0.211.173.20:80/amnyu.mips 6eed6b55c5cd893aa584894a07eec32f http://8 0.211.173.20:80/amnyu.mips 97c314a2a100ea4987e73e008225d3be http://8 0.211.173.20:80/amnyu.mpsl 09d98cbaa9794184841450221d410f15 http://8 0.211.173.20:80/amnyu.mpsl 21f1ab847a9b27f8aaabcafd9cf59756 http://8 0.211.173.20:80/amnyu.mpsl 33e1e2803bb70cd0d66911175782c6a1
http://8 0.211.173.20:80/amnyu.mpsl 4e63eccca00b01b66162fa5258d03956 http://8 0.211.173.20:80/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http://8 0.211.173.20:80/amnyu.mpsl 7e0f883f239c922a151aab2500400880 http://8 0.211.173.20:80/amnyu.mpsl e46cbc10309e970ec267afee496832c9 http://8 0.211.173.20:80/amnyu.ppc 3dadafe1cc9639a7d374682dafab954c http://8 0.211.173.20:80/amnyu.ppc 49e4b3e5d7302c2faf08c1ed585a89ca http://8 0.211.173.20:80/amnyu.ppc 80bcea07b752ae4306da5f24f6693bea http://8 0.211.173.20:80/amnyu.ppc 9e4caeada13676ddc5b7be44e03fe396 http://8 0.211.173.20:80/amnyu.ppc a40852f9895d956fe198cb2f2f702ebf http://8 0.211.173.20:80/amnyu.ppc a8bde89d2fe98268801b58f42214cdca http://8 0.211.173.20:80/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http://8 0.211.173.20:80/amnyu.sh4 141930ed206ef5f076b2a233b390ea65 http://8 0.211.173.20:80/amnyu.sh4 1bdaf4cd21fb9cb42d971a25fb183d04 http://8 0.211.173.20:80/amnyu.sh4 25d3ddb85bf392c273dd93922199628c http://8 0.211.173.20:80/amnyu.sh4 39eddba755333e22841b2627a2a19e59 http://8 0.211.173.20:80/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http://8 0.211.173.20:80/amnyu.sh4 56afda94860e8d1ca8a7b9960769020d http://8 0.211.173.20:80/amnyu.sh4 9dc0c166e30922d1ea8da06ba46996dc http://8 0.211.173.20:80/amnyu.spc 3f0322c0b7379e492a17d3cb4fa2c82e http://8 0.211.173.20:80/amnyu.spc 53c60f58ce576071c71ede7df656e823 http://8 0.211.173.20:80/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http://8 0.211.173.20:80/amnyu.spc 651b186b04583f0067d4cc2d95565a95 http://8 0.211.173.20:80/amnyu.spc a18b4a6250f51c1f350b37e1187292fb http://8 0.211.173.20:80/amnyu.spc c5e1a57671dab607b8fa7363ab6582ab http://8 0.211.173.20:80/amnyu.spc e6cd9197d443fb9fa79ab103232e2b67 http://8 0.211.173.20:80/amnyu.x86 018a9569f559bfafbc433dc81caf3ec0 http://8 0.211.173.20:80/amnyu.x86 1663952daca0c49326fb8fa5585d8eec http://8 0.211.173.20:80/amnyu.x86 243d2c8ba1c30fa81043a82eaa7756e7 http://8 0.211.173.20:80/amnyu.x86 4b375509896e111ef4c3eb003d38077f http://8 0.211.173.20:80/amnyu.x86 6371b6b1d030ac7d2cb1b0011230f97f
http://8 0.211.173.20:80/amnyu.x86 64bda230a3b31a115a29e0afd8df5d8a http://8 0.211.173.20:80/amnyu.x86 ed825b8aadee560e5c70ffaa5b441438 http://8 0.211.173.20/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20/amnyu.mips 97c314a2a100ea4987e73e008225d3be http:// 80.211.173.20/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http:// 80.211.173.20/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http:// 80.211.173.20/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http:// 80.211.173.20/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http:// 80.211.173.20/amnyu.x86 4b375509896e111ef4c3eb003d38077f http:// blacklister.nl/bins/mirai.arm be6165a3e131cc92d3f7d51284cf70bb http:// blacklister.nl/bins/mirai.arm5n c639bc6b50ab0be250147572956a9d6b http:// blacklister.nl/bins/mirai.arm6 8f9c5099e3749d0199262289c9deaa3d http:// blacklister.nl/bins/mirai.arm7 e508956188f2cb71605ae0e8fbdf4a64 http:// blacklister.nl/bins/mirai.i486 25846ce769f0bd5b204f440127d51f21 http:// blacklister.nl/bins/mirai.i686 d3c82dd5d512304efc6a42018f0bf2a7 http:// blacklister.nl/bins/mirai.m68k 3ef657efcfe16ad869a587d30480306f http:// blacklister.nl/bins/mirai.mips b4af22c2b3b1af68f323528ee0bc6637 http:// blacklister.nl/bins/mirai.mips64 1e1d6b41a13c97ad3754815021dd0891 http:// blacklister.nl/bins/mirai.mpsl 6adb31781db797712d759f564b9761b6 http:// blacklister.nl/bins/mirai.ppc 7936cc1d021664892c48408ec1c9143c http:// blacklister.nl/bins/mirai.ppc440fp fd6235e4e1cf4a0f6c2d609a7b1ffc55 http:// blacklister.nl/bins/mirai.sh4 5c8ef7f23f26e0e48ab527ef83874213 http:// blacklister.nl/bins/mirai.spc 7ce73df7fb50beda2f549f9695a23538 http:// blacklister.nl/bins/mirai.x86 539e9bf8c81bd3e9ae520fd74218a6b8 http:// blacklister.nl/bins/mirai.x86_64 d69e501480f03f06e4579fa13e47d04a

2017: El año en que se demostró la necesidad de seguridad en TI

Existe una pregunta que suele ser cada vez mas frecuente: ¿Que debo hacer en caso de ser víctima de ransomware?, la respuesta es un poco más compleja de lo que quisiéramos. Los ataques de ransomware son cada vez mas frecuentes y complejos, afectando a organizaciones de cualquier tipo y tamaño a escala global. De hecho debemos plantearnos que los ciberataques están mas presentes que nunca y que afectan nuestra vida profesional y privada… a menos de que nos preparemos, lo cual es la clave para alejarnos de estos problemas.
Existen varios ejemplos en distintas industrias que han sido afectadas: Educación, salud, banca, infraestructura y más. Estas organizaciones son atractivas para los criminales ya que las vulnerabilidades que estas presentan son la puerta de entrada para que ellos encuentren lo que buscan: ganancia. Mediante el robo de información sensible (correos, números de RUT, tarjetas de crédito, contraseñas) además del secuestro de datos y equipos, y la inyección de malware que convierte nuestros equipos en recursos malignos para propagación, control y ataque. Por consiguiente la ganancia para los ciber criminales es alta junto con los daños para nuestros negocios.
La pérdida de datos médicos de un paciente hospitalario puede tener consecuencias fatales, análogamente en una institución financiera una intrusión y robo de datos puede provocar la quiebra financiera de clientes e inclusive existen casos de extorsión industrial con amenazas de sabotaje mediante malware, en los cuales es la producción de una compañía es la amenazada, junto con todo lo que esto conlleva.
Una encuesta del instituto SANS indica que el mayor tipo de ataque a instituciones financieras es el ransomware, seguido del phishing.
Esto nos lleva a la pregunta inicial: ¿Que debo hacer en caso de ser víctima de ransomware?. Primero debemos modificar esta pregunta por: ¿Que debo hacer para evitar ser víctima de ransomware?, y no solo de ransomware, sino de cualquier tipo de ciberataque. Aquí la respuesta viene con un prefacio: Somos blanco de ciberataques de forma permanente, la prevención es la mejor defensa. La prevención consiste en disminuir nuestra superficie de ataque, y eso se logra de la siguiente manera:
Gestión de vulnerabilidades: Es el proceso de identificar brechas de seguridad en nuestros sistemas y gestionar la mitigación de tales brechas. Como ejemplo: El ransomware WannaCry utiliza una brecha de seguridad del stack SMB en Windows para su propagación, existe un parche por parte de Microsoft desde 1 mes antes de que empezaran los ataques masivos; gran parte de la propagación de este ransomware se pudo haber evitado si tal actualización se hubiese aplicado oportunamente, (artículo recomendado: http://www.corporateit.cl/index.php/2017/09/08/gestion-de-vulnerabilidades-lecciones-para-prevenir-y-para-no-lamentar/)
Antivirus: Base de la protección de sistemas, el antivirus es una herramienta que debe estar presente en todos los dispositivos finales que se encuentren conectados a alguna red y/o que contengan información valiosa. Aunque su nombre ya debiese ser “antiMALWARE”, consiste en la detección oportuna de código malicioso, para su eliminación. Además de sus actualizaciones constantes y frecuentes, brinda una protección primaria siempre disponible. En Makros recomendamos Sophos Endpoint Protection, para usuarios particulares existe una opción gratuita en Sophos Home
Protección por análisis de comportamiento: Se trata de un símil a un antivirus pero que no se basa en “firmas” para la detección de amenazas, sino en el comportamiento de las aplicaciones en ejecución. Mediante este análisis se puede detener y frenar exitosamente problemas tan graves como el ransomware, pues cuando detecta un cifrado de archivos que no es solicitado por el usuario, lo detecta, detiene y reporta. Un excelente ejemplo es Sophos Intercept X
(Next Generation) Firewall: Un cortafuegos es otra medida base en un sistema de seguridad, el filtro de acceso a ciertos sitios y el bloqueo de puertos de entrada locales reduce aún mas las posibilidades de que un atacante pueda tener éxito en ciertos tipos de intrusión. Esto sumado a una reportabilidad incluida “out-of-the-box” y la posibilidad de enlazarse con la consola de antivirus (Sophos Endpoint Protection) crean una potente herramienta en pos de aumentar la seguridad perimetral e interna de nuestra organización.
Anti Phishing: Sin duda la puerta de entrada principal para el malware y otros cibercrimenes es el usuario final, los correos de suplantación de identidad y sitios falsos son el factor que presenta la mayor amenaza en contra de la seguridad organizacional. El entrenamiento de nuestros usuarios debiese ser parte central de una campaña de “prevención de riesgos informáticos”. En Makros ya contamos con una plataforma de medición y entrenamiento para la prevención de phishing, la cual se encontrará a disposición en diciembre de 2017 completamente en español. De todas formas es una gran ayuda para medir cuán seguros estamos frente a la ingeniería social.
Resumiendo: Según los eventos mas relevantes de este año en materia de seguridad, debemos tener siempre en consideración estos aspectos de defensa (y otros a detallar en próximas entregas) para la protección de nuestros activos mas valiosos, la información y las personas.
Ah, y finalmente… nunca pagar el “rescate” de un ransomware, ya que no existe la seguridad de que el pago de tal rescate nos permita recuperar los datos secuestrados. Además de que al pagar estaremos validando esta actividad criminal. Una buena política de respaldos de información y la aplicación de las medidas indicadas en este artículo disminuyen en gran medida la posibilidad de un ataque y su eventual impacto.

Malware en correo phishing simil de Carabineros

Hemos detectado una nueva campaña de phishing + malware dirigido a usuarios de Chile, se trata de una supuesta citación de fiscalía, entregada por Carabineros de Chile. El correo aduce una denuncia por amenazas y adjunta la supuesta citación en formato .RAR.

El malware adjunto se ha detectado como un downloader que puede controlar e infectar con otros malware (o ransomware) nuestro equipo.
Quizás lo mas importante para evitar ser victima de este crimen es analizar críticamente los correos no esperados, sobretodo si nos induce a descargar archivos adjuntos. Adicionalmente, y para este tipo de casos de phishing, es considerar que en Chile los documentos oficiales como citaciones, partes, demandas y demases, son enviadas al domicilio del involucrado por correo físico tradicional, y muchas veces certificado. Por lo que cualquier tipo de citación legal inesperada lo mas probable es de que se trate de phishing. Es por eso el énfasis en el análisis del contenido no esperado.