Archivos de etiquetas: Sophos

El ransomware “MegaCortex” quiere ser El Único

La súbita aparición de este nuevo ransomware en un gran número de redes empresariales no era el regalo del Día del Trabajo que todos esperaban.
Un nuevo ransomware que se hace llamar MegaCortex tuvo una explosión de vida el miércoles pasado, cuando fueron detectados un gran número de ataques en contra de clientes Sophos al rededor del mundo. Los atacantes que entregaban este nuevo malware emplearon sofisticadas técnicas en sus intentos de infectar a las víctimas.
El intrincado método de infección que MegaCortex emplea, apalanca componentes automáticos y manuales, pareciera que incluye una gran cantidad de automatización para infectar un gran numero de víctimas. En los ataques investigados, los atacantes utilizaron un script de ataque bien común en los red-team para invocar en el ambiente de la víctima un reverse shell de meterpeter. Desde el shell inverso, la cadena de infección utiliza scripts de PowerShell, archivos por lotes desde servidores remotos, y comandos que solamente se ejecutan en algunas máquinas específicas para que el malware descargue ejecutables encriptados, que inicialmente han sido empotrados en el malware primario.
El ataque es iniciado desde un controlador de dominio interno en la red corporativa, cuyas credenciales parecieran estar comprometidas, en lo que sugiere una intrusión e infección manual.
El nombre del malware es un homenaje mal escrito a la corporación burocrática en la cual trabaja el personaje “Thomas A. Anderson” (Neo) en la primera película de The Matrix. La nota de rescate pareciera ser uno de los diálogos del personaje de Lawrence Fishbourne en esta película, Morpheus.

La referencia cinematográfica de la nota de rescate no es sólo eso. La carga ejecutable firmada digitalmente que utiliza para realizar la encriptación tiene un certificado con un CN idéntico al encontrado en ejecutables de noviembre de 2018 mientras aún se buscan las similitudes con muestras más recientes. Al buscar en este CN, los investigadores de Sophos hallaron aún más muestras en su repositorio, las cuales parecieran estar relacionadas con el mismo atacante.
La muestra más antigua hallada de este malware corresponde a una subida a VirusTotal desde República Checa el 22 de enero de este año. Los primeros reportes de usuarios afectados se remontan a febrero, aunque sin infecciones muy extensas, sólo desde el peak del 1 de mayo es cuando se han presentado la mayor cantidad de alertas.

Mientras que la nota de rescate no menciona un precio que estos criminales demanden, ellos sí ofrecen a sus víctimas “una consultoría acerca de cómo mejorar la ciberseguridad de su compañía” y además “garantizan que su compañía jamas será nuevamente incomodada por ellos”.
Mientras que los números de infecciones van al alza, Sophos reunió un equipo de analistas de malware y staff de soporte para apoyar el análisis inicial del ataque y sus repercusiones.
Como funciona MegaCortex
Ahora mismo, no podemos indicar certeramente si los ataques de MegaCortex son apoyados u orquestados por el malware Emotet, pero hasta ahora en la investigación (aún en curso) pareciera existir una correlación entre los ataques con MegaCortex y la presencia de Emotet en la misma red, además del malware Qbot.
En ambas familias de malware existe la habilidad de servir como punto de entrada para otras cargas útiles de malware, con Emotet asociado con el malware de robo de credenciales Trickbot, el cual puede descargar e instalar malware adicional en los equipos infectados, auqnue aún no se encuentra evidencia directa de que estos otros malware sean la fuente de la infección.
En vez de esto, las víctimas reportan que el ataque fue iniciado desde algún controlador de dominio comprometido.
El atacante, utilizando credenciales robadas, ejecutó un script de PowerShell el cual estaba fuertemente ofuscado:

Retirando tres capas de ofuscamiento se revela una serie de comandos que descodifica un bloque codificado en base64. Este bloque pareciera ser un script de Cobalt Strike, el cual abre un shell reverso de Meterpreter en la red de la víctima.

El atacante entonces envía comandos mediante el controlador de dominio en el cual tiene acceso remoto.
Este DC utiliza WMI para enviar el malware en forma de una copia de PsExec renombrada como rstwg.exe, el malware principal ejecutable y archivo por lotes, al resto de los computadores en la red que estén a su alcance, posteriormente ejecutará el batch remotamente mediante PsExec.
El batch pareciera ser sólo una larga lista de comandos para matar 44 procesos, detener 189 servicios distintos, y modificar el Startup Type hacia Disabled en 194 servicios distintos, lo que previene que se vuelvan a ejecutar.

Los atacantes apuntan a una gran cantidad de software de seguridad, incluyendo algunos servicios de Sophos, para de esta forma detenerlos y modificar su estado a deshabilitado, de todas maneras una instalación configurada apropiadamente no permite que se realicen estas acciones.

Finalmente este batch llama al ejecutable descargado previamente winnit.exe, el cual es ejecutado con flags de ejecución que son un trozo de datos codificados en base64.

Este comando llama a winnit.exe para descargar y ejecutar una carga DLL que tiene 8 caracteres alfanuméricos aleatorios como nombre, el cual realiza la encriptación hostil. Esto indica que los atacantes utilizan otros archivos por lotes, llamados 1.bat hasta 6.bat, los cuales contienen los comandos para distribuir el winnit.exe y ejecutar el batch por la red de la víctima.

La demanda de rescate
Típicamente la nota de rescate aparece en la raíz del disco duro de la víctima, en forma de un archivo de texto. En este caso aparece con colores invertidos en una tónica alusiva a las referencias con la película The Matrix, incluyendo una cita textual de un diálogo:

Este ransomware genera un archivo con la extensión .tsv y con el mismo nombre de los 8 caracteres alfanuméricos aleatorios que el DLL malicioso. La nota de rescate solicita que la víctima envíe este archivo con su requerimiento para pagar el rescate, a cualquiera de los 2 emails gratuitos que indica cómo contacto.
Protección recomendada para MegaCortex
Aún se encuentra en desarrollo una perspectiva mas clara del proceso de infección, pero de momento, parece ser que existe una fuerte correlación entre la presencia de MegaCortex, y la preexistencia de Emotet y Qbot en las redes infectadas. Si recibe alertas de Emotet o Qbot, podrían ser prioritarias. Ambos malware pueden ser utilizados para distribuir otro malware, y es posible de que así sea el proceso de inicio de infección con MegaCortex.
No se han observado indicios de que exista abuso o explotación de RDP para ingresar a las redes de las víctimas, pero sí es sabido de agujeros en los firewalls corporativos que permitirían que personas se conecten mediante RDP frecuentemente. Se recomienda fuertemente la no utilización de esta práctica y en caso de ser necesario el acceso por RDP utilizar VPN.
Como este ataque pareciera indicar de que existe abuso de contraseñas administrativas, también se recomienda la adopción de un segundo factor de autenticación para todo lo que actualmente requiere sólo una contraseña y tiene la capacidad de utilizar 2FA.
Mantener respaldos de la data más importante y actualizada en un servicio de almacenamiento offline es la mejor forma de evitar el tener que pagar un rescate por ransomware.
Recuerde que los criminales que ya han entrado a una red y encriptan cientos de endpoints, prometen que al pagarles el rescate ellos no lo harán nuevamente, algo de lo que no es posible estar muy seguros.
Sophos Antivirus detecta estas muestras como Bat/Agent-BBIY, Troj/Agent-BBIZ, Troj/Agent.BAWS, y Troj/Ransom-FJQ. Sophos InterceptX además protege a los usuarios del ataque.
IOC
IP del C2 shell reverso de Meterpreter:
89.105.198.28
Hashes:
Batch: 37b4496e650b3994312c838435013560b3ca8571
PE EXE: 478dc5a5f934c62a9246f7d1fc275868f568bc07
Inyector de DLL secundario: 2f40abbb4f78e77745f0e657a19903fc953cc664
Fuente:
https://news.sophos.com/en-us/2019/05/03/megacortex-ransomware-wants-to-be-the-one/

Vulnerabilidad de WinRAR explotada en varias campañas

WinRAR es un gestor de archivos comprimidos lanzado en 1995, utilizado por más de 500 millones de usuarios a nivel global. Recientemente fue hallada una vulnerabilidad en este aplicación que permite especificar el destino de los archivos extraídos al utilizar el formato ACE, independiente de la ubicación que defina el usuario.
Los atacantes pueden obtener fácilmente persistencia y ejecución remota de código al implantar cargas maliciosas y extraerlas en ubicaciones críticas como “Inicio” de Windows.
Esta vulnerabilidad ya se encuentra solucionada en la última actualización de WinRAR (5.70), pero debido a que este aplicación no cuenta con actualizaciones automáticas, aún existe una gran cantidad de usuarios expuestos a esta vulnerabilidad.
Según FireEye, se han detectado una variedad de campañas con malware escondido en archivos RAR que explotan esta vulnerabilidad. También los métodos de engaño al usuario e infección.
Aclaración: Estos casos son los detallados por FireEye, existe evidencia de la utilización de este método en al menos una campaña que apunta a la banca chilena, lo cual se encuentra detallado en este link: https://www.makros.cl/single-post/2018/11/29/Aumento-de-SPAM-relacionado-al-malware-EMOTET
Caso 1: Suplantación de identidad de Consejo de Acreditación Educacional (USA)
El vector consuste en una carta de aprobación que contiene un ACE dentro de un archivo RAR (Scan_Letter_of_Approval.rar), crea un script de VB en la carpeta de inicio de Windows para que se autoejecute la próxima vez que se inicie este sistema operativo.
Para evitar las sospechas del usuario, el archivo ACE contiene un documento que sirve como señuelo, llamado “Letter of Approval.pdf”, el cual aduce provenir de una organización de educación establecida.
Luego el archivo VBS que viene en el .ACE se instala en el inicio de Windows para ser ejecutado por wscript.exe. Este script define un ID para la víctima basándose en las variables de entorno de Windows. Luego este backdoor se comunica con un servidor de comando y control, en el cual ingresa los datos recopilados de la víctima. La comunicación con este C2 se efectúa mediante cabeceras de autorización HTTP. De esta forma los atacantes pueden ejecutar diversas acciones en el activo infectado como eliminarse, descargar archivos, obtener información del hardware y revisar la presencia de antivirus.

Caso 2: Ataque a la industria militar israelí
De acuerdo a un email enviado a proceso en Virus Total, el atacante aparentemente envía un correo simulado a la víctima, el cual contiene adjunto un archivo ACE dentro de un RAR llamado SysAid-Documentation.rar, Según Virus Total y luego de analizar los encabezados del correo esto se trataría de un ataque a una empresa militar israelí.
La supuesta documentación del adjunto es para un sistema de help desk llamado SysAid, de Israel. En la carpeta descomprimida se encuentra un archivo llamado Thumbs.db.lnk, el cual sirve para las vistas previas de los archivos, sin embargo éste apunta a otro archivo con extensión .BAT el cual descarga su carga útil maliciosa, con la cual puede obtener los hashes NTLM.
Después el malware adjunto utiliza diversos métodos para descargar otra carga útil más, la cual se presume que contiene código específico para extracción de datos.

Caso 3: Ataque potencial en Ucrania con backdoor Empire
En este escenario, el archivo ACE dentro del RAR contiene un PDF que simula ser un mensaje del ex presidente ucraniano, el cual contiene supuesta información de alianzas público-privadas.
Cuando el archivo es extraído, un .BAT es ubicado en la carpeta de inicio, esta contiene los comandos que llaman comandos de PowerShell, los cuales a su vez constituyen el backdoor conocido como Empire, el cual es conocido por su baja detección y altos mecanismos de persistencia.

Caso 4: Más señuelos
Estas campañas ocupan distintos señuelos para distribuir varios tipos de RAT y spyware, uno de estos señuelos aduce ser archivos “filtrados” con números de tarjetas de crédito y contraseñas. Una vez abierto efectivamente muestra un listado de documentos de texto supuestamente con estos datos. A la vez que descarga e instala QuasarRAT, utilizado por sus capacidades como keylogger.
Recomendaciones
Debido a la amplia explotación de esta vulnerabilidad, por los factores indicados al comienzo de este artículo, la primera recomendación y más urgente es actualizar WinRAR a la última versión disponible (5.70 o superior). Esta recomendación de mantener nuestras aplicaciones actualizadas es válida para todo programa que utilicemos.
Además es conveniente contar con un antivirus NextGen como Sophos InterceptX, ya que éste analiza el comportamiento de los procesos en curso para detectar patrones inusualmente maliciosos.
IoC:

Apps con cryptojacking y adware en Google Play

Los ciberdelincientes especializados en criptomonedas han cambiado su foco hacia los dispositivos móviles para minar criptomonedas, esto mediante aplicaciones infectadas.
Sophos llevó una investigación en conjunto con Cyber Threat Alliance para revisar la existencia de código de criptominado en apps móviles.
En octubre de 2018 hallaron 25 aplicaciones educativas, de juegos y servicios en Google Play que contenían código de criptominado. Al ejecutarse relizaban este proceso en segundo plano para ocultar a los usuarios el verdadero fin de estas apps.
La mayor parte de éstas incluyeron el código del malware de minado Coinhive, escrito originalmente en JavaScript para minar la criptomoneda Monero. Coinhive se especializa en realizar el criptominado utilizando la CPU, a diferencia de la mayoría de las aplicaciones de criptominado que utilizan los procesadores gráficos para esta labor.
Las apps de criptominado fueron prohibidas en Google Play, sin embargo, muchas pasan por los filtros previos a la publicación. La inclusión de código para estos fines es relativamente sencilla, con unas cuantas líneas de código y llamando a un proceso del motor del navegador integrado WebView.

Sin perjuicio de lo anteriormente expuesto, en la segunda semana de marzo de 2019, Google Play eliminó más de 200 aplicaciones de juegos y simuladores que contenían adware (malware de publicidad). Los usuarios afectados tienen que eliminar estas aplicaciones de forma manual.
El malware utilizado en esta campaña es SimBad, el cual muestra publicidad no deseada, además de acceder a datos personales y compartirlos a terceros. Junto con esto, SimBad tiene características de acceso remoto, por lo que puede “actualizarse” bajo demanda de los atacantes a cargo o inclusive, instalar un proceso de criptominado en segundo plano.
Las características de una infección por malware en móviles son:
Muestran anuncios fuera de las aplicaciones. Por ejemplo, cuando los usuarios desbloquean el teléfono o abren otras aplicacionesAbren constantemente tanto Google Play como 9Apps Store y redireccionan a otra aplicación con el objetivo de aumentar sus beneficios por la instalación de otras aplicacionesPara evitar ser desinstaladas, las aplicaciones esconden al launcher su icono de inicio de aplicaciónAbren un navegador con enlaces generados por el desarrollador de la aplicaciónDescargan archivos APK y piden al usuario que los instaleBúsqueda de palabras en Google Play propuestas por la aplicación
Para eliminar estas aplicaciones maliciosas instaladas en un dispositivo Android, es recomendado reiniciar el dispositivo en Modo Seguro, luego ejecutar un scan con antivirus como Sophos Mobile, y luego ingresar a Configuración para eliminar manualmente algún rastro de estas aplicaciones maliciosas, y finalmente reiniciar normalmente el dispositivo.
Las aplicaciones infectadas (recomendamos eliminarlas inmediatamente):
App – Package
Snow Heavy Excavator Simulator – com.heavy.excavator.simulator.driveandtransportHoverboard Racing – com.hoverboard.racing.speed.simulatorReal Tractor Farming Simulator – com.zg.real.tractor.farming.simulator.gameAmbulance Rescue Driving – com.ambulancerescue.driving.simulatorHeavy Mountain Bus Simulator 2018 – com.heavymountain.bus2018simulatorFire Truck Emergency Driver – com.firetruckemergency.driverFarming Tractor Real Harvest Simulator – com.farming.tractor.realharvest.simulatorCar Parking Challenge – com.carparking.challenge.parksimulatorSpeed Boat Jet Ski Racing – com.speedboat.jetski.racing.simulatorWater Surfing Car Stunt – com.watersurfing.carstunt.racing.simulatorOffroad Wood Transport Truck Driver 2018 – com.offroad.woodtransport.truckdriverVolumen booster & Equalizer – com.volumen.booster.equalizerPrado Parking Adventure – com.ks.prado.Car.parking.race.drive.appsOil Tanker Transport Truck Driver – com.zg.offroad.Oil.tanker.transporter.truck.cargo.simulatorMonster Truck Demolition – com.monstertruck.demolitionHummer taxi limo simulator – com.hummerlimotaxi.simulator.drivingExcavator Wrecking Ball Demolition Simulator – com.excavator.wreckingball.demolition.simulatorOffroad Gold Transport Truck Driver 2018 – com.offroad.gold.transport.truckSea Animals Truck Transport Simulator – com.sea.animals.trucktransport.simulatorWater Surfing Motorbike Stunt – com.water.surfingrace.motorbike.stuntPolice Chase – com.policechase.thiefpersecutionPolice Plane Transporter – com.police.plane.transporter.gameAmbulance Driver Extreme Rescue – com.ambulance.driver.extreme.rescue.simulatorHovercraft Racer – com.hovercraftracer.speedracing.boatCars Transport Truck Driver 2018 – com.cars.transport.truckdriver.simulatorMotorbike Pizza Delivery – com.motorbike.pizza.delivery.drivesimulatorHeavy Excavator – Stone Cutter Simulator – com.heavy.excavator.stonecutter.simulatorBottle shoot archery – com.bottle.shoot.archery.gameOffroad buggy car racing – com.offroadbuggy.car.racingsimulatorGarbage Truck – City trash cleaning simulator – com.garbagetruck.city.trash.cleaningsimulatorTanks Attack – com.tanks.attack.simulator.war.attackDinosaur Park – Train Rescue – com.dinosaurpark.trainrescuePirate Ship Boat Racing 3D – com.pirateshipboat.racing3d.simulatorFlying taxi simulator – com.flyingtaxi.simulator.raceJetpack Water – com.jetpackinwater.racersimualtor.dangerVolumen Booster – com.boostervolumen.amplifiersoundandvolumenAnimal Farming Simulator – com.farmgames.animal.farming.simulatorMonster Truck – com.monstertruck.racing.competition.simulatorOffroad jeep car racing – com.simulator.offroadjeep.car.racingFlying Car Stunts On Extreme Tracks – com.simulator.flyingcar.stunt.extremetracks.racingTractor Farming 2018 – com.simulator.tractorfarming.drivingImpossible Farming Transport Simulator – com.impossible.farming.transport.simulatorVolumen Booster – com.volumenbooster.equalizerboostMustang Rally Championship – com.mustang.rally.championship.racingsimulatorDeleted Photo Recovery – com.deleted.photo.recoverySpeed Boat Racing – com.race.boat.speedySuper Cycle Jungle Rider – com.cycle.bike.racing.gameMy name on Live Wallpaper – com.write.name.live.wallpaper.hdMagical Unicorn Dash – com.maginal.unicorn.gameSuper Cycle Jungle Rider – com.grafton.cycle.jungle.rider.raceLove Caller Screen – com.lovecallingapps.lovecaller.ScreenRacing Car Stunts On Impossible Tracks – com.city.car.funny.racing.stunt.game.proRacing Car Stunts On Impossible Tracks 2 – com.citycar.funny.racinggame.stunt.simulatorUrban Limo Taxi Simulator – com.urban.Limo.taxi.simulation.gamesTractor Farming Simulator – com.cg.heavy.tractor.simulator.gameCamper Van Driving – com.campervan.drivingsimulator.caravanBottle Shoot Sniper 3D – com.bootleshoot.sniperFull Screen Incoming Call – com.globalcoporation.fullscreenincomingcaller.appBeard mustache hairstyle changer Editor – com.mustache.beard.editorVolumen Booster – com.volumenbooster.increaservolumengirlfriend photo editor – com.photoeditor.girlfriend.addgirlstophoto.picMobile Number Tracker & Locator – com.tracker.location.number.free.spyGarden Photo Editor – com.garden.editor.appFortune Wheel – com.fortunewheel.gameFarming Transport Simulator 2018 – com.farming.transport.tractor.simulatorOffRoad Tractor Transport – com.offroad.tractor.transport.drivingsimulatormy name on live wallpaper – com.customwallpaper.mynameonlivewallpaperFlying Ambulance Emergency Rescue – com.flying.ambulance.emergency.rescue.simulatorMustang Driving Car Race – com.mustang.driving.car.raceWaterpark Car Racing – com.waterpark.carracing.simulatorImpossible Tracks – Extreme Trucks – com.impossibletrucks.extremetrucks.simulatorFlying Motorbike Stunts – com.extreme.flying.motorbike.stuntsimulatorFire Truck Emergency Rescue – Driving Simulator – com.emergency.firetruck.rescue.drivingsimulatorHeavy Snow Excavator Snowplow Simulator – com.snowplow.simulator.heavysnow.excavatorWater Skiing – com.waterskiing.simulator.gamesWomen Make Up and Hairstyle Photo Maker – com.photomaker.editor.women.makeupandhairstyleMountain Bus Simulator – com.fortune.mountainVan Pizza – com.vanpizza.truckdelivery.simulatorTruck Transport and Parking Simulator – com.truck.simulator.transportandparkingHoverboard Racing Spider Attack – com.hoverboard.racing.spider.attacksimulatorMotorsport Race Championship – com.moto.sport.championship.racingsimulatorDemolition Derby – com.demolitionderby.simulatorLove Caller with love ringtones – com.lovecaller.free.loveringtonesHouse Transport Truck – Moving Van Simulator – com.house.transport.truck.movingvan.simulatorHeavy Excavator Stone Driller Simulator – com.heavy.excavator.simulator.stonedrillerSuper Cycle Downhill Rider – com.cycle.downhill.gameExtreme Rally Championship – com.extreme.rallychampionship.raceMissile Attack Army Truck – com.missileattack.army.truckCaller Location & Mobile Location Tracker – com.mobile.caller.location.tracker.freecallMobile number locator – com.mobilenumberlocator.trackerMy name on Live Wallpaper – com.mynameonlivewallpaper.animated.hdCity Metro Bus Pk Driver Simulator 2017 – com.spk.coach.offroad.School.bus.mountain.freeFull Screen Incoming Call – com.fullscreen.incomingcaller.appMan Casual Shirt Photo Suit – com.allsuit.man.casualshirt.photo.editorAmerican muscle car race – com.americanmuscle.car.raceOffroad Nuclear Waste Transport – Truck Driver – com.offroad.nuclearwastetransport.truckdriverMad Cars Fury Racing – com.madcars.fury.racing.driving.simulatorHigh Wheeler Speed Race – com.high.wheeler.speed.race.championshipNumber Coloring – com.colorbynumber.number.coloring.paint.gameCamper Van Race Driving Simulator 2018 – com.campervan.race.driving.simulator.gameUnicorn Float – Speed Race – com.unicornfloat.speedrace.simulatorDual Screen Browser – com.dualscreenbrowserHarvest Timber Simulator – com.harvest.timber.simulatorandtransportHot Micro Racers – com.racingsimulator.hot.micro.racersLara Unicorn Dash – com.lara.unicorn.dash.magical.raider.raceWingsuit Simulator – com.wingsuit.simulator.extremeFood Truck Driving Simulator – com.foodtruck.driving.simulatorDog Race Simulator – com.dograce.competitionSUV car – parking simulator – com.suvcar.parking.simulator.gamePhone Finder – com.clap.phonefinder.locatorPhone number locator – com.phonenumerlocator.findphonenumbersGallery Lock – com.whatsapplock.gallerylock.ninexsoftech.lockSecret screen recorder – com.secret.screenrecorder.screenshotrecordFace Beauty Makeup – com.facebeauty.makeupChristmas letters to santa and three wise man – com.write.your.christmas.letter.santa.threewisemenDeleted Files recovery – com.deletedfiles.photo.audio.video.recoveryDual Screen Browser – com.screndualbrowserdouble.app.androidBroken Screen – Cracked Screen – com.crack.mobile.screen.prankGarden Photo Editor – photoeditor.Garden.photoframeModi Photo Frame 2 – com.modiphotoframe.editorLove Caller Screen – com.callerscreen.lovecallerAnti Theft & Full Battery Alarm – com.antitheftalarm.fullbatteryalarm.soundLove Caller Screen 2 – com.lovecaller.screen.customVoice reading for SMS. Whatsapp & text sms – com.sms.message.voice.readingName on Pic-Name art – com.photo.text.editor.nameonpicSpeed Boat Racing – com.mtsfreegames.SpeedboatracingTrain Driving Simulator – com.simulator.traindrivingSuper Cycle Rider – com.grafton.Cycle.jungle.riderRacing Horse Championship 3D – com.gl.racinghorse.competitionMove App To SD Card 2016 – moveapptosd.tosdcard.freeappPop Toy Creator – com.avatarmaker.poptoy.creatorPhoto Live Wallpaper – com.myphoto.live.wallpaper.editorMagical Unicorn Dash – com.messenger2.play.game.UnicorndashkTruck Wheel of Death – com.truck.wheelofdeathLive Translator – com.livetranslator.translateinliveVolume Control Widget – com.volumecontrol.widget.volumeboosterWorld cup 2018 football shirt maker – com.worldcup2018football.shirt.maker.photoeditorGirlfriend Photo Editor 2 – com.girlfriendphotoeditor.girlsinyourphotoMy Photo on Music Player – com.myphoto.on.musicplayer.freetaxi – com.taxidriving.simulatorgame.raceGarden Photo Editor – com.garden.photoeditor.photoframeFortune Wheel Deluxe – com.fortunewheel.deluxeExtreme Motorcycle Racer – com.motorcycle.extremeracing.simulatorOffroad Snow Bike – Christmas Racing – com.offroad.snow.bike.christmas.racingBottle Shoot – com.Droidhermes.bottleninjaPhoto Background Changer 2017 – com.Hadiikhiya.photochangebackgroundOffroad Christmas Tree Transport – com.offroad.christmas.treetransport.truck.driversimulatorTank Transport Army Truck – com.tank.transport.armytruck.simulatorFlag face paint: World Cup 2018 – com.flagteams.facepaint.editor.world2018cupWorld Cup 2018 Teams Flags Live Wallpaper – com.russianworld2018cup.livewallpaper.flagsteamSelfie Camera – com.editor.selfie.camera.photoMissile Attack Army Truck – com.desirepk.Offroad.transport.simulator.appsMax Player – massimo.Vidlan.maxplayerFlash Alert – Flash on Call – com.flashalerts.callandsmsPhoto Video Maker with Music – com.photovideo.maker.withmusicBrain Games & IQ Test – com.braingames.iqtest.skillsAudio Video Mixer – com.mix.audio.and.videoPop Toy Creator 2 – com.poptoy.creator.edityourpoptoyFlash on Call and SMS – com.flashalert.callandsmsHeart Photo Frames – com.photoframe.of.heartShayari 2017 – com.shayari.hindi.status.photo.textPhoto on Birthday Cake – com.happy.photo.birthday.cakeNature Photo Frames – com.photoeditor.nature.photoframesCalendar 2018 Photo Frame – com.photoframe.calendar2018editorChristmas Truck Transport Simulator – com.christmas.truck.transportsimulator.gameModern Santa – Christmas van drive – com.christmas.vandrive.modern.santaChange your voice – com.anbrothers.voicechanger.appMoster vs Water – com.monsters.vs.water.duelEDIT Flowers Photo Frames – com.flowers.editor.photo.framePhoto Video Maker with Music – videoeditor.musicvideo.Phototovideomaker.videoeditorToilet Paper Race – com.racing.games.toiletpaper.raceDog Crazy Race Simulator – com.Zv.puppiesdog.racegameLuxury Photo Frame – com.luxury.photo.frame.photo.editorBike Wheel of Death – com.bike.wheelofdeathWorld Famous Photo Frames – com.qbesoft.worldfamousphotoframes.appHeavy Snow Excavator Christmas Rescue – com.heavysnowexcavator.christmas.rescueDeleted Files Recovery – com.syor.deleted.photo.recovery.video.restoreFootball Results & Stats Analyzer – com.footballanalyzer.resultsandstats3D Photo Frame Cube Live Wallpaper – com.photoframe.cube3d.live.wallpaper.hdGreen Hill PhotoFrame – com.photoframe.geenhillChristmas Magic Board – com.christmas.magnetic.magicboard.drawandwriteAnimal Parts Photo Editor – com.animalspart.photo.editorDSLR Camera Blur – com.camera.blur.photoeffectsCar Photo Frame – com.quick.photo.frame.carphotoframeHands Slap Game – com.game.handsslap.manitascalientes.redhands4D Maa Durga Live Wallpaper – com.maa.durga.live.wallpaperMen Sweatshirt Photo Editor – com.photomontage.men.sweatshirt.editorConnect Letters. Words Game – com.wordsgame.connectlettersRecover Deleted Pictures – lanas.recover.deleted.pictures.photosCustom Radio Alarm Clock – com.customized.radio.alarm.clockAnti-spam Calls – com.antispamcalls.blockspamcallerCompatibility Test – com.compatibilitytest.friends.couplesDual Screen Browser – com.dualscreen.android.app.doubleMagic Glow Live Wallpaper – com.magic.glow.livewallpaper.animatedwallpaperPorgy Virtual Pet – com.game.virtualpet.porgyTap the Ball – com.explosiongame.taptheballClock Live Wallpaper – com.analog.digital.clock.live.wallpaperRoyale Stats – com.royalestas.informationFire text photo frame – com.editor.firetext.photo.frameChristmas greetings card – editor.card.greetings.christmas.com.christmasgreetingscardBest App Lock – com.bestappsco.bestapplock.freeDJ Photo Frames – com.DJ.photoframe.editorAuto Call redial – com.autocall.redial.automatic.recallGuess the picture – com.picquiz.guess.picture.gameProfesionalRecorder – com.professionalrecorder.audio.call.record
Fuentes:

Sophos incorpora protección de movimientos laterales a su XG Firewall para detener el avance de los ciberataques

Sophos (LSE: SOPH), líder global en seguridad para protección de redes y endpoints, ha anunciado que su firewall de nueva generación: Sophos XG Firewall ahora incluye la protección contra movimientos laterales para prevenir ataques dirigidos manualmente o impedir que exploits avancen en una red comprometida.
En El informe de ciberamenazas 2019 de SophosLabs se ha analizado el aumento en el ransomware dirigido. Se estima que más de 6,5 millones de dólares han sido recaudados gracias a la campaña del rasomware SamSam, por lo que no es una sorpresa que los delincuentes se sientan atraídos por este método. En estos ataques, los ciberdelincuentes se dirigen a los puntos débiles de entrada y las contraseñas de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) mediante fuerza bruta. Una vez dentro, se mueven de forma lateral, trabajando paso a paso para robar las credenciales de administrador del dominio, manipular los controles internos y deshabilitar las copias de seguridad, entre otros ataques. Para cuando la mayoría de los administradores de TI se den cuenta de lo que está ocurriendo, el daño estará hecho.
“La mayoría de las organizaciones están centradas en protegerse contra los bots automáticos, pero no contra los ataques interactivos y dirigidos por humanos. Si los adversarios activos entran en el sistema pueden “pensar lateralmente” para sortear obstáculos, evadir las detecciones y moverse por todo el sistema. Es difícil detenerlos a no ser que se tomen las medidas de seguridad adecuadas” afirmó Dan Schiappa, senior vice president y general manager of products de Sophos. “La mayoría de los movimientos laterales se producen en el endpoint, por ello la sincronización en la seguridad es importante. Los atacantes intentarán avanzar sin usar técnicas de malware, tales como exploits, Mimikatz y escalada de privilegios. La red necesita saber para poder responder y apagar o aislar automáticamente los dispositivos infectados antes de que alguien o algo continúe propagándose”.
Ataques similares como BitPaymer, Dharma y Ryuk, usan técnicas de movimientos laterales parecidas para distribuir el rasomware de forma manual. Estos ataques son muy diferentes a los kits de herramientas de Rasomware como servicio (RaaS) que se venden en la dark web. Desde Sophos se espera que los ataques controlados manualmente continúen en 2019.
“Detener los movimientos laterales, tanto de atacantes activos como de exploits de tipo gusano, compartiendo información entre el firewall y los endpoints y aislar automáticamente los sistemas infectados es fundamental para todas las empresas hoy en día”, comentó Schiappa. “Desafortunadamente, muchos entornos empresariales pueden tener puntos ciegos en los switches de red o sus segmentos LAN, y estos se pueden convertir en secretas plataformas de lanzamiento para los ataques. Las nuevas características del XG Firewall de Sophos previene que las amenazas se extiendan, incluso cuando el firewall no tenga control directo sobre el tráfico”.
La Protección de Movimiento Lateral se habilita a través de la Seguridad Sincronizada
Sophos XG Firewall interactúa automáticamente con las soluciones endpoint de Sophos, incluyendo el nuevo Intercept X Advanced con Endpoint Detection and Response (EDR), para ofrecer esta nueva capa de protección. Estos anclajes de seguridad esenciales se conectan a través del Security Heartbeat en la tecnología de Seguridad Sincronizada de Sophos. Esto crea una solución inteligente que puede predecir y proteger contra las amenazas proactivamente, detectar y prevenir nuevas infecciones al aislar automáticamente las máquinas y poner remedio a la infección. La tecnología Security Heartbeat permite aislar automáticamente endpoints de alto riesgo del resto de máquinas en el mismo dominio de difusión o segmento de red.
“Nuestros ingeniosos y agresivos adversarios están pendientes de desarrollar nuevas ciberamenazas, aprovechando los exploits o atacando a las empresas de forma manual, accediendo a través de un punto débil en la red, seguido por un movimiento lateral y la elevación de credenciales, es una técnica habitual a día de hoy”, ha dicho Frank Dickson, research vice president, Security Products, IDC. “Al conectar la red y la información de los endpoints a través de Security Heartbbeat, Sophos ha implementado una significativa e innovadora característica para identificar y mitigar los ciberataques centrados en movimientos laterales en cuestión de segundos, automatizando la prevención de la propagación de una amenaza al aislar el endpoint. Esencialmente, Intercept X se fortalece con la aplicación de Sophos XG Firewall para crear un enfoque más integrado y sinérgico de la ciberdefensa para las empresas, aliviando la carga administrativa para los profesionales de ciberseguridad”.
“Hace unos años, cuando todo el mundo hablaba sobre la necesidad de tener los mejores productos para crear un enfoque por capas, Sophos ya era pionero en la Seguridad Sincronizada y había revolucionado el mercado de la ciberseguridad con su solución Security Heartbeat. En el mundo de hoy de ciberamenazas en constante cambio, tener soluciones para protección de endpoints y redes que se comuniquen entre ellos y que compartan inteligencia es más importante que nunca”, ha declarado Brandon Vancleeve, vice president, Pine Cove Consulting, un partner de Sophos en Bozeman, Montana. “La Protección de Movimiento Lateral es una gran mejora de la ya impresionante Seguridad Sincronizada de Sophos. Ahora, la protección del XG Firewall y del endpoint podrán aislar los dispositivos dentro de su propia subred. Esto es un importante desarrollo que solo aumentará la seguridad de nuestros clientes, permitiéndoles una visibilidad instantánea de las amenazas más allá de la red. La mayoría de nuestros clientes tienen varios segmentos LAN o Layer 3 Networks, por lo que la nueva capacidad de detección se suma a lo que consideramos la mejor protección disponible en el mercado”.
Las nuevas y mejoradas funciones en Sophos XG Firewall incluyen:
Mejoras en la protección

Cobertura IPS más profunda y amplia con mayor granularidad en los patronesProtección de JavaScript contra el cryptojacking
Mejoras en el sandboxing de Sandstorm

La integración con Intercept X para identificar las amenazas el día cero antes de que entren en la redAnálisis profundo de comportamiento, redes y memoria con machine learning, CryptoGuard y detección de vulnerabilidades de seguridad
Mejoras de networkingNuevo cliente Sophos Connect IPSec VPN con soporte para Seguridad Sincronizada
Herramientas de formación
Compatibilidad con la autenticación del cliente de Chromebook para la política basada en el usuario e informesSoporte de políticas de usuario/grupo para las restricciones de SafeSearch y YouTube
Disponibilidad
Sophos XG Firewall está disponible a través de los partners registrados de Sophos en todo el mundo. No es necesario ningún hardware para una prueba gratuita de XG Firewall, disponible en Makros.

Twittean vulnerabilidad 0-Day de Windows

El investigador de seguridad conocido como SandboxEscaper, liberó vía Twitter la prueba de concepto (PoC) de un exploit para una vulnerabilidad, hasta el momento desconocida, que afecta al sistema operativo Microsoft Windows.
SandboxEscaper es el mismo investigador quien previamente liberó exploits para dos vulnerabilidades 0-Day, dejando expuestos a ataques a todos los usuarios de Windows, hasta que Microsoft liberó las correspondientes actualizaciones de seguridad.
Esta nueva vulnerabilidad expuesta consiste en un problema de lectura arbitraria de archivos, la cual podría permitir que un usuario con pocos privilegios (o a un programa mal intencionado) leer el contenido de cualquier archivo (al que no debiese tener acceso a menos de ser Administrador) en un sistema Windows.
Esta vulnerabilidad reside en la función “MsiAdvertiseProduct” la cual es responsable de generar “un script de aviso o aviso de productos para el computador y además habilita al instalador para que escriba en el registro junto con los atajos de información usados para asignar o publicar un producto”.
De acuerdo al investigador, debido a una validación impropia, la función afectada puede ser abusada para instalar forzadamente una copia de cualquier archivo, asignándole privilegios de Sistema y leer su contenido, resultando en una vulnerabilidad de lectura de archivos arbitraria (Arbitrary File Read).
El investigador añadió: “Aún sin un vector de enumeración, estas son malas noticias, debido a que bastante software de documentos (como Office) mantienen archivos en ubicaciones estáticas que contienen la ruta completa y los nombres de archivo de los documentos recientemente abiertos”.
“Además de leer documentos como estos, es posible obtener nombres de archivos de documentos creados por otros usuarios; el sistema de archivos es una telaraña y las referencias a archivos creados por diversos usuarios son posibles de hallar en cualquier parte”
El sitio de Github en el cual fue publicado el exploit fue bajada y la cuenta de este investigador suspendida.
Para evitar la explotación de amenazas avanzadas como esta, recomendamos implementar un sistema de protección contra amenazas avanzadas (Advanced Endpoint Security) como Sophos InterceptX Advanced con EDR.
El Deep Learning hace que Intercept X sea más inteligente, más escalable y que ofrezca un mayor rendimiento que las soluciones de seguridad para endpoints que utilizan únicamente el Machine Learning tradicional o la detección basada en firmas.
Más información acerca de Sophos InterceptX en https://www.makros.cl/sophos

Nuevo ransomware se propaga rápidamente en China, infectando sobre 100.000 computadores

Un nuevo ransomware se está propagando rápidamente en China. Este ya ha infectado más de 100.000 computadores en los últimos cuatro días como resultado de un ataque de cadena de producción, y el número de afectados crece cada hora.
Algo interesante en este malware es que no demanda un pago en Bitcoins, en vez de eso los atacantes solicitan el pago de 100 yuanes (cerca de 16 dólares) como rescate mediante WeChat Pay (el sistema de pagos ofrecido por la aplicación de mensajería más usada en China).
Al contrario de las epidemias de WannaCry y NotPetya que ocasionaron caos a nivel mundial el año pasado, este ransomware sólo está afectando a usuarios de China.
Además, incluye una habilidad adicional de robar las contraseñas de los usuarios de Alipay, NetEase, Baidu Cloud Disk, Jingdong, Taobao, Tmall, AliWangWang y QQ.
De acuerdo a lo informado por la empresa china de ciberseguridad Velvet Security, los atacantes agregaron un código malicioso en el software de programación “EasyLanguage”, utilizado por un gran número de desarrolladores.
El programa modificado maliciosamente está diseñado para inyectar este ransomware en cada aplicación y software compilado por esta plataforma, en otro ejemplo de un ataque en cadena de producción para distribuir el malware rápidamente.
Este malware encripta todos los archivos en el sistema infectado, exceptuando aquellos con extensión .gif, .exe, y .tmp.
Para defenderse de los antivirus tradicionales, los atacantes firmaron el código de su malware con una firma digital de confianza de Tencent Technologies, esto además evita que se encripten datos de algunos directorios específicos como “Tencent Games”, “League Of Legends”, entre otros.
Si el rescate no es pagado en el tiempo indicado, el malware amenaza con borrar la llave de desencriptación de sus servidores de comando y control.
Junto con la encriptación de archivos y el robo de credenciales, este ransomware ademas colecta información del equipo infectado: modelo de CPU, resolución de pantalla, información de la red y un listado del software instalado.
Los investigadores de ciberseguridad encontraron que el ransomware fue programado de manera simple y los atacantes mienten acerca del proceso de encriptación, ya que la nota de rescate indica que los archivos fueron encriptados utilizando el algoritmo DES, pero en realidad están encriptados con un algoritmo mucho menos seguro llamado Xor y además almacena una copia de la llave de desencriptación localmente en %user%AppDataRoamingunname_1989dataFileappCfg.cfg
Usando esta información, Velvet Security creó una herramienta de desencriptación gratuita que puede desencriptar los archivos fácilmente sin la necesidad de pagar por algún rescate.
Debido a la innovación en la forma que se están produciendo las amenazas, de forma cambiante continuamente, es recomendado contar con alguna herramienta de protección avanzada de amenazas y análisis de comportamiento como Sophos Intercept X
Fuente: https://thehackernews.com/2018/12/china-ransomware-wechat.html

Banco Consorcio afectado por un evento de ciberseguridad

Fuentes: https://www.biobiochile.cl/noticias/economia/negocios-y-empresas/2018/11/08/banco-consorcio-es-victima-de-hackeo-informatico.shtml
https://nakedsecurity.sophos.com/tag/emotet/
Nuevamente la ciberseguridad bancaria en Chile se ve afectada. En esta oportunidad los ciberdelincuentes pudieron exfiltrar información confidencial y sensible de Banco Consorcio.
Según el mismo Banco, el daño está valorizado en un monto inferior a los US$2 millones y ya está en proceso de ser recuperado, puesto que además existen seguros comprometidos.
El modo de penetración utilizado (según Biobiochile) fue mediante un correo malicioso que incluía el malware Emotet. Este correo simulaba ser un aviso de actualización de Word, por lo que bastaría con que un sólo colaborador cayera en esta estafa para que este malware se distribuyera por la entidad.
El Banco indicó que no habría perjuicio para sus clientes debido a este incidente y se encuentra permanentemente monitoreando la situación con la ayuda de expertos internacionales en el tema.

Si fuera el caso de este malware, la información es que Emotet es un troyano aunque también contiene la funcionalidad necesaria para ser clasificado como un gusano. La principal diferencia es que un troyano requiere cierto grado de ingeniería social para engañar a un ser humano para que permita la propagación de la infección, mientras que un gusano puede extenderse a otros sistemas sin la ayuda de un usuario. Emotet descarga entonces ejecuta otras cargas útiles, así que aunque su componente central no sea directamente un gusano, tiene el potencial de descargar y ejecutar otro componente para extenderse a otros sistemas.
Cómo funciona
La infección inicial se distribuye a través de spam de correo electrónico. Los investigadores de Sophos en Agosto de este año, recopilaron la siguiente secuencia de eventos:
Un correo electrónico no deseado que contiene un enlace de descarga llega a la bandeja de entrada de la víctima. El enlace de descarga señala un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica y inicia un script Powershell. El script Powershell luego intenta descargar y ejecutar Emotet desde múltiples fuentes de URL.
Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble con un gran diccionario de contraseñas débiles y comúnmente usadas.
También descarga un componente de auto-actualización capaz de descargar la última copia de sí mismo y otros módulos. Este componente se guarda como% windows% <filename> .exe, donde el nombre de archivo está compuesto de 8 dígitos hexadecimales.
Algunos de los otros módulos de este componente descargas se utilizan para recolectar credenciales de otras aplicaciones conocidas o para recolectar direcciones de correo electrónico de Outlook archivos PST para su uso con spam dirigido.
Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. A continuación, instala y ejecuta el exe actualizado como un servicio de Windows.
Sin embargo, Sophos está protegiendo a los clientes de la amenaza y ha creado un artículo de Knowledge Base con un desglose completo de las variantes detectadas.
Esta noticia se encuentra en desarrollo, por lo que estamos constantemente verificando los detalles de esta con las fuentes de información

SamSam Ransomware ya llega a casi US$6 millones en ganancias

Recientemente Sophos publicó un estudio de este ransomware, incluyendo su método de propagación y ganancias de los atacantes. Considerando la gravedad de los casos como por ejemplo en hospitales, municipalidades y plantas industriales de Estados Unidos. Esta publicación además incluye consejos para evitar este tipo de ataques.
A inicios de 2016 fueron las primeras detecciones del ransomware SamSam, un malware cuyo modo de infección era distinto a todo lo conocido anteriormente. Este ataque utiliza una variedad de herramientas incluodas en Windows para escalar sus propios privilegios y luego analizar la red en búsqueda de objetivos. Luego se copia en cada equipo posible.
Una vez que se ha copiado la carga en los equipos de una red, la instrucción de encriptar se ejecuta considerando el horario local de las maquinas infectadas, con tal de que los administradores se encuentren – literalmente – durmiendo.
Al contrario de otros ransomware, la distribución de SamSam es manual. No existen campañas de spam con adjuntos sospechosos. En este caso el ataque es “a la antigua”, forzando ingresos a puertos RDP expuestos por ejemplo, y explotando vulnerabilidades de los sistemas. SamSam tiene mayor éxito cuando se trata de un sistema con una contraseña fácil de adivinar.
Puntos clave:
SamSam ha recaudado aproximadamente US$6 millones desde fines de 2015.74% de las víctimas conocidas se encuentran en Estados Unidos. Otras regiones afectadas en menor medida son Canada, Reino Unido y el Medio Este.La mayor cantidad pagada por rescate por una víctima individual, hasta ahora, está avaluada en US$64.000, bastante más que la mayoría de las familias de ransomware.Los objetivos han sido organizaciones de sector público en salud, educación y gobierno en un 50%, siendo la otra mitad empresas que no han revelado públicamente detalles de estos ataques.Los atacantes escogen cuidadosamente al objetivo meticulosamente y el proceso de encriptación ocurre en momentos donde el monitoreo de los administradores de sistemas es poco probable.Al contrario de otro ransomware, SamSam no solo encripta documentos, imágenes, datos personales o de trabajo, también encripta archivos de configuración necesarios para ejecutar aplicaciones (como Microsoft Office). De esta forma las estrategias de respaldo comunes quedan obsoletas y la única forma de recuperar el equipo es reinstalando todo.Cada ataque subsiguiente muestra un progreso en la sofisticación de la seguridad operacional del ransomware.El costo para las víctimas ha ido en ascenso permanente, sin señal alguna de un declive en la cantidad de ataques.
Anatomía del ataque
El patrón de ataque mediante SamSam es relativamente predecible, comprendiendo las siguientes 6 etapas:
1.- Identificación y adquisición de objetivo
Para la primera parte aún se desconoce el método exacto, pero una posibilidad muy real es la compra de listados de servidores vulnerables en la dark web, o realizando búsquedas en motores como Shodan o Censys. Lo claro es que se tienda a apuntar a organizaciones de mediano y gran tamaño principalmente en Estados Unidos.
La segunda parte, adquirir el objetivo, es bastante directa, en sus comienzos este ransomware explotaba vulnerabilidades en sistemas JBOSS para adquirir los privilegios con los cuales solía distribuirse. Hoy tiene mayor alcance al utilizar fuerza bruta a cuentas de RDP de Windows.
2.- Penetración de la red
Como ya fue descrito, los atacantes concentran sus esfuerzos en utilizar ataques de fuerza bruta al forzar la entrada en máquinas accesibles en internet usando el protocolo de Escritorio Remoto (RDP). Aunque parezca asombroso, una simple búsqueda en Shodan puede revelar miles de direcciones IP accesibles sobre el puerto 3389 (RDP por defecto).
3.- Elevación de privilegios
Esto ocurre mediante una serie de exploits al RDP. Una vez dentro de la red, el atacante utiliza una combinación de herramientas para elevar sus privilegios al nivel de administrador de dominio.Esto puede tomar dias inclusive, la máquina comprometida se encuentra corriendo Mimikatz, una herramienta que registra credenciales, por lo que ellos roban la credencial de administrador al minuto de que ésta es ingresada.
4.- Búsqueda de objetivos en la red
A diferencia de otros ransomware mas conocidos como WannaCry, SamSam no posee capacidades del tipo gusano o virus, no se replica independientemente. En vez de esto, el ataque se desarrolla utilizando herramientas legítimas de Windows tales como PsExec junto con credenciales robadas, tal como si se tratase de una aplicación legítima administrada por el dominio del usuario.
El atacante utiliza las credenciales robadas para tomar control de uno de los servidores víctima, el cual utiliza como centro de comando para todo el ataque. Desde esta ubicación se realiza un análisis de la red, una vez que puede ingresar a otro sistema, escribe un archivo llamado test.txt, a la vez genera un archivo llamado alive.txt en el servidor de comando, el cual será utilizado como lista de objetivos.
Al ser este procedimiento de forma manual, no llama mucho la atención. También permite que el atacante escoja sus objetivos prácticamente “con pinza” y conocer cuales son los equipos encriptados.
5.- Despliegue y ejecución del ransomware
La forma mas común de ejecución es la aplicación Sysinternals PsExec, mediante la cual el atacante copia los archivos a través de la red. En casos de bloqueo de PsExec se ha detectado la utilización de PowerAdmin PaExec.
6.- Pago
una vez que el ataque fue iniciado, lo único que queda para el atacante es esperar a ver si la víctima toma contacto mediante el sitio de pagos en la dark web. El atacante otorga 7 días para el pago del rescato, aunque por un costo adicional se puede extender este tiempo
Prevención e IoC
La extensión de los archivos encriptados ha ido variando conforme evolucionan las versiones de SamSam, originalmente siendo .stubbin para luego cambiar en abril de 2018 a .berkshire, después a .satoshi y últimamente a .sophos. Lo cual es considerado como un tributo debido a las dificultades que Sophos les ha puesto para la propagación de este ransomware.
Algunos URL de sitios de pago:
roe53ncs47yt564u.onion/east3roe53ncs47yt564u.onion/fatmanroe53ncs47yt564u.onion/athenaevpf4i4csbohoqwj.onion/hummerevpf4i4csbohoqwj.onion/cadillac
Algunas billeteras de Bitcoin asociadas:
136hcUpNwhpKQQL7iXXWmwUnikX7n98xsL1FDj6HsedzPNgVKTAHznsHUg4pKnGRarH61EzpHEojHsLkHTExyz45Tw6L7FNiaeyZdm1NkDXh778bwxhKb1Wof9oPbUfs6NWrURja182jpCsoGD92Pi5JrKnfAhoHVF9rqHdCjm
Nombres de nota de rescate:
HELP_DECRYPT_YOUR_FILES.htmlHOW_TO_DECRYPT_FILES.htmlHELP_FOR_DECRYPT_FILE.htmlI_WILL_HELP_YOU_DECRYPT.htmlPLEASE_READ_FOR_DECRYPT_FILES.htmlWE-CAN-HELP-U.html
Extensiones de archivos encriptados:
.encryptedRSA.encryptedAES.btc-help-you.only-we_can-help_you.iloveworld.VforVendetta
Porcentaje de víctimas por sector industrial:
Gobierno: 13%
Educación: 11%
Salud: 26%
Privado: 50%
La mejor forma de que una organización se proteja ante SamSam, y muchos otros ataques, es reduciendo el perfil de amenaza, y no siendo un objetivo fácil en primer lugar.
Una forma de lograrlo es manteniendo los sistemas con sus actualizaciones de seguridad al día y configuraciones seguras (Gestión de Vulnerabilidades). También que los empleados usen métodos de autenticación seguros, incluyendo contraseñas fuertes (Políticas de contraseña) y en lo posible utilizar un segundo factor de autenticación.
Las organizaciones que no estén parchando regularmente contra vulnerabilidades conocidas en sus aplicaciones y sistemas operativos utilizados, quedan expuestos a que sus sistemas queden públicamente expuestos a estos ataques. Se deben corregir la mayoría de los errores frecuentes tan pronto como posible, como por ejemplo securizar o cerrar el puerto de RDP por defecto 3389 de internet.
Además, Sophos recomienda tomar las siguientes medidas:
Seguir un protocolo estricto de parchado en los sistemas operativos y todas las aplicaciones que se ejecutan en éste.Realizar análisis de vulnerabilidades y pentesting en red interna y perimetral.Evaluaciones periódicas para identificar los servicios y puertos accesibles públicamente, utilizando herramientas externas como Censys o Shodan, para luego securizarlos.Restringir el acceso al puerto 3389 sólo al personal con acceso, por ejemplo, mediante VPN.Implementar un segundo factor de autenticación en los sistemas internos, aún siendo para colaboradores en la misma LAN o VPN.Mejorar las políticas de contraseñas. Motive a los colaboradores a utilizar gestores de contraseña, claves mas largas y evitar la reutilización de credenciales para múltiples cuentas.Mejorar los controles de acceso. Activar políticas sensibles para securizar cuentas inactivas, bloqueo automático y notificación de cuentas en casos reiterados de logins fallidos.Monitoreo en tiempo real con metas en la identificación y bloqueo necesario en caso de actividad inusual en cuentas, principalmente en las privilegiadas.Educar al personal en temas de seguridad, realizar tests de phishing periódicamente.
Principio del menor privilegio (PoLP)
Refiere a entregar a los usuarios y administradores la menor cantidad de acceso que necesiten para realizar su trabajo, por ejemplo:
Usuarios que no necesiten instalar software no deben tener privilegios de administrador o root en los dispositivos que controlan.Administradores de TI no deberían usar una cuenta con credenciales de administrador de Dominio para ver la web y revisar el correo.Cuentas de servicio que son usadas para servicios importantes como Base de Datos, no deberían acceder a servidores de respaldo.

La protección predictiva sitúa a Sophos como líder en el Cuadrante Mágico de Gartner

La consultora Gartner, Inc., ha situado a Sophos como líder en el Cuadrante Mágico de 2018 para plataformas de protección de endpoints, posición en la que se mantiene desde 2017 cuando se lanzó la primera edición de este prestigioso informe.
Gartner afirma que la definición de una plataforma de protección de endponits (EPP por sus siglas en inglés) se ha actualizado: “En septiembre de 2017, en respuesta a los cambios en las dinámicas del mercado y los requisitos del cliente, ajustamos nuestra definición de EPP. Una EPP es una solución implementada en dispositivos endpoint para prevenir malware basado en archivos, detectar y bloquear actividad maliciosa de aplicaciones de confianza y no confiables, y proporcionar las capacidades de investigación y corrección necesarias para responder dinámicamente a incidentes de seguridad y alertas. Las organizaciones están dando importancia a las capacidades de protección y detección dentro de una EPP, pero no están valorando la habilidad de los proveedores para proporcionar funciones de protección de datos tales como prevención de pérdida de datos, cifrado o controles del servidor”.
“El panorama de amenazas está evolucionando a un ritmo sorprendente”, explica Dan Schiappa, vicepresidente senior y director general de productos en Sophos. “Durante los últimos 12 meses solo hemos visto repetidos ataques de ransomware contra los que la protección tradicional endpoint, por sí sola, no es suficiente. Para mantenerse a la vanguardia de protección endpoint, los proveedores deben analizar continuamente el panorama y ser más rápidos a la hora de innovar los sistemas de seguridad que los cibercriminales en sus técnicas de ataque. Creemos que la continua posición de Sophos como líder en el Cuadrante Mágico para plataformas de protección de endponits de Gartner demuestra que Sophos puede innovar y ofrecer soluciones que cualquier organización pueden aprovechar cada día. La predicción de amenazas futuras es el siguiente paso en la protección de seguridad y las capacidades de Deep Learning que hemos agregado a nuestro portfolio nos permiten hacer precisamente eso, de forma más efectiva que cualquier otro proveedor de última generación”.
Reforzando aún más los niveles avanzados de protección dentro de su portfolio de solucionesendpoint, Sophos ha anunciado la introducción de Deep Learning basado en redes neuronales y tecnología avanzada anti-exploits a su última versión con protección next-gen de Intercept X. Intercept X puede instalarse junto con el antivirus de cualquier proveedor, aumentando de inmediato la precisión de detección. Sophos cree que sus tecnologías de protección next-gen de redes, servidores y usuarios ampliarán su liderazgo y continuarán protegiendo a los clientes a medida que evolucionan las amenazas. Sophos ha desarrollado la tecnología más avanzada de Machine Learning para mejorar las capacidades de Sophos Sandstorm y continúa potenciando el análisis automatizado de amenazas en las instalaciones de SophosLabs en todo el mundo.
Makros es Platinum Partner de Sophos y además Socio Del Año para Latinoamérica en 2017.

WannaMine, el nuevo modelo de ataque que desplaza progresivamente al ransomware

El año pasado estuvimos repletos de historias acerca de ataques ransomware, los cuales son bastante dolorosos.
Son rápidos, brutales y altamente perjudiciales, el ransomware difiera de otros ataques de malware que intentan mantener un bajo perfil y evitar la exposición.
Además el ransomware puede salir bastante caro de remediar, aún cuando tenga un proceso de respaldo y recuperación eficientes, es mas engorroso este proceso de que tan solo seguir trabajando normalmente.
De hecho, el ransomware puede ser aún mas caro, puede ser un desafío ético, forzándonos a tomar difíciles desiciones entre intentar reparar el problema o hacer un trato con los criminales con la esperanza de tener nuestro negocio funcionando libremente.
Pero hay un nuevo tipo de malware en el 2018: Cryptomining.
El malware de criptominado se trata cuando los delincuentes infectan sigilosamente su computador con un software que realiza cálculos que generan criptodivisas tales como Bitcion, Monero o Ethereum, así los delincuente se quedan con las criptodivisas generadas.
Esto lo realizan dado que para generar dinero con el “minado” de criptodivisas, necesitas mucha electricidad para entregar mucho poder de procesamiento a muchos computadores.
Entonces puedes arrendar espacio en un rack gigante de servidores, por ejemplo en Islandia, donde la electricidad es barata y el clima es lo suficientemente frío como para evitar que tus servidores se frían…
… o puedes robar la electricidad de otras personas, poder de procesamiento y aire acondicionado al utilizar malware que infiltre criptominadores en sus redes, sus navegadores, sus cafeterías, y más.
Cual es el daño
Si se infecta con un criptominador, todos sus datos seguirán ahi, y aún tendrá acceso a ellos, entonces el criptominado suena como un golpecito comparado con el ransomware.
Sin embargo, su computador probablemente se volverá enervantemente lento, los ventiladores de los portátiles rugirán todo el tiempo y la duración de la batería será nula.
En un dispositivo móvil, todos estos efectos secundarios son mucho mas graves, ya que el quedarse sin batería implica que se apagará rápido y el sobrecalentamiento asociado con el uso suer-pesado del procesador podría ocasionar un daño permanente.
Irónicamente, mucha información acerca del criptominado indica que no se sugiere minar en teléfonos móviles, el poder de procesamiento no es suficiente para resultados decentes, así el costo superaría a los beneficios. Claro que a los delincuentes detrás de este tipo de ataque no les importa.
¿Como protegerse?
Un software de prevención de exploits como Sophos Intercept X puede bloquear este tipo de ataques, al reconocer el comportamiento de este malware detecta el abuso de condiciones en el sistema operativo y lo bloquea.
Un sistema de antivirus y prevención de intrusos (Sophos Endpoint Protection) puede detener los procesos maliciosos que permiten que se ejecute el ataque, aún cuando los exploits que lo permiten se reinicie cada vez.
Un dispositivo de seguridad en la red como el Firewall XG de Sophos puede bloquear el tráfico de red que un malware criptominador requiere para funcionar.
Junto con lo anteriormente expuesto, la mejor defensa es la preparación, parchar nuestros sistemas oportunamente nos da la ventaja de estar al día en las protecciones que el fabricante de nuestro sistema operativo ofrece.
Un ejemplo es con el tristemente célebre ransomware WannaCry, cuya propagación era evitable luego de instalar el parche MS17-010 de Microsoft para sus sistemas operativos Windows.
Esto no impide que se sigan ejecutando ataques con ransomware, de hecho esta semana ha causado un gran revuelo el ransomware GrandCrab, el cual solicita una recompensa cercana al millón de pesos en una criptomoneda llamada Dash (la cual es mucho mas difícil de rastrear que el general de las criptodivisas)