Una DDoSis muy alta para la propia protección

Una DDoSis muy alta para la propia protección

Cuando los Ataques de Denegación de Servicio paralizan la organización

 

Cada vez se leen más comunicaciones en las que un ataques DDos ha sido la causa de la parálisis de un sitio web corporativo. Aquí se trata de un tipo de ataque en el que sistemas secuestrados generan oleadas de datos que paralizan las organizaciones. De esta misma forma, no menos frecuente, son los servidores de correo objeto de ataques DDoS.

 

Estos ataques conllevan a que los sitios web, así como servicios individuales, no se encuentren disponibles durante un término de tiempo específico. Esto puede ir desde pocos minutos, a varias horas o a una falla por un día completo. Downtime (tiempo de baja) – una pesadilla para cualquier empresa.

 

Los ataques DDoS tienen como objetivo, no solo la infraestructura TI de grandes consorcios internacionales, que por lo general cuentan con conceptos de seguridad bastante sólidos, sino también pequeñas empresas. Otros objetivos de estos ataques son entidades públicas, administraciones locales, y oficinas administrativas. Las razones son variadas: estas van desde el deseo de ‘destrucción’, hasta la destrucción específica de competidores o administraciones externas. Motivos basados en el odio y la venganza son igualmente recurrentes. Es por esto que el armarse de un concepto de seguridad TI confiable resulta indispensable hoy en día.

 

Ataques DDoS: el vandalismo digital afecta la reputación

 

Cada segundo, en el que por ejemplo un servidor de correo o servicios específicos de sitios web no se encuentran disponibles, cuesta a las empresas dinero. Esto afecta primordialmente a empresas que utilizan el Internet para realizar negocios, a través de la venta de productos o servicios. Lo mismo aplica para áreas de negocio en las que el soporte al cliente se realiza a través del correo electrónico. Los costos no solo se reducen a las ganancias que se dejan de recibir durante la baja del servicio. La implementación de medidas de defensa de forma rápida y en algunos casos, los servicios externos de consultoría, pueden incrementar los costes. De forma paralela, el daño realizado a la reputación de la empresa se convierte en un problema adicional.

 

Las empresas en la que sus clientes no tienen confianza, ven afectada su base de negocio a largo plazo. Por este motivo, resulta comprensible que alrededor del 50% de las empresas afectadas por un ataque cibernético guarden silencio. El temor a tener que aceptar una perdida de imagen es bastante grande.

 

Una reducción en los daños generados puede ser posible en el caso de formas sencillas de criminalidad cibernética. En el caso de ataques DDos y ataques más complejos esto resulta casi que imposible. Este tipo de ataques, no solo afectan las actividades y procesos de las áreas de negocio internas, sino que también generan consecuencias a nivel externo ya que los clientes perciben la falla de forma inmediata al verse afectados por la interrupción del servicio.

 

La solución: Un concepto de seguridad TI confiable

 

Las empresas deben armarse contra ataques tipo DDos y otros tipos de ataque cibernético. Soluciones de seguridad como el Filtro de Spam de Hornetsecurity están en la capacidad de identificar y contrarrestar ataques DDos a un servidor de correo a tiempo y de forma eficaz. En el caso de ataques más complejos, como troyanos de chantaje o robo de identidad, se recomienda el uso del Advanced Threat Protection. Esta solución de seguridad identifica e impide eficazmente Ransomware, ataques tipo Blended y Targeted así como espionaje digital. Para ello cuenta el Advanced Threat Protection (ATP) con motores especializados de análisis. Obtenga más información aquí.

¿Cómo pueden protegerse las empresas contra un ataque DDos?

 

De regreso a los ataques DDoS: para evitarlos, las empresas y las autoridades deben seguir ciertas medidas de seguridad por adelantado. ¿Qué es necesario hacer para protegerse efectivamente contra un ataque DDoS?

 

1. La fuerza explosiva de un ataque DDos

En principio, cualquier organización puede ser objeto de este tipo de ataques. Finalmente cada empresa y cada administración debe hacerse la misma pregunta: “¿Cuáles consecuencias traería la baja del servidor de correo para mi?”. Porque la naturaleza explosiva de un ataque DDoS puede tener diferentes grados de severidad en el entorno corporativo. El tiempo de baja para un comerciante con un almacén en línea, es mucho más grave que para un negocio de artesanía local. Al final, la diferencia no es mucha. Ambos desean mantener la comunicación vía E-Mail con sus clientes. En este sentido, un concepto de seguridad es más que necesario.

 

2. Gestión de riesgo TI

De igual importancia es que en el caso de un ataque DDoS los procedimientos concretos en la empresa ya se encuentren implementados. En el caso de un ataque cibernético, la persona de contacto siempre debe estar disponible. Este puede ser el oficial de seguridad TI de la empresa o un empleado externo de un proveedor de servicios TI que ofrezca servicios de seguridad y que se ocupe de la gestión y administración de seguridad TI.

 

3. Reacción a extorsiones

De manera parecida a un Ransomware, ataques DDoS exitosos suelen estar conectados con un reclamo monetario. Para los cibercriminales se trata de un modelo de negocio bastante lucrativo. Esto es especialmente cierto ya que muy frecuentemente las empresas aceptan las solicitudes de los delincuentes con el fin de evitar consecuencias aun mayores. El BSI (la oficina general de seguridad de la información alemana) aconseja no dejarse extorsionar y declinar el pago de sumas de dinero exigidas. En su lugar, se recomienda solicitar la ayuda de la policía, e igualmente, buscar ayuda de expertos de seguridad TI profesionales.

 

4. Implementación de medidas preventivas

La medida mas importante para evitar ataques DDoS, es no permitirlos en lo absoluto. Para ello, la implementación de una solución TI competente resulta indispensable – idealmente, una basada en la nube. La razón para ello es que este tipo de proveedores disponen de una infraestructura mucho más poderosa que les permite contrarrestar sin problema este tipo de ataques. Adicionalmente, los clientes no se tienen que preocupar por la instalación y el mantenimiento del hardware y del software.

 

Información adicional:

 

  1. ATP de Hornetsecurity
  2. Filtro Spam Hornetsecurity
  3. BSI – Comportamiento ante ataques cibernéticos

 

Ola de Phishing actual: “Downloader Valyria” carga Spyware

Desde fin del pasado año hemos observado una oleada de correos Phishing que contienen el Downloader Valyria. Este es un documento tipo Office que contiene un macro VBA que carga diferentes tipos de Spyware.

 

Posteriormente la víctima es animada, a través de ataques Phishing, a activar la función macro de Microsoft Office. Para ello, los atacantes utilizan los siguientes métodos que se muestran a continuación.

 

 

Hornetsecurity ATP reporta a Valyria

Tendencias del ciberdelito para 2018: Año Nuevo, peligros nuevos

Tendencias del ciberdelito para 2018: Año Nuevo, peligros nuevos

Una mirada hacia el futuro puede merecer la pena. Sobre todo con respecto al tema de la ciberdelincuencia, es ventajoso si las empresas ya saben lo que se aproxima y pueden esperar para el año que entra. Hasta ahora, cada año se ha distinguido por diferentes escenarios de amenazas.

 

Por ejemplo, 2016 aún se le consideraba el año de las “bodas del phishing”, según un artículo de Heise online, , para luego cambiar la tendencia en 2017, año de especial influencia de los ataques de ransomware como WannaCry, Bad Rabbit y NotPetya. Entonces, ¿qué podemos esperar para 2018? Vamos a darle un vistazo.

 

Las criptomonedas en la mira

 

Las criptomonedas en la mira
Al menos una cosa es segura: una vez más, en 2018 los nuevos estándares serán nuevos y más complejos métodos de ataque. Por ejemplo, el ataque llamado “Cryptojacking pudiera ser muy influyente este año. En el Cryptojacking, los ciberdelincuentes toman el control de ordenadores ajenos para utilizarlos para la explotación de criptomonedas como Bitcoin.

 

Para caer presa de esta amenaza, es suficiente con visitar una de las más de 50 000 páginas web que contienen el código malicioso. En ellas, se incluye un snippet de Javascript con el servicio de criptominería “Coinhive”, que obliga a los ordenadores a “excavar” criptomonedas a nombre de los hackers. La CPU del equipo afectado se secuestra de tal manera que es de poco uso para cualquier otra actividad.

 

Debido al alto precio de las criptomonedas, es muy posible que aparezcan nuevos tipos de ransomware en 2018 que se especialicen en explotar Bitcoin y otros. También es muy posible que se ataquen dispositivos inteligentes como televisores o teléfonos móviles con sistemas operativos Android, ya que los hackers consideran que estos son particularmente fáciles de secuestrar.

 

 

Las macros y los Exploits siguen siendo un problema

 

Los ataques con scripts perjudiciales, que los hackers acostumbran esconder en archivos de Office, probablemente continúen acompañándonos en 2018. 
Su objetivo es comunicarse continuamente con sitios web comprometidos desde diferentes dispositivos. Por ejemplo, los agresores usan PowerShell para llevar a cabo actividades de comando y control y así alcanzar los efectos deseados.

 

Sin embargo, nuestro Laboratorio de seguridad advierte ante ataques en los cuales se utilizan vulnerabilidades del sistema. En contraste con las macros, se necesita poca o ninguna interacción del usuario para infectar el sistema. Estas vulnerabilidades muchas veces se aprovechan en software popular muy poco después de su lanzamiento. Si los sistemas de las víctimas no se han actualizado, los hackers no tendrán problema alguno en lograr sus objetivos.

 

 

El “Internet de las cosas” es muy popular, incluso entre los ciberdelincuentes

 

El “Internet de las cosas” (IoT) ya lleva tiempo en boca de todos. La creación de redes de objetos no solo es cosa de aquellos interesados en la tecnología, sino que goza cada vez más de popularidad entre los ciberdelincuentes. Esto es, simplemente, porque muchos de los dispositivos con capacidad inalámbrica no están actualizados en cuanto a seguridad.

 

El desarrollador de ERP, NaoLogic, jocosamente llama en Twitter al “Internet de las cosas” como “Internet de las cosas Ransomware”.

 

 

Mirai botnet, ya nos ha demostrado lo potente que puede ser un ataque a dispositivos IoT con configuraciones inciertas. Capturó millones de dispositivos vinculados con Internet, como routers, cámaras de seguridad e incluso tostadoras. A esto le sucedieron ataques DDoS a gran escala, que ocasionaron algunas interrupciones en el servicio de Amazon, Netflix y Twitter, es decir, algunos de los servicios más populares en Internet.

 

Incluso sectores como el de servicios sanitarios hacen cada vez más uso del Internet de las cosas, debido a que, evidentemente, es muy conveniente conectar los aparatos médicos con Internet, para así poder digitalizar los registros médicos, por ejemplo. Sin embargo, los riesgos que esto conlleva no deben subestimarse.

 

 

En resumen: Las precauciones debidas, pueden ahorrar una gran cantidad de molestias

 

Aunque estos nuevos desarrollos pueden sonar alarmantes, las empresas que ya tienen un sofisticado y experimentado concepto de seguridad de TI, tienen relativamente poco que temer.

 

En contraste, la mera utilización de software antivirus no es garantía de una infraestructura de TI segura. Al contrario, la utilización de programas de seguridad tradicionales puede incluso tener repercusiones negativas sobre la seguridad de TI de una empresa,como ya hemos informado..

 

Efectivamente, se necesita mucho más que eso para garantizar la seguridad: los conceptos de seguridad de TI se basan en particular en la prevención y el uso eficaz de soluciones de seguridad de TI. Cada vez más, las soluciones de seguridad informática basadas en la nube, como los servicios de Hornetsecurity, tienen un papel muy importante. Son capaces de protegerle incluso frente a los ciberataques más sofisticados, de forma que incluso “Ransomware y Cía.” no podrán perjudicar a su empresa.

 

 

También interesante:

 

¿Desea conocer más acerca de cómo usar Advanced Threat Protection para defenderse ante los más sofisticados ciberataques, incluyendo Ransomware, Fraude del CEO y Spear-Phishing? ¡Entonces no se pierda nuestro nuevo vídeo de productos!

 

Bajo la lupa: La más reciente variación del troyano bancario “Emotet”.

Bajo la lupa: La más reciente variación del troyano bancario “Emotet”.

Emotet“, conocido desde 2014 como el troyano bancario, es un malware que constantemente muestra nuevas variantes. En la segunda mitad del año 2017, hemos observado una nueva y además muy activa ola de ataques, distribuidos a través de enlaces en emails de phishing. En este artículo, explicaremos el vector de ataque y la vía de infección de “Emotet“, así como sus métodos de propagación, objetivos y trucos empleados para evitar el análisis, todo con la ayuda de una muestra previamente analizada de forma estática y dinámica.

 

Phishing emails como vectores de ataque

 

Pudimos observar phishing emails muy simples pero a la vez muy eficaces, en los que se empleaba la identidad de una persona a partir de un libreta de direcciones hecha pública. Con esta, el atacante envía un enlace al resto de las personas en la libreta de direcciones, que invita a descargar un documento de Office. Las libretas fueron extraídas de otros ordenadores infectados con “Emotet”.

 

Según un informe de Kaspersky Lab sobre la última gran oleada de 2015, “Emotet” cuenta con un diseño modular que le permite descargar en el sistema infectado cualquier contenido desde un servidor de “Command and Control” (C&C), empleando una utilidad de descarga integrada. Además, el troyano incluye un módulo para extraer las libretas de direcciones de Microsoft Outlook en los equipos infectados. Este comportamiento se ha observado también en la nueva variante de “Emotet”.

 

Con el enlace en el email de phishing, las víctimas descargan un archivo de Office, por ejemplo, disfrazado de factura, que incluye una macro maliciosa. Cuando el usuario abre el archivo, se le anima a activar la función de macros a través de un truco de phishing.

 

Betrugsversuch durch gefälschte Officeanweisung

Si la víctima cae presa del truco y lleva a cabo las instrucciones en la captura de pantalla, se ejecuta la macro de VBA en el documento, que a su vez pone en efecto una serie de comandos de PowerShell para descargar y ejecutar “Emotet“. Para el agresor, la ventaja de este método es que puede cambiar el contenido de la descarga en cualquier momento o apagar el servidor si lo desea. Este componente temporal dificulta la tarea de predecir las consecuencias de una infección.

 

 

Análisis de “Emotet”

Hemos analizado una muestra de malware que es responsable por la infección y la descarga de nuevos módulos. Esta muestra fue descargada con la macro de un documento de Office, con el siguiente identificador único sha256: 9e40a7cc2a8d070dbcbb24fe37782ef70876f748bc9e8304d4391601ee4e6f57. Mediante ingeniería inversa y análisis dinámico, hemos podido observar que “Emotet” opera en cuatro fases:

 

1ra fase

 

En esta fase, el software malicioso parece ser inofensivo, porque importa relativamente pocas funciones. Junto con secciones de una muy obvia alta entropía, esto es una señal de que el archivo binario tiene contenido comprimido.

 

Aquí se cargan las bibliotecas necesarias para ejecutar la primera fase del malware y, a continuación, recoge la información básica sobre el sistema, como por ejemplo, el nombre de usuario, nombre del ordenador, variables del entorno y la ruta de Windows. Esta ruta se combina con el string “\system32\calc.exe”, para así crear “C:\Windows\system32\calc.exe” Después, comprueba si se trata de un archivo ejecutable, como se puede ver en la siguiente captura de pantalla del análisis dinámico. De esta manera, el software malicioso intenta descubrir si realmente se encuentra en un entorno Windows.

 

 

Al final de la primera fase, se descifra, desempaca y ejecuta la segunda fase.

 

 

2da fase

 

En esta fase, se desempacan las bibliotecas incluidas y se recargan las funciones necesarias de forma dinámica, que posteriormente se llaman indirectamente. En la captura de pantalla siguiente, puede ver una llamada a la función VirtualAlloc de la biblioteca kernel32.dll (en la esquina superior derecha). En el código binario traducido por el desensamblador, la llamada indirecta correspondiente del registro EAX puede verse en la dirección 00402122.

 

Esta técnica se utiliza para complicar el análisis. Sería muy difícil predecir lo que se encuentra en el registro EAX solo mediante el análisis estático y, por ende, entender qué función se ejecuta. Solo a través del análisis dinámico se cargan los valores correctos en los registros y se muestra la verdadera función.

 

A continuación, se emplean algunas técnicas para dificultar el análisis en un Sandbox. En la siguiente captura de pantalla se puede observar cómo se consulta el nombre del sistema NetBIOS a través de llamadas indirectas de la función GetComputerNameExA, y luego, se compara con el string “TEQUILABOOMBOOM” con otra llamada indirecta de la función lstrcmp.

 

Este string es muy significativo. En un blog, Malwarebytes Labs describe cómo se usa el string en el Neutrino Botnet Builder Toolkit para detectar Sandboxes. Los comentarios mencionan que esta revisión se refiere al Sandbox VirusTotal. Aquí, sin embargo, se compara el nombre de usuario y no el del ordenador con este string. Hemos asumido que esto es solo una referencia graciosa, o que el programador cometió un error en la función. En cualquier caso, cambiar el nombre del ordenador según corresponda pudiese ser una estrategia de mitigación.

 

Como puede observarse en las siguientes capturas de pantalla de las llamadas al API, se llevan a cabo aún más comprobaciones para evitar la ejecución en Sandboxes. Si alguna de estas tiene éxito, se detiene la ejecución del malware.

 

Comprobación de nombres conocidos:

 

 

Comprobación de archivos de Sandbox conocidos:

 

 

Entre otras cosas, se realizan las siguientes comprobaciones para evitar el análisis en Sandbox:

 

  • El nombre de usuario es “Wilbert” y una de las variables es “SC” o “CW”?
  • ¿El nombre de usuario es “admin” y el nombre del ordenador es “SystemIT”, y puede leerse el archivo “C:\Symbols\aagmmc.pdb”?
  • ¿El nombre de usuario es “admin” y el nombre del ordenador es “KLONE_X64-PC”?
  • ¿El nombre de usuario es “John Doe” y una de las variables es “BEA-CHI”?
  • ¿El nombre de usuario es “John” y se encuentra el archivo “C:\take_screenshot.ps1” o “C:\loaddll.exe”?
  • ¿El nombre de usuario es “John” y se encuentra el archivo “C:\take_screenshot.ps1” o “C:\loaddll.exe”?
  • ¿Existen los archivos “C:\email.htm” y “C:\123\email.doc”, o quizás “C:\123\email.docx”?
  • ¿Existen los archivos “C:\a\foobar.bmp” y “C:\a\foobar.doc”, o quizás “C:\a\foobar.gif”?
  • • ¿Se nombró la muestra de malware con el nombre de “sample”, “mlwr_smpl” o “artifact.exe”?

Una vez que se superan estas comprobaciones, se desempaca y ejecuta la tercera fase.

 

3era fase

 

En esta fase, el software malicioso comprueba con Mutex MC01935C3 si ya está ejecutándose en el sistema.

 

Al crearse una entrada en el registro se establece persistencia, y pudimos observar diferentes comportamientos dependiendo de la versión de Windows. En Windows XP 32 bit, “Emotet” continúa ejecutándose bajo su nombre de archivo original al momento de ejecutarse.

En cambio, bajo Windows 7 32 bit y Windows 10 64 bit, “Emotet” borra su archivo original y se copia a sí mismo en otra ubicación. Además, se crean las siguientes entradas en el registro:

 

  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASAPI32
  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASMANCS

4ta fase

 

“Emotet” corre en Windows 10 en la ruta C:\Users\username\AppData\Local\Microsoft\Windows\eventshedule.exe como copia de sí mismo, y como subproceso de explorer.exe. Si el malware detecta que se encuentra bajo observación, se borra a sí mismo de esta ubicación y se copia de nuevo a C:\Windows\SysWOW64\eventshedule.exe. Si “Emotet” de nuevo detecta que está bajo observación, finaliza el proceso actual y se reinicia desde la misma ubicación.

 

Pudimos observar que “Emotet” se ejecuta bajo el nombre de “Web DAV Client DLL” en todas las versiones de Windows. La siguiente captura de pantalla muestra el proceso en Windows 7.

 

 

A continuación, el malware se pone en contacto con sus servidores C&C y a recargar módulos nuevos. Observamos intentos de contacto con los siguientes servidores C&C:

 

  • http: //162.243.154.25:443/
  • http: //136.243.202.133:8080/
  • http: //66.234.234.36:8080/
  • http: //212.83.146.230:8080/
  • http: //209.126.105.250:8080/
  • http: //66.175.215.16:8080/
  • http: //178.254.33.12:8080/
  • http: //46.4.67.203:7080/
  • http: //147.135.209.118:443/

“Emotet”, la cadena de muerte cibernética

 

El objetivo de los creadores de “Emotet” es obtener dinero. Por lo tanto, este malware puede clasificarse como “crimeware” o software que se utiliza para cometer un delito. El modelo teórico de la “escalera de dolor” describe que las técnicas y tácticas utilizadas por un atacante son las que menos cambian. Esto es algo que puede observarse en el caso de las versiones anteriores de “Emotet”. Aunque la carga de nuevos módulos y la aparición de nuevas variantes de este malware crean incertidumbre en cuanto a sus intenciones inmediatas, es de suponer que la finalidad de obtener dinero, incluso en futuras versiones del malware, no cambiará. Mientras continúa el análisis, las piezas del puzzle comienzan a encajar para formar una imagen completa.

 

 

Sandbox de Hornetsecurity

Ahora contamos con una captura de pantalla de la muestra de “Emotet” luego de haberse analizado dentro del Hornetsecurity Sandbox, que lo identifica claramente como malicioso (con la máxima puntuación posible):

 

 

 

 

Protegidos contra el Malware con Advanced Threat Protection

El malware “Emotet” es solo una de las muchas amenazas que enfrenta su empresa de sufrir daños financieros. La pérdida de datos importantes también puede ser a causa de malware, virus o ransomware. Advanced Threat Protection es un filtro spam que detecta el contenido peligroso en emails desde el primer momento. A diferencia de un filtro normal, Advanced Threat Protection es capaz de detectar amenazas que aún no se conocen. Haga clic aquí para consultar más información sobre Advanced Threat Protection.Advanced Threat Protection.

No está construido sobre arena

No está construido sobre arena

El Sandbox de Hornetsecurity llega hasta el fondo de los ficheros maliciosos.

 

Uno de los puntos de entrada del malware sigue siendo el email. No importa si se trata de un archivo adjunto o a través de un enlace de descarga: una vez que el código malicioso se encuentre en los dispositivos locales, está claro que las medidas de seguridad han fallado. Y la carrera armamentística entre los atacantes y proveedores de seguridad informática persiste. Es por ello que Hornetsecurity continúa con el desarrollo de métodos de defensa, y uno de ellos es el Sandbox de Hornetsecurity Advanced Threat Protection (ATP), que examina a fondo los adjuntos de email y archivos sospechosos durante la reescritura de URL dentro de un ambiente controlado y aislado de otros sistemas. Para lograr un análisis preciso de los ficheros, se emplean diferentes técnicas.

 

Análisis estático

 

Antes de colocarlos en el Sandbox, se analizan los archivos en condiciones de análisis estático, sin ejecutarlos. Aquí, el sistema de reconocimiento revisa los metadatos generales del archivo, como la fecha de creación, la fecha de modificación y el autor. Además, se realiza un análisis de las macros de archivos de Office y código de JavaScript en ficheros PDF. Se escanean cada una de las secciones de un Portable Executable -en archivos ejecutables de Windows- para detectar contenidos críticos. Durante este proceso, el sistema recoge información acerca de las bibliotecas utilizadas, por ejemplo, para identificar si el archivo se comunica con Internet. Además, se analizan los caracteres de salida legibles. De esta manera, por ejemplo, pueden detectarse visitas a sitios web sospechosos incluso antes de que se ejecute el archivo. El análisis estático también incluye la revisión del valor hash del archivo a través de una variedad de programas antivirus.

 

Durante el análisis estático, un algoritmo “diseca”, en sentido literal, al archivo, con el fin de descubrir la mayor cantidad de información posible, y usarla como base para el desarrollo de la firma del virus. Estas firmas se utilizan para identificar a cada virus según sus patrones específicos.

 

La siguiente captura de pantalla muestra el código de un macro de Office durante el análisis estático.

 

 

 

El análisis del Sandbox

 

El análisis dinámico de los archivos se lleva a cabo en un Sandbox. En este punto, el motor de Sandbox analiza todos cambios en el sistema mientras el archivo se ejecuta. Este documenta el comportamiento de los procesos de sistema, las llamadas y cambios en el registro, y luego analiza todo esto en búsqueda de actividades anormales (captura de pantalla 2). Además, se registra todo el tráfico de red del sistema para detectar conexiones sospechosas. Si el archivo intenta comunicarse con un servidor de comando y control y carga aún más código malicioso, el Sandbox intercepta este proceso y quita el malware. Durante la ejecución del archivo, el sistema automáticamente toma capturas de pantalla de todas las llamadas.

 

Luego de haber completado el análisis dinámico, se restablece a su estado previo el entorno virtual de Sandbox que se usó para ejecutar el archivo. De esta forma, en caso de infección, puede limpiarse el sistema de cualquier rastro de malware.

 

 

Con base en todos los análisis disponibles, el Sandbox evalúa el riesgo potencial del archivo. Esto da como resultado un valor de entre 0 y 10.

 

El nuevo reporte de ATP

 

Con la actualización del Sandbox a la versión 2.0, ATP-Report ha sido revisado a fondo. Aquí, los usuarios de ATP podrán conseguir información detallada sobre el archivo analizado.

 

El resumen recoge los principales puntos de análisis. Además del análisis de riesgo del archivo (captura de pantalla 3), el informe muestra las firmas de virus correspondientes y las divide según el nivel de amenaza en tres categorías: atención, advertencia y peligro (captura de pantalla 4). También enumera las capturas de pantalla generadas durante el análisis del Sandbox (captura de pantalla 5).

 

 

 

 

Los otros menús del reporte de ATP muestran los resultados del análisis detallado.

 

Análisis del Sandbox de ATP con nueva apariencia

 

Análisis del Sandbox de ATP con nueva apariencia
Además de la revisión del reporte de ATP, la última actualización trae muchas mejoras al Sandbox. Entre otras cosas, es capaz de analizar completamente todas las aplicaciones de 64 bit. Además, los especialistas de Hornetsecurity revisaron el sistema de evaluación y llevaron a cabo actualizaciones con nuevas firmas y comportamientos de virus. También agregaron análisis estático a través de mejoras al motor de análisis de código JavaScript en archivos PDF, junto con importantes mejoras en la infraestructura y los sistemas de Sandbox, para aumentar considerablemente el rendimiento y la capacidad de análisis.

 

Desarrollo continuo

 

El laboratorio de seguridad de Hornetsecurity trabaja constantemente en la mejora del Sandbox, de modo que sea capaz de detectar las amenazas más recientes y sofisticadas. Para poder responder a ataques nuevos en cualquier momento, se añaden nuevas firmas de virus, y se mejoran las existentes. Asimismo, pueden emplearse fragmentos de comportamiento general y tráfico de red para obtener reglas generales que ayuden a detectar nuevos tipos de Malware.

 

Así es como funciona Advanced Threat Protection de Hornetsecurity en detalle:

 

Para Hornetsecurity, los agujeros de seguridad ocultos de Microsoft Office no representan ningún problema

Para Hornetsecurity, los agujeros de seguridad ocultos de Microsoft Office no representan ningún problema

Recientemente los investigadores descubrieron en Microsoft Office el agujero de seguridad CVE-2017-11882. Microsoft manejó rápidamente dicha vulnerabilidad con una actualización de seguridad. Sin embargo, la publicación del Exploit ha alertado a los criminales del área sobre estos agujeros y ahora intentan estos aprovecharse de los sistemas que no han sido debidamente actualizados.

 

Todas las versiones de Microsoft Office se han visto afectadas por los agujeros de seguridad. El Exploit del Equation Editor de Microsoft, versión antigua de la fórmula del editor, utiliza un desbordamiento del búfer, que posibilita al atacante ejecutar a voluntad códigos en el sistema del usuario. Con esto es por ejemplo posible, descargar y ejecutar un software dañino desde Internet.

 

La vulnerabilidad existe desde hace 17 años

 

El Equation Editor fue compilado en el 2000 y desde entonces no ha sido revisado de forma holística. Por ello no toma en cuenta las precauciones de seguridad más recientes, dando cabida al desbordamiento del búfer. Aún así siendo reemplazada la fórmula del Editor en Office 2007, el mismo seguirá siendo partícipe, para garantizar así la compatibilidad con documentos anteriores, en el cual el programa de 17 años de antigüedad, es usado para mostrar y editar fórmulas matemáticas.

 

Al abrir el usuario un documento que use el Exploit, no será necesaria ninguna otra interacción para que el código malicioso sea ejecutado. Solo la vista protegida, el Sandbox de Office, puede prevenir dicha ejecución.

 

Hornetsecurity reconoce al Exploit en los documentos

 

Desde que se dieron a conocer las vulnerabilidades de seguridad, los criminales intentan repartir cada vez con mayor ahínco, documentos de Office maliciosos que usen el Exploit. Hornetsecurity cuenta con el filtro necesario para reconocer y filtrar este tipo de documentos antes de que lleguen al buzón de correos. No obstante, le recomendamos igualmente ejecutar las actualizaciones de seguridad a tiempo.

Ataque de Bad Rabbit, el troyano cifrado

Ataque de Bad Rabbit, el troyano cifrado

 

Ya ha pasado algún tiempo desde la última ola de ataques Ransomware de Notpetya. Ahora aparece un nuevo modo de ataque que ocasiona grandes daños. Particularmente en Rusia y en el este de Europa, ha sido el ataque de dicho crypto troyano infectando a numerosas empresas. Incluso en Alemania han sido vistos casos.

 

Bautizado como la página de la red oscura (Darknet) Bad Rabbit, los infectados deben realizar un pago para volver a recuperar sus datos que han sido cifrados, solicitando para esto una cantidad de 0.05 Bitcoins. Según la cotización actual de la crypto moneda, esto se traduce en unos 240 euros.

 

De cabeza en la hoguera del conejo

 

La expansión del crypto troyano se efectúa principalmente a través de páginas de noticias infectadas. A través de este ataque Watering-Hole, los criminales pueden dirigir su ataque a un determinado grupo de usuarios y empresas. Si los usuarios llegasen a una página web infectada, se encontrarán automáticamente con un Drive-by-Download, el cual descargará una actualización falsa de Adobe Flash. Una vez ejecutado el archivo, Bad Rabbit entrará al sistema y una vez habiendo reiniciado el ordenador de forma obligatoria, encontrará su información cifrada.

 

 

El troyano cofrado Bad Rabbit

Sitio web de pago en la red TOR

 

Para aumentar la imagen, haga clic en la misma.

 

 

De la misma manera que WannaCry y NotPetya, Bad Rabbit se propaga por la red. Sin embargo, para ello el malware no hace uso de la vulnerabilidad de seguridad de EternalBlue en el protocolo SMB, sino que infecta a otros ordenadores a través del instrumental de administración de Windows (WMI, por sus siglas en inglés). Para evitar la expansión en la red local, es aconsejable desconectar el WMI si no se va a hacer uso del mismo.

 

 

Hornetsecurity reconoce al Malware y lo protege a través de la reescritura de URL

 

Gracias a la reescritura de URL del Advanced Threat Protection de Hornetsecurity, Bad Rabbit será reconocido en las páginas afectadas y bloqueado. De esta manera, podrá seguir abriendo páginas de noticias desde su buzón de correos y mantenerse protegido del ataque. En caso de que el Ransomware se expanda a través de los correos electrónicos, nuestros sistemas están preparados y reconocerán al atacante de forma inmediata.

 

 

Nuestras sugerencias

 

Para estar del lado seguro, es importante realizar copias de seguridad de la información regularmente y no descargar o ejecutar ningún archivo desconocido. Particularmente, actualizaciones de Adobe Flash deberán proceder directamente del fabricante.

 

En caso de una infección no recomendamos pagar al extorsionador, ya que no es seguro que este dé la llave para descifrar los datos.