“Nuestros filtros de virus se actualizan rápidamente”

“Nuestros filtros de virus se actualizan rápidamente”

Los virus “Krypton” como “Locky” son actualmente uno de los temas centrales de la seguridad TI, debido a que son muy peligrosos. ¿Cómo podemos proteger a nuestras compañías y qué medidas pueden ofrecen empresas como Hornetsecurity para dar una seguridad efectiva? Para traer un poco de claridad al asunto, hemos hecho un par de preguntas a Daniel Hofmann.

 

Desde hace poco tiempo el virus Locky está en boca de todos: ¿Pero qué es lo que realmente hace y por qué es tan peligroso?

El virus “Locky“, como funciona hoy, existe ya en una forma parecida desde principios de Diciembre. Se envía en un documento office que llega como archivo adjunto al correo electrónico, cuando el destinatario lo abre, se ejecuta un programa Macro.

Los primeros virus macro en circulación fueron troyanos bancarios en línea, que desviaban los pagos a cuentas en el extranjero. El tipo de virus que circula actualmente además de cifrar todo el contenido del disco duro, puede también encriptar unidades de red e incluso copias de seguridad.

La peligrosidad del virus se debe a que los e-mails portadores están hechos de una manera muy profesional, por lo que es muy difícil identificarlos. Por ejemplo, con el contenido del correo el destinatario estará convencido de que no ha pagado una factura,  y al abrir el contenido del documento, se activa inmediatamente el virus macro y encripta el contenido de la computadora.

Naturalmente, luego la víctima quiere recuperar sus datos decodificados, entonces se le pedirá que page por ellos un rescate. Sin embargo, no recomiendo el pago de ese rescate, porque no hay ninguna seguridad de que reciba el código de descifrado.

 

¿Cómo pudo propagarse este mal y qué daños pudo producir?

La característica especial de este tipo de virus es que el atacante desarrolla 2-3 nuevas formas de ataque diariamente y prueba sus estrategias en el escáner de virus conocido hasta que este ya no las reconozca.

Entonces, envía el virus. Los especialistas de malware se encargan de llevar a cabo el traslado rápido y compacto.

También el aspecto regional juega un papel importante: los correos con virus se adaptan a las zonas horarias e idiomas locales, también el contenido de los correos electrónicos enviados supuestamente por una empresa remitente que el receptor conoce. Los correos se envían generalmente durante el día, de lunes a jueves.

Si nos fijamos en los virus de macro que circulan actualmente, se puede notar que existe un grupo que controla todo el ciclo, desde que el virus infecta el sistema, su desarrollo y  hasta la entrega del pago previsto. En una forma extremadamente profesional, incluso ofrece el pago mediante un chat ¡en directo!.

 

¿Cómo se pueden cuidar los usuarios y las empresas para protegerse lo mejor posible contra los Malware como Locky?

Hay varias medidas que deben llevarse a cabo con regularidad con el fin de protegerse de los ataques. En primer lugar, todo tipo usuario y de empresa siempre debe contar con las últimas actualizaciones de su software.

Por otra parte, es conveniente hacer una copia de seguridad periódica de sus documentos, ya sea en un medio de almacenamiento externo o con un servicio de almacenamiento en la nube como Hornetdrive, de esta manera, con dos versiones de un documento, podrá recuperar sus informaciones en el caso de que pierda una versión.

Las principales puertas de entrada para el malware – correo electrónico e Internet – deben estar protegidos con un servicio de filtro de spam y filtrado web de buena reputación y eficiente. Finalmente, sin embargo, también los propios usuarios deben hacerse responsables de sus correos y hacer un análisis crítico de si  la información que ofrece el e-mail tiene realmente relación con el remitente, si no es así, deben suprimir estos correos.

 

¿Puede Hornetsecurity detectar y filtrar a Locky y si es así, cómo?

Cuando comenzaron a circular los primeros ataques de virus de macro, en diciembre pasado, inmediatamente desarrollamos nuevos métodos de filtrado.

Para este fin, fue necesario todo un paquete de medidas: hemos desarrollado entre  7 a 8 métodos de detección de virus que se centran específicamente en los documentos de Office con macros contenidas en el mismo.

Los escáneres utilizan diferentes mecanismos, todos de reputación, para determinar si se trata de un elemento inofensivo o de un macro malicioso. Esto se realiza automáticamente dentro de segundos. Si se encuentra un código malicioso, el filtro se ajusta automáticamente de modo que no hay más virus de macro que puedan deslizarse a través de los sistemas de filtro.

 

¿Cómo funciona generalmente el filtro de virus de Hornetsecurity?

Desarrollamos nuestro escáner de virus constantemente. Mientras tanto, hemos llegado a 18 detectores de virus diferentes, que controlan el tráfico de correo electrónico. Además el número está creciendo continuamente: Entonces cada año se agregan más. Entonces tenemos, como también para los virus de macro, el escáner especializado para diferentes escenarios y ataques. Estos buscan, por ejemplo, a los archivos con enlaces externos con los que se podrían recargar el virus y generar un problema.

Aquí desempeña un papel importante el lugar desde donde se producen los ataques, si los enlaces son bien conocidos, si los sitios a los que dirige el enlace están en una la lista negra, etc. También estamos trabajando en conjunto con los fabricantes de antivirus para asegurar la detección de virus conocidos.

 

Para tener una estimación, ¿Cuántos nuevos virus descubren los filtros por día?

Firmas diarias de virus

Estadística diaria de nuevas firmas de virus descubiertas

Eso es muy variable. Hay días en los que estamos viendo solo unas pocas nuevas variantes, y en otros días hay varios miles. En los últimos tres meses, el promedio es de cerca de 400 nuevas variantes de virus diarios, el día en el que más virus encontramos, hallamos 2732 nuevos tipos de virus que tenían que identificar y filtrar nuestro filtro.

 

 

 

 

¿Qué pasa en caso de un ataque de virus masivo?

El ajuste de las reglas de los filtros pasa con nosotros automáticamente, en segundos y en plena actividad (de los servicios de IT). Además, el funcionamiento de los filtros para atrapar los virus está controlado por automatismos que funcionan en base del tiempo de reacción entre llegada y creación de una regla de filtro.

Por ejemplo, en caso de que una ola de virus sobrepase a la regla de filtro, nuestros expertos de seguridad intervienen manualmente y enseguida ejecutan un análisis profundo, optimizan el reconocimiento automático o instalan nuevas herramientas de filtros hasta que el tiempo de reacción bajo otra vez al tiempo normal.

 

 

¿Cómo se dejan reconocer los nuevos virus?

Lo que más rápido y mejor funciona, a través de nuestro “Honeypots”. Hay e-mails que sirven para un solo propósito, el spam y transportar virus. Esto se evalúa todo el día. Nuestros sistemas también responden a ciertos tipos de correos electrónicos y los evalúan automáticamente, incluso antes de saber que se trata de un correo electrónico malicioso.

Una evaluación se lleva a cabo sobre la base del “comportamiento” de un correo electrónico o archivo adjunto, es decir, quieren que se ejecute como un código de órdenes en el sistema o volver a cargar archivos de Internet. Otros criterios incluyen la frecuencia de correo electrónico, o si se trata de diferentes remitentes.