Ataque de Bad Rabbit, el troyano cifrado

Ataque de Bad Rabbit, el troyano cifrado

 

Ya ha pasado algún tiempo desde la última ola de ataques Ransomware de Notpetya. Ahora aparece un nuevo modo de ataque que ocasiona grandes daños. Particularmente en Rusia y en el este de Europa, ha sido el ataque de dicho crypto troyano infectando a numerosas empresas. Incluso en Alemania han sido vistos casos.

 

Bautizado como la página de la red oscura (Darknet) Bad Rabbit, los infectados deben realizar un pago para volver a recuperar sus datos que han sido cifrados, solicitando para esto una cantidad de 0.05 Bitcoins. Según la cotización actual de la crypto moneda, esto se traduce en unos 240 euros.

 

De cabeza en la hoguera del conejo

 

La expansión del crypto troyano se efectúa principalmente a través de páginas de noticias infectadas. A través de este ataque Watering-Hole, los criminales pueden dirigir su ataque a un determinado grupo de usuarios y empresas. Si los usuarios llegasen a una página web infectada, se encontrarán automáticamente con un Drive-by-Download, el cual descargará una actualización falsa de Adobe Flash. Una vez ejecutado el archivo, Bad Rabbit entrará al sistema y una vez habiendo reiniciado el ordenador de forma obligatoria, encontrará su información cifrada.

 

 

El troyano cofrado Bad Rabbit

Sitio web de pago en la red TOR

 

Para aumentar la imagen, haga clic en la misma.

 

 

De la misma manera que WannaCry y NotPetya, Bad Rabbit se propaga por la red. Sin embargo, para ello el malware no hace uso de la vulnerabilidad de seguridad de EternalBlue en el protocolo SMB, sino que infecta a otros ordenadores a través del instrumental de administración de Windows (WMI, por sus siglas en inglés). Para evitar la expansión en la red local, es aconsejable desconectar el WMI si no se va a hacer uso del mismo.

 

 

Hornetsecurity reconoce al Malware y lo protege a través de la reescritura de URL

 

Gracias a la reescritura de URL del Advanced Threat Protection de Hornetsecurity, Bad Rabbit será reconocido en las páginas afectadas y bloqueado. De esta manera, podrá seguir abriendo páginas de noticias desde su buzón de correos y mantenerse protegido del ataque. En caso de que el Ransomware se expanda a través de los correos electrónicos, nuestros sistemas están preparados y reconocerán al atacante de forma inmediata.

 

 

Nuestras sugerencias

 

Para estar del lado seguro, es importante realizar copias de seguridad de la información regularmente y no descargar o ejecutar ningún archivo desconocido. Particularmente, actualizaciones de Adobe Flash deberán proceder directamente del fabricante.

 

En caso de una infección no recomendamos pagar al extorsionador, ya que no es seguro que este dé la llave para descifrar los datos.

Petya vs. NotPetya – Hornetsecurity identifica la última modificación en 56 segundos

Petya vs. NotPetya – Hornetsecurity identifica la última modificación en 56 segundos

Desde hace dos días se está distribuyendo una versión modificada del conocido Ransomware Petya. Algunas firmas a nivel mundial ya han sido víctimas de este ataque. Después de varios análisis, se identificó como objetivo principal a Ucrania, sin embargo, algunas empresas en Alemania también se vieron afectadas. La dispersión se realizó de igual forma como hace dos meses con el Ransomware ‚WannaCry‘. Nosotros le seguimos el paso a ’NotPetya’.

 

Como el troyano WannaCry, que estuvo en los encabezados de las noticias hace dos meses, NotPetya se distribuye a través del hueco de seguridad EternalBlue via SMB y no, como Petya hace un año, a través de correos comerciales falsos con enlaces de descarga con dirección al Ransomware Petya. NotPetya es una modificación del viejo Ransomeware Petya y dispone de nuevas características que le permiten dispersarse en la red local a través de un ordenador infectado.

 

El Ransomeware utiliza PsExec y Windows Management Instrumentation para atacar a otros sistemas en la red. Para utilizar estos programas, requiere el programa de derechos de administración con el fin de buscar dentro del ordenador las contraseñas en la memoria local y en los sistemas de datos locales.

 

El Advanced Threat Protection de Hornetsecurity reconoció el Ransomware 56 segundos después de hacer sido ejecutado en el entorno asegurado de Sandbox como una modificación de la familia Petya.

NotPetya fue reconocido por el ATP de Hornetsecurity 56 segundos después de su ejecución.

 

Dentro del análisis de códigos de Hornetsecurity, y a pesar de las modificaciones extremas en comparación con el clásico Malware de la familia Petya, este fue identificado de manera exitosa. De esta forma es NotPetya un „NuevoPetya“.

 

Aquí una prueba del análisis de comportamiento ATP de NotPetya: la parte maliciosa de NotPetya se ejecuta de forma automática después del Reboot.

El ATP de Hornetsecurity lo protege de ataques ransomware, desde el primer correo malicioso

El ATP de Hornetsecurity lo protege de ataques ransomware, desde el primer correo malicioso

En más de 150 países WannaCry causó severos daños: ante la ola de ataques a nivel mundial, se vieron afectados entre muchos otros: el servicio nacional de salud del Reino Unido, el fabricante de automóviles Renault, e incluso también algunos departamentos de la empresa ferroviaria alemana Deutsche Bahn fueron vulnerados. Sin embargo, desde el primer correo malicioso, Hornetsecurity Advanced Threat Protection pudo detectar e impedir dicho ataque a tiempo.

 

WannaCry es un software extorsivo que se transporta por email y de ahí se expande. De ser activado desde un dispositivo local, codifica los archivos allí existentes. Luego a los usuarios se les pide sumas de dinero para obtener nuevamente la clave de decodificación, lo cual no es aconsejado por los expertos en seguridad. En el caso de WannaCry el malware se aprovechó de un Exploit, cuyo origen se le atribuye a la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés) y que un grupo de hackers llamados “Shadow Brokers” descubrió y publicó.

 

Captura de pantalla de WannaCry

Este mensaje apareció el fin de semana en miles de ordenadores

Lo pérfido de WannaCry, es que el software malicioso se aprovecha de un punto de vulnerabilidad en el “protocolo del bloque de mensajes del servidor” (SMB, por sus siglas en inglés), para así expandirse y seguir infectando a otros sistemas de computación. Por este motivo, WannaCry ha alcanzado un grado alarmante de expansión a nivel mundial. WannaCry está basado en el viejo sistema operativo Windows XP, usado todavía con frecuencia. Por considerarse este desactualizado, su fabricante Microsoft no previó actualizaciones de seguridad para Windows XP, situación la cual ha cambiado drásticamente a raíz del éxito obtenido por WannaCry.

 

 

Hornetsecurity Advanced Threat Protection (ATP) ha detectado el novedoso ransomware desde el primer indicio, a través de patrones de análisis dinámicos detectados en el Sandbox y colocados en cuarentena. Análisis posteriores de WannaCry por parte de especialistas en seguridad de Hornetsecurity, aseveraron que el software instala una variante del Backdoor DOUBLEPULSAR, mediante la cual se filtra el código malicioso. Seguidamente el programa codifica los diversos archivos y les añade la terminación “.wncry”, así p. ej. al archivo finanzas.xlsx lo convierte en finanzas.xlsx.wncry. Debido a esto, los archivos se vuelven inservibles al usuario. Al mismo tiempo los hosts infectados empiezan a formar parte de una red bot, controlada a su vez por la red de enrutamiento de cebolla (TOR, por sus siglas en inglés).

 

El email atacante contiene solo un documento adjunto

Hornetsecurity recomienda tomar las siguientes medidas de protección ante un ataque: empresas y personas que todavía utilizan el sistema operativo Windows XP, deben poner en uso el patch creado por Microsoft y actualizar el sistema. Incluso mejor, es la adopción de nuevos sistemas operativos con actualizaciones de seguridad activadas (al menos MS17-010). Añadido a esto, las empresas deben ajustar su Firewall de manera tal que el tráfico SMB que ingrese a través del puerto 445, así como el tráfico TOR saliente de la red corporativa, sea bloqueado. En términos generales, los expertos en seguridad de Hornetsecurity recomiendan examinar minuciosamente correos electrónicos contentivos de facturas y antes de abrirlos, verificar al menos con un escáner de virus las posibles vinculaciones con archivos de Office, Skript o ficheros ejecutables (archivo portable ejecutable, PE). Gracias al escaneo y reescritura de URL, el ATP de Hornetsecurity como protección integral ante nuevos tipos de amenazas, realiza un análisis profundo de los URLs contenidos en los correos electrónicos.

Virus disfrazado de Dropbox

Virus disfrazado de Dropbox

A primeros de Marzo, nuestros filtros de spam y virus detectaron correos electrónicos referentes a temas de facturación con enlaces vinculados a archivos de Dropbox.

 

De esta forma los estafadores buscan que el destinatario descargue los archivos con supuestas informaciones de pago o facturas. La descarga con el contenido de pago no se realiza directamente en el dispositivo local, sino a través de un archivo ZIP contentivo del virus. Los archivos comprimidos “factura1.zip”, “factura2.zip”, etc., contienen a su vez un archivo .js con distintas firmas con malware.

 

“Saludos” maliciosos – archivo adjunto con virus

 

Nuestros filtros detectaron inmediatamente esta ola de ataques, reaccionando al mismo: la reescritura del enlace ha modificado los enlaces de descarga de las facturas mencionadas. El Sandbox de nuestro producto ATP se encargaría de verificar el archivo, una vez hecho clic en el enlace de descarga, el virus sería detectado y así detenido el ataque. Luego de la fase de reconocimiento de nuestro Advanced Threat Protection, serían tomadas las medidas pertinentes necesarias para proteger a nuestros clientes.

 

Incluso los programas de antivirus clásicos, prácticamente no detectaron los virus (solo cuatro de 56 dispositivos reconocieron al código malicioso), así mismo ese día la tasa de detección fue de 19 de 58 escáneres de virus. Desde entonces, se ha pedido mucha cautela a los usuarios con emails contentivos del asunto “Su factura” o “Detalles de pago”, en cuyo contenido se encuentra un enlace vinculado a Dropbox. Tal correo electrónico debe ser borrado de forma inmediata.

 

Hornetsecurity Advanced Threat Protection protege a las empresas de ataques como el Ransomware, el Fraude del CEO y el Phishing. Para más información haga clic aquí.

Los Ciber-criminales siguen en plena forma

Los Ciber-criminales siguen en plena forma

Una simple mirada a las noticias de páginas web y a los boletines informativos del día, basta para saber que los usuarios deben adaptarse a los crecientes ataques ciber-criminales. ¿Qué trucos andan actualmente en uso y cómo puede Usted protegerse de ellos?,  se lo iremos contando a través de este blog.

 

Se trate de Phishing, troyanos maliciosos o del Fraude del CEO – momentáneamente existe una amplia y diversa gama de estafas en nuestro entorno que están en constante transformación. La Brigada Regional de Investigación Criminal de Baden Württemberg, estima un “aumento masivo en todos los casos” como ha comunicado el jefe de la Brigada Ralf Michelfelder a la Agencia de Prensa Alemana. Solo los intentos de extorsión con Ransomware han ascendido desde el año 2014, de unos 200 casos aproximados a más de 600 en el año 2015. La tendencia es:  continuar aumentando.

 

El Software extorsivo “Popcorn Time” es uno de los ejemplos más recientes de esta tendencia. El gusano funciona mediante un principio fácil pero pérfido: infecta a otros dos usuarios y tus datos serán nuevamente descodificables. Este llamado “Sistema de Referencia” no había existido en los troyanos hasta el momento, de esta manera la víctima anuncia ante el “Sistema de Referencia” además de mensajes extorsivos, una dirección URL personalizada con códigos maliciosos. Los expertos en seguridad TI informan que los enlaces están momentáneamente sin funcionabilidad, pero advierten sobre su efecto, el cual no solo es sancionable, sino que tampoco garantiza una descodificación última de los datos.

 

No solo “Popcorn Time” fue un tema de preocupación a finales del año pasado, también el troyano “Goldeneye” avanzaba a paso acelerado, conduciendo especialmente a los departamentos de personal hacia una gran inseguridad. Los troyanos maliciosos se esconden en los papeles de solicitantes de empleo que adjuntan documentos al correo electrónico. “Goldeneye” hace más competentes a los expertos en la materia, pero también les representa un dolor de cabeza, porque expande al gusano de manera asombrosamente rápida, como ha acotado la Brigada Regional de Investigación Criminal de Baja Sajonia, y para los afectados no existe todavía una herramienta de descodificación en caso de infección.

 

Así mismo, el número de ataques del Fraude del CEO creció abruptamente a finales del año pasado, como comunicó la Oficina Federal para la Seguridad en Tecnologías de la Información. La razón de ésto, es simple y llanamente la ausencia de muchos empleados y ejecutivos durante esta época. Creando así, un ambiente propicio para los criminales, ya que las instancias de control empresariales y administrativas se encuentran debilitadas.

 

Un alto número de amenazas hacen de la rutina diaria del empleado -a veces también estresante- cuesta arriba mantener la perspectiva –¿cuál es la mejor forma de protegerme? La mayor cautela debe tenerse al abrir los correos electrónicos, éstos son la puerta de enlace a estos ataques. Se recomienda verificar con frecuencia que un correo electrónico proceda efectivamente de una fuente conocida y confiable. Los datos de un remitente son falsificables. Por esta razón, los usuarios no deben abrir documentos adjuntos a la ligera, ya que un simple clic basta para causar daños irreparables. Ante la duda, es preferible borrar el correo electrónico o contactar al remitente. Muchas empresas serias informan, en sus páginas web, cuando su nombre es usado para enviar correos maliciosos.

 

Entretanto las empresas tienen hoy día alternativas para proteger a sus empleados de este tipo de situaciones: servicios como el Advanced Threat Protection de Hornetsecurity, protegen de manera efectiva a empresas e instituciones de todo tipo de ciber-amenazas. A parte de correos-phishing y cualquier tipo de ransomware, este servicio protege ante amenazas como las del Fraude del CEO y mantiene el buzón de correo fuera de peligro.