El ATP de Hornetsecurity lo protege de ataques ransomware, desde el primer correo malicioso

El ATP de Hornetsecurity lo protege de ataques ransomware, desde el primer correo malicioso

En más de 150 países WannaCry causó severos daños: ante la ola de ataques a nivel mundial, se vieron afectados entre muchos otros: el servicio nacional de salud del Reino Unido, el fabricante de automóviles Renault, e incluso también algunos departamentos de la empresa ferroviaria alemana Deutsche Bahn fueron vulnerados. Sin embargo, desde el primer correo malicioso, Hornetsecurity Advanced Threat Protection pudo detectar e impedir dicho ataque a tiempo.

 

WannaCry es un software extorsivo que se transporta por email y de ahí se expande. De ser activado desde un dispositivo local, codifica los archivos allí existentes. Luego a los usuarios se les pide sumas de dinero para obtener nuevamente la clave de decodificación, lo cual no es aconsejado por los expertos en seguridad. En el caso de WannaCry el malware se aprovechó de un Exploit, cuyo origen se le atribuye a la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés) y que un grupo de hackers llamados “Shadow Brokers” descubrió y publicó.

 

Captura de pantalla de WannaCry

Este mensaje apareció el fin de semana en miles de ordenadores

Lo pérfido de WannaCry, es que el software malicioso se aprovecha de un punto de vulnerabilidad en el “protocolo del bloque de mensajes del servidor” (SMB, por sus siglas en inglés), para así expandirse y seguir infectando a otros sistemas de computación. Por este motivo, WannaCry ha alcanzado un grado alarmante de expansión a nivel mundial. WannaCry está basado en el viejo sistema operativo Windows XP, usado todavía con frecuencia. Por considerarse este desactualizado, su fabricante Microsoft no previó actualizaciones de seguridad para Windows XP, situación la cual ha cambiado drásticamente a raíz del éxito obtenido por WannaCry.

 

 

Hornetsecurity Advanced Threat Protection (ATP) ha detectado el novedoso ransomware desde el primer indicio, a través de patrones de análisis dinámicos detectados en el Sandbox y colocados en cuarentena. Análisis posteriores de WannaCry por parte de especialistas en seguridad de Hornetsecurity, aseveraron que el software instala una variante del Backdoor DOUBLEPULSAR, mediante la cual se filtra el código malicioso. Seguidamente el programa codifica los diversos archivos y les añade la terminación “.wncry”, así p. ej. al archivo finanzas.xlsx lo convierte en finanzas.xlsx.wncry. Debido a esto, los archivos se vuelven inservibles al usuario. Al mismo tiempo los hosts infectados empiezan a formar parte de una red bot, controlada a su vez por la red de enrutamiento de cebolla (TOR, por sus siglas en inglés).

 

El email atacante contiene solo un documento adjunto

Hornetsecurity recomienda tomar las siguientes medidas de protección ante un ataque: empresas y personas que todavía utilizan el sistema operativo Windows XP, deben poner en uso el patch creado por Microsoft y actualizar el sistema. Incluso mejor, es la adopción de nuevos sistemas operativos con actualizaciones de seguridad activadas (al menos MS17-010). Añadido a esto, las empresas deben ajustar su Firewall de manera tal que el tráfico SMB que ingrese a través del puerto 445, así como el tráfico TOR saliente de la red corporativa, sea bloqueado. En términos generales, los expertos en seguridad de Hornetsecurity recomiendan examinar minuciosamente correos electrónicos contentivos de facturas y antes de abrirlos, verificar al menos con un escáner de virus las posibles vinculaciones con archivos de Office, Skript o ficheros ejecutables (archivo portable ejecutable, PE). Gracias al escaneo y reescritura de URL, el ATP de Hornetsecurity como protección integral ante nuevos tipos de amenazas, realiza un análisis profundo de los URLs contenidos en los correos electrónicos.

“Nuestros filtros de virus se actualizan rápidamente”

“Nuestros filtros de virus se actualizan rápidamente”

Los virus “Krypton” como “Locky” son actualmente uno de los temas centrales de la seguridad TI, debido a que son muy peligrosos. ¿Cómo podemos proteger a nuestras compañías y qué medidas pueden ofrecen empresas como Hornetsecurity para dar una seguridad efectiva? Para traer un poco de claridad al asunto, hemos hecho un par de preguntas a Daniel Hofmann.

 

Desde hace poco tiempo el virus Locky está en boca de todos: ¿Pero qué es lo que realmente hace y por qué es tan peligroso?

El virus “Locky“, como funciona hoy, existe ya en una forma parecida desde principios de Diciembre. Se envía en un documento office que llega como archivo adjunto al correo electrónico, cuando el destinatario lo abre, se ejecuta un programa Macro.

Los primeros virus macro en circulación fueron troyanos bancarios en línea, que desviaban los pagos a cuentas en el extranjero. El tipo de virus que circula actualmente además de cifrar todo el contenido del disco duro, puede también encriptar unidades de red e incluso copias de seguridad.

La peligrosidad del virus se debe a que los e-mails portadores están hechos de una manera muy profesional, por lo que es muy difícil identificarlos. Por ejemplo, con el contenido del correo el destinatario estará convencido de que no ha pagado una factura,  y al abrir el contenido del documento, se activa inmediatamente el virus macro y encripta el contenido de la computadora.

Naturalmente, luego la víctima quiere recuperar sus datos decodificados, entonces se le pedirá que page por ellos un rescate. Sin embargo, no recomiendo el pago de ese rescate, porque no hay ninguna seguridad de que reciba el código de descifrado.

 

¿Cómo pudo propagarse este mal y qué daños pudo producir?

La característica especial de este tipo de virus es que el atacante desarrolla 2-3 nuevas formas de ataque diariamente y prueba sus estrategias en el escáner de virus conocido hasta que este ya no las reconozca.

Entonces, envía el virus. Los especialistas de malware se encargan de llevar a cabo el traslado rápido y compacto.

También el aspecto regional juega un papel importante: los correos con virus se adaptan a las zonas horarias e idiomas locales, también el contenido de los correos electrónicos enviados supuestamente por una empresa remitente que el receptor conoce. Los correos se envían generalmente durante el día, de lunes a jueves.

Si nos fijamos en los virus de macro que circulan actualmente, se puede notar que existe un grupo que controla todo el ciclo, desde que el virus infecta el sistema, su desarrollo y  hasta la entrega del pago previsto. En una forma extremadamente profesional, incluso ofrece el pago mediante un chat ¡en directo!.

 

¿Cómo se pueden cuidar los usuarios y las empresas para protegerse lo mejor posible contra los Malware como Locky?

Hay varias medidas que deben llevarse a cabo con regularidad con el fin de protegerse de los ataques. En primer lugar, todo tipo usuario y de empresa siempre debe contar con las últimas actualizaciones de su software.

Por otra parte, es conveniente hacer una copia de seguridad periódica de sus documentos, ya sea en un medio de almacenamiento externo o con un servicio de almacenamiento en la nube como Hornetdrive, de esta manera, con dos versiones de un documento, podrá recuperar sus informaciones en el caso de que pierda una versión.

Las principales puertas de entrada para el malware – correo electrónico e Internet – deben estar protegidos con un servicio de filtro de spam y filtrado web de buena reputación y eficiente. Finalmente, sin embargo, también los propios usuarios deben hacerse responsables de sus correos y hacer un análisis crítico de si  la información que ofrece el e-mail tiene realmente relación con el remitente, si no es así, deben suprimir estos correos.

 

¿Puede Hornetsecurity detectar y filtrar a Locky y si es así, cómo?

Cuando comenzaron a circular los primeros ataques de virus de macro, en diciembre pasado, inmediatamente desarrollamos nuevos métodos de filtrado.

Para este fin, fue necesario todo un paquete de medidas: hemos desarrollado entre  7 a 8 métodos de detección de virus que se centran específicamente en los documentos de Office con macros contenidas en el mismo.

Los escáneres utilizan diferentes mecanismos, todos de reputación, para determinar si se trata de un elemento inofensivo o de un macro malicioso. Esto se realiza automáticamente dentro de segundos. Si se encuentra un código malicioso, el filtro se ajusta automáticamente de modo que no hay más virus de macro que puedan deslizarse a través de los sistemas de filtro.

 

¿Cómo funciona generalmente el filtro de virus de Hornetsecurity?

Desarrollamos nuestro escáner de virus constantemente. Mientras tanto, hemos llegado a 18 detectores de virus diferentes, que controlan el tráfico de correo electrónico. Además el número está creciendo continuamente: Entonces cada año se agregan más. Entonces tenemos, como también para los virus de macro, el escáner especializado para diferentes escenarios y ataques. Estos buscan, por ejemplo, a los archivos con enlaces externos con los que se podrían recargar el virus y generar un problema.

Aquí desempeña un papel importante el lugar desde donde se producen los ataques, si los enlaces son bien conocidos, si los sitios a los que dirige el enlace están en una la lista negra, etc. También estamos trabajando en conjunto con los fabricantes de antivirus para asegurar la detección de virus conocidos.

 

Para tener una estimación, ¿Cuántos nuevos virus descubren los filtros por día?

Firmas diarias de virus

Estadística diaria de nuevas firmas de virus descubiertas

Eso es muy variable. Hay días en los que estamos viendo solo unas pocas nuevas variantes, y en otros días hay varios miles. En los últimos tres meses, el promedio es de cerca de 400 nuevas variantes de virus diarios, el día en el que más virus encontramos, hallamos 2732 nuevos tipos de virus que tenían que identificar y filtrar nuestro filtro.

 

 

 

 

¿Qué pasa en caso de un ataque de virus masivo?

El ajuste de las reglas de los filtros pasa con nosotros automáticamente, en segundos y en plena actividad (de los servicios de IT). Además, el funcionamiento de los filtros para atrapar los virus está controlado por automatismos que funcionan en base del tiempo de reacción entre llegada y creación de una regla de filtro.

Por ejemplo, en caso de que una ola de virus sobrepase a la regla de filtro, nuestros expertos de seguridad intervienen manualmente y enseguida ejecutan un análisis profundo, optimizan el reconocimiento automático o instalan nuevas herramientas de filtros hasta que el tiempo de reacción bajo otra vez al tiempo normal.

 

 

¿Cómo se dejan reconocer los nuevos virus?

Lo que más rápido y mejor funciona, a través de nuestro “Honeypots”. Hay e-mails que sirven para un solo propósito, el spam y transportar virus. Esto se evalúa todo el día. Nuestros sistemas también responden a ciertos tipos de correos electrónicos y los evalúan automáticamente, incluso antes de saber que se trata de un correo electrónico malicioso.

Una evaluación se lleva a cabo sobre la base del “comportamiento” de un correo electrónico o archivo adjunto, es decir, quieren que se ejecute como un código de órdenes en el sistema o volver a cargar archivos de Internet. Otros criterios incluyen la frecuencia de correo electrónico, o si se trata de diferentes remitentes.

Crypto Lockers don’t stand a chance!

 

The current wave of crypto-viruses is causing quite a stir. End users such as companies are afraid that the data on their computers could be encrypted. A recent example shows that these concerns are not unfounded and even entire administration departments can be paralyzed. But what security measures can companies and individuals use to protect themselves against malware?

 

Daniel Hofmann has four tips that can greatly increase the protection of your own hardware:

 

  • Software updates: Every user and every company should be sure to keep their software up to date in order to minimize existing security vulnerabilities.
  • Protect access points: The two main gateways for malware are the internet and emails. Appropriate services such as spam and virus filters or Hornetsecurity’s Webfilter Service can close down these paths.
  • The users themselves: Each and every user shares responsibility for malware being able to penetrate via email. No one should completely rely on possible upstream services: each email should be critically checked to determine whether the sender is known or whether an order was actually placed, with the aim of detecting a fake invoice in the email attachment.
  • Backups: Users and companies should regularly backup their data, either to external storage devices or cloud storage services such as Hornetdrive.

 

The last point needs to be discussed in more detail at this point because encrypted files can be automatically synchronized and uploaded even with cloud storage services. If this actually occurs, a versioning function of stored files helps with storage services such as Hornetdrive. After all, the user can continue to access unencrypted versions of the files. As they are securely stored in the Hornetdrive cloud, the CryptoLocker cannot access these old versions of the files. Old versions are only deleted if the number of versions in a drive is limited and there are too many versions of respective file. With Hornetdrive, the desired number of versions for a drive can be individually set in the Client.