Kaspersky

Ransomware metro San Francisco

2016-12-01T12:39:34+01:00diciembre 1, 2016|Internet, Seguridad|

La agencia de transporte de San Francisco fue víctima de un ataque por ransomware, ocasionando que sus pasajeros pudieran viajar sin pagar.

Las computadoras de la red de transporte fueron inhabilitadas con pantallas que exhibían un mensaje de los atacantes:

«Hacked, ALL Data Encrypted. Contact For Key (cryptom27@yandex.com) ID: 681, Enter».

Como medida de precaución, el personal decidió apagar todas las máquinas que realizan la venta de entradas de la red de transporte, San Francisco Municipal Transportation Agency conocida como MUNI.

Los atacantes pidieron un rescate por 100 Bitcoin, que asciende a unos 70,000 dólares.

El sitio de noticias Hoodline de San Francisco informó que los atacantes proporcionaron un listado de las máquinas infectadas en la red, el total superaba las 2,000 e incluía los equipos utilizados para procesar la nómina e información personal de los empleados.

Se ha identificado que este ataque se realizó con una nueva variante del malware Mamba. Este ransomware no cuenta con grandes técnicas de cifrado o anti-sandbox, tampoco cuenta con mecanismos antidepuración como en el caso de otros ransomware considerados de mayor peligro. Sin embargo, la eficacia de un ataque dependerá en gran medida de la manera en que logra introducirse en los sistemas, sin importar cuán peligroso, simple o complicada sean las técnicas utilizadas.

Cada vez se han hecho más frecuentes los ataques que utilizan algún crypto-malwareransomware, es importante proteger los sistemas empresariales con soluciones de tipo corporativo que faciliten su administración y que incluyan las herramientas necesarias para su monitoreo y control por parte del equipo de TI.

Este ransomware ya se había identificado dos meses antes de registrarse el ataque a MUNI, por lo que habría sido detectado fácilmente por las herramientas de seguridad adecuadas, evitando así todos los inconvenientes que se presentaron.

En Adaptix Networks recomendamos la protección de Kaspersky Lab y los dispositivos Fortinet para obtener soluciones de seguridad integrales. Le invitamos a ponerse en contacto con nosotros para proveerle más información al respecto, así como los casos de éxito con nuestros clientes.

Pago de rescate por ransomware

2016-11-03T12:31:08+01:00noviembre 3, 2016|Internet, Seguridad|

A menudo, cuando se habla de ransomware, se recomienda que las víctimas no paguen el rescate, ya que al realizar el pago se anima a los creadores de malware a continuar su negocio. Es la ley de la oferta y la demanda: si paga más gente, aumentará el volumen de mercado, que conducirá a la creación de más malware.

Sin embargo, siempre será una decisión complicada para una empresa por la naturaleza de la información en cuestión: registros financieros, historiales médicos, datos personales de clientes o trabajadores, entre muchos otros…

Tampoco  se debe olvidar que pagar el rescate no garantiza la recuperación de los archivos. Así lo indica un estudio reciente de Kaspersky Lab, en el que se confirma que el 20% de los usuarios que pagaron el rescate nunca recuperaron sus archivos.

La empresa hace algunas recomendaciones para proteger su información o tratar de recuperarla en caso de haber sido víctima de un ataque:

  1. Realizar copias de seguridad regulares.
  2. Utilizar una solución de seguridad.
  3. Si se utiliza una de las soluciones de seguridad Kaspersky, asegurarse que se encuentra activa la característica System Watcher, especialmente diseñada para la detección de ransomware.
  4. Si es víctima de algún ransomware, ingrese al sitio web www.nomoreransom.org, en él se encuentran disponibles algunas herramientas para descifrar archivos.

En Adaptix Networks recomendamos las soluciones de seguridad de Kaspersky Lab. Le invitamos a ponerse en contacto con nosotros para proveerle más información al respecto, así como los casos de éxito con nuestros clientes.

Kaspersky Small Office Security

2016-10-10T18:23:02+02:00octubre 10, 2016|Internet, Seguridad|

Protección dirigida a pequeñas empresas, principalmente para transacciones financieras en línea y anti-ransomware.

Según cifras proporcionadas por Kaspersky Lab, el 42% de las pequeñas empresas están preocupadas por la amenaza del malware de cifrado. En este sentido, la última versión de Small Office Security brinda una mayor protección contra esta creciente amenaza.

Otro dato que se destaca es que el 78% no cuentan con la ayuda de un especialista de TI, por lo que es de gran ayuda el uso de una consola de supervisión basada en la Nube para administrar de manera centralizada el estado de protección de todos los dispositivos en la red, desde equipos de escritorio y portátiles, hasta servidores y dispositivos móviles. Mediante una sola página web puede activar la seguridad en cualquier dispositivo y acceder fácilmente al soporte técnico de Kaspersky Lab.

Aún cuando se disponga de recursos limitados, existen algunos sencillos pasos que se pueden seguir:

  • Instalar software de seguridad.
  • Proteger las transacciones financieras en línea.
  • Utilizar contraseñas seguras.
  • Realizar respaldos de información.
  • Proteger todo tipo de dispositivos, incluyendo los móviles.

Kaspersky Small Office Security incluye las siguientes aplicaciones:

  • Kaspersky Small Office Security para PC.
  • Kaspersky Small Office Security para servidores de archivos.
  • Kaspersky Internet Security for Mac.
  • Kaspersky Internet Security para Android.
  • Kaspersky Password Manager.

Le invitamos a ponerse en contacto con nosotros para proveerle más información  respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Contraseñas seguras

2016-09-26T13:45:34+02:00septiembre 26, 2016|Internet, Seguridad|

  • A menor cantidad de caracteres tenga una contraseña, más fácil será obtenerla en un ataque de fuerza bruta debido a que el número de posibles combinaciones será menor.
  • Incluir letras mayúsculas y minúsculas, números y símbolos.
  • Evitar incluir datos personales ya que pueden averiguarse mediante ingeniería social (nombres de mascotas, fechas significativas o aficiones).
  • No usar palabras simples como ‘contraseña’, ni patrones de teclado como ‘qwerty’ o ‘qazwsx’.
  • No se debe utilizar la misma contraseña para varias cuentas, si un cibercriminal descubre la contraseña de una cuenta, podrá utilizarla para acceder a las otras.
  • Tampoco se debe compartir las contraseñas con otras personas.
  • Se pueden incluir frases largas intercalando mayúsculas y símbolos o espacios, también se pueden reemplazar algunas letras por números.

Una última recomendación sería cambiar las contraseñas con regularidad en todos los servicios.

A manera de ejercicio, Kaspersky Lab mantiene una herramienta en línea en el siguiente enlace: http://password.social-kaspersky.com/es

Saguaro, cibercriminales atacando México

2016-08-30T17:57:15+02:00agosto 30, 2016|Internet, Seguridad|

¿Cómo ataca Saguaro?

El vector de propagación es vía correo electrónico con archivos adjuntos, cuando el usuario realiza la descarga de dichos arhivos el malware se instala de manera imperceptible.

El mensaje cambia de acuerdo al género, edad e intereses del destinatario. Se puede tratar de un mail con remitente de un banco asegurando que sus cuentas fueron bloqueadas o un mensaje de un remitente desconocido que dice “Su pareja lo engaña, dé clic para ver las pruebas”, son algunos de los métodos utilizados por este grupo para vulnerar la información de los usuarios.

Solo el 17% de los 54 antivirus disponibles en el mercado es capaz de detectar a Saguaro, alertó Dimitry Bestuzhev, director para América Latina del Equipo Global de Investigación y Análisis para Kaspersky Lab.

Una vez que el equipo es infectado, Saguaro puede robar información como contraseñas, datos sensibles guardados en el navegador o manejar de manera remota el equipo para tener acceso a todo una red corporativa y obtener una mayor cantidad de datos. Este malware también verifica si los usuarios conectan vía USB sus dispositivos móviles (Android o iOS) para infectarlos y si tienen instalados en sus equipos juegos como Battlefield 3, RuneScape, Minecraft, League of Legends, Blizzard Entertainment y Steam platform.

«Aunque la campaña lleva tiempo en operación, recientememnte se entregó el análisis informático completo a las autoridades de uno de los Centros de Respuesta Ante Emergencias Informáticas (CERT) para que ellos actúen de la forma que crean conveniente», informó Bestuzhev.

En México, el costo anual por el cibercrimen asciende a 24 millones de pesos, según datos de la firma de seguridad Lockton.

Antivirus Corporativo Kaspersky

Iniciativa No More Ransom

2016-07-27T18:06:58+02:00julio 27, 2016|Seguridad|

No More Ransom es la iniciativa que ha surgido entre Kaspersky Lab, Intel Security, la Europol y la Policía Nacional Holandesa para luchar en contra del ransomware. El ransomware es un tipo de malware que bloquea la computadora de la víctima y cifra su información para después exigir el pago por el acceso al dispositivo y sus datos.

A raíz de la iniciativa surge el sitio web www.nomoreransom.org cuyo objetivo es proporcionar recursos a las víctimas del ransomware. Los usuarios encontrarán información acerca de cómo protegerse contra este tipo de malware y también algunas herramientas que le pueden ayudar a recuperar sus datos una vez bloqueados.

El mensaje que se resalta en el portal web es no pagar el rescate que exigen los atacantes, ya que eso únicamente les incentiva a continuar con este delito. Además de que no existe garantía alguna de que realmente se obtendrá la clave para descifrar su información.

El proyecto No More Ransom ha sido concebido como una iniciativa no comercial que une a instituciones públicas y privadas bajo un mismo objetivo, combatir el ransomware. Dicho proyecto se encuentra abierto para recibir la cooperación de más empresas y organismos policiales de otros países y regiones.

Al anunciar la iniciativa, Wil van Gemert, director adjunto de Operaciones de la Europol destacó: “Desde hace algunos años, el ransomware se ha convertido en una preocupación en la Unión Europea. Es un problema que afecta de igual manera a ciudadanos y empresas. Iniciativas como esta, demuestran que la unión es el camino a seguir para una exitosa lucha contra los ciberdelincuentes”.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a las herramientas de tipo corporativo que brinda Kaspersky Lab para mantener la seguridad de sus equipos, así como los casos de éxito de nuestros clientes.

CTB-Locker en servidores web

2016-05-18T10:28:05+02:00mayo 18, 2016|Internet, Seguridad|

De acuerdo con información publicada por Kaspersky, TeslaCrypt, CryptoWall, TorrentLocker, Locky y CTB-Locker son sólo algunos de los programas maliciosos a los que se han enfrentado los usuarios en los dos últimos años.

En fechas recientes se ha detectado una nueva variante de CTB-Locker. Antes, este ransomware se diferenciaba de otros por el uso que hacía de la red Tor Project para protegerse y de únicamente recibir bitcoins, la conocida cripto-moneda descentralizada y anónima. Ahora, la nueva variante ataca a servidores web y exige un rescate de menos de medio bitcoin (aprox. 150 USD). Si el pago no se envía en el plazo exigido, el rescate se duplica a 300 USD. Una vez hecho el pago, se genera una llave de decodificación para los archivos.

Una falla de seguridad en el servidor web permite la infección de los archivos,  una vez explotado, el sitio web se desfigura. En este caso, la desfiguración, que contiene un sustituto de la página php/html principal, se usa como vehículo del mensaje. Es importante mencionar que no se elimina el código original. Se almacena bajo seguridad en la raíz web con un nombre diferente en un estado codificado. La llave de decodificación se guarda en un servidor remoto, pero se le permite a la víctima decodificar dos archivos de forma gratuita, como muestra de su autenticidad. Otra función que existe en el sitio web atacado le permite a la víctima comunicarse con el atacante mediante chat: se requiere una firma/código personal solo disponible para las víctimas.

Aún no se sabe cómo CTB-Locker se instala en los servidores web, pero hay un elemento común entre los servidores atacados: utilizan la plataforma de WordPress como herramienta de gestión de contenidos. WordPress contiene muchas vulnerabilidades en sus versiones no actualizadas. También los plugins de terceros para WordPress hacen que el servidor sea más vulnerable a los ataques, ya que los autores de plugins no están comprometidos con ningún tipo de medidas de seguridad.

Por el momento, la única forma de eliminar esta amenaza en pocos segundos es mantener copias de seguridad de los archivos en otra parte. Incluso, algunos sitios web suelen tener múltiples versiones de sus contenidos, propagados en varios servidores web. En muchos otros casos, son supervisados y probados por profesionales en pruebas de seguridad anti-penetración.

Grupo Lazarus, Kaspersky

2016-05-18T09:37:16+02:00mayo 18, 2016|Seguridad|

Se trata de una entidad responsable de operaciones de espionaje cibernético contra varias empresas de todo el mundo. Se cree que son los mismos detrás del ataque a Sony Pictures Entertainment en 2014.

Kaspersky Lab anunció su contribución con la operación denominada Blockbuster, la cual tuvo como objetivo interrumpir la actividad del Grupo Lazarus. En dicha operación participaron otros socios de la industria.

Después del ataque contra Sony Pictures Entertainment, Kaspersky Lab comenzó su investigación. Con base en las características comunes de las diferentes familias de malware, los expertos de la compañía agruparon decenas de ataques aislados y determinaron que todos pertenecían a un mismo actor. Confirmando una conexión entre el malware utilizado en diversas campañas, como la operación DarkSeoul contra bancos y organismos de radiodifusión en Seúl, o la operación Troya con objetivos en las fuerzas militares en Corea del Sur.

Los investigadores fueron capaces de detectar similitudes en la manera de operar de los atacantes. Al analizar artefactos de diferentes ataques, descubrieron que los instaladores o droppers conservaban sus cargas dentro de un archivo ZIP protegido por contraseña. La contraseña para los archivos utilizados en diferentes campañas era la misma y estaba programada en el interior del instalador.

El análisis de las fechas de compilación de muestras indicó que las primeras podrían haber sido compiladas en 2009, cinco años antes del ataque contra Sony. El número de muestras nuevas ha crecido de forma dinámica desde 2010. Esto caracteriza a Grupo Lazarus como un actor de amenazas estable y antiguo.

“A través de la operación Blockbuster, los socios de la industria trabajan para establecer una metodología con la cual podamos interrumpir las operaciones de los grupos de ataque de importancia mundial, y tratar de mermar sus esfuerzos para infligir un daño mayor”, dijo Andre Ludwig, Director Técnico Senior de Novetta Threat Research and Interdiction Group. “El nivel de análisis técnico detallado llevado a cabo en la operación Blockbuster es raro, y compartir nuestros hallazgos con socios de la industria, para que todos nos beneficiemos de una mayor comprensión, es aún más raro”.

Le invitamos a ponerse en contacto con nosotros para proveerle más información  respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Troyano en centro médico de USA

2016-05-18T09:21:56+02:00mayo 18, 2016|Seguridad|

Kaspersky ha publicado información respecto a un troyano que ha logrado bloquear el acceso al sistema de un centro médico estadounidense, cifrando su contenido para conseguir el pago de una suma millonaria, y solo así, restaurar sus operaciones informáticas. Se trata del Centro Médico Presbiteriano de Hollywood, el cual lleva una semana sin acceso a sus sistemas informáticos a raíz del ataque malicioso.

Se ha exigido un rescate de 3.4 millones de dólares para entregar al hospital la clave que permita descifrar el contenido de sus equipos y recuperar el acceso a sus sistemas.

La entidad admitió que a pesar de todo no se ha impedido el funcionamiento de la organización, aunque le obligó a adoptar cambios en su forma de operar para adaptarse a sus nuevas restricciones tecnológicas.

Aún no se han dado detalles sobre cómo ingresó la amenaza a los sistemas del hospital. Se cree que no fue un ataque diseñado especialmente para esta entidad en particular, sino que alguno de los funcionarios cayó en una de las clásicas trampas de los cibercriminales: esconder el programa en un archivo adjunto o enlace malicioso.

Se ha confirmado que los atacantes están pidiendo un rescate de 9000 bitcoins (3.4 millones de dólares), para descifrar los datos. El centro médico no ha informado si cederá ante las demandas de los cibercriminales.

Este tipo de ransomware se ha vuelto tan difícil de combatir que hace unos meses el FBI emitió un comunicado aconsejando a las víctimas que paguen el rescate si quieren recuperar el acceso a su información. Esto ha causado mucha controversia, en primer lugar, se estaría apoyando y perpetuando el negocio de los cibercriminales y, en segundo lugar, se está depositando confianza en la buena voluntad del cibercriminal para cumplir con su parte del trato, y no hay ninguna garantía de que lo haga.

Le invitamos a ponerse en contacto con nosotros para proveerle información  respecto a la importancia del uso de software de seguridad, así como las ventajas de contar con la protección del Antivirus Corporativo de Kaspersky.

Ir a Arriba