Malware

Malware que elimina información del equipo

2017-03-07T12:36:17+01:00marzo 7, 2017|Internet, Seguridad|

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ciberataques dirigidos a múltiples objetivos en Medio Oriente. El programa malicioso utilizado en los nuevos ataques es una variante del conocido Shamoon, un gusano (computer worm) que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Inactivo durante cuatro años, uno de los más misteriosos wipers de la historia ha regresado.

También conocida como Disttrack, Shamoon es una familia de programas maliciosos altamente destructivos que eliminan toda la información en el equipo (malware wiper). Los ataques de Shamoon 2.0 observados en noviembre de 2016 estaban destinados a organizaciones de diversos sectores de la infraestructura crítica y económica de Arabia Saudita. Al igual que la variante anterior, el wiper Shamoon 2.0 apunta a la destrucción masiva de los sistemas dentro de las organizaciones atacadas.

Los nuevos ataques comparten muchas similitudes con los de 2012 pero ahora cuentan con nuevas herramientas y técnicas. Durante la primera etapa, los atacantes obtienen las credenciales de administrador de la red de la víctima. A continuación, construyen un wiper diseñado especialmente (Shamoon 2.0) para aprovechar estas credenciales y propagarse por la red. Por último, en una fecha predefinida, el wiper se activa, inutilizando por completo las máquinas infectadas. Cabe señalar que las etapas finales de los ataques son completamente automatizadas, obviando la comunicación con el centro de mando.

Kaspersky Lab también descubrió otro programa malicioso wiper, StoneDrill, no tan conocido pero que tiene varias similitudes con Shamoon, con múltiples factores y técnicas interesantes que permiten evitar su detección. Además de los presuntos objetivos en Arabia Saudita, se observó una víctima de StoneDrill en Europa. Esto hace creer que el responsable de la amenaza está expandiendo sus operaciones de eliminación desde el Medio Oriente a Europa.

Si desea consultar el informe técnico completo: https://securelist.com/files/2017/03/Report_Shamoon_StoneDrill_final.pdf

Ransomware como servicio

2017-03-06T12:14:33+01:00marzo 6, 2017|Internet, Seguridad|

Dado el éxito de ransomware, no es de extrañar que los autores de malware continúen desarrollando más ransomware que nunca. El año pasado, el costo de los ataques de ransomware fue aproximadamente de mil millones de dólares, lo cual muestra que para los ciberdelincuentes este tipo de ataques puede ser muy lucrativo.

De acuerdo con información proporcionada por Fortinet, el aumento de estos ataques también se atribuye a la creciente disponibilidad del Ransomware-as-a-Service (RaaS, Ransomware como Servicio). Sus desarrolladores hacen publicaciones en foros para promover su malware, con la posibilidad de ganar dinero a través de la extorsión cibernética sin necesidad de contar con la experiencia para crear su propio malware.

A continuación algunos ejemplos de dichas publicaciones:

HOSTMAN Ransomware

Precio: USD 9.95 (uso limitado), USD 49.95 (uso ilimitado).

Publicación del mes de enero, el anuncio afirma que además de la encriptación de archivos, también cuenta con capacidades de gusano, lo que resultará en un número mayor de usuarios infectados.

FLUX Ransomware

Precio: USD 45.00, Código fuente – USD 150.00

Este anuncio de ransomware publicado en enero, incluye una característica de cifrado de archivos sin conexión, que vuelve más difícil identificar actividad maliciosa en la red. El inconveniente, sin embargo, es que las víctimas infectadas con FLUX Ransomware podrían llegar a usar el mismo descifrador privado para recuperar la información.

Como muchos de los anuncios de RaaS, FLUX también incluye la advertencia «solo para uso educativo», pero incluye un informe de productos antivirus que no logran detectarlo, lo que implica que está destinado a ser distribuido y utilizado.

Red de afiliados

Precio: Gratis

Beneficios: 25% para el desarrollador del ransomware y 75% para el afiliado.

Más de 100,000 instalaciones por mes: 15% para el autor del ransomware y 85% para el afiliado.

Este ransomware se ofrece de forma gratuita, pero proporciona el pago por comisión.

El anuncio se presenta con una afirmación directa: «somos codificadores, no spammers«. Buscan afiliados con experiencia en propagación de malware. El ransomware soporta varios idiomas, incluyendo ruso, inglés, alemán y chino. Este ransomware proporcionando incentivos para aquellos que logran más de 100,000 instalaciones en un mes.

La creciente accesibilidad del RaaS (Ransomware-as-a-Service) ahora permite a cualquiera operar dentro del negocio del cibercrimen. Para abordar el reto de seguridad que esto supone, las soluciones necesitarán responder de manera eficiente en cualquier entorno, especialmente a medida que su entorno de red evoluciona y se expande.

En Adaptix Networks recomendamos las soluciones de seguridad Fortinet, cuyo equipo de trabajo monitorea permanentemente los desarrollos en materia de ransomware. Le invitamos a ponerse en contacto con nosotros para proveerle más información al respecto, así como los casos de éxito con nuestros clientes.

Ciberataque a hotel

2017-01-30T15:52:57+01:00enero 30, 2017|Seguridad|

El lujoso hotel Romantik Seehotel Jaegerwirt, situado en el lago Alpine Turracher Hoehe, en Austria, decidió publicar lo ocurrido para advertir a otros de los peligros del cibercrimen.

El hotel tiene un sistema informático que incluye tarjetas como llaves para las habitaciones del hotel, como muchos otros hoteles en la industria.

El ataque con ransomware logró afectar todas las computadoras del establecimiento, incluyendo el sistema de reservas y el sistema de caja. Los huéspedes no podían entrar en sus habitaciones y las nuevas tarjetas de acceso tampoco podían ser programadas.

El hotel decidió pagar el rescate de 1,500 Euros en Bitcoin, que exigieron los atacantes. El gerente del hotel, Christoph Brandstaetter, indicó: «El hotel se encontraba en total ocupación, no teníamos otra opción, ni la policía ni el seguro ayudaron en este caso». «La restauración de nuestro sistema después del primer ataque en verano nos ha costado varios miles de euros, no hemos conseguido el pago del seguro debido a que no se identificó a los culpables».

Después que el hotel realizara el pago del rescate, los atacantes desbloquearon el sistema de registro de claves y los equipos, permitiendo que todo funcionara de forma normal nuevamente.

Sin embargo, según el hotel, los atacantes dejaron una puerta trasera abierta en el sistema, y ​​trataron de atacar de nuevo. No tuvieron éxito en esa ocasión debido a que los equipos de cómputo fueron reemplazados y se adoptaron nuevos estándares de seguridad.

A esto último se debe que los especialistas recomienden no realizar el pago de los rescates, ya que nada garantiza que la información realmente sea liberada o que los atacantes vuelvan a bloquear el acceso a los sistemas.

En Adaptix Networks destacamos la importancia de implementar soluciones de seguridad integrales para disminuir de manera importante el riesgo de sufrir algún ataque. Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a la implementación de Antivirus de tipo corporativo, Firewalls, Virtualización y Servicios Cloud.

Predicciones de ciberseguridad 2017, Fortinet

2016-12-15T10:08:20+01:00diciembre 15, 2016|Seguridad|

Los investigadores de Fortinet anticipan las tendencias en cibercriminalidad y ciberseguridad que impactarán la economía digital mundial.

  1. Ataques más inteligentes y automatizados. Malware con habilidades adaptables simulando ser una persona.
  2. Consumidores podrían dejar de comprar productos conectados a Internet por miedo y desconfianza. Llamado a la creación y aplicación de estándares de seguridad por parte de consumidores, proveedores y otros grupos de interés.
  3. Criminales cibernéticos aprovecharán los cerca de 20 mil millones de dispositivos conectados a Internet disponibles para atacar a los clientes, consiguiendo con ello penetrar la Nube de los proveedores. Empresas adoptarán seguridad basada en Fabric y estrategias de seguridad desde los dispositivos hasta la Nube.
  4. Hackers volcarán sus esfuerzos hacia las ciudades inteligentes, los edificios automatizados y sus sistemas de administración. Hacktivistas motivados políticamente buscarán objetivos de gran valor. Riesgo de una enorme perturbación civil si los sistemas integrados se ven comprometidos.
  5. Ataques dirigidos contra objetivos específicos de alto perfil como celebridades, figuras públicas y grandes organizaciones. Economía de escala generará un mayor costo-beneficio a los hackers, estafas con pequeñas cantidades de dinero pero a un gran número de víctimas. Ataques ransomware se llevarán a cabo, principamente a través de dispositivos IoT.
  6. Escasez actual de profesionales con habilidades en ciberseguridad pondrá en riesgo la economía digital mundial. Muchas empresas no contarán con la experiencia o el entrenamiento necesarios para desarrollar políticas de seguridad, proteger sus recursos importantes o responder a ataques sofisticados.

En Adaptix Networks destacamos la importancia de implementar soluciones de seguridad integrales para disminuir de manera importante el riesgo de sufrir algún ataque. Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a la implementación de nuestras soluciones Fortinet, así como los casos de éxito con nuestros clientes.

Ransomware metro San Francisco

2016-12-01T12:39:34+01:00diciembre 1, 2016|Internet, Seguridad|

La agencia de transporte de San Francisco fue víctima de un ataque por ransomware, ocasionando que sus pasajeros pudieran viajar sin pagar.

Las computadoras de la red de transporte fueron inhabilitadas con pantallas que exhibían un mensaje de los atacantes:

«Hacked, ALL Data Encrypted. Contact For Key (cryptom27@yandex.com) ID: 681, Enter».

Como medida de precaución, el personal decidió apagar todas las máquinas que realizan la venta de entradas de la red de transporte, San Francisco Municipal Transportation Agency conocida como MUNI.

Los atacantes pidieron un rescate por 100 Bitcoin, que asciende a unos 70,000 dólares.

El sitio de noticias Hoodline de San Francisco informó que los atacantes proporcionaron un listado de las máquinas infectadas en la red, el total superaba las 2,000 e incluía los equipos utilizados para procesar la nómina e información personal de los empleados.

Se ha identificado que este ataque se realizó con una nueva variante del malware Mamba. Este ransomware no cuenta con grandes técnicas de cifrado o anti-sandbox, tampoco cuenta con mecanismos antidepuración como en el caso de otros ransomware considerados de mayor peligro. Sin embargo, la eficacia de un ataque dependerá en gran medida de la manera en que logra introducirse en los sistemas, sin importar cuán peligroso, simple o complicada sean las técnicas utilizadas.

Cada vez se han hecho más frecuentes los ataques que utilizan algún crypto-malwareransomware, es importante proteger los sistemas empresariales con soluciones de tipo corporativo que faciliten su administración y que incluyan las herramientas necesarias para su monitoreo y control por parte del equipo de TI.

Este ransomware ya se había identificado dos meses antes de registrarse el ataque a MUNI, por lo que habría sido detectado fácilmente por las herramientas de seguridad adecuadas, evitando así todos los inconvenientes que se presentaron.

En Adaptix Networks recomendamos la protección de Kaspersky Lab y los dispositivos Fortinet para obtener soluciones de seguridad integrales. Le invitamos a ponerse en contacto con nosotros para proveerle más información al respecto, así como los casos de éxito con nuestros clientes.

Ataques a Puntos de Venta

2016-11-07T11:29:44+01:00noviembre 7, 2016|Seguridad|

Los Puntos de Venta a menudo son el objetivo de malware diseñado para robar números de tarjetas de crédito. Este año, la empresa de comida rápida Wendy’s, la comercializadora de ropa Eddie Bauer, Kimpton Hotels, Hyatt, entre muchos otros, han informado de los ataques de los que fueron víctimas.

En relación con esto, PCWorld ha publicado recientemente información de Cómo las empresas pueden prevenir ataques a los Punto de Venta. Se destaca lo siguiente:

Supervisión

Los servicios de acceso remoto para los sistemas de pago frecuentemente son mal configurados con contraseñas débiles, lo que facilita el acceso a los atacantes. Las empresas que proporcionan acceso remoto a su sistema de punto de venta deben considerar la autenticación de dos pasos. También, el uso de herramientas que identifiquen cualquier actividad inusual, por ejemplo, que el equipo se encuentre activo durante la noche transmitiendo datos.

Cifrado

Las empresas son mucho menos vulnerables a cualquier violación de datos si utilizan el cifrado de extremo a extremo. Eso significa cifrar los datos del cliente durante todo el proceso de pago, incluyendo el momento en que se pasa la tarjeta de crédito en la terminal.

También se puede llegar a hacer uso de tokens, un proceso de sustitución de los datos de la tarjeta de pago procesada por marcadores de posición digitales, conocidos como fichas. Tanto esto como el cifrado se pueden usar en combinación para reducir el riesgo de robo de datos.

Correcta Instalación y Pruebas

Desafortunadamente, cuando las empresas seleccionan el sistema de punto de venta que desean comprar, rara vez piensan en seguridad.

Además, muchos de estos punto de venta son instalados por terceros que no son especialistas en seguridad. Estos factores pueden poner a las empresas en riesgo.

Aunque el cifrado y otras herramientas de lucha contra el malware, como los antivirus, pueden prevenir las brechas de datos en este tipo de equipos, son prácticamente inútiles si no están correctamente instalados, configurados y probados.

En Adaptix Networks destacamos la importancia de implementar soluciones de seguridad integrales para disminuir de manera importante el riesgo de sufrir algún ataque. Le invitamos a ponerse en contacto con nosotros para proveerle más información al respecto.

Pago de rescate por ransomware

2016-11-03T12:31:08+01:00noviembre 3, 2016|Internet, Seguridad|

A menudo, cuando se habla de ransomware, se recomienda que las víctimas no paguen el rescate, ya que al realizar el pago se anima a los creadores de malware a continuar su negocio. Es la ley de la oferta y la demanda: si paga más gente, aumentará el volumen de mercado, que conducirá a la creación de más malware.

Sin embargo, siempre será una decisión complicada para una empresa por la naturaleza de la información en cuestión: registros financieros, historiales médicos, datos personales de clientes o trabajadores, entre muchos otros…

Tampoco  se debe olvidar que pagar el rescate no garantiza la recuperación de los archivos. Así lo indica un estudio reciente de Kaspersky Lab, en el que se confirma que el 20% de los usuarios que pagaron el rescate nunca recuperaron sus archivos.

La empresa hace algunas recomendaciones para proteger su información o tratar de recuperarla en caso de haber sido víctima de un ataque:

  1. Realizar copias de seguridad regulares.
  2. Utilizar una solución de seguridad.
  3. Si se utiliza una de las soluciones de seguridad Kaspersky, asegurarse que se encuentra activa la característica System Watcher, especialmente diseñada para la detección de ransomware.
  4. Si es víctima de algún ransomware, ingrese al sitio web www.nomoreransom.org, en él se encuentran disponibles algunas herramientas para descifrar archivos.

En Adaptix Networks recomendamos las soluciones de seguridad de Kaspersky Lab. Le invitamos a ponerse en contacto con nosotros para proveerle más información al respecto, así como los casos de éxito con nuestros clientes.

Fantom finge ser Windows Update

2016-09-05T13:00:29+02:00septiembre 5, 2016|Internet, Seguridad|

Frecuentemente se recomienda actualizar de manera regular el sistema operativo y programas para evitar que el malware utilice sus vulnerabilidades. Sin embargo, un ransomware llamado Fantom aprovecha dicha recomendación para realizar sus ataques, de acuerdo con información revelada por AVG.

Dicho ransomware finge ser una actualización crítica de Windows Update, al ponerse en marcha ejecuta dos programas: un cifrador y otro con el nombre WindowsUpdate.exe. El último simula una ventana de Windows Update para informar que el sistema operativo está siendo actualizado. Mientras Fantom cifra en segundo plano los archivos del equipo, el mensaje en pantalla indica el progreso de la «actualización». Este truco está diseñado para desviar la atención de las víctimas y que no sospechen de la actividad en sus equipos de cómputo.

Una vez que concluye el proceso de cifrado, Fantom eliminará sus archivos ejecutables y dejará una nota de rescate en .html en cada carpeta, además, reemplazará el fondo de pantalla con la notificación. Los atacantes incluyen una dirección de correo electrónico para que la víctima pueda comunicarse y recibir sus instrucciones.

Aún no existe manera de descifrar los archivos sin pagar el rescate, el cual no se recomienda realizar.

Para evitar ser víctima de este y otros tipos de ransomware se recomienda:

  1. Realizar copias de seguridad frecuentemente, en una unidad externa y sin conexión. Esto significará la posibilidad de restaurar el sistema y sus archivos.
  2. No abrir archivos adjuntos de correos electrónicos sospechosos y evitar el acceso a páginas inseguras, Fantom puede usar estos vectores de ataque para infiltrarse en el sistema.
  3. Utilizar una herramienta de seguridad robusta que incluya la detección de acciones sopechosas para bloquearlas.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a las herramientas de tipo corporativo que brinda Kaspersky Lab para mantener la seguridad de sus equipos, así como los casos de éxito de nuestros clientes.

Saguaro, cibercriminales atacando México

2016-08-30T17:57:15+02:00agosto 30, 2016|Internet, Seguridad|

¿Cómo ataca Saguaro?

El vector de propagación es vía correo electrónico con archivos adjuntos, cuando el usuario realiza la descarga de dichos arhivos el malware se instala de manera imperceptible.

El mensaje cambia de acuerdo al género, edad e intereses del destinatario. Se puede tratar de un mail con remitente de un banco asegurando que sus cuentas fueron bloqueadas o un mensaje de un remitente desconocido que dice “Su pareja lo engaña, dé clic para ver las pruebas”, son algunos de los métodos utilizados por este grupo para vulnerar la información de los usuarios.

Solo el 17% de los 54 antivirus disponibles en el mercado es capaz de detectar a Saguaro, alertó Dimitry Bestuzhev, director para América Latina del Equipo Global de Investigación y Análisis para Kaspersky Lab.

Una vez que el equipo es infectado, Saguaro puede robar información como contraseñas, datos sensibles guardados en el navegador o manejar de manera remota el equipo para tener acceso a todo una red corporativa y obtener una mayor cantidad de datos. Este malware también verifica si los usuarios conectan vía USB sus dispositivos móviles (Android o iOS) para infectarlos y si tienen instalados en sus equipos juegos como Battlefield 3, RuneScape, Minecraft, League of Legends, Blizzard Entertainment y Steam platform.

«Aunque la campaña lleva tiempo en operación, recientememnte se entregó el análisis informático completo a las autoridades de uno de los Centros de Respuesta Ante Emergencias Informáticas (CERT) para que ellos actúen de la forma que crean conveniente», informó Bestuzhev.

En México, el costo anual por el cibercrimen asciende a 24 millones de pesos, según datos de la firma de seguridad Lockton.

Antivirus Corporativo Kaspersky

Ciberseguridad en instituciones educativas

2016-08-24T13:39:52+02:00agosto 24, 2016|Internet, Seguridad|

A través de Computerwolrd, María José Albarrán, Gerente de Cuentas Fortinet para México, publicó información relacionada a la ciberseguridad en las instituciones educativas.

Algunos puntos importantes incluidos en la publicación de la representante de Fortinet en México:

  • Por su naturaleza y el número de usuarios en sus redes, las instituciones educativas se pueden comportar como una PyME, incluso las pertenecientes a la educación superior, como una empresa nivel carrier.
  • Las herramientas básicas que las instituciones necesitan para contar con accesos confiables y robustos son los firewalls de nueva generación pero principalmente los UTM de alto desempeño que combinados con otras tecnologías centralicen la administración de la seguridad.
  • Además, las escuelas, universidades y otros planteles académicos, gozan de infraestructura TI cada día más compleja con necesidades específicas de tráfico e intercambio de datos. En ese sentido, el sector alberga información atractiva para quienes lucran a través del robo de datos, ya que ocupa el tercer lugar a nivel mundial en cuanto al número de incidentes de seguridad informática, solo por debajo de la industria de la salud y el sector de venta al detalle.

Los cibercriminales están interesados principalmente en:

  1. Robo de identidad.
  2. Datos personales de los estudiantes.
  3. Datos personales de docentes y trabajadores.
  4. Información financiera.
  5. Datos de proveedores.
  6. Plagio de investigaciones y proyectos.
  7. Alteración de contenidos.
  8. Distribución de material malicioso.
  9. Destrucción de bases de datos.
  10. Secuestro de equipos mediante ransomware.

¿Qué pasaría con la reputación de una institución académica de primer nivel si sufriera  el robo de datos personales de sus estudiantes y fuera divulgado masivamente?

¿Qué pasaría si la información de los equipos de cómputo fuera secuestrada por medio de algún ransomware, impidiendo continuar con la operación de sus sistemas?

Estas y muchas otras preguntas deben ser consideradas al establecer la estrategia de ciberseguridad en una institución educativa.

Por ello le invitamos a ponerse en contacto con nosotros para proveerle más información e incrementar los niveles de Seguridad en su institución, así como los casos de éxito con nuestros clientes.

Ir a Arriba