Tag Archive: Malware


650_1000_secuestrado

Fin de semana. Te levantas, tomas un café, lees un poco del libro que tienes pendiente y sales a hacer un poco de deporte. Vuelves, te duchas y enciendes el ordenador para ver una cosa en Internet. Sorpresa: aparece un mensaje diciendo que o pagas o te quedas sin datos en tu ordenador. Y no te deja hacer nada más.

La primera reacción es de susto. ¿Cómo me ha podido pasar a mí? La segunda es de superioridad: estos hackers no saben que te manejas bien con ordenadores. Coges un Live CD de Linux que tienes por ahí tirado para recuperar tus datos y limpiar el malware. Lo metes en el ordenador, arrancas, y… vaya. Esa carpeta antes no estaba ahí. ¿Y dónde está mi carpeta de usuario? ¿Por qué no se puede abrir ningún archivo?

Lo que te ha atacado es un tipo de virus llamado ransomware. Bloquean tu ordenador y te piden dinero para que puedas volver a usarlo. Según lo sofisticado que sea, puede que sea fácil de saltar y limpiar, o puede que la mejor alternativa sea pagar (incluso a pesar de que eso no te garantice recuperar los datos).

Uno de esos ransomwares sofisticados es CryptoLocker, que se distribuye habitualmente a través de archivos adjuntos. Cuando se carga, se conecta a un servidor de control remoto, que genera un par de claves RSA pública/privada de 2048 bits. La clave pública se la queda el ordenador infectado, y CryptoLocker empieza a cifrar archivos de forma precisa: sólo cifra ciertos tipos como documentos de Office, imágenes o archivos de AutoCAD, los que probablemente sean más valiosos para el usuario.

Por otra parte, muestra un mensaje diciendo que o pagas unos 400 euros, o en unos días se destruirá la clave privada. Y recordemos que, tal y como funciona la criptografía de clave pública, esa clave privada es la única forma de descifrar tus archivos. Incluso aunque pudieses extraer la clave pública del malware, no podrías hacer nada con ella. Además, al ser de 2048 bits, es prácticamente imposible adivinarla por fuerza bruta.

Una infección con este tipo de malware puede ser muy seria, y si no que se lo digan al departamento de policía de Durham, una pequeña ciudad estadounidense. Fueron infectados por CryptoWall, muy similar a CryptoLocker. No sólo se bloquearon los ordenadores, sino que además se cifraron algunas copias de seguridad que estaban almacenadas en discos en red accesibles por los infectados.

Por suerte, no todos son tan letales. Algunos “sólo” te bloquean el Master Boot Record y evitan que se ejecute tu sistema operativo hasta que no pagues el rescate, aunque los archivos siguen siendo accesibles. Otros, como Ransom.AN, sí cifran los archivos pero no están del todo bien diseñados, y reutilizan la misma clave en todos los ordenadores.

> El dinero detrás del secuestro digital

El ransomware empezó a surgir en 2009 en el este de Europa, con cibercriminales operando (probablemente) desde allí. Infectan a los usuarios a través de vulnerabilidades en el navegador, haciendo que se descargue reproductores de vídeo que en realidad son un virus – especialmente en sitios pornográficos, para que el usuario sea más reticente a denunciar y decir dónde se infectó – o a través de adjuntos del correo.

Cuando el malware se instala por la vía que sea, necesitan convencer a los usuarios de que paguen. Para ello suelen usar dos tácticas distintas.

La primera es la vergüenza. El malware muestra imágenes pornográficas o desagradables, de tal forma que prefieras pagar antes que seguir viéndolas. La segunda, la más usada, es la autoridad: se hacen pasar por cuerpos de Policía, diciendo que se ha detectado actividad ilegal (pornografía, zoofilia, violencia, pedofilia…) y que o pagas o se emprenderán acciones legales. Por supuesto, ningún cuerpo policial actúa de esta forma, pero eso no impide que haya gente que se crea la farsa.

Una vez que han convencido al usuario, lo siguiente es conseguir que pague. Para no descubrirse usan tarjetas prepago como MoneyPak o Ukash. Con el auge de Bitcoin, la moneda virtual se ha convertido en un medio muy atractivo para que los cibercriminales reciban su rescate: es muy difícil vincular una cartera virtual a la persona que está detrás de ella.

¿Y cuánto dinero ganarían estos criminales? Según un estudio de Symantec, sólo pagan un 2.9% de los usuarios, un porcentaje bajo. Sin embargo, teniendo en cuenta que los rescates no son baratos y que se infectan muchos ordenadores (unos 5.700 al día), se calculaba que los responsables del ransomware se podían estar haciendo con 394.000 dólares al mes.

> El ransomware, no sólo cosa de Windows

Uno pensaría que todo el ransomware afecta a sistemas Windows. Si bien es cierto que una parte importante está dirigido al sistema de Microsoft por su mayor cuota de mercado (más dinero potencial), otros sistemas también han sido afectados.

Por ejemplo, el mes pasado se detectó SimpleLocker, un ransomware para Android que seguía la misma estrategia de sus primos de ordenador. Veinte dólares por desbloquear los archivos de la tarjeta SD. Por suerte, la clave de descifrado se guardaba en el móvil y era posible recuperarla y desbloquear el móvil.

650_1000_650_1000_hacked

El secuestro digital tampoco requiere un malware. Es el caso de varios usuarios de iPhone, especialmente australianos, que vieron bloqueados sus dispositivos hasta que no pagasen un rescate de hasta 100 dólares. El hacker lo hizo entrando en las cuentas de iCloud de esos usuarios – según Apple, con técnicas de phishing y sin comprometer la seguridad del servicio – y usando la funcionalidad de Find My Phone para bloquear los dispositivos remotamente.

> Cómo evitar que secuestren mis dispositivos

650_1000_contrasena-1

La solución es la de siempre: antivirus y sistema actualizado, y sobre todo, no descargar ejecutables sospechosos ni abrir adjuntos que no sabes de dónde vienen. Si por lo que sea sospechas que tu ordenador pueda estar infectado por uno de estos virus, apágalo para evitar que siga secuestrando tus datos y así poder recuperarlos y limpiar el ordenador con más calma.

Además, hay herramientas especializadas para evitar este tipo de malware. Yago Jesús, de Security By Default, publicó hace poco una actualización a su software Anti Ransom, que nos avisará cuando haya un ransomware cifrando datos en nuestro sistema y así podamos apagar el ordenador rápidamente para evitar que siga ejecutándose. Además, generará un volcado de la memoria del malware para que, en un análisis posterior, se traten de extraer las claves de cifrado.

En el caso de que haya sistemas que puedan bloquear tu teléfono remotamente, como los de Apple, Microsoft o Prey, es recomendable usar contraseñas seguras y activar, si es posible, medidas adicionales como la autenticación en dos pasos.

Y si te has infectado, lo importante es no pagar. Pagar no te garantiza recuperar tus datos, y además estás animando a los cibercriminales a seguir con la estafa. Dependiendo del tipo de virus se podrán recuperar o no los datos, así que lo mejor es acostumbrarte a hacer backups periódicamente, ya sea en la nube o en discos externos.

Fuente | Genbeta

Ucrania-Snake-800px

Una variante del Rootkit Snake está siendo detectada con frecuencia cada vez mayor en Ucrania. Anteriormente, Snake fue utilizado para el peor ataque cibernético experimentado en la historia de Estados Unidos.

El departamento de Inteligencia Aplicada de la empresa británica BAE Systems ha publicado un informe sobre una operación de ciberespionaje denominada “Snake”. El código en cuestión es descrito como Rootkit; es decir, malware que es instalado subrepticiamente en el sistema operativo, y que logra permanecer indetectable.

El informe de BAE Systems describe la forma en que Snake (PDF) logra penetrar la potente protección en torno al núcleo de 64 bits de Windows, incluyendo las versiones 7 y 8. En el documento se indica que Snake “tiene una arquitectura increíblemente compleja, diseñada para vulnerar el núcleo del sistema operativo”.

BAE Systems continúa señalando que “la construcción lleva a suponer que los atacantes disponen de un verdadero arsenal de herramientas de infiltración, presentando todos los indicios de que se trata de una ciber-operación altamente refinada”.

Snake puede propagarse mediante diversos procedimientos, que incluyen correo electrónico dirigido a destinatarios específicos, y memorias USB infectadas.  A juicio de BAE, Snake constituye una grave amenaza contra organizaciones legítimas en la mayoría de los países, especialmente aquellas con grandes redes, como empresas multinacionales y el sector público.

Desde 2010 se han detectado 56 variantes del malware, en 9 países. La mayoría de los casos, 32, corresponde a Ucrania, con 8 incidencias en 2013, y 14 en lo que va del presente año.

BAE hace además referencia a un informe publicado el 28 de febrero por la empresa de seguridad informática alemana G Data, donde da cuenta de un rootkit denominado Uroburos, vocablo griego traducido como “serpiente”. El informe, titulado “Uroburos, un software de espionaje altamente complejo, con raíces rusas”, no deja dudas sobre la autoría del malware.

Según BAE, Uroburos es un componente de Snake. Al igual que BAE, G Data menciona el alto grado de complejidad del malware, recalcando que su desarrollo y actualización requiere de grandes recursos, de todo tipo.

En sus respectivos informes, BAE y G Data coinciden en que Uroburos es un desarrollo de Agente.btz, un código maligno detectado en redes de las Fuerzas Armadas estadounidenses en 2008, en Estados Unidos y Afganistán. 2 años más tarde, el viceministro de defensa de Estados Unidos, William Lynt, reveló que la extracción del malware de las redes del pentágono había tomado 14 meses.

En 2010 trascendió que el Pentágono sospechaba que Agent.btz tenía un origen ruso, aunque no se proporcionaron detalles. El informe de BAE no menciona directamente a Rusia. La empresa analiza distintos detalles, entre ellos cronología y compilación, concluyendo que los autores del código han trabajado en “horas de oficina” en zonas horarias equivalentes a San Petersburgo y Moscú.

La conclusión principal es que el código maligno -altamente avanzado y que supuestamente es una variante del peor ataque cibernético dirigido contra Estados Unidos- se propaga estos días con gran intensidad en Ucrania.

“Es una de las amenazas más avanzadas y resistentes que estamos observando” se indica en el informe de BAE, agregando que Snake instala puertas traseras, se oculta con gran eficacia, y establece conexiones con servidores de comando, incluso desde sistemas desconectados de Internet. Asimismo, los métodos de transmisión de datos dificultan sobremanera detectar que información está siendo transmitida desde el sistema intervenido.

Gran parte de los procedimientos empleados serían manuales, es decir, requerirían la intervención de un operador humano, lo que nuevamente lleva a suponer que los responsables tienen cuantiosos recursos a su disposición.

Fuente | ITSitio

SAN-VALENTIN1

Aunque pareciera raro el hecho de caer en manos de criminales cibernéticos en estas fechas, Fortinet advierte que las fechas son totalmente potenciales en términos de seguridad. Cabe resaltar que los cibercriminales han optado por atraer a los incautos en fechas especiales, como San Valentín, donde la propagación de malware se realiza a través de las redes sociales y, sobre todo de una manera más rápida que en otras ocasiones.

Por ello, Fortinet denominó a este nuevo tipo de malware como Infecciones Transmitidas Socialmente o STI por sus siglas en inglés. Mismas que, a decir de la compañía especializada en seguridad, pueden provocar tanto daño como las de otro tipo. Como ejemplo, es básicamente, que las redes sociales son potencialmente una fuente de infección de malware al no saber verificar la fuente principal de información.

Debido a que las redes sociales se basan en la confianza, confiar en tus contactos te hace confiar en el contenido que comparten, permitiendo a los STI infectarte con malware. Para lograrlo los hackers se valen de una serie de trucos que pueden incluir el enviar mensajes acerca de temas populares, añadir extensiones maliciosas a tu buscador para secuestrar tus cuentas de redes sociales, hacer que las descargas aparenten ser de fuentes legítimas, deshabilitar tus antivirus, o incluso anunciar software malicioso como ofertas especiales (Adware).

Por ello Fortinet recomienda que si al llegar a casa se descubre la cuenta de Twitter envía spam en lenguaje extranjero, o se nota algún otro síntoma de haber contraído una STI, habrá que hacer lo siguiente de inmediato:

  • Cambiar el password de la cuenta afectada y haz lo mismo para las demás cuentas que compartan el mismo password.
  • Ir a la página de aplicaciones de la red social e inhabilita los accesos y privilegios que no reconozcas.
  • Iniciar el antivirus y detecciones de malware en tu computadora.
  • Avisar a los amigos que la cuenta fue comprometida y que tengan cuidado con lo que reciban de ella.

Y por supuesto, independientemente de las precauciones que haya que tomar:

¡FELIZ SAN VALENTÍN!

A %d blogueros les gusta esto: