Tag ransomware

ESET, advierte que actividad de grupos de ransomware en América Latina incrementó en 2023 con un aumento de ataques dirigidos a los ámbitos corporativos y gubernamentales en la región.

Ecuador – Se analiza grupos de ransomware muy activos en América Latina en el 202, explica cuáles son los principales actores y cómo deben prepararse las empresas y entidades.

Según ESET Security Report, el 96% de las organizaciones señalaron su preocupación por el ransomware como una amenaza latente, el 21% reconoce haber sufrido un ataque con este tipo de malware en los últimos dos años. De este último grupo, el 77% pudo recuperar su información gracias a las políticas de respaldos con las que cuentan, por el contrario, el 4% afirmó haber pagado para su rescate. El 84% de las organizaciones encuestadas negó estar dispuesta a negociar el pago por el rescate de sus datos.

“Uno de los principales desafíos a enfrentar en el futuro cercano será el aumento de las campañas de spearphishing (dirigidas apuntando a un objetivo específico). Deberá tenerse en cuenta el aumento de los riesgos asociados al mayor del uso de las tecnologías en el periodo pospandemia, y la necesidad de mejorar el nivel de concientización de colaboradores de las empresas en todos los niveles.”, comenta
David González Cuautle, Investigador de Seguridad Informática de ESET Latinoamérica.

La implementación de ciberseguridad en América Latina depende del tipo de organización, y conforme a las encuestas realizadas del ESET Security Report hay problemáticas en las que existe una convergencia sin importar el tipo de sector: El robo o fuga de información en las compañías es la que representa la mayor preocupación, con un 66%, y está asociada a un acceso indebido a sistemas, es decir, el aumento de ataques que buscan explotar alguna vulnerabilidad a través de campañas de phishing dirigido (spearphishing) o la instalación de códigos maliciosos como el ransomware o troyanos de acceso remoto.

Los grupos más activos de ransomware en lo que va del año para la región de América Latina según ESET, son:

SiegedSec: Este grupo es reconocido es por su lema de asediar la seguridad de la víctima, de ahí su nombre, en inglés siege, que puede traducirse al español como asediar o sitiar. Su modus operandi es extorsionar a la víctima a tal grado de solo dejarle la salida de pagar por el rescate de su información o, en el peor de los casos, venderla en foros de la Dark web o Telegram.

Desde el inicio de sus actividades en febrero de 2022, vinculadas con el grupo de ransomware GhostSec, ha demostrado que no tiene preferencia en sus blancos, pues ha logrado afectar a sectores en todo el mundo tales como atención sanitaria, tecnologías de la información, seguros, contabilidad, derechos y finanzas. En lo que respecta a su actividad en América Latina, SiegedSec logró obtener documentos de intranet, bases de datos, información de usuarios y detalles de las organizaciones vulneradas en varios sectores en Colombia, con entidades de gobierno y salud entre los más afectados.

SiegedSec es caracterizado porque en todos sus banners para liberación de la información integran un gato como si se tratara de su mascota oficial.

Nokoyawa: De origen ruso, e iniciada su actividad en febrero del año pasado, se caracteriza porque es el único grupo en utilizar un cifrado de amplia sofisticación (criptografía de curva elíptica, o ECC, por sus siglas en inglés), añadiendo su propia extensión de archivo homónima (NOKOYAWA). Este grupo logró conseguir una enorme cantidad de información, un laboratorio de en el sector de salud de Brasil en lo que va del tercer cuatrimestre del 2023.

Captura de pantalla en donde se puede observar el mensaje del rescate de la información. Fuente: Watchguard

ALPHV: También conocido como Blackcat; la forma en que opera este grupo desde su aparición en noviembre del2021, es a través del Ransomware-as-a-Service (RaaS, por sus siglas en inglés) debido a que sus ataques no se hacen aleatoriamente o por campañas de tipo spam, sino que, sus objetivos son determinados mediante los asociados con los que cuenta, es decir, que reúnen esfuerzos para realizar ataques a objetivos ya perfilados. Esto hace que su modus operandi sea específico para cada caso de uso, así como las técnicas empleadas durante sus ataques.

A la mitad del 2023, ALPHV publicó información confidencial de la exfiltración de datos de una de las empresas más grandes de México a través de su canal de Telegram, de igual manera el sector público no se vio exento de este ataque.

Logo del grupo ALPHV (Blackcat). Fuente: Itwarelatam.

Stormous y su alianza con GhostSec: El grupo Stormous tuvo su aparición a mitad del 2021. El grupo, de origen árabe, en un principio publicitaba a través de sus canales en Telegram y en sus foros de la Dark web, ataques hacia Estados Unidos. Debido al conflicto Rusia-Ucrania, sus objetivos se modificaron y a mediados de julio de este año declararon oficialmente asociarse con el grupo de hacktivistas GhostSec para atacar no solo a Estados Unidos, sino también a países de América Latina y entre ellos al gobierno de Cuba.

Captura de pantalla de la Dark web de cuando Stormous cambió su objetivo. Fuente: Portal.cci-entel.cl.

Vice Society: Fue uno de los grupos con mayor actividad a finales del 2022 y principios del 2023. La mayoría de las incidencias fueron hacia industrias de la educación y atención médica pero también se tiene evidencia de que otro sector al que está apuntando este grupo de ransomware es al manufacturero en países como Brasil, Argentina, Suiza e Israel. Cabe mencionar que han identificado que tienen su propio generador de ransomware personalizado optando por métodos de cifrado más sólidos, lo que significa que el grupo se está preparando para su propia operación de ransomware como servicio (RaaS).

Sitio oficial en la Dark web de Vice Society. Fuente: Tripwire.

Desde ESET Latinoamérica comparten algunas recomendaciones que pueden ayudar en la protección de la información:

• Contar con una política para realizar copias de seguridad periódicas: Esto permitirá que los datos, en caso de verse afectados por algún ransomware, puedan ser restaurados. Conforme al ESET Security Report en América Latina, el 88% de las organizaciones encuestadas han implementado este tipo de recomendación.

• Establecer una política para la actualización y parches en cada uno de los activos (operativos y de red): Al tener todos los sistemas, aplicaciones y dispositivos actualizados, la brecha para que los ciberdelincuentes puedan explotar vulnerabilidades de software o protocolos obsoletos se reduce considerablemente. En el ESET Security Report en América Latina, el 45% de las organizaciones aseguraron realizar actualizaciones de seguridad más de dos veces al año, lo que indica que aún falta mucho esfuerzo por realizar.

• Educación y concientización: La capacitación constante a colaboradores y colaboradoras en todos los niveles sobre las mejores prácticas de seguridad y  las tendencias de vectores de ataque en la región, son fundamentales para que un ciberdelincuente no lleve a cabo su cometido. Un área de oportunidad para las organizaciones, y donde muchos de los ataques de ransomware son exitosos, es que no cuentan con un programa de capacitación y concientización (solo 28% de los encuestados en el ESET Security Report de América Latina afirma contar con este programa).

• Contar con una política sobre el principio del mínimo privilegio: Al establecer únicamente los privilegios suficientes para que el colaborador pueda realizar sus actividades, se limita la capacidad de que el ransomware se propague hacia otros sistemas o aplicaciones.

• Seguridad en la red: Los firewalls, la segmentación de red junto con las reglas de acceso y uso de VPN limitaría la posibilidad de que pueda extenderse cualquier malware.

• Plan de respuestas a incidentes y de continuidad del negocio: Es importante saber cómo responder ante cualquier incidente o contingencia que se pueda dar en la organización, haciendo que el impacto al negocio sea lo mínimo posible y siga funcionando. El 42% de los encuestados indicó que cuenta con un plan de respuesta a incidentes, mientras que un 38% no tienen un plan de continuidad del negocio.

• Contar con soluciones de seguridad avanzadas: La implementación de soluciones de seguridad que detecten y bloqueen comportamientos anómalos o sospechosos, como un EDR (Endpoint Detection and Response, por sus siglas en inglés) y soluciones antimalware, permitirían la continuidad del negocio obteniendo una ventaja comercial ganando la confianza de los y las clientes al saber que su información está protegida debidamente.

Fuente: Departamento de Comunicación ESET Ecuador

Si bien el ransomware es una de las amenazas informáticas qué más preocupación genera a las empresas y organizaciones a nivel global, lejos está de ser la única.

En la última edición del ESET Security Report las empresas de América Latina manifestaron que sus principales preocupaciones a nivel de ciberseguridad son el robo de información y el acceso indebido a sus sistemas, además de los códigos maliciosos. Lo cierto es que los cibercriminales se valen de distintas alternativas para realizar estas actividades maliciosas, desde aprovechar bases de datos mal configuradas, técnicas de ingeniería social para engañar a empleados y obtener información o acceso, vulnerabilidades en tecnologías que utiliza la organización o algún proveedor, o el uso de credenciales débiles y fáciles de descifrar, etc. Por lo tanto, si bien el ransomware es un tipo en particular de malware que despierta preocupación a las organizaciones por el impacto económico y a la reputación, no es la única forma de amenaza informática dirigida a las organizaciones.

No nos olvidemos que salvo los ataques que tienen como objetivo realizar tareas de espionaje, la principal motivación de los actores de amenazas es obtener un beneficio económico, por lo que buscarán la forma de monetizar sus ataques, ya sea mediante la extorsión, venta de datos en el mercado clandestino de la dark web u otra forma.

1. Filtración o exposición de datos

La filtración de datos se da como consecuencia de un acceso indebido a los sistemas de una organización. Una vez dentro de la red algunos actores de amenazas más sofisticados logran permanecer lejos de los radares de detección para realizar tareas de reconocimiento, buscando información sensible para robar o incluso intentando escalar privilegios para acceder a información más crítica y de mayor valor. Las formas de acceso inicial a los sistemas de la víctima varían, ya que los atacantes pueden utilizar distintos vectores para su cometido.

Más allá de que la filtración o exposición de información sea como consecuencia de algunas de las amenazas que describiremos más abajo en este artículo, como puede ser un ataque de phishing que descargue un malware o mediante ataques de fuerza bruta, las filtraciones se dan también por errores humanos, como configuraciones indebidas de bases de datos o debido al acceso de alguien interno a la organización que tenía permisos innecesarios y que por error o deliberadamente compartió información sensible. Algo similar ocurre con los dispositivos físicos robados que contienen información sensible o accesos.

Por otra parte, un ataque a un proveedor podría provocar la exposición de datos de la organización, y la seguridad de este proveedor es algo que está más allá del control de la empresa, pero es un riesgo que se debería tener presente a la hora de evaluar la seguridad de la organización.

2. Ataques de fuerza bruta

Como mencionamos en el punto anterior, una de las formas más comunes que utilizan los cibercriminales de acceder a los sistemas de una empresa es a través de ataques de fuerza bruta. Los actores maliciosos utilizan esta modalidad con el objetivo de descifrar credenciales débiles de servicios expuestos a Internet para así lograr acceso a la red de la víctima y luego llevar adelante otra acción maliciosa, como robar información o desplegar malware.

Existen distintos tipos de ataque de fuerza bruta, como los ataques de password spraying o de credential stuffing, entre otros. Para ello los ciberdelincuentes se valen de software, hardware y de bases de datos (desde diccionarios, contraseñas más comunes, hasta credenciales filtradas en brechas pasadas) que les permiten de manera automatizada probar combinaciones de usuarios y contraseñas hasta dar con credenciales válidas para determinados servicios. Es importante tener presente que el uso de contraseñas débiles es una práctica común y difícil de erradicar, y esto es algo que los atacantes lo saben y por eso a lo primero que apuntan es a descifrar contraseñas cortas de entre entre uno y siete caracteres.

Por otro lado, con la adopción del trabajo remoto e híbrido a raíz de la pandemia los ataques de fuerza bruta crecieron exponencialmente, principalmente por grupos de ransomware, pero también por actores maliciosos que buscan desplegar otro tipo de malware o incluso backdoors, los cuales permiten la comunicación remota del atacante con el sistema comprometido.

3. Ataques a la cadena de suministro

Otra amenaza que debe ser considerada por las organizaciones, sobre todo a la hora de evaluar la capacidad de resiliencia, es la cadena de suministro; es decir, si están lo suficientemente preparadas para enfrentar las consecuencias de un ataque a un proveedor cuya gestión de la seguridad está más allá de su perímetro.

En 2021 se registró un crecimiento de los ataques a la cadena de suministro. Muchas veces estos ataques se realizan aprovechando vulnerabilidades existentes en proveedores de software que utilizan las compañías y los actores maliciosos distribuyen, por ejemplo, una actualización maliciosa o una app que deriva en el compromiso de los clientes de este proveedor. Esto les permite a los atacantes tener un alcance mayor en comparación con un ataque dirigido a una sola organización y comprometer a muchas compañías a partir de una misma campaña.

Uno de los ataques de cadena de suministro qué más repercusión tuvo en el último tiempo fue el que sufrió Kaseya, proveedor de servicios administrados, que se vio afectado por la distribución de una actualización automática maliciosa del software de gestión de IT, Kaseya VSA, que aprovechaba una vulnerabilidad zero-day y que permitió a los cibercriminales distribuir un ransomware en los sistemas de miles de clientes de Kaseya a nivel global.

4. RAT: Troyanos de acceso remoto

Un tipo de malware muy peligroso para las organizaciones por sus capacidades para espiar y robar información son los RAT o troyanos de acceso remoto. Este tipo de malware permite a los atacantes realizar una gran cantidad de acciones en el equipo comprometido. A través de comandos enviados remotamente pueden: robar credenciales almacenadas en el navegador y de apps de mensajería, ejecutar keyloggers que registran las pulsaciones de teclado, realizar capturas de pantalla, tomar fotografías, registrar audio, interceptar comunicaciones, o descargar otro malware en el equipo, entre otras.

Existen varios RAT en actividad, y muchos son variantes creadas a partir de la compra de malware en foros clandestinos. Algunos de los más utilizados por los cibercriminales son Agent Tesla, njRAT, WSHRAT, Remcos, entre otros.

Suelen distribuirse a través de campañas de phishing que incluyen correos adjuntos o enlaces maliciosos, mediante falsas aplicaciones o instaladores de programas, entre otras.

5. Ingeniería Social

Las técnicas de ingeniería social evolucionaron, sobre todo a medida que se fue ampliando la superficie de ataque con los procesos de digitalización. Hoy hablamos de ataques de ingeniería social que utilizan bots de voz para robar los códigos de verificación, campañas de vishing mediante apps de mensajería como WhatsApp para hacer llamar a las potenciales víctimas, pero también a través de mensajes. Lo mismo ocurre en redes sociales, donde los atacantes no solo utilizan perfiles falsos suplantando la identidad de amigos, contactos profesionales u organizaciones, sino que también utilizan técnicas como el scraping de seguidores para captar determinado perfil de usuarios.

Todo esto se potenció con el trabajo remoto e híbrido, ya que se borraron los limites entre el uso laboral y personal de la tecnología, lo que expone a las organizaciones a ser víctimas por el uso personal de la tecnología que hacen sus empleados.

Las estafas del tipo Business Email Compromise (BEC), que en español significa compromiso de cuentas de correo de empresas, es un tipo de fraude que se vale de la ingeniería social dirigido generalmente al área de administración y finanzas de una organización. Los atacantes se hacen pasar por un ejecutivo o el propio CEO de la compañía y solicitan una transferencia urgente a un proveedor, por ejemplo. Las BEC representan para las organizaciones más pérdidas que cualquier otro tipo de delito informático. En Estados Unidos, por ejemplo, el último año se registraron cerca de 20.000 denuncias de estafas del tipo BEC que derivaron en 2.4 mil millones en ganancias para los cibercriminales.

También han comenzado a reportarse en los últimos años ataques de deep fake y deep voice, en los cuales los atacantes utilizan software que se apoya en inteligencia artificial para suplantar a través de la imagen y/o la voz a personas reales. Como le ocurrió al gerente de la sede de una multinacional que fue víctima de este ataque de ingeniería social y transfirió a los atacantes 220 mil euros.

Conclusión

El ransomware es una de las amenazas que más preocupación genera a las empresas, sobre todo por su actividad en los últimos años, pero está claro que no es la única amenaza que apunta a empresas y organizaciones de América Latina y del mundo. Como explicamos en este artículo, existe otro tipo de amenazas que también representan un riesgo imporante que deben ser contemplados en las estrategias de prevención que cada compañía lleve adelante.

A continuación, compartimos una infografía en la cual resumimos cuáles son las 5 amenazas informáticas más peligrosas para las organizaciones más allá del ransomware.

Fuente: www.welivesecurity.com

Para saber qué podemos esperar este 2021, analizamos el escenario que dejó el ransomware en 2020 y la influencia del teletrabajo en los ataques dirigidos a empresa y organismos gubernamentales.

El ransomware fue una de las amenazas más activas durante 2020 y también de las más efectivas. Esto puede explicarse por al menos dos razones, el incremento del teletrabajo y porque el ransomware evolucionó, dejando aparentemente atrás en el tiempo las campañas masivas y al azar esperando que alguna víctima se infecte y que eventualmente pague el rescate para recuperar su información.

Durante 2020, las bandas que operan las distintas familias de ransomware han apuntado a compañías de varias industrias, así como al sector de la salud y a organismos gubernamentales a nivel global. Pero a los ataques típicos en los que secuestran mediante cifrado los archivos en los equipos comprometidos para luego demandar el pago de un rescate, se sumaron nuevas estrategias.

El robo de información previo al cifrado de los archivos y la posterior extorsión bajo la amenaza de publicar, vender o subastar los datos confidenciales robados fue una metodología que se observó por primera vez a fines de 2019 y que se consolidó en 2020. El objetivo es claro: agregar un plan B a la estrategia de solo cifrar los archivos y demandar el pago de un rescate para devolver el acceso. Con este nuevo método, adoptado ya por varias familias de ransomware, los criminales aumentan la posibilidad de monetizar los ataques al contar con otro instrumento para presionar a las víctimas y que se decidan a pagar, ya que supuestamente de esta manera evitarán la divulgación de la información robada y recuperarán el acceso a los datos.

Pero “esta técnica requiere que el atacante invierta bastante tiempo, ya que necesita obtener acceso a la red, desplazarse sin ser detectados hasta identificar los datos confidenciales y extraer una copia de información para guardar en su propio entorno”, explicó el especialista de ESET, Tony Anscombe, en el informe Tendencias 2021 en ciberseguridad. Pero para lograr esto sigue siendo necesario el punto de entrada inicial, ya sea mediante técnicas para explotar el protocolo de escritorio remoto (RDP), forzando el acceso mediante ataques de relleno de credenciales o a través de mecanismos más tradicionales de phishing e ingeniería social, agregó el especialista de ESET.

Hay también un trabajo de persistencia que realizan los atacantes una vez que están dentro de la red con la intención de recolectar información y también credenciales adicionales para asegurarse el acceso a la red en caso de que se cierre la ruta que permitió el acceso inicial. Además, muchos grupos de ransomware dedican tiempo para realizar un trabajo de inteligencia en busca de comprender qué datos son valioso e identificar información sensible que, en caso de ser filtrada o comprometida, de alguna manera provocarán daños a la empresa u organización, agregó Anscombe.

El negocio del ransomware as-a-service (RaaS)

El aumento de los ataques dirigidos de ransomware también tiene una explicación en el modelo de negocio del ransomware as-a-service (RaaS), donde algunos actores desarrollan estos códigos maliciosos y los ofrecen en la dark web para asociarse con afiliados que se encargarán de la distribución del ransomware y luego dividirán las ganancias. Estas familias de ransomware muchas veces operan durante algún tiempo y cesan sus actividades, dando lugar a la creación de otros grupos de ransomware que adquieren el código fuente y le añaden en algunos casos variaciones.

Según explica un artículo publicado por el portal especializado ZDNet, estos agentes que operan como socios ofrecen a los grupos de ransomware alternativas para la distribución del malware, como equipos con el RDP comprometido, dispositivos de red con un backdoor, computadoras comprometidas por malware o botnets, etc.

Egregor, por ejemplo, es un ransomware que surgió en septiembre de 2020 y que opera bajo este modelo de negocio. Recientemente el FBI publicó un comunicado en el que advierte a compañías de todo el mundo sobre los ataques de este ransomware y su creciente actividad. Egregor comenzó a operar poco después de que el ransomware Maze anunciara el cese de sus actividades. Según dijeron actores de amenazas a BleepingComputer, esto provocó que muchos afiliados a Maze pasaran a trabajar con Egregor como RaaS.

Pero además de Egregor y Maze, son varios los grupos de ransomware conocidos que operan bajo este modelo y que han sido responsables de varios de los ataques de ransomware que ocuparon los titulares de varios medios en el mundo durante 2020, como DopplePaymer, Netwalker, REvil/Sodinokibi, Conti (que según informes reemplazó a Ryuk) o Avaddon, por nombrar algunos.

Para su distribución y el compromiso de redes corporativas y de equipos, según explicamos en nuestro informe de amenazas para el tercer trimestre de 2020, algunos ransomware como Conti han sido distribuidos a través del compromiso inicial con Emotet y TrickBot, otros como DoppelPaymer, Maze o Sodinokibi para lograr acceso han aprovechado vulnerabilidades que se conocieron en el último tiempo en dispositivos de acceso remoto de Citrix (CVE-2019-19781) y soluciones VPN como Pulse Secure (CVE-2019-11510). Pero también hay otros malware responsables de la distribución de ransomware, como Qbot, Phorphiex, Dridex o Zloader, entre otros.

Igualmente, tal como explicó el FBI en el comunicado sobre Egregor, algo que ocurre con los ransomware as-a-service es que puede haber muchos actores involucrados en la distribución de un ransomware, por lo que las tácticas, técnicas y procedimientos utilizados para comprometer los sistemas puede variar entre un ataque y otro. Según la entidad norteamericana, en el caso de Egregor se ha visto que en algunos ataques logró acceder a redes informáticas abusando del RDP o de servicios VPN.

Por qué el aumento del teletrabajo explica en parte el aumento de los ataques de ransomware

La aceleración de la transformación digital provocada por la pandemia —con todos los desafíos que ello de por si implica— obligó a muchas empresas y organizaciones a trabajar desde casa, dejando vacías oficinas que están preparadas con los mecanismos de seguridad necesarios para proteger el perímetro de una organización, sin capacitar a las personas acerca de las buenas prácticas de seguridad, y sin brindar en muchos casos la infraestructura necesaria para trabajar de manera segura. De hecho, según una encuesta realizada por ESET en plena pandemia, solo el 24% de los usuarios dijo que la organización para la cual trabaja le brindó las herramientas de seguridad necesarias para trabajar remotamente y el 42% de los participantes aseguró que su empleador no estaba preparada en cuanto a equipamiento y conocimientos de seguridad para hacer frente al teletrabajo.

En este sentido, muchas personas teletrabajando equivale a muchos dispositivos, distintas redes, en distintas ubicaciones, y con profesionales —e incluso empresas— que en el apuro o por desconocimiento no lograron implementar un plan para trabajar remotamente de manera segura. Por lo tanto, este escenario provocó un aumento en la superficie de ataque.

Lectura recomendada: Recomendaciones de seguridad para el teletrabajo en tiempos de COVID‑19

Según datos de una encuesta realizada por ESET en diciembre pasado, el 87,67% de los participantes opinó que los cibercriminales han visto una oportunidad en el incremento del trabajo remoto para lanzar ataques dirigidos a las empresas. Además, consultados acerca de si creen que las empresas y las entidades gubernamentales están preparadas para lidiar con ataques de ransomware, el 67,76% opinó que apenas unas pocas empresas lo están, mientras que el 50,96% considera que solo unas pocas entidades gubernamentales cuentan con las capacidades.

Por más que exista el chat o el correo, trabajar solo o aislado físicamente de tu habitual entorno y compañeros de trabajo modifica la comunicación e interacción. Esto puede provocar, por ejemplo, que en lugar de preguntarle al compañero que tienes a un lado acerca de un correo o enlace sospechoso, decidas por tu cuenta y quizás de manera equivocada.

En abril de 2020 la NASA aseguraban que desde que el personal de la agencia estaba trabajando desde casa a raíz de la pandemia habían experimentado un exponencial incremento en ataques de malware y que se duplicó el número de dispositivos de la agencia intentando acceder a sitios web maliciosos.

En un ataque informático, si un usuario cae en la trampa y abre un correo de phishing dirigido para luego hacer clic en un enlace o abrir un archivo adjunto, su equipo será comprometido con un malware que puede a su vez descargar otro código malicioso como un ransomware. Si luego accede a la red corporativa conectándose al servicio VPN que la empresa o la entidad gubernamental le brinda, el acatante tendrá acceso a la red y podrá moverse lateralmente para recolectar información y buscar otras credenciales de acceso que le den permiso de administrador para distribuir el ransomware dentro de la red.

Como explicamos en el artículo “5 cosas que puedes hacer para mejorar la seguridad de tu oficina en casa”, algunas personas cuentan con el respaldo remoto de los equipos del área de TI. Si bien probablemente estén un poco desbordados por esta modalidad de trabajo, al menos brindan soporte a los empleados. Sin embargo, otros que no cuentan con esta opción deberán convertirse en los especialistas que configuren su oficina en casa para trabajar de la forma más segura posible.

Por otra parte, el uso del protocolo de escritorio remoto (RDP) ha sido uno de los mecanismos más utilizados para lanzar ataques de ransomware aprovechando también el uso de contraseñas débiles. Si bien como dijimos anteriormente los atacantes detrás de los distintos grupos de ransomware utilizan diferentes vectores de ataque para distribuir la amenaza, varios reportes coinciden en decir que el RDP ha sido el vector de intrusión más utilizado por ataques de ransomware durante 2020.

Lectura recomendada: Por qué desconectar RDP de Internet para evitar ser víctima de un ataque

De hecho, en el primer trimestre del año pasado reportábamos el aumento de los intentos de ataque al RDP mediante fuerza bruta a nivel global; un aumento que en América Latina para el mes de noviembre había sido del 141%, con picos que llegaron hasta los 12 mil intentos de ataque diarios al protocolo. Una vez que el atacante logra comprometer la seguridad mediante el RDP puede realizar distintos tipos de actividades maliciosas dentro de los sistemas.

Como dijo Anscombe en el reporte de Tendencias para el 2021 en ciberseguridad, los operadores detrás de las principales familias de ransomware están constantemente buscando mejorar para hacer más efectiva la monetización de sus ataques.

Esto no quiere decir que las organizaciones no puedan operar de manera remota, sino que deberán dedicar tiempo y recursos para capacitar a los usuarios para que tengan más herramientas y estén mejor preparados para lidiar con las distintas amenazas y riesgos en Internet. Asimismo, deberán acompañar esto con la adecuada tecnología, el uso de una VPN, la realización de backups de forma periódica, una política de actualizaciones para corregir vulnerabilidades, la implementación de la autenticación multifactor y de estrategias de seguridad como el principio del menor privilegio y de la mínima exposición, por nombrar algunas. Por otra parte, es recomendable que las organizaciones evalúen los mecanismos de accesibilidad a la información y cuáles son las formas que puede tener un atacante para llegar a estos datos.

Pagar el rescate no es la opción recomendada. Por un lado, porque nada asegura que la víctima recuperará los archivos cifrados y tampoco que los criminales no divulgarán los datos robados. Además, de esta manera se está financiando el ciberdelito y colaborando para que continúen los ataques.

De acuerdo con la opinión de los usuarios, más del 40% de los participantes consultados acerca de si creen que una empresa o entidad de gobierno debería pagar un rescate dijo que dependía de la información robada. Lamentablemente, tal como vimos en nuestro artículo en el que analizamos por qué los organismos gubernamentales son un blanco frecuente de ataques de ransomware, en países como Estados Unidos el incremento en la contratación de seguros frente a un posible ataque informático ha jugado un rol importante, ya que muchas entidades han preferido la opción de pagar el rescate utilizando el dinero que le ofrece la compañía de seguros, lo cual puede ser riesgoso, sobre todo si se utiliza como alternativa para no invertir en seguridad.

Fuente: www.welivesecurity.com

El grupo de hackers de sombrero negro, Maze, infectó la infraestructura de una empresa que investigaba el coronavirus con software de rescate, robó y publicó datos sensibles.

El grupo de hackers de sombrero negro, Maze, ha infectado la infraestructura de una empresa que investiga el coronavirus con software de rescate, logrando robar y publicar datos sensibles.

El pirateo de información médica

La empresa de seguridad cibernética Emsisoft dijo a Cointelegraph el 23 de marzo que los hackers del grupo Maze comprometieron a la empresa médica del Reino Unido Hammersmith Medicines Research. Los datos publicados incluyen datos sensibles sobre los voluntarios de las pruebas médicas como documentos de identidad como pasaportes, antecedentes médicos y detalles de las pruebas. El analista de amenazas de Emsisoft, Brett Callow, dijo:

«[Los datos] están en la web clara donde puede ser accedido por cualquiera con una conexión a Internet. […] Los criminales casi seguro no han publicado todos los datos que fueron robados. Su modus operandi es nombrar las compañías que han atacado en su sitio web y, si eso no los convence de pagar, publicar una pequeña cantidad de sus datos, que es la etapa en la que este incidente parece estar, como las llamadas ‘pruebas’.»

Afortunadamente, ComputerWeekly informa que la Investigación de Medicamentos Hammersmith pudo hacer los sistemas operativos al final del día. Callow señaló que «parece que fueron capaces de restaurar rápidamente sus sistemas a partir de copias de seguridad». También dijo que los datos previamente publicados en el sitio web del hacker ya no están disponibles:

«Tenga en cuenta que, desde que se publicó el informe de ComputerWeekly, los datos robados de HMR han sido ‘retirados temporalmente’ del sitio web de los delincuentes. […] Pero aquí está el problema. Otros criminales descargan los datos publicados en estos sitios de fuga y los usan para sus propios fines.»

Callow le dijo a Cointelegraph que no sabe cuán alto fue el rescate exigido. Aún así, señaló que el grupo ha pedido previamente alrededor de 1 millón de dólares en Bitcoin para restaurar el acceso a los datos y otro millón de dólares en BTC para borrar su copia y dejar de publicarla.

Como Cointelegraph informó a principios de febrero, Maze también comprometió a cinco bufetes de abogados de los Estados Unidos y exigió dos rescates de 100 Bitcoin a cambio de restaurar los datos y borrar su copia. Callow dijo que los grupos de rescate casi siempre piden que se les pague en Bitcoin:

«El 99% de las demandas de rescate son en Bitcoin y, hasta la fecha, ha sido la moneda elegida por el grupo Maze.»

Los criminales no son Robin Hood

En incidentes anteriores, Maze también publicó datos robados en foros rusos de cibercrimen recomendando «Usar esta información de la forma más nefasta que se desee». Callow también criticó «un número nada despreciable de publicaciones» que recientemente informaron sobre cómo algunos grupos de rescate, incluido Maze, detuvieron sus ataques durante la época de la pandemia. Dijo que:

«Un número nada despreciable de publicaciones informó recientemente que algunos grupos de rescate, incluyendo Maze, habían declarado una amnistía a los ataques a organizaciones médicas durante el brote de Covid-10 y desde entonces he visto que se les describe como ‘Robin Hood’. Esto demuestra claramente que, para sorpresa de absolutamente nadie, no se puede confiar en los delincuentes y es un error darles una voz».

Callow dijo que el nivel de amenaza es el mismo que siempre ha sido, o posiblemente más alto. También insistió en que «a estos grupos no se les debe dar una plataforma que les permita restarle importancia a ese hecho». Esto concuerda con el reciente informe de Emsisoft, según el cual los ataques de rescate tienen un aspecto estacional y el número de ataques aumenta durante los meses de primavera y verano.

Fuente: es.cointelegraph.com

En esta oportunidad, analizaremos la dinámica maliciosa presente en una campaña detectada recientemente en Latinoamérica por los laboratorios de ESET (presente a nivel mundial desde hace ya un tiempo), que será utilizada como ejemplo para explicar cómo funcionan las amenazas distribuidas en distintas etapas. En este caso en particular, el objetivo principal de la misma es infectar con un ransomware el sistema de sus víctimas, y además hacer uso del mismo para el minado de criptomonedas. A partir del análisis de la campaña descubrimos algunos aspectos interesantes que compartimos a continuación.

Estructura de la campaña 

Esta campaña está compuesta por dos malware con finalidades muy marcadas: un downloader y un ransomware.

• JS/TrojanDownloader.Nemucod.EGZ: script malicioso programado en javascript, este troyano se encarga de descargar y ejecutar otro malware. Cabe destacar que Nemucod es una familia que al menos desde el 2015 viene siendo utilizada para propagar diferentes tipos de malware.
• Win32/Kryptik.GJFG: también conocido como Troldesh, se trata de un ransomware para sistemas Windows de 32bits, encargado de cifrar los archivos del usuario, pedir un rescate a cambio de ellos y minar criptomonedas simultáneamente.

Dinámica de la campaña

Mediante técnicas de ingeniería social combinadas con el envío de spam, los operadores detrás de esta campaña buscan que la víctima ejecute el código javascript. Una vez ejecutado, el script descargará y lanzará el ransomware, que posteriormente realizará su actividad maliciosa. Por lo tanto, el proceso de infección está conformado por esos dos pasos bien definidos.

Al buscar información sobre estas amenazas encontramos algunos de los sitios web desde los cuales se intenta descargar el ransomware y corroboramos que la estructura de la mayoría de estas URLs es similar a la de los sitios detectados durante el análisis de la muestra maliciosa:

• http://xxxxxmedia.nl/wp-content/themes/startright/css/font-awesome/1c.jpg
• http://xxxkans.dk/blogs/media/1c.jpg
• http://www.xxxtan.at/templates/siteground-j15-55/admin/1c.jpg
• https://f.xxxke99.website/wp-content/cache/1c.jpg
• https://xxxxertech.hu/templates/szibertech012/images/1c.jpg
• http://xxxion.nl/ag2017/1c.jpg
• http://xxxdmin.convshop.com/Application/Runtime/Cache/Home/1c.jpg
• http://www.xxxion.nl/wp-content/themes/dt-the7/css/compatibility/woo-fonts/1c.jpg
• http://xxxxximerden.de/wp-content/themes/dreamy/loop/1c.jpg
• http://www.xxxlas.sk/wp-content/themes/Corsa/fonts/1c.jpg
• https://xxxsa.cl/wp-content/themes/my-religion/cmsmasters-c-c/filters/1c.jpg
• http://xxxxxxeducations.org/wp-content/themes/poseidon/css/genericons/1c.jpg

Un factor común entre todas las URLs es que el objeto apuntado se llama 1c.jpg. Lo interesante de esto es el formato con el cual se almacenó el ransomware, ya que en lugar de ser un .exe, fue guardado como .jpg. Esto, en consistencia con las carpetas donde se lo aloja, es una clara estrategia por parte de los operadores detrás de esta campaña para que este archivo pase desapercibido a los ojos de los administradores de los sitios comprometidos y, a su vez, también puede servir para evadir otros controles de seguridad, ya que los archivos .exe suelen ser sospechosos.

Al analizar el contenido de los sitios puede apreciarse que estos no son maliciosos, sino que son sitios legítimos que fueron comprometidos. También puede observarse que todos ellos fueron desarrollados utilizando algún CMS, siendo WordPress el más utilizado. Tiene sentido que se apunte a comprometer este tipo de sitios ya que los CMS no siempre son actualizados por sus administradores y, al ser estos sometidos a muchos análisis de vulnerabilidades dado su uso masivo, suelen existir muchos exploits disponibles para versiones antiguas de los mismos. A partir de esto puede llegarse a la conclusión de que los cibercriminales detrás de esta amenaza están apuntando a comprometer sitios web legítimos con el fin de alojar allí su ransomware y utilizarlos como una pieza más en la mecánica de sus campañas maliciosas.

Imagen 1: esquema de la dinámica general de la amenaza analizada

Con el fin de comprender en mayor profundidad los detalles y comportamientos de los códigos maliciosos involucrados en esta campaña (Nemucod y Troldesh), a continuación se presentará un análisis particular para cada una de ellas.

Análisis del downloader Nemucod (variante EGZ)

Como se explicó anteriormente, este downloader está escrito en javascript y su objetivo es descargar y ejecutar otro malware, en este caso, el ransomware Troldesh. Por lo tanto, dado que nuestro interés es conocer cómo se realiza dicha actividad maliciosa, será necesario analizar el código de la misma.

Al abrir el archivo .js se observa un código difícil de leer, con strings codificadas en números hexadecimales, strings partidas almacenadas en múltiples variables y funciones que únicamente devuelven un string y tienen código inútil para confundir, en otras cosas.

Imagen 2: Código javascript levemente ofuscado

Si bien el código no se encuentra muy ofuscado, es necesario reacomodarlo un poco para facilitar su comprensión y pasar a formato ASCII todos los strings del mismo, ya que estos revelan información sobre su comportamiento. Por ejemplo, algunas de las strings encontradas que resultan importantes para el análisis son: “Scripting.FileSystemObject”, “SaveToFile”, “Write”, “cmd.exe /c”, “Wscript.Shell”, “run”.

Una vez teniendo el código en un formato más legible encontramos lo siguiente:

Nemucod comienza enviando un request HTML con un GET a la URL donde se encuentra alojado el ransomware con el fin de descargarlo. Como puede observarse en la imagen a continuación, en caso de que esta descarga fallara por algún motivo, el código cuenta con una URL de respaldo desde la cual intentará descargarlo:

Un detalle interesante es que el ransomware que se intenta descargar está alojado en los servidores comprometidos en formato .jpg, es decir, su descarga pasará desapercibida como si fuese un GET a un recurso ordinario.

Luego de que el request es respondido y se recibe el ransomware, el mismo se encuentra alojado en la memoria. Por lo tanto, el siguiente paso que realiza Nemucod es escribirlo en el sistema de la víctima mediante las siguientes instrucciones:

Aquí puede observarse que la primera acción que realiza es verificar si efectivamente el resultado del GET fue exitoso. Luego, el resto de la función se encarga de escribir el contenido recibido en un archivo. Algunas instrucciones particularmente importantes en esta función son:

Estas escriben el contenido recibido en el GET (“ResponseBody”) en un archivo que tendrá el nombre y ruta pasado como parámetro en “y1”. En este punto se cambia el formato de .jpg a .exe para que este pueda ser ejecutado fácilmente.

En este punto, Nemucod logró descargar el ransomware y escribirlo en el sistema de la víctima, por lo cual solo resta un paso: ejecutarlo. Para realizar esto utiliza el siguiente código:

Una parte fundamental de este malware es el componente ActiveXObject, el cual permite ejecutar diferentes aplicaciones en el sistema que está ejecutando el código javascript. En este caso, se lo utiliza para obtener una Shell de WScript, la cual permite ejecutar comandos directamente en el sistema. Como se puede observar en la segunda línea de la Imagen 7, se ejecuta en la Shell un comando que abre cmd.exe y hace que este ejecute el ransomware escrito previamente en la ruta contenida en la variable “y1”.

A partir de este punto el script finaliza y el ransomware comienza a ejecutar.

Es importante destacar que en todos los navegadores modernos ActiveXObject se encuentra deshabilitado por defecto dado su gran potencial malicioso. Esto quiere decir que Nemucod solo será efectivo en navegadores muy desactualizados o con parámetros de seguridad mal configurados.

Por último, hay que tener en cuenta que la muestra analizada solo contenía dos URLs desde las cuales descargaba el ransomware; sin embargo, tal como vimos al principio de este artículo, otros análisis han detectado este  ransomware alojado en al menos diez servidores más. Por lo tanto, es altamente probable que existan otras variantes de este mismo downloader que descarguen el ransomware desde las otras URLs que mencionamos anteriormente.

Análisis del ransomware Troldesh (variante detectada como Win32/Kryptik.GJFG)

Al tratarse de un ransomware, este código malicioso tiene como finalidad cifrar todos o gran parte de los archivos del sistema infectado y luego pedir un rescate a cambio de descifrarlos.

Imagen 3: fondo de pantalla de sistema infectado por el ransomware Win32/Kryptik.GJFG en el que se despliega el mensaje del atacante

Como se puede observar en la imagen, luego de cifrar los archivos en el equipo de la víctima, este ransomware cambia el fondo de pantalla y le indica al usuario que lea las instrucciones que debe seguir para recuperarlos, las cuales se encuentran en los archivos README.txt.

Como se puede apreciar en la imagen que sigue, las instrucciones que debe seguir la víctima están en ruso y en inglés:

Imagen 4: Contenido del archivo README.txt que contiene instrucciones que debe seguir la víctima del ransomware

Este mensaje contiene tres detalles interesantes: el primero es que le indica al usuario que envíe un código, el cual supuestamente es utilizado por el atacante para identificar a la víctima. El segundo es que no se pide directamente un rescate en bitcoins u otra criptomoneda, sino que se pide que el usuario se identifique a sí mismo mediante el código para poder recibir las instrucciones de rescate. El tercero es que, en caso de que la comunicación vía email fallara, se provee un método de respaldo para poder comunicarse con el atacante a través de un sitio web en la red Tor:

Imagen 5: sitio web Tor utilizado como un medio de comunicación de respaldo entre la víctima y el atacante

Es posible que la intención detrás de esta dinámica sea que el atacante tenga tiempo para analizar quien es la víctima y ajustar el monto del rescate en base a esto, cobrando mayores montos a empresas u organizaciones.

Análisis técnico de Troldesh

A continuación, se describen algunos aspectos interesantes sobre el comportamiento o las características de este ransomware.

Análisis del ejecutable 

Al analizar el ejecutable con diversas herramientas puede advertirse que el mismo fue compilado con Microsoft Visual C++ y que utiliza la API isDebuggerPresent para establecer mecanismos de protección anti debugging con el fin de dificultar su análisis. Sin embargo, no cuenta con protección anti-VM. También puede advertirse que está firmado con un certificado digital gratuito, con el objetivo de intentar esquivar controles de seguridad dando la impresión de que es un ejecutable confiable.

Las bibliotecas que importa son:

• KERNEL32.dll
• USER32.dll
• GDI32.dll
• ADVAPI32.dll
• SHLWAPI.dll

En este punto el código malicioso presenta una particularidad, ya que dentro de los recursos del ejecutable está presente una biblioteca llamada madExcept, la cual sirve para capturar excepciones y, cuando estas ocurren, permite al usuario enviar reportes de error con información sobre las mismas al desarrollador. Por lo tanto, es muy probable que esté utilizando esta biblioteca para capturar excepciones producidas por incompatibilidades de dependencias o versiones y, en lugar de que el usuario vea estas excepciones, ocultarlas para pasar desapercibido.

Cómo logra la persistencia

El mecanismo utilizado para lograr la persistencia en el sistema no es particularmente sofisticado y consta de dos pasos:

1. Copiarse a sí mismo a la dirección: “C:\ProgramData\Windows\” con el nombre csrss.exe
2. Agregar una entrada al registro para que su copia se ejecute al iniciar el sistema: “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem” con el valor: “C:\ProgramData\Windows\csrss.exe“

Actividades en el registro

Se lee el contenido de muchas entradas, especialmente las relacionadas a configuración de red del sistema operativo. Por otro lado, algunas de las entradas modificadas más interesantes son las siguientes:

• HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\xi

Donde el malware escribe el código hexadecimal de 20 caracteres que el atacante le pide al usuario para que se identifique.

• HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\xpk

Donde el malware escribe la clave pública RSA con la cual cifró los datos del sistema infectado. Esto es consistente con el mensaje encontrado en el sitio web Tor, tal como se puede observar en la siguiente imagen, donde se advierte al usuario que sus datos fueron cifrados con RSA-3072 y que la única forma de descifrarlos es con la clave privada que solo el atacante posee:

Imagen 6: explicación del atacante sobre el método utilizado para cifrar los archivos

• HKCU\Control Panel\Desktop\Wallpaper

Aquí se escribe la ruta a la imagen que el malware escribe en el sistema y que posteriormente configura como fondo de pantalla: C:\Users\userName\AppData\Roaming\B06A677FB06A677F.bmp

Actividades de red

Minado de criptomonedas

Al analizar el tráfico de red generado por este malware descubrimos un paquete sin cifrar cuyo contenido tenía una estructura consistente con Stratum Mining Protocol, un protocolo para realizar pooled mining de criptomonedas. Este paquete era parte de una comunicación con la ip 172.65.200.16, la cual es reconocida como una ip relacionada a estas actividades y está presente en algunas blacklists.

Conexiones Tor

La mayoría de sus comunicaciones son realizadas a través de la red Tor y las mismas son cifradas utilizando TLSv1.2. Las direcciones IP a las que se conecta son consistentes con consultas DNS realizadas y, al buscar información sobre ellas, pudimos observar que efectivamente se trata de nodos de la red Tor y que algunas están relacionadas a actividades maliciosas.

Siguiendo este análisis, también observamos que se escriben los siguientes archivos:

• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-certs.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs-concensus.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs.new
• C:\Users\userName\AppData\Local\Temp\6893A5D897\state.tmp

Estos son archivos de cache de Tor, utilizados para acelerar operaciones de conexión y otras configuraciones y los mismos revelan que la versión de Tor utilizada por este ransomware es la 0.2.5.10.

Requests HTTP

Se realizan dos request HTTP GET a los siguientes sitios:

• whatsmyip.net
• whatismyipaddress.com

Estos son sitios legítimos que proveen un servicio que permite al usuario conocer su IP pública, por lo que este dato podría resultar de interés para el atacante o para el desarrollo de las funciones maliciosas del ransomware, por ejemplo, para geolocalizar el ataque y así saber qué tan fuerte es la moneda del país de la víctima y cobrar un rescate acorde a ello.

Indicadores de compromiso (IoCs)

Técnicas de MITRE ATT&CK

JS/TrojanDownloader.Nemucod.EGZ

Win32/Kryptik.GJFG

Fuente: www.welivesecurity.com

En el día de ayer se confirmaron que fueron 22 las entidades afectadas por el ataque de ransomware y que el 25% de las mismas ya están en fase de “reparación y recuperación”

En la mañana del pasado viernes, 23 organizaciones gubernamentales a lo largo del estado de Texas fueron víctimas de un ataque de ransomware. Según publicó el Departamento de Información y Recursos de Texas (DIR, por sus siglas en inglés), en su mayoría se trató de pequeñas entidades.

Según el organismo, están trabajando para reestablecer los sistemas afectados y aseguran que los sistemas del Estado de Texas y sus redes no fueron impactadas por el ataque, el cual estiman que tiene como responsable a un único actor.

En el día de ayer, martes 21 de agosto, la cifra inicial de 23 entidades afectadas pasó a ser de 22, informó el DIR en un comunicado de prensa publicado a través de su cuenta de Twitter. Asimismo, más del 25% de las entidades víctimas del ataque pasaron del estado “respuesta y evaluación” a “reparación y recuperación”, estando algunas de los organismos afectadas operando de manera normal.

De momento no se sabe cuál fue el ransomware que afectó a los sistemas afectados ni se conocen detalles acerca del ataque simultáneo, como es, por ejemplo, cuáles son específicamente las entidades afectadas, el monto que reclaman los operadores por el rescate, cómo se fue el método de infección o si se consideró la opción de pagar, ya que tal como explica el DIR en su comunicado, dado que se está llevando adelante una investigación federal, no es posible aportar información adicional.

Además del DIR, varias agencias nacionales y del estado de Texas trabajan en este caso, como son, por ejemplo, el Departamento de Seguridad Nacional y el Buró Federal de Investigaciones, más conocido como FBI.

Una de las ventajas que tiene Texas es la existencia de un sistema de respuesta a incidentes consolidado, comentó el especialista Allan Liska a Threatpost, lo cual se hace que sea más fácil que ante la aparición de un problema como este puedan tener claro con quien comunicarse, agregó.

Cabe recordar que este no es el primer ataque de ransomware dirigido a entidades gubernamentales locales que se registra entre 2018 y 2019 en los Estados Unidos, ya que en junio de este año dos ciudades de Florida, como Lake City y Riviera Beach fueron impactadas por un ataque de ransomware y tomaron la decisión de pagar a los atacantes. En 2018 varios sistemas en la ciudad de Atlanta fueron víctimas de otro ataque de ransomware, mientras que en mayo de este año fue el turno de la ciudad de Baltimore, cuando un ataque de ransomware que demandaba el pago de 76.000 dólares por el rescate afectó a servicios como la emisión de facturas de agua, entre otros.

Semanas atrás se llevó adelante la Conferencia de Alcaldes de Estados Unidos, un evento en el que se reunieron más de 1.400 alcaldes de ciudades de todo el país, y en el cual los presentes se comprometieron a no ceder ante las extorsiones impuestas por cibercriminales en caso de que sus sistemas se vean comprometidos por un ataque de ransomware.

Los ataques de ransomware que afectaron a varias ciudades en los Estados Unidos confirman la tendencia que especialistas de ESET predijeron para 2019, donde era de esperarse ver un giro por parte de los cibercriminales al llevar adelante ataques de ransomware dirigidos en busca de una mayor rentabilidad, a diferencia de ataques en “mosaico” menos específicos mediante campañas de spam maliciosas y con la esperanza de que cada una de estas piezas del mosaico generen una retribución económica sustancial.

Fuente: www.welivesecurity.com

Durante las últimas horas el nombre de WannaCry ha sido comentado en muchos medios y lugares. El motivo: ser el ransomware que ha obligado a apagar sus equipos a Telefónica y otras empresas importantes de Europa. El pasado viernes se conoció la propagación y colapso de los ordenadores de Telefónica por el funcionamiento del ransomware WannaCry. Puesto que Telefónica es una empresa especializada en telecomunicaciones, en cuestión de horas, el malware se propagó por las principales empresas de Europa, entre ellas bancos, hospitales y los usuarios domésticos de Telefónica.

Hasta tal punto llegó la crisis, que la propia Telefónica envió un email a todos pidiendo que por favor apagasen sus ordenadores y desconectarán la red wifi de sus dispositivos. Una auténtica crisis informática que muchos han señalado como la mayor del año. Pero ¿qué hubiera pasado si Telefónica usara ordenadores con Gnu/Linux? ¿hubiera ocurrido lo mismo?

El número de memes y bromas que han salido en torno al uso de Windows y de WannaCry han sido tan populares como la noticia y el problema en sí. Sin embargo, el cambiar de sistema operativo no hubiera cambiado la cosa. WannaCry es un ransomware que según se ejecuta encripta todo el disco duro y muestra un pantallazo en donde te informa que si quieres los datos tienes que pagar por ello.

Este ransomware funciona en equipos con Windows, es decir, que todos los equipos infectados tienen como sistema operativo Windows. Pero el mayor problema de WannaCry, tal y como lo veo yo, no es ya su funcionamiento sino su propagación. Una propagación que no hubiera sido evitado si Telefónica utilizara otro sistema operativo.

WannaCry es un ramsonware que funciona en Windows pero que también hubiera sido parado en seco si los usuarios hubieran actualizado sus ordenadores. Recientemente Microsoft lanzó un parche de seguridad que evitaba que WannaCry funcionase. Al parecer no todo el mundo actualiza sus ordenadores.

En fin, el haber utilizado Gnu/Linux no hubiera evitado que Telefónica propagase WannaCry y se enfrentaría igualmente a problemas. Ahora bien, una cosa si que es cierta, sus ordenadores seguirían funcionando. Actualmente Telefónica tiene los ordenadores caídos y muchos trabajadores no pueden trabajar. Esto es algo que seguirá pasando esta semana en muchas empresas pues según la EuroPol, los ataques de WannaCry seguirán estando presentes. El utilizar otro sistema operativo como Mac OS tampoco hubiera cambiado mucho la cosa, WannaCry utiliza un script en javascript, una tecnología que está presente en todos los sistemas operativos, incluido Androd, Gnu/Linux e iOS.

Entonces ¿cómo puedo salvar mi equipo de WannaCry?

Si tienes Windows, lo más recomendable es actualizar el sistema operativo con todos los paquetes de seguridad que están disponibles para nuestra versión; el segundo paso sería utilizar un sistema de copias de seguridad y hacer una copia de seguridad de nuestros datos antes de que sea tarde y por último actualizar nuestro antivirus y sistemas de seguridad. Si queremos hacer una copia de seguridad del disco duro, Clonezilla es una gran herramienta gratuita y Open Source que nos ayudará con esto.

En el caso de Gnu/Linux, lo recomendable es actualizar el sistema operativo con los últimos paquetes y actualizaciones, pues normalmente todas las distribuciones suben rápidamente parches y paquetes de seguridad para solventar estos problemas.

Cómo actualizar nuestro sistema Gnu/Linux

Una buena opción es crear un script para que  el sistema operativo se actualice y colocar este script en el inicio de sesión para que cada vez que se encienda el ordenador se actualice con las últimas versiones. Para hacer esto, abrimos gedit y escribimos lo siguiente:

Lo guardamos con el nombre de “actualizacion.sh” y luego lo colocamos en Aplicaciones de Inicio de Sesión. Así, al iniciar nuestra sesión se nos pedirá la contraseña de root para actualizar el sistema operativo. Y con ello se actualizará el sistema operativo.

Si bien hemos dicho que Gnu/Linux no es compatible con WannaCry ¿por qué hacer todo esto? Sencillamente porque WannaCry tiene versiones para todos los sistemas operativos. Windows es un sistema operativo que está en muchos ordenadores domésticos y en redes de empresas importantes. Pero el segundo sistema más utilizado en servidores es Gnu/Linux. Un sistema que está en muchos servidores de muchas empresas e instituciones; el Internet de las Cosas también se está creando con sistemas Gnu/Linux y los móviles utilizan el kernel de Linux. Es decir, que la versión de WannaCry para Linux será lo próximo que veamos. Por ello es importante actualizar nuestro sistema operativo.

Fuente: www.linuxadictos.com