Reemplazará CryptXXX a TeslaCrypt como ransomware?

por Jaaziel Carlos, Anthony Melgarejo, Rhena Inocencio y José C. Chen

La salida de TeslaCrypt del círculo ransomware ha causado olas en el mundo criminal cibernético. Los malos parecen estar asaltando barcos con la esperanza de conseguir un pedazo de la acción que anteriormente era propiedad de TeslaCrypt. En línea con esto, los indicadores apuntan a un nuevo hombre fuerte en el juego ransomware: CryptXXX.

CryptXXX (detectado como RANSOM_WALTRIX.C) ha sido el motivo de cambios recientes; uno de las cuales tuvo lugar después de una herramienta de descifrado libre de la superficie que permitió que las víctimas no tengan en cuenta el rescate. No sólo cifra los archivos, recientes variantes CryptXXX tienen ahora una técnica de pantalla de bloqueo que impide que los usuarios accedan a sus escritorios.

1

 

Sigue leyendo

Ataques de cryto-ransomware a Windows 7 y versiones posteriores desechan la compatibilidad con versiones anteriores

Autor: Jasen Sumalapao, Threat Response Engineer

¿Cómo sabes que algo se ha vuelto muy popular? Fácil: cuando empiezan a aparecer en el mercado malas imitaciones. Al parecer, el ransomware, ha llegado a este punto.

Los desarrolladores que están detrás de la nueva familia de ransomware ZCRYPT han desechado o bien el soporte para Windows XP o lo que hicieron mal en su trabajo de creación. Esta nueva familia sólo se dirige a los sistemas con las versiones más recientes de Windows, específicamente de Windows 7 y versiones posteriores. ¿Está ZCRYPT cortando deliberadamente con los sistemas operativos más antiguos o es sólo cuestión de un malware mal escrito?

Crypto-ransomware exclusivo Cuando nos encontramos con ZCRYPT inicialmente parecía ser una amenaza bastante débil. Cifra los archivos del usuario y utiliza la extensión .ZCRYPT como marcador. Es capaz de cifrar los siguientes formatos de archivo:

.zip, .mp4, .avi, .wmv, .swf, .pdf, .sql, .txt, .jpeg, .jpg, .png, .bmp, .psd, .doc, .docx, .rtf, .xls, .xlsx, .odt, .ppt, .pptx, .xml, .cpp, .php, .aspx, .html, .mdb, .3fr, .accdb, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .dwg, .dxg, .eps, .erf, .indd, .kdc, .mdf, .mef, .nrw, .odb, .odp, .ods, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .pst, .ptx, .r3d, .raf, .raw, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .tar, .jsp, .mpeg, .msg, .log, .cgi, .jar, .class, .java, .bak, .pdb, .apk, .sav, .tar.gz, .emlx, .vcf

Intimida con la amenaza habitual de borrar los archivos si la víctima no paga un rescate en un plazo de una semana. El rescate se fija en 1,2 BTC (aproximadamente 500 dólares americanos), con el rescate que sube a 5 BTC (aproximadamente 2.200 dólares) después de cuatro días.

Sin embargo, lo que puede hacer en los sistemas con Windows 7 y versiones posteriores, sólo lo intenta con otros sistemas. Según nuestro análisis, no logra cifrar los archivos correctamente ni muestra la nota de rescate cuando se lanza en una versión anterior de Windows, como Windows XP. El malware llama a una función que no existe en las versiones anteriores de Windows; esto se rompe para los sistemas operativos más antiguos.

Curiosamente, esta familia en particular también trató de difundirse a través de los discos flash USB: instala una copia de sí mismo en las unidades extraíbles. Esto es relativamente inusual en crypto-ransomware. En diciembre de 2013 identificamos una variante CryptoLocker que se comportaba de manera similar. Sin embargo, parece que nunca fue capturado. Los autores de crypto-ransomware parecen estar satisfechos con la distribución de sus productos a través de los medios más comunes: malvHcertising y el spam.

Servidores C&C

El nombre de dominio del servidor de comando y control (C&C) era poiuytrewq.ml, una inversión de qwertyuiop. Esta es la fila superior en un teclado alfabético QWERTY estándar. El dominio de nivel superior .ml está asignado a Mali; registros de nombres de dominio bajo este TLD se entregaron para el arranque libre en abril de 2013. (URL que alojaban variantes de ZCRYPT también fueron alojadas en dominios .ml).

El creador de la amenaza también disfrutó de anonimato libre porque el registro del dominio enmascaraba la identidad real de la persona registrada. El dominio C&C ya está etiquetado como “cancelado, suspendido, denegado o reservado”.

Prácticas en la industria

La copia de seguridad sigue siendo la mejor defensa contra el crypto-ransomware; la regla 3-2-1 garantiza a los usuarios que todavía tengan una copia de sus datos incluso si se ven afectados por amenazas similares. Recomendamos encarecidamente no pagar el rescate; esto sólo asegura que la amenaza continuará haciéndose cada vez más y más grande.

Trend Micro dice NO al ransomware. Insistimos, recomendamos a los usuarios hacer caso omiso a las demandas de pago de rescate, ya que esto es el combustible del cibercrimen y promueve una mayor propagación del ransomware.

Las soluciones de Trend Micro

Trend Micro ofrece diferentes soluciones para proteger a grandes empresas, pymes y usuarios domésticos para ayudarles a minimizar el riesgo de verse afectados por crypto-ransomware, como ZCRYPT.

Las empresas pueden beneficiarse de un enfoque multicapa, paso a paso, con el fin de mitigar mejor los riesgos presentados por estas amenazas. Soluciones para el gateway web y el correo electrónico como Trend Micro™ Deep Discovery™ Email Inspector e InterScan™ Web Security impiden que el ransomware alcance a los usuarios. A nivel de endpoint, Trend Micro Smart Protection Suites ofrece varias funciones como monitorización del comportamiento y control de aplicaciones, así como escudo frente a vulnerabilidades reduciendo al mínimo el impacto de esta amenaza. Trend Micro Deep Discovery Inspector detecta y bloquea ransomware en redes, mientras que Trend Micro Deep Security™ detiene el ransomware antes de que alcance a los servidores empresariales, ya sean físicos, virtuales o cloud.

Para las pequeñas empresas, Trend Micro Worry-Free Services Advanced ofrece seguridad en el gateway de correo electrónico basada en la nube a través de Hosted Email Security. Su protección endpoint además ofrece diversas posibilidades como la monitorización del comportamiento y reputación web en tiempo real con el fin de detectar y bloquear el ransomware.

Para los usuarios domésticos, Trend Micro Security 10  proporciona una protección robusta contra el ransomware, mediante el bloqueo de sitios web maliciosos, correos electrónicos y archivos asociados a esta amenaza.

Asimismo, los usuarios pueden aprovechar nuestras herramientas gratuitas como Trend Micro Lock Screen Ransomware Tool, que está diseñado para detectar y eliminar ransomware del bloqueo de pantalla así como Trend Micro Crypto-Ransomware File Decryptor Tool, que puede descifrar ciertas variantes de crypto-ransomware sin que sea necesario pagar el rescate o el uso de la clave de descodificación. Los clientes de TippingPoint estarán protegidos de los ataques que explotan esta vulnerabilidad con el filtro ThreatDV, disponible desde el 31 de mayo:

  • 24733: HTTP: Ransom_ZCRYPT.A

Defender la red: ¿por qué la visibilidad es clave para acabar con el ransomware?

Por: Wendy Moore, Trend Micro

La mayoría de las organizaciones están realizando importantes inversiones para reducir los costes operativos y mejorar la eficiencia global de sus redes. Pero, a menudo, hay riesgos imprevistos y costes asociados con la infraestructura que conecta los servidores y los host internamente y con terceras partes y otros dispositivos. Sin una “visibilidad agnóstica” de toda la actividad de la red y del tráfico, los hackers siempre diseñarán métodos para entrar en la red.

Una falta de visibilidad de la red puede permitir a los autores de ransomware reutilizar eficazmente la red de su empresa red para obtener beneficios económicos de sus datos y en su contra. Lo que sigue expondrá a la organización a toda una serie de riesgos y costes imprevistos, muchos de los cuales superarán la demanda del rescate inicial.

El ransomware era un problema del consumidor o del usuario final. Ahora, los grupos criminales están infiltrando ransomware en su red y cada host, base de datos, archivo compartido, copia de seguridad del sistema está expuesto a convertirse en un motor de extorsión. Si bien es difícil estimar con precisión el impacto de la epidemia de ransomware empresarial a nivel global, Trend Micro detuvo 99 millones de amenazas entre octubre del año pasado y abril de 2016. Otro indicio de la seriedad del problema se produjo a finales de marzo de 2016, cuando el US-CERT del Departamento de Seguridad Nacional de EE.UU. y el Centro de Respuesta a Ciberdelincuentes de Canadá (CCIRC) emitieron una importante advertencia a las organizaciones sobre los peligros del ransomware.

La advertencia enumeraba algunas de las potenciales repercusiones que puede tener para las empresas:

  • Pérdida temporal o permanente de información confidencial o patentada, y propiedad intelectual
  • Interrupción de operaciones regulares
  • Pérdidas financieras para restaurar sistemas y archivos
  • Potencial daño a la reputación de una organización

Ya sea por el cifrado de datos y/o por impedir el acceso a un host, sistema, servidor o aplicación, su adversario buscará extorsionarle con un pago a cambio de la promesa de devolverle los datos. Desde una perspectiva de red, aquí hay más en juego que el hecho de pagar o no pagar.

Las organizaciones, por tanto, deben considerar lo siguiente:

  • La petición de rescate inicial podría ser sólo la punta del iceberg. Parte de su estrategia, incluyendo la decisión de pagar o no pagar, debe implicar una línea de visión clara sobre la magnitud del problema dentro de su red. Sin esto, tal vez juegue involuntariamente su baza en etapas adicionales de un ataque
  • Conocer el origen, los medios y el método de la filtración es clave para asegurar que no se están estableciendo las etapas adicionales de un ataque de ransomware y ayuda a evitar posibles agujeros expuestos que pueden haber permitido que el ransomware camine por su red.
  • Establecer visibilidad en toda la actividad de la red malintencionada para que pueda ver efectivamente el alcance del problema y trabajar en el nivel de riesgo actual y futuro. ¿Puede identificar no sólo el punto de entrada, sino los intentos de moverse dentro de su red, determinar qué hosts se han visto afectados y, en última instancia, el plan de juego general de los black hats?
  • Identificar rápidamente los indicadores de compromiso y publicar estos a otros activos de la red como medio para prevenir un brote y frustrar ataques posteriores. Utilice todos estos puntos de vista para mejorar continuamente tanto su postura de seguridad para dispositivos como para humanos. ¿ La causa eran dispositivos sin protección? ¿Qué empleados se vieron afectados? ¿Se usan las credenciales de confianza de terceros?

No puede defender la red de aquello que no puede ver El ransomware puede infiltrarse en su red a través de cualquier rincón o grieta que no esté monitorizada o que parezca normal a simple vista. Para remediar lo que equivale a una “catarata de ransomware” dentro de su red, necesita una línea de visión clara del tráfico de red, puertos y protocolos tanto de los segmentos físicos como virtuales de la red. Combinado con el poder de técnicas de detección más amplias y exhaustivas tales como el escaneo de amenazas avanzado, análisis de sandbox personalizado y una visión de amenazas correlacionadas, tendrá la red equivalente a la cirugía ocular con láser: que le permite obtener una visibilidad sin restricciones de los intentos de secuestrar su red junto con los sistemas, aplicaciones de datos y la propiedad intelectual del mismo.

Sigue leyendo

Combatir la epidemia de ransomware requiere de seguridad en distintos niveles

Entre octubre de 2015 y abril de 2016 Trend Micro ha detenido 99 millones de amenazas de ransomware. En el mundo de la ciberseguridad, las cosas se mueven a gran velocidad. Hace un año, muchos CISO y responsables de seguridad ni siquiera habían oído hablar del ransomware. Hoy saben perfectamente qué es. De hecho, el ransomware se ha convertido en una de las grandes preocupaciones para los profesionales que trabajan en asegurar las TI, y con razón. Los ciberextorsionadores que están detrás de esta epidemia online que se propaga a gran velocidad están adaptado sus tácticas constantemente.

Es por eso que, para reducir el riesgo de infección de la manera más efectiva posible, Trend Micro recomienda a las organizaciones implementar seguridad multicapa, con diferentes niveles de protección  – en el gateway, la red, el servidor y el endpoint.

¿Qué es el ransomware?

La respuesta es sencilla: se trata de un tipo de malware que impide al usuario el acceso a los datos y sistemas de su empresa. Y lo hace bloqueando los equipos o, con mayor frecuencia, cifrando los datos de modo que sean prácticamente irrecuperables – obligando al individuo o compañía a pagar un ‘rescate’ para recuperar el acceso. Es un problema de gran magnitud. Entre octubre de 2015 y abril de este año, Trend Micro había detenido 99 millones de amenazas de ransomware. Esta cifra es resultado del esfuerzo de la compañía por proteger a sus clientes; pero el volumen real de las infecciones de ransomware podría ser varias veces esta cantidad.

La gente suele ver al ransomware como un problema de los consumidores, pero estos no son únicamente los que se ven afectados en la actualidad. El ransomware también está afectando a las organizaciones. Una infección de este tipo resulta bastante dañina para una organización ya que literalmente deja inutilizables parte o la totalidad de los datos corporativos. Las implicaciones son obvias: interrupción del negocio, pérdida de productividad y daños para la marca/reputación a gran escala. En febrero se informó que el Centro Médico Presbiteriano de Hollywood declaró una “emergencia interna” después de ser víctima de dicho ataque, lo cual obligó al personal volver a utilizar las máquinas de fax, el lápiz y el papel, e incluso provocó que se cancelaran los tratamientos de los pacientes.

Defensa efectiva

Existen herramientas para detener ciertas familias de ransomware, pero los directores de TI no pueden asegurar a ciencia cierta que van a funcionar. Y no hay garantía de que aun pagando el rescate los archivos se liberen. La clave radica en detener al malware antes de que penetre en la organización, aplicando seguridad en varios niveles.

¿Por qué debe tener diferentes niveles? La respuesta es sencilla: porque los creadores de malware están adaptando constantemente su código para evadir los filtros y atacar diferentes partes del entorno tecnológico. Tal vez usted cuente con protección para el gateway de correo, por ejemplo, pero ¿y si uno de sus empleados visita una página infectada? De igual forma, los criminales también están comenzando a dirigir su malware a la infraestructura de servidores a través de variantes como SAMSAM. En resumen, no hay una fórmula mágica para prevenir esta amenaza, lo que se hace es tratar de mitigar el riesgo de la manera más efectiva posible, al poner más mecanismos de control en el camino.

Trend Micro recomienda implementar la protección en los siguientes puntos:

1) En el gateway de correo electrónico y web

Esto dará una buena oportunidad de evitar que la mayoría del ransomware llegue a los usuarios en una empresa, ya sea a través de un email de phishing o de una página maliciosa. Es importante recordar que aunque se utilice una plataforma de correo en la nube como Microsoft 365 con su propia seguridad integrada, es una buena idea reforzarla con protección adicional de un tercero. Por eso, Trend Micro recomienda buscar soluciones que al menos ofrezcan:

  • Análisis de malware y evaluación de riesgos para los archivos
  • Análisis de malware mediante sandboxes
  • Detección de exploits de documentos
  • Reputación web

En el gateway web, se necesitará reputación web en tiempo real, análisis de sandbox y la capacidad de detectar exploits de día cero y del navegador.

Sigue leyendo