Lección sobre parches: el crecimiento del crypto-ransomware SAMSAM

Deja una respuesta

Autor: Trend Micro

El papel fundamental de la gestión de parches entra en juego cuando las vulnerabilidades son utilizadas por los atacantes como puntos de partida para infiltrarse en sus sistemas y redes objetivo o cuando se abusa de los fallos de seguridad para difundir cualquier amenaza. En el caso del perverso crypto-ransomware SAMSAM ocurre esto. Dicha amenaza se desvía de otras familias de crypto-ransomsare. En lugar de llegar a través de URL maliciosas o correos electrónicos no deseados, aprovecha los fallos de seguridad en los servidores no actualizados.

El pasado mes de marzo de 2016, SAMSAM golpeó al hospital de Kentucky mediante la encriptación de todos sus archivos, incluyendo los que se encontraban en la red. Del sector sanitario, SAMSAM pasa ahora al sector de la educación. En un reciente ataque, un número importante de servidores y sistemas se vieron expuestos a SAMSAM y a otro malware a través de las vulnerabilidades de servidor JBoss. JBoss es un servidor de aplicaciones de código abierto que se ejecuta en Java. Sistemas o servidores con software “Destiny” también se vieron afectados. Según un informe de CISCO, este software es utilizado habitualmente por las escuelas K-12 en todo el mundo. Follett ya ha lanzado un parche para proteger a los usuarios del software Destiny.

Desafíos de los parches
Aunque SAMSAM no es la primera amenaza que aprovecha las vulnerabilidades para penetrar en una red, su emergencia introduce otro nivel de riesgos para las empresas y organizaciones de gran tamaño. Las “joyas de la corona” o los datos confidenciales podrían ser encriptados y perderse, obligando a las empresas a pagar grandes sumas por el rescate a cambio de su información crítica. A pesar de esto, se recomienda encarecidamente no pagar a los atacantes, ya que esto no garantiza que las organizaciones puedan recuperar sus archivos.

A pesar de la sofisticación de la amenaza en términos del vector de infección y la capacidad de mapeo de la red, la aplicación de parches, así como el mantenimiento actualizado de sistemas y servidores podría romper el ciclo de ataque. Sin embargo, los administradores de TI se enfrentan a varios retos tales como la necesidad de ejecutar las operaciones diarias y mantener el tiempo de actividad de los servicios críticos, asegurando al mismo tiempo el perímetro de la red. Es un acto de equilibrio crítico para proteger el entorno corporativo, al mismo tiempo que se mantienen las operaciones de negocio.  Cuando un fabricante de software libera parches de seguridad, ya sea para afrontar ataques de día cero o vulnerabilidades, los administradores de TI tendrán que hacer una investigación y probar los cambios en primer lugar antes de implementarlos en su entorno. Se ven obligados a poner parches en un segundo plano, ya que requiere el reinicio de los sistemas y servidores de misión crítica, lo que podría afectar a la productividad en general y causar interrupciones de negocio.

Según un estudio de Trend Micro, el período medio del proceso de investigación-prueba-despliegue de parches es de 30 días, lo que proporciona ventanas de exposición a las empresas. Cualquier ataque o amenaza que utilice las vulnerabilidades que puedan surgir durante este período podrían poner en peligro la seguridad y los datos corporativos.

¿Por qué son necesarios los parches virtuales?
Las empresas pueden optar por la aplicación de parches virtuales para hacer frente a los retos o problemas de gestión de parches comentados con anterioridad. Esta tecnología permite a los administradores de TI proteger los servidores y puntos vulnerables y sin tiempos de inactividad y los consiguientes costes operativos adicionales. En ausencia de un parche del proveedor, los parches virtuales pueden proteger las vulnerabilidades de los exploits hasta que una solución de seguridad que lo resuelva se encuentre disponible. También permite a los administradores de TI gestionar de manera eficiente o programar parches de emergencia que puedan surgir de las vulnerabilidades de día cero o ataques de gran calado que explotan estas brechas de seguridad. Además, los sistemas o aplicaciones heredadas también quedan protegidos de los riesgos que puedan representar.

Los datos cruciales de las organizaciones están también a salvo de las amenazas que aprovechan las vulnerabilidades, como en el caso de SAMSAM. Incluso si las empresas no aplican inmediatamente los parches relacionados, sus servidores vulnerables están protegidos contra este crypto-ransomware. Actualmente, el crypto-ransomware es una de las amenazas más notorias y  continúa evolucionando para ampliar su alcance.

Trend Micro Deep Security incorpora una función de parches virtuales con tecnologías de detección y prevención de intrusiones. Es una solución completa que puede proteger a las organizaciones y empresas de exploits y otras cargas de malware.  Desde que las amenazas y los ataques que aprovechan vulnerabilidades son frecuentes en panorama de la informática de hoy, los parches virtuales se han convertido en algo tan necesario como las soluciones de base como antimalware y firewall.

Trend Micro Deep Security y Vulnerability Protection  protegen los sistemas de los usuarios de cualquier amenaza que pueda aprovechar esta-s vulnerabilidad-es JBoss a través de la siguiente regla DPI:

  • 1007532-JBoss Application Server Unautenticated Remote Command Execution Vulnerability
  • 1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass

Por otro lado, las soluciones para el endpoint de Trend Micro, entre las que se encuentran Trend Micro™ Security,  Trend Micro Smart Protection Suites, y Trend Micro Worry-Free™ Business Security puede proteger los sistemas de los usuarios del cryto-ransomware SAMSAM detectando los archivos maliciosos. Los sistemas con Trend Micro™ Smart Protection Suites también están protegidos de esta amenaza a través de Trend Micro Endpoint Application Control.

TippingPoint también mitiga esta amenaza haciendo los siguientes filtros disponibles para sus usuarios:

MainlineDV

  • 9825: HTTP: JBoss jmx-console Authentication Bypass
  • 10502: HTTP: JBoss jmx-console Deployer Command Execution
  • 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
  • 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
  • 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)

ThreatDV

  • 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
  • 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
  • 24140: TCP: Ransom:MSIL/Samas.B Download Attempt

Aconsejamos a las empresas que actualicen sus servidores JBoss a la última versión. Algunas de las vulnerabilidades utilizadas son viejos bugs (por ejemplo: CVE-2010-0738 y CVE-2007-1036) ya parcheados con anterioridad. También recomendamos a los administradores de TI limitar el acceso a sus servidores internos a través de firewalls.

 

Aviso urgente: desinstale QuickTime para Windows ya

Christopher Budd (Global Threat Communications)

Estamos informando de que todo el mundo debería seguir los pasos de Apple y desinstalar QuickTime para Windows tan pronto como sea posible.

Las razones son dos:

En primer lugar, Apple está retirando el apoyo QuickTime para Microsoft Windows. La compañía no gestionará más las actualizaciones para el producto en Windows Platform y recomienda a los usuarios desinstalarlo. Tenga en cuenta que esto no se aplica a QuickTime en Mac OSX.

En segundo lugar, nuestra Iniciativa Zero Day acaba de lanzar dos avisos ZDI-16-241 y ZDI-16-242 que explican dos nuevas vulnerabilidades críticas que afectan a QuickTime para Windows. Estos avisos están siendo comunicados de acuerdo con la Política de Divulgación de la Iniciativa Zero Day para cuando un fabricante no emite un parche de seguridad para una vulnerabilidad descubierta. Y ya que Apple ha dejado de facilitar las actualizaciones de seguridad para QuickTime en Windows, estas vulnerabilidades nunca van a ser parcheadas.

No tenemos conocimiento de que se haya producido ningún ataque contra estas vulnerabilidades, que actualmente se encuentran activas. Pero la única manera de proteger ahora sus sistemas Windows de potenciales ataques contra estas u otras vulnerabilidades en Apple QuickTime es desinstalándolo. En este sentido, QuickTime para Windows ahora se une a Microsoft Windows XP y a Oracle Java 6 como software que ya no se está actualizando para corregir las vulnerabilidades y, por tanto, están expuestos cada vez a mayores riesgos a medida que se encuentran más vulnerabilidades sin parchear que le afecte.

Puede encontrar más información sobre cómo desinstalar Apple QuickTime para Windows en la página web de Apple, aquí: https://support.apple.com/HT205771.

Nuestros clientes de TippingPoint están protegidos contra estas dos vulnerabilidades desde el 24 de noviembre de 2015, con los filtros 21918 (ZDI-CAN-3401) y 21919 (ZDI-CAN-3402).

Sin embargo, incluso estando protegidos, en última instancia, lo correcto es seguir el ejemplo de Apple y desinstalar QuickTime para Windows. Esa es la única manera segura de ser protegidos contra todas las vulnerabilidades actuales y futuras en el producto, ahora que Apple ya no va a proporcionar actualizaciones de seguridad para ello.

Para aquellos que deseen contar con más detalles técnicos, a continuación se incluyen los puntos más importantes: en ambos casos se trata de vulnerabilidades de ejecución del código remoto con un cúmulo de daños. Una vulnerabilidad puede permitir que un atacante pueda escribir datos fuera del búfer de la memoria dinámica asignada. La otra vulnerabilidad se produce en el stco atom donde suministrando un índice no válido, un atacante puede escribir datos fuera del búfer de la memoria dinámica asignada. Ambas vulnerabilidades requerirían que el usuario visitara una página web maliciosa o que tenga que abrir un archivo malicioso para explotarlas. Y ambas vulnerabilidades podrían ejecutar código en el contexto de seguridad del reproductor QuickTime, que en la mayoría de los casos sería la del usuario registrado.

Ambas vulnerabilidades tienen una puntuación CVSS 2.0 de 6,8. Para más detalles, por favor, visite:

Para información adicional, consulte el documento del US-CERT: https://www.us-cert.gov/ncas/alerts/TA16-105A

Por favor, incluya sus comentarios a continuación o sígueme en Twitter; @ChristopherBudd.
 

 

El malware de los cajeros automáticos en auge

David Sancho y Numaan Huq (Investigadores Senior de Amenazas)

Los cajeros automáticos no están siendo sólo afectados por el intento físico de vaciarlos. Ahora los ataques cibernérticos están siendo reconocidos poco a poco como una amenaza emergente por los organismos de la industria de seguridad y los de aplicación de la ley. Varios investigadores hemos detectado durante años software malicioso de los cajeros automáticos hemos visto incidentes que se han llevado a cabo con éxito. Para este tipo de delitos, el malware que se emplea es específico de los cajeros automáticos . El cambio a los medios digitales de ataque revela una comprensión por parte de los grupos criminales de que el uso de malware es la forma más fácil y segura de robar dinero e información de las tarjetas a los cajeros automáticos. Esta tendencia no hará sino crecer en el futuro y debemos ser conscientes de las diferentes vías de grupos criminales que han ganado acceso y se han creado a sí mismas.

Fraude y ataques físicos a los cajeros automáticos

Las estadísticas muestran un aumento general de los ataques de fraude a cajeros automáticos durante el pasado año (+ 15% desde 2014 hasta 2015 en los ataques de fraude relacionados con cajeros). La tendencia cada vez mayor de ataques de software en todas las áreas también significa que los grupos criminales más sofisticados ya se han dado cuenta de la oportunidad oculta en un conjunto de herramientas de hacking para esta área. Las estadísticas indican solamente el comienzo del uso de software malicioso para el fraude del cajero automático, pero sin duda es una tendencia que ha venido para quedarse.
A pesar de que no tenemos las estadísticas de ataque de malware en cajeros automáticos de EE.UU., el equipo de seguridad europeo establece que “las pérdidas internacionales fueron reportadas en 53 países y territorios fuera de la zona única de pago en euros (SEPA) y en 10 en la SEPA. Los tres primeros lugares donde se reportaron estas pérdidas son EE.UU., Indonesia y Filipinas”.
¿Qué provocó la llegada del software malicioso a los cajeros? Trend Micro y el Centro Europeo de Ciberdelincuencia de Europol (EC3) trabajaron juntos para examinar la evolución de las ciberamenazas en cajeros automáticos. Nuestra investigación indica que hay muchos factores que facilitaron el cambio hacia el uso de un conjunto de herramientas de hacking para apuntar a los cajeros automáticos, junto a ataques más tradicionales.

Un factor importante es el uso de un sistema operativo anticuado como Windows XP® que no puede recibir los parches de seguridad. Otra razón puede encontrarse en la creciente sofisticación de los delincuentes y su comprensión de que la forma digital es menos arriesgada y les permite moverse con mayor sigilo. Otro factor importante es la decisión de los proveedores de emplear middleware que proporciona interfaces de programación de aplicaciones para comunicarse con los dispositivos periféricos de la máquina (como el teclado de PIN, cajero automático, etc.) independientemente del modelo. Este middleware se conoce como Extensiones para Servicios Financieros (XFS) middleware. En términos simples, si pensamos en un cajero automático moderno como un PC MS Windows® con una caja de dinero que se supone que está controlado a través de software, es fácil comprender cómo se convierte en un objetivo atractivo para cualquier escritor de malware. Figura 2. Arquitectura del sistema XFS

Las principales familias de malware en cajeros automáticos existentes
La colaboración en la investigación de Trend Micro y el Centro Europeo de Ciberdelincuencia de Europol (EC3) también analizó los principales tipos de malware en circulación en el momento. El mapa de arriba muestra un patrón interesante en términos de origen del código. La falta de medidas de seguridad implementadas por los bancos comerciales en América Latina y Europa del Este, ha abierto la puerta para que criminales victimicen a los cajeros automáticos en estas regiones. Aunque muy lentamente, también estamos asistiendo a la exportación de estas técnicas a otras regiones. Aunque todavía no hemos visto malware de cajero que se venda underground, es de esperar que se desarrolle en un futuro no muy lejano.
Cada una de las familias de malware antes mencionadas tiene una determinada función de puesta a punto que se puede distinguir por dos características principales: el tipo fabricante de cajeros automáticos y las capacidades específicas de malware. Tanto si se utiliza para copiar la entrada del usuario en la máquina, tales como números de tarjetas y códigos PIN, o para la retirada real de efectivo. Lo que el malware tiene en común es que se instala normalmente de forma manual a través de USB o la unidad de CD. 3. Familias de malware de cajero y sus orígenes geográficos

Estas conclusiones se basan en una investigación de Trend Micro y el Centro Europeo de Ciberdelincuencia de Europol (EC3) realizada con el fin de examinar el estado actual del malware de cajeros. El resultado es un documento completo que destaca la amenaza cibernética así como la evolución de los cajeros automáticos incluyendo un análisis de los nuevos métodos utilizados y los correspondientes planteamientos defensivos clave para las organizaciones interesadas en proteger negocios y clientes. Este informe conjunto es otro ejemplo del éxito de la colaboración entre la policía y la industria en la lucha contra ciberdelincuencia.

Ataque zero-day descubierto en el kit de exploit Magnitude dirigido a CVE-2016-1019 en versiones anteriores de Adobe Flash Player

Peter Pi, Brooks Li y Joseph C. Chen

Tras su aviso de seguridad el pasado 5 de abril de 2016, Adobe ha lanzado un parche para la vulnerabilidad CVE-2016-1019, que afecta a Adobe Flash Player. Trend Micro ha observado ataques zero-day activos en el kit de exploit Magnitude que afectan a los usuarios de Flash 20.0.0.306 y versiones anteriores. Estos ataques no son efectivos contra los usuarios de las versiones de Flash 21.0.0.182 y 21.0.0.197. Esto se debe a las medidas de mitigación que Adobe introdujo en la versión 21.0.0.182, y que también están presentes en la versión 21.0.0.197. Los usuarios de estas versiones sólo experimentarán un bloqueo en Adobe Flash cuando los ataques intentan explotar la vulnerabilidad.

Se recomienda a todos los usuarios actualizar sus sistemas de inmediato con la última revisión de seguridad, ya que está siendo activamente explotada. Antes de la revisión de seguridad de hoy, hemos observado que el kit de exploit ya integraba esta vulnerabilidad en su arsenal, lo que deja sistemas infectados con ransomware.

Según nuestro análisis, CVE-2016-1019 es una vulnerabilidad de tipo de vulnerabilidad confusa; y mientras el exploit trabaja sobre Flash 20.0.0.306 y versiones anteriores, sólo estallará y el exploit no se ejecutará en las versiones de Flash 21.0.0.182 y 21.0.0.197, respectivamente. Adobe ha incorporado varias medidas de mitigación desde 21.0.0.182.

Magnitude integrado en el ataque zero-day de Adobe Flash; deja los sistemas infectados con el ransomware Locky

Ya el 31 de marzo de 2016, gracias al feedback nuestra infraestructura Trend Micro™ Smart Protection Network™, detectamos un ataque zero-day que estaba siendo incluido en el código del kit de exploit Magnitude Esto después dirige al ransomware Locky, un crypto-ransomware que abusa de las macros en los archivos de documentos para ocultar su código malicioso. Según los informes, este malware golpeó los sistemas del Hospital Metodista en Kentucky, EE.UU.

 

Soluciones de seguridad contra los ataques zero-day a Adobe Flash

Los atacantes detrás del kit de exploit Magnitude han sido muy rápidos a la hora de incluir este fallo de seguridad en su lista de vulnerabilidades dirigidas. Aconsejamos a los usuarios actualizar sus sistemas a la última versión de Adobe Flash Player.

Trend Micro protege los sistemas de los riesgos planteados por los ataques zero-day a través de nuestra amplia gama de soluciones tecnológicas. La funcionalidad Browser Exploit Prevention en nuestros productos para el endpoint como Trend Micro™ Security, Smart Protection Suites y Worry-Free Business Security bloquea los exploits del navegador una vez que el usuario accede a las URL en las que están alojadas.

Nuestro Sandbox y su motor Script Analyzer, integrado en Trend Micro™ Deep Discovery, puede ser utilizado para detectar esta amenaza por su comportamiento sin necesidad de actualizar el motor o los patrones.

Trend Micro Deep Security y Vulnerability Protection protegen los sistemas contra las amenazas que puedan aprovechar estas vulnerabilidades a través de las siguientes reglas DPI:

  • 1007572 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2016-1019)

Los clientes de TippingPoint estarán protegidos de los ataques que explotan esta vulnerabilidad con el siguiente filtro MainlineDV que estará disponible el 12 de abril:

  • 24253: HTTP: Adobe Flash FileReference Type Confusion Vulnerability

Queremos agradecer a Kafeine el trabajo realizado con nosotros para proteger a nuestros clientes.

 

 

 

 

 

Los “Papeles de Panamá”: una advertencia para instalar seguridad multicapa

Salvo que alguien haya estado viviendo en Marte, todo el mundo se ha enterado esta semana de la noticia de que 11,5 millones de documentos del despacho de abogados panameño Mossack Fonseca han sido robados y filtrados a la prensa. Ha habido pocas violaciones de datos que hayan tenido el alcance y hayan sido tan dañinas como ésta. Sin entrar a hacer valoraciones del contenido de estos documentos, lo que sí hay es una clara lección de seguridad que aprender.

Ya se trate de datos altamente sensibles como en este caso, o no, las empresas modernas deben aceptar y asumir que todas ellas, ahora, son un objetivo. Y una de las principales formas de mitigar el riesgo de un ataque es reforzando la seguridad del servidor como parte de un enfoque multicapa, empezando con los parches.

Un cuento con moraleja

Mossack Fonseca afirma que esta brecha ha sido fruto de “una violación no autorizada de nuestro servidor de correo electrónico”. El resultado de este caso parece catastrófico, pues los medios están publicando las supuestas relaciones fiscales ocultas de más de una docena de dirigentes mundiales actuales y anteriores.

No cabe duda de que casos como éste son de las peores fugas de datos producidas, y es difícil ver en cómo la reputación de la firma de abogados entre sus clientes soportará este incidente.

No sabemos exactamente cómo los hackers entraron en los sistemas de Mossack Fonseca, pero a menudo es a través de una simple vulnerabilidad. Las organizaciones deben tomarse más en serio los parches para eliminar estos ataques tan factibles, en los que los black hats siempre andan atentos. Para combatir de una manera más sofisticada los ataques dirigidos, hay tecnologías como los sandboxing avanzados que pueden detectar y bloquear las amenazas de día-cero. Y una monitorización exhaustiva, así como una inspección de registros pueden alertar a los equipos de TI de una potencial incursión.

Sin embargo, hoy en día, los entornos TI suelen estar formados por una mezcla de sistemas cloud híbridos, virtuales y físicos. Es aquí cuando la nube y la seguridad virtual son tan importantes, protegiendo de forma dinámica las máquinas virtuales (VM) e instancias cloud dondequiera que vayan. Es esencial que los parches virtuales protejan los sistemas contra las amenazas del día-cero. Y todo esto necesita ser monitorizado desde un único panel de control para obtener la máxima eficacia.

Mossack Fonseca debería servir como ejemplo para que todas las organizaciones duplicasen sus esfuerzos en asegurar su activo más importante: sus datos.