Crypto-Ransomware se concentra en la región EMEA

La temporada de fiestas a menudo supone mucha actividad para los servicios de correos y paquetería, porque la gente compra en línea y comienza a enviar sus regalos a seres queridos que están lejos. Por esto, no sorprende demasiado recibir una notificación sobre encuesta de satisfacción sobre el envío de un paquete específico.

Los ciberdelincuentes, conscientes de esto, han comenzado a utilizar la entrega de paquetes como señuelo de ingeniería social para los recientes ataques crypto-ransomware de la región EMEA (Europa-Oriente Medio-África). Esto supone un importante giro porque los ataques previos están relacionados con las facturas y los estados financieros.
Según el feedback de Trend Micro Smart Protection Network, algunos países están en el top de víctimas de crypto-ransomware del último trimestre. Analizando los siguientes gráficos, podemos ver que España, Francia, Turquía, Italia y el Reino Unido se encuentran entre el grueso de víctimas de cripto-ransomware.

Affected Countries

1. Principales países infectados en la región EMEA, septiembre 2014

Affected Countries

2. Principales países infectados en la región EMEA, octubre 2014

Affected Countries

3. Principales países infectados en la región EMEA, noviembre 2014

Sigue leyendo

Vulnerabilidades bajo ataque: iluminando el amplio escenario de los ataques

Por Christopher Budd

A un ex colega mío que trabajaba para determinado organismo gubernamental de Langley, Virginia (es decir, la CIA) le gustaba una cita de Ian Fleming de Goldfinger: “Una vez es casualidad. Dos veces es coincidencia. Tres veces es acción enemiga”.
Al examinar nuestro informe trimestral de amenazas para el Q3 de 2014, “Vulnerabilidades bajo ataque: arrojando luz sobre la superficie creciente de ataque” podemos apreciar una tendencia emergente que se ajusta a este dicho. Una de las cosas más notables sobre el tercer trimestre es que es el segundo trimestre consecutivo con una importante crisis de seguridad con vulnerabilidades en componentes de código abierto ampliamente desplegadas.

Sigue leyendo

Regin: un malware sofisticado aunque no sin precedentes

Informes recientes han detectado un sofisticado malware conocido como Regin en ataques dirigidos en varios países. Regin es altamente sofisticado y está diseñado para llevar a cabo vigilancia sigilosa de potenciales víctimas a largo plazo, a instancias de sus creadores. Se cree que los principales objetivos de este ataque han sido las compañías de telecomunicaciones.

No está claro cuánto tiempo ha estado activo Regin. Las marcas de tiempo de los archivos asociados a Regin varían según los informes. En algún lugar el ataque sucedió en 2003, mientras que en otros en 2006, 2008 ó 2011. Entre las víctimas conocidas se incluye una compañía telefónica belga, lo que lleva a sospechar que los actores de amenaza están detrás de este ataque.

Si bien Regin está en general bien elaborado y diseñado, en nuestra vigilancia de las amenazas observamos que muchas de sus técnicas se han utilizado antes en otros ataques. Además, el objetivo general de este ataque es el mismo: robar información del objetivo sin dejar de ser sigiloso.

El siguiente gráfico describe algunas de las técnicas avanzadas que creemos fueron utilizadas por Regin:

 regin-1aTécnicas avanzadas utilizadas por Regin

Como se puede apreciar, muy pocas de las técnicas utilizadas por Regin no tenían precedentes de una forma u otra. Las técnicas elegidas por los creadores de Regin parecen haber sido elegidas para maximizar sus características de sigilo; esto permitiría a un atacante mantener su presencia a largo plazo en un sistema afectado, lo que sería una herramienta eficaz para la recopilación de información robada.

Seguiremos atentos a los acontecimientos relacionados con esta amenaza y actualizaremos la información cuando sea necesario.

 

La lucha contra el cibercrimen más allá de nuestras fronteras: Por qué la colaboración con la ley refuerza su aplicación

Con frecuencia hablamos de lo importante que es para la aplicación de la ley que las empresas de seguridad colaboren en la lucha contra el delito cibernético. Una razón particular para ello se debe a la naturaleza de los delitos informáticos: por decirlo claro, no tienen fronteras.

Tal vez más que cualquier otro tipo de delito, la delincuencia informática no respeta fronteras. Un delincuente en Rusia puede tener colegas de Ucrania, servidores en Reino Unido y atacar a usuarios en Estados Unidos.

Trabajamos intensamente con la Interpol para ayudar a combatir los delitos cibernéticos en todo el mundo. Recientemente firmamos un acuerdo para proporcionar las herramientas, la capacitación y la información a la Interpol para que agencias del orden público de todo el mundo puedan construir las capacidades necesarias para luchar en la aplicación de la ley en su propio terreno.

Sin embargo, también trabajamos con los países de forma individual, y en algunos casos somos capaces de reunir agencias de diferentes países para investigar el mismo grupo de criminales cibernéticos. Al servir como intermediarios, somos capaces de ayudar a policía de diferentes países que trabajan en el mismo caso sin tener que pasar por procedimientos complejos que requieren mucho tiempo en relación con los tratados de asistencia legal mutua.

Todavía existen áreas en que la cooperación internacional en la lucha contra la delincuencia informática se puede mejorar. Algo que pensamos que sería altamente beneficioso es que los países que trabajan juntos formasen organismos policiales multinacionales que ayudasen con temas de ciberdelincuencia regionales. En Europa, tenemos Europol, que se ocupa de las actividades de los diversos organismos encargados de hacer cumplir la ley locales. Una agencia como Europol puede ser muy útil en áreas de países con capacidades muy limitadas para investigar los delitos cibernéticos, como África.

La ciberdelincuencia es un problema global  y sin soluciones globales no se puede combatir con eficacia. Trend Micro trabaja con las fuerzas del orden de todo el mundo con el fin de hacer frente a estas amenazas y ayudar a hacer Internet más seguro para todos.

 

TorrentLocker ataca objetivos italianos

Joseph C Chen (Investigador de Fraudes)

Hemos descubierto recientemente una nueva variante de ransomware, TorrentLocker, dirigido a aproximadamente 4.000 organizaciones y empresas italianas. TorrentLocker pertenece a la familia ransomware (CryptoLocker), y también cifra diversos archivos y obliga a los usuarios a pagar una suma de dinero. TorrentLocker utiliza la red de anonimato TOR para ocultar su tráfico de red, lo que puede haber sido el origen de su nombre.

La citada amenaza utiliza un correo electrónico spam escrito en italiano con varias plantillas como parte de sus tácticas de ingeniería social. Traducido al Inglés, estos mensajes dicen:

1. Su pregunta se ha hecho en el foro {día} / {mes} / {año} {hora}. Para la respuesta detallada consulte la siguiente dirección: {enlace malicioso}

2. Se le envió una factura que debe pagar antes de {día} / {mes} / {año}. Detalles encontrados: {enlace malicioso}

3. Su solicitud ha sido iniciada para revisar el pago {enlace malicioso}

1

1 Muestra de correo electrónico spam

Todos los mensajes contienen un enlace que lleva a un archivo zip. Descomprimir el archivo de almacenamiento produce un archivo disfrazado como documento PDF. Los archivos PDF son muy normales en las empresas, y como tal, los empleados que reciben este mensaje spam puede llegar a pensar que esto es legítimo.

2

2 Captura de pantalla del archivo vinculado

Algunos de los archivos de almacenamiento tienen nombres como Versamento.zip, Transazione.zip, Compenso.zip o Saldo.zip. Estos nombres de archivo se traducen como pago, transacción, compensación y saldo, respectivamente. Sin embargo, en lugar de un archivo PDF, estos archivos son en realidad una variante CryptoLocker detectado por Trend Micro como TROJ_CRILOCK.YNG.

Al igual que en otras variantes, Cryptolocker cifra una gran variedad de tipos de archivo, incluyendo .DOTX, DOCX, DOC, TXT, PPT, .PPTX y .XLSX, entre otros. Todos estos tipos de archivo están asociados con los productos de Microsoft Office y se utilizan comúnmente en las operaciones diarias de las empresas.

Para recibir la herramienta de descifrado para supuestamente recuperar archivos cruciales los los usuarios necesitan para pagar el rescate en Bitcoins. En una de las muestras que encontramos pidieron un rescate de 1.375 BTC

4

3 y 4. Imágenes de ransomware (Click para ampliar)

Los usuarios italianos son los más afectados por este particular spam, ya que la mitad de todos los mensajes de spam que se identifican con este tipo de spam fueron enviados a usuarios en Italia. La cuarta parte provino de Brasil, con otros países que representan el resto. En su pico, varios miles de usuarios se vieron afectados al día.

5

5. Distribución de los objetivos TorrentLocker globalmente

6

6. Número de objetivos afectados al día

Protegemos a nuestros usuarios contra esta amenaza mediante el bloqueo de las diferentes fases de esta amenaza. Además de bloquear los diversos mensajes spam, bloqueamos también las URL maliciosas y detectamos los archivos maliciosos utilizados en este ataque.

Los hash del archivo vistos en este ataque incluyen:

  • 050b21190591004cbee3a06019dcb34e766afe47
  • 078838cb99e31913e661657241feeea9c20b965a
  • 6b8ba758c4075e766d2cd928ffb92b2223c644d7
  • 9a24a0c7079c569b5740152205f87ad2213a67ed
  • c58fe7477c0a639e64bcf1a49df79dee58961a34
  • de3c25f2b3577cc192cb33454616d22718d501dc

Información adicional de Grant Chen