¿Cómo pueden proteger del ransomware las soluciones Endpoint ?  

Las diferentes técnicas de ransomware que se utilizan para usuarios y organizaciones muestran que la mejor manera de mitigar los riesgos provocados por esta amenaza es implementar varios niveles de protección en diferentes ámbitos de una red empresarial: desde el gateway a los endpoints, pasando por las redes y servidores.

Sólo este año, el FBI predijo que las pérdidas totales provocadas por el ransomware alcanzarán la friolera de los 1.000 millones de dólares. El negocio del ransomware está en auge, lo que anima a los ciberdelincuentes a ampliar sus metas, pasando de los consumidores a las empresas, independientemente de su tipo y tamaño.

Las pequeñas y medianas empresas (pymes), por lo general, tienen recursos limitados para permitirse contar con soluciones de seguridad robustas. Un estudio reveló que el 65% de las pymes en Estados Unidos no va a realizar importantes inversiones en materia de ransomware, incluyendo pagos de rescates o de seguridad. Mientras tanto, a pesar de las múltiples capas de seguridad, las redes corporativas aún pueden estar en peligro si las amenazas provienen de fuentes conocidas y fiables, como los socios de terceros, proveedores, contactos o de los propios empleados. Teniendo en cuenta estas difíciles situaciones, las soluciones para endpoints con unas buenas funciones de monitorización y control de aplicaciones pueden ser la última línea de defensa de las empresas contra el ransomware.

1Figura 1: Ataques de ransomware y sus correspondientes soluciones

Sigue leyendo

Cerber: un ejemplo de ransomware que aprovecha las plataformas Cloud

A medida que se incrementa la adopción de los servicios cloud entre los usuarios finales, los cibercriminales están encontrando formas para abusar de ellos, utilizándoles como vectores para alojar y distribuir malware. En cambio, al dirigirse a plataformas de productividad basadas en cloud utilizadas por muchas empresas, los malhechores tienen la esperanza de convertir en víctimas a los usuarios que manejan datos sensibles de la empresa que cuando se les niega el acceso puede conllevar graves repercusiones para sus operaciones comerciales.

Un ejemplo de ello: el ransomware Cerber. Esta última variante, detectada por Trend Micro como RANSOM_CERBER.CAD, fue encontrada por haberse dirigido a usuarios de Office 365, particularmente a usuarios domésticos y a empresas.

1

Figura 1: Última variante de Cerber entrega cuatro notas de rescate: un archivo VBS  que sirve como la versión de audio de la nota de rescate, un archivo .url que abre por defecto el navegador web del sitio de pago, así como los archivos .html y .txt ( como se puede ver más arriba).

Sigue leyendo

¿Por qué funciona el ransomware? Psicología y métodos utilizados para distribuir, infectar y extorsionar

En mayo de 2016, los investigadores descubrieron un sitio de la Dark Web llamado The Hall of Ransom, al que se puede tener acceso a través de la red Tor, y que asegura tener una línea de productos y servicios relacionados con el ransomware que se venden a elevados precios.

A continuación Trend Micro explica por qué el ransomware está teniendo tanto éxito y las técnicas más empleadas para maximizar su distribución, el grado de infección y, especialmente, la extorsión con el consiguiente pago del rescate.

El sitio ofrecía al célebre Locky por 3.000 dólares, una variante que se calcula infectó 90.000 equipos diarios en febrero. Además de vender variantes de ransomware, The Hall también anunció la disponibilidad de una solución que se describe como una unidad USB que supuestamente se vende por 1.200 dólares – un “antídoto” único y que no puede copiarse, que promete liberar los archivos que Locky ha encriptado en las máquinas infectadas que corren sobre Linux o Windows. El sitio también presenta lo que se le ha denominado un “ransomware de nueva generación” llamado Goliath que puede comprarse por 2.100 dólares. Se ha descubierto que Goliath tiene un código abierto que se deriva de Locky, y que se ofrece a los “novatos” que están considerando entrar al negocio del crimen cibernético.

1 Sigue leyendo

JScript-toting ransomware puede robar sus contraseñas y su cartera de Bitcoin

Por Renaud Bidou

En un esfuerzo por aumentar el número de víctimas, los autores de ransomware tratan de moverse lejos de las familias conocidas y crear una nueva con diferentes grados de funcionalidad.
Este es el caso con el ransomware RAA, que Trend Micro detecta como RANSOM_JSRAA.A. Mientras que la mayoría de ransomware toma la forma de archivos ejecutables (.exe, .dll), RAA es uno de los pocos escrito completamente en un lenguaje de script-expresamente diseñado para ser interpretado por los navegadores web.
1

Nuestro análisis muestra que esta variante particular, ransomware está escrito en JScript, y no en JavaScript, según lo observado en algunos informes. (Tampoco está relacionado con Java o bien, este artículo de conocimiento de Microsoft hace que las diferencias de los tres claras.) Este lenguaje de script está diseñado para sistemas Windows y ejecutado por el motor de Windows Scripting Host a través de Microsoft Internet Explorer (IE). No se puede ejecutar a través del navegador Edge más reciente, sin embargo.
Sigue leyendo