El Ransomware y las estafas de los mails de negocios (BEC) lideran el año de la extorsión on line

  • Autor: Trend Micro

 

Los correos electrónicos se han convertido en el campo de batalla de la primera mitad del año en términos de seguridad. Es el número uno del vector de infección que ha dado paso a mayores amenazas de 2016 hasta la fecha-ransomware y comprometer correos electrónicos de negocio (BEC). Las infecciones ransomware comienzan normalmente a través de correo electrónico. En base a los resultados, el 71% de las familias de ransomware conocidas entra a través de correo no deseado.

En cuanto a las tendencias de amenazas hasta ahora, tanto ransomware como BEC han demostrado ser rentables en todo el mundo. Esto se hace eco de nuestra predicción de que el 2016 sería el Año de la Extorsión on line. El ransomware sigue amenazando datos críticos de las empresas y supone millones de dólares en pérdidas para las empresass; se estiman en más de  3 mil millones de dólares las pérdidas por estafa bancaria de los BEC en señuelos de ingeniería social

La prevalencia mundial

A través de nuestro propio análisis y los datos de Smart Protection Network de Trend Micro, hemos sido capaces de mapear cómo las amenazas respectivas en diferentes regiones. De enero a junio de 2016, hemos sido capaces de catalogar el número de empresas atacadas por estafas BEC, así como el número de amenazas basadas en correo electrónico ransomware.

1

Figura 1. Distribución regional en volumen de amenazas ransomware

2

Figura 2. Distribución regional en volumen de las organizaciones afectadas por estafas BEC

Nuestra telemetría muestra que el alcance de ransomware está más extendido que el BEC, ya que se dirige a los países de Europa, Oriente Medio y África. La prevalencia de las estafas BEC es mayor en la región de América del Norte, con un menor número de países, pero más atacados.

El correo electrónico es el vector de ataque preferido

El 58% de los casi 80 millones de amenazas de Trend Micro ransomware bloqueado durante enero-junio 2016 es ransomware transmitido por correo electrónico. Las estafas BEC, por el contrario, llegan a través de correo electrónico. Estos factores hacen que el correo electrónico siga siendo un elemento básico de la empresa en funcionamiento todos los días.

Ambos también utilizan la ingeniería social. En el caso de ransomware, para que el usuario haga clic y ejecutar el ransomware adjuntando  su correo electrónico de entrada. Para las BEC, es engañar al usuario si en el pensamiento de que su solicitud de una transferencia de dinero es legítimo, sin la carga útil de malware habitual.

Por comparar, a continuación una muestra de un correo electrónico ransomware, así como uno de un BEC en curso.

3

Figura 3. Muestra de correo electrónico ransomware

4

Figura 4. Muestra de correo BEC

Sabiendo que estas amenazas utilizan el correo electrónico como vía de ataque, las empresas deben reforzar la educación de los empleados e invertir inteligentemente en la protección de correo electrónico. Con éstos, la amenaza de ataques y ransomware BEC se puede reducir en gran medida.

Las empresas deben buscar en las soluciones de seguridad de correo electrónico que tienen la capacidad de identificar correos electrónicos de bloques, archivos y direcciones URL relacionadas con ransomware, antes incluso que llegan al puesto de trabajo, así como un análisis en profundidad de los archivos adjuntos, el análisis virtual de la URL, la simulación de la escritura, ataques de día cero y así sucesivamente. Nuestra oferta de seguridad, Trend Micro ™ Deep Discovery ™ Email Inspector, es un buen ejemplo.

Otra solución que definitivamente va bien contra estafas BEC es nuestra propia Virtual Appliance de Trend Micro InterScan ™ Messaging Security. Detecta spear phishing y correos electrónicos de ingeniería social mediante la correlación de los componentes de correo electrónico con las nuevas tecnologías de protección de ataque de ingeniería social con el fin de bloquearlas antes incluso de llegar a los buzones de los empleados.

Por último, en el caso de ataques BEC de malware que utilizan, las soluciones de Trend Micro Interscan Messaging Security Virtual Appliance detectan y bloquean a través de capacidades tales como la detección de anomalías en la red, análisis de entorno limitado, así como una visión amenaza compartida y se correlacionó con todas las otras tecnologías de trabajo en sinergia.

Para más información sobre éstas u otras amenazas a las empresas, tales como paquetes de exploits, vulnerabilidades y brechas de datos, y cómo defenderse contra ellos, lea nuestra Informe de la seguridad 1H 2016, el Reino de ransomware.

¿Website sin conexión? El nuevo ransomware FAIRWARE encontrado en el servidor podría ser la causa

Steve Neville, Trend Micro

En un momento en el que el goteo constante de noticias relacionadas con el ransomware no cesa, entra en escena FAIRWARE, una nueva variante que está atacando los servidores web bajo la plataforma Linux.

Comentado inicialmente en un post publicado en el foro Bleeping Computer, las víctimas explicaban que creían que se habían forzado sus máquinas para obtener acceso. Una vez en el servidor, los atacantes supuestamente cifran los archivos y eliminan el contenido de la carpeta web, borrando los archivos originales y dejando un mensaje que exige el pago de un rescate de dos Bitcoins para poder recuperar los archivos. Por supuesto, la eliminación de los contenidos de la carpeta www deja al servidor web inservible, lo que sería un problema importante en caso de aplicaciones web de misión crítica. Si la víctima no paga el rescate en el plazo de dos semanas, se le advierte que no va recuperar sus archivos y que estos pueden ser filtrados al público.

Todavía no está claro si el desarrollador del ransomware FAIRWARE quita realmente los archivos antes de eliminarlos, o si es simplemente una estrategia para que las víctimas paguen el rescate. Hasta la fecha, nadie ha pagado el rescate en el monedero Bitcoin especificado en la nota que deja, pero con datos valiosos bajo riesgo, la víctima deseará desesperadamente intentar recuperar los datos pagando el rescate.

Aunque ya hemos sido testigos de algunas modalidades de ransomware centrado en el servidor en ocasiones pasadas (SAMSAM es una variante reciente que aprovechaba una vulnerabilidad de JBOSS), y FAIRWARE es un buen recordatorio de que no existe una varita mágica, cuando se trata de proteger a las organizaciones del ransomware. Mientras la mayoría de los ataques se centran en el usuario final, los servidores ejecutan las aplicaciones de misión crítica y almacenan datos empresariales sensibles, los cuales necesitan estar protegidos como parte de una estrategia de seguridad por capas.

Una solución de seguridad efectiva para el servidor, como Trend Micro Deep Security, puede proteger los servidores a través de la nube híbrida ante ataque con una amplia variedad de controles de seguridad, proporcionando ayuda con:

  • La detección temprana de un ataque, incluyendo los casos en los que se recurre a la fuerza bruta como la utilizada por FAIRWARE y el movimiento lateral de servidor a servidor, lo que permite llevar a cabo una acción inmediata para reducir al mínimo el potencial impacto.
  • Blindaje de los servidores ante ataques (como SAMSAM) que aprovechan una vulnerabilidad para hacerse un hueco en el servidor.
  • Protección de los servidores de archivos empresariales -que alojan grandes volúmenes de datos corporativos valiosos- de los ataques a través de usuarios finales que están en situación de peligro, alertando a los administradores y deteniendo la actividad sospechosa en su recorrido.

Como parte de nuestro compromiso por ayudar a nuestros clientes ante los retos del ransomware, hemos preparado algunos consejos útiles y herramientas basados en nuestra amplia experiencia para combatir este tipo de amenaza. También puede acceder a un Webinar en el que los expertos de Trend Micro le proporcionarán prácticos consejos sobre lo que debe hacer para proteger a su organización.

 

¿Cómo pueden proteger del ransomware las soluciones Endpoint ?  

Las diferentes técnicas de ransomware que se utilizan para usuarios y organizaciones muestran que la mejor manera de mitigar los riesgos provocados por esta amenaza es implementar varios niveles de protección en diferentes ámbitos de una red empresarial: desde el gateway a los endpoints, pasando por las redes y servidores.

Sólo este año, el FBI predijo que las pérdidas totales provocadas por el ransomware alcanzarán la friolera de los 1.000 millones de dólares. El negocio del ransomware está en auge, lo que anima a los ciberdelincuentes a ampliar sus metas, pasando de los consumidores a las empresas, independientemente de su tipo y tamaño.

Las pequeñas y medianas empresas (pymes), por lo general, tienen recursos limitados para permitirse contar con soluciones de seguridad robustas. Un estudio reveló que el 65% de las pymes en Estados Unidos no va a realizar importantes inversiones en materia de ransomware, incluyendo pagos de rescates o de seguridad. Mientras tanto, a pesar de las múltiples capas de seguridad, las redes corporativas aún pueden estar en peligro si las amenazas provienen de fuentes conocidas y fiables, como los socios de terceros, proveedores, contactos o de los propios empleados. Teniendo en cuenta estas difíciles situaciones, las soluciones para endpoints con unas buenas funciones de monitorización y control de aplicaciones pueden ser la última línea de defensa de las empresas contra el ransomware.

1Figura 1: Ataques de ransomware y sus correspondientes soluciones

Sigue leyendo

Cerber: un ejemplo de ransomware que aprovecha las plataformas Cloud

A medida que se incrementa la adopción de los servicios cloud entre los usuarios finales, los cibercriminales están encontrando formas para abusar de ellos, utilizándoles como vectores para alojar y distribuir malware. En cambio, al dirigirse a plataformas de productividad basadas en cloud utilizadas por muchas empresas, los malhechores tienen la esperanza de convertir en víctimas a los usuarios que manejan datos sensibles de la empresa que cuando se les niega el acceso puede conllevar graves repercusiones para sus operaciones comerciales.

Un ejemplo de ello: el ransomware Cerber. Esta última variante, detectada por Trend Micro como RANSOM_CERBER.CAD, fue encontrada por haberse dirigido a usuarios de Office 365, particularmente a usuarios domésticos y a empresas.

1

Figura 1: Última variante de Cerber entrega cuatro notas de rescate: un archivo VBS  que sirve como la versión de audio de la nota de rescate, un archivo .url que abre por defecto el navegador web del sitio de pago, así como los archivos .html y .txt ( como se puede ver más arriba).

Sigue leyendo

¿Por qué funciona el ransomware? Psicología y métodos utilizados para distribuir, infectar y extorsionar

En mayo de 2016, los investigadores descubrieron un sitio de la Dark Web llamado The Hall of Ransom, al que se puede tener acceso a través de la red Tor, y que asegura tener una línea de productos y servicios relacionados con el ransomware que se venden a elevados precios.

A continuación Trend Micro explica por qué el ransomware está teniendo tanto éxito y las técnicas más empleadas para maximizar su distribución, el grado de infección y, especialmente, la extorsión con el consiguiente pago del rescate.

El sitio ofrecía al célebre Locky por 3.000 dólares, una variante que se calcula infectó 90.000 equipos diarios en febrero. Además de vender variantes de ransomware, The Hall también anunció la disponibilidad de una solución que se describe como una unidad USB que supuestamente se vende por 1.200 dólares – un “antídoto” único y que no puede copiarse, que promete liberar los archivos que Locky ha encriptado en las máquinas infectadas que corren sobre Linux o Windows. El sitio también presenta lo que se le ha denominado un “ransomware de nueva generación” llamado Goliath que puede comprarse por 2.100 dólares. Se ha descubierto que Goliath tiene un código abierto que se deriva de Locky, y que se ofrece a los “novatos” que están considerando entrar al negocio del crimen cibernético.

1 Sigue leyendo