TorrentLocker ataca objetivos italianos

Joseph C Chen (Investigador de Fraudes)

Hemos descubierto recientemente una nueva variante de ransomware, TorrentLocker, dirigido a aproximadamente 4.000 organizaciones y empresas italianas. TorrentLocker pertenece a la familia ransomware (CryptoLocker), y también cifra diversos archivos y obliga a los usuarios a pagar una suma de dinero. TorrentLocker utiliza la red de anonimato TOR para ocultar su tráfico de red, lo que puede haber sido el origen de su nombre.

La citada amenaza utiliza un correo electrónico spam escrito en italiano con varias plantillas como parte de sus tácticas de ingeniería social. Traducido al Inglés, estos mensajes dicen:

1. Su pregunta se ha hecho en el foro {día} / {mes} / {año} {hora}. Para la respuesta detallada consulte la siguiente dirección: {enlace malicioso}

2. Se le envió una factura que debe pagar antes de {día} / {mes} / {año}. Detalles encontrados: {enlace malicioso}

3. Su solicitud ha sido iniciada para revisar el pago {enlace malicioso}

1

1 Muestra de correo electrónico spam

Todos los mensajes contienen un enlace que lleva a un archivo zip. Descomprimir el archivo de almacenamiento produce un archivo disfrazado como documento PDF. Los archivos PDF son muy normales en las empresas, y como tal, los empleados que reciben este mensaje spam puede llegar a pensar que esto es legítimo.

2

2 Captura de pantalla del archivo vinculado

Algunos de los archivos de almacenamiento tienen nombres como Versamento.zip, Transazione.zip, Compenso.zip o Saldo.zip. Estos nombres de archivo se traducen como pago, transacción, compensación y saldo, respectivamente. Sin embargo, en lugar de un archivo PDF, estos archivos son en realidad una variante CryptoLocker detectado por Trend Micro como TROJ_CRILOCK.YNG.

Al igual que en otras variantes, Cryptolocker cifra una gran variedad de tipos de archivo, incluyendo .DOTX, DOCX, DOC, TXT, PPT, .PPTX y .XLSX, entre otros. Todos estos tipos de archivo están asociados con los productos de Microsoft Office y se utilizan comúnmente en las operaciones diarias de las empresas.

Para recibir la herramienta de descifrado para supuestamente recuperar archivos cruciales los los usuarios necesitan para pagar el rescate en Bitcoins. En una de las muestras que encontramos pidieron un rescate de 1.375 BTC

4

3 y 4. Imágenes de ransomware (Click para ampliar)

Los usuarios italianos son los más afectados por este particular spam, ya que la mitad de todos los mensajes de spam que se identifican con este tipo de spam fueron enviados a usuarios en Italia. La cuarta parte provino de Brasil, con otros países que representan el resto. En su pico, varios miles de usuarios se vieron afectados al día.

5

5. Distribución de los objetivos TorrentLocker globalmente

6

6. Número de objetivos afectados al día

Protegemos a nuestros usuarios contra esta amenaza mediante el bloqueo de las diferentes fases de esta amenaza. Además de bloquear los diversos mensajes spam, bloqueamos también las URL maliciosas y detectamos los archivos maliciosos utilizados en este ataque.

Los hash del archivo vistos en este ataque incluyen:

  • 050b21190591004cbee3a06019dcb34e766afe47
  • 078838cb99e31913e661657241feeea9c20b965a
  • 6b8ba758c4075e766d2cd928ffb92b2223c644d7
  • 9a24a0c7079c569b5740152205f87ad2213a67ed
  • c58fe7477c0a639e64bcf1a49df79dee58961a34
  • de3c25f2b3577cc192cb33454616d22718d501dc

Información adicional de Grant Chen

Guía visual de la Ley de Protección de Datos de la UE

En 2015, 28 estados miembros europeos desarrollarán un conjunto de leyes de protección de datos a través de una Directiva que busca definir los datos personales, aplicar sanciones a los delitos, respetar el derecho a ser olvidado y más. Por esto, las empresas están ahora debatiendo cómo afectará esto a la forma de hacer negocios, sobre todo en términos de cómo se manejará la información del cliente.
En su lugar, la Comisión Europea señala que toda persona tiene derecho a la protección de datos personales. Esto es especialmente importante en estos días, cuando la pérdida de los datos personales y los delitos por violación de datos van en aumento. Una reciente investigación sobre delitos de violación de datos en Europa asegura que unos 645 millones de registros personales se perdieron entre 2005 y 2014. Sin embargo, y pese a la cobertura mediática de los delitos por violación de los datos y la privacidad personal, más de un tercio (36%) de los ciudadanos de Europa ni siquiera conoce el Reglamento de Protección de Datos de la UE.

Las nuevas normas se remontan a una directiva de protección de datos de 1995 y sus posteriores enmiendas. Incorporan los cambios realizados después de eventos de alto impacto y se reclaman por las normas de privacidad más estrictas dadas las regulaciones de protección de datos existentes.

Las nuevas leyes de protección de datos integran el “derecho al olvido”, que fue ratificado por una decisión a favor en el segundo trimestre de 2014. Esto permite a los usuarios solicitar a los buscadores que eliminen los resultados de búsqueda relacionados con ellos. Además, se exigirá a las empresas que pidan explícitamente al usuario su consentimiento en el tratamiento de los datos, en lugar de asumir que está deacuerdo. Las infracciones dejarán de ser secretas para los clientes porque la nueva normativa marca que la notificación debe hacerse dentro de 24 horas después de la infracción o el delito.
Los legisladores sostienen que una vez que las nuevas normas entren en vigor, la economía digital de Europa tendrá una mejora significativa en y la protección de datos será “a prueba de futuro.” Esto considera los retos digitales que puedan surgir en el ámbito tecnológico, en constante cambio en Europa. Estos desafíos pueden surgir de la información personal transmitida a través de la computación en nube, el aumento de las revelaciones on line de los datos de carácter personal a los sitios web, así como la adopción continuada de los pagos en línea y otros avances tecnológicos. Conozca cómo puede preparar a su empresa para la nueva normativa de protección de datos de la UE mediante la visualización de la siguiente infografía: El Reglamento de Protección de Datos de la UE

eu-data-protection

 

La privacidad de los datos en los negocios: parte del negocio

Las recientes filtraciones de datos en grandes empresas como grandes bancos y cadenas minoristas dejan una cosa clara: la privacidad y protección de datos es una preocupación para todas las organizaciones, no sólo para las grandes. Si las grandes empresas con muchos recursos disponibles pueden estar afectadas por ataques y perder sus datos, las organizaciones más pequeñas sin estos recursos también están en riesgo.

Los usuarios no sólo están preocupados acerca de si sus datos están seguros; hoy también les preocupa si sus datos serán utilizados correctamente por las empresas con las que tratan. La preocupación entre los usuarios sobre la privacidad ha ido en aumento.

Las estadísticas así lo demuestran. Una encuesta realizada en marzo de 2014 por la empresa de investigación de mercado GfK destacó la significativa y creciente preocupación de los consumidores acerca de sus datos personales. El 49% de los encuestados está “muy” preocupado por cómo se protegieron sus datos, el 60% de los encuestados declaró que su preocupación ha aumentado en los últimos 12 meses.

Los consumidores también están tomando medidas. Un estudio de 2014 de Radio Mundial reveló que el 69% de los encuestados haría menos negocios con una empresa que sabía había sido violada; el 67% trataría sólo haría negocios con empresas que a su juicio podían manejar sus datos. Las consecuencias para las empresas son claras.

Así que, ¿qué deben hacer las empresas? En primer lugar, es necesario reconocer que la protección de datos es ahora una parte importante de los negocios. Esto significa que, efectivamente, deben acercarse a esto como algo importante, y no sólo como un dolor tolerable.

Para ello, las organizaciones deben primero hacer balance, recordar exactamente lo que están protegiendo y considerar lo que es más importante, es decir, sus datos fundamentales. Estos deben ser protegidos con los mejores recursos disponibles. Tenga en cuenta que los niveles de protección necesarios pueden cambiar, dependiendo de la normativa (como la futura normativa de protección de datos en la Unión Europea).

La normativa local en materia de protección de datos puede variar significativamente. En los Estados Unidos, no hay ley integral que abarque todos los sectores. En cambio, en su lugar está la legislación de la industria, como el Health Insurance Portability and Accountabililty Act (HIPAA).

En otros países, existen regulaciones más amplias que cubren todos los sectores más comunes. Por ejemplo, los países de la Unión Europea pronto serán cubiertos por el Reglamento General de Protección de Datos de la UE, que exige normas a escala comunitaria sobre protección de datos. Japón tiene leyes similares en forma de Ley de Protección de Datos de Carácter Personal, que se remonta a 2003.

Sin embargo, no todas las organizaciones entienden realmente estos reglamentos: en la UE, sólo el 13% de las empresas calificó de “muy buenas” las próximas regulaciones. Esto a pesar del hecho de que, por ejemplo, en las empresas de la UE se puede ser multado con hasta un 5% de su facturación anual si se violan las regulaciones propuestas.

Enfoques similares se deben tomar para mitigar las preocupaciones sobre la privacidad. Asegúrese de que los datos que está recopilando se utiliza correctamente y de tal manera que no se perciba como “escalofriante” por los usuarios finales. La misma protección de datos que se hace para los datos básicos se debe aplicar aquí también: los usuarios finales no con vistos con buenos ojos por las empresas que no protegen los datos de sus clientes.

Al final, la protección de datos no se reduce sólo a los aspectos técnicos, sino a que las organizaciones deciden lo que es importante. Cerca de un nuevo año, las empresas pueden aprender de los muchos incidentes de 2014 y garantizar que sus propias organizaciones no sean víctimas de ataques similares. Para saber más sobre la ley de protección de datos, lea nuestra infografía, The Road to Compliance: A visual Guide to the EU Data Protection Law

Trend Micro protege los datos del usuario a través de su tecnología integrada de prevención de pérdida de datos que protege los datos que se encuentran en puestos de trabajo, servidores, redes, e incluso en la nube. También protege la transferencia de datos entre ubicaciones y viene con gestión de la política central, que no requiere la instalación de diferentes tecnologías a través de seguridad multicapa.

Sandworm y SCADA

Al hilo de la noticia de que la vulnerabilidad “sandworm” (CVE-2014-4.114) se está utilizando en ataques contra la Organización del Tratado Atlántico Norte (OTAN) y varias industrias europeas, los investigadores de Trend Micro Kyle Wilhoit y Jim Gogolinski y el resto del equipo de Trend Micro FTR han descubierto nuevos y preocupantes ataques que utilizan esta vulnerabilidad. Nuestros investigadores acaban de encontrar ataques activos contra las organizaciones que utilizan el software de control de supervisión y adquisición de datos (SCADA), como un primer paso evidente en los ataques dirigidos de estilo APT.
Estos ataques se dirigen a PCs con Microsoft Windows que funcionan con la suite CIMPLICITY HMI con un spear phishing. El mail tiene un archivo adjunto malicioso que se abre en la aplicación CIMPLICITY e intenta aprovechar esta vulnerabilidad “sandworm” en Microsoft Windows. Si el ataque contra el sistema Microsoft Windows CIMPLICITY tiene éxito, intenta descargar el malware Black Energy en el sistema.
Black Energy es una familia de malware asociado con ataques dirigidos que controla por completo y de forma remota un sistema comprometido. Dos miembros de la familia de malware Black Energy BLACKEN.A y BLACKEN.B ya se han visto en otros ataques que utilizan la vulnerabilidad “sandworm”.
Otro tema interesante que nuestros investigadores han encontrado es que los mails de spear phishing parecen venir de Oleh Tiahnybok, un político ucraniano con claros puntos de vista anti-rusos.
Microsoft ha lanzado una actualización de seguridad que protege contra los intentos de aprovechar la vulnerabilidad  “sandworm”, MS14-060. En base a la actividad actual y anterior, esta actualización de seguridad debe ser una prioridad para el despliegue inmediato tan pronto como sea posible, especialmente en aquellos sectores de infraestructuras críticas.
Trend Micro ofrece protección contra esta vulnerabilidad con Trend Micro Deep Security y Office Scan con el plugin de Intrusion Defense Firewall (IDF). También ofrecemos protecciones contra BLACKEN.A y BLACKEN.B través de Office Scan y nuestros otros productos de seguridad de end point.
Puede encontrar información más detallada sobre la vulnerabilidad “sandworm” en este post y más detalles de nuestras investigaciones en estos nuevos ataques centrados en SCADA aquí.

¿Están sus datos seguros en el Internet de todo?

Prefiero usar el término “Internet de todo”para lo que la mayoría dela gente llama Internet de las cosasporque en muchos sentidos, este último términono es suficiente.Lo que hace a Internetdetodo tanpoderosoes lainformación que sobre usted y sobre mí recopilan los dispositivos.

Piense en cómo funcionan  realmente estos dispositivos. Casi siempre tienen que “llamar a casa” a algún servidor central gestionado por el proveedor de servicios. Esto significa que todo lo que hace el dispositivo es visto por el proveedor. Tiene que confiar que sus datos van a estar seguros y no se les va a dar un mal uso.

Por desgracia, hay muchas formas de que sus datos sean mal utilizados o estén en riesgo. Por ejemplo, los propios dispositivos pueden no ser seguros y estar en el punto de mira de un atacante. Los módulos que son utilizados por estos dispositivos, normalmente de código abierto, son susceptibles de ser atacados en el tiempo, y el proveedor puede que no piense demasiado sobre cómo obtenerlos y actualizarlos de forma rápida y sin problemas. Incuso los servidores pueden ponerse en riesgo ellos mismos y romper la brecha de seguridad de un ataque dirigido.

Esto sin ni siquiera entrar en lo que el proveedor de servicio puede hacer con sus datos. En realidad, no es consciente de la magnitud de los datos que un dispositivo Internet de las cosas puede tiene hasta que no lee la política de privacidad. Estas políticas son, sin embargo, difíciles de comprender, y pueden cambiar sin ningún tipo de notificación alconsumidor.

Las políticas de privacidad pueden, al menos,decir qué datos se recopilan pero, en general, no revelan todo de lo que se puede hacer con su información. Por ejemplo, muchas tienen disposiciones que establecen que sus datos serán utilizados para enviar a los proveedores. En la práctica, esta generalización se puede utilizar como base jurídica para justificar muchas maneras diferentes de utilizary posiblemente explotar sus datos.

¿Qué deben hacer los usuarios? Antes de comprar un dispositivo de hardware conectado a Internet, asegúrese de que está deacuerdo con el hecho de que todos los datos que les proporciona, potencialmente, pueden ser almacenados en servidores no seguros en los centros de datos de diferentes países, durante un largo período de tiempo. Sus “datos personales en reposo”  en los servidores del fabricante representan un mayor riesgo para usted según pasa el tiempo. Algunos de los riesgos incluyen la posibilidad de violaciones de datos,  intercambio o reventa de datos, junto con el abandono general de los datos en escenarios tales como fallos en la seguridad de la empresa, o sucesos como venta o fusión de la empresa.

Si usted es el tipo de consumidor preocupado por su privacidad, le recomendamos que averigüe qué tipo de datos (información personal identificable, credenciales de usuario, etc) está siendo recopilada en su dispositivo y enviada al proveedor investigando ventas / soporte del fabricante. Y si usted está pensando en diferentes proveedores de servicios, compare sus políticas de privacidad y vea con cuál está más deacuerdo. Revisar su política de privacidad puede ser un buen comienzo para ser consciente de lo que otros pueden estar haciendo con sus datos.

Tenga en cuenta también que muchas start up pueden no haber fomalizado su modelo de negocio aún. Sus datos son parte clave en la forma en que constituyen o monetizan el servicio que proporcionan. Estas cuestiones pueden ocasionar el mal uso de sus datos. Se podría argumentar que una empresa que está cobrando más por su servicio es menos propensa a monetizar el empleo de sus datos, pero de nuevo no hay garantía – los datos son clave en el Internet de las Cosas. Una empresa más seria que tiene una marca que proteger puede ser mejor opción, aunque esto no está plenamente garantizado.

Para saber más sobre cómo estar seguros en el Internet de Todo, lea nuestras “Consideraciones de seguridad para los consumidores que compran dispositivos Smart Home”, que pueden servir de guía en la toma de decisiones sobre los dispositivos conectados a Internet que usted introduce en su vida diaria.