Archivo de la categoría: Seguridad & Internet

Ransomware: pasado, presente y futuro

El ransomware es un tipo de malware que impide o limita el acceso de los usuarios a su sistema, ya sea bloqueando la pantalla del sistema o bloqueando los archivos de los usuarios a menos que se pague un rescate. Las familias de ransomware más modernas, categorizadas colectivamente como cripto-ransomware, cifran ciertos tipos de archivos en sistemas infectados y obligan a los usuarios a pagar el rescate mediante ciertos métodos de pago online para obtener una clave de descifrado.

LeaRansomware: pasado, presente y futuro

Precios de rescate y pago

Los precios de rescate varían dependiendo del tipo de ransomware y el precio o tipos de cambio de las monedas digitales. Gracias al anonimato percibido que ofrecen las criptomonedas, los operadores de ransomware suelen especificar pagos de rescate en bitcoins. Algunas variantes recientes de ransomware también han enumerado otras opciones como alternativas de pago como iTunes y las tarjetas de regalo de Amazon. Sin embargo, debe tenerse en cuenta que el pago del rescate no garantiza que los usuarios obtengan la clave de descifrado o la herramienta de desbloqueo necesaria para recuperar el acceso al sistema infectado o a los archivos secuestrados. El pago del rescate no significa nada.

Infección y comportamiento del ransomware

Los usuarios pueden encontrar esta amenaza a través de varios medios. El ransomware se puede descargar en los sistemas cuando los usuarios involuntariamente visitan páginas web maliciosas o peligrosas. También puede llegar como una carga liberada por otro malware. Algunos ransomware son conocidos por ser enviados como archivos adjuntos de correo electrónico no deseado -spam-, descargados desde páginas maliciosas a través de malvertisements (un tipo de amenaza que utiliza la publicidad online para propagar malware), o descargados por kits de exploit en sistemas vulnerables.

Una vez ejecutado en el sistema, el ransomware puede bloquear la pantalla del ordenador o, en el caso del cripto-ransomware, cifrar archivos predeterminados. En el primer escenario, una imagen o notificación en pantalla completa se muestra en la pantalla del sistema infectado, lo que impide que las víctimas utilicen su sistema. A la vez también se muestran las instrucciones sobre cómo se puede pagar el rescate. El segundo tipo de ransomware impide el acceso a archivos potencialmente críticos o valiosos como documentos y hojas de cálculo.

El ransomware se considera “scareware”, ya que obliga a los usuarios a pagar una cuota (o rescate) asustándolos o intimidándolos. En este sentido, es similar al malware FAKEAV, pero en lugar de capturar el sistema infectado o cifrar archivos, FAKEAV muestra falsos resultados de análisis antimalware para persuadir a los usuarios a comprar software antimalware falso.

Learn how to protect Enterprises, Small Businesses, and Home Users from ransomware:

ENTERPRISE »

SMALL BUSINESS»

HOME»

Historia y evolución del Ransomware

Primeros años

Los casos de infección por ransomware se vieron por primera vez en Rusia entre los años 2005 y 2006. Trend Micro publicó un informe sobre un caso en 2006 que involucraba una variante de ransomware (detectada como TROJ_CRYZIP.A) que comprimía ciertos tipos de archivos antes de sobrescribir los archivos originales, dejando solo los archivos zip protegidos con contraseña en el sistema del usuario. También creó un archivo de texto que actuó como la nota de rescate informando a los usuarios que los archivos se podían recuperar a cambio de 300 dólares.

En sus primeros años, el ransomware cifraba archivos concretos como DOC, .XLS, .JPG, .ZIP, .PDF, y otras extensiones comunes de archivos utilizadas.

En 2011, Trend Micro publicó un informe sobre una amenaza SMS ransomware que pedía a los usuarios de los sistemas infectados marcar un número de SMS premium. Detectada como TROJ_RANSOM.QOWA, esta variante mostró repetidamente una página de ransomware a los usuarios hasta que pagaron el rescate marcando un cierto número.

Otro informe remarcable incluía un tipo de ransomware que infecta el registro de arranque maestro (Master Boot Record (MBR)) de un sistema vulnerable, evitando que el sistema operativo se cargue. Para ello, el malware copia el MBR original y lo sobrescribe con código malicioso. A continuación, obliga al sistema a reiniciarse para que la infección surta efecto y muestre la notificación (en ruso) una vez que el sistema se reinicia.

Ver la infografía: Ransomware 101- Qué, Cómo y Por qué

El ransomware se expande fuera de Rusia

Las infecciones de ransomware se limitaron inicialmente a Rusia, pero su popularidad y su rentable modelo de negocio encontraron pronto camino en otros países de Europa. En marzo de 2012, Trend Micro observó una propagación continua de infecciones por ransomware en Europa y Norteamérica. Similar a TROJ_RANSOM.BOV, esta nueva ola de ransomware mostró una página de notificación supuestamente de la agencia de la policía local de la víctima en lugar de la típica nota de rescate (véase Reveton, Ransomware de la Policía más adelante).

Durante este período, se utilizaron diferentes tácticas para difundir ransomware. Un caso en 2012 implicó a la página web de una confitería francesa muy popular que se vio comprometida y expandió TROJ_RANSOM.BOV. Esta táctica de goteo causó amplias infecciones que se extendieron por Francia y Japón, donde la tienda también tenía una legión de seguidores importante. En lugar de la habitual nota de rescate, TROJ_RANSOM.BOV mostró una falsa noticia de la policía francesa Gendarmerie Nationale.

El ascenso de Reveton y el ransomware de la policía

Reveton es un tipo de ransomware que suplanta a los cuerpos y fuerzas de seguridad del Estado. Conocido como Ransomware de la Policía, Virus de la Policía o Troyanos de la Policía, estos malware se caracterizan por mostrar una página de notificación supuestamente de la agencia local de la policía a las víctimas, informándolas de que han sido capturados haciendo una actividad ilegal o maliciosa en la red.

Para saber qué organismo local es aplicable a los usuarios, las variantes de Reveton rastrean la ubicación geográfica de sus víctimas. Así, los usuarios afectados que viven en EE.UU. reciben una notificación del FBI, mientras que los que se encuentran en Francia se les muestra un aviso de la Gendarmería Nacional, o en España de la Policía Nacional.

Las variantes de Reveton también emplean un método de pago diferente en comparación con los primeros ataques de ransomware. Una vez que un sistema está infectado con una variante de Reveton, se pide a los usuarios que paguen a través de UKash, PaySafeCard o MoneyPak. Estos métodos de pago permiten el anonimato de los perpetradores del ransomware, ya que tanto Ukash como PaySafeCard tienen sistema de rastreo de dinero débil.

En 2012, se observaron diferentes tipos de variantes Reveton exhibiendo nuevas técnicas. Durante la última parte de ese año, Trend Micro informó sobre las variantes que reprodujeron una grabación de audio usando el idioma nativo de la víctima, y otra con un certificado digital falso.

La evolución de CryptoLocker y Cripto-ransomware

A finales de 2013, apareció un nuevo tipo de ransomware que cifraba los archivos, aparte de bloquear el sistema. Los archivos cifrados se aseguraban de que las víctimas se viesen obligadas a pagar el rescate incluso si el malware en sí se autoeliminaba. Debido a su nuevo comportamiento, fue bautizado como “CryptoLocker“. Al igual que los tipos de ransomware anteriores, el cripto-ransomware exige el pago a los usuarios afectados, esta vez para obtener una clave de descifrado y desbloquear los archivos. 




Aunque la nota de rescate en CryptoLocker solo específica “RSA-2048” como el método de cifrado utilizado, el análisis muestra que el malware utiliza cifrado AES + RSA.

RSA es una criptografía de clave asimétrica, lo que significa que utiliza dos claves. Una clave se emplea para cifrar los datos y otra se utiliza para descifrar los datos (una clave, llamada la clave pública, se pone a disposición de cualquier parte externa, la otra es mantenida por el usuario y se le llama clave privada). AES emplea claves simétricas, que utilizan la misma clave para cifrar y descifrar información.

El malware utiliza una clave AES para cifrar archivos. La clave AES para descifrar se escribe en los archivos cifrados por el malware. Sin embargo, esta clave está cifrada a su vez con una clave pública RSA integrada en el malware, lo que significa que se necesita una clave privada para descifrarla.

Otras investigaciones revelaron que una campaña de spam estaba detrás de las infecciones de CryptoLocker. Los mensajes de spam contenían archivos maliciosos pertenecientes a TROJ_UPATRE, una familia de malware caracterizada por su pequeño tamaño de archivo y su sencilla función de descarga. Descarga una variante de ZBOT, que luego descarga a su vez el malware de CryptoLocker.

A finales de 2013, surgió una nueva variante de CryptoLocker -con rutinas de propagación. Esta variante, detectada como WORM_CRILOCK.A, puede propagarse a través de unidades extraíbles, una rutina inaudita en otras variantes de CRILOCK. Esto significa que el malware puede expandirse fácilmente en comparación con otras variantes. La nueva modalidad no se basa en malware de descarga como CRILOCK para infectar los sistemas, sino que pretende ser un activador para el software utilizado en sitios de intercambio de archivos peer-to-peer (P2P). Las diferencias técnicas han llevado a algunos investigadores a creer que este malware fue producido por un imitador.

Otro tipo de ransomware con cifrado de archivos entró en escena. El cripto-ransomware conocido como CryptoDefense o Cryptorbit (detectado como TROJ_CRYPTRBIT.H) cifra bases de datos, web, Office, vídeo, imágenes, scripts, texto y otros archivos no binarios, elimina los archivos de copia de seguridad para evitar la restauración de archivos cifrados y pide un pago para obtener una clave de descifrado para los archivos bloqueados.

Incursión en el robo de Criptomoneda

El ransomware comenzó pronto a incorporar otro elemento: el robo de criptomoneda (por ejemplo, Bitcoin). En 2014, Trend Micro identificó dos variantes de un nuevo malware llamado BitCrypt. La primera variante, TROJ_CRIBIT.A, agrega “.bitcrypt” a cualquier archivo cifrado y muestra una nota de rescate en inglés. La segunda variante, TROJ_CRIBIT.B, agrega el nombre de archivo con “.bitcrypt 2” y utiliza una nota de rescate multilingüe en 10 idiomas. Las variantes de CRIBIT emplean los algoritmos de cifrado RSA (426) -AES y RSA (1024) -AES para cifrar los archivos y especifica que el pago por desbloquear archivos se debe realizar en Bitcoins.

Se descubrió que una variante del malware para robar información FAREIT, TSPY_FAREIT.BB, descarga TROJ_CRIBIT.B. Esta variante de FAREIT puede robar información de varios monederos de criptomonedas, incluyendo wallet.dat (Bitcoin), electrum.dat (Electrum) y .wallet (MultiBit). Estos archivos contienen información importante como registros de transacciones, preferencias de usuario y cuentas.

El exploit kit  Angler
En 2015, el exploit kit Angler era uno de los kits de exploits más populares y utilizados para propagar ransomware, y se utilizó de forma notable en una serie de ataques de tipo malvertisment a través de medios populares tales como sitios web de noticias y sitios localizados. Angler fue constantemente actualizado para incluir una serie de exploits de Flash, y era conocido por ser empleado en campañas destacadas tales como la fuga de Hacking Team y Pawn Storm. Debido a su fácil integración, Angler sigue siendo una opción frecuente como un medio para difundir ransomware.

POSHCODER: abuso de PowerShell
Entra en escena una nueva variante de las amenazas de ransomware y Cryptolocker que aprovecha la función de Windows PowerShell para cifrar archivos. Trend Micro detecta esto como TROJ_POSHCODER.A. Windows PowerShell es una función incorporada en Windows 7 y versiones posteriores. Los ciberdelincuentes a menudo explotan esta característica para hacer que las amenazas sean indetectables en el sistema y/o en la red.

POSHCODER utiliza cifrado AES y una clave pública RSA 4096 para cifrar dicha clave AES. Una vez que todos los archivos del sistema infectado están cifrados, muestra la siguiente imagen:

El ransomware infecta archivos críticos

Aunque que el cripto-ransomware ha pasado a ser muy popular entre los cibercriminales, esto no significa que otros tipos de ransomware hayan desaparecido de escena. El ransomware de la policía (también conocido como “virus de la policía”) todavía está haciendo de las suyas y sigue bloqueando pantallas de equipos infectadas con esta pantalla:

Lo que hace que este particular ransomware se diferente de otros ransomware de la policía es que se monta en malware parcheado para infectar los sistemas. El malware parcheado es cualquier archivo legítimo que ha sido modificado (mediante adición o inyección) con código malicioso. La modificación de un archivo legítimo puede ser ventajosa para los ciberdelincuentes, ya que la tasa de ejecución del código malicioso dependerá de la frecuencia de uso del archivo infectado.

Este ransomware también es llamativo por infectar user32.DLL, un conocido archivo crítico. La infección de un archivo crítico puede considerarse una técnica de evasión, ya que puede ayudar a prevenir la detección mediante herramientas de supervisión de comportamiento debido a la lista blanca. Además, la limpieza de archivos críticos como user32.DLL requiere un cuidado extra, ya que un error puede bloquear un sistema, lo que podría verse como un posible obstáculo para las herramientas de limpieza.

El user32.DLL infectado realiza una cadena de rutinas que termina con el ransomware cargado. También bloquea la pantalla del equipo infectado y proyecta una imagen de “rescate”, similar a los mensajes de ransomware de la policía anteriores.

En un par de años, el ransomware ha evolucionado pasando de una amenaza que se dirigía a los usuarios rusos, a un ataque que se extendió a varios países europeos y norteamericanos. Con un modelo de negocio rentable y un esquema de pago que permite el anonimato de sus operadores, se espera que el desarrollo del ransomware se acelere en los próximos años. Por lo tanto, es crucial para los usuarios saber cómo funciona el ransomware y cómo protegerse de la mejor forma posible de esta amenaza.

Archivos para cifrar
Los tipos anteriores de cripto-ransomware se dirigían a archivos.DOC, .XLS, .JPG, .ZIP, .PDF y a otros archivos comúnmente utilizados para cifrar. Los ciberdelincuentes han incluido desde entonces una serie de otros tipos de archivos críticos para los negocios, como son archivos de bases de datos, ficheros de páginas web, archivos SQL, archivos relacionados con impuestos, archivos CAD y archivos de escritorio virtuales.

El ransomware evoluciona: ransomware moderno
Después del paso al cripto-ransomware, el malware para extorsionar ha seguido evolucionando, agregando funciones como temporizadores de cuenta atrás, cantidades de rescate que aumentan a medida que pasa el tiempo y rutinas de infección que les permiten propagarse a través de redes y servidores. Los últimos avances demuestran cómo los agentes de la amenaza están experimentando con nuevas características, tales como ofrecer plataformas de pago alternativas para realizar los pagos de rescate y hacerlos más fáciles, establecer rutinas que amenazan con causar daños que provocan potencialmente la inhabilitación o paralizan a las víctimas que no pagan o nuevos métodos de distribución.

Algunas de las familias más notables de cripto-ransomware vistas en 2016 son: ver imagen a continuación o pinchando aquí):

LOCKY (RANSOM_LOCKY.A) – Descubierto en febrero de 2016, Locky se destacó por sus métodos de distribución, pues primero llegaba como un macro en un documento de Word y luego se propagó a través de Adobe Flash y Windows Kernel Exploits. Una de las familias de ransomware actualizadas de forma más activa, el ransomware Locky es conocido por eliminar copias de archivos en la sombra para inutilizar los backups locales, y es notorio por ser utilizado en múltiples ataques de alto perfil en los centros de salud e instalaciones hospitalarias.

PETYA (RANSOM_PETYA.D) – Visto por primera vez en marzo de 2016, PETYA sobrescribe el registro de arranque maestro (MBR) del sistema afectado y se sabe que se entrega a través de servicios legítimos de almacenamiento en la nube como Dropbox.

CERBER (RANSOM_CERBER.A) – Cuando se vio por primera vez a principios de marzo de 2016, CERBER fue importante por incorporar una función de “voz” que leía el mensaje de rescate. También se encontró que CERBER tenía un archivo de configuración personalizable que permite a los distribuidores modificar sus componentes, una característica común para el malware que se vende en el mercado negro. CERBER también es notorio por ser utilizado en un ataque que potencialmente expuso a millones de usuarios de Microsoft Office 365 a la infección.

SAMSAM (RANSOM_CRYPSAM.B) – Descubierto en marzo de 2016, SAMSAM se instala después de que los atacantes exploten vulnerabilidades en servidores sin parchear -en vez de  ir a las URL maliciosas habituales y correos electrónicos de spam- y los utiliza para comprometer otras máquinas.

JIGSAW (RANSOM_JIGSAW.I) – La primera variante de JIGSAW vista data de abril de 2016 y mezcló tácticas de intimidación eficaces con una rutina innovadora. Empleando las imágenes de la película Saw, la nota de rescate de Jigsaw cuenta con un temporizador de cuenta atrás para presionar a sus víctimas a pagar, con la promesa de aumentar la cantidad del rescate mientras borra partes de los archivos cifrados cada vez que el temporizador se agota. Variantes recientes de Jigsaw también incluyen una función de soporte a través de un chat que permite a las víctimas contactar con el ciberdelincuente.

El mayor ataque hasta la fecha
Aunque las rutinas de ransomware no son completamente nuevas, todavía funcionan y por lo tanto siguen siendo utilizadas. Un caso destacable lo encontramos en la variante de ransomware WannaCry/WCRY, que originalmente se propagó a través de URLs de Dropbox maliciosas integradas en el spam, esta dio un giro inesperado el pasado mes de mayo. Comenzó a explotar una vulnerabilidad recientemente parcheada en SMB Server, provocando el mayor ataque de ransomware hasta la fecha.

Incluso antes de que WannaCry dejara ver su fea cabeza, negocios y usuarios de a pie de todo el mundo ya habían estado sufriendo las graves consecuencias de la amenaza. Todo esto está documentado en una nueva investigación realizada por Trend Micro, fruto de la cual se extrae el informe: “Ransomware: pasado, presente y futuro”. Tan solo un año después, la compañía ha registrado un incremento del 752% en el número de familias de ransomware.

Mapa de distribución regional de amenazas de ransomware desde enero de 2016 a marzo de 2017

El futuro del Ransomware
No nos sorprenderá si el ransomware cambia en pocos años. En términos de potencial, puede convertirse en malware con capacidad para desactivar toda la infraestructura (crítica no solo para la operativa de los negocios, sino también de una ciudad o incluso una nación) hasta que se pague el rescate. Los cibercriminales pronto podrían buscar enfoques nuevos y objetivos como los sistemas de control industrial (ICS) y otras infraestructuras críticas para paralizar no solo las redes, sino también los ecosistemas. Un área clave que podría convertirse en un objetivo más grande para los ciberdelincuentes son los sistemas de pago, como se vio con el ataque a Bay Area Transit en 2016, donde los kioscos de pago del proveedor de servicio fueron objetivo del ransomware.

Hemos visto a los operadores de ransomware golpear hospitales y a proveedores de servicio de transporte. ¿Qué impediría a los atacantes dirigirse a objetivos aún más grandes como los robots industriales que se utilizan de forma generalizada en el sector industrial o a la infraestructura que conecta y con la que funcionan las ciudades inteligentes de hoy en día? La extorsión online está destinada a recorrer su camino tomando como rehenes desde a ordenadores y servidores a cualquier otro tipo de dispositivo conectado insuficientemente protegido, incluyendo dispositivos inteligentes o infraestructuras críticas. El retorno de la inversión (ROI) y la facilidad con la que los ciberdelincuentes pueden crear, lanzar y beneficiarse de esta amenaza asegurarán que continúe en el futuro.

La conexión con Bitcoin
A excepción de algunas familias de ransomware que demandan grandes cantidades en sus rescates, las variantes de ransomware suelen pedir entre 0,5 y 5 Bitcoins (desde 2016) a cambio de una clave de descifrado. Esto es importante por dos razones: algunas variantes aumentan el rescate a medida que transcurre el tiempo y no se produce el pago, y el tipo de cambio de Bitcoin está en aumento. En enero de 2016, 1 BTC valía 431 dólares. El valor de Bitcoin ha aumentado significativamente desde entonces, alcanzando los 1.082,55 dólares a finales de marzo de 2017.

Defensa, prevención y eliminación del ransomware:

Vídeo: https://www.youtube.com/watch?v=duSQShJ2098

Defenderse del Ransomware
No hay una fórmula mágica cuando se trata de detener el ransomware, pero un enfoque multicapa que le impida llegar a redes y sistemas es la mejor manera de minimizar el riesgo.

Para grandes empresas: Soluciones para el email y el gateway web como Trend Micro™ Deep Discovery™ Email Inspector e InterScan™ Web Security evitan que el ransomware llegue a los usuarios finales. A nivel de endpoint, Trend Micro Smart Protection Suites cuenta funciones de monitorización de comportamiento y control de aplicaciones, así como protección contra vulnerabilidades que minimizan el riesgo de infección por amenazas de ransomware. Trend Micro Deep Discovery Inspector detecta y bloquea el ransomware en redes, mientras que Trend Micro Deep Security™ evita que el ransomware llegue a los servidores corporativos, ya sean físicos, virtuales o cloud.

Para Pymes: Trend Micro Worry-Free Services Advanced ofrece seguridad para el gateway de correo basado en la nube a través de Hosted Email Security. Su protección para el endpoint también ofrece otras funciones como monitorización del comportamiento y un servicio de reputación web en tiempo real que detecta y bloquea ransomware.

Para usuarios domésticos: Trend Micro Security 10 aporta una protección robusta contra el ransomware mediante el bloqueo de sitios web, correos electrónicos y archivos maliciosos asociados con esta amenaza.

Prevención del ransomware:

  • Evitar abrir emails no verificados o pinchar en los vínculos incluidos en ellos.
    • Realizar copias de seguridad de los archivos importantes mediante la regla 3-2-1: cree 3 copias de seguridad en 2 medios diferentes con 1 copia de seguridad guardada en una ubicación separada.
    • Actualizar regularmente el software, programas y aplicaciones para protegerse contra las vulnerabilidades más recientes.

Herramientas y soluciones anti-ransomware
Trend Micro ofrece herramientas gratuitas como Trend Micro Lock Screen Ransomware Tool, que está diseñada para detectar y eliminar el ransomware que bloquea las pantallas. La solución Trend Micro Crypto-Ransomware File Decryptor Tool puede descifrar los archivos bloqueados de ciertas variantes de cripto-ransomware sin que se tenga que haber pagado el rescate o sin usar la clave de descifrado.

Si deseas información sobre los últimos ransomware más destacados, o consultar el listado de familias de ransomware más conocidas visita: https://www.trendmicro.com/vinfo/us/security/definition/ransomware

Visita la Enciclopedia de Amenazas para saber más sobre los ransomware más notables.

Trend Micro es galardonado con el Premio al Partner de Innovación Global de VMware

Trend Micro ha sido galardonado con el premio Global Partner Innovation Award de VMware 2017 en la categoría ISV Técnico. Trend Micro ha recibido este reconocimiento durante la celebración de VMware Partner Leadership Summit 2017, que ha tenido lugar en Ranchos Palos Verdes, California.

“Me complace reconocer a los ganadores del Global Partner Innovation Award de este año, premios que se otorgan a un selecto grupo de partners en reconocimiento a sus excepcionales esfuerzos en 2016”, comentó Ross Brown, vicepresidente senior de Partners y Alianzas Mundiales de VMware. “VMware se enorgullece de que Trend Micro sea el partner del año y esperamos que nuestra colaboración continúe”.

Desde 2011, VMware ha reconocido a Trend Micro año tras año con el Japan Partner Award. Sin embargo, este es el primer año en que la compañía ha recibido el galardón en la categoría de Global Technical Partner Award. Los ganadores de un Global VMware Partner Innovation Award han sido reconocidos en 21 categorías por su destacado rendimiento y los logros obtenidos durante 2016.

“Tenemos una larga trayectoria de innovación y éxitos con VMware”, señaló Partha Panda, vicepresidente de desarrollo empresarial y corporativo de Trend Micro. “Hace más de 10 años nos aliamos para llevar la seguridad moderna al centro de datos definido por software y a la nube, y desde entonces hemos mejorado continuamente nuestra relación. Hemos cosechado muchos éxitos gracias a la innovación conjunta de productos, actividades de ventas y la colaboración en el plano del soporte técnico. Estamos especialmente orgullosos de recibir un premio que reconoce la fuerza de nuestra alianza”.

Trend Micro Deep Security™, potenciado por XGen™, ha sido específicamente creado y optimizado para proteger a los clientes de VMware en todo el mundo. Los centros de datos modernos que utilizan productos VMware pueden proteger completamente sus entornos cloud híbridos de las últimas amenazas sin que ser ralenticen las operaciones comerciales. Además, Trend Micro recientemente integró Mobile Security for Enterprises con VMware Airwatch para proteger a las organizaciones de dispositivos móviles no seguros.

Sobre VMware Partner Leadership Summit

VMware Partner Leadership Summit 2017 es un encuentro que ha ofrecido a los partners de VMware la oportunidad de interactuar con los ejecutivos de la compañía y con sus homólogos del sector en búsqueda de oportunidades de negocio, casos de usuario con clientes, soluciones prácticas y mejores prácticas de asociación. En este evento, VMware Partner Leadership Summit 2017, se proporcionó a los partners recursos para desarrollar y poner en marcha planes integrales de lanzamiento al mercado en 2017 y en el futuro. El evento concluyó con la ceremonia de entrega de premios, un acto de reconocimiento a los logros ejemplares del ecosistema de partners de VMware.

Lo último sobre WannaCry, UIWIX, EternalRocks y ShadowBrokers

El ransomware se ha ganado la atención mundial en el transcurso de las dos últimas semanas debido a las enormes dimensiones de WannaCry. Después de los ataques iniciales, han aparecido UIWIX, Adylkuzz y ahora EternalRocks, que han entrado en escena aprovechando el mismo núcleo de vulnerabilidades.

El hilo común entre las tres amenazas es MS17-010, junto con otras herramientas y vulnerabilidades lanzadas por Shadow Brokers. Estos ataques no sólo explotan vulnerabilidades en los sistemas, sino que también aprovechan las principales luchas a las que se enfrentan todas las organizaciones con la administración y gestión de parches y las actualizaciones del sistema. Trend Micro propone echar un vistazo al impacto y plantea que se considere por qué estas amenazas están ocurriendo.

Pero primero, la compañía ofrece un cuadro comparativo entre los tres tipos de ransomware WannaCry, UIWIX y EternalRocks, que podrá ver de un vistazo:

WannaCry UIWIX EternalRocks
Vectores de ataque Vulnerabilidades SMB (MS17-010), TCP puerto 445 Vulnerabilidades SMB (MS17-010), TCP puerto 445 Vulnerabilidades SMB (MS17-010), cinco vulnerabilidades y dos herramientas, TCP Puerto 445
Tipo de archivo Ejecutable (EXE) Biblioteca dinámica de enlaces (DLL) Ejecutable (EXE)
Extensión añadida {nombre de archivo original }.WNCRY ._{id único}.UIWIX N/A
Arranque automático y mecanismos de persistencia Registro Ninguro Tareas programadas
Anti-VM, comprobación VM, o rutinas anti-sandbox Ninguno Comprueba presencia de VM y archivos o carpetas relacionados con sandbox Ninguno
Actividad de Red En Internet, escanea direcciones IP aleatorias para comprobar si tiene un puerto 445 abierto (Propagación); se conecta al sitio .onion usando el navegador Tor (comunicación C&C)  Utiliza mini-tor.dll para conectarse al sitio .onion (su C&C) para enviar infromación cifrada y recoger información (comunicación C&C) En Internet, busca direcciones IP aleatorias para comprobar si tiene un puerto 445 abierto  (Propagación); se conecta al sitio .onion usando el navegador Tor (comunicación C&C)
Excepciones (no se ejecuta si detecta ciertos componentes del sistema) Ninguno Se interrumpe si se encuentra ejecutándose en Rusia, Kazajstán y Bielorrusia N/A
Exclusiones (directorios o tipos de archivos que no cifra) Evita el cifrado de archivos en determinados directorios Evita el cifrado de archivos en dos directorios y archivos con ciertas cadenas en su nombre de archivo N/A
Escaneo de red y propagación Sí (se propaga como un gusano) No Sí (propagación como un gusano)
Kill switch No N/A
Número de tipos de archivos objetivo 176 Todos los archivos del sistema afectado excepto los de su lista de exclusión N/A
Elimina copias ocultas No N/A
Idiomas soportados (notas de rescate, sitio de pago) Multiidioma (27) Sólo inglés N/A

El impacto
En el último recuento, WannaCry solo había infectado 230.000 usuarios en unos 150 países. Sin embargo, dada la enorme extensión y variedad de estos malwares, el pago hasta ahora ha sido de sólo 110.000 dólares. Esto demuestra que el mayor impacto no fue financiero, sino físico. Las organizaciones de algunas industrias, incluida la sanitaria, se vieron obligadas a cerrar sus sistemas para detener la propagación del malware. Esto trae una amenaza digital al mundo físico y da impacto en el mundo real a estos ataques.

Sin embargo, EternalRocks no descarga ninguna carga maliciosa. A pesar de aprovechar cinco vulnerabilidades y dos herramientas de reconocimiento, no deja atrás ningún contenido malicioso. Aprovecha el exploit DoublePulsar que habilita una puerta trasera en el sistema infectado, probablemente para el uso posterior por parte de los agentes de la amenaza.

¿Por qué lo hacen?
Cuando los agentes de la amenaza entran en un sistema y no liberan una carga útil maliciosa, sacan el potencial de algo más que están dejando atrás a su vez. Es posible que los atacantes estén preparando la red para su uso futuro. También podría ser una maniobra de distracción, mientras se explotan otras vulnerabilidades cuando nadie las está vigilando.

La primera línea de defensa para todas estas amenazas es parchear los sistemas contra todas las vulnerabilidades difundidas y publicadas por ShadowBrokers. Trend Micro ofrece una variedad de soluciones, soporte y herramientas para ayudar a las organizaciones a protegerse y responder a estas amenazas.

Tras WannaCry, el ransomware UIWIX y el malware para la criptomoneda Monero siguen su ejemplo

El brote de ransomware WannaCry durante el fin de semana ha remitido al tener su dominio de kill switch registrado. Sin embargo, era cuestión de tiempo que otros ciberdelincuentes siguieran su ejemplo. Para muestra, un botón: la aparición del ransomware UIWIX (detectado por Trend Micro como RANSOM_UIWIX.A) y dos destacados troyanos han sido detectados por nuestros sensores.

UIWIX no es WannaCry
Al contrario de lo aparecido en recientes noticias citando a UIWIX como la nueva versión de WannaCry, nuestro análisis continuo indica que es una nueva familia que usa las mismas vulnerabilidades de Server Message Block (SMB) (MS17-010, con el nombre de código EternalBlue tras su divulgación pública por Shadow Brokers) que WannaCry explota para infectar sistemas, propagarse dentro de las redes y escanear Internet para infectar a más víctimas.

Entonces, ¿cómo es diferente UIWIX? Parece que no tiene archivos: UIWIX se ejecuta en memoria después de explotar EternalBlue. Las infecciones sin archivos no implican la escritura de archivos o componentes reales en los discos de los equipos informáticos, lo que reduce enormemente su huella y, a su vez, hace que la detección sea más complicada.
UIWIX es también más escurridizo, optando por auto-destruirse si detecta la presencia de una máquina virtual (VM) o sandbox. Según las cadenas de código de UIWIX, éste parece tener rutinas capaces de recopilar el acceso al navegador del sistema infectado, el Protocolo de Transferencia de Archivos (FTP), el correo electrónico y las credenciales de mensajería.

A continuación se resumen las características más destacadas de WannaCry y UIWIX:

 

WannaCry UIWIX
Vectores de ataque Vulnerabilidades SMB (MS17-010), TCP puerto 445 Vulnerabilidades SMB (MS17-010), TCP puerto 445
Tipo de archivo Ejecutable (EXE) Biblioteca dinámica de enlaces (DLL)
Extensión añadida {nombre de archivo original }.WNCRY ._{id único}.UIWIX
Arranque automático y mecanismos de persistencia Registro Ninguro
Anti-VM, comprobación VM, o rutinas anti-sandbox Ninguno Comprueba presencia de VM y archivos o carpetas relacionados con sandbox
Actividad de Red En Internet, escanea direcciones IP aleatorias para comprobar si tiene un puerto 445 abierto; se conecta al sitio .onion usando el navegador Tor  Utiliza mini-tor.dll para conectarse al sitio .onion
Excepciones (no se ejecuta si detecta ciertos componentes del sistema) Ninguno Se interrumpe si se encuentra ejecutándose en Rusia, Kazajstán y Bielorrusia
Exclusiones (directorios o tipos de archivos que no cifra) Evita el cifrado de archivos en determinados directorios Evita el cifrado de archivos en dos directorios y archivos con ciertas cadenas en su nombre de archivo
Escaneo de red y propagación Sí (se propaga como un gusano) No
Kill switch
Coste del rescate 300 dólares pagados en  Bitcoins 200 dólares pagados en Bitcoins

Figura 1: Test de archivos cifrados por UIWIX (izquierda) y una de las notas del rescate (derecha)

UIWIX utiliza un monedero Bitcoin diferente para cada víctima que infecta. Si la víctima accede a las URL de la nota de rescate, pedirá un “código personal” (que también aparece en la nota de rescate), y luego solicitará al usuario que se registre en un monedero Bitcoin.

Figura 2: site de pago de UIWIX

Otros malware que se cotizan en EternalBlue

Aparte de WannaCry y UIWIX, los sensores de Trend Micro también han detectado un troyano que se distribuye usando EternalBlue-Adylkuzz (TROJ_COINMINER.WN). Este malware convierte los sistemas infectados en zombis y roba sus recursos con el fin de proceder a extraer la criptomoneda Monero.

Revise y parchee sus sistemas y adopte mejores prácticas
UIWIX, al igual que muchas otras amenazas que explotan las brechas de seguridad, es una lección sobre el significado real de los parches. Las empresas deben equilibrar el modo en que mantienen la eficiencia de sus operaciones de negocio, al mismo tiempo que las protegen. Los administradores de TI/sistemas y los profesionales de seguridad de la información, sus centinelas, deben reforzar con bases sólidas que puedan mitigar los ataques que amenazan la integridad y la seguridad de sus sistemas y redes.

Dado que UIWIX utiliza el mismo vector de ataque que WannaCry, las mejores prácticas contra UIWIX y otras amenazas similares deben resultarnos familiares (e intuitivas):

  • Corregir y actualizar los sistemas y considerar el uso de la reparación o parcheo virtual
  • Habilitar los firewalls, así como los sistemas de detección y prevención de intrusiones
  • Supervisar y validar de forma proactiva el tráfico entrante y saliente del trabajo
  • Implementar mecanismos de seguridad para otros puntos de entrada que los atacantes pueden usar, como emaily las páginas web

 

  • Desplegar control de aplicaciones para evitar que los archivos sospechosos se ejecuten en la monitorización del comportamiento superior que puede frustrar las modificaciones no deseadas en el sistema.
  • Emplear la categorización de datos y la segmentación de red para mitigar la exposición adicional y el daño a los datos

 

Trend Micro mantendrá actualizados los detalles sobre este ransomware a medida que continúe la evolución de sus análisis y disponga de más información.

 

Las soluciones de Trend Micro

Trend Micro OfficeScan™ con XGen endpoint security aplica high-fidelity machine learning con otras tecnologías de detección e inteligencia global de amenazas para proteger de forma integral contra el ransomware y otras amenazas. Las soluciones de seguridad de Trend Micro que incluyen Predictive Machine Learning y todas las funciones de protección más relevantes contra el ransomware habilitadas ya están protegidas contra amenazas como UIWIX y WannaCry.

Trend Micro Deep Security™ y Vulnerability ProtectionDeep Discovery™ Inspector, TippingPoint y Trend Micro Home Network Security protegen a usuarios y negocios contra estas amenazas.

Indicadores de compromiso

146581F0B3FBE00026EE3EBE68797B0E57F39D1D8AECC99FDC3290E9CFADC4FC (SHA256) — detectado como RANSOM_UIWIX.A

Dominios de Comando y Control (C&C) relacionados para TROJ_COINMINER.WN:

  • 07[.]super5566[.]com
  • aa1[.]super5566[.]com

WannaCry y la realidad de los parches

Autor: Mark Nunnikhoven, vicepresidente de Cloud Research, Trend Micro

La variante de ransomware WannaCry del 12 de mayo de 2017 ha sido diseñada para aprovechar los desafíos de seguridad más comunes a los que se enfrentan las grandes organizaciones hoy en día. A partir de un phishing básico, esta variante utiliza una reciente vulnerabilidad (CVE-2017-0144/MS17-010) para propagarse sin control a través de las redes internas más débiles, causando estragos en grandes organizaciones.

Consulte este post del NYT https://t.co/K7lVjagq29

— MalwareTech (@MalwareTechBlog) May 13, 2017

La reacción intuitiva de los que estaban al margen era, comprensiblemente, preguntarse “¿Por qué no han parcheado sus sistemas?” Como la mayoría de los problemas en el mundo digital, esto no es tan simple. Si bien es fácil culpar a las víctimas, esta campaña de ransomware realmente pone de relieve los principales desafíos a los que se enfrentan los defensores.

No es el último zero-day, un parche para MS17-010 estaba disponible 59 días antes del ataque -o del atacante persistente. Uno de los mayores retos a los que se enfrenta la comunidad de seguridad hoy en día es comunicar eficazmente la ciberseguridad dentro del contexto más amplio del negocio.

Parchear… Ahora

Un dicho popular en la comunidad de seguridad es que el parcheo es tu primera línea de defensa. A pesar de esto, no es raro que pasen 100 días o más para que las organizaciones implementen un parche. ¿Por qué?

Es complicado. Pero la razón puede ser reducida aproximadamente al hecho de que las TI son críticas para el negocio. Las interrupciones del negocio son frustrantes y costosas.

Desde la perspectiva del usuario, la frustración es creciente cuando hablamos de la temida “Configuración de actualizaciones. 25% completo. No apague la pantalla del ordenador”. El constante aluvión de actualizaciones es agotador y se interpone en el camino del trabajo. Lo que empeora las cosas es la naturaleza impredecible del comportamiento de la aplicación después del parche.

Hace unos 10 años, las “mejores prácticas” se formaron alrededor de amplias pruebas de parches antes de desplegarlos. En ese momento, el principal aliciente estaba en la calidad del parche. No era infrecuente que un parche bloqueara un sistema. Hoy en día, los parches de vez en cuando causan este tipo de problemas, pero son la excepción no la regla.

El mayor reto ahora son las aplicaciones personalizadas y de terceros que no siguen las prácticas de codificación recomendadas. Estas aplicaciones pueden basarse en características no documentadas, comportamientos únicos o accesos directos que no se admiten oficialmente. Los parches pueden cambiar el paisaje que hace que las aplicaciones empresariales críticas sean inutilizables también hasta que pueden ser parcheadas.

Este ciclo es el motivo por el cual la mayoría de los negocios se adhieren a las prácticas tradicionales de probar parches, lo que retrasa significativamente su implementación. Invertir en pruebas automatizadas para reducir el tiempo de implementación es caro y un coste difícil de justificar dada la larga lista de áreas que necesitan atención dentro de la infraestructura de TI.

Este constante río de parches dificulta que las organizaciones evalúen realmente los riesgos y desafíos de implementar parches de seguridad críticos.

El peso de lo heredado

El argumento en torno al parche supone, por supuesto, que un parche está realmente disponible para resolver el problema. Este es el día cero o zero-day. Si bien la amenaza de los zero-day es real, los ciclos de parches largos significan que a los 30 días, a los 180 días y los días siguientes las probabilidad de que se produzca utilice un ataque zero-day es más alta. El informe sobre Investigaciones de Brechas de Datos de Verizon constantemente destaca cuántas organizaciones son violadas usando exploits de vulnerabilidades parcheables.

La campaña de WannaCry utilizó una vulnerabilidad que se conocía públicamente desde hacía 59 días. Lamentablemente, seguiremos viendo explotada esta vulnerabilidad durante las próximas semanas, si no son meses.

Para empeorar las cosas, el MS17-010 sólo se actualizó o parcheó en plataformas compatibles. Una posición que Microsoft ha invertido desde entonces y ha publicado un parche para todas las plataformas afectadas (les felicitamos por hacer esa llamada). Aunque es lógico proporcionar parches para las plataformas soportadas, la realidad es que el número “soportado” es muy diferente al número “desplegado”.

 

 

Sabemos que Windows XP, Windows Server 2003 y Windows 8 continúan vivos, algunos informes contabilizan el 11,6% de los escritorios de Windows y el 17,9% de los servidores de Windows. Estas cifras representan una gran cantidad de sistemas vulnerables que necesitan ser protegidos.

Hay soluciones de seguridad de terceros (algunas de Trend Micro) que pueden ayudar a resolver el problema, estos sistemas heredados son un peso para continuar en la senda del progreso. A medida que un sistema envejece, es más difícil de mantener y representa un mayor riesgo para la organización.

El malware, al igual que la variante del 12-May-2017 WannaCry, aprovecha este hecho para maximizar el éxito y su ataque… y sus beneficios potenciales.

Los equipos de seguridad necesitan ayudar al resto de los equipos de TI y explicar la necesidad de invertir en la actualización de la infraestructura heredada. Es un argumento para el que es difícil lograr el éxito. Después de todo, los procesos de negocio se han adaptado a estos sistemas y desde un proceso de carga de trabajo, son fiables.

El desafío está en cuantificar el riesgo que plantean (mantenimiento y seguridad) o al menos poner este riesgo en la perspectiva adecuada para tomar una decisión de negocio informada.

Crítico… Pero real

Con demasiada frecuencia, las vulnerabilidades son señaladas como críticas. 637 y seguimos contando hasta ahora en 2017, que es un ritmo más rápido que las 1.057 reportadas en 2016 (¡y estos números son sólo para vulnerabilidades explotables de forma remota!). Su organización no va a verse afectada por todo esto, pero es justo decir que enfrentará una decisión sobre una vulnerabilidad crítica una vez al mes.

Para tomar la decisión de interrumpir el negocio, usted va a tener que evaluar ese impacto. Aquí es donde las organizaciones tienden a vacilar. Es extremadamente difícil reducir una la decisión a números.

En teoría, usted debe considerar el coste del tiempo de inactividad (al implementar el parche) y compararlo con el coste de una violación. Ponemon e IBM tienen el coste de una brecha de datos en 2016 en un promedio de 4 millones de dólares (el 4% del volumen de negocios mundial para las empresas de la UE). Esto significa que siempre se deben aplicar parches a menos que el tiempo de inactividad cueste más de 4 millones de dólares.

Excepto que no se tiene en cuenta la probabilidad de que ocurra la infracción o el coste  de usar el control de seguridad para mitigar el problema. Aquí es donde la cosa se pone realmente complicada y altamente individualizada.

El debate sobre cómo evaluar adecuadamente esta decisión se acrecienta en la comunidad de TI, pero específico para WannaCry, la ecuación era realmente bastante sencillo.

Microsoft publicó MS17-010 en marzo de 2017 y lo consideró como crítico. Un mes más tarde, se produjo un volcado de datos muy alto y se hizo público que contenía una vulnerabilidad de fácil comprensión y ejecución para explotar las vulnerabilidades parcheadas por MS17-010. En este punto, el equipo de seguridad puede garantizar que su organización verá ataques aprovechando esta vulnerabilidad.

Eso pone la probabilidad de ataque al 100%. Así que a menos que vaya a costar 4 millones parchear sus sistemas, el parche debe ser desplegado de inmediato.

Mitigación

Los sistemas sin parchear todavía necesitan ser protegidos. Con WannaCry, todos los sistemas afectados ahora, y de nuevo, son parcheables, gracias a un generoso movimiento de Microsoft. Con otras amenazas de malware, no se da este caso por lo general.

Aquí es donde las mitigaciones entran en juego. Estas mitigaciones también ganan tiempo para que los parches se desplieguen.

WannaCry es un sólido ejemplo de una nueva variante que causó daños significativos antes de que el escaneo tradicional antimalware se pudiera implementar. Aquí es donde los modelos de aprendizaje automático y análisis de comportamiento que se ejecutan en el punto final endpoint son críticos.

Estas técnicas proporcionan una protección continua e inmediata contra las nuevas amenazas. En el caso de WannaCry, los sistemas con este tipo de protección para el endpoint no se vieron afectados. Tras un análisis más profundo por parte de la comunidad de seguridad, los controles tradicionales fueron capaces de detectar y evitar que la última variante de WannaCry echara raíces.

Cuando en su lugar, fuertes controles de red (como la prevención de intrusiones) fueron capaces de bloquear la propagación indiscriminada de WannaCry a través de las redes corporativas. Este es otro argumento para la microsegmentación dentro de la red.

Por último, los correos electrónicos de phishing siguen siendo el método más eficaz de distribución de malware. 79% de todos los ataques de ransomware en 2016 comenzaron a través de phishing.

La exploración enérgica de los correos electrónicos para detectar las amenazas y la implementación de gateways web sólidos son una necesidad.

Protegiendo contra la próxima amenaza

WannaCry es una amenaza que se mueve rápido y que ha tenido un impacto significativo en el mundo real. En el proceso, han quedado expuestos desafíos fundamentales de la ciberseguridad del mundo real.

La aplicación de parches es un problema crítico y necesita que toda la organización de TI trabaje con el resto del negocio para ser efectiva. Año tras año, la mayoría de los ataques se aprovechan de vulnerabilidades que pueden parcheables. Esto significa que la mayoría de los ciberataques son actualmente prevenibles.

El parcheo rápido combinado con razonables controles de seguridad para mitigar las amenazas nuevas y las existentes son lo que primero necesita su organización para reducir su riesgo a la hora de operar en el mundo digital.

Si bien el problema y las soluciones son de naturaleza técnica, el trabajo se inicia con las comunicaciones. No hay mejor momento para empezar que ahora.

¿Qué piensas de los sistemas y parches antiguos? ¿Cómo se están abordando estas cuestiones en su organización? Coméntamelo en Twitter, a través de @ marknca.

[Nota a los editores: Nuevamente, para obtener la información más reciente de WannaCry relacionada con los productos de Trend Micro, por favor, lea este artículo de soporte.]

http://blog.trendmicro.com/wannacry-reality-of-patching/