Archivo de la categoría: Trend Micro

Trend Micro lanza un nuevo fondo de capital riesgo con 100 millones de dólares

Trend Micro ha anunciado el lanzamiento de un fondo de capital de riesgo corporativo para explorar el mercado de las tecnologías emergentes. Con una inversión inicial de 100 millones de dólares, este fondo de riesgo permitirá a Trend Micro ampliar la cartera de startups que están desarrollando nuevas ideas y se encuentran en el epicentro de los mercados del hipercrecimiento, como es el Internet de las Cosas (IoT).

Según las previsiones de Gartner, estos dispositivos conectados a Internet crecerán exponencialmente hasta alcanzar los 26.000 millones en 2020.

Eva Chen, CEO y fundadora de Trend Micro, señala: “El objetivo de Trend Micro siempre ha sido hacer del mundo de los intercambios de información digital un lugar seguro. El boom de dispositivos está transformando nuestra forma de trabajar, de pensar y actuar. Este ecosistema seguirá evolucionando y debemos continuar trabajando para que organizaciones e individuos puedan operar y vivir seguros en esta nueva realidad”.

Trend Micro ofrecerá respaldo financiero a las compañías, acceso a alianzas estratégicas, a su inteligencia mundial de amenazas globales, así como a su canal de más de 28.000 partners.

A cambio, esta inversión permitirá descubrir oportunidades en ecosistemas emergentes, modelos de negocio disruptivos y nichos de mercado, así como identificar la escasez de competencias. Además, este aprendizaje influirá en el plan de soluciones de ciberseguridad de Trend Micro.

“Llevamos 29 años anticipándonos con éxito a las tendencias tecnológicas, asegurando todo tipo de entornos”, dice Chen. “La primera gran ola la cogimos con el crecimiento del mercado de los PC, nos comprometimos desde el principio con la protección del endpoint y a día de hoy seguimos siendo líderes en el Cuadrante Mágico de Gartner para Plataformas de Pprotección Endpoint. Luego nos lanzamos con la nube, haciendo una apuesta temprana y hasta ahora hemos asegurado más de dos mil millones de horas de carga de trabajo en Amazon WebServices (AWS). Ahora, creemos que el futuro está en IoT y esta inversión nos ayudará a aprovechar esta oportunidad”.

Con una sólida posición financiera y 72 trimestres de rentabilidad consecutiva, Trend Micro está bien posicionada para invertir en investigación y mercados, y lograr sólidos avances en su estrategia corporativa. Esta nueva área de inversión y este proyecto permite a la compañía sumergirse en nuevos horizontes con mayor libertad, sin perturbar sus principales recursos.

Compromiso del proceso de negocio (BPC)

Los ataques clasificados como business process compromise (BPC) o de compromiso de los  procesos de negocio, alteran en silencio partes de procesos de negocio específicos, o máquinas que facilitan estos procesos, con el fin de generar un beneficio económico significativo para los atacantes. El alto grado de discreción con el que se llevan a cabo tales ataques a menudo significa que las empresas pueden no localizarlo fácilmente o detectar los cambios de la conducta normal esperada, puesto que las funciones del proceso comprometidas siguen funcionando como se esperaba, pero producen un resultado diferente de lo originalmente previsto, tal y como explica Trend Micro.

BPC se caracteriza por la comprensión profunda de los agentes amenazadores de las operaciones y sistemas internos de las redes objetivo, así como los estándares utilizados por sus organizaciones. Esto les permite hackear, infiltrar o secuestrar procesos empresariales tales como gestión de cuentas, adquisiciones, operaciones de fabricación, pagos y entregas.

Para ver el vídeo, pinche aquí

El atraco al Banco Central de Bangladesh es un ejemplo reciente de BPC. En este ataque, que provocó pérdidas de hasta 81 millones de dólares, los ciberdelincuentes demostraron que tenían una idea clara de cómo funciona la plataforma financiera SWIFT y que conocían las debilidades de los bancos asociados que la utilizan. Al comprometer la red informática del Banco Central de Bangladesh, los cibercriminales fueron capaces de rastrear cómo se realizaron las transferencias y aprovechar las credenciales del banco para llevar a cabo transacciones no autorizadas.

BPC también se extiende más allá de las transacciones financieras. En 2013, un sistema de seguimiento de contenedores en el puerto marítimo de Amberes en Bélgica fue hackeado para pasar una tonelada de cocaína y heroína al margen de las autoridades portuarias.

BPC puede utilizar las mismas herramientas y técnicas que los ataques dirigidos, pero en lugar de apuntar a datos sensibles, los atacantes de BPC se centran exclusivamente en poder beneficiarse directamente de la alteración de los procesos de negocio. BPC es similar al compromiso de emails de negocio (BEC) en que ambos intentan secuestrar una transacción comercial normal, pero los atacantes BEC confían más en ingeniería social y menos en la alteración real de los procesos de negocio para lograr sus objetivos

Tipos de Business Process Compromise

  • Diversión

Los ataques que caen bajo este tipo de BPC aprovechan las brechas de seguridad en el sistema del flujo de efectivo de la organización. Los agentes de la amenaza son entonces capaces de transferir dinero a canales supuestamente legítimos.

Un ejemplo de este tipo de BPC es el fraude de nóminas, en el que los atacantes o personas malintencionadas con acceso al sistema de nómina pueden agregar empleados fantasma o falsos y usarlos para desviar dinero.

Las transferencias bancarias fraudulentas también caen bajo este tipo de BPC. Los ciberdelincuentes encuentran lagunas en el sistema de transferencia de dinero de un banco y alteran códigos o usan malware para desviar fondos a cuentas que poseen y controlan.

  • Piggybacking – o aprovecharse de un sistema existente

Este tipo de BPC aprovecha los procesos clave del negocio, como el transporte de mercancías ilegales y la transferencia de software malicioso, lo que se traduce en grandes ganancias financieras para los atacantes.

  • Manipulación financiera

Esta clase de BPC incluye aquellos cuyo objetivo es influir en los resultados financieros y en decisiones importantes de negocios tales como las adquisiciones. Los atacantes hacen esto introduciendo variables maliciosas en un sistema o proceso empresarial clave.

 

El mercado de valores puede ser manipulado, por ejemplo, cuando un software o sistema comercial está específicamente orientado a inclinar el valor de las acciones. Los comerciantes maliciosos podrían acumular miles o incluso millones de esta volatilidad repentina en el mercado.

Cronología de casos conocidos de BPC

(Esta infografía es interactiva. Para conocer más detalles, accede aquí a la misma y haz clic en cada uno de los círculos. Aparecerá un desplegable con más información).

Estrategias de defensa contra BPC

  1. Analizar el flujo de información de diferentes sensores para detectar   anomalías

El análisis de datos del flujo de información de varios sensores o medidas en su lugar puede utilizarse como una línea de base para comparar la congruencia del flujo de información con el fin de detectar cualquier anomalía. Auditar periódicamente todos los registros y transacciones es fundamental para determinar las lagunas y mejorar las condiciones de seguridad del entorno empresarial.

  1. Encontrar desviaciones estadísticas sobre prácticas y procesos similares de la industria

Las tecnologías de seguridad como la monitorización del comportamiento y la prevención de intrusiones pueden detectar discrepancias o apuntar a actividades sospechosas en la red. Aparte de esto, las empresas deben aprovechar los datos similares de otras prácticas y procesos industriales o de fuentes disponibles públicamente para servir como medidas adicionales sobre posibles resultados y expectativas.

  1. Reforzar la seguridad de los procesos de negocio a través de la recreación de estrategias de enfrentamiento con seguridad operacional (OPSEC)

La contratación de un red team externo para simular los posibles escenarios de ataque desde todos los puntos (tecnologías y herramientas utilizadas, procesos, medidas de seguridad en el lugar, etc.) puede probar la seguridad y resaltar los aspectos comúnmente olvidados o las lagunas en una organización. Este equipo debe estar compuesto por interventores forenses con experiencia en lavado de dinero.

  1. Realizar regularmente una garantía de calidad, controles de calidad y pruebas de    penetración

Las pruebas de penetración, la garantía de calidad y/o el control de calidad son pasos   que muestran las debilidades críticas dentro de la red, como las vulnerabilidades, que pueden ser detectadas. Sin embargo, los pen testers deben trabajar con el concepto de que los atacantes ya tienen el nivel más alto de acceso y en si los procesos en su lugar pueden mitigar estos en caso de un ataque real. También es aconsejable que tales pruebas se centren en la lógica de negocio con el fin de detectar los defectos y debilidades en el proceso de negocio actual que se puede atacar.

  1. Restringir las acciones programables

Los atacantes pueden encontrar fallos en la lógica de negocios y aprovecharse de acciones programables dentro del sistema para pagar ciertas acciones. Tales amenazas pueden ser resueltas restringiendo procesos innecesarios.

  1. Separar las funciones de los empleados

Para evitar amenazas internas, la distribución de las tareas a diferentes personas en varios departamentos es clave. Por ejemplo, aquellos que manejan las finanzas deben ser diferentes de las TI. Del mismo modo, el equipo que maneja las pruebas del producto no debe ser el mismo que los de la línea de producción para defenderse de los intentos de introducir factores maliciosos.

  1. Requiere que dos personas (de diferentes equipos o configuraciones de red) realicen acciones críticas

BPC abusa de procesos legítimos, por lo que es difícil defenderse. Aunque requerir de dos personas no detenga los ataques, hacerlo hará que sea difícil para los atacantes cometer con éxito el robo financiero. En los bancos, por ejemplo, es una práctica común separar las tareas de modo que cuando un ataque ocurre, los atacantes tienen que comprometer dos credenciales particulares.

  1. Formar a los empleados para identificar ataques de ingeniería social

La formación en concienciación sobre seguridad capacita a los funcionarios de alto nivel (CEO, CFO, etc.) a que los empleados y partners identifiquen y respondan al BPC. Otras prácticas básicas de seguridad, como la instalación de aplicaciones de confianza y la introducción de información sólo en sitios legítimos, pueden impedir la introducción de riesgos en el nivel del gateway.

Noticias falsas y ciberpropaganda: el uso y abuso de los medios sociales

Cuando el término “noticia falsa” (fake news) aparece, solemos pensar en los mensajes de las redes sociales con historias bastante fantásticas e inverosímiles, mientras que los mensajes compartidos en las redes sociales son su aspecto más visible, hay mucho más en las noticias falsas que títulos de artículos exagerados en los medios de comunicación social.

Accede a “Fake News and Cyber Propaganda: The Use and Abuse of Social Media” de Trend Micro

Noticias falsas y ciberpropaganda
Las noticias falsas pueden parecer algo nuevo, pero la plataforma utilizada es la única novedad. La propaganda ha existido durante siglos, e Internet es solamente el último instrumento de comunicación en ser explotado para esparcir mentiras y extender la desinformación.

El triángulo de fuego representa los tres elementos que un fuego necesita para quemar: oxígeno, calor y un combustible. Del mismo modo, las noticias falsas requieren tres elementos diferentes para tener éxito. Estos representan colectivamente el Triángulo de las Noticias Falsas: si no hay ninguno de estos factores, es incapaz de extenderse y alcanzar a su audiencia.

Figura 1. Triángulo de Noticias Falsas

 

El primer requisito: herramientas y servicios para manipular y difundir el mensaje a través de redes sociales relevantes, muchas de las cuales se venden en varias comunidades online de todo el mundo. Hay una amplia variedad de herramientas y servicios disponibles; algunos son relativamente sencillos (likes/followers pagados, etc.), mientras otros son más inusuales -algunos servicios prometen rellenar encuestas online, mientras que otros fuerzan a los propietarios de sites a retirar sus historias. En cualquier caso, las herramientas y los servicios de promoción de los medios sociales están disponibles, tanto dentro como fuera de la escena del underground o mercado clandestino.

Por supuesto, para que estas herramientas sean de cualquier uso, las redes sociales tienen que existir como una plataforma para difundir propaganda. Con la gente pasando cada vez más tiempo en estos sitios como forma de obtener las últimas noticias e información, su importancia en la difusión de noticias falsas no se puede subestimar. Sin embargo, hay una diferencia entre simplemente publicar propaganda y convertirla en algo que el público objetivo consume. Trend Micro muestra qué tipo de técnicas son utilizadas por los spammers para atraer a los usuarios y que vean sus historias.

El estudio de los medios de comunicación social también nos da una visión de las relaciones entre los bots y los destinatarios de la promoción de los medios sociales en Twitter. Esto nos da una idea del alcance y la organización de las campañas que intentan manipular la opinión pública.

Finalmente, la campaña de propaganda siempre viene con la pregunta: ¿por qué? Comentamos las motivaciones que hay detrás de las noticias falsas: a veces se trata simplemente de un deseo de ganar dinero a través de la publicidad. En otros casos, los objetivos pueden variar de lo criminal a lo político. Independientemente del motivo, el éxito de cualquier campaña de propaganda se basará, en última instancia, en lo mucho que afecta al mundo real.

Casos de estudio
Para mostrar la efectividad de estas campañas, el trabajo de Trend Micro incluye varios casos de estudio que muestran cómo varios agentes utilizarían herramientas para difundir noticias falsas para sus propios fines. Los casos de estudio de Trend Micro incluyen:

Las herramientas específicas para cada campaña no son especialmente diferentes: seguidores / fans, likes, reposts, comentarios, vídeos. Algunas campañas pueden encontrar que vale la pena comprar versiones de “alta calidad” de estos productos, que son teóricamente más difíciles de detectar por las redes de los medios sociales.

Figuras 2-4. Varios usos de noticias falsas

Contramedidas
Los gobiernos, empresas y usuarios se están dando cuenta de lo seria que puede ser la manipulación de la opinión pública, tal como se manifiesta en la investigación “noticias falsas”.

Los gobiernos están comenzando a reconocer que las noticias falsas son algo que debe ser combatido activamente. Varias agencias gubernamentales ya están estableciendo servicios para desmentir historias que consideran falsas. También están considerando la imposición de reglamentos y castigar a los sitios que publican información errónea.

Los objetivos de estas nuevas regulaciones incluirían los servicios de redes sociales. Esto haría de las noticias falsas algo muy malo para los negocios, de hecho, y por eso, están tomando medidas para combatirlo. Los pasos que se están siguiendo incluyen la suspensión de bot / cuentas sospechosas, añadir características para permitir a los usuarios informar de noticias falsas, y la contratación de más personal para ayudar a tratar con estos informes.

Al final, sin embargo, esto se reduce a usuarios formados. El trabajo de Trend Micro plantea algunas de las señales de las falsas noticias, con la esperanza de que los lectores puedan determinar por sí mismos cómo detectarlas. Este documento también debate sobre la psicología de las noticias falsas -qué hace que estas campañas funcionen y cómo pueden convencer a la gente- con la esperanza de que la concienciación sobre estas técnicas permita a los lectores resistirlas.

Para obtener más detalles en relación a los aspectos de las noticias falsas y la ciberpropaganda, consulta el documento de investigación: “La máquina de noticias falsas:  ¿cómo los propagandistas abusan de Internet y manipulan al público?”.

Cómo las nuevas plataformas de chat pueden ser explotadas por los cibercriminales

Cómo las nuevas plataformas de chat pueden ser explotadas por los cibercriminales

Consultar el documento de Trend Micro: “Cómo los cibercriminales explotan las API de las plataformas de mensajería como infraestructura C&C”

Las plataformas de mensajería y chat como Discord, Slack y Telegram se han convertido en herramientas de comunicación muy populares en las oficinas. Estos tres ejemplos mencionados, en particular, disfrutan de beneplácito de empresas y organizaciones de todo el mundo. Una de las razones principales de esto es que estas plataformas de chat permiten a sus usuarios integrar sus aplicaciones en las propias plataformas mediante el uso de sus API. Este factor, cuando se aplica a un entorno de trabajo, reduce el tiempo dedicado a cambiar de una app a otra, lo que permite un flujo de trabajo optimizado y mayor eficiencia. Pero hay que preguntarse una cosa, especialmente en relación a ese tipo de característica: ¿puede ser explotada por los cibercriminales? Después de todo, hemos visto muchos casos en los que se utilizan servicios y aplicaciones legítimas para facilitar los esfuerzos de los ciberdelincuentes de una forma u otra, siendo el IRC uno de los mayores ejemplos, utilizado por muchos cibercriminales en el pasado como infraestructura de comando y control (C&C) para botnets.

Convertir las API de la plataforma de mensajería en infraestructura de comando y control
En esta investigación, el equipo de Trend Micro se ha centrado en analizar si estas API de las plataformas de mensajería/chat pueden convertirse en C&C y ver si existe malware que lo explota. A través de un extenso trabajo de monitorización, investigación y desarrollo de código de prueba de concepto, Trend Micro ha podido demostrar que la funcionalidad de la API de cada plataforma de mensajería se puede explotar con éxito convirtiendo estas plataformas en servidores C&C que los ciberdelincuentes pueden utilizar para establecer contacto con usuarios infectados o sistemas comprometidos.

Se han encontrado muestras de malware que explotan las API
La monitorización en profundidad de las plataformas de mensajería también ha revelado que los cibercriminales ya están abusando de estas plataformas con fines maliciosos. En Discord, Trend Micro ha encontrado muchas instancias de malware alojadas, incluyendo inyectores de archivos e incluso minería de bitcoins. En el caso de Telegram, se ha encontrado que es explotada por  ciertas variantes de KillDisk, así como TeleCrypt, una variedad de ransomware. En cuanto a Slack, Trend Micro, en el momento de escribir este artículo, no había encontrado ningún signo de actividad maliciosa en esta plataforma de mensajería.

Lo que hace que este problema de seguridad particular algo que las empresas deban tener en cuenta es que, actualmente, no hay manera de proteger las plataformas de mensajería instantánea sin aniquilar su funcionalidad. Bloquear las API de estas plataformas de chat significa volverlas inservibles, mientras la monitorización del tráfico de red en busca de conexiones sospechosas en Discord / Slack / Telegram es prácticamente inútil, ya que no hay diferencia perceptible entre aquellas iniciadas por el malware y las iniciadas por el usuario.

Con esta incógnita en mente, ¿deben las organizaciones evitar por completo estas plataformas de mensajería? La respuesta está en el estado actual de seguridad de las empresas. Si la seguridad de la red/endpoint de un negocio que utiliza una plataforma de mensajería está actualizada y los empleados dentro de esa empresa siguen prácticas de uso seguras, tal vez el riesgo potencial pueda merecer la pena en aras de la conveniencia y la eficiencia.

Prácticas recomendadas para los usuarios
• Mantener las comunicaciones y las credenciales como algo confidencial. No revelar ni compartir con nadie más.
• Nunca haga clic en enlaces sospechosos, ni siquiera en aquellos enviados por sus contactos.
• Nunca descargue archivos sospechosos, ni siquiera los enviados por sus contactos.
• Cumplir rigurosamente con los hábitos de navegación segura o uso del sistema.
• Nunca utilice su cuenta de servicio de chat para otra cosa que no sea fines de trabajo.
• El tráfico del chat debe ser considerado “completamente legítimo” al igual que el tráfico web – necesita decidir cómo supervisarlo, limitarlo o eliminarlo completamente.

Consejos de mejores prácticas para las empresas
• Aplicar directrices estrictas y hábitos de uso seguro entre los empleados.
• Informar a los empleados y directivos de los típicos timos de los cibercriminales, como las estafas de phishing y el spam.
• Asegúrese de que el personal de TI está informado y es formado sobre las amenazas que puedan surgir del uso de las plataformas de mensajería, y haga que supervisen la actividad sospechosa de la red.
• Evalúe si el uso de una plataforma de mensajería es realmente tan crítico para las operaciones diarias. Si no es así, suspenda su uso inmediatamente.

Los detalles técnicos completos de la investigación de Trend Micro se pueden encontrar en el último documento de investigación Cómo los cibercriminales pueden explotar las API de los programas de mensajería como infraestructuras de comando y control”.

Ransomware: pasado, presente y futuro

El ransomware es un tipo de malware que impide o limita el acceso de los usuarios a su sistema, ya sea bloqueando la pantalla del sistema o bloqueando los archivos de los usuarios a menos que se pague un rescate. Las familias de ransomware más modernas, categorizadas colectivamente como cripto-ransomware, cifran ciertos tipos de archivos en sistemas infectados y obligan a los usuarios a pagar el rescate mediante ciertos métodos de pago online para obtener una clave de descifrado.

LeaRansomware: pasado, presente y futuro

Precios de rescate y pago

Los precios de rescate varían dependiendo del tipo de ransomware y el precio o tipos de cambio de las monedas digitales. Gracias al anonimato percibido que ofrecen las criptomonedas, los operadores de ransomware suelen especificar pagos de rescate en bitcoins. Algunas variantes recientes de ransomware también han enumerado otras opciones como alternativas de pago como iTunes y las tarjetas de regalo de Amazon. Sin embargo, debe tenerse en cuenta que el pago del rescate no garantiza que los usuarios obtengan la clave de descifrado o la herramienta de desbloqueo necesaria para recuperar el acceso al sistema infectado o a los archivos secuestrados. El pago del rescate no significa nada.

Infección y comportamiento del ransomware

Los usuarios pueden encontrar esta amenaza a través de varios medios. El ransomware se puede descargar en los sistemas cuando los usuarios involuntariamente visitan páginas web maliciosas o peligrosas. También puede llegar como una carga liberada por otro malware. Algunos ransomware son conocidos por ser enviados como archivos adjuntos de correo electrónico no deseado -spam-, descargados desde páginas maliciosas a través de malvertisements (un tipo de amenaza que utiliza la publicidad online para propagar malware), o descargados por kits de exploit en sistemas vulnerables.

Una vez ejecutado en el sistema, el ransomware puede bloquear la pantalla del ordenador o, en el caso del cripto-ransomware, cifrar archivos predeterminados. En el primer escenario, una imagen o notificación en pantalla completa se muestra en la pantalla del sistema infectado, lo que impide que las víctimas utilicen su sistema. A la vez también se muestran las instrucciones sobre cómo se puede pagar el rescate. El segundo tipo de ransomware impide el acceso a archivos potencialmente críticos o valiosos como documentos y hojas de cálculo.

El ransomware se considera “scareware”, ya que obliga a los usuarios a pagar una cuota (o rescate) asustándolos o intimidándolos. En este sentido, es similar al malware FAKEAV, pero en lugar de capturar el sistema infectado o cifrar archivos, FAKEAV muestra falsos resultados de análisis antimalware para persuadir a los usuarios a comprar software antimalware falso.

Learn how to protect Enterprises, Small Businesses, and Home Users from ransomware:

ENTERPRISE »

SMALL BUSINESS»

HOME»

Historia y evolución del Ransomware

Primeros años

Los casos de infección por ransomware se vieron por primera vez en Rusia entre los años 2005 y 2006. Trend Micro publicó un informe sobre un caso en 2006 que involucraba una variante de ransomware (detectada como TROJ_CRYZIP.A) que comprimía ciertos tipos de archivos antes de sobrescribir los archivos originales, dejando solo los archivos zip protegidos con contraseña en el sistema del usuario. También creó un archivo de texto que actuó como la nota de rescate informando a los usuarios que los archivos se podían recuperar a cambio de 300 dólares.

En sus primeros años, el ransomware cifraba archivos concretos como DOC, .XLS, .JPG, .ZIP, .PDF, y otras extensiones comunes de archivos utilizadas.

En 2011, Trend Micro publicó un informe sobre una amenaza SMS ransomware que pedía a los usuarios de los sistemas infectados marcar un número de SMS premium. Detectada como TROJ_RANSOM.QOWA, esta variante mostró repetidamente una página de ransomware a los usuarios hasta que pagaron el rescate marcando un cierto número.

Otro informe remarcable incluía un tipo de ransomware que infecta el registro de arranque maestro (Master Boot Record (MBR)) de un sistema vulnerable, evitando que el sistema operativo se cargue. Para ello, el malware copia el MBR original y lo sobrescribe con código malicioso. A continuación, obliga al sistema a reiniciarse para que la infección surta efecto y muestre la notificación (en ruso) una vez que el sistema se reinicia.

Ver la infografía: Ransomware 101- Qué, Cómo y Por qué

El ransomware se expande fuera de Rusia

Las infecciones de ransomware se limitaron inicialmente a Rusia, pero su popularidad y su rentable modelo de negocio encontraron pronto camino en otros países de Europa. En marzo de 2012, Trend Micro observó una propagación continua de infecciones por ransomware en Europa y Norteamérica. Similar a TROJ_RANSOM.BOV, esta nueva ola de ransomware mostró una página de notificación supuestamente de la agencia de la policía local de la víctima en lugar de la típica nota de rescate (véase Reveton, Ransomware de la Policía más adelante).

Durante este período, se utilizaron diferentes tácticas para difundir ransomware. Un caso en 2012 implicó a la página web de una confitería francesa muy popular que se vio comprometida y expandió TROJ_RANSOM.BOV. Esta táctica de goteo causó amplias infecciones que se extendieron por Francia y Japón, donde la tienda también tenía una legión de seguidores importante. En lugar de la habitual nota de rescate, TROJ_RANSOM.BOV mostró una falsa noticia de la policía francesa Gendarmerie Nationale.

El ascenso de Reveton y el ransomware de la policía

Reveton es un tipo de ransomware que suplanta a los cuerpos y fuerzas de seguridad del Estado. Conocido como Ransomware de la Policía, Virus de la Policía o Troyanos de la Policía, estos malware se caracterizan por mostrar una página de notificación supuestamente de la agencia local de la policía a las víctimas, informándolas de que han sido capturados haciendo una actividad ilegal o maliciosa en la red.

Para saber qué organismo local es aplicable a los usuarios, las variantes de Reveton rastrean la ubicación geográfica de sus víctimas. Así, los usuarios afectados que viven en EE.UU. reciben una notificación del FBI, mientras que los que se encuentran en Francia se les muestra un aviso de la Gendarmería Nacional, o en España de la Policía Nacional.

Las variantes de Reveton también emplean un método de pago diferente en comparación con los primeros ataques de ransomware. Una vez que un sistema está infectado con una variante de Reveton, se pide a los usuarios que paguen a través de UKash, PaySafeCard o MoneyPak. Estos métodos de pago permiten el anonimato de los perpetradores del ransomware, ya que tanto Ukash como PaySafeCard tienen sistema de rastreo de dinero débil.

En 2012, se observaron diferentes tipos de variantes Reveton exhibiendo nuevas técnicas. Durante la última parte de ese año, Trend Micro informó sobre las variantes que reprodujeron una grabación de audio usando el idioma nativo de la víctima, y otra con un certificado digital falso.

La evolución de CryptoLocker y Cripto-ransomware

A finales de 2013, apareció un nuevo tipo de ransomware que cifraba los archivos, aparte de bloquear el sistema. Los archivos cifrados se aseguraban de que las víctimas se viesen obligadas a pagar el rescate incluso si el malware en sí se autoeliminaba. Debido a su nuevo comportamiento, fue bautizado como “CryptoLocker“. Al igual que los tipos de ransomware anteriores, el cripto-ransomware exige el pago a los usuarios afectados, esta vez para obtener una clave de descifrado y desbloquear los archivos. 




Aunque la nota de rescate en CryptoLocker solo específica “RSA-2048” como el método de cifrado utilizado, el análisis muestra que el malware utiliza cifrado AES + RSA.

RSA es una criptografía de clave asimétrica, lo que significa que utiliza dos claves. Una clave se emplea para cifrar los datos y otra se utiliza para descifrar los datos (una clave, llamada la clave pública, se pone a disposición de cualquier parte externa, la otra es mantenida por el usuario y se le llama clave privada). AES emplea claves simétricas, que utilizan la misma clave para cifrar y descifrar información.

El malware utiliza una clave AES para cifrar archivos. La clave AES para descifrar se escribe en los archivos cifrados por el malware. Sin embargo, esta clave está cifrada a su vez con una clave pública RSA integrada en el malware, lo que significa que se necesita una clave privada para descifrarla.

Otras investigaciones revelaron que una campaña de spam estaba detrás de las infecciones de CryptoLocker. Los mensajes de spam contenían archivos maliciosos pertenecientes a TROJ_UPATRE, una familia de malware caracterizada por su pequeño tamaño de archivo y su sencilla función de descarga. Descarga una variante de ZBOT, que luego descarga a su vez el malware de CryptoLocker.

A finales de 2013, surgió una nueva variante de CryptoLocker -con rutinas de propagación. Esta variante, detectada como WORM_CRILOCK.A, puede propagarse a través de unidades extraíbles, una rutina inaudita en otras variantes de CRILOCK. Esto significa que el malware puede expandirse fácilmente en comparación con otras variantes. La nueva modalidad no se basa en malware de descarga como CRILOCK para infectar los sistemas, sino que pretende ser un activador para el software utilizado en sitios de intercambio de archivos peer-to-peer (P2P). Las diferencias técnicas han llevado a algunos investigadores a creer que este malware fue producido por un imitador.

Otro tipo de ransomware con cifrado de archivos entró en escena. El cripto-ransomware conocido como CryptoDefense o Cryptorbit (detectado como TROJ_CRYPTRBIT.H) cifra bases de datos, web, Office, vídeo, imágenes, scripts, texto y otros archivos no binarios, elimina los archivos de copia de seguridad para evitar la restauración de archivos cifrados y pide un pago para obtener una clave de descifrado para los archivos bloqueados.

Incursión en el robo de Criptomoneda

El ransomware comenzó pronto a incorporar otro elemento: el robo de criptomoneda (por ejemplo, Bitcoin). En 2014, Trend Micro identificó dos variantes de un nuevo malware llamado BitCrypt. La primera variante, TROJ_CRIBIT.A, agrega “.bitcrypt” a cualquier archivo cifrado y muestra una nota de rescate en inglés. La segunda variante, TROJ_CRIBIT.B, agrega el nombre de archivo con “.bitcrypt 2” y utiliza una nota de rescate multilingüe en 10 idiomas. Las variantes de CRIBIT emplean los algoritmos de cifrado RSA (426) -AES y RSA (1024) -AES para cifrar los archivos y especifica que el pago por desbloquear archivos se debe realizar en Bitcoins.

Se descubrió que una variante del malware para robar información FAREIT, TSPY_FAREIT.BB, descarga TROJ_CRIBIT.B. Esta variante de FAREIT puede robar información de varios monederos de criptomonedas, incluyendo wallet.dat (Bitcoin), electrum.dat (Electrum) y .wallet (MultiBit). Estos archivos contienen información importante como registros de transacciones, preferencias de usuario y cuentas.

El exploit kit  Angler
En 2015, el exploit kit Angler era uno de los kits de exploits más populares y utilizados para propagar ransomware, y se utilizó de forma notable en una serie de ataques de tipo malvertisment a través de medios populares tales como sitios web de noticias y sitios localizados. Angler fue constantemente actualizado para incluir una serie de exploits de Flash, y era conocido por ser empleado en campañas destacadas tales como la fuga de Hacking Team y Pawn Storm. Debido a su fácil integración, Angler sigue siendo una opción frecuente como un medio para difundir ransomware.

POSHCODER: abuso de PowerShell
Entra en escena una nueva variante de las amenazas de ransomware y Cryptolocker que aprovecha la función de Windows PowerShell para cifrar archivos. Trend Micro detecta esto como TROJ_POSHCODER.A. Windows PowerShell es una función incorporada en Windows 7 y versiones posteriores. Los ciberdelincuentes a menudo explotan esta característica para hacer que las amenazas sean indetectables en el sistema y/o en la red.

POSHCODER utiliza cifrado AES y una clave pública RSA 4096 para cifrar dicha clave AES. Una vez que todos los archivos del sistema infectado están cifrados, muestra la siguiente imagen:

El ransomware infecta archivos críticos

Aunque que el cripto-ransomware ha pasado a ser muy popular entre los cibercriminales, esto no significa que otros tipos de ransomware hayan desaparecido de escena. El ransomware de la policía (también conocido como “virus de la policía”) todavía está haciendo de las suyas y sigue bloqueando pantallas de equipos infectadas con esta pantalla:

Lo que hace que este particular ransomware se diferente de otros ransomware de la policía es que se monta en malware parcheado para infectar los sistemas. El malware parcheado es cualquier archivo legítimo que ha sido modificado (mediante adición o inyección) con código malicioso. La modificación de un archivo legítimo puede ser ventajosa para los ciberdelincuentes, ya que la tasa de ejecución del código malicioso dependerá de la frecuencia de uso del archivo infectado.

Este ransomware también es llamativo por infectar user32.DLL, un conocido archivo crítico. La infección de un archivo crítico puede considerarse una técnica de evasión, ya que puede ayudar a prevenir la detección mediante herramientas de supervisión de comportamiento debido a la lista blanca. Además, la limpieza de archivos críticos como user32.DLL requiere un cuidado extra, ya que un error puede bloquear un sistema, lo que podría verse como un posible obstáculo para las herramientas de limpieza.

El user32.DLL infectado realiza una cadena de rutinas que termina con el ransomware cargado. También bloquea la pantalla del equipo infectado y proyecta una imagen de “rescate”, similar a los mensajes de ransomware de la policía anteriores.

En un par de años, el ransomware ha evolucionado pasando de una amenaza que se dirigía a los usuarios rusos, a un ataque que se extendió a varios países europeos y norteamericanos. Con un modelo de negocio rentable y un esquema de pago que permite el anonimato de sus operadores, se espera que el desarrollo del ransomware se acelere en los próximos años. Por lo tanto, es crucial para los usuarios saber cómo funciona el ransomware y cómo protegerse de la mejor forma posible de esta amenaza.

Archivos para cifrar
Los tipos anteriores de cripto-ransomware se dirigían a archivos.DOC, .XLS, .JPG, .ZIP, .PDF y a otros archivos comúnmente utilizados para cifrar. Los ciberdelincuentes han incluido desde entonces una serie de otros tipos de archivos críticos para los negocios, como son archivos de bases de datos, ficheros de páginas web, archivos SQL, archivos relacionados con impuestos, archivos CAD y archivos de escritorio virtuales.

El ransomware evoluciona: ransomware moderno
Después del paso al cripto-ransomware, el malware para extorsionar ha seguido evolucionando, agregando funciones como temporizadores de cuenta atrás, cantidades de rescate que aumentan a medida que pasa el tiempo y rutinas de infección que les permiten propagarse a través de redes y servidores. Los últimos avances demuestran cómo los agentes de la amenaza están experimentando con nuevas características, tales como ofrecer plataformas de pago alternativas para realizar los pagos de rescate y hacerlos más fáciles, establecer rutinas que amenazan con causar daños que provocan potencialmente la inhabilitación o paralizan a las víctimas que no pagan o nuevos métodos de distribución.

Algunas de las familias más notables de cripto-ransomware vistas en 2016 son: ver imagen a continuación o pinchando aquí):

LOCKY (RANSOM_LOCKY.A) – Descubierto en febrero de 2016, Locky se destacó por sus métodos de distribución, pues primero llegaba como un macro en un documento de Word y luego se propagó a través de Adobe Flash y Windows Kernel Exploits. Una de las familias de ransomware actualizadas de forma más activa, el ransomware Locky es conocido por eliminar copias de archivos en la sombra para inutilizar los backups locales, y es notorio por ser utilizado en múltiples ataques de alto perfil en los centros de salud e instalaciones hospitalarias.

PETYA (RANSOM_PETYA.D) – Visto por primera vez en marzo de 2016, PETYA sobrescribe el registro de arranque maestro (MBR) del sistema afectado y se sabe que se entrega a través de servicios legítimos de almacenamiento en la nube como Dropbox.

CERBER (RANSOM_CERBER.A) – Cuando se vio por primera vez a principios de marzo de 2016, CERBER fue importante por incorporar una función de “voz” que leía el mensaje de rescate. También se encontró que CERBER tenía un archivo de configuración personalizable que permite a los distribuidores modificar sus componentes, una característica común para el malware que se vende en el mercado negro. CERBER también es notorio por ser utilizado en un ataque que potencialmente expuso a millones de usuarios de Microsoft Office 365 a la infección.

SAMSAM (RANSOM_CRYPSAM.B) – Descubierto en marzo de 2016, SAMSAM se instala después de que los atacantes exploten vulnerabilidades en servidores sin parchear -en vez de  ir a las URL maliciosas habituales y correos electrónicos de spam- y los utiliza para comprometer otras máquinas.

JIGSAW (RANSOM_JIGSAW.I) – La primera variante de JIGSAW vista data de abril de 2016 y mezcló tácticas de intimidación eficaces con una rutina innovadora. Empleando las imágenes de la película Saw, la nota de rescate de Jigsaw cuenta con un temporizador de cuenta atrás para presionar a sus víctimas a pagar, con la promesa de aumentar la cantidad del rescate mientras borra partes de los archivos cifrados cada vez que el temporizador se agota. Variantes recientes de Jigsaw también incluyen una función de soporte a través de un chat que permite a las víctimas contactar con el ciberdelincuente.

El mayor ataque hasta la fecha
Aunque las rutinas de ransomware no son completamente nuevas, todavía funcionan y por lo tanto siguen siendo utilizadas. Un caso destacable lo encontramos en la variante de ransomware WannaCry/WCRY, que originalmente se propagó a través de URLs de Dropbox maliciosas integradas en el spam, esta dio un giro inesperado el pasado mes de mayo. Comenzó a explotar una vulnerabilidad recientemente parcheada en SMB Server, provocando el mayor ataque de ransomware hasta la fecha.

Incluso antes de que WannaCry dejara ver su fea cabeza, negocios y usuarios de a pie de todo el mundo ya habían estado sufriendo las graves consecuencias de la amenaza. Todo esto está documentado en una nueva investigación realizada por Trend Micro, fruto de la cual se extrae el informe: “Ransomware: pasado, presente y futuro”. Tan solo un año después, la compañía ha registrado un incremento del 752% en el número de familias de ransomware.

Mapa de distribución regional de amenazas de ransomware desde enero de 2016 a marzo de 2017

El futuro del Ransomware
No nos sorprenderá si el ransomware cambia en pocos años. En términos de potencial, puede convertirse en malware con capacidad para desactivar toda la infraestructura (crítica no solo para la operativa de los negocios, sino también de una ciudad o incluso una nación) hasta que se pague el rescate. Los cibercriminales pronto podrían buscar enfoques nuevos y objetivos como los sistemas de control industrial (ICS) y otras infraestructuras críticas para paralizar no solo las redes, sino también los ecosistemas. Un área clave que podría convertirse en un objetivo más grande para los ciberdelincuentes son los sistemas de pago, como se vio con el ataque a Bay Area Transit en 2016, donde los kioscos de pago del proveedor de servicio fueron objetivo del ransomware.

Hemos visto a los operadores de ransomware golpear hospitales y a proveedores de servicio de transporte. ¿Qué impediría a los atacantes dirigirse a objetivos aún más grandes como los robots industriales que se utilizan de forma generalizada en el sector industrial o a la infraestructura que conecta y con la que funcionan las ciudades inteligentes de hoy en día? La extorsión online está destinada a recorrer su camino tomando como rehenes desde a ordenadores y servidores a cualquier otro tipo de dispositivo conectado insuficientemente protegido, incluyendo dispositivos inteligentes o infraestructuras críticas. El retorno de la inversión (ROI) y la facilidad con la que los ciberdelincuentes pueden crear, lanzar y beneficiarse de esta amenaza asegurarán que continúe en el futuro.

La conexión con Bitcoin
A excepción de algunas familias de ransomware que demandan grandes cantidades en sus rescates, las variantes de ransomware suelen pedir entre 0,5 y 5 Bitcoins (desde 2016) a cambio de una clave de descifrado. Esto es importante por dos razones: algunas variantes aumentan el rescate a medida que transcurre el tiempo y no se produce el pago, y el tipo de cambio de Bitcoin está en aumento. En enero de 2016, 1 BTC valía 431 dólares. El valor de Bitcoin ha aumentado significativamente desde entonces, alcanzando los 1.082,55 dólares a finales de marzo de 2017.

Defensa, prevención y eliminación del ransomware:

Vídeo: https://www.youtube.com/watch?v=duSQShJ2098

Defenderse del Ransomware
No hay una fórmula mágica cuando se trata de detener el ransomware, pero un enfoque multicapa que le impida llegar a redes y sistemas es la mejor manera de minimizar el riesgo.

Para grandes empresas: Soluciones para el email y el gateway web como Trend Micro™ Deep Discovery™ Email Inspector e InterScan™ Web Security evitan que el ransomware llegue a los usuarios finales. A nivel de endpoint, Trend Micro Smart Protection Suites cuenta funciones de monitorización de comportamiento y control de aplicaciones, así como protección contra vulnerabilidades que minimizan el riesgo de infección por amenazas de ransomware. Trend Micro Deep Discovery Inspector detecta y bloquea el ransomware en redes, mientras que Trend Micro Deep Security™ evita que el ransomware llegue a los servidores corporativos, ya sean físicos, virtuales o cloud.

Para Pymes: Trend Micro Worry-Free Services Advanced ofrece seguridad para el gateway de correo basado en la nube a través de Hosted Email Security. Su protección para el endpoint también ofrece otras funciones como monitorización del comportamiento y un servicio de reputación web en tiempo real que detecta y bloquea ransomware.

Para usuarios domésticos: Trend Micro Security 10 aporta una protección robusta contra el ransomware mediante el bloqueo de sitios web, correos electrónicos y archivos maliciosos asociados con esta amenaza.

Prevención del ransomware:

  • Evitar abrir emails no verificados o pinchar en los vínculos incluidos en ellos.
    • Realizar copias de seguridad de los archivos importantes mediante la regla 3-2-1: cree 3 copias de seguridad en 2 medios diferentes con 1 copia de seguridad guardada en una ubicación separada.
    • Actualizar regularmente el software, programas y aplicaciones para protegerse contra las vulnerabilidades más recientes.

Herramientas y soluciones anti-ransomware
Trend Micro ofrece herramientas gratuitas como Trend Micro Lock Screen Ransomware Tool, que está diseñada para detectar y eliminar el ransomware que bloquea las pantallas. La solución Trend Micro Crypto-Ransomware File Decryptor Tool puede descifrar los archivos bloqueados de ciertas variantes de cripto-ransomware sin que se tenga que haber pagado el rescate o sin usar la clave de descifrado.

Si deseas información sobre los últimos ransomware más destacados, o consultar el listado de familias de ransomware más conocidas visita: https://www.trendmicro.com/vinfo/us/security/definition/ransomware

Visita la Enciclopedia de Amenazas para saber más sobre los ransomware más notables.