Ataque de ransomware a gran escala, golpea duramente a Europa

Madrid, 28 de junio de 2017 – Un ataque de ransomware a gran escala del que se ha comunicado que ha sido causado por una variante del ransomware Petya está golpeando actualmente a varios usuarios, particularmente en Europa. Esta variante, que Trend Micro ya detecta como RANSOM_PETYA.SMA, es conocida por utilizar tanto el exploit EternalBlue como la herramienta PsExec como vectores de infección. Tanto a usuarios como a organizaciones se les aconseja seguir los siguientes pasos de mitigación inmediatamente para prevenir y evitar la infección:

  • Aplicar el parche de seguridad MS17-010
    • Desactivar el puerto TCP 445
    • Restringir las cuentas con acceso al grupo de administradores

Trend Micro también protege a sus clientes contra esta amenaza con Predictive Machine Learning y otras importantes funciones de seguridad frente al ransomware que se encuentran en Trend Micro XGen™ security. Actualmente, la compañía está trabajando en el análisis de esta amenaza y actualizará esta publicación tan pronto tenga más detalles disponibles.

Corriente de infección

Como se mencionó anteriormente, la entrada inicial de este ransomware en el sistema implica el uso de la herramienta PsExec, una herramienta oficial de Microsoft utilizada para ejecutar procesos en sistemas remotos. También utiliza la vulnerabilidad de EternalBlue -previamente empleada en el ataque de WannaCry– que se dirige a una vulnerabilidad en Server Message Block (SMB) v1. Una vez en un sistema, esta variante Petya utiliza el proceso rundll32.exe para ejecutarse por sí misma.  El cifrado real es llevado a cabo por un archivo llamado perfc.dat, ubicado en la carpeta de Windows.

Este ransomware añade entonces una tarea programada, que reinicia el sistema después de al menos una hora (Mientras tanto, la Master Boot Record (MBR) también se modifica para que el encriptador realice el cifrado y se muestre la nota de rescate correspondiente. Inicialmente, se muestra una notificación falsa de CHKDSK, es decir, cuando el cifrado se lleva a cabo realmente. Normalmente el ransomware, no cambia las extensiones de los archivos cifrados. Más de 60 extensiones de archivos están dirigidas al cifrado, vale la pena señalar que las extensiones de archivo objetivo se centran en los tipos de archivo utilizados en la configuración de la empresa; imágenes y archivos de vídeo (dirigidos por otros ataques de ransomware) están particularmente ausentes.

Figura 1. Diagrama de infección

   

Figuras 2 y 3. Avisos de Ransomware que se muestran después del reinicio 

Aparte del uso del exploit EternalBlue, hay otras similitudes a WannaCry. Al igual que este ataque, el proceso de rescate de esta variante Petya es relativamente simple: también utiliza una dirección Bitcoin codificada, haciendo que el descifrado sea un proceso mucho más laborioso por parte de los atacantes. Esto contrasta con los ataques anteriores de Petya, que tenían una interface de usuario (UI) más desarrollada para este proceso. A cada usuario afectado se le pide que pague un rescate de 300 dólares. Hasta este momento, se han pagado aproximadamente 7.500 dólares en la dirección de Bitcoin. Como en todos los ataques de ransomware, Trend Micro aconseja no pagar el rescate –en este caso, esto es particularmente importante, ya que la cuenta de correo electrónico mencionada en la nota de rescate ya no está activa.

PsExec y línea de Comando de Información de Administración de Windows (WMIC)
Petya utiliza hábilmente los procesos legítimos de Windows PsExec y Windows Management Information Command-line, que es una interfaz que simplifica el uso de Windows Management Instrumentation (WMI).

Una vez que Petya se ha descargado, descargará psexec.exe como dllhost.dat en la máquina de destino. El malware también desgarta una copia de sí mismo en \\{nombre de máquina remota}\admin $\{malware filename}. A continuación, ejecuta la copia eliminada utilizando dllhost.dat localmente (que es el nombre de archivo de la herramienta PSExec) con los parámetros siguientes:

dllhost.dat \\{remote machine name} -accepteula -s -d C:\Windows\System32\rundll32 “C:\Windows\{malware filename}”,#1 {random number minimum 10} {enumerated credentials}

El formato de {enumerated credentials} es el siguiente:

“Un1: pw1” “un2: pw2” “un3: pw3” … “unN: pwN”

Si esto no tiene éxito, entonces Petya utilizará WMIC.EXE para ejecutar el archivo en la máquina remota:

%System%\wbem\wmic.exe /node:”{node}” /user:”{user name}” /password:”{password}” process call create “C:\Windows\System32\rundll32 \”C:\Windows\{malware filename}\” #1 {random number minimum 10} {enumerated credentials}”

Petya utilizará PSExec o WMIC para difundir el malware a otros sistemas dentro de la red local. Si esta parte de la cadena de infección no funciona, solo entonces Petya explotará la vulnerabilidad EternalBlue.

Método de extracción de información
Trend Micro ha descubierto que esta variante de Petya utiliza un método avanzado para extraer información del sistema infectado. Utiliza un Mimikatz personalizado, una herramienta de seguridad legítima, para extraer nombres de usuario y contraseñas. Los ejecutables Mimikatz de 32 bits y 64 bits se cifran y almacenan en la sección de recursos del ransomware. El método de extracción se ejecuta cuando el proceso de malware principal abre un conducto, que es utilizado por el Mimikatz personalizado para escribir sus resultados. Estos resultados son leídos por el proceso principal del malware. Como se mencionó anteriormente, Petya es capaz de extenderse a otros sistemas dentro de la red local utilizando esta información extraída.

Procedimiento de modificación del disco
Antes del cifrado, Petya modificará primero el MBR como parte de su proceso. Inicialmente, el sector después Volume Boot Record (VBR) se escribe con código (0xBAADF00D), lo que hace que el sistema no arranque.

También accede a los siguientes sectores:

  • Los sectores 0 a 18 (desplazamiento de disco 0 a 25FFh) se sobrescriben con su propio programa de arranque.
    • El sector 32 (desplazamiento del disco 4000h a 41FFh) se escribe con algunos datos aleatorios estructurados.
    • El sector 33 (offset de disco 4200h a 43FFh) se llena con 07h.

El MBR original está cifrado:

  • El sector 34 (desplazamiento de disco 4400h a 45FFh) se escribe con el MBR original cifrado XOR.

Si el proceso anterior falla, sobreescribirá los sectores 0-9 con código (0xBAADF00D).

Soluciones de Trend Micro

Puedes encontrar más información sobre las soluciones de Trend Micro en este artículo.

Los siguientes hashes SHA256 están relacionados con esta amenaza:

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

Compromiso del proceso de negocio (BPC)

Los ataques clasificados como business process compromise (BPC) o de compromiso de los  procesos de negocio, alteran en silencio partes de procesos de negocio específicos, o máquinas que facilitan estos procesos, con el fin de generar un beneficio económico significativo para los atacantes. El alto grado de discreción con el que se llevan a cabo tales ataques a menudo significa que las empresas pueden no localizarlo fácilmente o detectar los cambios de la conducta normal esperada, puesto que las funciones del proceso comprometidas siguen funcionando como se esperaba, pero producen un resultado diferente de lo originalmente previsto, tal y como explica Trend Micro.

BPC se caracteriza por la comprensión profunda de los agentes amenazadores de las operaciones y sistemas internos de las redes objetivo, así como los estándares utilizados por sus organizaciones. Esto les permite hackear, infiltrar o secuestrar procesos empresariales tales como gestión de cuentas, adquisiciones, operaciones de fabricación, pagos y entregas.

Para ver el vídeo, pinche aquí

El atraco al Banco Central de Bangladesh es un ejemplo reciente de BPC. En este ataque, que provocó pérdidas de hasta 81 millones de dólares, los ciberdelincuentes demostraron que tenían una idea clara de cómo funciona la plataforma financiera SWIFT y que conocían las debilidades de los bancos asociados que la utilizan. Al comprometer la red informática del Banco Central de Bangladesh, los cibercriminales fueron capaces de rastrear cómo se realizaron las transferencias y aprovechar las credenciales del banco para llevar a cabo transacciones no autorizadas.

BPC también se extiende más allá de las transacciones financieras. En 2013, un sistema de seguimiento de contenedores en el puerto marítimo de Amberes en Bélgica fue hackeado para pasar una tonelada de cocaína y heroína al margen de las autoridades portuarias.

BPC puede utilizar las mismas herramientas y técnicas que los ataques dirigidos, pero en lugar de apuntar a datos sensibles, los atacantes de BPC se centran exclusivamente en poder beneficiarse directamente de la alteración de los procesos de negocio. BPC es similar al compromiso de emails de negocio (BEC) en que ambos intentan secuestrar una transacción comercial normal, pero los atacantes BEC confían más en ingeniería social y menos en la alteración real de los procesos de negocio para lograr sus objetivos

Tipos de Business Process Compromise

  • Diversión

Los ataques que caen bajo este tipo de BPC aprovechan las brechas de seguridad en el sistema del flujo de efectivo de la organización. Los agentes de la amenaza son entonces capaces de transferir dinero a canales supuestamente legítimos.

Un ejemplo de este tipo de BPC es el fraude de nóminas, en el que los atacantes o personas malintencionadas con acceso al sistema de nómina pueden agregar empleados fantasma o falsos y usarlos para desviar dinero.

Las transferencias bancarias fraudulentas también caen bajo este tipo de BPC. Los ciberdelincuentes encuentran lagunas en el sistema de transferencia de dinero de un banco y alteran códigos o usan malware para desviar fondos a cuentas que poseen y controlan.

  • Piggybacking – o aprovecharse de un sistema existente

Este tipo de BPC aprovecha los procesos clave del negocio, como el transporte de mercancías ilegales y la transferencia de software malicioso, lo que se traduce en grandes ganancias financieras para los atacantes.

  • Manipulación financiera

Esta clase de BPC incluye aquellos cuyo objetivo es influir en los resultados financieros y en decisiones importantes de negocios tales como las adquisiciones. Los atacantes hacen esto introduciendo variables maliciosas en un sistema o proceso empresarial clave.

 

El mercado de valores puede ser manipulado, por ejemplo, cuando un software o sistema comercial está específicamente orientado a inclinar el valor de las acciones. Los comerciantes maliciosos podrían acumular miles o incluso millones de esta volatilidad repentina en el mercado.

Cronología de casos conocidos de BPC

(Esta infografía es interactiva. Para conocer más detalles, accede aquí a la misma y haz clic en cada uno de los círculos. Aparecerá un desplegable con más información).

Estrategias de defensa contra BPC

  1. Analizar el flujo de información de diferentes sensores para detectar   anomalías

El análisis de datos del flujo de información de varios sensores o medidas en su lugar puede utilizarse como una línea de base para comparar la congruencia del flujo de información con el fin de detectar cualquier anomalía. Auditar periódicamente todos los registros y transacciones es fundamental para determinar las lagunas y mejorar las condiciones de seguridad del entorno empresarial.

  1. Encontrar desviaciones estadísticas sobre prácticas y procesos similares de la industria

Las tecnologías de seguridad como la monitorización del comportamiento y la prevención de intrusiones pueden detectar discrepancias o apuntar a actividades sospechosas en la red. Aparte de esto, las empresas deben aprovechar los datos similares de otras prácticas y procesos industriales o de fuentes disponibles públicamente para servir como medidas adicionales sobre posibles resultados y expectativas.

  1. Reforzar la seguridad de los procesos de negocio a través de la recreación de estrategias de enfrentamiento con seguridad operacional (OPSEC)

La contratación de un red team externo para simular los posibles escenarios de ataque desde todos los puntos (tecnologías y herramientas utilizadas, procesos, medidas de seguridad en el lugar, etc.) puede probar la seguridad y resaltar los aspectos comúnmente olvidados o las lagunas en una organización. Este equipo debe estar compuesto por interventores forenses con experiencia en lavado de dinero.

  1. Realizar regularmente una garantía de calidad, controles de calidad y pruebas de    penetración

Las pruebas de penetración, la garantía de calidad y/o el control de calidad son pasos   que muestran las debilidades críticas dentro de la red, como las vulnerabilidades, que pueden ser detectadas. Sin embargo, los pen testers deben trabajar con el concepto de que los atacantes ya tienen el nivel más alto de acceso y en si los procesos en su lugar pueden mitigar estos en caso de un ataque real. También es aconsejable que tales pruebas se centren en la lógica de negocio con el fin de detectar los defectos y debilidades en el proceso de negocio actual que se puede atacar.

  1. Restringir las acciones programables

Los atacantes pueden encontrar fallos en la lógica de negocios y aprovecharse de acciones programables dentro del sistema para pagar ciertas acciones. Tales amenazas pueden ser resueltas restringiendo procesos innecesarios.

  1. Separar las funciones de los empleados

Para evitar amenazas internas, la distribución de las tareas a diferentes personas en varios departamentos es clave. Por ejemplo, aquellos que manejan las finanzas deben ser diferentes de las TI. Del mismo modo, el equipo que maneja las pruebas del producto no debe ser el mismo que los de la línea de producción para defenderse de los intentos de introducir factores maliciosos.

  1. Requiere que dos personas (de diferentes equipos o configuraciones de red) realicen acciones críticas

BPC abusa de procesos legítimos, por lo que es difícil defenderse. Aunque requerir de dos personas no detenga los ataques, hacerlo hará que sea difícil para los atacantes cometer con éxito el robo financiero. En los bancos, por ejemplo, es una práctica común separar las tareas de modo que cuando un ataque ocurre, los atacantes tienen que comprometer dos credenciales particulares.

  1. Formar a los empleados para identificar ataques de ingeniería social

La formación en concienciación sobre seguridad capacita a los funcionarios de alto nivel (CEO, CFO, etc.) a que los empleados y partners identifiquen y respondan al BPC. Otras prácticas básicas de seguridad, como la instalación de aplicaciones de confianza y la introducción de información sólo en sitios legítimos, pueden impedir la introducción de riesgos en el nivel del gateway.

Noticias falsas y ciberpropaganda: el uso y abuso de los medios sociales

Cuando el término “noticia falsa” (fake news) aparece, solemos pensar en los mensajes de las redes sociales con historias bastante fantásticas e inverosímiles, mientras que los mensajes compartidos en las redes sociales son su aspecto más visible, hay mucho más en las noticias falsas que títulos de artículos exagerados en los medios de comunicación social.

Accede a “Fake News and Cyber Propaganda: The Use and Abuse of Social Media” de Trend Micro

Noticias falsas y ciberpropaganda
Las noticias falsas pueden parecer algo nuevo, pero la plataforma utilizada es la única novedad. La propaganda ha existido durante siglos, e Internet es solamente el último instrumento de comunicación en ser explotado para esparcir mentiras y extender la desinformación.

El triángulo de fuego representa los tres elementos que un fuego necesita para quemar: oxígeno, calor y un combustible. Del mismo modo, las noticias falsas requieren tres elementos diferentes para tener éxito. Estos representan colectivamente el Triángulo de las Noticias Falsas: si no hay ninguno de estos factores, es incapaz de extenderse y alcanzar a su audiencia.

Figura 1. Triángulo de Noticias Falsas

 

El primer requisito: herramientas y servicios para manipular y difundir el mensaje a través de redes sociales relevantes, muchas de las cuales se venden en varias comunidades online de todo el mundo. Hay una amplia variedad de herramientas y servicios disponibles; algunos son relativamente sencillos (likes/followers pagados, etc.), mientras otros son más inusuales -algunos servicios prometen rellenar encuestas online, mientras que otros fuerzan a los propietarios de sites a retirar sus historias. En cualquier caso, las herramientas y los servicios de promoción de los medios sociales están disponibles, tanto dentro como fuera de la escena del underground o mercado clandestino.

Por supuesto, para que estas herramientas sean de cualquier uso, las redes sociales tienen que existir como una plataforma para difundir propaganda. Con la gente pasando cada vez más tiempo en estos sitios como forma de obtener las últimas noticias e información, su importancia en la difusión de noticias falsas no se puede subestimar. Sin embargo, hay una diferencia entre simplemente publicar propaganda y convertirla en algo que el público objetivo consume. Trend Micro muestra qué tipo de técnicas son utilizadas por los spammers para atraer a los usuarios y que vean sus historias.

El estudio de los medios de comunicación social también nos da una visión de las relaciones entre los bots y los destinatarios de la promoción de los medios sociales en Twitter. Esto nos da una idea del alcance y la organización de las campañas que intentan manipular la opinión pública.

Finalmente, la campaña de propaganda siempre viene con la pregunta: ¿por qué? Comentamos las motivaciones que hay detrás de las noticias falsas: a veces se trata simplemente de un deseo de ganar dinero a través de la publicidad. En otros casos, los objetivos pueden variar de lo criminal a lo político. Independientemente del motivo, el éxito de cualquier campaña de propaganda se basará, en última instancia, en lo mucho que afecta al mundo real.

Casos de estudio
Para mostrar la efectividad de estas campañas, el trabajo de Trend Micro incluye varios casos de estudio que muestran cómo varios agentes utilizarían herramientas para difundir noticias falsas para sus propios fines. Los casos de estudio de Trend Micro incluyen:

Las herramientas específicas para cada campaña no son especialmente diferentes: seguidores / fans, likes, reposts, comentarios, vídeos. Algunas campañas pueden encontrar que vale la pena comprar versiones de “alta calidad” de estos productos, que son teóricamente más difíciles de detectar por las redes de los medios sociales.

Figuras 2-4. Varios usos de noticias falsas

Contramedidas
Los gobiernos, empresas y usuarios se están dando cuenta de lo seria que puede ser la manipulación de la opinión pública, tal como se manifiesta en la investigación “noticias falsas”.

Los gobiernos están comenzando a reconocer que las noticias falsas son algo que debe ser combatido activamente. Varias agencias gubernamentales ya están estableciendo servicios para desmentir historias que consideran falsas. También están considerando la imposición de reglamentos y castigar a los sitios que publican información errónea.

Los objetivos de estas nuevas regulaciones incluirían los servicios de redes sociales. Esto haría de las noticias falsas algo muy malo para los negocios, de hecho, y por eso, están tomando medidas para combatirlo. Los pasos que se están siguiendo incluyen la suspensión de bot / cuentas sospechosas, añadir características para permitir a los usuarios informar de noticias falsas, y la contratación de más personal para ayudar a tratar con estos informes.

Al final, sin embargo, esto se reduce a usuarios formados. El trabajo de Trend Micro plantea algunas de las señales de las falsas noticias, con la esperanza de que los lectores puedan determinar por sí mismos cómo detectarlas. Este documento también debate sobre la psicología de las noticias falsas -qué hace que estas campañas funcionen y cómo pueden convencer a la gente- con la esperanza de que la concienciación sobre estas técnicas permita a los lectores resistirlas.

Para obtener más detalles en relación a los aspectos de las noticias falsas y la ciberpropaganda, consulta el documento de investigación: “La máquina de noticias falsas:  ¿cómo los propagandistas abusan de Internet y manipulan al público?”.

Ransomware Erebus para Linux: su impacto en servidores y contramedidas

Ransomware Erebus para Linux: su impacto en servidores y contramedidas

 

El 10 de junio, la compañía sudcoreana de alojamiento web NAYANA se convirtió en una de las últimas víctimas del ransomware después de que 153 de sus servidores Linux se vieran infectados con una variante del ransomware Erebus (detectada por Trend Micro como RANSOM_ELFEREBUS.A). El ataque de ransomware afectó a las web, bases de datos y archivos multimedia de alrededor de 3.400 empresas que utilizan los servicios de NAYANA.

En el último aviso publicado en la página web de la compañía, parece que los ciberdelincuentes obligaron a NAYANA a pagar el rescate. NAYANA procedió a pagar el primero de los tres pagos que debía realizar antes de recibir las claves necesarias para descifrar los archivos infectados. Sin embargo, NAYANA aún no ha recibido la primera clave de descifrado.

[Pulsa aquí si quieres saber más sobre SAMSAM, uno de los primeros ransomware para infectar servidores]

Erebus evolucionó desde la utilización de exploit kits a técnicas para eludir el Control de Cuentas de Usuario

El ransomware Erebus (RANSOM_EREBUS.A) apareció por primera vez en septiembre de 2016, y se distribuía por malvertisements (anuncios maliciosos). Los anuncios maliciosos desviaron a las víctimas al exploit kit Rig, que infecta los sistemas de la víctima con ransomware. Esta variante Erebus tiene como objetivo 423 tipos de archivos, archivos de codificación con el algoritmo de cifrado RSA-2048 y anexa los archivos afectados con la extensión .ecrypt. Esta versión de Erebus se observó utilizando sitios web comprometidos en Corea del Sur como sus servidores de comando y control (C&C).

En febrero de 2017, se descubrió que Erebus había evolucionado y cambiado sus tácticas, utilizando una técnica que evita el Control de Cuentas de Usuario (UAC) -una función de Windows que ayuda a prevenir que se produzcan cambios no autorizados en el sistema- para ejecutar el ransomware con privilegios elevados. En su nota de rescate, Erebus amenaza con borrar los archivos de la víctima dentro de las 96 horas siguientes a menos que se pague el rescate, que es 0,085 Bitcoin (216 dólares, a 15 de junio de 2017). Esta versión (RANSOM_EREBUS.TOR) también elimina las copias instantáneas para evitar que las víctimas recuperen sus archivos.

 

 

[CONSULTA: A technical overview of the fileless, code-injecting SOREBRECT ransomware that can encrypt network shares]

Ahora, el ransomware Erebus puede infectar servidores
La variante de malware que infectó a los servidores de NAYANA es el ransomware Erebus que fue transferido a servidores Linux. El análisis que está llevando a cabo Trend Micro indica que esta versión utiliza el algoritmo RSA para cifrar las claves AES; los archivos infectados se cifran con claves AES únicas. Sus mecanismos de permanencia incluyen un falso servicio Bluetooth añadido para garantizar que el ransomware se ejecute incluso después de reiniciar el sistema o el servidor. También emplea UNIX cron, una función de sistemas operativos como Unix y Linux que programa trabajos a través de comandos o scripts de shell para verificar cada hora si el ransomware se está ejecutando. Similar al caso de NAYANA, originalmente pedía 10 Bitcoins (24.689 dólares), pero el rescate ha bajado a 5 BTC (12.344 dólares).

Esta iteración de Erebus tiene como objetivo 433 tipos de archivos, algunos de los cuales incluyen:
• Documentos de Office (.pptx, .docx, .xlsx)
• Bases de datos (.sql, .mdb, .dbf, .odb)
• Archivos (.zip, .rar)
• Ficheros de correo electrónico (.eml, .msg)
• Archivos de proyecto del desarrollador y del sitio web (.html, .css, .php, .java)
• Archivos multimedia (.avi, .mp4)

[CONSULTA: ¿Cómo sistemas como UNIX y Linux se ven afectados por el panorama de ransomware]

Erebus no es el primer malware de cifrado de archivos dirigido a sistemas Linux, ni siquiera a servidores. Linux.Encoder, Encryptor RaaS, una versión de KillDisk, Rex, Fairware y KimcilWare son todos capaces de dirigirse a máquinas que ejecutan Linux. De hecho, el ransomware para Linux apareció ya en 2014, y fueron ramificaciones de proyectos supuestamente de código abierto diseñado con fines educativos. Los ransomware SAMSAM, Petya y Crysis son solo algunas de las familias conocidas para atacar y provocar brechas en servidores.

Aunque el ransomware Linux no está tan establecido o en su grado de madurez como sus equivalentes de Windows, todavía puede representar un impacto adverso significativo para los usuarios y especialmente para las empresas. Tal y como NAYANA ha ejemplificado, Linux es un sistema operativo cada vez más popular y un elemento omnipresente en los procesos de negocio de las organizaciones de diversas industrias, abarcando desde servidores y bases de datos hasta el desarrollo web y dispositivos móviles. Por ejemplo, los centros de datos y los proveedores de servicios de hosting/almacenamiento usan también máquinas que corren sobre Linux.

 [CONSULTA: Soluciones multicapa para el ransomware del servidor]

Prácticas recomendadas para proteger los servidores y sistemas Linux
El impacto del ransomware como Erebus para las operaciones de una organización, la reputación y el balance final pone de relieve la importancia de asegurar los servidores y sistemas que impulsan los procesos de negocio de una empresa. Además, el efecto se multiplica si un ransomware también logra infectar no solo los endpoints, sino también los servidores y las redes. A continuación, Trend Micro ofrece una serie de consejos y buenas prácticas que los administradores de TI/sistemas y profesionales de la seguridad de la información pueden adoptar para reforzar la postura de seguridad de sus servidores y sistemas:

  • Mantener actualizado el sistema y el servidor. Se debe aplicar una política de administración de parches sólida para garantizar que el sistema y el servidor cuentan con los últimos parches, correcciones y kernel desplegados.
  • Evitar o minimizar la adición de repositorios o paquetes de terceros o desconocidos. Esto limita las vulnerabilidades que los atacantes pueden emplear como puntos de entrada en el servidor o sistema. Los riesgos se pueden reducir aún más si se eliminan o deshabilitan componentes o servicios innecesarios en el servidor.
  • Aplicar el principio de menos privilegios. Al separar privilegios de Linux se proporciona una manera de restringir a las modificaciones que un programa puede realizar en el sistema. La restricción de permisos/privilegios también ayuda a mitigar la exposición y otros daños, además de evitar el uso no autorizado. Los administradores de TI y sistemas pueden considerar el uso de extensiones que implementan políticas obligatorias que gestionan el alcance de acceso que un programa puede tener a un archivo de sistema o a un recurso de red.
  • Supervisar y validar proactivamente el tráfico de red. Proteger la red contra las amenazas es una necesidad para cualquier empresa. La implementación de sistemas de prevención y detección de intrusiones, así como firewalls, ayuda a identificar, filtrar y bloquear el tráfico, lo que puede indicar una infección de malware. El registro de eventos proporciona información forense que puede ayudar a los administradores de TI/sistema a detectar intentos de incursión y ataques reales.
  • Haga una copia de seguridad de sus archivos. Una contramedida eficaz contra la táctica y el impacto del miedo al ransomware es realizar copias de seguridad de los archivos almacenados en el sistema o en el servidor, con al menos tres copias en dos formatos diferentes, con una de ellas almacenada fuera del sistema.
  • Aplicar segmentación de red y categorización de datos. La segmentación de la red restringe la propagación de la infección, mientras que la categorización de los datos mitiga los daños que se pueden producir en un ataque.

Las soluciones de Trend Micro

Trend Micro™ Deep Security™ evita que el ransomware comprometa los servidores empresariales y las cargas de trabajo, independientemente de si son físicos, virtuales, están en la nube o en contenedores. Deep Security™ defiende contra las amenazas de red ofreciendo prevención de intrusiones (IPS) y firewall alojado, protegiendo los servidores vulnerables de ataques con un parche virtual hasta que se pueda aplicar un parche de software. Deep Security™ mantiene el malware, incluido el ransomware, fuera de los servidores con sofisticadas tecnologías  antimalware y análisis de comportamiento, garantizando que las acciones maliciosas se detienen inmediatamente. Deep Security™ también aporta seguridad al sistema, incluyendo control de aplicaciones para bloquear servidores, y monitorización de integridad que puede detectar posibles indicadores de compromiso (IOCs), incluyendo ransomware.

Cómo las nuevas plataformas de chat pueden ser explotadas por los cibercriminales

Cómo las nuevas plataformas de chat pueden ser explotadas por los cibercriminales

Consultar el documento de Trend Micro: “Cómo los cibercriminales explotan las API de las plataformas de mensajería como infraestructura C&C”

Las plataformas de mensajería y chat como Discord, Slack y Telegram se han convertido en herramientas de comunicación muy populares en las oficinas. Estos tres ejemplos mencionados, en particular, disfrutan de beneplácito de empresas y organizaciones de todo el mundo. Una de las razones principales de esto es que estas plataformas de chat permiten a sus usuarios integrar sus aplicaciones en las propias plataformas mediante el uso de sus API. Este factor, cuando se aplica a un entorno de trabajo, reduce el tiempo dedicado a cambiar de una app a otra, lo que permite un flujo de trabajo optimizado y mayor eficiencia. Pero hay que preguntarse una cosa, especialmente en relación a ese tipo de característica: ¿puede ser explotada por los cibercriminales? Después de todo, hemos visto muchos casos en los que se utilizan servicios y aplicaciones legítimas para facilitar los esfuerzos de los ciberdelincuentes de una forma u otra, siendo el IRC uno de los mayores ejemplos, utilizado por muchos cibercriminales en el pasado como infraestructura de comando y control (C&C) para botnets.

Convertir las API de la plataforma de mensajería en infraestructura de comando y control
En esta investigación, el equipo de Trend Micro se ha centrado en analizar si estas API de las plataformas de mensajería/chat pueden convertirse en C&C y ver si existe malware que lo explota. A través de un extenso trabajo de monitorización, investigación y desarrollo de código de prueba de concepto, Trend Micro ha podido demostrar que la funcionalidad de la API de cada plataforma de mensajería se puede explotar con éxito convirtiendo estas plataformas en servidores C&C que los ciberdelincuentes pueden utilizar para establecer contacto con usuarios infectados o sistemas comprometidos.

Se han encontrado muestras de malware que explotan las API
La monitorización en profundidad de las plataformas de mensajería también ha revelado que los cibercriminales ya están abusando de estas plataformas con fines maliciosos. En Discord, Trend Micro ha encontrado muchas instancias de malware alojadas, incluyendo inyectores de archivos e incluso minería de bitcoins. En el caso de Telegram, se ha encontrado que es explotada por  ciertas variantes de KillDisk, así como TeleCrypt, una variedad de ransomware. En cuanto a Slack, Trend Micro, en el momento de escribir este artículo, no había encontrado ningún signo de actividad maliciosa en esta plataforma de mensajería.

Lo que hace que este problema de seguridad particular algo que las empresas deban tener en cuenta es que, actualmente, no hay manera de proteger las plataformas de mensajería instantánea sin aniquilar su funcionalidad. Bloquear las API de estas plataformas de chat significa volverlas inservibles, mientras la monitorización del tráfico de red en busca de conexiones sospechosas en Discord / Slack / Telegram es prácticamente inútil, ya que no hay diferencia perceptible entre aquellas iniciadas por el malware y las iniciadas por el usuario.

Con esta incógnita en mente, ¿deben las organizaciones evitar por completo estas plataformas de mensajería? La respuesta está en el estado actual de seguridad de las empresas. Si la seguridad de la red/endpoint de un negocio que utiliza una plataforma de mensajería está actualizada y los empleados dentro de esa empresa siguen prácticas de uso seguras, tal vez el riesgo potencial pueda merecer la pena en aras de la conveniencia y la eficiencia.

Prácticas recomendadas para los usuarios
• Mantener las comunicaciones y las credenciales como algo confidencial. No revelar ni compartir con nadie más.
• Nunca haga clic en enlaces sospechosos, ni siquiera en aquellos enviados por sus contactos.
• Nunca descargue archivos sospechosos, ni siquiera los enviados por sus contactos.
• Cumplir rigurosamente con los hábitos de navegación segura o uso del sistema.
• Nunca utilice su cuenta de servicio de chat para otra cosa que no sea fines de trabajo.
• El tráfico del chat debe ser considerado “completamente legítimo” al igual que el tráfico web – necesita decidir cómo supervisarlo, limitarlo o eliminarlo completamente.

Consejos de mejores prácticas para las empresas
• Aplicar directrices estrictas y hábitos de uso seguro entre los empleados.
• Informar a los empleados y directivos de los típicos timos de los cibercriminales, como las estafas de phishing y el spam.
• Asegúrese de que el personal de TI está informado y es formado sobre las amenazas que puedan surgir del uso de las plataformas de mensajería, y haga que supervisen la actividad sospechosa de la red.
• Evalúe si el uso de una plataforma de mensajería es realmente tan crítico para las operaciones diarias. Si no es así, suspenda su uso inmediatamente.

Los detalles técnicos completos de la investigación de Trend Micro se pueden encontrar en el último documento de investigación Cómo los cibercriminales pueden explotar las API de los programas de mensajería como infraestructuras de comando y control”.