Archivo de la etiqueta: TrendMicro

Reemplazará CryptXXX a TeslaCrypt como ransomware?

por Jaaziel Carlos, Anthony Melgarejo, Rhena Inocencio y José C. Chen

La salida de TeslaCrypt del círculo ransomware ha causado olas en el mundo criminal cibernético. Los malos parecen estar asaltando barcos con la esperanza de conseguir un pedazo de la acción que anteriormente era propiedad de TeslaCrypt. En línea con esto, los indicadores apuntan a un nuevo hombre fuerte en el juego ransomware: CryptXXX.

CryptXXX (detectado como RANSOM_WALTRIX.C) ha sido el motivo de cambios recientes; uno de las cuales tuvo lugar después de una herramienta de descifrado libre de la superficie que permitió que las víctimas no tengan en cuenta el rescate. No sólo cifra los archivos, recientes variantes CryptXXX tienen ahora una técnica de pantalla de bloqueo que impide que los usuarios accedan a sus escritorios.

1

 

Sigue leyendo

El malware de los cajeros automáticos en auge

David Sancho y Numaan Huq (Investigadores Senior de Amenazas)

Los cajeros automáticos no están siendo sólo afectados por el intento físico de vaciarlos. Ahora los ataques cibernérticos están siendo reconocidos poco a poco como una amenaza emergente por los organismos de la industria de seguridad y los de aplicación de la ley. Varios investigadores hemos detectado durante años software malicioso de los cajeros automáticos hemos visto incidentes que se han llevado a cabo con éxito. Para este tipo de delitos, el malware que se emplea es específico de los cajeros automáticos . El cambio a los medios digitales de ataque revela una comprensión por parte de los grupos criminales de que el uso de malware es la forma más fácil y segura de robar dinero e información de las tarjetas a los cajeros automáticos. Esta tendencia no hará sino crecer en el futuro y debemos ser conscientes de las diferentes vías de grupos criminales que han ganado acceso y se han creado a sí mismas.

Fraude y ataques físicos a los cajeros automáticos

Las estadísticas muestran un aumento general de los ataques de fraude a cajeros automáticos durante el pasado año (+ 15% desde 2014 hasta 2015 en los ataques de fraude relacionados con cajeros). La tendencia cada vez mayor de ataques de software en todas las áreas también significa que los grupos criminales más sofisticados ya se han dado cuenta de la oportunidad oculta en un conjunto de herramientas de hacking para esta área. Las estadísticas indican solamente el comienzo del uso de software malicioso para el fraude del cajero automático, pero sin duda es una tendencia que ha venido para quedarse.
A pesar de que no tenemos las estadísticas de ataque de malware en cajeros automáticos de EE.UU., el equipo de seguridad europeo establece que “las pérdidas internacionales fueron reportadas en 53 países y territorios fuera de la zona única de pago en euros (SEPA) y en 10 en la SEPA. Los tres primeros lugares donde se reportaron estas pérdidas son EE.UU., Indonesia y Filipinas”.
¿Qué provocó la llegada del software malicioso a los cajeros? Trend Micro y el Centro Europeo de Ciberdelincuencia de Europol (EC3) trabajaron juntos para examinar la evolución de las ciberamenazas en cajeros automáticos. Nuestra investigación indica que hay muchos factores que facilitaron el cambio hacia el uso de un conjunto de herramientas de hacking para apuntar a los cajeros automáticos, junto a ataques más tradicionales.

Un factor importante es el uso de un sistema operativo anticuado como Windows XP® que no puede recibir los parches de seguridad. Otra razón puede encontrarse en la creciente sofisticación de los delincuentes y su comprensión de que la forma digital es menos arriesgada y les permite moverse con mayor sigilo. Otro factor importante es la decisión de los proveedores de emplear middleware que proporciona interfaces de programación de aplicaciones para comunicarse con los dispositivos periféricos de la máquina (como el teclado de PIN, cajero automático, etc.) independientemente del modelo. Este middleware se conoce como Extensiones para Servicios Financieros (XFS) middleware. En términos simples, si pensamos en un cajero automático moderno como un PC MS Windows® con una caja de dinero que se supone que está controlado a través de software, es fácil comprender cómo se convierte en un objetivo atractivo para cualquier escritor de malware. Figura 2. Arquitectura del sistema XFS

Las principales familias de malware en cajeros automáticos existentes
La colaboración en la investigación de Trend Micro y el Centro Europeo de Ciberdelincuencia de Europol (EC3) también analizó los principales tipos de malware en circulación en el momento. El mapa de arriba muestra un patrón interesante en términos de origen del código. La falta de medidas de seguridad implementadas por los bancos comerciales en América Latina y Europa del Este, ha abierto la puerta para que criminales victimicen a los cajeros automáticos en estas regiones. Aunque muy lentamente, también estamos asistiendo a la exportación de estas técnicas a otras regiones. Aunque todavía no hemos visto malware de cajero que se venda underground, es de esperar que se desarrolle en un futuro no muy lejano.
Cada una de las familias de malware antes mencionadas tiene una determinada función de puesta a punto que se puede distinguir por dos características principales: el tipo fabricante de cajeros automáticos y las capacidades específicas de malware. Tanto si se utiliza para copiar la entrada del usuario en la máquina, tales como números de tarjetas y códigos PIN, o para la retirada real de efectivo. Lo que el malware tiene en común es que se instala normalmente de forma manual a través de USB o la unidad de CD. 3. Familias de malware de cajero y sus orígenes geográficos

Estas conclusiones se basan en una investigación de Trend Micro y el Centro Europeo de Ciberdelincuencia de Europol (EC3) realizada con el fin de examinar el estado actual del malware de cajeros. El resultado es un documento completo que destaca la amenaza cibernética así como la evolución de los cajeros automáticos incluyendo un análisis de los nuevos métodos utilizados y los correspondientes planteamientos defensivos clave para las organizaciones interesadas en proteger negocios y clientes. Este informe conjunto es otro ejemplo del éxito de la colaboración entre la policía y la industria en la lucha contra ciberdelincuencia.

El crypto-ransomware PowerWare se dirige a los archivos de impuestos

Igual que podemos estar seguros en relación a algunos aspectos de la vida, lo mismo pasa con el cibercrimen. El día para presentar la declaración de impuestos se acerca en EE.UU. y, como millones de americanos están inmersos en este proceso, los cibercriminales también están interviniendo para hacer que esta tarea sea más rentable para ellos y difícil para sus víctimas. Hemos sido testigos de incidentes recientes en organizaciones que caen por patrones de emails de negocio comprometidos  relacionados con la declaración de impuestos; ahora parece que los extorsionistas online se han sumado también a la refriega.

PowerWare (Trend Micro como RANSOM_POWERWARE.A) es un nuevo crypto-ransomware que explota Windows PowerShell para su proceso de infección. Sin embargo, aparte del cifrado de archivos que comúnmente realiza el ransomware, PowerWare también se dirige a los archivos de declaración de impuestos creados por los programas de presentación de impuestos (por ejemplo, archivos con extensiones .tax2013 y .tax2014). Tanto para usuarios como para las organizaciones, la pérdida de registros del período en vigor y de años previos puede ser una gran molestia que, en ocasiones resulta costosa. En EE.UU., por ejemplo, se recomienda que los contribuyentes guarden los registros de sus declaraciones de impuestos durante unos tres años después de la presentación de las mismas, ya que la ley de límites para evaluar los impuestos y las devoluciones se ejecuta durante ese mismo período de tiempo.

También vale la pena señalar que, si bien el ransomware que se dirige a los archivos específicos relacionados con los impuestos ya se ha visto con anterioridad, la técnica de PowerWare, que utiliza una macro y PowerShell, es bastante inusual.

 La infección comienza cuando los objetivos abren un documento de Microsoft Word con una macro maliciosa incrustada. Este documento se distribuye a través de mensajes de correo electrónico, que es una forma habitual para suministrar crypto-ransomware. El documento enseña a la víctima a habilitar las macros. Una vez que se habilitan, la macro maliciosa ejecuta los siguientes códigos:

Como se ve en los códigos anteriores, la macro utiliza cmd para ejecutar una instancia de Powershell.exe. Esta instancia se conecta a una web para descargar el script de ransomware PowerWare (también escrito en Powershell) y guardarlo en la carpeta temporal de Windows como Y.ps1. A continuación, el código ejecuta otra instancia PowerShell para correr PowerWare.

Como se mencionó antes, PowerWare cifra los archivos con extensión .tax2013 y .tax2014, entre otros, antes de autodestruirse. También dejar caer un archivo HTML denominado “FILES_ENCRYPTED-READ_ME.HTML” en cada carpeta con un fichero cifrado, que detalla cómo un usuario afectado puede conseguir sus archivos de nuevo.

Los atacantes piden 500 dólares, ó 1188 BTC (bitcoins) y el doble, si la víctima no realiza el pago antes del plazo concedido.

Sigue leyendo

PETYA, el crypto-ransomware que sobrescribe el MBR y bloquea el acceso a los usuarios a sus ordenadores

 Jasen Sumalapao, Threat Response Engineer

Por si el cifrado de archivos y la toma de rehenes no fuera suficiente, los cibercriminales que crean y difunden crypto-ransomware recurren ahora a provocar la pantalla azul de la muerte (BSoD) y a incluir sus notas de petición de rescate al iniciarse el sistema, incluso antes de que se cargue el sistema operativo. Imagínese encender el ordenador y que en lugar del habitual icono de carga de Windows aparezca una pantalla de color rojo y blanco en la que destella una calavera en su lugar.

Ésta es la rutina de una nueva variante de crypto-ransomware denominado “PETYA” (identificado por Trend Micro como RANSOM_PETYA.A). No sólo este malware tiene la posibilidad de sobrescribir el registro de arranque principal, también como registro de arranque maestro (MBR) del sistema afectado con el fin de bloquear el acceso a los usuarios, también es interesante observar que para llegar a las víctimas utiliza un servicio de almacenamiento cloud legítimo (en este caso lo hace a través de Dropbox).

El equipo de investigación de Trend Micro ha observado que no se trata de la primera vez que el malware abusa de un servicio legítimo para su propio beneficio; sin embargo, ésta es la primera vez (desde hace un largo período de tiempo) que provoca la infección por crypto-ransomware. También es una desviación de la cadena de infección típica, en la que los archivos maliciosos están asociados a mensajes de correo electrónico o alojados en sitios maliciosos y son entregados por kits de exploits.
Rutina de infección

Según se informa, PETYA todavía se distribuye por correo electrónico. Las víctimas recibirán un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un “aspirante” busca un puesto de trabajo en una empresa. Se presentaría a los usuarios con un hipervínculo a un lugar de almacenamiento de Dropbox, que supuestamente permitiría la descarga del currículum vitae (CV) del candidato.

En una de las muestras analizadas, en la carpeta de Dropbox los puntos de enlace contienen dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV, y las fotos del solicitante. Profundizando más, se ha encontrado que la foto es una imagen de stock que es muy probable que se utilice sin el permiso del fotógrafo.

Por supuesto, el archivo descargado no es en realidad un CV, sino más bien un archivo ejecutable de extracción automática que después desencadena la descarga de un troyano en el sistema. El troyano ciega a los programas antivirus instalados antes de la descargar (y ejecutar) el ransomware PETYA.

Síntomas de la infección Una vez ejecutado, PETYA sobrescribe el MBR de todo el disco duro, haciendo que Windows se cuelgue y muestre una pantalla azul. En caso de que el usuario trate de reiniciar su PC, el MBR modificado le impedirá la carga de Windows con normalidad y, en cambio, le dará la bienvenida con una calavera ASCII y un ultimátum: pague una cierta cantidad de bitcoins o perderá el acceso a sus archivos y al equipo.

Otra cosa a destacar es que el MBR editado tampoco permite reiniciar en Modo Seguro.

Acto seguido, el usuario recibe instrucciones explícitas sobre cómo hacer el pago, al igual que cualquier crypto-ransomware que esté circulando en la actualidad: una lista de demandas, un enlace a Tor Project y cómo llegar a la página de pago a través de él, y un código de descifrado personal.

Viendo la alta profesionalidad del diseño de la web Tor, descubrimos que su precio de rescate se encuentra actualmente en 0,99 Bitcoin (BTC), 431 dólares, y que dicho precio podría duplicarse si se agota el plazo indicado en la pantalla.

Las soluciones para el endpoint de Trend Micro como Trend Micro™ Security,  Smart Protection Suites, y Worry-Free™ Business Security pueden proteger a los usuarios finales y empresas de esta amenaza mediante la detección de los archivos maliciosos y mensajes de email, así como con el bloqueo de todas las URLs maliciosas relacionadas.

SHA1s de archivos relacionados:

  • 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  • B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  • 755f2652638f87ab517c608a363c4aefb9dd6a5a (Última actualización el 28 de marzo de 2016, 12:30 A.M. PDT).

Trend Micro agracede a Dropbox su rápida respuesta ante este incidente e informó debidamente a Dropbox acerca de los archivos maliciosos alojados en su servicio cuando este texto fue publicado en el blog de Trend Micro hace unos días. Dropbox ya ha eliminado el archivo en cuestión junto con otros enlaces que almacenan el mismo archivo. También ha emitido esta declaración:

“Nos tomamos cualquier indicio de abuso de la plataforma Dropbox muy en serio y tenemos un equipo dedicado que trabaja todo el día para controlar y prevenir el mal uso de Dropbox. Aunque este ataque no ha implicado ningún tipo de compromiso de seguridad de Dropbox, hemos investigado y se han puesto en marcha los procedimientos para cerrar de forma proactiva la actividad deshonesta o delictiva como ésta tan pronto como suceda”.  

Crypto-Ransomware se concentra en la región EMEA

La temporada de fiestas a menudo supone mucha actividad para los servicios de correos y paquetería, porque la gente compra en línea y comienza a enviar sus regalos a seres queridos que están lejos. Por esto, no sorprende demasiado recibir una notificación sobre encuesta de satisfacción sobre el envío de un paquete específico.

Los ciberdelincuentes, conscientes de esto, han comenzado a utilizar la entrega de paquetes como señuelo de ingeniería social para los recientes ataques crypto-ransomware de la región EMEA (Europa-Oriente Medio-África). Esto supone un importante giro porque los ataques previos están relacionados con las facturas y los estados financieros.
Según el feedback de Trend Micro Smart Protection Network, algunos países están en el top de víctimas de crypto-ransomware del último trimestre. Analizando los siguientes gráficos, podemos ver que España, Francia, Turquía, Italia y el Reino Unido se encuentran entre el grueso de víctimas de cripto-ransomware.

Affected Countries

1. Principales países infectados en la región EMEA, septiembre 2014

Affected Countries

2. Principales países infectados en la región EMEA, octubre 2014

Affected Countries

3. Principales países infectados en la región EMEA, noviembre 2014

Sigue leyendo