Archivo de la etiqueta: ransomware

Cómo Trend Micro y sus partners mantuvieron a los clientes a salvo del ataque de ransomware a Kaseya

Uno de los ciberataques más audaces de los últimos años salió a la luz el pasado mes de diciembre, cuando hackers respaldados por el Estado infectaron a los clientes de una empresa de software de TI a través de una actualización maliciosa. El ataque de SolarWinds tuvo como resultado el compromiso de al menos nueve departamentos del gobierno estadounidense. En ese momento, Trend Micro advirtió que esto era solo la punta del iceberg. Por desgracia, teníamos razón. Ahora, potencialmente miles de clientes de otra empresa de software de gestión TI, Kaseya, han experimentado un destino similar.

Mientras las agencias de inteligencia estadounidenses investigan, Trend Micro y los clientes de sus partners siguen protegidos mediante múltiples capas de defensa. Esto es lo que ha ocurrido y cómo mantenemos la seguridad de estas organizaciones.

¿Qué ocurrió?

El ataque se produjo el 2 de julio, justo antes del fin de semana del Día de la Independencia de  Estados Unidos, y probablemente fue una estratagema calculada para pillar desprevenidas a las organizaciones y a sus equipos de seguridad informática. Su objetivo era la plataforma VSA de Kaseya, que es utilizada por los clientes MSP para la aplicación de parches automáticos y la supervisión remota de los entornos de sus clientes.

Según los informes, un exploit zero-day permitió a los atacantes saltarse los controles de autenticación, acceder y cargar una carga maliciosa en el sistema y ejecutar comandos mediante inyección SQL. De este modo, fueron capaces de utilizar VSA como arma para introducir un script PowerShell malicioso que cargaba el ransomware REvil en los sistemas de los clientes de los MSP, y en sus clientes a su vez. Como VSA está diseñada para operar con privilegios elevados, la falsa actualización maliciosa «Kaseya VSA Agent Hot-fix» se instaló en todos los sistemas gestionados.

El ransomware Sodinokibi/REvil (detectado como Ransom.Win32.SODINOKIBI.YABGC) deshabilitaba ciertos servicios y terminaba procesos relacionados con software legítimo, incluyendo navegadores y aplicaciones de productividad. También ejecutaba comandos para ocultar su actividad a Microsoft Defender. Kaseya advirtió a los clientes infectados con el ransomware que no hicieran clic en ningún enlace de las comunicaciones de los atacantes, ya que estos también podrían estar armados con malware.

¿Cuál es el impacto?

El grupo REvil, o más bien la filial que ha llevado a cabo este ataque en particular, ha intentado extraer rescates de empresas individuales. También exige 70 millones de dólares en criptomoneda por un «descifrador universal» que, según afirma, funcionará para todas las víctimas.

Kaseya afirma que «menos de 60» de sus clientes MSP locales y alrededor de 1.500 organizaciones secundarias se han visto afectadas. Entre ellas se encuentran organizaciones tan variadas como supermercados suecos, escuelas neozelandesas y empresas de TI holandesas.

Se espera que se despliegue un parche para que los clientes afectados vuelvan a estar online en el transcurso del día.

Cómo le protege Trend Micro

La buena noticia es que el propio ransomware es detectado por las soluciones antimalware de Trend Micro. De hecho, nuestras capacidades de machine learning predictivo y de monitorización del comportamiento detectaban y protegían contra las muestras antes de que se añadieran IOCs específicos al patrón de detección habitual. Esta funcionalidad se incluye en nuestra gama de seguridad Worry-Free, también ofrecida por Vodafone y otros partners para proteger a las pymes de amenazas graves como el ransomware.

Además, Trend Micro está bloqueando activamente varios vectores de infección de dominios maliciosos conocidos que están asociados a la campaña a través de Trend Micro Web Reputation Services (WRS).

Por último, nuestra plataforma Trend Micro Vision One para la detección y respuesta a amenazas, proporciona a los clientes capacidades de detección XDR de productos subyacentes como Apex One. También ayuda a las organizaciones a realizar barridos de IOCs para comprobar si hay actividad maliciosa y mejorar las investigaciones retrospectivas.

El ransomware va en aumento: por qué no podemos permitirnos bajar la guardia

El underground del cibercrimen, ese mercado clandestino, está en constante evolución. Sin embargo, desde Trend Micro se hace hincapié en que la volatilidad del panorama de las amenazas también dificulta la emisión de predicciones precisas a largo plazo acerca de hacia dónde se dirigen las cosas. Solo hay que tomar el ransomware como ejemplo: el año pasado se vio un descenso significativo en el número de detecciones y nuevas familias. Pero en la primera mitad de 2019, varios ataques bien difundidos contra organizaciones importantes han vuelto a elevar el perfil de la amenaza.

La mala noticia es que las técnicas utilizadas para distribuir ransomware son cada vez más sofisticadas. Para combatir este azote, se insta a los jefes de seguridad TI a que adopten una defensa en profundidad en todas las capas de la infraestructura.

Abajo, pero no fuera

Tal y como se revelaba en el informe de 2018, Trend Micro observó un descenso interanual del 91% en los componentes relacionados con el ransomware, como correos electrónicos, URL y archivos, y una disminución del 32% en el número de nuevas familias detectadas. La compañía cree que parte de la razón de esta caída está en la mejora de las soluciones antiransomware del mercado, y el incremento general del nivel de concienciación sobre la amenaza. Sin embargo, incluso entonces, se observó que el ransomware sigue siendo un medio eficaz para que los ciberdelincuentes generen grandes beneficios y, como tal, será difícil de eliminar.

Así parece hasta ahora en 2019. Un flujo continuo de organizaciones de víctimas de alto perfil debería servir como recordatorio del impacto devastador que puede tener la amenaza en el mundo de los negocios. El productor de aluminio Norsk Hydro sufrió un golpe financiero de 40 millones de dólares tan solo una semana después de que la variante LockerGoga causara interrupciones en marzo. Las ciudades de Estados Unidos también han sido objeto de ataques cada vez mayores en los últimos meses: Baltimore ha cargado con una factura de al menos 18 millones de dólares gracias a un gran apagón que afectó a hospitales, fábricas, aeropuertos y cajeros automáticos. Más recientemente, la empresa industrial belga, Asco, advirtió de una «interrupción grave de todas nuestras actividades» causada por un ataque.

Los ataques se vuelven más inteligentes

La mala noticia es que, si bien los ataques pueden tener un menor volumen que la marca de 2017, cuando WannaCry y NotPetya infectaron a cientos de miles de personas y empresas, se puede decir que hoy en día es más difícil defenderse contra ellos. Parece como si los atacantes de ransomware de nivel de entrada estuvieran utilizando cada vez más herramientas del libro de tácticas de los grupos de ataques dirigidos tradicionalmente más sofisticados para aumentar sus posibilidades de éxito.

Como se informó la semana pasada, los investigadores de Trend Micro han observado campañas de ataque utilizando un paquete de herramientas relacionadas con el famoso volcado de datos de Shadow Brokers. Esto incluye una puerta trasera basada en Eternal Blue y la herramienta de descarga de contraseñas Mimikatz, así como otras herramientas asociadas con el presunto Equation Group apoyado por Estados Unidos. Estos se utilizan para propagar malware de criptominería y ransomware.

Esto se produce a medida que nuevas variedades de ransomware utilizan cada vez más técnicas específicas. SamSam, Ryuk y otras familias podrían comprometer a su víctima inicialmente descifrando una contraseña RDP débil, antes de escalar privilegios, comprometer el software de seguridad y propagarse lo más ampliamente posible por una red antes de encriptarla. También pueden utilizar malware sin archivos o técnicas de “living off the land” («vivir de la tierra») para permanecer ocultos el mayor tiempo posible. Ryuk, en particular, parece estar dirigiéndose a organizaciones del sector industrial, sanitario y otros en los que cree que las víctimas se verán obligadas a pagar grandes sumas de dinero.

Contraatacando

Esta nueva determinación de causar el máximo daño a través de ataques de ransomware específicos representa un nuevo desafío para las organizaciones, pero no debería abrumarlas. De hecho, desde Trend Micro se insiste en que las mejores prácticas probadas son más importantes que nunca. Esto significa garantizar que sus procesos de gestión de vulnerabilidades y parches estén al día, que todas las cuentas estén protegidas con contraseñas seguras o autenticación multifactor y que los privilegios estén restringidos. La segmentación de la red también puede ayudar a prevenir la propagación de malware dentro de la organización. 

Los responsables de seguridad TI deben disponer de seguridad avanzada en capas en los endpoints, redes y servidores para detectar y bloquear de forma proactiva cualquier infección de ransomware. No hace falta decir que Trend Micro ofrece estas herramientas en Deep Security, Deep Discovery, Smart Protection Suites y Worry-Free Business Security. “Nuestro enfoque es la defensa contra amenazas conectada, en la que todas las capas comparten información para mejorar la protección y los tiempos de respuesta, y XGen: una mezcla intergeneracional de diferentes herramientas diseñadas para detener la mayor variedad posible de técnicas de ataque”, apuntan desde Trend Micro.

Este es el tipo de protección que necesitan las empresas a medida que el ransomware se vuelve más inteligente.

¿Website sin conexión? El nuevo ransomware FAIRWARE encontrado en el servidor podría ser la causa

Steve Neville, Trend Micro

En un momento en el que el goteo constante de noticias relacionadas con el ransomware no cesa, entra en escena FAIRWARE, una nueva variante que está atacando los servidores web bajo la plataforma Linux.

Comentado inicialmente en un post publicado en el foro Bleeping Computer, las víctimas explicaban que creían que se habían forzado sus máquinas para obtener acceso. Una vez en el servidor, los atacantes supuestamente cifran los archivos y eliminan el contenido de la carpeta web, borrando los archivos originales y dejando un mensaje que exige el pago de un rescate de dos Bitcoins para poder recuperar los archivos. Por supuesto, la eliminación de los contenidos de la carpeta www deja al servidor web inservible, lo que sería un problema importante en caso de aplicaciones web de misión crítica. Si la víctima no paga el rescate en el plazo de dos semanas, se le advierte que no va recuperar sus archivos y que estos pueden ser filtrados al público.

Todavía no está claro si el desarrollador del ransomware FAIRWARE quita realmente los archivos antes de eliminarlos, o si es simplemente una estrategia para que las víctimas paguen el rescate. Hasta la fecha, nadie ha pagado el rescate en el monedero Bitcoin especificado en la nota que deja, pero con datos valiosos bajo riesgo, la víctima deseará desesperadamente intentar recuperar los datos pagando el rescate.

Aunque ya hemos sido testigos de algunas modalidades de ransomware centrado en el servidor en ocasiones pasadas (SAMSAM es una variante reciente que aprovechaba una vulnerabilidad de JBOSS), y FAIRWARE es un buen recordatorio de que no existe una varita mágica, cuando se trata de proteger a las organizaciones del ransomware. Mientras la mayoría de los ataques se centran en el usuario final, los servidores ejecutan las aplicaciones de misión crítica y almacenan datos empresariales sensibles, los cuales necesitan estar protegidos como parte de una estrategia de seguridad por capas.

Una solución de seguridad efectiva para el servidor, como Trend Micro Deep Security, puede proteger los servidores a través de la nube híbrida ante ataque con una amplia variedad de controles de seguridad, proporcionando ayuda con:

  • La detección temprana de un ataque, incluyendo los casos en los que se recurre a la fuerza bruta como la utilizada por FAIRWARE y el movimiento lateral de servidor a servidor, lo que permite llevar a cabo una acción inmediata para reducir al mínimo el potencial impacto.
  • Blindaje de los servidores ante ataques (como SAMSAM) que aprovechan una vulnerabilidad para hacerse un hueco en el servidor.
  • Protección de los servidores de archivos empresariales -que alojan grandes volúmenes de datos corporativos valiosos- de los ataques a través de usuarios finales que están en situación de peligro, alertando a los administradores y deteniendo la actividad sospechosa en su recorrido.

Como parte de nuestro compromiso por ayudar a nuestros clientes ante los retos del ransomware, hemos preparado algunos consejos útiles y herramientas basados en nuestra amplia experiencia para combatir este tipo de amenaza. También puede acceder a un Webinar en el que los expertos de Trend Micro le proporcionarán prácticos consejos sobre lo que debe hacer para proteger a su organización.

 

Reemplazará CryptXXX a TeslaCrypt como ransomware?

por Jaaziel Carlos, Anthony Melgarejo, Rhena Inocencio y José C. Chen

La salida de TeslaCrypt del círculo ransomware ha causado olas en el mundo criminal cibernético. Los malos parecen estar asaltando barcos con la esperanza de conseguir un pedazo de la acción que anteriormente era propiedad de TeslaCrypt. En línea con esto, los indicadores apuntan a un nuevo hombre fuerte en el juego ransomware: CryptXXX.

CryptXXX (detectado como RANSOM_WALTRIX.C) ha sido el motivo de cambios recientes; uno de las cuales tuvo lugar después de una herramienta de descifrado libre de la superficie que permitió que las víctimas no tengan en cuenta el rescate. No sólo cifra los archivos, recientes variantes CryptXXX tienen ahora una técnica de pantalla de bloqueo que impide que los usuarios accedan a sus escritorios.

1

 

Sigue leyendo