Etiqueta: Cryptolocker

El malware bancario Dridex hace la instalación de un antivirus

Muchos son los usuarios que han sufrido el engaño de abrir mensajes maliciosos contenidos en documentos Word, distribuyendo de forma online por el troyano maligno Dridex pueden tener una (agradable) sorpresa: el malware lleva a la instalación de un programa antivirus.

Esto sucede a causa de que alguna persona, probablemente un hacker blanco o algún miembro de Anonymous, ha conseguido acceder a los servidores que los cibercriminales utilizan para distribuir el troyano Dridex y lo ha reemplazado por una instalación del antivirus gratuito Avira.

Dridex es uno de los tres troyanos que utiliza con mayor frecuencia  a los usuarios  de operaciones de banca online como víctimas. El pasado año, las autoridades competentes norteamericanas y británicas unieron esfuerzos para acabar con la amenaza y descubrieron que detrás de este troyano se encontraba un ciudadano moldavo como sospechoso de haber perpetrado la mayoría de ataques. Los esfuerzos policiales causaron daños mínimos en la infraestructura y actividades de Dridex, ya que sus fechorías retornaron con mayor fuerza desde entonces añadiendo nuevos engaños a su conjunto de herramientas. Dicho troyano actúa inyectando código malicioso desde las websites bancarias abiertas en los ordenadores afectados.

Los ataques de Dridex suelen tener un punto inicial a través de mensajes de email con documentos Word adjuntos que contienen código malicioso. Dichos documentos suelen contener a su vez macros incrustados que, si se ejecutan, conectan con un servidor que descarga una instalación de Dridex. Hace poco tiempo, investigadores de malware del antivirus Avira observaron que algunos servidores de distribución de Dridex dirigían a un instalador de antivirus en lugar de dirigirla al troyano.

Esto vino a significar que, algunas de las víctimas a les que les direccionaban a Avira, fueron afortunadas ya que, en lugar de tener sus ordenadores infectados recibían una copia digital firmada por la empresa desarrolladora del antivirus. En cualquier caso, la instalación del antivirus Avira no es un proceso automático o silencioso, por lo que los usuarios tenían que instalar la aplicación de forma manual si querían tenerla en funcionamiento.

“Desconocemos quién es el responsable de estos cambios en las instalaciones y por qué, pero tenemos nuestras teorías;  lo que sí podemos afirmar es que no es algo que hayamos realizado nosotros”, ha señalado Moritz Kroll, experto de Avira. Y es que, en el pasado, la instalación del antivirus Avira había sido realizada gratuitamente por un grupo de hackers que controlaban los servidores que distribuían los sistemas de ransomware Tesla y CryptoLocker.

-Redacción

 

 

Muchas empresas terminan pagando el rescate del ransomware

En cien días, la banda cibercriminal que hay detrás de CryptoLocker, obtuvieron unas ganancias de 30 millones de dólares, mientras que los creadores de CryptoWall han logrado cerca de 325 millones de dólares.

El panorama mundial de ciberamenazas sigue creciendo y los criminales han descubierto que el cifrado malicioso de los datos, seguido de una petición de rescate, puede ser altamente rentable. Según una reciente investigación de Kaspersky Lab y B2B Internacional, el 45% de las empresas reconocen la grave amenaza que representa el cryptomalware, también conocido como ransomware. A pesar de ello, el ransomware sigue afectando gravemente las empresas, muchas de las cuales admiten que acaban pagando el rescate.

Según datos de Kaspersky, se calcula que Cryptolocker ha infectado a más de 234 000 computadoras en todo el mundo, lo cual  ha generado unas ganancias de 30 millones de dólares en un período de cien días, mientras que los creadores de CryptoWall han obtenido aproximadamente 325 millones de dólares.

Las empresas son un objetivo tentador para un ataque de ransomware. No importa el tamaño de la empresa, Cryptomalware encontrará la manera para bloquearla. Al igual que otras formas de malware, el ransomware entra en una red a través de correos electrónicos, archivos adjuntos maliciosos o enlaces de un sitio web comprometido, que los empleados incautos han abierto, descargado o en los que han hecho clic. No hay señales que alerten a un usuario de que se ha infectado hasta que recibe la petición de rescate. Según Kaspersky, una solución de seguridad multi-capa es la única cosa que va a detener al cryptomalware.

“Los ataques de cryptomalware son rentables y cada vez más populares entre los cibercriminales. Las empresas a menudo pagan sin darse cuenta de que no hay ninguna garantía de que sus datos serán desbloqueados cuando lo hagan, y hay nuevas pruebas de que el ransomware mal codificado puede significar que la información nunca se recupera. La mejor manera de proteger los datos y activos de la empresa es aplicar medidas de ciberseguridad integrales que cubran todo, desde la infraestructura y el almacenamiento hasta las redes móviles, todo ello acompañado de la conciencia y la educación de los empleados. Además es esencial que se haga un respaldo de los datos con regularidad, para que la empresa no se encuentre en la posición de tener que elegir entre pagar el rescate o perder los datos”, señala David Emm, investigador principal de seguridad de Kaspersky Lab.

-Hilda Gómez

¿Qué es Cryptolocker y cómo pueden las empresas enfrentarse a él?

Cryptolocker, es la amenaza que han destacado diversos medios especializados en seguridad y tecnología, afecta tanto a usuarios particulares como a empresas, en muchas ocasiones, las organizaciones están incluso más expuestas debido a la cantidad de información confidencial que manejan.

opensll_vulnerabilidad-seguridad-datosDesde hace varios meses, la seguridad en el ambiente informático de las empresas prácticamente no se habla de otra cosa: Cryptolocker, un tipo de ataque dirigido y, como todos los ataques dirigidos, requieren de una gran sofisticación por parte de los delincuentes que lanzan el ataque. Tal vez el daño de este ataque dirigido no sea muy distinto del producido por otros que sufren a diario las empresas. El gran detonante, es que con este ataque dirigido las empresas sí son conscientes del mismo porque el propio malware se lo comunica al usuario infectado. De ahí su gran popularidad en los últimos meses.

Cryptolocker es un tipo de malware conocido como ransomware. ‘Ransom’ en inglés significa secuestro, y eso es precisamente lo que buscan los delincuentes con este tipo de ataques, secuestrar la información de la empresa y extorsionar al usuario para que pague el rescate de los datos. El volumen de este “mercado”, porque es un mercado con su oferta y su demanda, es muy atractivo para los delincuentes y por ello realizan grandes inversiones en el desarrollo de este tipo de malware.

Reconocer este malware es realmente complicado. En general, las empresas están muy desprotegidas frente a este tipo de ataques, de ahí su alta tasa de infección y su repercusión en los medios. Esta desprotección se debe a que los mecanismos tradicionales de detección, como los sistemas de filtrado de correo o web o los antivirus, no han sido efectivos para toda la estructura de las organizaciones. En mayor o menor medida, estos mecanismos de detección se basan en comparar software, URLs, firmas de correo con patrones ya conocidos de amenazas previamente detectadas y clasificadas. Sin embargo, estamos expuestos a más de 200 000 nuevas muestras de malware diarias de media, este tipo de estrategia se ha quedado obsoleta.

A final de cuentas, todos los fabricantes invierten en hacer más eficientes sus mecanismos de protección tradicionales, para acortar el tiempo de reacción, no deja de ser precisamente eso: un mecanismo reactivo. Al final se convierte en una carrera entre delincuentes y fabricantes de seguridad que no siempre conseguimos ganar. Por eso es necesario un nuevo acercamiento a la protección. Algo que ya mostró la firma de seguridad hace siete años, motivo por el cual desarrollamos Panda Adaptive Defense, nuestra protección contra amenazas persistentes que sí es capaz de detener Cryptolocker y, lo que es más importante, sus nuevas variantes.

-Redacción

Un 96 % del malware en móviles está basado en Android, reporta Fortinet

Android 96 por ciento malwareEl año pasado fue un caldo de cultivo para el malware dirigido a los dispositivos móviles. Y es que, según los resultados de los Laboratorios FortiGuard de Fortinet sobre el panorama de amenazas para el periodo comprendido entre el 1º de enero al 31 de diciembre de 2013, Android fue la plataforma dominante elegida por los desarrolladores, representando el 96.5 % de todos los casos de infecciones detectadas de malware para móviles.

En segundo lugar, y muy distante de Android, el sistema operativo Symbian presentó el 3.45 %, mientras que BlackBerry, iOS, PalmOS y Windows no sumaron entre ellos ni siquiera el 1%.

Los laboratorios FortiGuard detectaron más de 1,800 nuevas y diferentes familias de virus durante el último año, y la mayoría de ellos apuntan hacia la plataforma Android de Google.

“Al ver el crecimiento del malware para Android, hay mucho por lo cual preocuparse mientras nos adentramos en el 2014. El crecimiento no muestra señales de desaceleración; de hecho, parece estar aumentando”, advirtió Axelle Apvrille, investigador senior de antivirus para móviles en los laboratorios FortiGuard.

Agregó que mientras más dispositivos basados en Android sean comprados y puestos en línea, las oportunidades de infección de parte de los atacantes también aumentarán.

Al tiempo que los ataques en plataformas como Symbian disminuyen, los atacantes han hecho de Android el blanco móvil número uno. El malware NewyearL.B para Android, incluido dentro de descargas aparentemente inocentes como una aplicación de linterna, continúa apuntando a millones de dispositivos y fue la familia de malware móvil número uno durante todo el año.

Usuarios inconscientes o desprevenidos que buscan probar el último juego o aplicación (app) se encuentran, sin saberlo, compartiendo una gran cantidad de información personal con un atacante. Esto da lugar a molestos anuncios invasivos y otros efectos negativos, tales como permitir que el NewyearL.B. agregue o remueva íconos del sistema y modifique o borre el contenido de cualquier dispositivo de almacenamiento externo. La distribución de malware para Android sigue acelerándose.

Según FortiGuard Labs, las 10 principales familias de malware móvil dentro del reporte de casos son:

1.    Android/NewyearL.B

2.    Android/DrdLight.D

3.    Android/DrdDream

4.    Familia Android/SMSSend

5.    Familia Android/OpFake

6.    Android/Basebridge.A

7.    Familia Android/Agent

8.    Android/AndCom.A

9.    Familia Android/Lotoor

10.                   Android/Qdplugin.A

 ZeroAccess, la botnet más prolífica del año

A principios del 2013, los Laboratorios FortiGuard informaron acerca de la botnet ZeroAccess y cómo sus controladores añadían sistemáticamente cerca de 100,000 nuevas infecciones por semana, llevando a los investigadores a creer que la persona o personas detrás de ella no sólo pagaban semanalmente una generosa cantidad de dinero para crear nuevas infecciones afiliadas, sino que eran capaces de generar una significativa cantidad de dinero al hacerlo.

“Vimos versiones de 32 y de 64 bits de ZeroAccess siendo usadas para cometer fraude al hacer clic, para envenenar los motores de búsqueda y para minar el Bitcoin. Con el dramático aumento en el valor del Bitcoin durante el 2013, es probable que los dueños de ZeroAccess hayan obtenido ganancias sustanciales a espaldas de sus víctimas”, explicó Richard Henderson, estratega de seguridad en los laboratorios FortiGuard.

Las 10 botnets principales dentro del reporte de casos en 2013 fueron:

1.    ZeroAccess (88.65% de dominio general)

2.    Andromeda (3.76%)

3.    Jeefo (3.58%)

4.    Smoke (2.03%)

5.    Morto (0.91%)

6.    Mariposa (0.43%)

7.    Waledac (0.18%)

8.    IMDDOS (0.18%)

9.    Mazben (0.15%)

10.                   Torpig (0.10%)

India, la que distribuye más spam en el mundo

A través de múltiples métodos, los spammers tratan de evitar que los escáneres (rastreadores), para animar a los usuarios a hacer clic en los enlaces contenidos en sus mensajes, incluyendo mensajes de fax falsos, anuncios farmacéuticos, e-cards (tarjetas electrónicas) y archivos maliciosos adjuntos o enlaces diseñados para distribuir malware.

“Tal vez lo más interesante es cuán diversificados en el mundo están los spammers en lo que al envío de mensajes se refiere: nuestras estadísticas muestran que mientras que cerca de la mitad de todos los mensajes que vimos en el 2013 vinieron de Europa Oriental y Rusia, los países restantes en nuestra lista de los 10 principales están ubicados alrededor del mundo”, aseveró Henderson.

En 2013, los 10 países principales que enviaron spam desde una IP (según el número de incidentes mensuales reportados con porcentaje de dominio general) fueron India (con 22.66%), China (18.39%), Bielorrusia (12.40%), Rusia (10.27%), Estados Unidos (10.06%), Kazajistán (6.14%), España (5.37%), Argentina (5.00%), Ucrania (4.93%) y Taiwán (4.78%).

ZeuS sigue siendo el rey del malware

En términos generales de malware para computadoras personales, el troyano ZeuS tomó el primer lugar en 2013, con más de 20 millones de intentos de infectar redes protegidas con FortiGate. ZeuS apareció por primera vez en las computadoras en el 2007 y ha sido una “piedra en el zapato” de los usuarios de Internet desde entonces. La fuga del 2011 del código origen de ZeuS llevó a una explosión de variantes de imitaciones por cibercriminales que buscaban hacer fortuna a costa de víctimas inocentes.

“Mientras que ZeuS se usaba usualmente como un troyano financiero, un número significativo de infecciones ZeuS fueron usadas para distribuir y ejecutar el ransomware Cryptolocker. Éste le dio un nuevo giro a los ransomware debido a que usaba pares de claves criptográficas generadas individualmente para encriptar completamente el contenido de la computadora de la víctima, y cualquier unidad mapeada sobre la cual la víctima tuviese la habilidad de escribir”.

De esta forma, como señaló Henderson, Cryptolocker le informaba entonces a la víctima que contaba con poco de tiempo para pagar un rescate significativo –a veces tanto como unos pocos cientos de dólares, y típicamente pagado únicamente con Bitcoin– antes de que la clave de cifrado usada para encriptar la computadora de la víctima fuese borrada, haciendo que los archivos de la víctima ya no pudiesen recuperarse en su totalidad.

Las víctimas variaban entre usuarios domésticos que perdían miles de archivos de valor personal como fotografías y películas caseras, empresas de todo tipo y entidades públicas. Cryptolocker también fue visto infectando a usuarios a través de otros métodos, incluyendo flash drives infectadas, usualmente en combinación con falsas herramientas para la activación de programas comúnmente esparcidos a través de sitios de intercambio de archivos y a través de correos electrónicos con datos adjuntos infectados.

Así, en 2013 las 10 principales familias de malware según el número de incidentes reportados fueron:

1.    Familia W32/ZeuS(Zbot)

2.    Familia W32/Tepfer

3.    JS/FBJack.A

4.    PDF/Script.JS

5.    Familia W32/ZeroAccess

6.    Familia W32/Kryptik

7.    Familia JS/IFrame

8.    W32/Yakes.B

9.    X97M/Agent.F

10.                   Familia W32/Blocker

Vulnerabilidades de día cero

Según Fortinet, desde que las investigaciones iniciaron en el 2006, los laboratorios FortiGuard han descubierto 142 vulnerabilidades de día cero. A la fecha, 14 de ellas aún continúan sin parches. En el 2013, los laboratorios descubrieron y responsablemente divulgaron 18 nuevas vulnerabilidades de ese tipo, 12 de las cuales continúan sin ser parchadas. La mayoría de estas vulnerabilidades fueron clasificadas como “Importantes” o “críticas”.

Para descargar el reporte completo de FortiGuard Labs, haga clic aquí.