Etiqueta: kit

El RaaS Philadelphia revela las habilidades de venta de los ciberdelincuentes

Cada vez es más sencillo construir y lanzar ransomware, independientemente de las habilidades. Lo único que se necesita es mala intención y acceso a la dark web (un mercado donde se venden kits de malware como juguetes en Amazon). La tendencia se conoce como ransomware as a service (RaaS) y pocos ejemplos son tan llanos y peligrosos como Philadelphia.

En el Black Hat 2017, Sophos publicó el informe “Ransomware como Servicio (RaaS): Deconstruyendo a Philadelphia”, escrito por Dorka Palotay, investigadora de amenazas en la oficina de SophosLabs en Budapest, Hungría. El análisis profundiza en la mecánica interior de un kit de ransomware que cualquiera puede comprar por 400 dólares, que permite secuestrar y mantener los datos de una computadora para el rescate a cambio de pago.

A la intemperie

Los creadores del kit RaaS, The Rainmakers Labs, dirigen su negocio de la misma manera que una compañía de software legítima para vender sus productos y servicios. Mientras comercializan Philadelphia en mercados escondidos en la dark web, también tienen videos online que explican el funcionamiento del kit y cómo personalizar el ransomware con una gama de opciones de funciones.

Mientras que el RaaS no es nuevo, la comercialización abierta de un ataque de ransomware “hágalo usted mismo”, sí lo es.

“Es sorprendentemente sofisticado lo que The Rainmakers Labs está tratando de hacer aquí. Todos los detalles sobre Philadelphia son públicos en la World Wide Web, en lugar de estar secretos en la dark web, que es donde la mayoría de otros kits de ransomware se comercializan. No es necesario un buscador de Tor para encontrar Philadelphia y el hecho de que sea descaradamente vendido es serio y, desafortunadamente, indicativo de lo que está por venir”, dijo Palotay.

Seguir a las víctimas y (quizá) tener compasión

Además de la comercialización, el producto en sí es muy sofisticado, con numerosas variables que los compradores pueden adaptar para orientar mejor sus ataques, incluyendo la posibilidad de “seguir a las víctimas en un mapa de Google” y “tener compasión”. También se explican consejos sobre cómo construir una campaña, configurar el centro de comando y control y recaudar dinero. Todo está ahí.

Irónicamente, la función “tener compasión” no es necesariamente para ayudar a las víctimas, sino que está ahí para ayudar a los ciberdelincuentes a salir de una situación complicada. “En su mayor parte, la opción “compasión” significa dar a los cibercriminales una salida, si están en una posición precaria después de un ataque en particular”, dijo Palotay. También está allí en caso de que los amigos de un atacante accidentalmente se encuentren atrapados o si los criminales cibernéticos quieren probar su ataque.

La opción “seguir a las víctimas en un mapa de Google”, que suena espeluznante, da una idea de cómo los ciberdelincuentes determinan la demografía de los que han engañado, lo que podría ayudarles a decidir repetir un ataque o corregir un próximo ataque.

Philadelphia también tiene lo que se llama un “puente” – un script PHP para gestionar las comunicaciones entre atacantes y víctimas y guardar información sobre los ataques.

Tener opciones de personalización y puentes promete más beneficios y añade una nueva dimensión al ciberdelito que podría aumentar la velocidad de la innovación de ransomware, comentó Palotay. En otros casos de RaaS examinados por SophosLabs, las estrategias de fijación de precios abarcaban desde la división de un porcentaje del rescate procedente de las víctimas con los clientes del kit, hasta la venta de suscripciones a los paneles que siguen a los ataques.

Código robado

El informe también revela que otros ciberdelincuentes han “crackeado” o pirateado Philadelphia y venden su propia versión a un costo menor. Mientras que el crackeo no es nuevo, la escala es interesante. Los ataques que no requieren que los criminales sepan exactamente lo que hacen y que están fácilmente disponibles para su compra están en constante evolución. Sophos estima que esta tendencia aumentará la apuesta y también el fraude contra los ciberdelincuentes continuará.

“No es raro que los ciberdelincuentes roben el código de otros o se basen en versiones anteriores de otros programas de rescate, que es lo que vimos con el reciente ataque NotPetya”, dijo Palotay y explicó: “El ataque de NotPetya combinó Golden Eye, una versión anterior de Petya, con Eternal Blue para propagar e infectar computadoras a nivel mundial”.

N de P. Sophos

ESET previene el secuestro de datos en las empresas

La firma de ciberseguridad junto a su equipo ESET Intelligence Labs, anunciaron el lanzamiento del ESET Ransomware Prevention Pack. El mismo está compuesto por un nuevo servicio denominado Ransomware Prevention, destinado a empresas de toda Latinoamérica, y un kit antiransomware para que las empresas se encuentren más y mejor preparadas a la hora de enfrentar esta amenaza.

Un ransomware restringe el acceso a determinadas partes o archivos de un sistema infectado, inutiliza el dispositivo para luego solicitar un rescate a cambio de quitar esta restricción. Los puntos más comunes de infección son la explotación de vulnerabilidades en servidores públicos o en servidores web públicos, y los ataques del tipo phishing a los usuarios de las organizaciones.

Federico Pérez Acquisto, COO de ESET Latinoamérica, “el ransomware es una de las amenazas con mayor crecimiento de los últimos tiempos y que implica pérdidas tanto de documentos, como también monetarias y de horas de trabajo. Mediante estrategias bien pensadas, los atacantes logran comprometer hoy en día el 100% de las organizaciones que se ponen como objetivo”.

El nuevo servicio realiza un diagnóstico de la seguridad mediante distintos tipos de pruebas que ayudan a establecer una estrategia de protección acorde a las necesidades de cada organización. Logra conocer el estado de la seguridad de la corporación en relación a los dispositivos de perímetro (o públicos) como servidores o servidores web expuestos a internet, así como el grado de concientización de los usuarios.

Dentro de las pruebas de diagnóstico se encuentran:

  • Network Penetration Test y Web Application Penetration Test:

Estás pruebas de intrusión son técnicas utilizadas para evaluar la seguridad de los recursos y activos de la organización desde el punto de vista de servidores, redes y Web. Permiten identificar las vulnerabilidades existentes en la infraestructura de red y en los sistemas, software instalado y en las aplicaciones web. Mediante estos se ejecuta un análisis con mayor profundidad permitiendo la identificación y explotación de las vulnerabilidades para observar el impacto real sobre la organización.

  • Social Engineering Test:

Esta técnica evalúa la seguridad de los recursos y activos de la organización. Está orientada a las personas dentro de cada organización e identifica las vulnerabilidades existentes a nivel de concientización y conocimiento sobre diferentes vectores de ataques. Busca especialmente la identificación y la explotación de las vulnerabilidades referidas al engaño de personas.

Los resultados pueden observarse en informes ejecutivos, que describen el nivel de riesgo de la compañía evidenciando las problemáticas por medio de conceptos claros y gráficos, y técnicos, que ayudan al personal de TI a solucionar los problemas detectados.

“Desde ESET Intelligence Labs buscamos que las compañías se focalicen 100% en su negocio con la tranquilidad de que cuentan con la mejor protección. Para esto contamos con un laboratorio de investigación único en la región y proporcionamos asesoría personalizada”, concluyó Perez Acquisto.

N. de P. ESET

Siete tendencias que están arremetiendo a los endpoint

La seguridad de extremo a extremo se ha convertido en uno de los puntos fuertes de la seguridad, la cual aporta soluciones originales y diversas para las empresas. Entre ellas, le compartimos las 7 tendencias más populares, en algunos casos destacan por su sencillez, y en otros por su cobertura:

  1. La firma de virus es parte del pasado: debido a los kits de creación de virus que circulan por internet crear un software malignos es demasiado fácil, por lo que la mayoría de antivirus falla en más de la mitad de los casos al aparecer constantemente nuevos software peligrosos; aprovechándose de la popularidad de los virus en los medios, muchas soluciones de seguridad endpoint comprueban diariamente las noticias de seguridad para poder tener controlados el tipo de ataques que se dan.
  2. Monitorear los programas ejecutables se queda en el 2015; los hackers de hoy en día emplean técnicas más sofisticadas, como emplear los comandos del Windows Powershell para dejar instalada el shell de comando, dejar varios textos con instrucciones preparados y comprometer la máquina sin casi dejar un rastro. Para reaccionar a esta nueva conducta los nuevos productos de seguridad rastrean cuales son las consecuencias finales en el extremo del dispositivo: ¿hay algún cambio raro en el Registro de Windows? o ¿se mueven ficheros?.
  3. Para evitar que los hackers consigan escalar privilegios, una de las tácticas más usadas recientemente, es importante seleccionar un producto que pueda monitorear los cambios en esta área; es habitual que un ciberdelincuente penetre en la red con un usuario y que vaya consiguiendo poco a poco privilegios del nivel de administrador.
  4. Las amenazas internas son las más perniciosas, por lo que bloquearlas se ha convertido en el auténtico reto para muchas organizaciones. Para evitar que los virus accedan a una red interna mediante un punto de confianza de la compañía es necesaria una herramienta capaz de mapear esta red y sus movimientos.
  5. Una solución que puede ahorrar muchos problemas son las especializadas en detectar los movimientos de información privada o confidencial, en esta época en la que el ransomware está a la orden del día.
  6. Otra aplicación popular de seguridad se centra en el uso del Big Data y la analítica basada en la nube para evaluar la conducta de la red, ahorrándose así el peso de los datos que se relegan a la nube. De esta forma, empleando técnicas de Big Data y de visualización de datos, pueden identificarse y bloquearse potenciales ataques.
  7. Estándares de informes de ataques, tales como CEF, STIX o OpenIOC, están siendo integrados en muchos productos endpoint.

Redaccióm