Etiqueta: kit

El RaaS Philadelphia revela las habilidades de venta de los ciberdelincuentes

Cada vez es m谩s sencillo construir y lanzar ransomware, independientemente de las habilidades. Lo 煤nico que se necesita es mala intenci贸n y acceso a la dark web (un mercado donde se venden kits de malware como juguetes en Amazon). La tendencia se conoce como ransomware as a service (RaaS) y pocos ejemplos son tan llanos y peligrosos como Philadelphia.

En el Black Hat 2017, Sophos public贸 el informe “Ransomware como Servicio (RaaS): Deconstruyendo a Philadelphia”, escrito por Dorka Palotay, investigadora de amenazas en la oficina de SophosLabs en Budapest, Hungr铆a. El an谩lisis profundiza en la mec谩nica interior de un kit de ransomware que cualquiera puede comprar por 400 d贸lares, que permite secuestrar y mantener los datos de una computadora para el rescate a cambio de pago.

A la intemperie

Los creadores del kit RaaS, The Rainmakers Labs, dirigen su negocio de la misma manera que una compa帽铆a de software leg铆tima para vender sus productos y servicios. Mientras comercializan Philadelphia en mercados escondidos en la dark web, tambi茅n tienen videos online que explican el funcionamiento del kit y c贸mo personalizar el ransomware con una gama de opciones de funciones.

Mientras que el RaaS no es nuevo, la comercializaci贸n abierta de un ataque de ransomware 鈥渉谩galo usted mismo鈥, s铆 lo es.

“Es sorprendentemente sofisticado lo que The Rainmakers Labs est谩 tratando de hacer aqu铆. Todos los detalles sobre Philadelphia son p煤blicos en la World Wide Web, en lugar de estar secretos en la dark web, que es donde la mayor铆a de otros kits de ransomware se comercializan. No es necesario un buscador de Tor para encontrar Philadelphia y el hecho de que sea descaradamente vendido es serio y, desafortunadamente, indicativo de lo que est谩 por venir”, dijo Palotay.

Seguir a las v铆ctimas y (quiz谩) tener compasi贸n

Adem谩s de la comercializaci贸n, el producto en s铆 es muy sofisticado, con numerosas variables que los compradores pueden adaptar para orientar mejor sus ataques, incluyendo la posibilidad de “seguir a las v铆ctimas en un mapa de Google” y “tener compasi贸n”. Tambi茅n se explican consejos sobre c贸mo construir una campa帽a, configurar el centro de comando y control y recaudar dinero. Todo est谩 ah铆.

Ir贸nicamente, la funci贸n “tener compasi贸n鈥 no es necesariamente para ayudar a las v铆ctimas, sino que est谩 ah铆 para ayudar a los ciberdelincuentes a salir de una situaci贸n complicada. “En su mayor parte, la opci贸n 鈥渃ompasi贸n鈥 significa dar a los cibercriminales una salida, si est谩n en una posici贸n precaria despu茅s de un ataque en particular”, dijo Palotay. Tambi茅n est谩 all铆 en caso de que los amigos de un atacante accidentalmente se encuentren atrapados o si los criminales cibern茅ticos quieren probar su ataque.

La opci贸n “seguir a las v铆ctimas en un mapa de Google”, que suena espeluznante, da una idea de c贸mo los ciberdelincuentes determinan la demograf铆a de los que han enga帽ado, lo que podr铆a ayudarles a decidir repetir un ataque o corregir un pr贸ximo ataque.

Philadelphia tambi茅n tiene lo que se llama un “puente” – un script PHP para gestionar las comunicaciones entre atacantes y v铆ctimas y guardar informaci贸n sobre los ataques.

Tener opciones de personalizaci贸n y puentes promete m谩s beneficios y a帽ade una nueva dimensi贸n al ciberdelito que podr铆a aumentar la velocidad de la innovaci贸n de ransomware, coment贸 Palotay. En otros casos de RaaS examinados por SophosLabs, las estrategias de fijaci贸n de precios abarcaban desde la divisi贸n de un porcentaje del rescate procedente de las v铆ctimas con los clientes del kit, hasta la venta de suscripciones a los paneles que siguen a los ataques.

C贸digo robado

El informe tambi茅n revela que otros ciberdelincuentes han 鈥渃rackeado鈥 o pirateado Philadelphia y venden su propia versi贸n a un costo menor. Mientras que el crackeo no es nuevo, la escala es interesante. Los ataques que no requieren que los criminales sepan exactamente lo que hacen y que est谩n f谩cilmente disponibles para su compra est谩n en constante evoluci贸n. Sophos estima que esta tendencia aumentar谩 la apuesta y tambi茅n el fraude contra los ciberdelincuentes continuar谩.

“No es raro que los ciberdelincuentes roben el c贸digo de otros o se basen en versiones anteriores de otros programas de rescate, que es lo que vimos con el reciente ataque NotPetya”, dijo Palotay y explic贸: 鈥淓l ataque de NotPetya combin贸 Golden Eye, una versi贸n anterior de Petya, con Eternal Blue para propagar e infectar computadoras a nivel mundial鈥.

N de P. Sophos

ESET previene el secuestro de datos en las empresas

La firma de ciberseguridad junto a su equipo ESET Intelligence Labs, anunciaron el lanzamiento del ESET Ransomware Prevention Pack. El mismo est谩 compuesto por un nuevo servicio denominado Ransomware Prevention, destinado a empresas de toda Latinoam茅rica, y un kit antiransomware para que las empresas se encuentren m谩s y mejor preparadas a la hora de enfrentar esta amenaza.

Un ransomware restringe el acceso a determinadas partes o archivos de un sistema infectado, inutiliza el dispositivo para luego solicitar un rescate a cambio de quitar esta restricci贸n. Los puntos m谩s comunes de infecci贸n son la explotaci贸n de vulnerabilidades en servidores p煤blicos o en servidores web p煤blicos, y los ataques del tipo phishing a los usuarios de las organizaciones.

Federico P茅rez Acquisto, COO de ESET Latinoam茅rica, 鈥渆l ransomware es una de las amenazas con mayor crecimiento de los 煤ltimos tiempos y que implica p茅rdidas tanto de documentos, como tambi茅n monetarias y de horas de trabajo. Mediante estrategias bien pensadas, los atacantes logran comprometer hoy en d铆a el 100% de las organizaciones que se ponen como objetivo”.

El nuevo servicio realiza un diagn贸stico de la seguridad mediante distintos tipos de pruebas que ayudan a establecer una estrategia de protecci贸n acorde a las necesidades de cada organizaci贸n. Logra conocer el estado de la seguridad de la corporaci贸n en relaci贸n a los dispositivos de per铆metro (o p煤blicos) como servidores o servidores web expuestos a internet, as铆 como el grado de concientizaci贸n de los usuarios.

Dentro de las pruebas de diagn贸stico se encuentran:

  • Network Penetration Test y Web Application Penetration Test:

Est谩s pruebas de intrusi贸n son t茅cnicas utilizadas para evaluar la seguridad de los recursos y activos de la organizaci贸n desde el punto de vista de servidores, redes y Web. Permiten identificar las vulnerabilidades existentes en la infraestructura de red y en los sistemas, software instalado y en las aplicaciones web. Mediante estos se ejecuta un an谩lisis con mayor profundidad permitiendo la identificaci贸n y explotaci贸n de las vulnerabilidades para observar el impacto real sobre la organizaci贸n.

  • Social Engineering Test:

Esta t茅cnica eval煤a la seguridad de los recursos y activos de la organizaci贸n. Est谩 orientada a las personas dentro de cada organizaci贸n e identifica las vulnerabilidades existentes a nivel de concientizaci贸n y conocimiento sobre diferentes vectores de ataques. Busca especialmente la identificaci贸n y la explotaci贸n de las vulnerabilidades referidas al enga帽o de personas.

Los resultados pueden observarse en informes ejecutivos, que describen el nivel de riesgo de la compa帽铆a evidenciando las problem谩ticas por medio de conceptos claros y gr谩ficos, y t茅cnicos, que ayudan al personal de TI a solucionar los problemas detectados.

鈥淒esde ESET Intelligence Labs buscamos que las compa帽铆as se focalicen 100% en su negocio con la tranquilidad de que cuentan con la mejor protecci贸n. Para esto contamos con un laboratorio de investigaci贸n 煤nico en la regi贸n y proporcionamos asesor铆a personalizada鈥, concluy贸 Perez Acquisto.

N. de P. ESET

Siete tendencias que est谩n arremetiendo a los endpoint

La seguridad de extremo a extremo se ha convertido en uno de los puntos fuertes de la seguridad, la cual aporta soluciones originales y diversas para las empresas. Entre ellas, le compartimos las 7 tendencias m谩s populares, en algunos casos destacan por su sencillez, y en otros por su cobertura:

  1. La firma de virus es parte del pasado: debido a los kits de creaci贸n de virus que circulan por internet crear un software malignos es demasiado f谩cil, por lo que la mayor铆a de antivirus falla en m谩s de la mitad de los casos al aparecer constantemente nuevos software peligrosos; aprovech谩ndose de la popularidad de los virus en los medios, muchas soluciones de seguridad聽endpoint聽comprueban diariamente las noticias de seguridad para poder tener controlados el tipo de ataques que se dan.
  2. Monitorear los programas ejecutables se queda en el 2015; los hackers de hoy en d铆a emplean t茅cnicas m谩s sofisticadas, como emplear los comandos del Windows Powershell para dejar instalada el shell de comando, dejar varios textos con instrucciones preparados y comprometer la m谩quina sin casi dejar un rastro. Para reaccionar a esta nueva conducta los nuevos productos de seguridad rastrean cuales son las consecuencias finales en el extremo del dispositivo: 驴hay alg煤n cambio raro en el Registro de Windows? o 驴se mueven ficheros?.
  3. Para evitar que los hackers consigan escalar privilegios, una de las t谩cticas m谩s usadas recientemente, es importante seleccionar un producto que pueda monitorear los cambios en esta 谩rea; es habitual que un ciberdelincuente penetre en la red con un usuario y que vaya consiguiendo poco a poco privilegios del nivel de administrador.
  4. Las amenazas internas son las m谩s perniciosas, por lo que bloquearlas se ha convertido en el aut茅ntico reto para muchas organizaciones. Para evitar que los virus accedan a una red interna mediante un punto de confianza de la compa帽铆a es necesaria una herramienta capaz de mapear esta red y sus movimientos.
  5. Una soluci贸n que puede ahorrar muchos problemas son las especializadas en detectar los movimientos de informaci贸n privada o confidencial, en esta 茅poca en la que el聽ransomware聽est谩 a la orden del d铆a.
  6. Otra aplicaci贸n popular de seguridad se centra en el uso del Big Data y la anal铆tica basada en la nube para evaluar la conducta de la red, ahorr谩ndose as铆 el peso de los datos que se relegan a la nube. De esta forma, empleando t茅cnicas de Big Data y de visualizaci贸n de datos, pueden identificarse y bloquearse potenciales ataques.
  7. Est谩ndares de informes de ataques, tales como CEF, STIX o OpenIOC, est谩n siendo integrados en muchos productos endpoint.

Redacci贸m