XD

Mostrando las entradas con la etiqueta Malware. Mostrar todas las entradas
Mostrando las entradas con la etiqueta Malware. Mostrar todas las entradas

mayo 22, 2017

EternalRocks el sucesor del ransomware WannaCry

EternalRocks sucesor de WannaCry infecta 7 vulnerabilidades

La industria y el sector tecnológico aún no salen del asombro por los ataques con el ransomware WannaCry, el malware que afectó a más de 300,000 ordenadores en 150 países y causó varios millones en pérdidas, los sucesores no han parado de llegar.

Hace sólo algunos días comentamos sobre un malware que se aprovecha de las mismas vulnerabilidades que WannaCry para infectar, pero que en lugar de ejecutar un ransomware instala un minero de criptomonedas.

Sin embargo, la letalidad ha subido de nivel con un nuevo malware diseñado de manera similar a WannaCry, pero mucho más agresivo.

EternalRocks es un nuevo malware que se aprovecha de siete vulnerabilidades en los sistemas operativos Windows relacionadas con el módulo SMB (Server Message Block); WannaCry, hay que recordar, sólo utiliza dos vulnerabilidades para su diseminación: EternalBlue y DoublePulsar.

De estas siete vulnerabilidades, seis han sido utilizadas por la NSA para perpetrar ataques de ciberespionaje, y fueron filtradas o vendidas en el mercado negro por ShadowBrokers

Finalmente, el exploit DoublePulsar forma parte de las vulnerabilidades que EternalRocks usa para diseminarse.

Tan pronto el EternalRocks infecta al sistema, descarga las herramientas Tor y envía señales como receptor para recibir instrucciones de comando, pero hasta en un plazo de 24hrs.

Esta técnica de ataque retrasado, hace que los sistemas antivirus/antimalware sean incapaces de detectar una actividad sospechosa al momento de la infección.
A pesar de esto, un backdoor queda abierto al momento de la instalación de EternalRocks, permitiendo que otros hackers puedan instalar su propio malware.

Pasadas las 24hrs, los hackers de EternalRocks pueden ejecutar un ransomware, un troyano bancario o RAT ya que usa una gran variedad de exploits. De momento las muestras obtenidas por varios investigadores en seguridad han revelado que EternalRocks se encuentra aún en fase de desarrollo, aunque la amenaza es evidente.

Otro punto clave de EternalRocks, es que este no dispone de un killswitch como WannaCry. Esto quiere decir que tan pronto EternalRocks alcance sus fases finales de desarrollo, no habrá una forma simple de detener los ataques. Eso sí, Los usuarios de Windows pueden instalar las actualizaciones correspondientes al módulo SMB que previenen la infección con EternalBlue.

En cuanto a las seis vulnerabilidades utilizadas por la NSA son EternalBlue, EternalChampion, EternalSynergy y EternalRomance, pero también SMBTouch y ArchTouch que son herramientas precisamente diseñadas para espiar dentro de los ordenadores.

 

mayo 13, 2017

El malware Wanna Cry infecta miles de empresas de 99 países

Malware infecto a miles de ordenadores en 99 países

Miles de ordenadores en cientos de empresas alrededor de 99 países fueron infectados por un malware del tipo ransomware, llamado Wanna Cry (WCry, WannaCryptor, o WannaDecryptor 2.0).

Esto ocurrió ayer 12 de mayo por la mañana, cuando se inició una campaña de difusión masiva, siendo una de las más aterradoras para los departamentos de IT alrededor del mundo.

El ataque comenzó por las alertas emitidos en la central de Telefónica en España, luego en Universidades Chinas, el Ministerio de Interior en Rusia y así, otras organizaciones se fueron sumando a lo largo del día.

En la mayoría de los casos, los usuarios de estas empresas no se vieron directamente afectados por los ataques.

Una de las organizaciones afectadas fue el Sistema Nacional de Salud Británico, cuyo ataque derivó en la inhabilitación de muchos centros asistenciales que operan con programas de citas médicas.

A consecuencia del malware muchos pacientes con citas previas no recibieron atención por falta de sus expedientes médicos y el orden de las citas.

Es aquí donde podemos observar en primera fila la relevancia que hoy en día tienen los sistemas de información, y cuánta importancia debemos darle a la seguridad de esos sistemas.

¿Cómo se infectaron tantas organizaciones por el Wanna Cry?

Es la segunda versión de un ransomware que vio la luz por primera vez en febrero de este año. Wanna Cry encripta los archivos de uso común en un ordenador.

Poniendo una clave para desencriptar los archivos, solicita en este caso un pago de US$ 300 en Bitcoins.

Según las investigaciones, se utilizó un exploit presente en Windows Vista, Windows 7 y Windows Server 200 llamado de ‘EternalBlue’.

Gracias a este exploit, los atacantes pueden ganar acceso remoto a los ordenadores objetivos vía el protocolo SMBv1.
El exploit fue dado a conocer gracias a las filtraciones de los documentos de la NSA por parte de WikiLeaks.

Al parecer esta agencia de inteligencia en Estados Unidos habría estado utilizando esta vulnerabilidad para perpetrar campañas de ciberespionaje.

Desde que EternalBlue fue dado a conocer, Microsoft tomó acciones para prevenir futuros ataques masivos como el ocurrido. Lanzó un parche bajo el nombre clave MS17-010, que corrige el problema de raíz. Al parecer muchas empresas optaron por ignorarlo y, sobre todo, ignorar la relevancia de los documentos que WikiLeaks expuso en Vault 7.

La instalación de Wanna Cry, no tiene mucha ciencia aplicada. El Ransomware se descarga de forma remota, se auto-extrae y auto-ejecuta el instalador. Luego descarga el cliente TOR para poder realizar sus comunicaciones a través de esta red anónima.

Wanna Cry analiza las bases principales de archivos del sistema y procede a encriptar los tipos de documentos y archivos principalmente utilizados en el sistema. Todo archivo encriptado es renombrado con la extensión. WNCRY.

En caso de que el usuario realice el pago, enviando el monto especificado a la dirección Bitcoin, deberá hacer clic en ‘Check Payment’.

El killswitch fue encontrado en el código de Wanna Cry por un investigador en seguridad informática que opera el MalwareTechBlog cuenta con el mismo.

Según cuenta él mismo, descubrió que cada vez que Wanna Cry comenzaba su infección chequeaba antes un dominio en Internet: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Este dominio no se encontraba registrado, así que MalwareTechBlog gastó £10 para hacerlo suyo y, sorpresivamente el proceso de encriptación que ejecuta Wanna Cry dejó de ejecutarse. Así pues, aunque el ransomware siga diseminándose, este no encriptará los archivos de sus víctimas. Pero hay que aclarar que aquellas empresas ya infectadas y en cuyas cuales se encriptaron sus archivos, nada cambiará.
De hecho, investigadores en seguridad advierten que esto solo ha contenido la infección de la versión 2.0 de Wanna Cry.

Nada evita que se esté escribiendo una nueva versión, con un killswitch distinto.

¿Debería pagar por Ransomware?

Esta pregunta la analizamos hace un tiempo con la conclusión de un estudio realizado por Kaspersky. En concreto, los datos del estudio de Kaspersky revelan que más del 36% de las empresas afectadas por Ransomware terminan pagando la demanda, pero solo hasta un 20% no reciben sus datos de vuelta.

Así pues, aparte de contribuir al crimen organizado pagando por el rescate, te estarías arriesgando a que estos criminales se queden con tu dinero y no recuperes tus archivos. Y cuando hablamos de varios cientos de dólares americanos, la verdad es que tomar ese riesgo no es una opción que parezca viable.

¿Cómo prevenir la infección?

Debemos tomar precauciones extra en caso de ser atacados nuevamente por un ciberataque, es necesario contactar nuevamente a las autoridades.

Hasta el momento, no hay una herramienta diseñada para desencriptar Wanna Cry 2.0, pero conectarse con las autoridades es sin duda un paso necesario, como en cualquier crimen.

La iniciativa NoMoreRansom esta soportada por Kaspersky, ESET, TrendMicro, Bitdefender, Intel, Amazon, Europol, y otra docena de organizaciones públicas y del sector privado.

Mantenerse alerta cuando llegue cualquier tipo de mensaje por medio del correo electrónico y tener mucha pericia al abrir documentos adjuntos.

Otra medida para combatir con facilidad los ataques de ransomware es mantener actualizados nuestros sistemas, sin importar si sean Windows o MacOS.

Wanna Cry ha realizado un exploit que Microsoft ya lanzó como parche hace unos meses. No incluyen en el parche a Windows XP y Windows 8;

Los parches son para las siguientes versiones: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

 

febrero 05, 2016

Difusión de malware en WhatsApp: roba datos privados

(Difusión de malware en WhatsApp: roba datos privados) %imagen%
Difusión de malware en WhatsApp: roba datos privados
México, 5 de febrero de 2016.- Difusión de malware en WhatsApp: roba datos privados de sus usuarios, siendo está la aplicación de mensajería instantánea más popular del mundo.

WhatsApp, permite que su propagación en los últimos días de un nue
Ver nota completa: http://notimundo.com.mx/difusion-de-malware/