real
time web analytics
Ransomware » MuyComputer
[ Ransomware ]
El 40% de las víctimas del Ransomware pagan ¿Soluciones?

El 40% de las víctimas del Ransomware pagan ¿Soluciones?

4 de cada 10 víctimas de Ransomware pagan para liberar sus equipos. Un dato increíblemente alto que nos sirve una investigación de la firma de seguridad cibernética Trustlook.  El informe de Trustlook indica que alrededor del 17% de los usuarios han estado infectados alguna vez con Ransomware y el 38% de ellos han optado por pagar un rescate que oscila entre 100 y 500 dólares. Los usuarios que aún no han sido afectados por ransomware presentan una postura firme, ya que sólo el 7% dice que pagarían. El problema es que hablan desde la perspectiva de no afectado y según los datos, el Ransomware es una verdadera epidemia que se extiende en consumo y también en empresas. Otro problema que indica la estudio es que el 23% de los encuestados no tienen copia de seguridad alguna de sus datos. Y cuidado, porque el backup es el elemento clave para no tener que pagar a estos ciberdelincuentes. Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil por cualquier vía de infección, bloquea el funcionamiento del equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos. Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad. Puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles) y su motivación es casi exclusivamente económica. Los últimos ataques Ransomware han confirmado que los desarrollos son cada vez más sofisticados y peligrosos. Cómo prevenir y solucionar ataques Ransomware Para intentar frenar esta amenaza, el CCN-CERT (Centro de respuesta a incidentes de seguridad del Centro Criptológico Nacional) publicó un interesante informe denominado “Medidas de seguridad contra Ransomware”, que todo usuario deberíamos conocer porque repasa desde los conceptos básicos de este malware, las vías de infección, las medidas preventivas, las medidas reactivas y la restauración de ficheros o su descifrado cuando sea posible. Lo más interesante es la lista de medidas preventivas a adoptar en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente los ataques Ransomware. Los hemos comentado en otras ocasiones pero no está de mal recordarlos porque la prevención es siempre la mejor fórmula: Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas). Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail. Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control. Establecer una defensa en profundidadempleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days). No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo “Privacy Manager”, que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits). Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero. Adicionalmente, se recomienda la instalación de la herramienta “Anti Ransom”, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse. El informe también ofrece algunas de las herramientas y utilidades on-line existentes que permiten el descifrado de ciertos especímenes de ransomware. Es la última solución si no tenemos copias de seguridad y no podemos perder los archivos. Ya te adelantamos que no es sencillo porque los ciberdelincuentes van por delante y por ello los métodos de prevención tienen que estar por encima de todo. Un último consejo: no pagues a estos delincuentes. Asegúrate de tener al día tus copias de seguridad y en caso de infección por Ransomware, formatea, instala desde cero sistema operativo y resto de software, y restaura tus datos en un equipo totalmente limpio.
31 comentarios16 shares
2 díasJuan Ranchal
Karmen, llega el ransomware como servicio

Karmen, llega el ransomware como servicio

El malware se ha convertido en un negocio muy lucrativo que no deja de evolucionar. Con la llegada de Karmen se ha dado un nuevo paso que apunta hacia el ransomware como servicio, una modalidad que os vamos a explicar a continuación. Karmen es un tipo de ransomware basado en el Hidden Tear que utiliza cifrado AES de 256 bits para "secuestrar" archivos y datos del equipo infectado. Esta amenaza de seguridad se vende en foros de la Deep Web como una herramienta completa y fácil de usar que incluso incluye un panel de información, donde se pueden visualizar los "clientes", el dinero recibido y el precio que pedimos como rescate por desbloquear los archivos. Los que lo promocionan e intentan hacer negocio con su venta aseguran que es un sistema muy sencillo, que no requiere apenas conocimientos informáticos y que es una oferta redonda, ya que cuesta 175 dólares y bien usado permitirá "conseguir varios miles de dólares". Promesas para vender, eso es evidente, pero lo cierto es que la figura del ransomware como servicio se ha popularizado durante los últimos meses hasta convertirse en algo muy real que está atrayendo a un número cada vez mayor de personas. Obvia decir que utilizar este tipo de herramientas equivale a cometer un delito, tanto si ganamos dinero con ello como si no, aunque es evidente que Internet ofrece muchas posibilidades para lanzar ataques que mantengan al cibercriminal relativamente a salvo, una realidad que ha contribuido al desarrollo del cibercrimen. Respeto al ransomware en sí Karmen es una solución avanzada que actúa con contundencia y avisa de que cualquier interferencia nos hará perder los datos, aunque algunos profesionales como Michael Gillespie están trabajando en el desarrollo de herramientas para luchar contra este ransomware y ofrecen ayuda a aquellos que la necesiten. Más información: Neowin.
2 comentarios22 shares
21/04/2017Isidro Ros
El ransomware Patcher cifra tus archivos en macOS para siempre

El ransomware Patcher cifra tus archivos en macOS para siempre

Que lejos queda aquello de que los Mac "no tenían virus", una afirmación que en su momento sirvió a Apple para promocionar sus equipos, y que hoy con la llegada de amenazas del calibre del ransomware Patcher no es más que un recuerdo de una época en la que aquellos simplemente no estaban en el punto de mira de los cibercriminales. Según ha indicado la firma de seguridad ESET este nuevo ransomware afecta a macOS y se disfraza como un parche para "activar" de forma ilegal determinadas herramientas, como Adobe Premiere Pro y Microsoft Office, entre otras. El gancho es efectivo, ya que hay una gran base de usuarios que no puede o que no quiere pagar el coste de las licencias originales de dichos productos, y que por tanto son propensos a recurrir a la piratería para poder utilizarlas, pero el ransomware como tal está muy mal programado. Esto es importante por una razón muy sencilla. Como todo ransomware Patcher cifra los archivos del sistema cuando se activa, utilizando para ello una clave de 25 caracteres contra la que no es posible lanzar ataques de fuerza bruta. Lo dicho supone que no se puede romper, y que por tanto sólo podemos liberar nuestros archivos accediendo a realizar el pago de 0,25 bitcoin, que al cambio son unos 283 dólares. Sin embargo aquí es donde surge el problema, puesto que aunque realicemos el pago no recibiremos ninguna clave de rescate, de manera que nuestros archivos quedarán bloqueados de forma permanente Como siempre decimos el sentido común es la mejor manera de mantener vuestros equipos protegidos, y evitar el software pirata y los activadores también ayuda. Más información: Neowin.
15 comentarios12 shares
23/02/2017Isidro Ros
Koolova, el ransomware que libera tus archivos si lees dos artículos de seguridad

Koolova, el ransomware que libera tus archivos si lees dos artículos de seguridad

El ransomware se ha convertido en una de las amenazas de seguridad más populares del momento y como ya hemos dicho se entiende perfectamente, ya que es un tipo de malware que puede llegar a ser muy lucrativo. Por si alguien no sabe cómo funcionan exactamente este tipo de amenazas de seguridad lo explicamos de forma sencilla. Se utiliza un "gancho", normalmente un enlace malicioso o un archivo "cocinado", para conseguir una infección. Cuando la misma se lleva a cabo el ransomware se activa y procede a cifrar los archivos más importantes del equipo, impidiéndonos acceder a ellos y amenazando con borrarlos totalmente si no pagamos una determinada cantidad de dinero, que normalmente deberemos entregar en bitcoins. Koolova actúa de esa forma, pero una vez que ha cifrado los archivos no pide un rescate en dinero, sino que nos da la opción de leer dos artículos sobre seguridad informática y de cómo hacer un uso seguro de Internet. Como vemos su objetivo no es hacer dinero, sino dar un pequeño tirón de orejas al usuario y educarlo en materia de seguridad para que pueda evitar futuras infecciones por malware y aprenda unas nociones mínimas en materia de seguridad informática. Una forma interesante de "educar" al usuario, de eso no hay duda, aunque eso no quiere decir que sea inofensivo, ya que viene con un temporizador que fija un plazo límite para leer los dos artículos. Si el mismo llega a cero nuestros archivos serán borrados. Más información: MuySeguridad.
37 comentarios33 shares
06/01/2017Isidro Ros
El ransomware evolucionará a lo largo del próximo año

El ransomware evolucionará a lo largo del próximo año

No hay duda, el ransomware se ha convertido en una de las amenazas de seguridad más importantes y más graves que existen actualmente, y no sólo por su alta capacidad destructiva, sino también por su enorme popularidad. Como sabéis muchos de vosotros un ransomware actúa cifrando archivos concretos de nuestras unidades de almacenamiento y acto seguido pide un rescate, que normalmente suele ser el pago de una determinada cantidad de dinero a través de Bitcoin. La cifra puede variar mucho en función del tipo de ransomware y también de la persona que sufra la infección, ya que hay casos que van desde unos pocos cientos de dolares hasta otros que llegan a alcanzar las cinco cifras. El caso es que esta amenaza irá a peor, y según el experto Corey Nachreiner, CTO de WatchGuard Technologies, a partir de 2017 veremos ransomworms, es decir, tendrán las mismas propiedades que los virus de tipo gusano. Esto quiere decir que una vez que infecten un equipo intentarán extenderse a tantos otros como les sea posible, algo que puede ser especialmente grave en el caso de empresas que tienen configurados numerosos equipos en red. Un ransomworm que se cuele en una empresa de ese tipo podría sembrar el caos y llegar a pedir un rescate millonario por los datos de todos los equipos infectados, un hecho que de nuevo pone de relieve lo que ya hemos dicho en ocasiones anteriores, y es que la alta rentabilidad que presentan estas amenazas se mantiene como su principal motor. Más información: Neowin.
1 comentario67 shares
28/12/2016Isidro Ros
RansomFree, protégete del ransomware de forma totalmente gratuita

RansomFree, protégete del ransomware de forma totalmente gratuita

El ransomware está en alza, y es que como sabemos este tipo de malware que "secuestra" archivos, los cifra y pide un rescate a cambio suele ser muy rentable y bastante eficaz, pero RansomFree viene dispuesto a aguarles la fiesta a los cibercriminales que han apostado por estas amenazas de seguridad. Según sus creadores, la firma de seguridad Cybereason, RansomFree es compatible con todos los sistemas operativos que van desde Windows 7 a Windows 10, incluyendo Windows Server 2008 R2 y 2012, y aseguran que es capaz de detener el 99% de las amenazas de ransomware, y no sólo las que ya se conocen, sino también aquellas que no han sido identificadas. ¿Y cómo lo consigue? Pues gracias a un conjunto completo de tecnologías propietarias que son capaces de identificar diferentes comportamientos y técnicas de engaño, que en resumen identifican un ataque de forma prematura y lo evitan antes de que pueda llegar a extenderse. Os explico el proceso para que se entienda un poco mejor. RansomFree procede a la creación de directorios aleatorios en el sistema infectado, que tienen nombres con caracteres ~ y ! por su posición en la tabla ASCII, algo vital ya que permite que sean los primeros en ser cifrados. Una vez que se detecta que esos archivos están siendo cifrados suspende el proceso para impedir el cifrado y avisa al usuario, que es el que tiene la última palabra a la hora de decidir qué quiere hacer, si cancelarlo definitivamente o dejar que siga. Como no podía ser de otra forma desde Cybereason han confirmado que esta solución de seguridad será actualizada periódicamente, aunque también han querido hacer un acto de humildad y han recordado que la mejor protección pasa por el sentido común y el respaldo de archivos con copias de seguridad. Si queréis probar RansomFree podéis descargarla desde este enlace. Más información: Neowin.
7 comentarios117 shares
20/12/2016Isidro Ros
Cibercriminales rivales publican “las llaves” del ransomware Chimera

Cibercriminales rivales publican “las llaves” del ransomware Chimera

En un movimiento sorprendente e inesperado una banda rival de ciberciminales ha decidido publicar "las llaves" o claves, como queráis llamarlo, que permiten superar el cifrado del ransomware Chimera. Detrás de este "buen gesto", entrecomillado porque en realidad responde a intereses propios, están los responsables de dos ransomware muy conocidos, Petya y Mischa, que en total han filtrado unas 3.500 claves de descifrado con las que hacer frente a Chimera, y también aseguran haber conseguido acceder al sistema de desarrollo de dicho malware. Desde Malwarebytes han confirmado todo esto e indican que las claves que han sido liberadas podrían ser auténticas, aunque necesitarán un tiempo para comprobarlo. Con todo recomiendan paciencia a los usuarios que se hayan visto infectados por Chimera, ya que tienen la esperanza de que puedan acabar recuperando sus archivos sin problema. ¿Es tan peligroso Chimera? Desde luego es peligroso y molesto, ya que no sólo cifra los archivos, sino que además amenaza con filtrarlos a Internet y ponerlos al alcance de todo el mundo si no pagamos el rescate que exigen. Dicho rescate asciende a 2,4 Bitcoin, lo que equivale a unos 1.576 dólares. Como siempre mucho cuidado con lo que descargáis y con los sitios por los que navegáis, ya que una infección por ransomware no se produce de forma autónoma, sino que requiere un error mínimo por parte del usuario. Más información: Neowin.
10 comentarios167 shares
28/07/2016Isidro Ros
Este nuevo ransomware sabe donde vives

Este nuevo ransomware sabe donde vives

Ya hemos dicho en muchas ocasiones que el ransomware es sin duda una de las grandes plagas que está azotando actualmente al mundillo tecnológico y el motivo es simple, es probablemente el tipo de malware más lucrativo que existe hasta la fecha. Precisamente ese gran potencial a la hora de generar ingresos es el motor que lleva a los cibercriminales a evolucionar, a buscar nuevas formar de engañar a sus víctimas, y con este nuevo tipo de ransomware hay que reconocer que han conseguido ir un paso más allá. La clave la tenemos en el gancho, es decir, el contenido con el que buscan hacer que caigamos en un engaño y acabemos sufriendo una infección que permita al ransomware actuar. En este nuevo caso se produce un primer paso en forma de phishing, en el que los cibercriminales envían falsos correos electrónicos suplantando la identidad de determinadas compañías. En dichos correos aparece nuestro nombre completo y nuestra dirección, así como una indicación de que debemos un determinado dinero por ciertos servicios y que debemos satisfacerlo antes de una fecha determinada. Es falso, pero está muy trabajado y es fácil caer si no tenemos un poco de cuidado. Como no podía ser de otra forma el correo contiene un enlace que supuestamente nos permite descargar un archivo Word con más información, pero en realidad es donde se esconde el ransomware. Si acabamos siendo infectados se cifrarán los archivos más importantes de nuestro PC y no podremos utilizarlo con normalidad salvo que paguemos el rescate que pide, y que curiosamente se va incrementado según va pasando el tiempo. En efecto, cuanto más esperas más pagas. No queda claro cómo han conseguido los creadores de esta amenaza hacerse con las direcciones y datos de sus objetivos, pero todo apunta a que podrían haber recurrido a alguna base de datos. Como siempre os recomendamos tener mucho cuidado y no abrir ni descargar nada que no sea de total confianza. Antes de terminar aprovechamos para dejaros una lectura recomendada, este especial de MuySeguridad con consejos para evitar caer en las garras del ransomware. Más información: ZDNet.
2 comentarios234 shares
07/04/2016Isidro Ros
Petya, el ransomware que ataca unidades enteras

Petya, el ransomware que ataca unidades enteras

Es una de las grandes plagas que está azotando al mundo de la seguridad informática, y la verdad es que resulta comprensible ya que el ransomware se ha convertido en uno de los tipos de malware más lucrativos del momento, una realidad que ha llevado a la creación de modelos cada vez más avanzados y problemáticos. Petya es uno de los máximos exponentes y también uno de los más peligrosos, título que se ha ganado por méritos propios. Este ransomware no se limita a seguir los pasos de otros que secuestran y cifran archivos concretos para pedir después un rescate, normalmente en forma de pago con Bitcoin, sino que ataca las partes clave de la unidad de almacenamiento. Dicho de otra forma, Petya "secuestra todo el disco duro", os lo explicamos con detalle. Una vez que el usuario lo ejecuta el malware toma el control y reinicia el equipo afectado, sobreescribiendo el MBR (registro de arranque maestro) en el proceso y cifrando la MFT (tabla maestra de archivos). Con este proceso evita tener que cifrar un disco duro completo, cosa que le llevaría mucho tiempo, pero consigue un efecto parecido, ya que el disco duro ya no será capaz de identificar dónde se encuentran exactamente los archivos. Una vez que se ha completado el ataque la víctima recibe un pantallazo con una calavera hecha con caracteres y el aviso de que para que todo vuelva a la normalidad debe pagar 0,99 bitcoins, unos 430 dólares. Petya se propaga principalmente vía spam, así que cuidado con los correos electrónicos de fuentes desconocidas. Más información: SlashGear.
8 comentarios178 shares
28/03/2016Isidro Ros
TeslaCrypt, ransomware imposible de romper

TeslaCrypt, ransomware imposible de romper

Cuando un sistema sufre una vulnerabilidad lo normal es que los responsables se pongan manos a la obra para parchearla, y probablemente incluyan mejoras de seguridad, ¿pero qué pasa si aplicas esta idea a un ransomware? TeslaCrypt nos sirve como respuesta. La última versión de este malware lo eleva a la numeración 3.01 y con ello se acaba la posibilidad de utilizar cualquier tipo de método para recuperar los archivos que hayan sido cifrados, lo que deja al usuario con dos opciones claras en caso de que sufra una infección, pagar el rescate o resignarse a perderlos. Si tenemos una copia de seguridad no habrá problema, sobre todo si la mantenemos actualizada, pero en caso contrario podemos encontrarnos en una situación muy complicada, casi entre la espada y la pared. Esta evolución pone de relieve que los cibercriminales también mejoran sus diferentes tipos de malware. En un principio TeslaCrypt almacenaba la clave de liberación de los archivos cifrados en el propio equipo infectado, algo que facilitaba el rescate de los mismos mediante técnicas de ingeniería inversa. Sin embargo, con la versión 3.01 se utiliza una clave de 256 bits que es imposible de localizar, por lo que como anticipamos tras producirse la infección sólo tenemos esas dos opciones. Tal y como afirman desde Talos, la división de seguridad e inteligencia de Cisco, el ransomware se ha convertido en una de las mayores plagas de todo el malware que podemos encontrar por Internet, así que tened mucho cuidado. Más información: Engadget.
11 comentarios221 shares
17/03/2016Isidro Ros
El cliente de BitTorrent Transmission, infectado con ‘ransomware’ para Mac

El cliente de BitTorrent Transmission, infectado con ‘ransomware’ para Mac

Increíble pero cierto, el primer gran ataque de ransomware dedicado que recibe el sistema operativo de Apple se cuela a través de una popular aplicación de intercambio de archivos, el cliente de BitTorrent Transmission, a la postre software libre. Al parecer la descarga oficial de Transmission 2.90 para Mac habría sido alterada para incluir KeyRanger, un malware de tipo ransomware que al cabo de tres días a partir de su instalación comienza a cifrar archivos en disco y chantajea a la víctima, que deberá pagar un bitcoin (unos 400 dólares) para recuperar el acceso. Fueron los los expertos en seguridad de Palo Alto Networks quienes localizaron la amenaza, la analizaron y la reportaron a Apple, publicando sus conclusiones poco después y destacando a KeyRanger como "el primer ransomware completamente funcional visto en OS X". La recomendación para cualquier afectado es restaurar el sistema con una copia de seguridad previa a la instalación de Transmission 2.90. Por otra parte, Apple ha bloqueado su instalación en OS X y los desarrolladores de Transmission, tras retirar la aplicación infectada de la circulación lanzaron dos actualizaciones, la segunda de las cuales elimina el archivo infectado. Por lo tanto, Transmission 2.92 es la versión recomendada. Algo que no termina de cuadrar en el relato de los expertos de Palo Alto Networks es que dicen haber detectado el malware el día 4 de marzo, "a las pocas horas de que los instaladores fueran publicados inicialmente", cuando lo cierto es que Transmission 2.90 se lanzó el 28 de febrero. Con todo, las notas de lanzamiento de la aplicación demuestran que la actualización se dio el mismo día 28. Lo que no se sabe todavía es qué sucedió, cómo los atacantes pudieron vulnerar la seguridad del sitio oficial de Transmission y reemplazar el ejecutable original por uno infectado. Porque no solo es una de las aplicaciones más populares de su categoría en Mac; también lo es en GNU/Linux, donde distribuciones de la talla de Ubuntu la instalan por defecto (a partir de su código fuente, por lo que este caso concreto nunca podría darse). No obstante, el ransomware es un peligro en alza y no es ajeno a ninguna de las principales plataformas tecnológicas. Afecta con especial intensidad a Windows por su mayor cuota de uso y su diferente modelo de seguridad, pero también se ha dejado notar en Mac, Linux o Android. Hace poco informamos de cómo un hospital de Estados Unidos se vio obligado a pagar después de estar sometido durante más de una semana a una ataque similar. Imagen: Shutterstock
13 comentarios198 shares
07/03/2016J.Pomeyrol
Un hospital de Hollywood, víctima del ‘ransomware’

Un hospital de Hollywood, víctima del ‘ransomware’

El Hollywood Presbyterian Medical Center es la última víctima de uno de los riesgos informáticos más serios de la actualidad, el ransomware. El hospital lleva más de una semana sin acceso a sus sistemas informáticos a causa de un ataque que solo se revertirá si pagan un rescate de 9.000 bitcoins, algo más de 3, 6 millones de dólares. Según informan en el portal especializado en seguridad CSO, los responsables del centro colaboran con la policía de Los Angeles y el FBI con el fin de descubrir la identidad de los atacantes y conseguir así la recuperación de todos sus sistemas sin sucumbir al pago. Sin embargo, no parece que vaya a ser un objetivo sencillo de cumplir en el corto plazo. Debido a esta incidencia el hospital lleva más de una semana sin poder utilizar la la red en los departamentos que no fueron afectados en un primer momento, mientras que los que sí lo fueron, comenzando por urgencias, se han quedado sin acceso a historiales médicos, entre otros datos. La situación ha forzado al personal a trabajar a la vieja usanza, con fax y teléfono, obligando también a trasladar pacientes a otros centros. No es una broma esto del ransomware, desde luego. Que mediante técnicas de malware cibercriminales cifren los datos de una persona en su PC, puede suponer una verdadera pesadilla; que lo hagan con una organización es mucho más grave. Casualidades de la vida, hace apenas una semana os hablamos a fondo del tema aquí, en MuyComputer: cómo prevenir y solucionar ataques de ransomware.
7 comentarios119 shares
16/02/2016J.Pomeyrol
Cómo prevenir y solucionar ataques Ransomware

Cómo prevenir y solucionar ataques Ransomware

Los ataques Ransomware están a la orden del día y han sido una de las técnicas de infección de malware más agresivas de 2015. Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil por cualquier vía de infección, bloquea el funcionamiento del equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como "rescate" para liberarlos. Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad. Puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles) y su motivación es casi exclusivamente económica. Los últimos ataques Ransomware han confirmado que los desarrollos son cada vez más sofisticados y peligrosos como vimos a finales de año con la actualización del Angler Exploit Kit, uno de los “cócteles” maliciosos para ransomware más potentes que existen, con la suma de CryptoWall 4.0 que ofrece un cifrado fuerte casi irrompible. A comienzos de este año conocimos un desarrollo aún más peligroso denominado Ransom32 que se vende en la Deep Web y que puede afectar por igual a equipos con Windows, Mac y Linux porque se trata de un “Ransomware como servicio”. Escrito en Javascript, utiliza Node.js y se ejecuta sobre la plataforma NW.js para cifrar los ficheros y exigir el rescate habitual de estos virus-estafa. Tiene semejanzas con Cryptolocker (uno de los desarrollos más populares), se apodera de los archivos personales del equipo bajo un fuerte cifrado usando una clave pública RSA-2048, con la clave de descifrado incluida en un servidor secreto en Internet. Cuando apareció, solo 7 de 54 antivirus fueron capaces de detectarlo. Para intentar frenar esta amenaza, el CCN-CERT (Centro de respuesta a incidentes de seguridad del Centro Criptológico Nacional) ha publicado un interesante informe denominado "Medidas de seguridad contra Ransomware", que todo usuario deberíamos conocer porque repasa desde los conceptos básicos de este malware, las vías de infección, las medidas preventivas, las medidas reactivas y la restauración de ficheros o su descifrado cuando es posible. Lo más interesante es la lista de medidas preventivas a adoptar en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente los ataques Ransomware. Los hemos comentado en otras ocasiones pero no está de mal recordarlos porque la prevención es siempre la mejor fórmula: Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas). Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail. Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days). No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo "Privacy Manager", que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits). Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero. Adicionalmente, se recomienda la instalación de la herramienta "Anti Ransom", que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando "honey files"). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse. Si a pesar de todo lo anterior detectamos una infección, CCN-CERT recoge medidas reactivas a adoptar de inmediato para poder frenarlo. El informe indica también las preguntas a desarrollar para comunicar el incidente a los equipos de seguridad y la valoración de cada uno de los escenarios. Otro apartado interesante es el de la restauración de ficheros desde las obligatorias copias de seguridad, así como una tabla resumen de las posibilidades de recuperación de datos dependiendo del tipo de cifrado: El informe también ofrece algunas de las herramientas y utilidades on-line existentes que permiten el descifrado de ciertos especímenes de ransomware. Es la última solución si no tenemos copias de seguridad y no podemos perder los archivos. Ya te adelantamos que no es sencillo porque los ciberdelincuentes van por delante y por ello los métodos de prevención tienen que estar por encima de todo. Un informe muy educativo este del CCN-CERT que te recomendamos revisar.
2 comentarios98 shares
08/02/2016Juan Ranchal
Ransom32, un ransomware que afecta a Windows, Mac y Linux

Ransom32, un ransomware que afecta a Windows, Mac y Linux

¿Te imaginas un malware que pudiese infectar a todos los sistemas operativos por igual o que requiera de pocas modificaciones para hacerlo? Este es el caso de Ransom32, un ransomware que utiliza Node.js y que se ejecuta sobre la plataforma NW.js para indagar en el sistema operativo y cifrar los ficheros, pidiendo después el hacker que lo creó un rescate para poder descifrarlos. El empleo de tecnologías basadas en Javascript no solo lo hace multiplataforma y capaz de cifrar ficheros, sino que también lo vuelve más difícil de detectar. Ransom32 tiene semejanzas con Cryptolocker y ha sido etiquetado de “ransomware como un servicio”. Ransom32 está siendo comercializado en la dark web, con autores que ofrecen versiones modificadas de este a cambio del 25% del dinero que genere. Según un experto en seguridad, se aloja en un fichero de 22 megabytes, y que la complejidad de los ficheros maliciosos que descarga son parte del proceso de infección. Este ransomware es enviado a través de un fichero RAR que se descomprime solo y utiliza el lenguaje de script de WinRAR para configurar el malware, un malware que se ejecuta en el inicio del sistema estableciendo una conexión con un servidor a través del cliente de Tor. Después los ficheros son cifrados y se pide un rescate por ellos. Por ahora Ransom32 está infectando a Windows, aunque reimplementarlo para que infecte a OS X y Linux es algo relativamente sencillo de hacer, por lo que nadie tiene que bajar la guarda ante él. Los ransomware son un tipo de malware que cifran los ficheros del ordenador (en especial lo personales) para pedir luego un rescate, que generalmente se tiene que pagar a través de BitCoin. Por ahora apenas hay medios para luchar contra estos, por lo que solo queda el formateo en la mayoría de los casos (además del pago, algo que no recomendamos). Todo esto deja como única defensa la creación de copias de seguridad para minimizar la pérdida de ficheros. Fuente | BetaNews
58 comentarios303 shares
04/01/2016Eduardo Medina
Cuidado, el ransomware ataca con fuerza en Navidad

Cuidado, el ransomware ataca con fuerza en Navidad

Navidad es una de las fechas más señalas en lo que a compras se refiere, fiel reflejo del consumismo imperante, y esa realidad es algo que los ciberdelincuentes no dudan en aprovechar para hacer su agosto a costa de los menos precavidos. Según avisan investigadores de las firmas FortiNet y Heimdal Security el ransomware se ha convertido en una de las herramientas favoritas con las que hacer daño en estas fechas, ya que se han intensificado las campañas de ataque con dos grandes protagonistas muy conocidos en el mundillo, CryptoLocker y CryptoWall. Las informaciones advierten de que se han detectado envíos en grandes cantidades de correos electrónicos maliciosos con el objetivo de provocar infecciones con estos tipos de malware, siendo en el caso de CryptoLocker la versión 2 y por el lado de CryptoWall la versión 3, ambas un poco antiguas pero totalmente funcionales y plenamente dañinas. Ambos tipos de ransomware bloquean determinados documentos y datos presentes en en el equipo infectado, pudiendo llegar a "echar el candado" hasta a 190 tipos de archivo diferentes, así que debéis tener mucho cuidado, ya que una vez infectados no queda otra que perder los datos o pagar el rescate. Las fuentes originales de la noticia indican que el rescate que demandan los cibercriminales una vez que se ha producido la infección va desde los 500 hasta los 1.000 dólares, suficiente para arruinar las navidades a casi cualquier persona, así que ya sabéis, mucho cuidado con los correos electrónicos de remitentes desconocidos, y en caso de duda a la papelera. Más información: Softpedia.
1 comentario136 shares
19/12/2015Isidro Ros
Power Worm, el ransomware que no sabe hacer su trabajo

Power Worm, el ransomware que no sabe hacer su trabajo

Por desgracia el ransomware se ha puesto de moda, convirtiéndose en una de las vías más utilizadas actualmente por los cibercriminales para hacer dinero a costa de víctimas potenciales, tanto a nivel particular como profesional o corporativo. Sin embargo al daño que puede causar este tipo de malware debemos sumar el de aquellas variantes que no pueden ni siquiera hacer bien su trabajo, como ocurre con Power Worm, una amenaza que "bebe" de las raíces de PowerShell y que centraba sus ataques en archivos Word y Excel. El caso es que para reducir los costes operacionales que supone el descifrado de archivos una vez que la víctima acepta pagar el rescate de sus archivos en Power Worm se ha hecho una auténtica chapuza, hasta tal punto que un error de programación ha supuesto que ni el propio responsable de este ransomware sea capaz de recuperar los archivos una vez que han sido cifrados. En resumen la idea era que Power Worm generase una única clave de descifrado para reducir costes, pero en lugar de una clave AES estática este malware acaba generando claves aleatorias, por lo que resulta imposible recuperar nuestros archivos una vez que han sido cifrados, salvo que hayamos sido previsores y tengamos copias de seguridad. Si por desgracia os veis afectados por este malware no intentéis acceder al pago, ya que no servirá de nada. En la imagen que os dejamos al final podéis ver las señas de identidad de Power Worm. Más información: Softpedia. [gallery link="file" ids="121861"]
13 comentarios170 shares
08/11/2015Isidro Ros
Kaspersky publica herramienta gratuita contra Ransomware

Kaspersky publica herramienta gratuita contra Ransomware

Ransomware es una técnica de virus-estafa que como sabes infecta y bloquea el sistema informático (sea un PC o un móvil) hasta que el usuario no pague el ‘rescate’ exigido. Se propaga vía spam o a través de aplicaciones maliciosas y ha conseguido instalarse en millones de equipos a través de múltiples desarrollos. Uno de los primeros y más importantes son Coinvault y Bitcryptor, activos desde 2004 y que hoy por fin se dan por acabados según Kaspersky: los presuntos autores fueron detenidos el mes pasado por la policía holandesa y las 14.000 claves de descifrado obtenidas permiten a las víctimas evitar el pago de rescates para liberar sus archivos. Coinvault, como la mayoría de estos Ransomware, cifraba los archivos para impedir su acceso. Para demostrar al usuario que tenían el equipo bajo control permitían descifrar un solo archivo. La técnica utilizada y el acceso al centro de comando y control ha sido suficiente para que Kaspersky Lab descifre las 14.000 claves posibles. Kaspersky ha añadido esta 14.000 claves a la base de datos y ha actualizado su herramienta Ransomware Decryptor que puede descargarse gratuitamente para recuperar los archivos cifrados. Buena noticia aunque solo sirve para descifrar los archivos cifrados por Coinvault y Bitcryptor. Los desarrollos Ransomware son numerosos, cada vez son más potentes y están más extendidos. Las recomendaciones para no caer en las garras de estos estafadores son las mismas para ordenadores y móviles: mantener actualizados nuestros sistema de seguridad y aplicaciones; descartar correos electrónicos de usuarios desconocidos; nunca abrir enlaces ni archivos adjuntos de estos envíos ni en mensajes de redes sociales o chats que no conozcamos, y observar el máximo cuidado a la hora de instalar aplicaciones fuera de las tiendas oficiales, especialmente en móviles. Como la única fórmula general posible contra una infección por Ransomware sigue siendo el formateo completo del equipo, recomendar el uso de copias de seguridad para en su caso no perder archivos.
6 comentarios284 shares
02/11/2015Juan Ranchal
Lockerpin, ransomware para Android que cambia tu contraseña

Lockerpin, ransomware para Android que cambia tu contraseña

Un nuevo ransomware para Android ha sido identificado con el nombre de Lockerpin, alias que le viene como anillo al dedo ya que este malware cambia la contraseña de bloqueo de nuestro terminal y exige el pago de 500 dólares si queremos "rescatarlo". El funcionamiento de Lockerpin es muy sencillo pero a la vez eficaz. Camuflado en aplicaciones falsas muestra un mensaje que anima a instalar una actualización pendiente, acompañada de un botón de continuar. Una vez que aceptamos se inicia todo el proceso, ya que habremos concedido los permisos necesarios para que el malware empiece a trabajar. Afortunadamente esta amenaza no se ha detectado todavía en aplicaciones oficiales publicadas en la Google Play Store, por lo que parece que la misma está limpia y que la única forma de infectarnos es a través de fuentes externas, así que cuidado con lo que descargáis de medios de dudosa confianza. No hay duda de que la enorme popularidad de Android se está convirtiendo también en su mayor problema, y es que el hecho de ser el sistema operativo móvil más utilizado lo coloca también como el objetivo principal de los cibercriminales. Esto no es nada nuevo, ya que también se puede trasladar a otras plataformas mayoritarias como Windows por ejemplo, y es que ya se sabe, sale más rentable desarrollar un malware capaz de infectar un sistema operativo presente en cientos de millones de terminales que a otro que apenas se encuentra en unos pocos millones. Más información: Arstechnica.
7 comentarios276 shares
13/09/2015Isidro Ros
[ ]