real
time web analytics
Ransomware » MuyComputer
[ Ransomware ]
Windows 10 protegerá tus archivos del ransomware

Windows 10 protegerá tus archivos del ransomware

Microsoft está probando una nueva herramienta en Windows 10 Insider Preview Build 16232 con la que quiere proteger al usuario del ransomware, un tipo de malware que como sabemos se ha convertido en una amenaza muy peligrosa que ya ha causado estragos a nivel internacional en dos ocasiones. La idea del gigante de Redmond para mejorar el nivel de protección contra el malware en Windows 10 gira en torno a "Controlled Folder Access" ("Acceso Controlado a Directorio"), una opción que podremos activar y desactivar en cualquier momento. Cuando la tengamos activada evitará que aplicaciones desconocidas o que se encuentren recogidas en su lista negra puedan modificar, mover o eliminar archivos almacenados en cualquiera de las carpetas de nuestro sistema. De esta manera si "Controlled Folder Access" detecta que un programa no autorizado está intentando llevar a cabo cualquier tipo de acción sobre los archivos del sistema actuará bloqueando e impidiendo dicha acción, y además nos mostrará un aviso para que podamos tomar las medidas que creamos oportunas. Para evitar conflictos con aplicaciones de confianza tendremos la opción de habilitar excepciones de forma sencilla al igual que ocurre con los antivirus convencionales, de manera que sea posible evitar los efectos negativos del ransomware sin hacer grandes sacrificios a nivel funcional. Como vemos es una característica muy útil que efectivamente podría acabar ofreciendo un buen nivel de protección frente a los tipos más básicos de ransomware, que son a fin de cuentas los que se suelen dirigir contra el gran público (los más avanzados se suelen reservar para empresas y objetivos importantes). No tenemos una fecha exacta de lanzamiento pero lo más probable es que esta nueva herramienta de seguridad llegue junto con la actualización Windows 10 Fall Creators Update. Más información: DvHardware.
19 comentarios19 shares
30/06/2017Isidro Ros
El ciberataque masivo con el ransomware NotPetya no buscaba hacer dinero

El ciberataque masivo con el ransomware NotPetya no buscaba hacer dinero

Hace unos días os contamos que se había producido un nuevo ciberataque masivo con una versión del conocido ransomware Petya que hoy se conoce con el curioso nombre de NotPetya, y gracias a las numerosas investigaciones que se han llevado a cabo hemos podido tener acceso a una buena dosis de información interesante. En un principio se creía que NotPetya era un ransomware "de verdad" y que sus creadores estaban interesados en obtener dinero pero la realidad es muy distinta. Según numerosos expertos en seguridad este ciberataque no buscaba obtener un gran beneficio económico sino hacer daño y perjudicar a sus objetivos, que estaban ubicados principalmente en Ucrania. Estas son las claves más importantes que sustentan dicha idea: NotPetya no cifra realmente los archivos, sino que sobreescribe sectores fundamentales que el disco necesita para funcionar. Los creadores de este malware pusieron las cosas muy difíciles a los que quisieran pagar el rescate, ya que obligaron a escribir a mano grandes cantidades de caracteres. La dirección de correo electrónico a la que se debían enviar los datos del pago para recibir la clave de descifrado ya no funciona. Sólo utilizaron una cartera para recibir pagos en Bitcoin, lo que ralentiza enormemente el proceso. Con eso en mente vemos que todo tiene mucho sentido aunque inmediatamente nos viene a la cabeza otra pregunta, ¿quién podría tener interés en lanzar un ataque de este tipo sobre Ucrania? No tenemos una respuesta totalmente fiable, pero los principales expertos en seguridad del país no han dudado en señalar directamente a Rusia. El creador del ransomware Petya ha confirmado que está dispuesto a ayudar a todos los afectados por este ciberataque, aunque desde luego la situación es bastante complicada para las empresas que no hayan hecho una simple copia de seguridad reciente de sus archivos. Más información: Arstechnica.
10 comentarios62 shares
29/06/2017Isidro Ros
Confirmado nuevo ciberataque masivo utilizando el ransomware Petya

Confirmado nuevo ciberataque masivo utilizando el ransomware Petya

Está confirmado oficialmente, empresas del calibre de DLA Piper, Mondelez, Maersk y Merck han sufrido un ciberataque masivo que ha tenido un gran impacto a nivel internacional en el que se ha utilizado una versión mejorada del ransomware Petya. Ya os lo contamos en su momento en este artículo de MuySeguridad, el ransomware Petya estaba mutando para corregir sus errores y convertirse en una amenaza capaz de sembrar el pánico y finalmente se han cumplido los peores pronósticos. La infección sigue el patrón habitual de este tipo de malwares, ya que una vez que se produce bloquea el equipo e impide el acceso a los documentos y archivos del mismo. En la pantalla muestra un aviso en el que explica textualmente: "Si estás viendo este mensaje es que ya no puedes acceder a tus archivos porque están cifrados. Puede que estés buscando una solución alternativa pero deberías dejar de perder el tiempo ya que no la hay, no es posible recuperar tus archivos sin nuestro servicio de descifrado.   Garantizamos que podrás recuperar todos tus archivos de una manera sencilla si compras la llave de descifrado". Este aviso aclara que la única solución es pagar un rescate para recibir una clave o "llave" en forma de conjunto de cifras y letras que permitirá superar el bloqueo que ha aplicado el ransomware, y concreta que su precio es de 300 dólares en Bitcoin. Se utiliza esa criptodivisa porque como sabemos todas las operaciones que se realizan con ella son anónimas y no dejan rastro, así que es la solución perfecta para que los cibercriminales puedan hacer "su agosto" en pleno junio. Las empresas afectadas han confirmado que se han visto obligadas a apagar todos los equipos infectados y a detener su actividad para centrarse en solucionar este problema. Prevención, la mejor manera de luchar contra el ransomware Ya lo dijimos en su momento cuando hablamos del ciberataque global que se produjo recientemente utilizando el ransomware WannaCry, la mejor forma de luchar contra este tipo de amenazas es prevenir, y para ello basta con seguir tres sencillos pasos: Mantener el sistema operativo al día, es decir con las últimas actualizaciones siempre instaladas desde el mismo momento en el que estén disponibles. Hacer copias de seguridad varias veces por semana. Formar a todos los empleados para reducir el peso del error humano en las infecciones. Fuente original de la noticia e imagen: El Confidencial.
53 comentarios114 shares
27/06/2017Isidro Ros
Windows 7 fue el “culpable” de la expansión de WannaCry

Windows 7 fue el “culpable” de la expansión de WannaCry

WannaCry, el troyano utilizado para el ataque de Ransonware iniciado el pasado viernes, se extendió a través de equipos con Windows 7 casi en su totalidad. Por el contrario, las máquinas infectadas con Windows XP fueron prácticamente inexistentes. Como sabes, WannaCry aprovecha una vulnerabilidad del protocolo SMB para atacar sistemas Windows. La vulnerabilidad fue parcheada por Microsoft en el mes de marzo pero afectó a los sistemas sin soporte (Windows XP, Windows Vista...) y también a los que aún soportados, no habían sido actualizados. WannaCry afectó al menos a 200.000 equipos y según el análisis de la firma de seguridad Kaspersky Lab, más del 97 por ciento de los ordenadores infectados corrían Windows 7. Las cifras desafían la percepción ampliamente repetida de que el brote fue producido por el uso de sistemas obsoletos y sin soporte. De hecho, la incidencia sobre Windows XP fue mínima. La versión de Windows 7 más afectada fue la de 64 bits, casi el doble que la de 32 bits, lo que se explica por su mayor incidencia en el segmento corporativo. En resumen. Las des-informaciones iniciales no fueron correctas. La extensión de WannaCry se debió fundamentalmente a la falta de actualización de los equipos y no al uso de sistemas sin soporte. En todo caso, solo se necesitaron unos miles de máquinas vulnerables para permitir la distribución generalizada de este malware, según la investigación de Malwarebytes. Ya sabes, contra WannaCry y en general contra cualquier Ransomware, la gran vacuna se llama prevención. Revisa estos consejos.
37 comentarios177 shares
22/05/2017Juan Ranchal
WannaCry ataca de nuevo: Protégete del Ransomware con estos consejos

WannaCry ataca de nuevo: Protégete del Ransomware con estos consejos

WannaCry, el troyano utilizado para el ataque de Ransonware iniciado el viernes que ha alcanzado a todo el mundo al menos a 150 países y 200.000 equipos, ha mutado en varias variantes y se espera una segunda oleada a medida que las nuevas versiones infectan nuevas redes, principalmente empresariales. Llevamos muchos años hablando del Ransomware, uno de los malware más peligrosos para la ciberseguridad mundial. WannaCry es el ataque masivo de mayor alcance conocido y como otros Ransomware, infecta un ordenador personal y desde ahí a toda la red donde esté instalado, bloquea el funcionamiento de los equipos apoderándose de los archivos con un cifrado fuerte y exige a la organización, empresa o usuario una cantidad de dinero como “rescate” para liberarlos. Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad. O pagar como hacen 4 de cada 10 víctimas de Ransomware. Un dato increíblemente alto según últimos informes. El malware por Ransomware (en general) puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles). En este caso particular, WanaCry aprovecha una vulnerabilidad del protocolo SMB para atacar sistemas Windows. La vulnerabilidad fue parcheada por Microsoft en el mes de marzo pero obviamente afecta a los sistemas no actualizables y también a los que aún soportados, no habían sido actualizados. Ante la magnitud del ataque, Microsoft ha tomado la decisión como medida excepcional de lanzar el parche MS17-010 para sistemas operativos no soportados oficialmente, Windows XP, Windows 8.0 y Windows Server 2003. Por supuesto, la instalación del parche es obligatorio para proteger los equipos de WanaCry y de todas sus variantes porque aprovechan la misma vulnerabilidad. Protégete del Ransomware Una vez infectado con WannaCry poco se puede hacer porque -como con otros Ransonware- no hay "cura" directa. Hay disponible una solución temporal pero ya no sirve porque los cibercriminales ya han hecho modificaciones al software malicioso. En empresas y organizaciones hay que aislar la red donde estén infectados los equipos, hacer lo mismo con los equipos infectados, desactivar el servicio SMBv1 y bloquear la comunicación de los puertos 137/UDP y 138/UDP / 139/TCP y 445/TCP en las redes de las organizaciones. A partir de ahí limpiar el malware. Contra el ransomware, la gran "vacuna" se llama prevención y adoptar medidas previas contra la infección primaria. Te recordamos las más importantes para frenar WannaCry y el resto de Ransomware, muchos de ellos sin posible "cura" porque no hay manera de descifrar los archivos bloqueados. Realizar y mantener copias de seguridad periódicas de todos los datos importantes: Es una idea en la cual hemos insistido bastante. Realizar copias de seguridad de los datos importantes es la primera y más efectiva medida para minimizar los daños en caso de ser infectado. Además se recomienda mantener las copias de seguridad aisladas y sin conexión con otros sistemas para evitar la infección de los datos a través de otros equipos. Mantener el sistema actualizado con los últimos parches de seguridad, abarcando todo el software que haya instalado en el ordenador. En los boletines de seguridad de Microsoft se puede ver cómo las actualizaciones corrigen muchos problemas de seguridad. Mantener una primera línea de defensa a través de algún antimalware (coloquialmente conocidos también como antivirus) y tener el firewall/cortafuegos correctamente configurado para permitir el acceso solo las aplicaciones y servicios necesarios. Disponer de un filtro antispam a nivel del correo electrónico para evitar la infección a través de campañas masivas de emails. No abras nunca archivos adjuntos desconocidos. Petya es un ransomware cuyo principal canal de distribución es el correo electrónico. Establecer políticas de seguridad en el sistema para impedir la ejecución de directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc). Existen herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit que facilitan esta tarea. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código malicioso y el servidor de mando y control. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar los exploits, incluyendo los 0-days. No utilizar cuentas con privilegios de administrador: Como ya informamos con anterioridad, el 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en toda las unidades de red mapeadas en el equipo de la víctima. Restringir los privilegios de escritura en red mitigará parcialmente el impacto. Utilizar bloqueadores de JavaScript para el navegador: Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web. Mostrar las extensiones para tipos de ficheros conocidos: Esta es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. Se recomienda la instalación de la herramienta Anti Ransom, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose. Emplear máquinas virtuales para aislar el sistema principal: Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en los ransomware, se ha demostrado que un entorno virtualizado su acción no llega a materializarse. Un último consejo: no pagues a estos delincuentes. Asegúrate de tener al día tus copias de seguridad y en caso de infección por Ransomware, formatea, instala desde cero sistema operativo y resto de software, y restaura tus datos en un equipo totalmente limpio.  
75 comentarios334 shares
15/05/2017Juan Ranchal
El 40% de las víctimas del Ransomware pagan ¿Soluciones?

El 40% de las víctimas del Ransomware pagan ¿Soluciones?

4 de cada 10 víctimas de Ransomware pagan para liberar sus equipos. Un dato increíblemente alto que nos sirve una investigación de la firma de seguridad cibernética Trustlook.  El informe de Trustlook indica que alrededor del 17% de los usuarios han estado infectados alguna vez con Ransomware y el 38% de ellos han optado por pagar un rescate que oscila entre 100 y 500 dólares. Los usuarios que aún no han sido afectados por ransomware presentan una postura firme, ya que sólo el 7% dice que pagarían. El problema es que hablan desde la perspectiva de no afectado y según los datos, el Ransomware es una verdadera epidemia que se extiende en consumo y también en empresas. Otro problema que indica la estudio es que el 23% de los encuestados no tienen copia de seguridad alguna de sus datos. Y cuidado, porque el backup es el elemento clave para no tener que pagar a estos ciberdelincuentes. Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil por cualquier vía de infección, bloquea el funcionamiento del equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos. Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad. Puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles) y su motivación es casi exclusivamente económica. Los últimos ataques Ransomware han confirmado que los desarrollos son cada vez más sofisticados y peligrosos. Cómo prevenir y solucionar ataques Ransomware Para intentar frenar esta amenaza, el CCN-CERT (Centro de respuesta a incidentes de seguridad del Centro Criptológico Nacional) publicó un interesante informe denominado “Medidas de seguridad contra Ransomware”, que todo usuario deberíamos conocer porque repasa desde los conceptos básicos de este malware, las vías de infección, las medidas preventivas, las medidas reactivas y la restauración de ficheros o su descifrado cuando sea posible. Lo más interesante es la lista de medidas preventivas a adoptar en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente los ataques Ransomware. Los hemos comentado en otras ocasiones pero no está de mal recordarlos porque la prevención es siempre la mejor fórmula: Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas). Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail. Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control. Establecer una defensa en profundidadempleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days). No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo “Privacy Manager”, que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits). Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero. Adicionalmente, se recomienda la instalación de la herramienta “Anti Ransom”, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse. El informe también ofrece algunas de las herramientas y utilidades on-line existentes que permiten el descifrado de ciertos especímenes de ransomware. Es la última solución si no tenemos copias de seguridad y no podemos perder los archivos. Ya te adelantamos que no es sencillo porque los ciberdelincuentes van por delante y por ello los métodos de prevención tienen que estar por encima de todo. Un último consejo: no pagues a estos delincuentes. Asegúrate de tener al día tus copias de seguridad y en caso de infección por Ransomware, formatea, instala desde cero sistema operativo y resto de software, y restaura tus datos en un equipo totalmente limpio.
52 comentarios40 shares
27/04/2017Juan Ranchal
Karmen, llega el ransomware como servicio

Karmen, llega el ransomware como servicio

El malware se ha convertido en un negocio muy lucrativo que no deja de evolucionar. Con la llegada de Karmen se ha dado un nuevo paso que apunta hacia el ransomware como servicio, una modalidad que os vamos a explicar a continuación. Karmen es un tipo de ransomware basado en el Hidden Tear que utiliza cifrado AES de 256 bits para "secuestrar" archivos y datos del equipo infectado. Esta amenaza de seguridad se vende en foros de la Deep Web como una herramienta completa y fácil de usar que incluso incluye un panel de información, donde se pueden visualizar los "clientes", el dinero recibido y el precio que pedimos como rescate por desbloquear los archivos. Los que lo promocionan e intentan hacer negocio con su venta aseguran que es un sistema muy sencillo, que no requiere apenas conocimientos informáticos y que es una oferta redonda, ya que cuesta 175 dólares y bien usado permitirá "conseguir varios miles de dólares". Promesas para vender, eso es evidente, pero lo cierto es que la figura del ransomware como servicio se ha popularizado durante los últimos meses hasta convertirse en algo muy real que está atrayendo a un número cada vez mayor de personas. Obvia decir que utilizar este tipo de herramientas equivale a cometer un delito, tanto si ganamos dinero con ello como si no, aunque es evidente que Internet ofrece muchas posibilidades para lanzar ataques que mantengan al cibercriminal relativamente a salvo, una realidad que ha contribuido al desarrollo del cibercrimen. Respeto al ransomware en sí Karmen es una solución avanzada que actúa con contundencia y avisa de que cualquier interferencia nos hará perder los datos, aunque algunos profesionales como Michael Gillespie están trabajando en el desarrollo de herramientas para luchar contra este ransomware y ofrecen ayuda a aquellos que la necesiten. Más información: Neowin.
2 comentarios101 shares
21/04/2017Isidro Ros
El ransomware Patcher cifra tus archivos en macOS para siempre

El ransomware Patcher cifra tus archivos en macOS para siempre

Que lejos queda aquello de que los Mac "no tenían virus", una afirmación que en su momento sirvió a Apple para promocionar sus equipos, y que hoy con la llegada de amenazas del calibre del ransomware Patcher no es más que un recuerdo de una época en la que aquellos simplemente no estaban en el punto de mira de los cibercriminales. Según ha indicado la firma de seguridad ESET este nuevo ransomware afecta a macOS y se disfraza como un parche para "activar" de forma ilegal determinadas herramientas, como Adobe Premiere Pro y Microsoft Office, entre otras. El gancho es efectivo, ya que hay una gran base de usuarios que no puede o que no quiere pagar el coste de las licencias originales de dichos productos, y que por tanto son propensos a recurrir a la piratería para poder utilizarlas, pero el ransomware como tal está muy mal programado. Esto es importante por una razón muy sencilla. Como todo ransomware Patcher cifra los archivos del sistema cuando se activa, utilizando para ello una clave de 25 caracteres contra la que no es posible lanzar ataques de fuerza bruta. Lo dicho supone que no se puede romper, y que por tanto sólo podemos liberar nuestros archivos accediendo a realizar el pago de 0,25 bitcoin, que al cambio son unos 283 dólares. Sin embargo aquí es donde surge el problema, puesto que aunque realicemos el pago no recibiremos ninguna clave de rescate, de manera que nuestros archivos quedarán bloqueados de forma permanente Como siempre decimos el sentido común es la mejor manera de mantener vuestros equipos protegidos, y evitar el software pirata y los activadores también ayuda. Más información: Neowin.
15 comentarios12 shares
23/02/2017Isidro Ros
Koolova, el ransomware que libera tus archivos si lees dos artículos de seguridad

Koolova, el ransomware que libera tus archivos si lees dos artículos de seguridad

El ransomware se ha convertido en una de las amenazas de seguridad más populares del momento y como ya hemos dicho se entiende perfectamente, ya que es un tipo de malware que puede llegar a ser muy lucrativo. Por si alguien no sabe cómo funcionan exactamente este tipo de amenazas de seguridad lo explicamos de forma sencilla. Se utiliza un "gancho", normalmente un enlace malicioso o un archivo "cocinado", para conseguir una infección. Cuando la misma se lleva a cabo el ransomware se activa y procede a cifrar los archivos más importantes del equipo, impidiéndonos acceder a ellos y amenazando con borrarlos totalmente si no pagamos una determinada cantidad de dinero, que normalmente deberemos entregar en bitcoins. Koolova actúa de esa forma, pero una vez que ha cifrado los archivos no pide un rescate en dinero, sino que nos da la opción de leer dos artículos sobre seguridad informática y de cómo hacer un uso seguro de Internet. Como vemos su objetivo no es hacer dinero, sino dar un pequeño tirón de orejas al usuario y educarlo en materia de seguridad para que pueda evitar futuras infecciones por malware y aprenda unas nociones mínimas en materia de seguridad informática. Una forma interesante de "educar" al usuario, de eso no hay duda, aunque eso no quiere decir que sea inofensivo, ya que viene con un temporizador que fija un plazo límite para leer los dos artículos. Si el mismo llega a cero nuestros archivos serán borrados. Más información: MuySeguridad.
37 comentarios33 shares
06/01/2017Isidro Ros
El ransomware evolucionará a lo largo del próximo año

El ransomware evolucionará a lo largo del próximo año

No hay duda, el ransomware se ha convertido en una de las amenazas de seguridad más importantes y más graves que existen actualmente, y no sólo por su alta capacidad destructiva, sino también por su enorme popularidad. Como sabéis muchos de vosotros un ransomware actúa cifrando archivos concretos de nuestras unidades de almacenamiento y acto seguido pide un rescate, que normalmente suele ser el pago de una determinada cantidad de dinero a través de Bitcoin. La cifra puede variar mucho en función del tipo de ransomware y también de la persona que sufra la infección, ya que hay casos que van desde unos pocos cientos de dolares hasta otros que llegan a alcanzar las cinco cifras. El caso es que esta amenaza irá a peor, y según el experto Corey Nachreiner, CTO de WatchGuard Technologies, a partir de 2017 veremos ransomworms, es decir, tendrán las mismas propiedades que los virus de tipo gusano. Esto quiere decir que una vez que infecten un equipo intentarán extenderse a tantos otros como les sea posible, algo que puede ser especialmente grave en el caso de empresas que tienen configurados numerosos equipos en red. Un ransomworm que se cuele en una empresa de ese tipo podría sembrar el caos y llegar a pedir un rescate millonario por los datos de todos los equipos infectados, un hecho que de nuevo pone de relieve lo que ya hemos dicho en ocasiones anteriores, y es que la alta rentabilidad que presentan estas amenazas se mantiene como su principal motor. Más información: Neowin.
1 comentario67 shares
28/12/2016Isidro Ros
RansomFree, protégete del ransomware de forma totalmente gratuita

RansomFree, protégete del ransomware de forma totalmente gratuita

El ransomware está en alza, y es que como sabemos este tipo de malware que "secuestra" archivos, los cifra y pide un rescate a cambio suele ser muy rentable y bastante eficaz, pero RansomFree viene dispuesto a aguarles la fiesta a los cibercriminales que han apostado por estas amenazas de seguridad. Según sus creadores, la firma de seguridad Cybereason, RansomFree es compatible con todos los sistemas operativos que van desde Windows 7 a Windows 10, incluyendo Windows Server 2008 R2 y 2012, y aseguran que es capaz de detener el 99% de las amenazas de ransomware, y no sólo las que ya se conocen, sino también aquellas que no han sido identificadas. ¿Y cómo lo consigue? Pues gracias a un conjunto completo de tecnologías propietarias que son capaces de identificar diferentes comportamientos y técnicas de engaño, que en resumen identifican un ataque de forma prematura y lo evitan antes de que pueda llegar a extenderse. Os explico el proceso para que se entienda un poco mejor. RansomFree procede a la creación de directorios aleatorios en el sistema infectado, que tienen nombres con caracteres ~ y ! por su posición en la tabla ASCII, algo vital ya que permite que sean los primeros en ser cifrados. Una vez que se detecta que esos archivos están siendo cifrados suspende el proceso para impedir el cifrado y avisa al usuario, que es el que tiene la última palabra a la hora de decidir qué quiere hacer, si cancelarlo definitivamente o dejar que siga. Como no podía ser de otra forma desde Cybereason han confirmado que esta solución de seguridad será actualizada periódicamente, aunque también han querido hacer un acto de humildad y han recordado que la mejor protección pasa por el sentido común y el respaldo de archivos con copias de seguridad. Si queréis probar RansomFree podéis descargarla desde este enlace. Más información: Neowin.
7 comentarios116 shares
20/12/2016Isidro Ros
Cibercriminales rivales publican “las llaves” del ransomware Chimera

Cibercriminales rivales publican “las llaves” del ransomware Chimera

En un movimiento sorprendente e inesperado una banda rival de ciberciminales ha decidido publicar "las llaves" o claves, como queráis llamarlo, que permiten superar el cifrado del ransomware Chimera. Detrás de este "buen gesto", entrecomillado porque en realidad responde a intereses propios, están los responsables de dos ransomware muy conocidos, Petya y Mischa, que en total han filtrado unas 3.500 claves de descifrado con las que hacer frente a Chimera, y también aseguran haber conseguido acceder al sistema de desarrollo de dicho malware. Desde Malwarebytes han confirmado todo esto e indican que las claves que han sido liberadas podrían ser auténticas, aunque necesitarán un tiempo para comprobarlo. Con todo recomiendan paciencia a los usuarios que se hayan visto infectados por Chimera, ya que tienen la esperanza de que puedan acabar recuperando sus archivos sin problema. ¿Es tan peligroso Chimera? Desde luego es peligroso y molesto, ya que no sólo cifra los archivos, sino que además amenaza con filtrarlos a Internet y ponerlos al alcance de todo el mundo si no pagamos el rescate que exigen. Dicho rescate asciende a 2,4 Bitcoin, lo que equivale a unos 1.576 dólares. Como siempre mucho cuidado con lo que descargáis y con los sitios por los que navegáis, ya que una infección por ransomware no se produce de forma autónoma, sino que requiere un error mínimo por parte del usuario. Más información: Neowin.
10 comentarios167 shares
28/07/2016Isidro Ros
Este nuevo ransomware sabe donde vives

Este nuevo ransomware sabe donde vives

Ya hemos dicho en muchas ocasiones que el ransomware es sin duda una de las grandes plagas que está azotando actualmente al mundillo tecnológico y el motivo es simple, es probablemente el tipo de malware más lucrativo que existe hasta la fecha. Precisamente ese gran potencial a la hora de generar ingresos es el motor que lleva a los cibercriminales a evolucionar, a buscar nuevas formar de engañar a sus víctimas, y con este nuevo tipo de ransomware hay que reconocer que han conseguido ir un paso más allá. La clave la tenemos en el gancho, es decir, el contenido con el que buscan hacer que caigamos en un engaño y acabemos sufriendo una infección que permita al ransomware actuar. En este nuevo caso se produce un primer paso en forma de phishing, en el que los cibercriminales envían falsos correos electrónicos suplantando la identidad de determinadas compañías. En dichos correos aparece nuestro nombre completo y nuestra dirección, así como una indicación de que debemos un determinado dinero por ciertos servicios y que debemos satisfacerlo antes de una fecha determinada. Es falso, pero está muy trabajado y es fácil caer si no tenemos un poco de cuidado. Como no podía ser de otra forma el correo contiene un enlace que supuestamente nos permite descargar un archivo Word con más información, pero en realidad es donde se esconde el ransomware. Si acabamos siendo infectados se cifrarán los archivos más importantes de nuestro PC y no podremos utilizarlo con normalidad salvo que paguemos el rescate que pide, y que curiosamente se va incrementado según va pasando el tiempo. En efecto, cuanto más esperas más pagas. No queda claro cómo han conseguido los creadores de esta amenaza hacerse con las direcciones y datos de sus objetivos, pero todo apunta a que podrían haber recurrido a alguna base de datos. Como siempre os recomendamos tener mucho cuidado y no abrir ni descargar nada que no sea de total confianza. Antes de terminar aprovechamos para dejaros una lectura recomendada, este especial de MuySeguridad con consejos para evitar caer en las garras del ransomware. Más información: ZDNet.
2 comentarios234 shares
07/04/2016Isidro Ros
Petya, el ransomware que ataca unidades enteras

Petya, el ransomware que ataca unidades enteras

Es una de las grandes plagas que está azotando al mundo de la seguridad informática, y la verdad es que resulta comprensible ya que el ransomware se ha convertido en uno de los tipos de malware más lucrativos del momento, una realidad que ha llevado a la creación de modelos cada vez más avanzados y problemáticos. Petya es uno de los máximos exponentes y también uno de los más peligrosos, título que se ha ganado por méritos propios. Este ransomware no se limita a seguir los pasos de otros que secuestran y cifran archivos concretos para pedir después un rescate, normalmente en forma de pago con Bitcoin, sino que ataca las partes clave de la unidad de almacenamiento. Dicho de otra forma, Petya "secuestra todo el disco duro", os lo explicamos con detalle. Una vez que el usuario lo ejecuta el malware toma el control y reinicia el equipo afectado, sobreescribiendo el MBR (registro de arranque maestro) en el proceso y cifrando la MFT (tabla maestra de archivos). Con este proceso evita tener que cifrar un disco duro completo, cosa que le llevaría mucho tiempo, pero consigue un efecto parecido, ya que el disco duro ya no será capaz de identificar dónde se encuentran exactamente los archivos. Una vez que se ha completado el ataque la víctima recibe un pantallazo con una calavera hecha con caracteres y el aviso de que para que todo vuelva a la normalidad debe pagar 0,99 bitcoins, unos 430 dólares. Petya se propaga principalmente vía spam, así que cuidado con los correos electrónicos de fuentes desconocidas. Más información: SlashGear.
8 comentarios178 shares
28/03/2016Isidro Ros
TeslaCrypt, ransomware imposible de romper

TeslaCrypt, ransomware imposible de romper

Cuando un sistema sufre una vulnerabilidad lo normal es que los responsables se pongan manos a la obra para parchearla, y probablemente incluyan mejoras de seguridad, ¿pero qué pasa si aplicas esta idea a un ransomware? TeslaCrypt nos sirve como respuesta. La última versión de este malware lo eleva a la numeración 3.01 y con ello se acaba la posibilidad de utilizar cualquier tipo de método para recuperar los archivos que hayan sido cifrados, lo que deja al usuario con dos opciones claras en caso de que sufra una infección, pagar el rescate o resignarse a perderlos. Si tenemos una copia de seguridad no habrá problema, sobre todo si la mantenemos actualizada, pero en caso contrario podemos encontrarnos en una situación muy complicada, casi entre la espada y la pared. Esta evolución pone de relieve que los cibercriminales también mejoran sus diferentes tipos de malware. En un principio TeslaCrypt almacenaba la clave de liberación de los archivos cifrados en el propio equipo infectado, algo que facilitaba el rescate de los mismos mediante técnicas de ingeniería inversa. Sin embargo, con la versión 3.01 se utiliza una clave de 256 bits que es imposible de localizar, por lo que como anticipamos tras producirse la infección sólo tenemos esas dos opciones. Tal y como afirman desde Talos, la división de seguridad e inteligencia de Cisco, el ransomware se ha convertido en una de las mayores plagas de todo el malware que podemos encontrar por Internet, así que tened mucho cuidado. Más información: Engadget.
11 comentarios232 shares
17/03/2016Isidro Ros
El cliente de BitTorrent Transmission, infectado con ‘ransomware’ para Mac

El cliente de BitTorrent Transmission, infectado con ‘ransomware’ para Mac

Increíble pero cierto, el primer gran ataque de ransomware dedicado que recibe el sistema operativo de Apple se cuela a través de una popular aplicación de intercambio de archivos, el cliente de BitTorrent Transmission, a la postre software libre. Al parecer la descarga oficial de Transmission 2.90 para Mac habría sido alterada para incluir KeyRanger, un malware de tipo ransomware que al cabo de tres días a partir de su instalación comienza a cifrar archivos en disco y chantajea a la víctima, que deberá pagar un bitcoin (unos 400 dólares) para recuperar el acceso. Fueron los los expertos en seguridad de Palo Alto Networks quienes localizaron la amenaza, la analizaron y la reportaron a Apple, publicando sus conclusiones poco después y destacando a KeyRanger como "el primer ransomware completamente funcional visto en OS X". La recomendación para cualquier afectado es restaurar el sistema con una copia de seguridad previa a la instalación de Transmission 2.90. Por otra parte, Apple ha bloqueado su instalación en OS X y los desarrolladores de Transmission, tras retirar la aplicación infectada de la circulación lanzaron dos actualizaciones, la segunda de las cuales elimina el archivo infectado. Por lo tanto, Transmission 2.92 es la versión recomendada. Algo que no termina de cuadrar en el relato de los expertos de Palo Alto Networks es que dicen haber detectado el malware el día 4 de marzo, "a las pocas horas de que los instaladores fueran publicados inicialmente", cuando lo cierto es que Transmission 2.90 se lanzó el 28 de febrero. Con todo, las notas de lanzamiento de la aplicación demuestran que la actualización se dio el mismo día 28. Lo que no se sabe todavía es qué sucedió, cómo los atacantes pudieron vulnerar la seguridad del sitio oficial de Transmission y reemplazar el ejecutable original por uno infectado. Porque no solo es una de las aplicaciones más populares de su categoría en Mac; también lo es en GNU/Linux, donde distribuciones de la talla de Ubuntu la instalan por defecto (a partir de su código fuente, por lo que este caso concreto nunca podría darse). No obstante, el ransomware es un peligro en alza y no es ajeno a ninguna de las principales plataformas tecnológicas. Afecta con especial intensidad a Windows por su mayor cuota de uso y su diferente modelo de seguridad, pero también se ha dejado notar en Mac, Linux o Android. Hace poco informamos de cómo un hospital de Estados Unidos se vio obligado a pagar después de estar sometido durante más de una semana a una ataque similar. Imagen: Shutterstock
13 comentarios198 shares
07/03/2016J.Pomeyrol
Un hospital de Hollywood, víctima del ‘ransomware’

Un hospital de Hollywood, víctima del ‘ransomware’

El Hollywood Presbyterian Medical Center es la última víctima de uno de los riesgos informáticos más serios de la actualidad, el ransomware. El hospital lleva más de una semana sin acceso a sus sistemas informáticos a causa de un ataque que solo se revertirá si pagan un rescate de 9.000 bitcoins, algo más de 3, 6 millones de dólares. Según informan en el portal especializado en seguridad CSO, los responsables del centro colaboran con la policía de Los Angeles y el FBI con el fin de descubrir la identidad de los atacantes y conseguir así la recuperación de todos sus sistemas sin sucumbir al pago. Sin embargo, no parece que vaya a ser un objetivo sencillo de cumplir en el corto plazo. Debido a esta incidencia el hospital lleva más de una semana sin poder utilizar la la red en los departamentos que no fueron afectados en un primer momento, mientras que los que sí lo fueron, comenzando por urgencias, se han quedado sin acceso a historiales médicos, entre otros datos. La situación ha forzado al personal a trabajar a la vieja usanza, con fax y teléfono, obligando también a trasladar pacientes a otros centros. No es una broma esto del ransomware, desde luego. Que mediante técnicas de malware cibercriminales cifren los datos de una persona en su PC, puede suponer una verdadera pesadilla; que lo hagan con una organización es mucho más grave. Casualidades de la vida, hace apenas una semana os hablamos a fondo del tema aquí, en MuyComputer: cómo prevenir y solucionar ataques de ransomware.
7 comentarios119 shares
16/02/2016J.Pomeyrol
Cómo prevenir y solucionar ataques Ransomware

Cómo prevenir y solucionar ataques Ransomware

Los ataques Ransomware están a la orden del día y han sido una de las técnicas de infección de malware más agresivas de 2015. Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil por cualquier vía de infección, bloquea el funcionamiento del equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como "rescate" para liberarlos. Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad. Puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles) y su motivación es casi exclusivamente económica. Los últimos ataques Ransomware han confirmado que los desarrollos son cada vez más sofisticados y peligrosos como vimos a finales de año con la actualización del Angler Exploit Kit, uno de los “cócteles” maliciosos para ransomware más potentes que existen, con la suma de CryptoWall 4.0 que ofrece un cifrado fuerte casi irrompible. A comienzos de este año conocimos un desarrollo aún más peligroso denominado Ransom32 que se vende en la Deep Web y que puede afectar por igual a equipos con Windows, Mac y Linux porque se trata de un “Ransomware como servicio”. Escrito en Javascript, utiliza Node.js y se ejecuta sobre la plataforma NW.js para cifrar los ficheros y exigir el rescate habitual de estos virus-estafa. Tiene semejanzas con Cryptolocker (uno de los desarrollos más populares), se apodera de los archivos personales del equipo bajo un fuerte cifrado usando una clave pública RSA-2048, con la clave de descifrado incluida en un servidor secreto en Internet. Cuando apareció, solo 7 de 54 antivirus fueron capaces de detectarlo. Para intentar frenar esta amenaza, el CCN-CERT (Centro de respuesta a incidentes de seguridad del Centro Criptológico Nacional) ha publicado un interesante informe denominado "Medidas de seguridad contra Ransomware", que todo usuario deberíamos conocer porque repasa desde los conceptos básicos de este malware, las vías de infección, las medidas preventivas, las medidas reactivas y la restauración de ficheros o su descifrado cuando es posible. Lo más interesante es la lista de medidas preventivas a adoptar en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente los ataques Ransomware. Los hemos comentado en otras ocasiones pero no está de mal recordarlos porque la prevención es siempre la mejor fórmula: Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas). Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail. Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days). No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo "Privacy Manager", que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits). Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero. Adicionalmente, se recomienda la instalación de la herramienta "Anti Ransom", que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando "honey files"). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse. Si a pesar de todo lo anterior detectamos una infección, CCN-CERT recoge medidas reactivas a adoptar de inmediato para poder frenarlo. El informe indica también las preguntas a desarrollar para comunicar el incidente a los equipos de seguridad y la valoración de cada uno de los escenarios. Otro apartado interesante es el de la restauración de ficheros desde las obligatorias copias de seguridad, así como una tabla resumen de las posibilidades de recuperación de datos dependiendo del tipo de cifrado: El informe también ofrece algunas de las herramientas y utilidades on-line existentes que permiten el descifrado de ciertos especímenes de ransomware. Es la última solución si no tenemos copias de seguridad y no podemos perder los archivos. Ya te adelantamos que no es sencillo porque los ciberdelincuentes van por delante y por ello los métodos de prevención tienen que estar por encima de todo. Un informe muy educativo este del CCN-CERT que te recomendamos revisar.
2 comentarios102 shares
08/02/2016Juan Ranchal
[ ]