Ransomware

All posts tagged Ransomware

malspam.png

Olvídate de los archivos adjuntos, la mayoría del malspam estos días contiene una URL maliciosa

La nueva generación de MalSpam, en lugar de una serie de archivos adjuntos maliciosos, contiene solamente una gran cantidad de enlaces que son los que te llevan directamente a los enlaces que te descargarán estos archivos. En el siguiente post te damos los detalles.

El MalSpam se adapta

Según la telemetría recopilada por la firma de ciberseguridad Proofpoint, la mayoría de los correos no deseados (MalSpam) enviados en la primera mitad del año contienen enlaces a archivos maliciosos, en lugar de archivos adjuntos.

Más precisamente, el 85% de todos los malspam enviados en el segundo trimestre de 2019 (abril, mayo y junio) contenían un enlace a una descarga de archivos maliciosos, en lugar del archivo malicioso real adjunto al correo electrónico.

Si la mayoría del contenido de malspam enviado en estos días aprovecha los enlaces maliciosos, esto significa que los operadores obtienen más clics e infecciones en comparación con la técnica clásica de adjuntar archivos a correos electrónicos.

«Si bien la razón del dominio continuo de las URL puede deberse a una variedad de factores, es probable que la mayoría de los usuarios finales hayan sido condicionados a sospechar de los archivos adjuntos en correos electrónicos no solicitados. Las URL, por otro lado, son cada vez más comunes en el correo electrónico comercial, ya que regularmente recibimos notificaciones de archivos compartidos y actualizaciones de colaboración por correo electrónico a medida que las organizaciones se trasladan a la nube«, dijo Proofpoint.

Los hallazgos de Proofpoint deberían tener repercusiones en todo el mercado de ciberseguridad. Las empresas que proporcionan capacitación contra el phishing deben ser las que tomen notas y adapten los cursos en consecuencia, centrándose en preparar a los empleados para esta tendencia reciente.

Sin embargo, la educación y capacitación de los empleados ayuda. Y es que un informe anterior de Proofpoint descubrió que el 99% de todos los ataques cibernéticos basados ​​en correo electrónico requieren interacción humana, es decir, que el objetivo abre archivos, hace clic en enlaces o realiza algún otro tipo de acción. Con un poco de capacitación, se puede enseñar a los empleados a reconocer y evitar ser víctimas de estos ataques. Otros hallazgos del Informe de amenazas Proofpoint Q2 2019, publicado a principios de este mes, incluyen:

  • El 57% de todos los MalSpam usan suplantación de dominio.
  • El malware basado en botnet fue la carga útil de malware más popular enviada a través de campañas de MalSpam, representando el 37% de todos los correos electrónicos.
  • El malware de botnet fue seguido por troyanos bancarios (23%), InfoStealers (16%), cargadores de malware (8%), troyanos de acceso remoto (6%) y troyanos backdoor (5%).
  • Como en los últimos trimestres, el ransomware estuvo prácticamente ausente en el segundo trimestre.
  • Ursnif representó el 80% de todas las cargas útiles de troyanos bancarios enviados por correo electrónico. Fue seguido por URLZone, The Trick y Dridex.
  • El ranking de InfoStealer tenía a Pony al frente, seguido de AZORult, Loki Bot y Formbook.

¿Qué es el MalSpam?

Ejemplo de phishing email.
Los enlaces ofuscan o modifican su destino.

MalSpam, o spam malicioso, es un método muy popular y efectivo para enviar correos electrónicos en masa que contengan archivos infectados o enlaces que redirigen a los usuarios a sitios web que contienen éstos kits de explotación.

Referencia: https://www.zdnet.com/article/most-malspam-contains-a-malicious-url-these-days-not-file-attachments/

leer más
Diarleth G.Olvídate de los archivos adjuntos, la mayoría del malspam estos días contiene una URL maliciosa
Luisiana-ransomware.jpeg

Gobernador de EEUU declara emergencia de ciberseguridad en todo el estado

El gobernador de Luisiana John Bel Edwards ha declarado una emergencia de seguridad cibernética en todo el estado.

Hay un ataque de malware en curso que afecta a tres distritos escolares públicos en el norte de Louisiana: Sabine, Morehouse y Ouachita, informa la oficina del gobernador.

En respuesta, la Oficina de Seguridad Nacional y Preparación para Emergencias del Gobernador ha activado su equipo de acción en caso de crisis y la Función de Servicios de Emergencia-17.

Funcionarios estatales fueron notificados el miércoles y han estado brindando asistencia técnica desde entonces, dijo Christina Stephens, una portavoz de la oficina del gobernador.

«Ha habido algunas discusiones con los sistemas escolares sobre qué buscar y cómo protegerse. Además, el Centro de Fusión de la Policía del Estado de Louisiana ha brindado alguna orientación a las fuerzas del orden y a otros sobre la amenaza«.

La Policía del Estado de Louisiana, la Guardia Nacional de Louisiana, la Oficina de Servicios Tecnológicos del estado y otras agencias están coordinando la respuesta y determinando acciones futuras.

El distrito escolar de Sabine dice que los teléfonos en su oficina central también están siendo afectados. Los empleados pueden llamar pero no pueden recibir llamadas. Se aconseja a los padres que se comuniquen con las escuelas de sus hijos si necesitan ayuda.

Eddie Jones, director de Florien High School en Sabine Parish, dijo que su supervisor de tecnología recibió una alerta en su teléfono alrededor de las 4 am del domingo sobre el uso inusualmente alto de ancho de banda, particularmente considerando la hora del día y las vacaciones de verano.

Se les dijo que se descubrió un virus ransomware instalado en su sistema, dijo.

Jones no cree que se haya perdido ninguna información confidencial. Lo que se pierde, dijo, es cualquier cosa y todo está alojado únicamente en los servidores del Distrito Escolar.

Para Jones, dijo que eso significa 17 años de documentos que creó: discursos, horarios de exámenes, horarios maestros, etc.

Esta es la primera vez que Louisiana activa su función de soporte de emergencia relacionada con la ciberseguridad.

Hasta el momento, el estado está coordinando con el FBI, las agencias estatales y los socios de educación superior.

Los últimos meses han visto una serie de ataques de ransomware contra varias ciudades de los Estados Unidos, algunas de las cuales han resultado en pandillas criminales que extorsionan millones de dólares.

Parece que un número sorprendente de ciudades están preparadas para recurrir al pago de la demanda de ransomware de un hacker si no pueden restaurar los datos con la suficiente facilidad o rapidez, o sin incurrir en más gastos de los que exigen los propios extorsionistas. Esto inevitablemente anima a más pandillas de ransomware a probar suerte al apuntar a lo que ven como presas fáciles.

leer más
Isaul CarballarGobernador de EEUU declara emergencia de ciberseguridad en todo el estado
00-1.jpg

Anubis está descontrolando las plataformas bancarias

No cabe duda que el hackeo y robo a bancos sigue siendo una industria muy lucrativa y atractiva. Se han descubierto más de 17,000 nuevas muestras de malware bancario Android de Anubis que están dirigidas a un total de 188 aplicaciones financieras y bancarias. El atacante detrás del desarrollo de Anubis ha estado activo durante al menos 12 años, y para mantenerse al día, ha actualizado el malware para su uso en nuevas oleadas de ataques. Así lo confirmaron diversos investigadores de Trend Micro.

Anubis está descontrolando las plataformas bancarias

El troyano bancario Anubis se encuentra a menudo en las campañas de ingeniería social y phishing, en las que las víctimas involuntarias son atraídas a descargar aplicaciones maliciosas que contienen el malware. En total, Trend Micro ha encontrado 17.490 muestras nuevas de malware en dos servidores relacionados. Anubis ahora se enfoca en 188 aplicaciones bancarias y financieras móviles legítimas, ubicadas principalmente en los Estados Unidos, India, Francia, Italia, Alemania, Australia y Polonia.

Mapa con distribución geográfica y porcentual de las aplicaciones atacada por malware Anubis
Distribución geográfica de las aplicaciones atacada por malware Anubis

Si una víctima descarga y ejecuta una aplicación Anubis que se hace pasar por un servicio legítimo, se está exponiendo a una amplia variedad de capacidades de secuestro del malware. Anubis puede tomar capturas de pantalla, grabar audio, enviar, recibir y borrar mensajes SMS, robar listas de contactos y credenciales de cuenta, abrir URL (posiblemente para descargar cargas útiles adicionales) y también puede deshabilitar Google Play Protect.

Además, el troyano bancario puede saquear las configuraciones más profundas de un dispositivo comprometido al habilitar o manipular las configuraciones de administración del dispositivo, ver las tareas en ejecución y crear una puerta trasera para el control remoto a través de la computación de red virtual (VNC).

A medida que el malware fue evolucionando, el desarrollador también fue agregando una característica similar al Ransomware; la capacidad de cifrar archivos almacenados en un dispositivo móvil y su tarjeta SD conocida como AnubisCrypt. Asimismo, Anubis puede recibir comandos de plataformas de redes sociales, como Twitter y aplicaciones de mensajería como Telegram. Los operadores del malware han estado utilizando los enlaces cortos de Twitter y Google para enviar comandos remotos al malware. La mayoría de los cuales parecen ser de Turquía, de acuerdo con la configuración de idioma utilizada por las cuentas de redes sociales que envían comandos.

Una vez que se han aceptado los comandos, Anubis puede secuestrar dispositivos, robar datos y enviar información a los servidores de comando y control (C2) que se han extendido por todo el mundo. Las nuevas variantes también pueden detectar si se están ejecutando en máquinas virtuales (VM), una forma común para que los investigadores desempaqueten y analicen con seguridad el malware. En el caso de Anubis, esto también incluye emuladores de Android como Genymotion.

Anubis no es la única variante de malware para Android que se está mejorando y perfeccionando constantemente por sus desarrolladores. Hace un par de semanas atrás, los investigadores de Fortinet dijeron que BianLian, que comenzó su vida como un ayudante para Anubis ahora es un troyano bancario establecido por su propia cuenta, y está logrando evitar las protecciones de Android de Google para propagar su código malicioso.

Las variantes recientes de BianLian tienen un nuevo módulo de captura de pantalla que le da a los atacantes la oportunidad de monitorear la pantalla de un dispositivo comprometido y robar información, incluidos los nombres de usuario y las contraseñas.

leer más
Diarleth G.Anubis está descontrolando las plataformas bancarias
0.png

Otra empresa cae al descubierto negociando con hackers

Los hackers suelen ser personas inescrupulosas que creen que pueden hacer lo que quieran por el internet sin recibir ningún tipo de repercusión. Desde luego que no todos son malos pero algunos realmente se pasan del límite causando daños millonarios. Daños que muchas veces suelen ser irreparables. Pero, ¿Y qué pasa cuando los hackers hacen más que solo infectarnos con un virus? Existen hackers que han creado códigos maliciosos capaces de secuestrar nuestros ordenadores con la intención de luego pagar rescata por su liberación. A estos virus se le llaman Ransomware y aquí  te hablaremos un poco de ellos pues la verdad es algo que está dando mucho de qué hablar sobre todo ahora que nuevamente otra empresa cae al descubierto negociando con hackers.

Otra empresa cae al descubierto negociando con hackers

Existen muchas maneras en las que un hacker puede hacer daño y una de estas formas es por medio de un ransomware. Pero, seguramente te preguntarás qué es un ransomware.

¿Qué es un ransomware? Un ransomware es un código malicioso (como la mayoría de los virus) que tiene como propósito principal bloquear nuestra computadora y darle al pirata informático la capacidad de ubicar el lugar en donde nos encontramos y encriptar nuestros archivos quitándonos por completo el control de nuestro ordenador y de todo lo que allí tenemos.

Pero todo esto obedece a un propósito mucho más macabro, y es que la idea del hacker no es solo bloquear tu computadora, sino secuestrártela con la intención de pedir un rescate para liberar ese bloqueo y que puedas acceder a toda tu información. Este rescate se suele cobrar con monedas virtuales como por ejemplo las bitcoins.

Pues bien, ante esto, el portal ProPublica ha informado sobre las acciones de dos empresas de los Estados Unidos que según aseguraban utilizar sus propios métodos de recuperación de datos para ayudar a las víctimas de ransomware a recuperar el acceso a los archivos infectados. Esto lo hacían negociando y pagando a los piratas informáticos el rescate que pedían.

Por otra parte, también existen nuevas pruebas de que una empresa del Reino Unido adopta un enfoque similar. Fabian Wosar, un investigador de seguridad cibernética, le dijo a ProPublica este mes que, acerca de una operación encubierta que llevó a cabo en abril de este año. Red Mosquito Data Recovery, con sede en Escocia, dijo que se estaban «haciendo pruebas» para desbloquear archivos mientras se negociaba un pago de rescate. Wosar, el jefe de investigación del proveedor de antivirus Emsisoft, afirmó que se hizo pasar por un pirata informático y al mismo tiempo por una víctima para que se pudieran revisar las comunicaciones de la compañía por ambos lados.

Sin embargo, Red Mosquito Data Recovery no hizo ningún esfuerzo por no pagar el rescate y, en cambio, fue directamente al autor del ransomware literalmente en solo cuestión de minutos, dijo Wosar. Siendo el problema de esta acción contribuir con los hackers que hacen funcionar los ransomware ya que caen directamente en su juego.

leer más
Diarleth G.Otra empresa cae al descubierto negociando con hackers
ransomware-is-back-featured.jpg

¿Quién está detrás del ransomware GandCrab?

Escrito originalmente por Brian Krebs.

Los delincuentes detrás de un programa de afiliados que pagó a los ciberdelincuentes por instalar la destructiva y exitosa cepa de ransomware GandCrab anunciada el 31 de mayo de 2019, terminaron el programa luego de que supuestamente obtuvieron más de $ 2 mil millones en pagos de extorsión de las víctimas. Lo que sigue es una inmersión profunda en quién puede ser responsable de reclutar nuevos miembros para ayudar a difundir el contagio.

Como la mayoría de las cepas de ransomware, el ransomware-as-a-service de GandCrab ofrece archivos retenidos como rehenes de sistemas infectados hasta que las víctimas accedan a pagar la suma exigida. Pero GandCrab eclipsó por mucho el éxito de los programas de afiliados ransomware de la competencia, en gran parte porque sus autores trabajaron asiduamente para actualizar el malware de modo que pudiera evadir el antivirus y otras defensas de seguridad.

En el lapso de 15 meses de la empresa afiliada a GandCrab a partir de enero de 2018, sus curadores enviaron cinco revisiones principales al código, cada una correspondiente a nuevas características y soluciones de errores dirigidas a frustrar los esfuerzos de las empresas de seguridad informática para frenar la expansión de la malware

«En un año, las personas que trabajaron con nosotros han ganado más de US $ 2 mil millones«, leyó la publicación de despedida de la identidad del mismo nombre de GandCrab en el foro de ciberdelincuencia Exploit[.]in, Donde el grupo reclutó a muchos de sus distribuidores. “Nuestro nombre se convirtió en un término genérico para ransomware en el inframundo. El ingreso semanal promedio del proyecto fue igual a US $ 2.5 millones ”.

El mensaje continuó:

“Nosotros mismos hemos ganado más de US $ 150 millones en un año. Este dinero se ha retirado e invertido con éxito en varios proyectos legales, tanto en línea como fuera de línea. Ha sido un placer trabajar con ustedes. Pero, como dijimos, todo termina. Estamos recibiendo una jubilación bien merecida. Somos una prueba viviente de que puedes hacer el mal y salir impune. Hemos demostrado que uno puede hacer una vida de dinero en un año. Hemos demostrado que puedes convertirte en el número uno por admisión general, no por tu propia cuenta».

Evidentemente, cuando se considera el daño infligido a tantas personas y empresas golpeadas por GandCrab, es fácilmente el malware más rapaz y depredador de 2018 y hasta 2019.

El perfil de GandCrab en Exploit[.]in publicó actualizaciones periódicas sobre el recuento de víctimas y los pagos de rescate. Por ejemplo, a fines de julio de 2018, GandCrab declaró que una sola filial del servicio de alquiler de ransomware había infectado a 27,031 víctimas solo en el mes anterior, recibiendo aproximadamente $ 125,000 en comisiones.

El mes siguiente, GandCrab se jactó de que el programa en julio de 2018 generó casi 425,000 víctimas y extorsionó más de un millón de dólares en criptomonedas, muchas de las cuales fueron para afiliados que ayudaron a diseminar las infecciones.

La firma de seguridad rusa Kaspersky Lab estimó que para cuando el programa dejó de funcionar, GandCrab representaba hasta la mitad del mercado global de ransomware.

Oneiilk2

No está claro cuántos individuos estaban activos en el equipo de desarrollo de malware de GandCrab. Pero KrebsOnSecurity localizó varias pistas que apuntan a la identidad en la vida real de un hombre ruso que parece haber sido puesto a cargo de reclutar nuevos afiliados para el programa.

En noviembre de 2018, un afiliado de GandCrab publicó una captura de pantalla en el foro de Exploit[.]in de un mensaje privado entre él y un miembro del foro conocido como «oneiilk2» y «oneillk2» que mostró que este último estaba a cargo de reclutar nuevos miembros para el programa de ganancias ransomware.

Oneiilk2 también fue un exitoso afiliado de GandCrab por derecho propio. En mayo de 2018, se lo pudo ver en múltiples hilos de Exploit[.]in que pedían ayuda urgente para obtener acceso a negocios pirateados en Corea del Sur. Estas solicitudes se prolongan durante varias semanas ese mes, con Oneiilk2 que dice que está dispuesto a pagar el mejor precio por los recursos solicitados. Al mismo tiempo, Oneiilk2 se puede ver en Exploit y pide ayuda para descubrir cómo crear un cebo de malware convincente utilizando el alfabeto coreano.

Más adelante en el mes, Oneiilk2 dice que ya no necesita ayuda con esa solicitud. Apenas unas semanas después, las empresas de seguridad comenzaron a advertir que los atacantes estaban organizando una campaña de spam para atacar a las empresas de Corea del Sur con la versión 4.3 de GandCrab.

Hottabych

Cuando Oneiilk2 se registró en Exploit[.]in en enero de 2015, usó la dirección de correo electrónico hottabych_k2@mail.ru. Esa dirección de correo electrónico y su apodo se utilizaron desde 2009 para registrar múltiples identidades en más de media docena de foros de delitos informáticos.

En 2010, la dirección hottabych_k2 se usó para registrar el nombre de dominio dedserver [.] Ru, un sitio que comercializaba servidores web dedicados a personas involucradas en varios proyectos de ciberdelito. Ese registro de registro de dominio incluyó el número de teléfono ruso + 7-951-7805896, que según la función de recuperación de contraseña de mail.ru es, de hecho, el número de teléfono utilizado para registrar la cuenta de correo electrónico hottabych_k2.

Al menos cuatro publicaciones realizadas en 2010 en el servicio de revisión de hosting makeserver.ru anuncian Dedserver e incluyen imágenes con marca de agua con el apodo «oneillk2».

Dedserver también promovió en gran medida un servicio de red privada virtual (VPN) llamado vpn-service [.] Para ayudar a los usuarios a ofuscar sus verdaderas ubicaciones en línea. No está claro cuán estrechamente conectados estaban estos negocios, aunque una copia en caché de la página de inicio de Dedserver en Archive.org desde 2010 sugiere que los propietarios del sitio lo consideraron como propio.

Vpn-service [.] Us fue registrado en la dirección de correo electrónico sec-service@mail.ru por una persona que usó el apodo (y, a veces, la contraseña) – «Metall2» – en múltiples foros de ciberdelincuencia.

Casi al mismo tiempo que el programa de afiliados de GandCrab estaba en marcha, Oneiilk2 se había convertido en uno de los miembros más confiables de Exploit y en varios otros foros. Esto fue evidente al medir el total de «puntos de reputación» que se le asignaron, que son comentarios positivos o negativos otorgados por otros miembros con los que el miembro ha realizado transacciones anteriormente.

A finales de 2018, Oneiilk2 fue uno de los 20 miembros con mejor calificación entre los miles de ciudadanos en el foro de Exploit, gracias en gran parte a su asociación con la empresa GandCrab.

La búsqueda en la dirección de correo electrónico de registro de Oneiilk2 hottabych_k2@mail.ru a través de sitios que rastrean bases de datos pirateadas o filtradas arrojó algunos resultados curiosos. Esos registros muestran que este individuo reutilizó la misma contraseña en varias cuentas: 16061991.

Por ejemplo, la dirección de correo electrónico y la contraseña aparecen en las bases de datos de contraseñas pirateadas para una cuenta «oneillk2» en zismo [.] Biz, un foro en ruso dedicado a las noticias sobre varios programas de afiliados para ganar dinero en línea.

En un post realizado en Zismo en 2017, Oneiilk2 afirma que vive en un pequeño pueblo con una población de alrededor de 400,000, y que se dedica a la fabricación de muebles.

¿Mr. Prokopenko?

La investigación adicional reveló que la dirección hottabych_k2@mail.ru también se había utilizado para registrar al menos dos cuentas en el sitio de redes sociales Vkontakte, el equivalente en ruso de Facebook.

Una de esas cuentas fue registrada por un «Igor Kashkov» de Magnitogorsk, Rusia, una ciudad industrial rica en metales en el sur de Rusia de alrededor de 410,000 residentes que alberga las mayores obras de hierro y acero del país.

La cuenta de Kashkov usó la contraseña «hottabychk2», el número de teléfono 890808981338, y en un momento dado proporcionó la dirección de correo electrónico alternativa «prokopenko_k2@bk.ru». Sin embargo, esto parece haber sido simplemente una cuenta abandonada, o al menos solo hay un par de actualizaciones dispersas al perfil.

La cuenta Vkontakte más interesante vinculada a la dirección hottabych_k2@mail.ru pertenece a un perfil con el nombre «Igor Prokopenko», quien dice que también vive en Magnitogorsk. El perfil de Igor Prokopenko dice que ha estudiado y está interesado en varios tipos de metalurgia.

También hay una cuenta de voz sobre IP de Skype vinculada a un «Igor» de Magnitogorsk cuyo cumpleaños figura en la lista el 16 de junio de 1991. Además, existe una cuenta de Youtube bastante activa que se remonta a 2015 – youtube.com/user/Oneillk2 – Eso pertenece a un Igor Prokopenko de Magnitogorsk.

Esa cuenta de Youtube incluye en su mayoría videos cortos del Sr. Prokopenko que pesca pescado en un río local y diagnostica problemas con su Lada Kalina, una línea de automóviles de fabricación rusa que es bastante común en toda Rusia. Una cuenta creada en enero de 2018 con el apodo de Oneillk2 en un foro para entusiastas de Lada dice que su dueño tiene 28 años y vive en Magnitogorsk.

Las fuentes con la capacidad de verificar los registros de ciudadanía rusa identificaron a Igor Vladimirovich Prokopenko de Magnitogorsk que nació el 16 de junio de 1991. Recuerde que «16061991» fue la contraseña utilizada por innumerables cuentas en línea vinculadas a hottabych_k2@mail.ru y Oneiilk2 / Identidades de Oneillk2.

Para completar todas las investigaciones anteriores, la página de restablecimiento de contraseña de Vkontakte muestra que el perfil de Igor Prokopenko está vinculado al número de teléfono móvil + 7-951-7805896, que es el mismo que se usa para configurar la cuenta de correo electrónico hottabych_k2 @ mail. ru hace casi 10 años.

El Sr. Prokopenko no respondió a múltiples solicitudes de comentarios.

Es completamente posible que quien sea responsable de operar el programa de afiliados de GandCrab haya desarrollado una campaña de desinformación elaborada, de un año de duración, para llevar a futuros investigadores potenciales a una parte inocente.

Al mismo tiempo, no es raro que muchos malhechores rusos hagan poco para ocultar sus verdaderas identidades, al menos al principio de sus carreras, tal vez en parte porque perciben que hay pocas probabilidades de que alguien se moleste en conectar los puntos más adelante, o porque tal vez no temen el arresto y / o la persecución mientras residen en Rusia. Cualquier persona que tenga dudas sobre esta dinámica haría bien en consultar la serie Breadcrumbs en este blog, que utilizó métodos similares a los descritos anteriormente para desenmascarar a docenas de otros proveedores importantes de malware.

Cabe señalar que el programa de afiliación de GandCrab tomó medidas para evitar la instalación de su ransomware en computadoras que residen en Rusia o en cualquiera de los países que anteriormente formaban parte de la Unión Soviética, conocida como la Comunidad de Estados Independientes e incluso Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán. Esta es una precaución típica que toman los ciberdelincuentes que ejecutan operaciones de malware en uno de esos países, ya que tratan de evitar crear problemas en sus propios patios que puedan atraer la atención de las autoridades locales.

KrebsOnSecurity agradece a domaintools.com, así como a las firmas de inteligencia cibernética Intel471, Hold Security y 4IQ por su ayuda en la investigación de esta publicación.

Esta es una transcripción de un post originalmente publicado en:

leer más
Isaul Carballar¿Quién está detrás del ransomware GandCrab?
5.jpg

Se incrementan los ataques de Ransomware en los Estados Unidos

Por más de doce meses, Baltimore (Estados Unidos) ha estado sufriendo un muy costoso ataque de Ransomware. De hecho, a la fecha, el ataque ha dejado a los funcionarios incapaces de procesar los pagos e incluso responder a los correos electrónicos. Trágico, ¿no es cierto? Sin embargo, lastimosamente Baltimore no es solo un caso aislado. Se incrementan los ataques de Ransomware en los Estados Unidos.

En los últimos dos meses, ha habido ataques de ransomware en Greenville, Carolina del Norte, California, Stuart, Florida, Cleveland, Ohio, Augusta, Maine,Lynn, Massachusetts, Cartersville, Georgia entre otros, lo que ha puesto a todo el país en alerta .

Aumentan ataques de ransomware

Para los que desconocen lo que es un ransomware, este es un programa malicioso que restringe al usuario evitándole tener acceso a diferentes archivos de su sistema operativo. Dicho de otra forma un ransomware es un programa que secuestra tus datos literalmente y luego te piden el pago de un rescate para volverlos a tener. Los ransomware pueden quitarte el control por completo de tu ordenador y hacerte pasar momentos de absoluta oscuridad y en Estados Unidos esta oscuridad va creciendo rápidamente.

Los ataques con ransomware aumentaron de 38 en 2017 a 53 en 2018, según los datos recopilados por la firma Recorded Future. Sin embargo, se espera que estos números vayan en aumento y de forma acelerada en los próximos años.

A medida que las corporaciones refuerzan sus defensas contra los ataques de ransomware, los piratas informáticos han encontrado objetivos convenientes en ciudades, especialmente en los municipios locales cuyas defensas son mucho más débiles. Y a medida que las ciudades y pueblos se apresuran a digitalizar cada vez más su infraestructura, el potencial de ataques se hace más grande y desde luego mucho más devastadores.

Gary Hayslip, un experto en seguridad cibernética que anteriormente actuó como director de seguridad de la información en San Diego. Noticias VICE dijo:

«El gobierno sabe que necesita cambiar, pero se mueven lentamente en comparación con la rapidez con que las empresas privadas se preparan ante la posibilidad de quedar expuestos ante una nueva amenaza. Hasta que se ordene que las ciudades, los condados y los estados cumplan con un nivel específico de seguridad y tengan demostraciones periódicamente como se hace en el cumplimiento de las normas comerciales, las entidades gubernamentales continuarán siendo un blanco fácil para los ciberdelincuentes».

Hay que entender que un ransomware no es un fenómeno nuevo. El malware ha sido popular entre los piratas informáticos durante años, ya que les da una forma fácil de extraer millones de dólares, generalmente en bitcoins, de usuarios confiados en todo el mundo al infectar sus computadoras y mantener sus datos como rehenes hasta que pagan.

Y según los expertos el riesgo va a empeorar, y para combatir adecuadamente la creciente amenaza del ransomware contra los gobiernos locales y estatales, es necesario tener una idea clara de cuán grande es el problema y cómo los hackers están explotando estos sistemas. De hecho se cre que el número de ataques revelados es inferior al real.

leer más
Diarleth G.Se incrementan los ataques de Ransomware en los Estados Unidos

Anuncian nueva herramienta de descifrado para víctimas de GandCrab

La solución permite que las víctimas del GandCrab pueden descifrar los archivos de forma gratuita y segura

Gandcrab - Malware como servicioLas empresas y los usuarios domésticos afectados por las últimas versiones del ransomware GandCrab ahora pueden recuperar sus archivos bloqueados de forma gratuita, gracias a una nueva herramienta de descifrado.

Es la herramienta de descifrado más completa disponible hasta la fecha para esta familia de ransomware en particular: funciona para todas las versiones de malware excepto las dos existentes (v.1,4 y 5), independientemente de la ubicación geográfica de la víctima. Esta herramienta se lanzó una semana después de que el grupo criminal detrás de GandCrab hiciera claves de descifrado públicas que permitieran que solo un grupo limitado de víctimas ubicadas en Siria recuperaran sus archivos.

El GandCrab 5.0.5 Ransomware continúa siendo distribuido a través de archivos corruptos de Microsoft Word, archivos PDF, páginas de phishing y actualizaciones falsas de las fuentes utilizadas en Mozilla Firefox y Google Chrome. Como se mencionó anteriormente, el GandCrab Ransomware se opera como una plataforma de Ransomware-as-a-Service, y la amenaza se propaga de varias formas. Se recomienda a los usuarios de PC que eviten archivos de ubicaciones no verificadas y remitentes de correo electrónico y se abstengan de usar software pirateado.

¿Qué es GandCrab?

El ransomware GandCrab se descubrió a fines de enero de 2018 cuando se ofrecía com Ransomware como servicio (RaaS por sus siglas en Inglés Ransomware-as-a-Service) y pronto se convirtió en el ransomware más popular y extendido del año.

El ransomware es un tipo de malware que encripta todos los datos en una máquina, red y nube, y exige un rescate en criptomoneda para regresar la clave de descifrado. Las víctimas generalmente solo tienen unos pocos días para pagar o nunca volverán a ver su información.

¿Cómo funciona GandCrab?

GandCrab se distribuye a través de múltiples vectores de difusión, que incluyen correos electrónicos no deseados (también conocidos como spam), kits de explotación y otras campañas de programas maliciosos afiliados. Estos correos electrónicos no deseados engañan a los usuarios para que abran el archivo contenido en el archivo ZIP adjunto, que generalmente es un script que descarga el ransomware de GandCrab y lo ejecuta.

El archivo JavaScript está muy oculto. Tras la ejecución, decodifica una URL donde se aloja GandCrab. El script luego descarga el malware a un archivo en el disco y lo ejecuta.

Una vez que GandCrab se apodera de la computadora de la víctima y encripta sus archivos, exige un rescate que oscila entre los US$300 y los US$6000. El rescate se debe pagar a través de monedas virtuales DASH que hacen que las transacciones en línea sean menos rastreables.

¿Porqué es tan peligroso GandCrab?

GandCrab está disponible para todos los cibercriminales basados ​​en un modelo de malware como servicio, lo que lo convierte en una de las amenazas de ransomware más agresivas que existen actualmente. Los ciberdelincuentes sin experiencia pueden usar el kit de herramientas de GandCrab para lanzar sus propios ataques si aceptan pagar un recorte del 30 por ciento a los creadores del ransomware.

En febrero, la policía rumana puso a disposición una primera herramienta de descifrado en No More Ransom, con el apoyo de la compañía de seguridad de Internet Bitdefender y Europol. Una segunda versión del ransomware GandCrab fue posteriormente lanzada por los delincuentes, esta vez con una codificación mejorada que incluía comentarios para provocar la aplicación de la ley, compañías de seguridad y No More Ransom. Una tercera versión siguió un día después.

Ahora en su quinta versión, este malware de bloqueo de archivos continúa actualizándose a un ritmo agresivo. Sus desarrolladores están lanzando constantemente nuevas versiones, con nuevas y más sofisticadas muestras disponibles para evitar las contramedidas de los proveedores de ciberseguridad.

Incluso con la nueva herramienta de descifrado disponible, es probable que GandCrab evolucione y continúe atacando a los usuarios, al menos hasta que sus autores sean identificados y arrestados.

¿Cómo descifrar archivos infectados por GandCrab?

Las víctimas del ransomware GandCrab pueden recuperar sus archivos sin ceder a las demandas de los delincuentes gracias a una nueva herramienta de descifrado publicada gratuitamente en https://www.nomoreransom.org/es/decryption-tools.html

La herramienta de descifrado, dice Bitdefender, se ha desarrollado en estrecha colaboración con Europol y la policía rumana, con el apoyo del FBI y «otras agencias de aplicación de la ley».

«El lanzamiento de esta herramienta de descifrado es un avance espectacular que destaca la efectividad de la colaboración entre los proveedores de seguridad y las agencias de aplicación de la ley», dijo un portavoz de Bitdefender.

«Hemos pasado meses investigando criptografía y desplegando una infraestructura considerable para hacer esto posible y ayudar a las víctimas a recuperar el control de sus vidas digitales sin costo alguno».

Los expertos en seguridad cibernética están advirtiendo a todos, empresas y personas, que se mantengan seguros, tengan cuidado al abrir enlaces y archivos adjuntos en los correos electrónicos, que guarden una copia de seguridad de los archivos importantes en un disco fuera de línea y que instalen una solución antivirus.

 

Referencias:

GandCrab Ransomware decryption tool

https://www.itproportal.com/news/gandcrab-ransomware-toppled-by-bitdefender/

https://www.acronis.com/en-us/articles/gandcrab/

Most GandCrab Ransomware Victims Can Now Recover Their Files for Free

https://www.nomoreransom.org/es/decryption-tools.html

leer más
Isaul CarballarAnuncian nueva herramienta de descifrado para víctimas de GandCrab