Post46 nn

Ransomware la Amenaza Persistente


Profile
Omar Jacobo Muñoz Veliz

Definición de ransomware.

El ransomware es un software malicioso que encripta nuestros archivos con un cifrado fuerte y con sus propias extensiones y luego le manda la contraseña del cifrado al ciber delincuente que ha realizado el ataque, en los últimos años en ransomware ha evolucionado como toda tecnología y esto le abierto el campo en dispositivos móviles e incluso para el iot.

El ransomware es la tendencia de seguridad para este año 2017. El ransomware ha evolucionado tanto que se han visto casos donde tienen hasta su propio call center para ayudarnos a pagar.



Ejemplo de como se ve un ordenador infectado


Conociendo el ransomware

Las familias de ransomware han crecido en los últimos años y cada día es posible encontrarnos con nuevas amenazas de las cuales ya se han visto en el pasado solo que se ha mejorado algunos métodos.


variantes de ransomware a lo largo de los años


El ransomware afecta mucho a sistemas Windows pero se han encontrado variantes de ransomware para linux, os x, incluso dispositivos móviles. En los dispositivos móviles se propaga a través de aplicaciones maliciosas con muchos permisos o que buscan obtener privilegios a nivel del sistema(root). En los últimos meses se han detectado varias aplicaciones móvil que encriptaba nuestro dispositivo móvil y nos exige un rescate, este usaba el truco de haber encontrado contenido ilegal en nuestro dispositivo haciéndose pasar por el FBI. 



Ransomware móvil


La mayoría de estos malwares se han encontrado en países Europeos pero no falta poco para empezar a verlos en países latinoamericanos.

Cifrado

Una de las mayores características del ransomware es encontrarnos con extensiones poco comunes como las siguientes.

  • *.*cry
  • *.*crypto
  • *.*locked
  • *.*darkness

Entre las más populares, cabe destacar que cada día se generan nuevas extensiones de cifrado o mejoran incluso la mayoría de extensiones que existen son similares a muchas que se han visto anteriormente.

Podemos encontrar una lista de extensiones que ha usado el ransomware en el siguiente enlace.

Extensiones del ransomware


Métodos de propagación


Se han podido observar los siguientes métodos de propagación en los últimos años.

  1. Vía correo electrónico(Spam)

  2. Ataque dirigido


La diferencia entre estos métodos es que la primera puede ser enviada masivamente a correos que se hayan expuesto en internet y la segunda es un ataque directo donde el delincuente ha estudiado el objetivo y conoce sus fortalezas y debilidades.


Via correo electrónico


Se envía un correo electrónico a la víctima donde se encuentra un documento en word con un nombre extraño.


Correo malisioso que contiene el ransomware en su adjunto


Documento que con macros malisiosas


Estos correos siempre buscan la forma de atraer a las personas a descargar los archivos, usan técnicas como usar el miedo de las personas o la curiosidad para abrir estos documentos y ser infectados.

Unas de las técnicas que se usan comúnmente son:

  • Premios, se les indica a las personas que han ganado algo y eso las motiva a abrir el archivo.

  • Pagos, se les indica a las personas que han recibido un pago y que deben ver los datos que se les manda(en algunos casos suelen simular que son de parte del banco)

  • Miedo, se les indica a las personas que es de urgencia abrir el archivo o en algunos casos simulan ser entidades del gobierno citándolos o dándoles una demanda.


Recomendaciones


  1. Verificar la fuente de la que ha sido enviado el correo

  2. No abrir ningún documento que provenga de destinatarios de correos sospechosos

  3. Validar el contenido del correo, no dejarse llevar por premios falsos

  4. Desactivar las macros de word para prevenir la ejecución de código malicioso


El siguiente link muestra como desactivar las macros en los documentos de office.

Desabilitar macros en documentos de Office


Ataque dirigido


Cuando se encuentra una falla en un sistema informático(servidor que almacene información de una página que provea servicios de almacenamiento, entretenimiento o otros fines donde un hacker pueda obtener una ganancia cifrando la información de dicha página) puede ser debido a faltas de actualización del sistema o de la plataforma sobre la que se trabaja por ejemplo.


  • No tener actualizado los últimos parches de seguridad o plugins como en el caso de Wordpress, joomla y otros cms

  • No tener el sistema operativo actualizado

  • Credenciales por defecto


Recomendaciónes


  1. Verificar siempre los últimos parches de seguridad de wordpress o el cms que estén usando.

  2. Cambiar las credenciales por defecto del sistema

  3. Mantener el sistema operativo actualizado para disminuir riesgos

  4. Mantener copias de seguridad en lugares seguros ya sea un disco duro especial para copias de seguridad


Otras formas de estar seguro


Si tienen dudas si el archivo que van a ejecutar puede tener un virus es recomendable usar este servicio para comprobarlo.


Analizar archivos sospechosos

Escaner online para detectar malware

Comprobar links malisiosos

Qué hacer si mi sistema ha sido comprometido


Este tipo de infección representa que hay alguna vulnerabilidad dentro del sistema que permite a un atacante remoto obtener control sobre dicho sistema o que se han sido víctimas del spam que los ha hecho descargar un documento malicioso.

Los pasos para mantenerse seguro son los siguientes.

  1. Restaurar el sistema

  2. Actualizar el sistema y la plataforma con los últimos parches de seguridad

  3. Verificar donde esta la vulnerabilidad y corregirla


Algunas herramientas para probar la seguridad de una página pueden ser.

Escaner de vulnerabilidades open source

Nessus

Acunetix

En backtrack academy disponemos de estos cursos en Curso análisis de vulnerabilidades


Es recomendable pagar la extorsión para recuperar la información


No es recomendable pagar para recuperar la información, en muchos casos nunca se devuelve la clave para descifrar la información y esto representa solo un pago en vano, se ha visto en algunas variantes de ransomware que incluso estos no son capaces de comunicarse con el C&C y que nunca han podido mandar la clave para recuperar los archivos.


Cómo prevenir este tipo de ataques


Una forma de prevenir esto en empresas es capacitando al personal de los diversos métodos de infección y del porqué no deben ejecutar los documentos que vienen en correos sospechosos con extensiones muy raras.

Recuerda siempre mantener backups de tu información y tener claves robustas en tu sistema como los últimos parches del sistema.

Se tienen herramientas para mantener el sistema seguro del ransomware como el siguiente script para windows server 2012

Herramienta para mantener a salvo Windows server 2012

También tenemos latch arw que nos proporciona otra capa de seguridad al pedir un segundo factor de autenticación al realizar cambios en nuestro sistema.

Latch ARW




Artículos que te pueden interesar


H-c0n es una de las conferencias mas grandes en españa que reune a los mejores hacker de la región, un lugar donde abunda el compartir conocimie... Omar Jacobo Muñoz Veliz


Continuar Leyendo

Es una herramienta de escaneo de vulnerabilidades creado por cloudflare basada en nmap. La principal diferencia que existe la observamos en la i... José Moreno


Continuar Leyendo

Unos meses atrás estaba configurando un ambiente de contenedores para unos sitios web en un servidor y llego la fase del proyecto de colocar htt... Elzer Pineda


Continuar Leyendo