Category Archives: ransomware

Home / Archive by category "ransomware"

Empresas chinas estuvieron meses siendo atacadas por el ransomware ONI

El ransomware ha tenido un año de bastante popularidad.

La empresa de seguridad Cybereason analizó algunas computadoras que estaban infectadas con un ransomware llamado ONI en varias empresas chinas; ese malware había sido analizado con anterioridad, aunque no se entendía bien cómo se infectaban las víctimas. Los investigadores descubrieron que las computadoras infectadas también habían sido previamente atacadas por una campaña de spear phishing, que mediante un RAT (Remote Access Trojan) o Troyano de acceso remoto, se hacía con el control de los computadores.

El modo de funcionamiento era similar a otros ataques, aunque con pequeñas variaciones. Los correos electrónicos phishing, emulaban ser recibos y contenían un archivo adjunto con la extensión .zip con un documento en Word dentro de éste. Cuando el usuario abría el documento, también comenzaba una macroinstrucción que a su vez iniciaba un script (VBScript) que descargaba e instalaba una copia de Ammyy Admin RAT. Y este software, de uso legítimo para manejar remotamente ordenadores, era utilizado con fines maliciosos para obtener acceso total al sistema.

Según los informes de Cybereason, el RAT fue instalado desde diciembre del año 2016, infectando a compañías grandes y medianas. Una vez los atacantes tenían acceso a los computadores, continuaban intentando obtener acceso a cuentas de administración y servidores. Durante los más de nueves meses que estuvo activa la operación, el plan era hacerse de los servidores para operar ONI Ransomware. Desde Cybereason han consignado que “es prácticamente seguro afirmar que datos confidenciales se han filtrado durante estos meses”.

Sin embargo, el ransomware no fue operado de manera transversal. El software, en su versión normal y en otra llamada MBR-ONI, que afectaba el MBR de los ordenadores, sólo se implementó en algunos servidores de directorios activos o “activos críticos”. Esto último pone en duda, si la finalidad del ataque era realmente ganar dinero o robar información para luego cubrir sus rastros con el ransomware. De momento, la investigación sigue en curso.

The post Empresas chinas estuvieron meses siendo atacadas por el ransomware ONI appeared first on FayerWayer.

Nuevo ransomware secuestra sistemas utilizando nombres de Game of Thrones

Una nueva pesadilla están viviendo varios sistemas de Rusia y Ucrania, tras ser infectados por un malware denominado Bad Rabbit. Se trata un ransomware que se apropia de las computadoras donde llega, impidiendo a los usuario utilizar el sistema y encriptando los archivos almacenados en su disco duro.

El software solicita un pago de 0.05 bitcoins, o alrededor de USD $280, para poder liberar los archivos nuevamente. Aunque Rusia y Ucrania han sido los países más perjudicados, se desconoce el impacto que podría tener esta nueva amenaza. El software en cuestión comparte un modus operandi similar a los conocidos WannaCry y Petya, aunque tiene como particularidad el uso de nombres de la popular saga Game of Thrones.

Varios sitios web rusos, como Interfax y Fontanka.ru, se encuentran caídos tras ser infectados, aunque Bad Rabbit también se ha propagado por aeropuertos de Ucrania, el metro de Kiev, y algunos portales de Turquía y Alemania. “En algunas empresas, el trabajo ha quedado completamente paralizado: los servidores y las estaciones de trabajo están encriptados”, dijo a la agencia de noticias TASS, Ilya Sachkov, jefa de la firma rusa de seguridad cibernética Group-IB.

El software no logra ser detectado por los principales antivirus y habría comenzado a propagarse por una actualización falsa de Adobe Flash. En tanto, el investigador Kevin Beaumont ha publicado una captura de pantalla, evidenciando que Bad Rabbit crea tareas en los dispositivos que infecta con nombres en alegoría a Games of Thrones, la popular saga de HBO. En la captura se puede evidenciar como son mencionados Drogon y Rhaegal, los dragones de Daenerys Targaryen.

De momento, firmas como Kaspersky, con sede en Rusia, se encuentran monitoreando activamente, a la espera de encontrar una solución. ¿Se avecina una tormenta de fuego?

The post Nuevo ransomware secuestra sistemas utilizando nombres de Game of Thrones appeared first on FayerWayer.

Vulnerabilidad en Microsoft Word es usada para ataques con malware

Se ha descubierto un método usado para explotar una vulnerabilidad dentro de Microsoft Word, el cual facilita los ataques con malware, pues a diferencia de los ataques comúnes, dicho método no requiere que las macros estén habilitadas.

El protocolo DDE (Intercambio Dinámico de Datos, por su significado en inglés) es explotado para ejecutar código malicioso en las computadoras de las víctimas. DDE es usado en cientos de aplicaciones, entre las cuales se encuentran Excel, Visual Basic, Quattro Pro, entre otras.

Para entrar en contexto, el protocolo DDE permite que las aplicaciones intercambien datos de manera continua. Al ser explotado, los atacantes pueden esparcir malware logrando incluso que pase desapercibido por los usuarios (vía The Hacker News).

Necurs Botnet, red con más de 6 millones de computadoras involucradas, está aprovechando esta vulnerabilidad para esparcir el ransomware Locky y el troyano bancario TrickBot. Hasta antes de esta explotación, la campaña dependía por completo de las macros.

Necurs Botnet. (c) The Hacker News

Además, el botnet ahora puede tomar capturas de pantalla de la computadora afectada, datos de telemetría e incluso obtener detalles de los errores encontrados al intentar sus actividades maliciosas, información que es retomada de manera remota por los atacantes.

También se descubrió que otra campaña esta aprovechando el fallo en el protocolo DDE para esparcir el malware Hancitor, también conocido como Chanitor y Tordal. Una vez en la computadora, instala troyanos bancarios, ransomware y malware cuya tarea es robar datos.

Campaña de Hancitor. (c) The Hacker News

Debido a que se trata de una vulnerabilidad en una característica de Microsoft Word, los antivirus son incapaces de detectar cualquier actividad extraña. Sin embargo, se deben tomar en cuenta un par de recomendaciones para protogerse frente a estos ataques.

Primero, y siempre recomendable, es que los usuarios presten atención a las fuentes de correo elctrónico, los archivos que abren y los enlaces dentro de ellos si no confían plenamente. Segundo, evitar la actualización automática de enlaces en Microsoft Word.

El usuario puede desactivar dicha característica yendo al menú Opciones > Avanzado > Actualizar enlaces automáticos al abrir, al menos hasta que Microsoft decida lanzar un parche que mitigue la vulnerabilidad.

The post Vulnerabilidad en Microsoft Word es usada para ataques con malware appeared first on FayerWayer.

Bitdefender lanza herramienta para identificar ransomware

El malware de tipo ransomware está en constante evolución, no sólo en lo que respecta a sus métodos de distribución o contagio, sino también por la forma en que puedes rescatar tus archivos cifrados, por ejemplo, enviando nudes.

Aún estando protegidos, es posible que un ransomware logre ‘secuestrar’ tus archivos y pida un jugoso rescate por ellos. Sin embargo, para muchos ya existen programas gratuitos que ayudan a recuperar los archivos, aunque lo difícil puede ser identificar el ransomware.

Es por eso que Bitdefender lanzó una herramienta portable para Windows que te ayudará a identificar el ransomware que ha logrado cifrar tus archivos, siempre y cuando la infección no bloquee el uso de la computadora (vía gHacks).

(c) gHacks

Bitdefender Ransomware Recognition Tool ofrece dos maneras de identificar el ransomware, una mucho más efectiva que la otra. Ya sea indicando la ruta hacia la nota que dejó el ransomware o la ruta de los archivos cifrados por el mismo, respectivamente.

De acuerdo con Bitdefender, se requiere una conexión a internet para que la herramienta pueda identificar el ransomware, puesto que sube la nota a su nube y, si bien no los archivos, sólo sus nombres y extensiones.

Si la herramienta logra identificar el ransomware, mostrará el o los resultados ordenados por relevancia y con ellos un enlace hacia las herramientas que podrían descifrar los archivos.

Para los encargados del departamento de Tecnología de la Información, es posible usar el siguiente par de comandos desde la consola de Windows para realizar el escaneo en varias computadoras:

  • -note:RUTA_DE_NOTA;
  • -test:RUTA_ARCHIVOS_CIFRADOS;

The post Bitdefender lanza herramienta para identificar ransomware appeared first on FayerWayer.

Héroe (casi) anónimo que ayudó a detener WannaCry es arrestado por el FBI

El ataque con ransomware del pasado mes de mayo, conocido como WannaCry, tuvo a muchos involucrados prestando ayuda para detener la locura que fue tener computadores de diversas instituciones secuestrados. Entre esos ¿desinteresados? ayudantes estuvo Marcus Hutchins, investigador británico de 23 años también conocido como MalwareTech.

Pues bien, Hutchins ha sido arrestado por el FBI en Estados Unidos acusado de haber creado (o haber participado en la creación) y distribuido un malware para infiltrarse en el sistema informático bancario llamado Kronos.

El documento oficial del Departamento de Justicia de EE.UU, obtenido por CNN, indica que Hutchins creó Kronos en 2014 y que, junto a un asociado cuyo nombre ha sido omitido, “conspiraron para cometer un crimen contra Estados Unidos, creando la transmisión de un programa […] y como resultado de esa conducta, causar un daño sin autorización”.

También se indica que Hutchinson habría promocionado Kronos en la desaparecida tienda AlphaBay. Y con Kronos, cualquier persona con malas intenciones (y algo de conocimiento de programación) podía apropiarse de credenciales y obtener dinero a la mala, amén de que Kronos se distribuía a través de correo electrónico.

La historia está en desarrollo así que con toda seguridad habrá nuevos detalles en las próximas horas y días.

The post Héroe (casi) anónimo que ayudó a detener WannaCry es arrestado por el FBI appeared first on FayerWayer.

About Guardian

All the Lorem Ipsum generators on the Internet tend to repeat predefined an chunks as necessary, making this the first true generator on the Internet. All the Lorem Ipsum generators on the Internet tend to repeat predefined Lorem Ipsum as their default model text, and a search for web sites.