Zenis Ransomware cifra sus datos y elimina copias de seguridad. - Seguridad de la información

Breaking

Webs Amigas

martes, 20 de marzo de 2018

Zenis Ransomware cifra sus datos y elimina copias de seguridad.

Autor: Fredy Avila.
Este tipo de Ataques, denominados Ransomware (Ransom “rescate” Ware “Software”) están circulando en la red hace un par de años, revisemos un poco la historia de esta modalidad para así tratar de entender su evolución.
Desde el año 2012 se comenzó a esparcir un ransomware llamado “Reveton” Este estaba basado en el troyano Citadel; el cual estaba a su vez, basado en el troyano Zeus. Básicamente desplegaba un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde se encuentra la víctima. Por esta característica en particular se comenzó a nombrar como “Trojan cop”.

En septiembre de 2013 reaparece el ransomware; esta vez basado en el cifrado de archivos, también conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de un tipo de extensión específica. El virus elimina la clave privada a través del pago de un bitcoin o un bono prepago en efectivo dentro de los tres días tras la infección. En agosto de 2014, Avast reportó nuevas variantes de Reveton, donde se distribuía software malicioso con el fin de robar contraseñas.
En septiembre de 2014, una nueva ola de ransomware llegó a sus primeros objetivos en Australia, denominados “CryptoWall” y “CryptoLocker”. Las infecciones se propagaban a través de una cuenta de correo australiana falsa, la cual enviaba un correo electrónico notificando entregas fallidas de paquetes.​ De este modo evitaba los filtros antispam y conseguía llegar a los destinatarios. En este mismo año apareció TorrentLocker, que es otro tipo de infección con un defecto, ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado pasó a ser trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y 11 700 en Turquía.
CryptoWall 3.0 ha sido reportado desde enero de 2015 como una infección que surge donde hackers rusos se encuentran detrás de esta extorsión; luego de este hizo su aparición TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave maestra para el descifrado de los ficheros atacados es pública. Existe una herramienta gratuita de la empresa ESET que permite realizar este trabajo. ​

Finalizando el 2016 fue descubierto un nuevo ransomware de cifrado de disco completo (FDE – Full Disk Encryption), llamado “Mamba”. Este utiliza una estrategia de cifrado a nivel de disco en lugar de uno basado en archivos convencionales. Para obtener la clave de descifrado, es necesario ponerse en contacto con alguien a través de la dirección de correo electrónico proporcionada. Sin eso, el sistema no arranca.

El 12 de mayo de 2017 apareció WanaCrypt0r o también conocido como “WannaCry” con origen en el arsenal estadounidense de malware Vault 7 revelado por Wikileaks pocas semanas antes, el código malicioso ataca una vulnerabilidad descrita en el boletín MS17-010 en sistemas Windows que no estén actualizados de una manera adecuada. Provocó el cifrado de datos en más de 75 mil ordenadores por todo el mundo. Luego de este ataque a escala mundial se conoce Not Petya aunque este ransomware pide un rescate de 300 dólares a ingresar en una cartera bitcoin, la motivación tras el ataque parece muy distinta. Por ejemplo, no cifra archivos PNG, y se centra en archivos con extensiones de lenguajes de programación como los de Python, Visual Basic.
Otra variante de Mamba se ha identificado el 7 de septiembre 2017 durante un procedimiento de respuesta a incidentes por parte de Renato Marinho, un experto en seguridad de Morphus laboratorios. Esta amenaza de malware utiliza el cifrado a nivel de disco que causa mucho más daño que los ataques basados en archivos individuales. Los desarrolladores criminales han utilizado el DiskCryptor para cifrar la información., una herramienta de código abierto.

Luego de este recorrido en donde mencionamos los ransomware más conocidos, esta semana fue descubierto un nuevo ransomware llamado Zenis, el hallazgo lo realizó MalwareHunterTeam. En la actualidad aún se desconoce cómo se está distribuyendo Zenis; muchas víctimas ya se han infectado y lo más preocupante de esta amenaza, es que además de cifrar los archivos; también elimina intencionalmente las copias de seguridad.

Encrypted files, bleepingcumputer.com
En el momento que MalwareHunterTeam encontró la primera muestra, este estaba utilizando un método de encriptación personalizado al encriptar archivos. La última versión de Zein, utiliza el cifrado AES para encriptar los archivos.
Por ahora no hay manera de descifrar los archivos encriptados por Zenis, pero Michael Gillespie de MalwareHunterTeam está analizando el ransomware en busca de debilidades.

Ransom note source, bleepingcumputer.com
Para evitar ser víctima de ransomware en general, es importante tener buenos hábitos informáticos y software de seguridad. Inicialmente, se debe tener una copia de seguridad confiable de sus datos, que se pueda restaurar en caso de una emergencia.
Como Zenis Ransomware puede instalarse a través de servicios de Escritorio remoto pirateados, es importante asegurarse de que esté bloqueado correctamente. Es decir, asegurarse de que ninguna computadora con servicios de escritorio remoto activados esté conectada directamente a Internet. Si es requerido tener activo este servicio, coloque las computadoras que ejecutan el escritorio remoto detrás de las VPN para que solo puedan acceder a ellas quienes tengan cuentas VPN en su red.
También es muy importante tener un software de seguridad que dentro de sus funcionalidades incorpore detecciones de comportamiento para combatir el ransomware y no solo detecciones de firmas o heurística.
Finalmente en bleepingcomputer.com, recomiendan:
  • Respaldo, Respaldo, Respaldo!
  • No abra archivos adjuntos si no sabe quién los envió.
  • No abra archivos adjuntos hasta que confirme que la persona realmente los envió,
    Escanee archivos adjuntos con herramientas como VirusTotal.
  • ¡Asegúrese de que todas las actualizaciones de Windows estén instaladas tan pronto como salgan! También asegúrese de actualizar todos los programas, especialmente Java, Flash y Adobe Reader. Los programas antiguos contienen vulnerabilidades de seguridad que los distribuidores de malware suelen explotar. Por lo tanto, es importante mantenerlos actualizados.
  • Asegúrese de utilizar algún tipo de software de seguridad instalado que use detecciones de comportamiento o tecnología de lista blanca.
  • Use contraseñas fijas y nunca reutilice la misma contraseña en múltiples sitios.
Articulo original: https://www.securityhacklabs.net/2018/03/20/zenis-ransomware-cifra-sus-datos-y-elimina-copias-de-seguridad/ 
 
Para consultar los detalles técnicos, visite:

No hay comentarios:

Publicar un comentario