Autor: Fredy Avila.
Este tipo de Ataques, denominados Ransomware (Ransom “rescate” Ware
“Software”) están circulando en la red hace un par de años, revisemos un
poco la historia de esta modalidad para así tratar de entender su
evolución.
Desde el año 2012 se comenzó a esparcir un ransomware llamado “Reveton”
Este estaba basado en el troyano Citadel; el cual estaba a su vez,
basado en el troyano Zeus. Básicamente desplegaba un mensaje
perteneciente a una agencia de la ley, preferentemente correspondiente
al país donde se encuentra la víctima. Por esta característica en
particular se comenzó a nombrar como “Trojan cop”.
En septiembre
de 2013 reaparece el ransomware; esta vez basado en el cifrado de
archivos, también conocido como CryptoLocker, el cual genera un par de
claves de 2048-bit del tipo RSA con las que se controla el servidor y se
cifran archivos de un tipo de extensión específica. El virus elimina la
clave privada a través del pago de un bitcoin o un bono prepago en
efectivo dentro de los tres días tras la infección. En agosto de 2014,
Avast reportó nuevas variantes de Reveton, donde se distribuía software
malicioso con el fin de robar contraseñas.
En septiembre de 2014,
una nueva ola de ransomware llegó a sus primeros objetivos en Australia,
denominados “CryptoWall” y “CryptoLocker”. Las infecciones se
propagaban a través de una cuenta de correo australiana falsa, la cual
enviaba un correo electrónico notificando entregas fallidas de
paquetes. De este modo evitaba los filtros antispam y conseguía llegar a
los destinatarios. En este mismo año apareció TorrentLocker, que es
otro tipo de infección con un defecto, ya que usaba el mismo flujo de
claves para cada uno de los computadores que infectaba, el cifrado pasó a
ser trivial pero antes de descubrirse ya habían sido 9000 los
infectados en Australia y 11 700 en Turquía.
CryptoWall 3.0 ha
sido reportado desde enero de 2015 como una infección que surge donde
hackers rusos se encuentran detrás de esta extorsión; luego de este hizo
su aparición TeslaCrypt es uno de los ransomware considerados como
eliminados ya que la clave maestra para el descifrado de los ficheros
atacados es pública. Existe una herramienta gratuita de la empresa ESET
que permite realizar este trabajo.
Finalizando el 2016 fue
descubierto un nuevo ransomware de cifrado de disco completo (FDE – Full
Disk Encryption), llamado “Mamba”. Este utiliza una estrategia de
cifrado a nivel de disco en lugar de uno basado en archivos
convencionales. Para obtener la clave de descifrado, es necesario
ponerse en contacto con alguien a través de la dirección de correo
electrónico proporcionada. Sin eso, el sistema no arranca.
El 12
de mayo de 2017 apareció WanaCrypt0r o también conocido como “WannaCry”
con origen en el arsenal estadounidense de malware Vault 7 revelado por
Wikileaks pocas semanas antes, el código malicioso ataca una
vulnerabilidad descrita en el boletín MS17-010 en sistemas Windows que
no estén actualizados de una manera adecuada. Provocó el cifrado de
datos en más de 75 mil ordenadores por todo el mundo. Luego de este
ataque a escala mundial se conoce Not Petya aunque este ransomware pide
un rescate de 300 dólares a ingresar en una cartera bitcoin, la
motivación tras el ataque parece muy distinta. Por ejemplo, no cifra
archivos PNG, y se centra en archivos con extensiones de lenguajes de
programación como los de Python, Visual Basic.
Otra variante de
Mamba se ha identificado el 7 de septiembre 2017 durante un
procedimiento de respuesta a incidentes por parte de Renato Marinho, un
experto en seguridad de Morphus laboratorios. Esta amenaza de malware
utiliza el cifrado a nivel de disco que causa mucho más daño que los
ataques basados en archivos individuales. Los desarrolladores criminales
han utilizado el DiskCryptor para cifrar la información., una
herramienta de código abierto.
Luego de este recorrido en donde
mencionamos los ransomware más conocidos, esta semana fue descubierto un
nuevo ransomware llamado Zenis, el hallazgo lo realizó
MalwareHunterTeam. En la actualidad aún se desconoce cómo se está
distribuyendo Zenis; muchas víctimas ya se han infectado y lo más
preocupante de esta amenaza, es que además de cifrar los archivos;
también elimina intencionalmente las copias de seguridad.
Encrypted files, bleepingcumputer.com
En
el momento que MalwareHunterTeam encontró la primera muestra, este
estaba utilizando un método de encriptación personalizado al encriptar
archivos. La última versión de Zein, utiliza el cifrado AES para
encriptar los archivos.
Por ahora no hay manera de descifrar los
archivos encriptados por Zenis, pero Michael Gillespie de
MalwareHunterTeam está analizando el ransomware en busca de debilidades.
Ransom note source, bleepingcumputer.com
Para
evitar ser víctima de ransomware en general, es importante tener buenos
hábitos informáticos y software de seguridad. Inicialmente, se debe
tener una copia de seguridad confiable de sus datos, que se pueda
restaurar en caso de una emergencia.
Como Zenis Ransomware puede
instalarse a través de servicios de Escritorio remoto pirateados, es
importante asegurarse de que esté bloqueado correctamente. Es decir,
asegurarse de que ninguna computadora con servicios de escritorio remoto
activados esté conectada directamente a Internet. Si es requerido tener
activo este servicio, coloque las computadoras que ejecutan el
escritorio remoto detrás de las VPN para que solo puedan acceder a ellas
quienes tengan cuentas VPN en su red.
También es muy importante
tener un software de seguridad que dentro de sus funcionalidades
incorpore detecciones de comportamiento para combatir el ransomware y no
solo detecciones de firmas o heurística.
Finalmente en bleepingcomputer.com, recomiendan:
- Respaldo, Respaldo, Respaldo!
- No abra archivos adjuntos si no sabe quién los envió.
- No abra archivos adjuntos hasta que confirme que la persona realmente los envió,
Escanee archivos adjuntos con herramientas como VirusTotal. - ¡Asegúrese de que todas las actualizaciones de Windows estén instaladas tan pronto como salgan! También asegúrese de actualizar todos los programas, especialmente Java, Flash y Adobe Reader. Los programas antiguos contienen vulnerabilidades de seguridad que los distribuidores de malware suelen explotar. Por lo tanto, es importante mantenerlos actualizados.
- Asegúrese de utilizar algún tipo de software de seguridad instalado que use detecciones de comportamiento o tecnología de lista blanca.
- Use contraseñas fijas y nunca reutilice la misma contraseña en múltiples sitios.
Articulo original: https://www.securityhacklabs.net/2018/03/20/zenis-ransomware-cifra-sus-datos-y-elimina-copias-de-seguridad/
Para consultar los detalles técnicos, visite:
Para consultar los detalles técnicos, visite:
1 Comentarios
Para que entendamos lo que dice el blog de Mind Capital, hay que tener en cuenta muchos temas relacionados.
ResponderEliminar