México blanco de ataques

En los próximos años México atraerá más ataques cibernéticos debido a la llegada de centros de datos de grandes firmas tecnológicas y a su crecimiento económico, dijo Derek Manky, estratega global de Seguridad de la compañía de seguridad informática Fortinet.

“El arribo de centros de datos de grandes firmas tecnológicas y crecimiento económico podrían acelerar la ocurrencia de delitos informáticos. Petróleos Mexicanos, por ejemplo, están conectados a las redes comunes, lo cual las deja en situación de vulnerabilidad ante los ataques”, explicó el experto, según recoge el diario Excelsior.

Los hackers continuarán atacando con phishing y ransomware, un código que secuestra los programas de la computadora y los libera hasta que la víctima paga un “rescate”, pero también se prevén más intrusiones a sistemas de manejo remoto que controlan la infraestructura crítica, como SCADA, dijo Derek Manky, estratega global de Seguridad de la compañía de seguridad informática Fortinet.

Vulnerabilidades que deben ser eliminadas

“En Scada hay muchos hoyos de seguridad que se pueden explotar y afectar e impactar la infraestructura de un país, ya sea en gas, electricidad o agua”, agregó el experto, al sugerir que estas vulnerabilidades deben ser eliminadas tanto por el sector público como por el privado.

Quienes manejan SCADA y sistemas de control industrial “piensan que no tienen ningún problema, pero incluso si están protegidos con redes privadas virtuales que estén encriptadas, los hackers están volteando a ver a las interfaces humanas (HMI, por sus siglas en inglés) y a los portales web”, dijo Manky.

Vía eleconomistaamerica

Ransomware “Anti-child Porn Spam Protection 2.0” afecta a Latinoamérica

Durante esta semana se han estado recibiendo varios informes provenientes de todo Latinoamérica sobre una amenaza del tipo Ransomware que afecto a varios usuarios. La amenaza se autodenomina “Anti-child Porn Spam Protection 2.0” y se caracteriza por bloquear el equipo y cifrar la información dentro del mismo para luego pedir un rescate de dinero a cambio de la contraseña que descifra los archivos. La amenaza es detectada desde un principio como Win32/FileCoder.NAC o como Win32/FileCoder.NAG (o posibles variantes de ambos) por los productos de ESET.

Una vez que la amenaza ingresa al equipo, el proceso principal de la misma bloquea la pantalla al usuario presentando una falsa pantalla azul de Windows (BSoD) con el siguiente mensaje:

A problem has been detected and Windows has been shut down to prevent damage to your computer.

A process or thread crucial to system operation has unexpectedly exited or been terminated.

If this is the first time you’ve seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Technical Information:

*** STOP: 0x000000F4 (0x00000003,0x81BAD8D8,0x81BADA3C,0x80944490)

A diferencia de versiones anteriores, la versión actualmente circulando de este malware genera dos claves totalmente aleatorias compuestas por cadenas complejas que rondan entre los 80 a 114 caracteres, que serán luego utilizadas para el proceso de cifrado de los archivos del sistema afectado.

Ejemplo de las claves generadas aleatoriamente:
9DF19AB897351C2A0A0FE18A6A73722EDM66BSAl3jBe2a3K8L275j34525b3&E=4RDP4-9y8Q1j3zDa9G9u3bD04t4dFuEO7M2%4zFT (104 caracteres)

6B1783B4656C5433B430F2CC28070B4E6^1HDq9JEV1+9L0SFr9(6aDu3rF8Cg6X7gC3F#D07LAxFgAD7&9G1%6S4k4YFzEm7^2g4PF*C%9y2T9 (112 caracteres)

Una vez generadas las claves, el malware también genera un ID de infección, el cual será solicitado más adelante para poder reclamar las claves anteriores, previo pago del rescate .

El ID y las claves generadas aleatoriamente y utilizadas para el cifrado de los archivos son enviadas al autor de la amenaza y luego eliminadas del equipo.

Para cifrar el contenido de los archivos, el malware realiza una copia utilizando el algoritmo AES provisto por la herramienta WinRAR, creando de esta forma archivos ejecutables, cifrados, seguros, con un algortimo AES de 128bits. Luego de realizar este proceso, elimina el archivo original del sistema afectado utilizando la herramienta de Sysinternals Sdelete, la cual utiliza el estándar del departamento de defensa de los Estados Unidos (DoD) DOD 5220.22, el cual establece la eliminación segura de datos, siendo imposible recuperar los mismos una vez eliminados.

Una vez finalizado todo el proceso, los archivos cifrados aparecerán dentro del disco con la siguiente estructura de nombre: 
Nombre_de_archivo_original.Ext.(!! to get password email id 1111111 to XXXrasecinfo@gmail.com !!).exe

En donde:

  • 1111111: es el ID de infección, el cual es necesario para reclamar la clave de descifrado.
  • XXXrasecinfol@gmail: la dirección de mail a donde enviar la información para el recupero de los archivos.

Según diversos análisis, hasta el momento no es posible recuperar los archivos cifrados, debido al método de cifrado y tamaño de clave utilizada por el Ransomware.

Después del pago, el delincuente envia un correo con las contraseñas de descifrado y una herramienta de descifrado que se podría utiliza en caso de que las contraseñas no funcionen. Los datos enviados son los siguientes:

Your Locker password: PASSWORD0
1st Decrypt password: PASSWORD1
2st Decrypt password: PASSWORD2
3st Decrypt password: PASSWORD3

Decryption tool (password to the archive: 123)

Download decryption tool pass 123.zip from Sendspace.com
Download it and unpack to any folder. Also program require administrative rules (use administrator account).

Copy paste 1st Decrypt password, 2st Decrypt password and 3st Decrypt passwords in decrypt tool 3 fields.

If you have not stop our software – use decryption tool, because the tool will stop our software before decrypting the files.

This is very important to stop our software service (and dont delete any files in ProgramData folder before stop) because your decrypted files may will be encrypted again.

Como se esto fuera poco, el delincuente informa de las técnicas de cifrado y eliminación de los archivos, así de porqué es obligatorio el pago. El correo es muy divertido y aquí dejamos una parte del mismo:

Please don't panic and send us angry emails or scare us to send claims in police, fbi or others - this is useless.

Stupid questions like – “I have backup and need only 1-2 files and can pay you only 500,1000,1500$ USD etc., We have a small business, this amount is too high” – will be ignored. Have backup – restore your files from it.

Our minimal price for your files is 4000$ USD. We don’t get passwords for free or for 500,1000,1500$ USD etc. We know that you have money.
Information topersons who believe that professionals can decrypt files:

**** Now only WE can get you the true password to decrypt all your files.
You can write to Dr.Web, Eset,Panda and other antivirus and security or datarestore companies,but now this is useless. This “Anti-Child Porn Spam Protection – 2.0 version” you have is from 22.03.2013 – more than 3 month passed and no one helped to get password or decrypt files.

La metodología utilizada por los desarrolladores maliciosos para infectar los equipos y las razones por las cuales los usuarios pueden haber sido afectados son las siguientes:

  • Los usuarios maliciosos intentan acceder al equipo por medio del escritorio remoto de Windows (Puerto 3389) y realizan un ataque de fuerza bruta hasta lograr acceder. Aparentemente estos ataques fueron realizados durante  los fines de semana para evitar sospechas.
  • Luego, de no poseer privilegios de administrador, intentan obtenerlos por medio de la ejecución de exploits que afectan al Escritorio Remoto de Windows (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223).
  • Una vez logrados los privilegios de administrador, intentan desactivar o desinstalar cualquier solución antivirus que estuviera instalada dentro del equipo. Debido a que disponen de privilegios esto no es un problema.
  • Por último proceden a descargar y ejecutar la amenaza, la cual cifra cualquier archivo que pudiera contener información importante (.doc, .pdf, .mdb, .txt, .xls, .jpg, .png, etc) con una contraseña alfanumérica creada de manera completamente aleatoria y que es enviada automáticamente al desarrollador malicioso vía mail. Luego la amenaza borra de forma segura el archivo que contenía la contraseña de manera que sea irrecuperable utilizando SDelete (http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx) y procede a bloquear el equipo con una pantalla que avisa de la infección y de cómo se debe pagar para recuperar los archivos cifrados.

Si bien la amenaza es detectada por los productos, queremos brindarles una serie de consejos para evitar este tipo de infecciones:

  • Utilizar contraseñas fuertes (alfanuméricas de mínimo 8 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.
  • Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario que solo sea accesible mediante conexiones de red seguras como son las VPN.
  • Tener actualizado los equipos con todos los parches de seguridad correspondiente (puntualmente aquellos que solucionan los exploits http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223)
  • Poseer una política definida de backups que aloje los mismos dentro de sistemas protegidos.
  • Realizar auditorías de seguridad de manera regular dentro de la red para evaluar la seguridad de los equipos accesibles desde Internet.

El Ransomware en HTML se globaliza

La semana pasada, descubrieron un sistema de ransomware que no requiere el uso directo de malware. De manera inteligente los cibercriminales utilizan la inexperiencia de los usuarios al hacerles creer que no pueden escapar del ransomware.

Mientras buscan palabras claves, los usuarios pueden terminar en sitios ransomware y recibir la alarmante noticia de que accedieron a una página de este tipo. El código JavaScript, incluido en el código fuente de la página, evita que el usuario salga de la página al seleccionar cualquiera de las opciones ofrecidas por la interfaz (“OK” y “Abandonar página”), o incluso utilizando la “Salida forzada” la característica de recuperación ante caídas del propio navegador cargaría nuevamente la última URL que se visitó (en este caso la página del ransomware).

En la etapa inicial de esta campaña de propagación se utilizó una notificación falsa del FBI, por lo que el Centro de Quejas de Crimen por Internet (ICCC por sus siglas en inglés) publicó una advertencia para que los usuarios no fueran víctimas de este engaño.

Pero, ahora el esquema de ransomware se ha vuelto global, los sitios de ransomware han suplantado la identidad de la Real Policía Montada Canadiense (RCPM por sus siglas en inglés) y la Gendarmería Nacional Francesa. Se estima que dentro de poco más usuarios occidentales se verán afectados por el ransomware y sufrirán la suplantación de sus agencias nacionales policiales.

Es interesante resaltar que, a pesar de que el ransomware ha sido promocionado principalmente para usuarios de OS X, éste también afecta a todos lo usuarios cuyos navegadores posean la característica de “Recuperación ante caídas”. Pero, ya que los usuarios de sistemas operativos Windows ya han sido víctimas de una gran variedad de este tipo de malware, esta amenaza solo se considera nueva para los usuarios Mac.

El equipo de trabajo de Malwarebytes publicó un manual para saber qué hacer en caso de acceder a alguna de estas páginas al momento de estar navegando en Safari: primero, se presiona clic en el menú de Safari y se selecciona la opción “Reiniciar Safari”, después se seleccionan todas las opciones mostradas y se da clic en el botón de “Reset”:

Es poco probable que los delincuentes cibernéticos abandonen pronto este sistema, ya que probablemente la cantidad de dinero que “ganan” todos los días mediante éste método sea bastante grande.

Según las investigaciones y estadísticas de Malwarebytes, un promedio de 50 mil usuarios acceden al día a estos sitios, y un 2% del total pagan el rescate de 300 dólares americanos, por lo que están teniendo un ingreso aproximado de 300 mil dólares en un solo día.

Vía net-security

NEUTRINO, UN NUEVO EXPLOIT

Interesante articulo del blog de Trend Micro.

En el “Mercado del malware”, se ha empezado a comercializar una nueva herramienta exploit kit (Neutrino). Trend Micro detecta este exploit generado como  JAVA_EXPLOYT.NEU, el cual se aprovecha de las siguientes vulnerabilidades:

Los sistemas con versions de Java 7 Update 11 y anteriores, son vulnerables. Cuando la máquina está afectada por el exploit, se descarga una variante de ransomware, o  TROJ_RANSOM.NTW. El Ransomware normalmente bloquea los PCs hasta que los usuarios pagan una cierta cantidad de dinero (pagan el rescate).

La vulnerabilidad identificada porCVE-2013-0431 fue también explotada por  BlackHole Exploit kit spam y vino, supuestamente desde PayPal. Esta vulnerabilidad se solventada cuando Oracle lanzó una actualización “fuera de banda” (léase raising issues and concerns). Por otra parte, la vulnerabilidad CVE-2012-1723 fue también explotada por BlackHole Exploit kit así como por WhiteHole exploit kit.

Características de Neutrino

Los creadores de Neutrino destacan de esta herramienta las siguientes ventajas o beneficios:

  • Panel de control amigable y sencillo
  • Gestión sencilla de dominios e IPs.
  • Monitorización continua de estado de los antivirus
  • Filtrado de tráfico
  • Robo de información del sistema mediante detectores de plugins en el navegador.
  • Encriptación de información robada de camino al servidor principal
  • Filtrado de información a enviar al servidor
  • Recomendaciones sobre los exploits más apropiados para la víctima
  • Notificación sobre soporte de vulnerabilidades, códigos de exploits y payloads.

Según un foro de “economía de malware subyacente”, la gente que está detrás de Neutrino también ofrecen un alquiler de servidores con servicios de mantenimiento. Alquilar el kit de Neutrino cuesta 40 dólares por día y 450 dólares un mes completo. De acuerdo con el investigador senior de amenazas Max Goncharov, los creadores han sido conocidos por generación de tráfico de iframes desde 2012 y por generar beneficios a través de estas técnicas. Puede que hayan desarrollado el kit de forma autónoma y hayan decidido venderla en el Mercado subyacente del malware.

Los métodos de Neutrino son similares a otros ya existentes en el pasado; sin embargo, las características que destacan de Neutrino indican que los atacantes se han vuelto más sofisticados y que están más organizados.

RANSOMWARE – PAGO DE RESCATE

Imagenul

¿Qué es el ransomware?

Ransomware es un tipo de malware(software malintencionado) que los criminales instalan en su PC sin su consentimiento. Ransomware les da a los criminales la capacidad de bloquear su equipo desde una ubicación remota. Luego presentará una ventana emergente con un aviso que dice que su computadora está bloqueada y afirma que no podrá acceder a la misma a no ser que pague.

¿Cómo instalan los criminales ransomware?

Ransomware normalmente se instala cuando abre un adjunto malintencionado en un correo electrónico o cuando hace clic en un enlace malintencionado en un mensaje de correo electrónico, mensaje instantáneo, sitio de medios sociales u otro sitio web. Ransomware se puede incluso instalar cuando visita un sitio web malintencionado.

El éxito de ransomware se basa en:

Una difusión profesional. Están aprovechando vulnerabilidades muy recientes en software popular  y difundiéndolo en páginas muy visitadas (webs de descarga directa de material multimedia). Esto está resultando en una difusión masiva del malware puesto que los usuarios se infectan aparentemente sin haber ejecutado directamente ningún fichero.

Un malware “simple” y efectivo. El malware en sí no es sofisticado. Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente difícil de entender.

La ingeniería social. Amenazar al usuario con actividades que realizan comúnmente (descarga de material multimedia, por ejemplo), ayuda a dar credibilidad a la estafa.