Category Archive Infecciones y Malware

PorjLeonett

Nuevo malware que corre gracias a la tarjeta gráfica

Un grupo de investigadores ha conseguido crear nuevo malware que utiliza nuestra tarjeta gráficapara funcionar en lugar de la CPU, un cambio relevante con consecuencias muy importantes.

Dicho grupo ha podido desarrollar ya dos amenazas de este tipo para Linux, un rootkit y un keylogger, mientras que para Windows han desarrollado una herramienta de acceso remoto o RAT, por sus siglas en inglés.

La consecuencia más evidente de que estas amenazas infecten nuestra tarjeta gráfica es que no serían detectables por las soluciones de seguridad actuales, teniendo además un funcionamiento totalmente sigiloso.

Sin duda un planteamiento muy interesante que abre una nueva trinchera en la guerra por la seguridad tecnológica, donde cada paso viene acompañado de nuevas amenazas que obligan a las grandes firmas del sector a trabajar sin descanso.

De momento estas amenazas han sido desarrolladas con fines educativos y, de hecho, sólo afectan a tarjetas gráficas NVIDIA y AMD, pero suponen un punto de inflexión que abre la puerta a nuevas formas de ataque.

 

Fuente> Muy Computer

PorjLeonett

Malware #Rombertik: qué hace realmente este “virus suicida”

Realmente no queremos vernos inmersos en ésta discusión ridícula pero es difícil evitar comentar sobre este malware que está siendo descripto como un “virus suicida terrorífico” capaz de “destruír computadoras“.

El único resultado de estas frases es que se crea una falsa sensación de seguridad mediante la descripción de una amenaza que, aunque grave, es totalmente manejable y se socava el interés de los lectores en preocuparse por las amenazas menos graves pero mucho más comunes.

Presentación de Rombertik

Cisco Talos informó del descubrimiento del malware en cuestión y ha sido apodado “Rombertik”. Algunos productos detectarán como como Troj/ Delp-AD o Win32/Spy.Agent.OLJ. El ejecutable malicioso se propaga a través de un mensaje de phishing o spam.

El propósito principal del Rombertik parece ser controlar el navegador para que pueda realizar un seguimiento de lo que se hace con él y presenta un comportamiento similar a otras variantes de Spyware como Dyre/Dyreza, aunque presenta un lado destructivo con varias capaz de protección y ofuscación.

Según Craig Williams, director de seguridad de Cisco, Rombertik tiene una serie de características inusuales y complejas, la mayoría de las cuales están diseñadas para evadir la detección y el análisis.

La causa de tanta publicidad

La publicidad logrado por Rombertik viene de un “truco anti-cracking” encontrado en el código del malware.

Muchos troyanos en los últimos años han tenido algún tipo de manipulación o de detección de este tipo y algunos malware, como Dyre/Dyreza, tratan de averiguar si se está ejecutando dentro de un ambiente de investigación de malware y, si es así, se comporta completamente inocente.

Otros tipos de malware, como Rombertik, tienen un enfoque diferente: tiene capacidades para detectar y evadir sandboxes y si detecta alguna alteración que indique que esta siendo analizado, primero intentará sobrescribir el Master Boot Record (MBR) del disco físico. Afortunadamente, escribir en el MBR requiere privilegios de administrador en Windows, por lo que un usuario normal no puede hacerlo.

Si eso no funciona, cifra todos los archivos en la carpeta de inicio del usuario con una clave RC4 generada aleatoriamente. Es decir que en algunos casos, Rombertik funciona como un ransomware. El malware elige una clave de cifrado de 256 bytes aleatoria para cada archivo, lo que imposibilita su recuperación. Sin embargo los archivos con las extensiones .EXE, .DLL, .VXD y .DRV sobrevivirán.

Se puede decir que se trata de una venganza o represalia pero no decir que es un “virus destructivo” o que “destruye completamente el sistema” y muchos menos compararlo con un “atentado suicida”.

Fuente: Naked Security

PorjLeonett

CCN-CERT: Medidas de seguridad contra el Ransomware

Ante el incremento continuado de este tipo de ataques, el CCN-CERT ha actualizado y publicado su Informe de Amenazas IA-21/14 Medidas de seguridad contra Ransomware cuyo objeto es dar a conocer determinadas pautas y recomendaciones de seguridad que ayuden a prevenir y gestionar incidentes derivados de un proceso de infección a través de Ransomware, así como el método de desinfección de cada espécimen o los pasos necesarios para recuperar los ficheros afectados.

SOBRE CCN-CERT

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN. Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad.

De acuerdo a todas ellas, el CCN-CERT tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas.

“Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate”.

  • El objeto del informe es dar a conocer determinadas pautas y recomendaciones de seguridad que ayuden a prevenir y gestionar incidentes derivados de un proceso de infección a través de Ransomware, así como el método de desinfección de cada espécimen o los pasos necesarios para recuperar los ficheros afectados.
  • Vías de infección, medidas preventivas, restauración de ficheros y análisis de los principales tipos de ransomware, incluida su variante más agresiva como el Cryptoware, son los principales aspectos abordados en el informe.

El CCN-CERT ha actualizado y hecho público su Informe de Amenazas CCN-CERT IA-21/14 Medidas de seguridad contra Ransomware en el que da a conocer determinadas pautas y recomendaciones de seguridad para ayudar a prevenir y gestionar los incidentes de este tipo, cada día más numerosos y agresivos.  Tal y como recoge el informe, en los últimos años, las acciones dañinas de este tipo de malware han ido evolucionando dando lugar a una nueva generación de ransomware denominados “file encryptors”, cuyo principal objetivo es cifrar la gran mayoría de documentos del equipo. En este caso, la principal herramienta de extorsión será el pago de cierta cantidad de dinero a cambio de la clave que permitirá recuperar (descifrar) los ficheros originales. Las acciones ofensivas de ciertos tipos de ransomware pueden resultar muy dañinas y en un entorno corporativo pueden ser devastadoras, con consecuencias que pueden agravarse aún más si se cuenta con dispositivos de backup directamente conectados con el equipo infectado, ya que algunos tipos de ransomware comprueban cada una de las unidades montadas así como recursos compartidos de red para cifrar también su contenido.

El informe del CCN-CERT cuenta con siete interesantes capítulos:

1. Vías de infección

2. Medidas preventivas

3. Restauración de ficheros: Shadow Volume Copy

4. Restauración de ficheros: Dropbox

5. Análisis de Ransomware:

a. Cryptolocker

b. Cryptowall

c. Cryptodefense

d. Torrentlocker

e. Cryptographic Locker

f. Bat_cryptor

g. CTB-Locker

h. Zerolocker

i. Cryptofortress

6. Tabla resumen

7. Referencias


CCN-CERT (8-04-2015)

Pueden descargarse el informe en el siguiente enlace:

https://www.ccn-cert.cni.es/publico/dmpublidocuments/CCN-CERT_IA-21-14_Ransomware.pdf

Fuente:
https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3861%3Amedidas-de-seguridad-contra-ransomware&catid=62%3Acomunicados-ccn-cert&Itemid=86&lang=es

PorjLeonett

Nuevo servicio permite recuperar gratuitamente sistemas cifrados por el ransomware Cryptolocker

“Fue solo suerte” explica empresa de seguridad informática al revelar el procedimiento que permite recuperar archivos bloqueados por ciberdelincuentes.

Diario TI 07/08/14 6:32:36

Las víctimas de esta modalidad de delincuencia cibernética perdían el acceso a sus propios archivos, al quedar bloqueada su PC. Las propias empresas de seguridad informática presentaron sus propias recomendaciones para evitar los ataques de Cryptolocker, aunque coincidiendo en que, para todos efectos prácticos, recuperar los archivos cifrados era imposible debido a la clave RSA de 2048 bits utilizada.

El modus operandi del software de extorsión (ransomware) es conocido. Delincuentes exigen el pago de un rescate por devolver a la víctima acceso a sus propios archivos, vendiéndole así la clave que permite descifrarlos. Sin embargo, incluso al pagar la víctima queda a merced del delincuente, debido a que el procedimiento de pago es anónimo, al utilizarse bitcoins o cupones de prepago. En otras palabras, la víctima debe confiar en la “honorabilidad” del delincuente.

Ahora, las 500.000 víctimas de Cryptolocker tienen acceso gratuito a un nuevo portal creado por la empresa FireEye, que distribuye gratuitamente las claves de recuperación. Para acceder al servicio, los usuarios sólo deben proporcionar su dirección de correo electrónico, y subir al sitio un archivo cifrado mediante Cryptolocker. Al recibir esta información, el portal envía al usuario una clave maestra, junto con un enlace para descargar el programa de recuperación, que puede ser utilizado con la clave maestra para recuperar todos los archivos cifrados. La empresa recalca: “tenga presente que cada sistema infectado requerirá su propia clave maestra para ser descifrado. Por lo tanto, en caso que usted tenga varios sistemas afectados por Cryptolocker, necesitará repetir el procedimiento para cada uno de estos sistemas”.

La iniciativa es resultado directo de una acción policial realizada en los últimos meses, a cargo del FBI y Europol, que logró desbaratar la infraestructura utilizada para distribuir Cryptolocker y el troyano bancario GameOver Zeus. Durante la operación se encontró una base de datos con los nombres de todas las víctimas, y con las claves de cifrado necesarias para devolverles el control de sus computadoras.

“En esta oportunidad, fue lisa y llanamente suerte”, comentó a la BBC el analista Michael Sandee, de Fox IT, empresa que junto a FireEye contribuyó a la investigación. Según BBC, el análisis de la base de datos demostró que sólo el 1,3% de las personas afectadas por el malware aceptaron pagar. El rescate cobrado por los delincuentes era de 400 dólares por cada caso, e incluía una amenaza en el sentido de que si el usuario no pagaba dentro de 3 días, la clave de recuperación sería borrada para siempre del servidor.

A pesar del bajo porcentaje de conversión de la iniciativa criminal, las estimaciones policiales son que la banda de delincuentes alcanzó a recibir 3 millones de dólares antes de ser desbaratada.

——————————–

Fuente: Diario TI