Resumen de amenazas: abril 2016

attack-exploit-

Abril ha sido un mes en el que el ransomware ha continuado siendo la amenaza con más presencia, aunque las campañas de propagación han disminuido con respecto a las que vimos en marzo. Sin embargo, el número de variantes ha seguido en aumento, por lo que el riesgo de infectarse por ransomware sigue siendo elevado si no tomamos las medidas adecuadas.

Sigue la lucha contra el ransomware

Algunas de las variantes más destacadas durante el mes pasado son Petya y Jigsaw. Ambas variantes consiguieron cierta atención mediática por alguna peculiaridad a la hora de infectar a sus víctimas. En el caso de Petya, el ransomware no cifraba los archivos, sino el Master File Table del disco duro, imposibilitando el acceso a los ficheros e impidiendo que el sistema operativo arranque.

Por su parte, Jigsaw mostraba una imagen amenazadora de un personaje característico de la saga de películas SAW en la pantalla de bloqueo con instrucciones para pagar el rescate. Además, a cada hora que pasase, este ransomware iba eliminando ficheros, e incluso borraba 100 archivos si el usuario trataba de detener el proceso o reiniciaba el sistema.

Por suerte para el usuario, varios investigadores han conseguido desarrollar herramientas que permiten descifrar los ficheros afectados por estas dos variantes, por lo que aquellos usuarios que hayan sufrido una infección pueden recuperar sus archivos sin tener que pagar un rescate a los ciberdelincuentes.

Hay que tener en cuenta que la mejor manera de evitar caer víctima del ransomware es tomando las medidas de precaución adecuadas. Estas medidas incluyen la actualización del sistema y de todas las aplicaciones que estén instaladas, puesto que muchas veces las vulnerabilidades son la puerta de entrada para el malware. Un claro ejemplo de esto son los agujeros de seguridad en Adobe Flash, usado desde hace tiempo para infectar a usuarios con todo tipo de amenazas.

Engaños y estafas en emails y redes sociales

A pesar de la plaga del ransomware, hay otras técnicas que los delincuentes siguen usando y que les reportan interesantes beneficios de forma directa o mediante el robo de información confidencial como tarjetas de crédito. Durante las últimas semanas hemos visto varios ejemplos de este tipo, ya sea en la forma de correos no deseados o como falsas promociones publicitándose en redes sociales.

Una de las campañas de spam más insistentes que hemos visto en los últimos años está protagonizada por un supuesto método para ganar dinero fácilmente invirtiendo en ciertas operaciones de bolsa. Esta estafa lleva semanas inundando las bandejas de entrada de los usuarios y se presenta ante los usuarios de varias formas, como por ejemplo una oportunidad única de ganar dinero fácil o una oferta de empleo.

Facebook también ha visto cómo los delincuentes intentaban engañar a los usuarios mediante publicaciones trampa. Vimos, por ejemplo, cómo se ofertaban unas gafas de una conocida marca a precios de derribo, publicación que buscaba atraer a usuarios para que las comprasen usando una pasarela de pago insegura. Esto podía ocasionar el robo de los datos de las tarjetas de crédito usadas, además de que la falsa oferta se publicaba en el perfil del usuario para intentar engañar a sus contactos.

Otra amenaza que utilizó Facebook para propagarse fue la que se hacía pasar por una publicación en la biografía que alguno de nuestros contactos nos enviaba a través de Facebook Messenger con el nombre, “My first video”, “My video”, “Private video” o una cadena de caracteres generados al azar. Este mensaje intenta convencernos para que instalemos una extensión maliciosa de Chrome que publicará en nuestro muro y enviará mensajes a nuestros contactos sin nuestro permiso.

Amenazas en móviles

Durante abril conocimos el informe de seguridad en Android correspondiente a 2015 elaborado por Google, informe que arrojó datos muy interesantes sobre la situación del malware en el ecosistema Android. Según Google, ha descendido el número de dispositivos infectados y el mayor riesgo siguen siendo las aplicaciones instaladas desde orígenes desconocidos y que no pasan por los controles de los mercados oficiales, aunque ya hemos visto en otras ocasiones cómo también podemos encontrar amenazas en los canales oficiales.

El sistema operativo iOS de Apple también vio su seguridad comprometida al descubrirse una vulnerabilidad en las comunicaciones MDM que muchas empresas utilizan para gestionar remotamente los dispositivos móviles de sus empleados. Mediante esta vulnerabilidad, un atacante podría engañar a un usuario para que instalase un perfil de configuración modificado, usarlo para instalar su propio certificado raíz, suplantar el servidor MDM y lanzar una app maliciosa en el dispositivo de usuario que terminase ejecutando un malware.

Los usuarios de Apple fueron elegidos como objetivos por un grupo de ciberdelincuentes que intentó robar credenciales de Apple ID mediante el envío de mensajes que redirigían a webs de phishing. Estos mensajes se enviaban a los usuarios mediante mensajes de texto SMS e incluían el nombre del destinatario, por lo que resultaban muy convincentes a la hora de hacer que el usuario creyera que se había producido alguna incidencia con su ID de Apple.

Agujeros de seguridad en Mac OS y Facebook

Precisamente el otro sistema operativo estrella de Apple, Mac OS, tuvo que solucionar durante el mes de abril varias vulnerabilidades reportadas por el equipo de investigadores de Google Project Zero. Estas vulnerabilidades permitían a un atacante ejecutar código arbitrario en un contexto con los suficientes privilegios o provocar una denegación de servicio (corrupción de memoria) mediante una aplicación especialmente diseñada.

Durante abril también supimos que un investigador que buscaba fallos en Facebook para participar en su programa de recompensas descubrió restos dejados por un atacante que instaló una puerta trasera. Con esta funcionalidad maliciosa, el atacante podría haber robado credenciales de empleados de la compañía, algo que hubiera comprometido la seguridad de otros muchos sistemas de la empresa.

Infraestructuras críticas, coches y botnets

El número de amenazas que han afectado a infraestructuras críticas en los últimos años ha crecido lo suficiente para que su seguridad sea ahora una de las principales preocupaciones de los responsables de seguridad. Ya sean amenazas orientadas específicamente para estas infraestructuras u otras más genéricas, la realidad es que, a día de hoy, no es extraño encontrar noticias como las que comentamos a continuación.

Es el caso de un banco en Bangladesh que vio cómo un grupo de ciberdelincuentes consiguió robar más de 81 millones de dólares usando una serie de herramientas que incluían un malware complejo. Esta complejidad permitió a los atacantes acceder a un software que se ejecuta en la infraestructura del banco, realizar la transferencia de dinero y eliminar cualquier rastro para dificultar la posterior investigación.

Otro caso descubierto en las últimas semanas es el de la central nuclear alemana de  Gundremmingen, central que tuvo que detenerse como precaución al encontrarse variantes de los malware Win32/Ramnit y Win32/Conficker en algunas máquinas, a las que llegaron mediante unidades de medios extraíbles. Estas infecciones se detectaron en sistemas que llevaban años desactualizados y que estaban encargados de visualizar información relacionada con el equipamiento que traslada las varillas de combustible nuclear.

Precisamente, también de Alemania y concretamente del Automóvil Club Alemán nos llegaron los resultados de otra investigación realizada en varios modelos de automóviles que disponen de llave electrónica. Los investigadores demostraron que era posible clonar la señal emitida por una de estas llaves y utilizarla para abrir y arrancar uno de estos vehículos. Todo esto con un equipamiento de apenas 200 € y a distancias que podrían llegar hasta los 100 metros.

Para cerrar este resumen con un dato positivo, durante el mes pasado anunciamos el resultado de la colaboración de ESET con la policía de Ucrania y la empresa CyS Centrum. Esta colaboración permitió desmantelar una red de ordenadores zombis, entre los que se incluía alrededor de 4000 sistemas Linux.

Josep Albors

Hacking y seguridad de placas arcade: devolviendo a la vida una CPS2 de Capcom