Resumen de amenazas: Marzo 2016

factura

El pasado mes de marzo ha sido, con diferencia, el mes en el que el ransomware, el malware que cifra la información de los usuarios y exige un rescate por su recuperación, ha estado más activo desde que empezamos a hablar de esta amenaza hace ya unos años.

Ransomware: una amenaza que no cesa

Esto ha sido debido a la propagación de numerosas variantes que, en sucesivas oleadas, han llevado las tasas de detección registradas en los servicios de telemetría de ESET hasta unas cifras que no habíamos visto hasta la fecha. Entre los países en los que se han observado más detecciones se encuentra España, pero también otros como Japón, Reino Unido, Irlanda o Nueva Zelanda.

Entre las variantes de ransomware vimos como regresaba TeslaCrypt en la forma de email que suplanta a Correos. Tras analizarlo vimos que los delincuentes habían realizado pocos cambios, con la única novedad importante de haber utilizado credenciales únicas para cada víctima, las cuales deben usarse para acceder al panel de control que permite realizar el pago del rescate.

Otra variante clásica que regresó con fuerza el pasado mes de marzo fue CTB-Locker, en esta ocasión orientado a cifrar archivos en servidores web, afectando así a las webs que alojan. Además, como dato curioso, esta nueva variante permite mantener una conversación con los delincuentes mediante un chat para pedir ayuda o soporte a la hora de pagar el rescate y descifrar los ficheros.

Pero las variantes de ransomware que han conseguido una mayor tasa de propagación a nivel mundial han sido, sin duda, Locky y TeslaCrypt. Usando el email como principal vector de ataque, los delincuentes utilizaron varios asuntos para tratar de engañar a sus víctimas y conseguir que ejecutaran el fichero adjunto malicioso.

Otra técnica utilizada por los delincuentes para propagar estas amenazas ha sido la utilización de publicidad maliciosa en sitios web populares con muchas visitas. Entre las webs afectadas se encontraban algunas de las más visitadas en Estados Unidos, y los delincuentes consiguieron colocar estos anuncios maliciosos gracias a la compra de dominios expirados de proveedores de publicidad online legítimos.

También hemos visto cómo aparecían nuevas muestras de ransomware con alguna particularidad  que los diferenciaba del resto, como Petya. Este ransomware cifra una parte en concreto del sector de arranque del disco que se utiliza para poder ubicar todos los ficheros almacenados. De esta forma, el sistema y todos los archivos quedan inaccesibles a menos que se pague el rescate exigido por los delincuentes.

Pero Windows no es el único sistema operativo afectado por el ransomware. Además de los casos que analizamos en meses anteriores y que afectaban también a dispositivos Android e incluso a algún que otro servidor Linux, este mes Mac OS ha sido el objetivo de un nuevo ransomware plenamente funcional que responde al nombre de KeRanger.

Los delincuentes detrás de esta amenaza consiguieron infectar una Transmission, conocida aplicación de descarga de ficheros por BitTorrent y ofrecerla para su descarga durante un tiempo limitado desde la web oficial. Al ejecutar un fichero malicioso ubicado en la carpeta de instalación de Transmission, el ransomware empieza a cifrar archivos con ciertas extensiones, dejando un fichero de texto con las instrucciones a seguir para pagar el rescate en cada carpeta donde haya ficheros cifrados.

Pero no todo iban a ser malas noticias, y es que en marzo también empezó el juicio contra uno de los grupos encargados de propagar el conocido como “Virus de la Policía”, detenidos en febrero de 2013. Aunque ahora yo no se observan tantas variantes de este tipo de ransomware, a día de hoy aún siguen existiendo amenazas de este tipo, especialmente dirigidas a dispositivos móviles con sistema Android.

Otras amenazas

Pero el ransomware no ha sido la única amenaza que hemos analizado durante el pasado mes de marzo. Nuestros compañeros del laboratorio de ESET han detectado el troyano USB Thief, que ha estado propagándose mediante dispositivos USB y cuya finalidad es el robo de datos. La peculiaridad de este troyano es que no deja ningún rastro en los sistemas que infecta y emplea un mecanismo especial para evitar copiarse a otros dispositivos, lo que dificulta su detección y hace pensar que estamos ante algún tipo de ataque dirigido.

Pero no ha sido el único malware destacado descubierto en nuestros laboratorios, puesto que en marzo también hemos publicado el análisis de Remaiten, un bot de IRC que tiene como objetivo a routers y otros dispositivos del Internet de las cosas. Este malware se conecta a estos dispositivos usando el protocolo Telnet por el puerto 23, realizando ataques de fuerza bruta para intentar adivinar las credenciales de acceso. A continuación, Remaiten descarga el código adecuado para la plataforma en la que se encuentra, lo ejecuta y permite así el control remoto del dispositivo por parte de los atacantes.

A pesar de estas amenazas avanzadas, la mayoría del malware analizado sigue siendo relativamente simple. Un ejemplo lo tenemos en el envío masivo de correos fraudulentos que se hacen pasar por Google e intentan que los usuarios accedan a una supuesta página de registro en la que autenticarse en varias plataformas online. Por supuesto, la finalidad de los atacantes es robar las contraseñas de aquellos usuarios que las introduzcan en esta web de phishing.

Por su parte, Microsoft ha dado un paso adelante para mejorar la protección de sus usuarios y ha presentado una nueva característica en Office 2016. Esta nueva funcionalidad permite al administrador de sistemas de una empresa bloquear mediante políticas de grupo la ejecución de cualquier tipo de macro en documentos de Office, evitando así que un usuario ejecute accidentalmente una macro maliciosa que permita infectar sus sistema.

Seguridad en dispositivos móviles

Si hay una noticia destacada relacionada con los dispositivos móviles durante el mes de marzo, esta es sin duda la batalla legal que han mantenido Apple y el FBI en relación con el iPhone de uno de los responsables del tiroteo de San Bernardino. El FBI exigía a Apple que desbloquease el iPhone del principal acusado, pero la compañía se negó aludiendo a la privacidad de sus usuarios.

Finalmente el FBI canceló esta orden, puesto que, aparentemente, consiguió acceder al dispositivo mediante otros medios. No obstante, este parece que será solo el primero de muchos casos que están por venir y que afectará también a móviles que usen otros sistemas operativos como Android.

Precisamente, la seguridad de Android volvió a ponerse en entredicho cuando investigadores israelíes aseguraron haber descubierto una nueva vulnerabilidad bautizada como Metaphor. Esta vulnerabilidad sigue aprovechándose de Stagefright y funciona en versiones de Android que van desde la 2.2 a la 5.1, permitiendo a un atacante que la explote espiar al usuario del dispositivo.

El mes pasado también detectamos un troyano bancario para Android dirigido a los clientes de los bancos más importantes de Australia, Nueva Zelanda y Turquía. El troyano se hace pasar por una falsa aplicación de Flash Player y es capaz de detectar los SMS enviados como doble factor de autenticación y robar así las credenciales de hasta 20 aplicaciones de banca móvil.

Josep Albors

 

 

Nuevos agujeros de seguridad en Mac OS X