Resumen mensual de amenazas. ¡Más ransomware!

El ransomware volvió a estar entre las amenazas que más presencia tuvieron durante el pasado mes de marzo. En las últimas semanas hemos detectado varias oleadas de diferentes tipos de este malware pero todos con la misma intención: secuestrar nuestros datos y pedir un rescate por ellos.

ransomware1

Resulta cuanto menos curioso que la mayoría de nuevas variantes de ransomware utilicen plantillas usadas anteriormente por Cryptolocker, el ransomware más conocido hasta la fecha, aunque no tengan nada que ver con el mismo y sus métodos de cifrado o de infección sean diferentes.

En marzo hemos visto como se propagaba Cryptofortress, haciendo gala de un diseño muy similar a Cryptolocker que incluso plagiaba a este último el diseño de las webs donde se informa a la víctima de lo que debe hacer para recuperar su información. Sin embargo, un análisis detallado demostró que las similitudes terminaban en ese punto ya que ni el sistema de cifrado ni el método de propagación ni otros puntos claves se asemejaban.

Un caso parecido fue el de Teslacrypt, ransomware distribuido a través de un kit de exploits y que infecta a sus víctimas cuando estas visitan webs maliciosas o que han visto comprometida su seguridad. La peculariedad de este malware se encuentra en los tipos de ficheros que cifra puesto que entre ellos se encuentran algunos pertenecientes a videjuegos conocidos y jugados por millones de personas en todo el mundo.

También  vimos una nueva oleada de emails diciendo provenir de Correos que propagaban variantes de este tipo de malware. Quizas los delincuentes trataban de conseguir el éxito cosechado a principios de diciembre del año pasado aunque los usuarios ya se encuentran más concienciados y su alcance ha sido notablemente inferior.

Respecto a vulnerabilidades descubiertas durante el pasado mes, la más destacada fue Freak. De nuevo, los protocolos de cifrado SSL y TLS demostraron que su seguridad deja que desear en según que ocasiones. Lo curioso del caso es que la vulnerabilidad descubierta tenía alrededor de 20 años, todo por seguir soportando implementaciones inseguras de estos protocolos aun hoy.

Otra de las vulnerabilidades más sonadas, y curiosas, del mes pasado es la que afectaba a reproductores de discos Blu-ray y que permitiría a un atacante ejecutar código malicioso ya sea mediante un agujero de seguridad en el popular software Power DVD o bien debido a fallos en el hardware encargado de reproducir estos discos. El investigador que reveló estas vulnerabilidades no quiso dar detalles de los fabricantes afectados pero demostró como había podido conseguir permisos de administrador del dispositivo y engañarlo para que ejecutara un comando que permitiría la instalación de malware.

El phishing también estuvo presente en las amenazas reportadas durante el mes de marzo. Por un lado tenemos al phishing clásico, que en está ocasión se hacía pasar por un correo proveniente de La Caixa. Si el usuario mordía el anzuelo era redirigido a una web muy similar a la original, aunque con una finalidad bien diferente: robar las credenciales de acceso y todos los códigos de la tarjeta de coordenadas del pobre incauto que cayese en la trampa.

También vimos como el lanzamiento del Apple Watch fue utilizado por delincuentes para engañar a posibles víctimas en redes sociales, ofreciéndoles uno de estos dispositivos de forma completamente gratuita para, una vez hubieran caído en la trampa, redirigirlos mediante varios enlaces a sitios fraudulentos.

Otro caso de phishing que suele repetirse todos los años cuando empieza el periodo de declaración de la renta es el del falso correo de la Agencia Tributaria. En esta ocasión se nos proporcionaba un enlace en el que acceder a un formulario online y rellenarlo con nuestros datos personales y los de nuestra tarjeta de crédito para, supuestamente, reembolsarnos una cantidad importante de dinero. No hace falta decir que todos aquellos que introdujeron estos datos estaban regalándoselos a los delincuentes quienes, tarde o temprano, los usarán en su propio beneficio o los venderían al mejor postor.

El caso de phishing más curioso que vimos fue la suplantación del popular servicio de mensajería WhatsApp donde se invitaba a los usuarios a probar el nuevo sistema de llamadas que acaba de implantar esta empresa. En el momento de aparecer este caso, tan solo se podía acceder a este servicio mediante invitación de otros usuarios que ya lo tuviesen activo y esto es lo que aprovecharon los delincuentes para difundir su amenaza. Por desgracia para los usuarios, todos aquellos que pulsasen sobre el enlace proporcionado no solo no obtendrían el deseado servicio de llamadas si no que además eran forzados a rellenar interminables encuestas, instalar aplicaciones no deseadas o ver publicidad en su movil.

En lo relativo a herramientas de espionaje, marzo fue el mes en el que se descubrió Casper, un código malicioso utilizado para obtener información confidencial cmo, por ejemplo, objetivos sirios. Este malware fue desarrollado supuestamente por el gobierno francés y salió a la luz tras publicarse una serie de diapositivas filtradas por Edward Snowden.

La tragedia del vuelo de GermanWings también fue analizada por algunos medios con el objetivo puesto en la probabilidad de que se tratase de un ataque a los sistemas del avión. Eso fue antes de que se centrara toda la atención en el comportamiento del copiloto pero, desde hace tiempo no es raro observar como la opción del ciberataque a un avión en vuelo siempre está presente en las teorías que tratan de explicar este tipo de accidentes.

Josep Albors

¿Son las redes sociales el mejor escaparate para ‘fardar’ de hijos?