¿Cual es el real “Estado del Arte” de los cryptolocker, ransomware y otros elementos dañinos?

agosto 2, 2016 — por Josep Mª Gris0

main

CloudComms.ConsultoríaCPDSeguridad

¿Cual es el real “Estado del Arte” de los cryptolocker, ransomware y otros elementos dañinos?

agosto 2, 2016 — por Josep Mª Gris0

En estos últimos días, oyendo casos de Ransomware, de su proliferación y lo que es más, su “no resolución” empieza a preocuparme.

No sé si conocéis la paradoja del cisne negro. Los ingleses en sus viajes, encontraron cisnes negros, pero claro, “Los cisnes son blancos….” Luego esto no es un cisne. Cuando llegaron a Inglaterra y los diseccionaron la respuesta era clara. Era un perfecto cisne, pero de color negro.

Esta paradoja se ha extendido en el mundo empresarial como “no des por sabido lo que sabes, puede que haya más sobre el tema que desconoces”. ¿Quien iba a pensar que unos aviones civiles se podían estrellar contra unas torres?

Recuerdo cuando empezó los auges de antivirus como el “I love you” y lo que está ocurriendo ahora me lo trae a la memoria, aquello fue un “Boom”, esto va en escalada.

Y así con aquella máxima informática que dice “Hay que saber del tema, y sino, el teléfono del que sabe” llamo a mi amigo Antonio Martínez Algora , Responsable Técnico de Stormshield para Iberia, curiosamente una empresa participada por Airbus. Aprovecho para “atracarle” con una entrevista para vosotros 🙂 J. Gracias Antonio, eres un amigo….

JMG. Antonio, que nos puedes decir de esta “escalada”?

AMA. Estamos asistiendo a un fenómeno preocupante: la confluencia de técnicas de ciberdelincuencia para conseguir un efecto más letal y evadir las medidas de protección.  Por primera vez, ransomware, como Locky o Cerber, son utilizados por una vulnerabilidad de Día Cero de Flash para infectar a sus víctimas.  Una razón adicional para actualizar su plugin de Flash con el último parche propuesto por Adobe.

Existen al menos dos kits de exploit, llamados Nucleus y Magnitude, que se encuentran disponibles “in the wild” y que aprovechan la vulnerabilidad de Día Cero descubierta recientemente en la aplicación multimedia.  Gracias a estos kits, los cibercriminales pueden explotar la vulnerabilidad de Flash para infectar a sus víctimas con Locky o Cerber, dos tipos de ransomware que cifran los documentos del ordenador de sus víctimas con potentes tecnologías de cifrado, y solicitan un pago o rescate para desencriptar y restaurar los documentos originales.

JMG. ¿Nos cuentas un poco sobre cada uno de ellos?

AMA. El primero de estos dos malware, Locky, ha hecho estragos el mes pasado en distintos países europeos y de todo el mundo, afectando a todo tipo de empresas y particulares.  Uno de los incidentes más renombrados ha sido el de un hospital en Los Ángeles, Estados Unidos, obligado a pagar 17.000USD de rescate para remover el malware en múltiples sistemas infectados y recuperar datos médicos como historiales, radiografías, análisis, etc.

En un primer momento, las técnicas utilizadas para la difusión de este ransomware han consistido en macros de Office incluidas dentro de un documento Word,  y también archivos JavaScript enviados como archivos adjuntos en campañas masivas de correos electrónicos o spam.  En ambos casos, se requiere de la participación del usuario, aprovechándose de su “ingenuidad” y menor concienciación de seguridad, para abrir estos documentos Word o JavaScript, a pesar de provenir de una fuente que podría no ser de confianza.

Si bien un usuario debidamente formado es poco propenso a abrir documentos sospechosos, el uso de la vulnerabilidad de Flash permite a los ciberdelincuentes infectar a cualquier tipo de usuario durante una simple visita a un sitio Web y por tanto sin requerir ningún tipo de intervención directa del usuario.  De esta forma, incluso los usuarios más recelosos y expertos, se convierten en víctimas impotentes de esta nueva forma de infección.

Desde la perspectiva de los piratas, esta combinación de técnicas de ataque permite optimizar la tasa de usuarios infectados de forma espectacular.  Los ciberdelincuentes buscan otros vectores para rentabilizar sus inversiones, ya que los usuarios se van mostrando cada vez más desconfiados hacia los ficheros adjuntos de fuentes desconocidas. Igualmente las herramientas de protección tradicionales están añadiendo capacidades para bloquear documentos que contengan macros o bien bloquear tipos de ficheros potencialmente peligrosos como programas ejecutables, JavaScript o scripts en general.   Gracias al uso de sitios Web legítimos infectados, o sitios web suplantados mediante redirección por los ciberdelincuentes, estos ataques son mucho más difíciles de detectar y de prevenir.

JMG. ¿Cuál es el perfil del Ciberdelincuente?

AMA. Si el kit de exploit Nuclear sirve para difundir Locky, Magnitude hace lo propio con otro ransomware, Cerber.  Este último malware, que también cifra  los datos de sus víctimas, tiene la particularidad de atacar múltiples sistemas operativos (Windows, Linux, MacOS X).  Con Cerber, asistimos a la llegada de una generación de ransomware proporcionados como un servicio.  Incluso sin conocimientos técnicos especiales, los ciberdelincuentes pueden comprar malware en línea y generar sus propias campañas de infección.

También se empieza a popularizar la infección de ransomware aprovechando una vulnerabilidad de Día Cero para acelerar su difusión. Estamos asistiendo a un cruce entre dos mercados de ciberdelincuencia: el negocio muy rentable del ransomware y el mercado para la venta de exploits de vulnerabilidades o “zero-day exploit”.

Hasta ahora el mercado de zero-day exploits  -que se venden por un precio que ronda desde unos pocos miles a decenas de miles de euros – era utilizado fundamentalmente para campañas de ataques persistentes avanzados (o APT por sus siglas en Inglés), para infiltrarse en una organización objetivo y robarle datos confidenciales y tomar control de sus sistemas a lo largo del tiempo.

antonio_stormshield

JMG. ¿Apuntar a las empresas más negligentes o con menor inversión en seguridad?

AMA. Si bien la vulnerabilidad de Flash afectaba a muchas versiones de la tecnología de Adobe, los exploits sólo atacaban a las versiones antiguas.  Esto plantea la pregunta de por qué los atacantes no están sacando el máximo provecho al exploit y auto-limitan el alcance de sus víctimas.

Matthieu Bonenfant, director de Producto de Stormshield, avanza una explicación bastante lógica para esta elección a priori sorprendente: “A menudo observamos dos tipos de empresas a la hora de abordar la instalación de parches de seguridad. Las que despliegan de forma regular las actualizaciones de sus aplicaciones; éstas empresas en realidad tendrían menor interés para los ciberdelincuentes, ya que tendrán más dificultad para atacarlas. Y por otra parte aquellas que muestran una carencia técnica desde hace varios años; estas empresas les permiten a los ciberdelincuentes perpetrar sus ataques durante mayor tiempo por debajo del radar sin saltar a la luz pública, especialmente con exploits de día cero”. En pocas palabras, los hackers podrían haber apuntado intencionadamente a las versiones más antiguas de Flash… por una mera cuestión de rentabilidad de sus acciones, para pasar desapercibidos el mayor tiempo posible.

Los últimos ataques de ransomware están tomando proporciones muy grandes. En primer lugar debido al número de usuarios afectados por la vulnerabilidad CVE-2016-1019, que afecta a todas las versiones de Flash anteriores al parche publicado el 7 de abril. Además, porque Nucleus y Magnitude, aunque no tienen la popularidad de un Anger, no son menos habituales en el “mercado negro”.  Hay que señalar que ha sido a través de un análisis del kit Magnitude como los investigadores de Proofpoint, ayudados por los de FireEye, han descubierto la vulnerabilidad CVE-2016-1019.

Esta escalada de la amenaza es parte de un aumento de la potencia de los ransomware.  Debido a este auge, las empresas están demandando herramientas específicas de protección contra APTs y zero-days como la solución de Stormshield Endpoint Security (SES). SES utiliza tecnologías avanzadas de protección, que tratan, no de reconocer cepas infecciosas, sino sus efectos, bloqueando los comportamientos nocivos, incluso de procesos legítimos, como escalado  de privilegios, ejecución de código, desbordamiento de la memoria, etc.

Las herramientas avanzadas de seguridad de Stormshield que anteriormente eran demandadas únicamente por empresas de sectores sensibles con altos requerimientos, están siendo solicitadas hoy en día por empresas de todos los sectores y de cualquier tamaño, incluyendo PYMEs… después de haber sido infectadas con ransomware y haber sufrido sus efectos, y para evitar seguir tropezando con distintas variantes del mismo problema en el futuro.

JMG. Pues nada Antonio, muchas gracias por tu valiosa información y nos gustaría volverte a ver por estos lares. Un abrazo

 

—– UPDATE 4.Agosto.2016 —-

Me informa Antonio Martinez que los que producen RaaS (Ransomware as a service) han tenido un enfrentamiento entre ellos. En este caso, los de PETYA han hackeado a otro Ransonmware rival, de nombre CHIMERA siendo sus claves plublicadas.

Tambien aquí podemos ver como detectar si tienes o no Chimera.

Saludos. JM

Dejar comentario

Tu dirección de correo no será publicada Los campos requeridos están marcados con *

dieciseis + 5 =