Locky y los nuevos ransomware, vuelta al pasado

ActualidadProtección de datosSolucionesSophos NewsmalwareRansomware

Locky y los nuevos ransomware, vuelta al pasado

ransomwareHace tiempo que no hablábamos de ransomware, pero ello no quiere decir que hayan desaparecido, todo lo contrario, cada vez más se consolida como el rey de los malware.

Como ya hemos contado en otras ocasiones, el malware llamado ransomware, en cualquiera de sus versiones, cryptolocker, cryptowall… genera millones a las mafias y es por ello que invierten dinero en desarrollar su producto, al igual que cualquier otro fabricante de seguridad tiene su departamento de desarrollo, dichas mafias tratan de mejorar su producto con nuevas versiones que consigan evadir la seguridad, al fin y al cabo es su negocio y si todo el malware se detectara, dejaría de ser algo lucrativo y por lo tanto dejarían de trabajar sobre él. Es por ello que desde los fabricantes de seguridad recomendamos siempre no pagar el rescate, porque si esto dejase de ser rentable para ellos, desaparecería inmediatamente.

Algo de historia

Todo empezó “profesionalmente” por los fakeAV, antivirus falsos, que misteriosamente un día aparecían instalados en nuestro ordenador y que por supuesto nos decían que la maquina estaba súper infectada y qué casualidad, ellos tenían la solución. Este tipo de malware únicamente nos fastidiaba el ordenador, en la mayoría de casos acabábamos formateándolo, pero no tocaba nuestros datos. ¿Por qué prácticamente han desaparecido? Porque dejó de ser un negocio, la gente aprendió que pagando ese dinero no se solucionaba y directamente formateaban la maquina o esperaban a que su fabricante de antivirus sacara las firmas.

Llegado este punto las mafias, que ya habían visto en esto un negocio, desarrollaron su producto y se fijaron en el cifrado de datos; si pedían un rescate por los datos del “cliente” podrían obtener un dinerito importante, hasta que las claves que utilizaban se rompieron y se obtuvieron distintas maneras de descifrarlo, generalmente comparando ficheros no cifrados con los cifrados.

El último punto, en el que nos encontramos, es el cifrado AES, con claves públicas y privadas, las mafias se dieron cuenta de que utilizando este tipo de cifrado todo iba a ir como la seda, ya que este tipo de cifrado es indescifrable, es el que utilizamos cada día para cifrar información confidencial de una manera legítima. Es por ello que si nos hemos infectado, la única manera de descifrarlo es conocer la clave privada que se utilizó para cifrar, y es precisamente aquí donde nos hacen el chantaje, si quieres que te la dé, paga.

Cómo nos llega

La infección tiene mucho de ingeniería social. El usuario de hoy en día está muy concienciado con no usar USBs porque pueden estar infectados, pero en internet todo vale, así que se empezaron a enviar emails masivos de phising haciéndose pasar por la policía o un paquete de correos que tenías pendiente de recoger… phinsing cada vez más parecido al original.

Vuelta al pasado

Lo cierto es que a día de hoy estamos como al principio, los fabricantes de seguridad detectamos todas las variantes pero, enseguida se modifican para que no sean detectados, de hecho nuestro departamento de soporte, ha recibido en una sola semana al menos 4 muestras distintas del mismo malware. Empezamos hablando de fakeAV, pero hoy tendríamos que hablar de locky, un virus que comienza de una manera que teníamos olvidada, pero que siempre ha estado ahí, los virus de macro. Virus que utilizan documentos de Word o PDFs para ejecutarse, recuerdo conversaciones de hace no mucho tiempo: “excluye los Word y los Excel que esos nunca llevan virus”, “deshabilita la seguridad mejorada del acrobat reader que es un rollo” siempre he sido algo paranoico con la seguridad, así que estas afirmaciones siempre me hacían un poco de daño a los oídos, pero bueno, mas allá de dar recomendaciones, cada uno es libre de hacer lo que quiera en sus redes, pero el tiempo me ha dado la razón, cuando una técnica cae en el olvido, nos relajamos y es ahí cuando los departamentos de desarrollo de las mafias, se dan cuenta y lo vuelven a utilizar.

Como solucionarlo

Ningún fabricante es capaz de detectar el 100% del malware y mucho menos de descifrar ransomwares, si lo descifra o bien utiliza un algoritmo antiguo de cifrado o bien ellos tienen la clave privada. Desde Sophos proponemos nuevas soluciones para luchar contra las llamadas amenazas de nueva generación.

MTD- Malicious Traffic Detection – El endpoint detecta las llamadas del malware al centro de control, evitando así que se descargue la clave privada y comience a cifrar.

Reputación de descargas, si vamos a descargar algún fichero con mala reputación, será bloqueado.

Heartbeat – Integracion del endpoint con el UTM, si alguna máquina se infecta o es sospechosa de estarlo, sin aun detectar nada concreto, esa máquina es aislada y bloqueada hasta que esa alerta se solucione. Hace algún tiempo hicimos un webex donde explicamos en detalle que es eso del Heartbeat.

Sandbox:- Los ficheros sospechosos son analizados exhaustivamente por nuestro sandbox para determinar si está infectado o no.

Firmas clásicas: El 80% del malware se detecta antes de llegar a este punto, pero las firmas, aunque sean cosa del pasado, son necesarias como una barrera más.

Next Generation Endpoint: Es la próxima barrera que Sophos añadirá, antivirus basado en comportamiento, virus hay cientos de miles al día, de hecho a nuestros laboratorios nos envían cerca de 300.000 muestras al día, pero “técnicas” no hay tantas, quizás estemos hablando de unas 20, y nuevas al año salen una o dos. Partiendo de esta premisa, Sophos analizará el comportamiento de la amenaza para determinar si es realmente maliciosa o no.

Antispam: Sophos dispone de filtrado antispam que permitirá detectar esos emails de phising que contienen los Word infectados o las URL maliciosas.

WAF (Web Application Firewall): En ocasiones la fuente del malware es un servidor conocido, podrían atacarnos nuestro servidor web y mediante un ataque de SQL injection, colocarnos links maliciosos que infectarán a la gente que visita nuestra web, esto no solo es peligroso sino que además podría afectar a la reputación de tu negocio.

Como he comentado a lo largo de este artículo, detectar este tipo de malware es muy complicado, ya que las mafias se encargan de hacerlo indetectable, pero utilizando la mayor cantidad de barreras posibles siempre tendremos un porcentaje menor de infecciones y por lo tanto estaremos mucho más seguros.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s