6 claves para entender el ataque KRACK

1. ¿Qué pasó?

Se encontraron nuevas vulnerabilidades en los protocolos WPA/WPA2, utilizados para proteger la seguridad de todas las redes WiFi modernas.

El ataque se inicia en la etapa de negociación del protocolo, que es ejecutado cuando un cliente quiere unirse a una red WiFi protegida. Este mecanismo se usa para confirmar que tanto el cliente como el punto de acceso WiFi poseen las credenciales correctas. Por otro lado, también se encarga de negociar la clave para cifrar el tráfico producido mediante WiFi.

2. ¿Qué significa KRACK?

KRACK (Key Reinstallation Attacks) es el acrónimo con el que se llama a los ataques de reinstalación de clave que se utilizan para explotar las debilidades de WPA/WPA2.

3. ¿Cómo actúa? 

El ataque funciona sobre las dos versiones de WPA e incluso aquellas que emplean AES para cifrar. Cuando un cliente se une a una red inalámbrica, ejecuta una negociación de autenticación conocida como handshake de 4 vías. En la tercera fase de dicha negociación, la clave de cifrado se instala y es usada para cifrar los datos mediante un protocolo.

Sin embargo, debido a que los mensajes pueden perderse, el sistema WiFi retransmite el tercer mensaje en caso de no recibir una respuesta apropiada de su llegada por parte del cliente, abriendo la posibilidad de retransmitirlo varias veces. Cada vez que se recibe este mensaje se reinstalará la misma clave de cifrado, por lo tanto se reinicia el número incremental de paquete transmitido (nonce) y se recibe un contador de repetición utilizado por el protocolo de cifrado.

 4. ¿Qué vulnerabilidades pudieron ser explotadas?

CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088

Es importante tener en cuenta que cada ID de CVE describe una vulnerabilidad de protocolo específica y, por lo tanto, muchos proveedores se ven afectados por cada ID de CVE individual.

Los invitamos a leer la nota de vulnerabilidad VU # 228519 de CERT / CC para obtener detalles adicionales sobre qué productos han sido afectados.

5. ¿Cuáles son los posibles daños?

A través de su ejecución los ciber delincuentes podrían leer toda la información que no esté cifrada mediante una comunicación establecida por WPA/WPA2: números de tarjetas de crédito, contraseñas, mensajes de chat, emails y, en definitiva, cualquier dato que pase por la red WiFi y se encuentre en sitios poco protegidos.

6. ¿Qué podemos hacer ante esta amenaza?

Al estar hablando de un protocolo, serán los organismos IEE y Wifi Alliance los que deberá trabajar en encontrar un workaround a la versión actual o diseñar un nuevo estándar para que luego los fabricantes puedan desarrollar el nuevo código que permita reestablecer conexiones seguras en entornos wifi.

Hoy más que nunca, resulta FUNDAMENTAL para las empresas trabajar en capas de encriptación, para proteger la información crítica (almacenada y en tránsito) que pueda llegar a manos de delincuentes.

Desde NextVision, les facilitamos los siguientes materiales para una buena estrategia de Encriptación:

Siempre es importante poder conocer los posibles riesgos a los que nos enfrentamos, haciendo un análisis de nuestra propia infraestructura. Para eso, contamos con el Cybersecurity Health Check, un servicio de NextVision pensado para responder a ciberamenazas. Conocelo.

Fuentes:

  • Departamento Técnico de NextVision
  • KracksAttacks

Webinar | Encriptación Efectiva

¿Estás protegiendo los datos sensibles de tu organización?

El miércoles 30 de agosto realizamos un webinar junto a Symantec para hablar sobre estrategias de Encriptación y soluciones de cifrado recomendadas para diferentes dispositivos y aplicaciones.

El webinar estuvo a cargo de Raúl Bazan (Support Service Manager de NextVision) y Patricio Villacura (Territory Sales Engineer de Symantec).

Raúl explicó los motivos por los cuales una organización necesita proteger su información:

  • Evitar fugas de datos
  • Cumplir con normativas y legislaciones

Patricio mostró estadísticas actuales y afirmó que el 50% de las fugas de datos podrían ser prevenidas con una estrategia de encriptación de datos.

El webinar contó con más de 70 inscriptos y los asistentes pudieron realizar consultas en vivo y conocer las últimas novedades en materia de cifrado.

Reviví el webinar:

Te interesaría que tratemos un tema en particular en nuestros próximos webinars? Escribinos a marketing@nextvision.com y contanos.

Defray: Nueva Amenaza de Ransomware

En las últimas horas, se ha descubierto una nueva amenaza llamada Defray.

Este Ransomware está atacando principalmente a instituciones educativas y empresas de salud, minería, banca y finanzas de varios países de Europa por el momento.

Se distribuye mediante Scripts PowerShell y a través de documentos de Microsoft Word adjuntados en correos electrónicos. Se indica a las víctimas que en el interior del documento se encuentran detalles sobre una factura pendiente o sobre un requerimiento judicial. Al abrir el archivo se solicita la activación de las macros.

Desde NextVision, aconsejamos leer NUESTRA GUÍA ESPECÍFICA con el paso a paso para prevenir, responder y actuar ante un ataque de Ransomware.

Pueden descargarla aquí.

Mensaje enviado a las víctimas

Todo sobre encriptación de datos para empresas

La encriptación o cifrado de información sensible es de suma importancia para preservar la seguridad de datos que forman parte del core operativo de una empresa. Una fuga de datos puede implicar pérdidas económicas, comprometer la reputación de la empresa y poner en riesgo su permanencia en el mercado, por lo que proteger la información a través de sistemas de cifrado es esencial.

En esta nota, te ofrecemos una guía en la que te explicamos qué es la encriptación de datos desde sus orígenes, y porqué es tan importante manejar un protocolo de cifrado adecuado para garantizar la seguridad de tus datos.

¿Qué es la encriptación?

La encriptación (traducción de la palabra en inglés encryption), también conocida como criptografía, es la acción de proteger información y documentos con técnicas que implican que sólo la persona que posea la clave para descifrar el código pueda leerla. A pesar de ser un aspecto inherentemente a la informática, el cifrado de información (y la necesidad de proteger data de ojos extraños) se remonta a los inicios de la escritura.

A lo largo de la historia, distintas culturas han creado sus propios sistemas de encriptación que eran empleados especialmente para enviar mensajes en tiempos de guerra, pero que sentaron las bases de la encriptación que conocemos hoy en día. Veamos algunos de los sistemas más conocidos.

Métodos de encriptación famosos

Escítala (Esparta, siglo V a.C)

Los guerreros espartanos enviaban mensajes codificados enrollando una cinta de cuero en una vara, llamada escítala, para luego escribir en forma longitudinal, para luego desenrollar la cinta y terminar con un conjunto de letras sin sentido que, en teoría, solo podía descifrarse enrollando la cinta de nuevo en una vara con el mismo diámetro que la original. A pesar de que es un método rudimentario en el que cuadrando las letras, sin necesidad de una escítala, se puede descifrar el mensaje, era efectivo para su tiempo ya que poca gente sabía leer.

Cifrado de Polybios (Grecia, siglo a.C)

Creado por el historiador Polybios, este sistema usa el principio de sustitución colocando las letras en una tabla y, en los encabezados de las filas y las columnas se asignan números que sustituyen las letras que conforman el mensaje original: se encripta el mensaje buscando los números que corresponden a cada letra en el cuadrante que se encuentren en la tabla. Para descifrar el mensaje, es necesario separar el código en pares e ir buscando los cruces de cada par de números en la tabla.

El Cifrado de Polybios es conocido por el método de comunicación cifrada más usado por prisioneros nihilistas de la Rusia zarista.

Cifrado César (siglo I, a.C)

Este sistema, nombrado así por el famoso dictador romano, es también un cifrado por sustitución en la que la letra a ser encriptada es sustituida por la letra que le siga 3 posiciones más adelante en el alfabeto. Es un método muy sencillo que el mismo Julio César usaba para comunicarse con los generales de su ejército durante sus campañas militares.

Máquina Enigma

La máquina Enigma, utilizada por los nazis para encriptar sus comunicaciones, era un dispositivo electromecánico inventado por Arthur Scherbius, que se componía de unas teclas que representaban las letras del alfabeto, y que al tipear el mensaje activaban el mecanismo electrónico que hacía mover los rotores conectados al teclado que iluminaba las letras que conformaban el mensaje cifrado.

Aunque a simple vista parece un mecanismo sencillo, la máquina Enigma tenía la particularidad de que uno de sus rotores giraba un veintiseisavo más de vuelta cada vez que el usuario tecleaba, por lo que la posición de las conexiones cambiaba con cada pulsación de las teclas y daba como resultado una encriptación polialfabética que siempre variaba, lo que hizo tan complicado para los aliados hallar la clave que pudiera descifrar los mensajes cifrados con Enigma. Además, para hacerla más robusta, la máquina contaba con la capacidad de intercambiar los cilindros y las conexiones, permitiendo usar 105.456 alfabetos y una cantidad enorme de posibilidades de cifrado.

Los mensajes de Enigma, luego de varios años, fueron descifrados en 1942 por un grupo de criptoanalistas liderados por Alan Turing y Joan Clarke. Se estima que el descifrado del código Enigma le ahorró al mundo 4 años más de guerra.

La encriptación moderna

Algoritmos

Las soluciones de encriptación como las conocemos en la actualidad se originaron en 1970, con la aparición del algoritmo DES (Data Encryption Standard), desarrollado por el gobierno estadounidense. El DES se basaba en el cifrado de sustitución por bloques, que consta de transformar un texto de una longitud de bits fija en un texto cifrado de igual longitud, que era de 56 bits, lo que se convirtió en su principal desventaja, ya que al tener un código tan corto podía ser descifrado en 24 horas.

Unos años más tarde, sustituyó DES por el Advanced Encryption Standard (AES) un sistema por bloques con claves mucho más seguras, que usan un estándar de 128 bits, pero que pueden llegar a ser de hasta 256 bits. Actualmente AES se mantiene como uno de los sistemas de cifrado más populares en Internet.

Otro de los algoritmos que actualmente se utilizan es el RSA (Las siglas de Rivest, Shamir y Adleman, sus desarrolladores), que es el que usa el cifrado asimétrico y, a diferencia del algoritmo DES utiliza 2 claves, una pública y otra privada que conserva el propietario del archivo. Actualmente el RSA es el algoritmo de encriptación más usado en en sistemas de autenticación online.

Sistemas de encriptación

Actualmente, existen 3 sistemas de encriptación afianzados en el mundo digital para la protección de datos, veamos en detalles cuáles son y cómo funcionan:

Encriptación simétrica

Este sistema usa la misma clave para cifrar y descifrar la información entre el emisor y receptor, quiénes se ponen de acuerdo sobre la clave a utilizar de antemano. El sistema simétrico es el más inseguro, ya que en la comunicación de la clave entre los involucrados es fácil de interceptar; además, cómo la seguridad de un sistema de cifrado debe colocarse en la fuerza de la clave, esta podría ser demasiado larga, lo que lo hace poco práctico.

Encriptación asimétrica

También conocida como encriptación de clave pública, utiliza 2 claves diferentes entre el emisor y receptor, una pública que es transmitida a todos los que necesiten enviar información cifrada, y otra privada que es secreta. Ambas claves se generan simultáneamente y están vinculadas, pero la relación entre ellas debe ser lo suficientemente compleja para que no sea posible obtener la privada a partir de la pública. Este sistema La usa como base el algoritmo RSA.

De acuerdo al portal Redes Zone, las claves cumplen estas funciones:

  • Encriptar la información.
  • Asegurar la integridad del mensaje cifrado.
  • Certificar la autenticidad del emisor.

Si bien la distribución de las claves es más segura porque la privada no es revelada, su principal desventaja recae en la lentitud del proceso, por varios factores que incluyen:

  • Tiempo de procesamiento para obtener un par de claves y un mensaje de la misma longitud.
  • Las claves deben ser 5 veces o más largas que las usadas en el cifrado simétrico.
  • El mensaje cifrado es más largo que el original.

Encriptación híbrida

Uno lo mejor de los sistemas encriptación anteriores y solventa los problemas de seguridad y lentitud del cifrado de los datos. La encriptación híbrida funciona de la siguiente manera:

  • Se genera una clave privada y una pública (desde el receptor)
  • Se encripta el archivo al mismo tiempo en el que se generan las claves.
  • El receptor envía su clave pública.
  • Se encripta el archivo con la clave pública recibida.
  • Se envía el archivo cifrado de forma síncrona y la clave de forma asíncrona.

Además de solventar los problemas que presentan la encriptación simétrica y asimétrica, el sistema híbrido es especialmente útil cuando se tiene que enviar información cifrada a varios destinatarios simultáneamente.

¿Por qué es importante encriptar la información?

En el mundo actual, la información es poder y dinero, y los cibercriminales lo saben: es por ello que la fuga de datos es uno de los principales ciberataques del que son víctimas las empresas, y el que más dinero les cuesta: según un estudio patrocinado por IBM, una fuga de datos puede llegar a costarle a una empresa grande 4 millones de dólares en promedio. El caso de las Pymes es más preocupante, ya que suelen ser las víctimas predilectas de este tipo de ataques (hasta un 90%), principalmente porque no suelen tener cuidado en el manejo y preservación de sus datos, llegando a perder un promedio de 36 mil dólares por ataque, de acuerdo al estudio realizado por First Data.

A las pérdidas económicas se le suma el deterioro de la reputación ante los ojos del público. Esto es especialmente perjudicial cuando la empresa usa información personal de sus clientes para operar. Un caso en los que una fuga de datos significó una mayor pérdida de credibilidad que de dinero fue el del sitio web de citas Ashley Madison, en el que se filtró la información personal de más de 37 millones de usuarios y fue expuesta en Internet. Si bien el ataque se produjo en 2015, las consecuencias para la compañía persisten hasta hoy: en julio de 2017 Ruby Corp., casa matriz del portal, accedió a pagar una multa de 11,2 millones de dólares para poner fin a los litigios en su contra; además, ha perdido más del tercio de sus ganancias desde que se dió a conocer la fuga.

Para evitar este tipo de situaciones que pueden significar costos inesperados o la quiebra de un negocio, la mejor apuesta es invertir en una solución de encriptación para los datos sensibles de tu empresa.

El sistema de encriptación: ¿Pago o gratuito?

Ya que hemos explicado porqué es importante encriptar la información valiosa que tu empresa maneja, te estarás preguntando qué tipo de solución es la más conveniente. Si bien sabrás que existen infinidad de herramientas gratuitas en Internet que cifran documentos, éstas no son las más adecuadas para un entorno corporativo. Aquí te explicamos las razones por las que una solución de encriptación con licencia es la mejor opción para las empresas:

Múltiples niveles de seguridad

Los softwares de encriptación pagos hacen uso de los algoritmos de cifrado más avanzados y seguros, como el AES; además, hacen uso de claves de hasta 256 bits, tamaño que se considera ideal por su seguridad y su desempeño al momento de la comunicación. Por último, la gran mayoría de las soluciones sin licencia emplean encriptación simétrica o asimétrica; en cambio, las herramientas pagas utilizan la encriptación híbrida que, como mencionamos antes, es la más segura y rápida.

Administración centralizada

Con las herramientas pagas cuentas con una interfaz de administración centralizada en la que podés:

  • Definir grupos de encriptación con clave privada.
  • Usar containers separados de llave para uso específico.
  • Sincronizar en grupos AD.
  • Establecer la fecha de vencimiento de una clave específica para mayor control.
  • Hacer uso de mecanismos de recuperación de claves.

Cumplimiento de normativas

Hay industrias, como la bancaria, que tienen unos estándares de seguridad en el manejo de la información que deben cumplirse para poder operar. Es fundamental que las empresas cuenten con sistemas de encriptación robustos que garanticen el cifrado de la información según a los estándares nacionales e internacionales.

Además de estas ventajas, la inversión para adquirir una solución de encriptación paga es mínima, si se compara con los problemas que puede evitar: dependiendo del tamaño de la organización y su industria, los costos pueden ir desde los 232 hasta los 331 dólares por año, según los resultados de un estudio realizado por el Ponemon Institute. Aunado a esto, siempre podrás acudir al desarrollador de la herramienta ante cualquier inconveniente.

¿Qué buscar en una solución de encriptación?

Ahora que ya sabés porque adquirir una solución de encriptación paga es la mejor opción para preservar la información de tu empresa, es momento de buscar el software que mejor se adapte a las necesidades de tu empresa. Te damos algunos puntos clave que debes tomar en cuenta a la hora de seleccionar un sistema de encriptación que cumpla su trabajo sin afectar la productividad del usuario final:

Flexibilidad

Si tenés una empresa en pleno proceso de crecimiento, lo más probable es que la cantidad de información sensible que debas almacenar y la cantidad de formatos en los que manejes tus archivos incremente, por lo que al momento de buscar una solución de encriptación, debes buscar una que tenga capacidad para generar y almacenar múltiples claves.

Versatilidad

En el entorno empresarial de hoy, pensar en cifrar archivos solamente en los equipos que los empleados usan durante su jornada en las oficinas no es lo más conveniente. Hoy en día el trabajo se traslada más allá de las paredes de la sede de la empresa, por lo que adquirir una solución que se puede trasladar a archivos alojados en la nube, y estaciones de trabajo como dispositivos USB, discos extraíbles y notebooks, es la mejor opción para proteger la información a donde quiera que vayan los colaboradores.

Administración centralizada

Una solución adecuada para empresas debe dar la posibilidad de administrar de forma centralizada las políticas y claves de protección de datos. Este control va más allá de la administración y distribución de claves: también es importante contar con la capacidad de saber qué usuario ha hecho una determinada acción dentro de su sistema, y aplicar restricciones de accesos de acuerdo a los roles desempeñados.

Reporting

El control de la solución de encriptación ideal va más allá de la administración centralizada, debe proporcionar una visión del estado del cifrado actual, de todos los usuarios y dispositivos que hacen vida en la organización, desde la consola del administrador. Esto permitirá optimizar la protección de los datos conforme tu empresa vaya creciendo y evolucionando.

Ya que conocés de qué trata la encriptación y su importancia para el funcionamiento adecuado y seguro de una empresa, te invitamos a comunicarte con nosotros: tenemos la solución de encriptación que se adapta a tus necesidades.

Todo lo que tenés que saber sobre Ransomware

El Ransomware ha afectado a miles de empresas y particulares desde hace más de 20 años; sin embargo, su amenaza no ha hecho sino crecer y hacerse más complicada de contener por la sofisticación que este tipo de ataques ha desarrollado a lo largo de su historia.

Para que tu empresa se pueda defender, la información es vital. En esta nota cubriremos todos los aspectos del Ransomware: desde su historia, hasta el protocolo a seguir ante ataques y el futuro de esta amenaza, para que tu negocio no sea víctima del crimen cibernético más prominente en la actualidad.

¿Qué es el Ransomware?

El Ransomware, palabra que surgió de la unión de “Ransom” (rescate) y “Ware” (software) es un tipo de programa malicioso que encripta datos y restringe el acceso a programas de la computadora que infecta, y pide un rescate a los afectados para recuperar el acceso. El rescate suele ser una suma de dinero (que normalmente parte desde los 500 USD) que los cibercriminales piden que se envíe por medios como la criptomoneda Bitcoin, a cambio de una clave de decriptación para poder recuperar el acceso completo a la máquina. Normalmente el tiempo para pagar el rescate es limitado: si la víctima no paga a tiempo, se lo amenaza con aumentar la suma de rescate o con la destrucción de sus archivos.

A pesar de pedir un rescate relativamente bajo por víctima, los cibercriminales han logrado hacer ataques de mayor alcance, llegando a infectar cientos de miles de máquinas de una sola vez, incrementando sus posibilidades de recaudación, aunque no todas las víctimas paguen el rescate: según el portal Digital Guardian, sólo la variante CryptoLocker ha generado 320 millones de dólares en ganancias por rescates.

Desde el primer ataque registrado, los cibercriminales han ido desarrollando programas cada vez más sofisticados: difíciles de detectar o crackear, y cada vez más fáciles de lanzar. Estas son algunas de las variantes de Ransomware famosas por los estragos que han causado en los últimos años:

Locky

Nota de rescate generada en ataques con Locky. Fuente: Heimdal Security

Lanzado en 2016, este Ransomware normalmente es enviado con un correo que se hace pasar como una factura en un archivo adjunto de Microsoft Word, usualmente llamado “_Locky_recover_instructions.txt”. Para infectar un equipo, Locky usa una macro maliciosa y se vale de una técnica de ingeniería social al insertar la frase: “Habilitar macro para visualizar la factura”: si el usuario ejecuta la macro, el equipo es infectado.

Locky encripta archivos como videos, imágenes, documentos de Office y código fuente, y cambia sus extensiones por .locky. Además de archivos guardados, también restringe el acceso a copias automáticas hechas por el sistema operativo, lo que hace muy difícil recuperar la información secuestrada sino se cuenta con un buen backup.

Desde sus inicios, Locky ha sido actualizado para evadir el origen del correo en el que se envía el archivo malicioso y puede encriptar archivos con extensiones como: .zepto, .odin, .shit, .thor, .aesir, and .zzzzz. La última versión, lanzada en diciembre 2016, usa la extensión .odin.

Actualmente las infecciones por Locky han disminuido porque los cibercriminales comenzaron a dejarlo de lado desde junio de 2016.

Cerber

Nota de rescate de Cerber. Fuente: Bleeping Computer

Este Ransomware, al igual que Locky, se propaga a través de correo spam con un archivo adjunto de extensión .docx en el que se manipula al usuario para habilitar las macros maliciosas que infectan el equipo. Uno de los aspectos más notables de Cerber es que no afecta equipos localizados en estos países: Azerbaiyán, Armenia, Georgia, Bielorrusia, Kyrgyzstan, Kazajistán, Moldavia, Turkmenistán, Tajikistán, Rusia, Uzbekistán y Ucrania.

Cuando el equipo es infectado, Cerber deja notas de rescate en las carpetas de los archivos encriptados, una de estas notas puede ser un mensaje de audio. En estas notas se le deja a  la víctima instrucciones para descargar el navegador anónimo Tor y un enlace a una página alojada en la web profunda para recibir más instrucciones sobre el pago.

Por lo que se conoce, Cerber puede ser una de las primeras cepas de Ransomware ofrecida como servicio, esta modalidad se denomina Ransomware as a Service (RaaS): los desarrolladores han puesto a disposición de los demás usuarios el acceso a Cerber mediante una suscripción, y estos se quedan con una parte de lo recaudado por los ataques.

TeslaCrypt

Nota de rescate de TeslaCrypt. Fuente: Los Virus

Actualmente en desuso, TeslaCrypt inició sus ataques en febrero de 2015, encriptando data de determinados videojuegos como mapas, perfiles de personajes, partidas guardadas, etc.; no obstante, en versiones posteriores comenzó a afectar otro tipo de archivos. Infectaba los equipos usando exploits como Angler, Sweet Orange y Nuclear, que afectaban Adobe Flash: de acuerdo al blog portal segu-info, un exploit es un programa o código que se aprovecha de alguna vulnerabilidad encontrada en un programa para entrar en un sistema y realizar ataques. Siguiendo la definición, TeslaCrypt se aprovechaba de está vulnerabilidad para ingresar en un equipo e infectarlo.

La infección se producía cuando la víctima visitaba un sitio web comprometido y el exploit descargaba el Ransomware en la carpeta de archivos temporales del equipo, aprovechando vulnerabilidades del plugin desactualizado de Adobe Flash del navegador usado. Una vez instalado, TeslaCrypt comienza a ejecutar varias operaciones en segundo plano para iniciar la encriptación en el próximo reinicio del equipo, Cuando se reinicia el sistema, el Ransomware encripta los archivos y deja notas de rescate en las carpetas que contienen estos archivos.

A mediados de 2016, sus desarrolladores lo dieron de baja y publicaron la clave maestra para desencriptar los archivos infectados en el sitio web que usaban para los pagos.

El sitio de pagos de TeslaCrypt muestra la clave maestra para el desbloqueo de archivos. Fuente: Bleeping Computer

CTB-Locker

Nota de rescate de CTB-Locker. Fuente: GFOS Seguridad Informática

Operando desde 2015, CTB-Locker se propaga principalmente por 2 vías: a través de correo electrónico adjuntos como faxes, facturas vencidas, y avisos de suspensión de cuenta, o con anuncios de antivirus falsos. Una vez que el equipo está infectado y los archivos cifrados, CTB-Locker despliega en la pantalla la correspondiente nota de rescate y una demostración de cómo la víctima podrá recuperar sus datos si accede a pagar el rescate.

Las siglas en inglés CTB revelan mucho de la naturaleza de este Ransomware, aquí te las explicamos:

  • C (Curva): se refiere al uso del cifrado de curva elíptica para cifrar los archivos de los afectados, mucho más complicado de desencriptar.

 

  • T (Tor): se refiere al servidor malicioso C2, alojado en el dominio .onion del navegador Tor, muy difícil de detectar y de dar de baja.

 

 

  • B (Bitcoin): evidentemente, se refiere a la criptomoneda que los cibercriminales suelen usar para cobrar los rescates.

 

CTB-Locker es otra de las variantes de Ransomware ofrecida por los desarrolladores bajo la modalidad RaaS, en este caso, el monto pedido en los rescates es escogido por el usuario del Ransomware.

Cryptolocker

Nota de Rescate usada por CryptoLocker. Fuente: Genbeta

Esta variante comenzó a extenderse a finales de 2013 y finalizó su actividad en mayo de 2014. Su creador es el ruso Evgeniy Bogachev, el hacker más buscado del mundo en la actualidad.

Cryptolocker usaba un cifrado asimétrico RSA, lo que quiere decir que tiene 2 claves para su desencriptación, una pública y otra privada, en este caso la privada se alojaba en los servidores del Ransomware. Al igual que otras variantes, CryptoLocker infectaba equipos a través de correo malicioso, y amenazaba a las víctimas con destruir la clave privada si no pagaban el rescate, lo que dejaría los archivos encriptados permanentemente.

La particularidad de Cryptolocker radicaba en la longitud de la clave pública que usaba como parte del cifrado, los expertos que analizaron el Ransomware en su momento determinaron que era tan larga que era imposible usar un ataque de fuerza bruta, esto es, probar con varias claves hasta dar con la correcta.

Después de recaudar cientos de millones de dólares en rescates, el Ransomware fue dado de baja el 2 de junio de 2014 durante la Operación Tovar: una iniciativa que unió al FBI, la Interpol, varios proveedores de ciberseguridad y universidades que buscaba acabar con Gameover ZeuS, el botnet desde que el se distribuía Cryptolocker.

WannaCry

Nota de rescate de WannaCry. Fuente: Viral4Real

Los ataques con la variante WannaCry (también conocida como Wana Decrypt0r 2.0, Wanna Decryptor o WannaCrypt) comenzaron el 12 de mayo de 2017 y se ha convertido en el ataque de Ransomware más amplio y nocivo que se ha realizado: hasta el momento, ha infectado a más de 230.000 equipos en 150 países, teniendo como víctimas más prominentes empresas como Telefónica, la ferroviaria alemana Deutsche Bahn, FedEx, la Red de Servicios de Salud de Reino Unido y la aerolínea LATAM.

Historia del Ransomware

Aunque los ataques de Ransomware comenzaron a hacerse notorios a partir de 2005, su historia se remonta a mucho antes. Acá hacemos una cronología en la que abarcamos el primer ataque de Ransomware conocido, y los ataques que le han dado a este Cibercrimen la notoriedad que actualmente tiene.

El primer ataque de Ransomware

El Ransomware comenzó sus andadas hace casi 30 años, concretamente en 1989, y la industria de la salud fue su primera víctima. De acuerdo a Becker’s Hospital Review, el ataque llegó a las computadoras de 20.000 investigadores del VIH ubicados en 90 países porque el Dr. Joseph Popp, también investigador de esta enfermedad, infectó con un Ransomware unos diskettes que contenían material de investigación. Los equipos se infectaron después de reiniciarse 90 veces y al aparecer una nota en las pantallas en la que pedía hasta 378 dólares por “alquiler de software”. Desde entonces, la industria de la salud ha sido una de las víctimas predilectas de los cibercriminales para ejecutar ataques con Ransomware.

Si bien los expertos declaran que el virus del Dr. Popp tenía muchos defectos, sentó las bases de lo que terminaría siendo un negocio muy lucrativo para el cibercrimen.

Los ataques de Ransomware más famosos

A pesar de ser un problema constante, no todos los ataques de Ransomware llegan a los titulares. Solo los más grandes y los que más estragos causan acaparan la atención del mundo, aquí les presentamos un recuento de los ataques de Ransomware que más resonancia han tenido en la opinión pública hasta la fecha:

Hollywood Presbyterian Medical Center (HPMC)

Fuente: Healthcare IT News

Este hospital de Los Ángeles fue víctima de una ataque en 2016, los cibercriminales bloquearon el acceso a la red del hospital, los correos electrónicos y las historias clínicas de los pacientes por varios días. Finalmente, el hospital optó por pagar el rescate exigido de 17.000 USD (40 Bitcoins) para poder recuperar acceso a sus datos. Unos días después, el Departamento de Salud del Condado de Los Ángeles reportó que fue infectado con un virus similar, pero fue capaz de aislar los equipos infectados a tiempo.

Kentucky Methodist Hospital, Chino Valley Medical Center y Desert Valley Hospital

En marzo el 18 de marzo de 2016, estos 3 centros descubrieron que sus sistemas habían sido infectados con la variante Locky. A pesar de que pudieron recuperar todos sus datos sin pagar el rescate 6 días después, sufrieron disrupciones no solo los hospitales directamente infectados, sino otros hospitales con los que compartían archivos.

WannaCry

Como mencionamos arriba, el ataque masivo perpetrado con el ransomware WannaCry es uno de los más letales hasta la fecha. WannaCry se expandió usando Eternal Blue, un exploit que se cree ha sido desarrollado por la Agencia Nacional de Seguridad de Estados Unidos (NSA) y fue filtrado por el grupo de hackers “Shadow Brokers”, en abril de 2017. Este exploit se aprovecha de una vulnerabilidad encontrada en la seguridad de las versiones de Windows actualmente mantenidas por Microsoft, que permitía a los atacantes ejecutar programas en remoto. La compañía creó un parche para solventar el problema en marzo de 2017, pero no fue instalado en muchos equipos antes de que el ataque de WannaCry ocurriese.

Que las grandes compañías afectadas no hayan instalado el parche se atribuye a lo engorroso que resulta actualizar el sistema operativo de todos los equipos que operan en una compañía como Telefónica, por ejemplo, que cuenta con poco más de 120 mil empleados: “Con 120.000 usuarios podría realizarse en un plazo de 3 a 4 horas. Pero como algunas estaciones de trabajo pueden estar apagadas al intentar la actualización, que además suele demandar un reinicio de la máquina, la instalación exitosa del parche a 120.000 usuarios en un escenario productivo normal, puede llegar a demorar días o incluso semanas.” explicó Pablo Verdina, director de tecnología de NextVision, en declaraciones al diario La Nación.

La infección pudo ser contenida por un golpe de suerte de Marcus Hutchins, autor del blog MalwareTech, quien descubrió cómo mitigar la propagación del Ransomware al registrar un dominio sin registrar escondido dentro del código, al hacer esto, se dió cuenta de que WannaCry solo encriptaba los archivos si las víctimas se conectaban a este dominio: al tomar el control del dominio detuvo el daño. Gracias a Hutchins, el mundo pudo respirar y comenzar a pensar en medidas de seguridad para contrarrestar la expansión del Ransomware.

Los responsables del ya denominado “Cibercrimen del siglo” aún se desconocen. En un principio se sospechó del gobierno de Corea del Norte; sin embargo, la firma de seguridad de datos Flashpoint analizó la nota de rescate generada por el Ransomware y declararon estar casi seguros de que al menos uno de los perpetradores es chino o al menos maneja el idioma con fluidez, ya que parece ser que la nota escrita en chino sirvió como base para traducir las notas en otros idiomas.

Petya

Nota de rescate de Petya. Fuente: The Verge

El 28 de junio de 2017 grandes compañías en países como Rusia, Ucrania, España, Dinamarca, Reino Unido y Estados Unidos fueron afectadas por el Ransomware de la variante Petya, también llamado NotPetya, que usó la misma vulnerabilidad en Windows de la que se aprovechó WannaCry en su momento. A pesar de tener similitudes, Petya es un virus más sofisticado que WannaCry porque no tiene una vulnerabilidad tan evidente como la que usó Marcus Hutchins para detener la infección causada por este último.

Los estragos que causó Petya saltan a la vista: Con más de 20.000 equipos infectados entre las empresas afectadas, todas las líneas de negocio en 130 países de la gigante de transporte y energía danesa Moller-Maersk se vieron comprometidas, las operaciones de decenas de bancos ucranianos se vieron afectadas, e inclusive el tablero de entradas y salidas de vuelos del aeropuerto más grande de Kiev sufrió fallas.

Actualmente el método de pago de Petya se encuentra deshabilitado; en este sentido, el 6 de julio de 2017, el creador de este Ransomware se pronunció a través de una página de la deep web solicitando 250.000 dólares (100 Bitcoins) a cambio de la clave universal para desbloquear los equipos infectados. Aunque en un principio se pensó que el ataque de Petya tenía la finalidad de lucro de un Ransomware común, expertos han coincidido en que podría tratarse de un arma de ciberguerra, ya que los atacantes hicieron especial énfasis en hacer daño a empresas ucranianas y, más allá de secuestrar archivos, afecta el sistema de arranque y daña el disco rígido de las máquinas, lo que le da más atributos de gusano destructivo que de Ransomware.

¿Cómo se produce un ataque de Ransomware?

Infección

Ahora, veamos cómo es posible que un Ransomware infecte un equipo. Los virus de Ransomware normalmente se propagan mediante estos canales:

    • Email (Phishing): es quizás la vía por la que más víctimas caen. El Phishing es una técnica de ingeniería social que busca engañar al usuario haciéndose pasar por una comunicación legítima. Normalmente engañan a las personas para que ingresen a sitios web comprometidos o descarguen archivos que contienen el código malicioso. De acuerdo a un reporte de PhishMe para el primer trimestre de 2016, 93% de los correos de phishing contenían Ransomware.

 

  • Anuncios maliciosos: el Ransomware infecta el equipo una vez que el usuario hace click a uno de estos anuncios.
  • Dispositivos USB
  • Programas desactualizados, mediante Exploit Kits.

 

Post-Infección

Una vez que el virus está en el equipo, su actuación específica depende mucho de la variante, pero generalmente escanea los archivos y los bloquea cambiándoles la extensión. Luego genera la nota de rescate, ya sea cambiando el fondo de pantalla o colocando notas en las carpetas de los archivos secuestrados.

¿Cómo actuar ante un ataque de Ransomware?

Si sos víctima de Ransomware, esto es lo que tenés que hacer para combatir la infección y salvar tus datos:

  1. Aislá el equipo: esto evita que afecte a otros equipos conectados a la red.
  2. Analizá la nota de rescate: cada variante de Ransomware tiene una impronta que lo distingue de las demás. Como mostramos en las imágenes de las notas de rescate de las variantes que analizamos arriba, las notas no son iguales. Analizar la nota te puede dar una idea de a qué variedad de Ransomware te estás enfrentando. Otra forma de saber cuál variante de Ransomware infectó tu equipo es ver bajo cuál extensión fueron bloqueados tus archivos.

Si no podés analizar la nota, enviala a tu proveedor de ciberseguridad.

 

  • Desinfectá la máquina: Los tipos de Ransomware más sencillos pueden ser eliminados corriendo un antivirus. Si no podés ingresar al sistema operativo o ejecutar programas, probá restaurando el sistema desde el arranque, si aún así no podés entrar a Windows, podés correr un antivirus desde un disco ejecutable o un USB.

 

Si, a pesar de estos intentos no logras ingresar a tu sistema, tendrás que reinstalar el sistema operativo.

  1.      Restaurá tus archivos: con la ayuda de tu backup, recuperá tus archivos. Se recomienda contar con un respaldo offline y actualizarlo constantemente, si solo se cuenta con un backup online, se corre el riesgo de que el Ransomware lo infecte.
  2. Pero… ¿Y si no tenés backup? En este caso, se tiene que evaluar si se puede continuar la operación del negocio sin esos archivos, o pagar el rescate. Aunque pagar el rescate nunca es recomendable, ya que no hay garantía de que podrás recuperar tus archivos; por ejemplo, durante la época de ataques con Cryptolocker, muchos afectados declararon nunca haber recuperado sus archivos a pesar de haber pagado el rescate.

¿Cómo protegerse de ataques de Ransomware?

Si bien no existe forma de blindarse totalmente, la mejor defensa contra el Ransomware es la prevención. Es por eso que te damos una guía para que evites que tu empresa sea una víctima más:

    • Hacer un backup regular de los datos de las máquinas y el servidor.
    • Tener un backup offline.
    • Mantener actualizados los parches de los programas y sistemas operativos para evitar ser víctima de vulnerabilidades.
    • Mantener el antivirus actualizado.
    • Usar un bloqueador de anuncios.
    • Usar un programa anti-spam para proteger los correos.
    • Aplicar directivas de restricción de software para limitar la ejecución y descarga de archivos.

 

  • Educación y concientización: es fundamental que todos los miembros de tu organización conozcan qué es el Ransomware y cómo actúa para que sepan cómo actuar mientras trabajan y navegan por Internet. En líneas generales, estos son algunos consejos que pueden seguir:
  • Leer los mensajes antes de aceptar la descarga de cualquier archivo.

 

    • Desconfiar de anuncios online de antivirus que dicen detectar infecciones en el equipo.
    • No ingresar a URLs que vengan dentro de correos que no son esperados o son sospechosos.

El futuro del Ransomware

El Ransomware es un problema que está lejos de desaparecer, ya que a pesar de que muchos logran recuperar sus archivos sin pagar rescate, hay otros tantos que sí lo hacen, lo que ha provocado que los ataques de Ransomware se hayan convertido en un negocio muy lucrativo para los cibercriminales: solo Cryptolocker acumuló más de 300 millones de dólares y, como mencionamos arriba, muchos de los que pagaron nunca recuperaron sus archivos. Actualmente, los atacantes apuntan cada vez más a grandes corporaciones y de forma masiva, por lo que se espera que veamos variantes de Ransomware más letales y más difíciles de tratar en el futuro.

Además, los cibercriminales están expandiendo su “modelo de negocio” con el ofrecimiento de Ransomware como un servicio, poniendo a disposición de cualquier persona (sin necesidad de tener grandes conocimientos técnicos) los códigos de Ransomware para lanzar ataques a cambio de un porcentaje de los rescates. CTB-Server, Cerber y Petya son pioneros en esta modalidad de distribución que comienza a hacerse popular.

En definitiva, podemos afirmar que tendremos más noticias de Ransomware en el futuro cercano. Mientras tanto, queda como tarea para las empresas reforzar su protocolo de ciberseguridad para que no sean sorprendidas por un ataque que, si bien no es posible evitar completamente, pueden mitigarse sus efectos para tener una recuperación rápida y continuar sus operaciones como si nada hubiera pasado.

¿Querés conocer más detalles? Podés mirar nuestros webinars: uno dedicado a profundizar más en el Ransomware y otro enfocado en las enseñanzas que nos dejó el ataque de WannaCry.

NV Cybersecurity Health Check

Conociendo los riesgos para responder a ciberataques

¿ESTAMOS PREPARADOS PARA UN POSIBLE ATAQUE?

Según Gartner, el 84% de las organizaciones no se encuentran preparadas para cumplir con al menos alguno de los procesos  de ciberseguridad:

Ya ha sido demostrado que los ciberataques pueden afectar a empresas de cualquier tamaño, y es necesario contar con un plan integral de remediación. El 97 % de las brechas de seguridad pueden evitarse si las empresas conocen y toman acciones sobre los riesgos a las que están expuestas.

CON EL CYBERSECURITY HEALTH CHECK TU EMPRESA PODRÁ:

  • Evaluar la situación actual en materia de seguridad, a través de mejores prácticas y lineamientos internacionales.
  • Obtener un informe detallado con los principales hallazgos y acciones de mejora.
  • Alcanzar un nivel de seguridad acorde a las nuevas amenazas y riesgos asociados.
  • Contar con un plan de remediación y un modelo resiliente que permita mejorar de forma continua tanto la gestión como el ajuste de las inversiones en seguridad IT.
  • Capacitarse en tendencias de ciberseguridad a través de la transferencia de conocimientos durante todo el servicio brindado.

QUÉ RECOMENDACIONES PODREMOS HACERTE:

  • Cómo mejorar la plataforma para asegurarla.
  • Oportunidades de mejoras de diseño de la red para minimizar la distribución de los ataques a toda la empresa.
  • Una estrategia de recuperación de la información, para poder recuperarse de un ataque de acuerdo a los tiempos necesarios por el negocio.
  • Evitar que usuarios desautorizados accedan a datos clasificados.
  • Acciones para evitar que un intruso aproveche privilegios mal diseñados para avanzar dentro de la red.
  • Hacer un uso de la tecnología de seguridad que sea aprovechada al máximo.
  • Realizar recomendaciones con respecto a las mejores prácticas de la industria.

Para más información, dejanos tus datos y nos comunicaremos a la brevedad

Contactanos

Fortinet, líder del Cuadrante Mágico de Gartner

Fortinet®, uno de los líderes global en soluciones de seguridad y partner de NextVision ha sido reconocido por octavo año consecutivo  como Líder del Cuadrante Mágico de Gartner por su Administración Unificada contra Amenazas (UTM, por sus siglas en inglés).

Cuadro GartnerTambién, lidera el Cuadrante Mágico en el segmento Enterprise Network Firewalls.

Gartner reconoció la visión completa del Security Fabric de Fortinet. Las soluciones de Fortinet ofrecen una seguridad total y servicios de interconexión hechos a la medida que cubren el desempeño y los requerimientos de valor de las empresas.

Felicitamos a nuestro partner y estamos orgullosos de brindar servicio a nuestro clientes con las mejores tecnologías del mercado.

 

 

Alerta | Ransomware Petya

Durante las últimas horas se han registrado ataques globales a través de PetrWrap, una familia de malware que explota el ransomware original de Petya encapsulado.

Hay alerta por posibles nuevos ataques.

RECOMENDACIÓN INMEDIATA: Esta variante se está propagando a través de vulnerabilidades de Microsoft detectadas en marzo y abril de 2017. Desde NextVision aconsejamos aplicar los parches correspondientes a MS17-010 y las siguientes vulnerabilidades: CVE-2017-0199 y CVE-2017-0147 lo antes posible.

Nueva Firma Symantec
Symantec ya tiene disponible una firma de listas de virus que incluye la detección del ransomware Petya también conocido como Trojan.Cryptolocker.AJ [Symantec]

– Descripción de la amenaza:
https://www.symantec.com/security_response/writeup.jsp?docid=2016-032913-4222-99

– Para bajar el ultimo Rapid Release rev. 009 acceder al siguiente link y bajar la versión según el SEPM que corresponda:
https://www.symantec.com/security_response/definitions/download/detail.jsp?gid=rr

– Instrucciones para aplicar el Rapid Release en forma manual (.JDB) en un SEPM
https://support.symantec.com/es_ES/article.TECH102607.html

Adicionalmente se sugiere ajustar las políticas de prevención según su respectiva tecnología, basándose en la siguiente información:

Type Ransomware – Petya Ransomware Fast Spreading Attack:

File Names
dllhost.dat
petwrap.exe
Order-20062017.doc
myguy.xls
BCA9D6.exe

Hashes
SHA256
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
MD5
415FE69BF32634CA98FA07633F4118E1
71b6a493388e7d0b40c83ce903bc6b04
SHA1
34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
a809a63bc5e31670ff117d838522dec433f74bee
bec678164cedea578a7aff4589018fa41551c27f
d5bf3f100e7dbcc434d7c58ebf64052329a60fc2
aba7aa41057c8a6b184ba5776c20f7e8fc97c657
0ff07caedad54c9b65e5873ac2d81b3126754aac
51eafbb626103765d3aedfd098b94d0e77de1196
078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
7ca37b86f4acc702f108449c391dd2485b5ca18c
2bc182f04b935c7e358ed9c9e6df09ae6af47168
1b83c00143a1bb2bf16b46c01f36d53fb66f82b5
82920a2ad0138a2a8efc744ae5849c6dde6b435d

Malicious IP’s
185.165.29.78
84.200.16.242
111.90.139.247
95.141.115.108

Es FUNDAMENTAL trabajar en una estrategia de seguridad para prevenir y recuperarse ante este tipo de malware. Pueden ver nuestro documento con buenas prácticas para combatir un ataque Ransomware.

Reviví el Webinar sobre WannaCry

El miércoles 24 de mayo realizamos un webinar sobre WannaCry para unas 80 personas que siguieron en vivo el seminario gratuito organizado por NextVision.

La actividad tuvo como objetivo entender qué pasó y conocer los aprendizajes que dejó este ataque masivo a nivel mundial.

Reviví el webinar:

NextVision en TN explicando el ataque mundial de WannaCry

Estuvimos en el noticiero de Nelson Castro el viernes por la tarde para informar y explicar el ataque masivo que ocurrió a fines de esta semana. Pablo Verdina, gerente de tecnología de NextVision, describió el ataque de Ransomware con la variante WannaCry y cuáles fueron los causas. Además, enfatizó la necesidad de la Prevención en las empresas para evitar este tipo de ataques.