ALERTA: Malware por Email relacionado a asuntos jurídicos.

Hace un par de días recibimos la alerta de un cliente que recibió el siguiente email:

De: RAMA JUDICIAL <notificacionesycitaciones.@cendoj.ramajudicial.gov.co>
Enviado el: Friday, November 22, 2019 2:32 PM
Para: Undisclosed-Recipients:
Asunto: Hemos reprogramado la audiencia de imputacion de cargos para el dia viernes 29 de noviembre en el proceso adelantado en su contra.
Importancia: Alta
TELEGRAMA RGO   3100901278
Hemos reprogramado la audiencia de imputacion de cargos en el proceso adelantado en su contra ya que no contabamos con su presencia o la  de su defensor , esta se llevara a cabo nuevamente en el complejo judicial de paloquemao el dia viernes 29 de noviembre del presente año le agradecemos puntual asitencia .
IMPORTANTE:  Si usted por algun motivo no esta enterado(a) de este proceso en su contra  lo hemos adjuntado.
Todo documento adjunto contiene una contraseña es : 2019

MALWARE EMAIL BLOG

  • Este email viene con un archivo adjunto en formato de texto enriquecido (*.rtf).
  • Dentro del archivo adjunto no hay ningún escrito, sólo un enlace a un URL traducido en el sitio:  https://acortaurl.com
  • El URL direcciona a http://download*.mediafire.com
  • El archivo descargado es un archivo cifrado *.zip protegido con contraseña.
  • Al descomprimir el archivo hay un ejecutable *.exe que contiene un virus.

ANÁLISIS:

Este email requiere de un alto grado de colaboración del usuario receptor del correo para lograr su objetivo, lo cual logra al enviar una notificación en español perfectamente redactada y hasta cierto punto creíble, porque incluye una notificación judicial con fecha de expiración (29 de Noviembre).

El ataque de malware está compuesto de elementos que por sí solos, no parecieran constituir un riesgo en sí mismos, pero que combinados de la forma en que se hizo, con la total complicidad del receptor del correo, pudieran lograr su cometido:

  • Un email que en su cuerpo no contiene ninguna URL o referencia directa que pueda ser declarado como sospechoso en un análisis rápido.
  • Un adjunto por email en formato texto, normalmente permitido en las organizaciones.
  • Un enlace a un sitio “seguro” https, con un enlace traducido del cual un usuario promedio no sospecharía.
  • Un redireccionamiento para un sitio de descarga (se espera el archivo con la notificación judicial) de un archivo protegido con contraseña.
  • Un archivo comprimido con contraseña que no va a ser analizado por el antivirus, por poseer clave.

PREVENCIÓN:

  • Si la dirección de correo remitente no es de su jurisdicción o usted no mantiene relaciones con dicho país, debe sospechar que el email está equivocado.
  • Si el email no específica directamente su dirección de correo, no es un email válido como notificación judicial. Haga caso omiso y elimine el email.
  • Si el email no incluye su nombre completo en el cuerpo del email, tampoco es válido como notificación judicial.  Puede descartar el correo.
  • En la notificación se indica la fecha en que debe asistir, pero no se incluye la hora.  Otro elemento de sospecha.
  • Enviar una contraseña en un correo electrónico general que le remite a un correo adjunto que usará dicha contraseña no tiene sentido lógico, más que evadir un antimalware para correo.  Los archivos protegidos y las claves de descifrado siempre deben viajar por diferentes medios.
  • El email carece de una firma con datos que permitan validar la procedencia legítima del correo y su notificación asociada.

PROTECCIÓN:

  • Configure su solución de seguridad para que no permita la ejecución de traductores de enlaces o URL recortados.
  • Configure su solución de seguridad para que prohíba o alerte del uso de sitios de descargas de archivos genéricos.
  • No permita la descarga directa de archivos que no puedan ser analizados por su antivirus.  Envíelos a cuarentena y solicite a su soporte técnico que evalúe el archivo.
  • Configure su Antivirus para que no permita la descarga o ejecución de archivos ejecutables.
  • Su computador debe ser utilizado con permisos de usuario limitado.  Los permisos de administrador son sólo para acciones puntuales, no deben ser de uso diario.

 

Estadísticas de Ransomware en 2do y 3er Trimestre de 2019.

Fuente: EMSISOFT BLOG

Los ataques de ransomware continuaron volviéndose más enfocados y sofisticados en el segundo y tercer trimestre de 2019. Los creadores de estas amenazas apuntan  a objetivos más grandes y más rentables, como empresas, escuelas y organizaciones gubernamentales.

Las cepas de ransomware como Ryuk desempeñaron un papel predominante, paralizando a docenas de entidades públicas en todo Estados Unidos, mientras que el ransomware como servicio como Sodinokibi y GandCrab permitió a los distribuidores de ransomware generar millones, quizás incluso miles de millones de dólares en pagos de rescate.

La estadísticas presentadas se basan en datos de más de 230,000 muestras envíadas a Emsisoft e ID Ransomware entre el 1 de abril y el 30 de septiembre de 2019. 

WORDPRESS ESTADISTICAS DE RANSOMWARE

  1. STOP (djvu): 56.00%
  2. Dharma (.cezar family): 12.00%
  3. Phobos: 8.90%
  4. GlobeImposter 2.0: 6.50%
  5. REvil / Sodinokibi: 4.50%
  6. GandCrab v4.0 / v5.0: 3.60%
  7. Magniber: 3.30%
  8. Scarab: 2.00%
  9. Rapid: 1.80%
  10. Troldesh / Shade: 1.40%

 

STOP – DJVU:  Es la cepa de ransomware más comúnmente reportada durante el período del 1 de abril al 30 de septiembre, que representó el 56 por ciento de todas las muestras recibidas. Hubo más de 76,000 envíos de STOP / DJVU a ID Ransomware, lo que probablemente representa solo una fracción del número total de víctimas. Visto por primera vez a finales de 2018, STOP / DJVU ha crecido para incluir docenas de variantes. STOP se dirige a usuarios domésticos y a menudo se distribuye a través de sitios Torrents. Por lo general, está oculto en Licencias crackeadas o en KeyGen,  que descargan los usuarios para activar software de pago de forma gratuita. Una vez ejecutado, STOP encripta archivos con encriptación Salsa20 e instruye a las víctimas a pagar un rescate de $ 490 en Bitcoin a cambio del software y la clave de descifrado privada. Después de 72 horas, la demanda de rescate se duplica a $ 980. Las herramientas de descifrado gratuitas están disponibles para un número limitado de variantes, pero las versiones más recientes no se pueden descifrar.

DHARMA – .cezar: El segundo ransomware más enviado a ID Ransomware durante Q2 y Q3 2019 fue una variante de Dharma que agrega la extensión .cezar a los archivos cifrados.  Dharma ha existido de una forma u otra desde 2016, pero ha visto un aumento en la actividad en los últimos meses. Esto puede deberse a que los creadores del malware hacen un uso más efectivo de múltiples vectores de ataque, como archivos adjuntos de correo electrónico malicioso, instaladores infectados y credenciales de inicio de sesión RDP débiles o filtradas. A diferencia de muchos otros tipos de ransomware, Dharma (familia .cezar) no especifica una cantidad de rescate; en cambio, instruye a las víctimas a contactar a los distribuidores del ransomware por correo electrónico para negociar el rescate. El monto del rescate tiende a ser mayor para las empresas más grandes. Dharma se dirige principalmente a las empresas. Ha afectado a varias organizaciones importantes, incluido el Hospital Altus Baytown, Texas. El ataque cifró registros y archivos del hospital que contenían información importante de los pacientes, como nombres, números de seguro social, información de tarjetas de crédito y más. El hospital se negó a pagar el rescate y, en cambio, contrató a un consultor de ciberseguridad para restaurar los sistemas del hospital a partir de las copias de seguridad.

PHOBOS: Llamado así por el dios griego del miedo, Phobos fue responsable del 8.9 por ciento de las muestras enviadas a ID Ransomware entre el 1 de abril y el 30 de septiembre. Phobos se parece mucho a la familia de ransomware Dharma y fue descubierto por primera vez a principios de 2019. Phobos se propaga principalmente explotando puertos RDP abiertos o mal asegurados. Las listas de credenciales de RDP robadas se venden con frecuencia en el mercado clandestino y pueden ser extremadamente valiosas para los cibercriminales. Al igual que con Dharma, Phobos no establece una cantidad de rescate y, en su lugar, indica a las víctimas que envíen un correo electrónico a los atacantes para discutir el precio del descifrado. Hubo casos en que no se entregó ninguna herramienta de descifrado después del pago. Phobos se dirige principalmente a empresas y entidades públicas. En julio de 2019, el Distrito Escolar del Área de Wyoming perdió el acceso a los datos después de ser golpeado con Phobos, que ingresó al sistema a través de un ataque de fuerza bruta a través de un puerto directamente publicado. 

Para ampliar la información, puede consultar el siguiente enlace:

https://blog.emsisoft.com/en/34335/ransomware-statistics-for-2019-q2-to-q3-report/ 

Las pymes siguen siendo un blanco atractivo para los cyber-criminales.

Elaborado por José Luis Gomes – Tecnología Altermedios MSS INC.

En los últimos meses hemos recibido llamadas de empresas que, a pesar de tener soluciones de seguridad de distintos fabricantes muy reconocidos, han presentado problemas como: Bloqueo de Direcciones IP Públicas, Problemas de conectividad por saturación del ancho de banda de Internet, Archivos contaminados con Virus, Aplicaciones de Escritorio con errores de ejecución, entre otras fallas comunes.

Falla de Red

Todas estas empresas tenían la tecnología mínima necesaria:  Switches, Servidores, Firewalls-UTM, Antivirus, etc;  sin embargo, todas estas empresas carecían de personal de IT Fijo y en algunos casos tenían a un técnico que llamaban ocasionalmente para resolver fallas puntuales.

Al presentarnos para hacer el diagnóstico, siempre conseguimos las mismas situaciones:

-) Redes planas sin ningún tipo de segmentación. Inalámbricos, Servidores y Estaciones de trabajo, todos trabajando en el mismo segmento de red.

-) Switches Administrables con la configuración por defecto.

-) Redes inalámbricas a las que nunca le habían cambiado la clave del SSID.

-) Todos los usuarios de los computadores (Estaciones de Trabajo) ejecutando sus sesiones con privilegios elevados.

-) Firewalls y Antivirus sin ningún tipo de personalización, con sus configuraciones por defecto.

-) Software de Acceso remoto gratuitos y diferentes, ejecutados incluso en los computadores sin conocimiento de los usuarios.

-) Software tipo Freeware o Adware para ejecutar labores en donde se requieren privilegios, como Backups.

-) Unidades de Red compartidas entre todos los usuarios con los mismos privilegios.

-) Unidades USB libres, sin ningún tipo de bloqueo o control, a las que los usuarios conectan sus teléfonos celulares.

-) Impresoras de Red Alámbricas o Inalámbricas conectadas sin ningún tipo de control de uso a Internet.

Todas estas situaciones son prácticas ejecutadas por personal que se ha preocupado por atender las necesidades de funcionamiento, pero sin tener consideración alguna por la seguridad de lo que están poniendo a funcionar.

En algunos casos, podríamos argumentar que las empresas no contaban con asistencia calificada; sin embargo, lo que nos hemos conseguido mayoritariamente, son casos en los que las empresas contrataban servicios de asistencia con precios mínimos y limitados a atender requerimientos puntuales, que a la larga se convertían en innumerables llamadas y pagos en exceso, que pudieron ser evitados con una correcta asesoría inicial.

Mientras las pymes sigan considerando a la tecnología como un gasto que deben minimizar y existan asesores tecnológicos dispuestos a seguirles la corriente, los cyber-criminales contarán con blancos fáciles a los que puedan comprometer para realizar sus fechorías.

 

 

 

 

 

Resumen del Análisis hecho por GARTNER del mercado UTM para PyMes.

Un Firewall Multi-función para PYMEs es la definición más general de UTM.  Provee una solución integrada de seguridad en un sólo equipo para Empresas Distribuidas Geográficamente y para las pequeñas y medianas empresas.

Los Servicios que debe proveer un UTM, como mínimo, son los siguientes:

  • Seguridad para Correo Electrónico.
  • Seguridad para Tráfico WEB.
  • Prevención de Intrusiones.
  • Conectividad Remota.
  • Enrutamiento y Balanceo Multi-WAN.

En las PyMes, son bien valorados que un UTM posea una interfaz web para su administración, que sea fácil la configuración de políticas de seguridad, que posea un Sistema de Reportes Integrados y que todo el Software y Documentación relacionados con el UTM se encuentren fácilmente localizados.

El mercado típico de los dispositivos de seguridad UTM son las Empresas que poseen de 100 a 1000 empleados.

La empresas más pequeñas tienen altas presiones presupuestarias y poca consciencia de sus riesgos de seguridad. Sus decisiones de compra son tomadas basadas en aspectos no técnicos, principalmente reconocimiento de marca.

Las empresas medianas, suelen tener un equipo de IT  o encargan en una empresa de servicios asistidos (MSS), el mantenimiento, configuración y monitoreo de la solución de seguridad.

Las empresas distribuidas geográficamente, con muchas sucursales, suelen tener más de mil empleados, sin embargo, sólo una fracción del personal contratado tiene acceso a recursos de IT.  Estas empresas tienden a tener presupuestos aún más escasos y su operación es mucho más complicada por la poca cantidad de miembros que suele tener el equipo de IT.

En los próximos 5 años se esperan las siguientes tendencias en las PYMEs:

  1. 50% instalará una solución de seguridad en la nube y transitará el tráfico de navegación a través de un túnel seguro hasta la nube.
  2. 25% instalará un UTM como un sistema de control y monitoreo de acceso a servicios en la nube, para controlar terminales móviles y para evaluar la seguridad de sus estaciones de trabajo.
  3. 10% de las nuevas sucursales de empresas distribuidas implementará su seguridad bajo el modelo de Firewall como servicio.

Las grandes empresas, tienen necesidades de seguridad diferentes a las PyMes, incluso en sus sucursales, que normalmente atienden con firewalls empresariales del segmento más bajo, aprovechando la economía de escala resultante de las compras por volumen y la facilidad de administración que implica trabajar con una sola consola. Por esta razón GARTNER genera un análisis diferente para Firewalls Empresariales.

A continuación el cuadrante mágico de GARTNER para UTMs

Cuadrante Magico Gartner UTM

Definición de los cuadrantes

LEADERS:  Son los que más venden equipos. Tienen una amplia gama de modelos de equipos para la venta.  Tienen gran cantidad de funciones y son fáciles de gerenciar y configurar.

VISIONARIES: Tienen el diseño y funciones que requieren las empresas que compran UTM, pero carecen de la estrategia o finanzas que le permitan competir con los líderes. Para aquellas empresas en donde la tecnología de seguridad es muy importante, los visionarios son la elección.

CHALLENGERS: Son los que tiene muchas Ventas pero sus Equipos no tienen la tecnología y funciones que requiere el mercado. Son empresas que han tenido éxito con productos en otros segmentos de mercado y que logran hacer ofertas globales (en conjunto) que le permiten obtener buenas ventas.

NICHE PLAYERS: Son vendedores que se enfocan en una vertical de mercado o un área geográfica específica.  Están totalmente enfocadas a su cliente.

 

Problemas de Seguridad inhiben la adopción de los pagos móviles en todo el mundo.

(Tomado y Adaptado de http://www.scmagazine.com/security-concerns-are-inhibiting-mobile-payment-adoption-worldwide/article/530382/)

Más de la mitad de los consumidores globales creen que las billeteras móviles son menos seguras que el efectivo; pero casi un 60% de los ejecutivos de empresas dicen que el dinero móvil será parte de su negocio por ser seguro.

Una investigación realizada por NTT DATA e INGENICO ePAYMENTS consultó a 2000 consumidores globales y a 300 compañías mundiales, revelando que los consumidores de los países desarrollados y en desarrollo están interesados en utilizar el dinero móvil. Sin embargo, debe hacerse más para resolver sus problemas de seguridad si se desea que la adopción se haga a nivel mundial.

pagos-moviles

Consumidores de todo el mundo comprenden los beneficios del dinero móvil, con un 60% de acuerdo en que se mejora la experiencia de compra. La mitad dice que el dinero móvil impulsa la lealtad a su institución financiera o plataforma de pagos en línea.

Mientras tanto, los problemas de seguridad están socavando los pagos móviles. Más de la mitad de los consumidores creen que las billeteras móviles son menos seguras que el efectivo. Cerca de 75% de los consumidores dice que las garantías en contra del fraude monetario fomentaría el uso de pagos móviles; sin embargo, sólo un 44% de los comercios en línea ofrecen o planean ofrecer este tipo de garantías. Solamente un 25% de los consumidores cree que las transacciones móviles y on-line son la forma más segura de transacción.

La mayoría de las empresas siguen dependiendo de las contraseñas tradicionales o de la validación a través de huellas digitales, a pesar del deseo de los consumidores por la adopción de sofisticados métodos de seguridad como el reconocimiento facial. Menos de un tercio de las empresas mundiales, usan actualmente o planean utilizar biometría para asegurar sus dispositivos móviles. Consumidores enfocados en la seguridad, prefieren el uso de autenticación multi-factor para sus pagos móviles, con la excepción de los consumidores alemanes o escandinavos, quiénes aún confían más en las contraseñas.

“El miedo es un inhibidor potente y el miedo al fraude está muy presente en la mente de los consumidores”, dijo Peter Olynick, lider senior de banca comercial en NTT DATA. “Los consumidores no están preocupados por la pérdida de una o dos transacciones, ellos temen que su identidad pueda ser robada. Si las instituciones financieras pueden mitigar estos miedos y mejoran la adopción de plataformas de pagos móviles, entonces veremos que la tasa de adopción de los consumidores crece aceleradamente”.

(Créditos Dannielle Correa).

Inyección Blackhat (SEO) en motores de búsqueda.

(Tomado y Adaptado de WatchGuard Secplicity)

Hoy mi jefe no pudo acceder a un sitio web. Pues resulta que nuestro servicio de WebBlocker lo clasificó como un sitio web comprometido. ¡Estupendo! Nuestro WatchGuard Firebox está haciendo un buen trabajo. Sin embargo, mi jefe conocía el sitio, y la gente detrás de él, así que quería saber lo que estaba pasando.

Una revisión rápida en nuestro Portal de Seguridad confirmó la clasificación, y csi.websense.com proporcionó la razón: Injection.Black_SEO.Web.RTSS.

BLACK HAT SEO

He visto esto antes, así que sabía qué esperar. Creé una excepción en el WebBlocker para mí, permitiéndome llegar al sitio para investigar un poco más. No pasó mucho tiempo para encontrar lo que estaba buscando.

Al ver el código fuente HTML de la página principal del sitio, rápidamente me encontré con algo de código adicional que los propietarios del sitio probablemente desconocían. El código inyectado estaba diseñado para abrir de forma invisible varios enlaces sin mostrar mucho al visitante. El objetivo de este tipo de ataques es mejorar falsamente los resultados de búsqueda de estos enlaces, puesto que cada usuario que ingrese a este sitio, también abrirá sin saberlo los enlaces que han sido inyectados. Esta técnica de ataque es algunas veces llamada blackhat search engine optimization (SEO).

Si bien este es un ejemplo relativamente inofensivo de inyección HTML (ya que no está tratando de ejecutar código en el ordenador de la víctima), la presencia del código no deseado sin duda significa que alguien tiene acceso no autorizado a este sitio. Por desgracia, hasta que los propietarios del sitio no limpien el código inyectado, el Servicio de WebBlocker continuará evitando que los usuarios accedan a él. Aunque se pudiera crear una excepción para permitir el acceso al sitio web, esto no sería lo más recomendable.

Aunque el día de hoy, los atacantes sólo se han aprovechado de este sitio para mejorar los resultados de las búsquedas a través de inyección de código en este sitio, quizás mañana podrían utilizarlo para redirigir a los visitantes a una descarga dirigida, pudiendo incluso permitir obtener furtivamente herramientas utilizadas para explotar vulnerabilidades como el Exploit Kit Angler.

Sin saber exactamente cómo los atacantes inyectaron este código, no se puede ofrecer consejos específicos para el desarrollo de páginas web seguras, (mas que visitar owasp.org y conocer las mejores prácticas para el desarrollo web en general). Sin embargo, se puede compartir un consejo universal, no considere construir y olvidar su sitio web. Es necesario que al menos, usted pueda controlar el acceso al código a su sitio, y monitorear de cerca los cambios de dicho código para que pueda identificar este tipo de inyecciones de código malicioso rápidamente.

(Créditos Rob Collins)

Los amigos no permiten que sus amigos descarguen malware

(Tomado y Adaptado de WatchGuard Secplicity)

La semana pasada, un usuario del sitio de preguntas y respuestas Stack Exchange, pidió ayuda para identificar el malware que encontró distribuido a través de Facebook. Dijo que recibió una notificación en Facebook, informándole que uno de sus amigos lo había etiquetado en un comentario en el sitio. Cuando el usuario hizo click en el enlace de la notificación, el navegador descargó automáticamente un archivo JavaScript malicioso. Un análisis rápido del JavaScript mostró que cuando era ejecutado, actuaba como un gestor de descarga y ejecutaba el malware.

Amigos no descargan malware

Otro usuario proporcionó un análisis más detallado del archivo JavaScript malicioso. Este usuario encontró que el JavaScript descargó e instaló una extensión de Chrome, el ejecutable AutoIt de Windows y algunos scripts maliciosos de AutoIt. El malware probablemente creó sus mensajes de Facebook contaminados utilizando esta extensión de Chrome para seguir infectando a otros ordenadores.

Aparte de la extensión de Chrome, el cargador del JavaScript también incluye funciones para descargar las secuencias de comandos ejecutables AutoIt y varios scripts AutoIt. AutoIt es un (generalmente legítimo) lenguaje de programación diseñado para ayudar a los administradores a configurar fácilmente un gran número de equipos Windows. En el caso de este malware, los chicos malos estaban usando secuencias de comandos AutoIt para llevar a cabo comportamientos parecidos a los de un ransomware. Los scripts fueron alojados en un sitio web comprometido, disfrazados con extensiones .jpg para aparecer como archivos normales de imágenes sin una inspección más profunda.

Afortunadamente, a pesar que el navegador del usuario descargó automáticamente el código JavaScript malicioso después de visitar el vínculo de notificación, su navegador no ejecutó de forma automática el código. Al parecer el autor del malware delegó en los usuarios que iniciaran el código JavaScript ellos mismos, por lo que esto disminuiría en gran medida el éxito de este ataque.

En cualquier caso, este incidente es un gran ejemplo de por qué nunca debería ejecutar aplicaciones no solicitadas a través de Internet. Si su navegador descarga un archivo después de hacer click en una notificación de Facebook, esto se debería tomar como una alerta roja, ya que este podría ser un archivo malicioso. El usuario de Stack Exchange hizo lo correcto al investigar el archivo primero y luego pedir ayuda a los expertos.

Usted también debería mantener su navegador y todas sus extensiones totalmente actualizadas con los últimos parches. Si bien el método de entrega de este ataque era relativamente poco sofisticado, este no siempre es el caso. Un atacante más motivado pudo haber tratado de explotar las vulnerabilidades conocidas del navegador para auto ejecutar el malware y comprometer el equipo del que podría ser la víctima antes de que supiera que fue atacado.

(Créditos Marc Laliberte)