Category: Malware


img1

Hackear una cuenta de Facebook sale por apenas 91 euros, bloquear un sitio web cuesta entre 15 y  440 euros, y por los datos robados de una tarjeta de crédito se pagan de 1,8 a 18 euros. Son algunos de los datos sobre los precios en el mercado negro de los servicios y los productos más deseados por piratas y ladrones de datos, según la lista elaborada por la empresa de seguridad informática Trend Micro a partir de datos obtenidos por todo el mundo.

Por solo 12 euros es posible encargar el envío masivo de correos basura a 1.000 usuarios. Si lo que se desea es alcanzar a 10.000víctimas, el precio por spam se reduce: 0,08 céntimos por email atacado. Reventar o crackear un archivo encriptado solo importa 40 euros.

Los hackers y el mercado negro “cada vez están más especializados”, apunta en la sede filipina de la empresa el director de la unidad especial que analiza las nuevas amenazas, Ryan Flores. El mercado ruso, por ejemplo, se ha centrado en los virus que usan los servicios de pago por instalación (pay-per-install o PPI, en inglés): software que recibe un dinero de un anunciante por incluir en su descarga anuncios de su marca. Y quien dice anuncio, dice el software malicioso, el malware. El buscador Google ha retirado varias de estas páginas, todas ellas con la extensión .ru.

> El mercado ruso se ha especializado en redireccionar webs ‘inocentes’ a otras cuajadas de virus

En China, en cambio, abundan los ataques por denegación de servicio, que consisten en saturar una red o una página web con tantas solicitudes de acceso que termina resultando inaccesible a los usuarios de buena fe. De uno de los casos más llamativos de los últimos años, sin embargo, se acusó a Rusia: en 2007 las principales instituciones de Estonia recibieron este tipo de ataques, que lograron bloquear la actividad del país.

Latinoamérica, y especialmente Brasil, prefieren herramientas dirigidas a usuarios, como las redes sociales y la creación de software para hacer spam a través de mensajes de sms, aunque también son paraísos para la formación de futuros criminales de la Red.

La Europa occidental, en especial sus sistemas de salud, resulta una víctima propicia para los ataques que buscan el robo masivo de datos. “Estamos observando que interesa cada vez más el robo de datos valiosos. La mayoría de los ataques ya van dirigidos a los archivos”, especifica Ryan Flores.

Los datos, que incluyen también los precios del mercado ilegal de documentación y moneda falsas, han sido compilados en la sede de la compañía Trend Micro en Pásig (Área Metropolitana de Manila) a partir de datos recopilados por su red internacional de observadores del mercado negro informático. La empresa comparte los datos con Interpol para la persecución de la ciberdelincuencia y colabora habitualmente con la entidad policial y con otras empresas de la competencia.

Fuente | El País

Anuncios

youtube-app

Si eres un habitual de YouTube sabrás la enorme cantidad de comentarios chorras y poco productivos que podemos encontrarnos en cada uno de los vídeos. Pero a veces entre esos comentarios podemos encontrarnos algunos mensajes que, pese a su aparente inocencia, pueden esconder comandos que pongan en peligro la seguridad de nuestros equipos.

Esto es lo que aseguran los miembros de la firma de seguridad F-Secure tras descubrir que el grupo de atacantes detrás del troyano Janicab, que afecta tanto a los usuarios de Windows como a los de Mac, está utilizando simples comentarios en YouTube para controlar las acciones de su malware una vez este ha conseguido infectar a sus víctimas.

> Janicab, el troyano Youtuber

Janicab es un troyano que fue descubierto en julio del 2013 por F-Secure, Webroot y Avast, y que conseguía infectar los equipos utilizando el carácter U+202E , un carácter unicode especial que es conocido como una anulación de derecha a izquierda capaz de hacer que un archivo ejecutable se nos muestre como un simple PDF.

Una vez infectados los equipos entran en juego los comentarios del tipo “our 49741276945318th psy anniversary” que podemos ver tanto en algunos vídeos de YouTube como también en post de Google+. Aunque parezcan simple spam, esos números representan direcciones IP que el troyano reconoce y a las que envía la información sustraída de los equipos infectados.

650_1200

Las direcciones IP son obtenidas por Janicab dividiendo y convirtiendo los números publicados en los comentarios, y después de recibirlas, antes de enviar la información que sustrae, el troyano realiza capturas de pantalla y analiza los procesos ejecutados por el sistema para saber si se está utilizando algún antivirus o si está siendo ejecutado en máquinas virtuales como VirtualBox.

Afortunadamente, una vez que descubierto este mecanismo es sólo cuestión de tiempo que las grandes webs en las que se publican los mensajes empiecen a tomar cartas en el asunto y a implementar sistemas para borrar automáticamente esos mensajes o las cuentas desde las que se publican, que es lo que hizo Twitter en su día cuando se encontró ante una situación idéntica.

Fuente | Genbeta

 

 

Secuestros Digitales

650_1000_secuestrado

Fin de semana. Te levantas, tomas un café, lees un poco del libro que tienes pendiente y sales a hacer un poco de deporte. Vuelves, te duchas y enciendes el ordenador para ver una cosa en Internet. Sorpresa: aparece un mensaje diciendo que o pagas o te quedas sin datos en tu ordenador. Y no te deja hacer nada más.

La primera reacción es de susto. ¿Cómo me ha podido pasar a mí? La segunda es de superioridad: estos hackers no saben que te manejas bien con ordenadores. Coges un Live CD de Linux que tienes por ahí tirado para recuperar tus datos y limpiar el malware. Lo metes en el ordenador, arrancas, y… vaya. Esa carpeta antes no estaba ahí. ¿Y dónde está mi carpeta de usuario? ¿Por qué no se puede abrir ningún archivo?

Lo que te ha atacado es un tipo de virus llamado ransomware. Bloquean tu ordenador y te piden dinero para que puedas volver a usarlo. Según lo sofisticado que sea, puede que sea fácil de saltar y limpiar, o puede que la mejor alternativa sea pagar (incluso a pesar de que eso no te garantice recuperar los datos).

Uno de esos ransomwares sofisticados es CryptoLocker, que se distribuye habitualmente a través de archivos adjuntos. Cuando se carga, se conecta a un servidor de control remoto, que genera un par de claves RSA pública/privada de 2048 bits. La clave pública se la queda el ordenador infectado, y CryptoLocker empieza a cifrar archivos de forma precisa: sólo cifra ciertos tipos como documentos de Office, imágenes o archivos de AutoCAD, los que probablemente sean más valiosos para el usuario.

Por otra parte, muestra un mensaje diciendo que o pagas unos 400 euros, o en unos días se destruirá la clave privada. Y recordemos que, tal y como funciona la criptografía de clave pública, esa clave privada es la única forma de descifrar tus archivos. Incluso aunque pudieses extraer la clave pública del malware, no podrías hacer nada con ella. Además, al ser de 2048 bits, es prácticamente imposible adivinarla por fuerza bruta.

Una infección con este tipo de malware puede ser muy seria, y si no que se lo digan al departamento de policía de Durham, una pequeña ciudad estadounidense. Fueron infectados por CryptoWall, muy similar a CryptoLocker. No sólo se bloquearon los ordenadores, sino que además se cifraron algunas copias de seguridad que estaban almacenadas en discos en red accesibles por los infectados.

Por suerte, no todos son tan letales. Algunos “sólo” te bloquean el Master Boot Record y evitan que se ejecute tu sistema operativo hasta que no pagues el rescate, aunque los archivos siguen siendo accesibles. Otros, como Ransom.AN, sí cifran los archivos pero no están del todo bien diseñados, y reutilizan la misma clave en todos los ordenadores.

> El dinero detrás del secuestro digital

El ransomware empezó a surgir en 2009 en el este de Europa, con cibercriminales operando (probablemente) desde allí. Infectan a los usuarios a través de vulnerabilidades en el navegador, haciendo que se descargue reproductores de vídeo que en realidad son un virus – especialmente en sitios pornográficos, para que el usuario sea más reticente a denunciar y decir dónde se infectó – o a través de adjuntos del correo.

Cuando el malware se instala por la vía que sea, necesitan convencer a los usuarios de que paguen. Para ello suelen usar dos tácticas distintas.

La primera es la vergüenza. El malware muestra imágenes pornográficas o desagradables, de tal forma que prefieras pagar antes que seguir viéndolas. La segunda, la más usada, es la autoridad: se hacen pasar por cuerpos de Policía, diciendo que se ha detectado actividad ilegal (pornografía, zoofilia, violencia, pedofilia…) y que o pagas o se emprenderán acciones legales. Por supuesto, ningún cuerpo policial actúa de esta forma, pero eso no impide que haya gente que se crea la farsa.

Una vez que han convencido al usuario, lo siguiente es conseguir que pague. Para no descubrirse usan tarjetas prepago como MoneyPak o Ukash. Con el auge de Bitcoin, la moneda virtual se ha convertido en un medio muy atractivo para que los cibercriminales reciban su rescate: es muy difícil vincular una cartera virtual a la persona que está detrás de ella.

¿Y cuánto dinero ganarían estos criminales? Según un estudio de Symantec, sólo pagan un 2.9% de los usuarios, un porcentaje bajo. Sin embargo, teniendo en cuenta que los rescates no son baratos y que se infectan muchos ordenadores (unos 5.700 al día), se calculaba que los responsables del ransomware se podían estar haciendo con 394.000 dólares al mes.

> El ransomware, no sólo cosa de Windows

Uno pensaría que todo el ransomware afecta a sistemas Windows. Si bien es cierto que una parte importante está dirigido al sistema de Microsoft por su mayor cuota de mercado (más dinero potencial), otros sistemas también han sido afectados.

Por ejemplo, el mes pasado se detectó SimpleLocker, un ransomware para Android que seguía la misma estrategia de sus primos de ordenador. Veinte dólares por desbloquear los archivos de la tarjeta SD. Por suerte, la clave de descifrado se guardaba en el móvil y era posible recuperarla y desbloquear el móvil.

650_1000_650_1000_hacked

El secuestro digital tampoco requiere un malware. Es el caso de varios usuarios de iPhone, especialmente australianos, que vieron bloqueados sus dispositivos hasta que no pagasen un rescate de hasta 100 dólares. El hacker lo hizo entrando en las cuentas de iCloud de esos usuarios – según Apple, con técnicas de phishing y sin comprometer la seguridad del servicio – y usando la funcionalidad de Find My Phone para bloquear los dispositivos remotamente.

> Cómo evitar que secuestren mis dispositivos

650_1000_contrasena-1

La solución es la de siempre: antivirus y sistema actualizado, y sobre todo, no descargar ejecutables sospechosos ni abrir adjuntos que no sabes de dónde vienen. Si por lo que sea sospechas que tu ordenador pueda estar infectado por uno de estos virus, apágalo para evitar que siga secuestrando tus datos y así poder recuperarlos y limpiar el ordenador con más calma.

Además, hay herramientas especializadas para evitar este tipo de malware. Yago Jesús, de Security By Default, publicó hace poco una actualización a su software Anti Ransom, que nos avisará cuando haya un ransomware cifrando datos en nuestro sistema y así podamos apagar el ordenador rápidamente para evitar que siga ejecutándose. Además, generará un volcado de la memoria del malware para que, en un análisis posterior, se traten de extraer las claves de cifrado.

En el caso de que haya sistemas que puedan bloquear tu teléfono remotamente, como los de Apple, Microsoft o Prey, es recomendable usar contraseñas seguras y activar, si es posible, medidas adicionales como la autenticación en dos pasos.

Y si te has infectado, lo importante es no pagar. Pagar no te garantiza recuperar tus datos, y además estás animando a los cibercriminales a seguir con la estafa. Dependiendo del tipo de virus se podrán recuperar o no los datos, así que lo mejor es acostumbrarte a hacer backups periódicamente, ya sea en la nube o en discos externos.

Fuente | Genbeta

A %d blogueros les gusta esto: