Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

miércoles, 21 de diciembre de 2016

Ramsonware 2017 - Lo que se viene

Estamos finalizando el 2016, año que este malware denominado RANSOMWARE ha provocado grandes pérdidas de dinero a las empresas y grande dolores de cabeza a los administradores de tecnología.

Se va el 2016...
Se termina el año y vemos en los diferentes reportes de seguridad, que Noviembre de este año, la actividad de estos códigos maliciosos fueron creciendo de manera representativa. Las empresas (y tambien los usuarios) siguen sin aprender la lección y siguen siendo víctimas.
Como hemos evangelizado todo el año, este malware tiene dos grandes vectores de infección: SPAM (correo electrónico) y NAVEGACION.
Hasta último momento seguimos teniendo reportes de empresas que son infectadas por algún ransomware, que ha vulnerado la plataforma y crifrado la información.
Resumiendo podemos decir:

1) Correo Electrónico: usando una metodología compleja, los usuarios siguen recibiendo correos, haciendose pasar por alguna entidad o persona conocida, con un archivo adjunto para que el usuario lo abra y se termine infectando. Decimos que es una metodología compleja, por que se suman diversas técnicas de intrusión como INGENIERIA SOCIAL + SPAM + PHISHING + INTRUSION RECURSO + EXTORSION. Los usuarios siguen sin ser desconfiados de los correos electrónicos que reciben (encima ahora en las fiestas de fin de año aumentan representativamente) y abren los adjuntos, siendo infectados por algún ransomware. Si bien el usuario puede tener o no alertas de seguridad por el S.O y por los productos de ofimatica que utilicen, termina abriendo el adjunto a pesar de las advertencias.

2) Navegación: la asuncia de filtros y la navegación no alineada a las necesidades de las empresas, hacen que los usuarios ingresen a sitios pocos seguros y terminen bajando algún gusano o ransomware.

Se viene el 2017 mas fuerte....
El Ransomware, hoy es un negocio redondo y que seguirá creciendo.  Al no poder dar con aquellas personas que generan este tipo de malware, que de alguna manera manteniendo el anonimato gracias a Internet y cobrando sus ganancias post extorsión, permite que la práctica aumente y cada vez surjan mas intimidadores como versiones de ransomware.

El uso de las plataformas RaaS está provocando, que no solo aquellos que desarrollan el malware lo usen, si no que permite que terceros, sin conocimientos de desarrollo terminen usando la plataforma y ser socios (por llamarlo de alguna manera) de esta actividad ilícita.

El anonimato y el crecimiento del uso del bitcoins, que viene subiendo su valor nominal día a día (en Julio teníamos un valor de 1 Btc a  U$S 560, llegando a hoy con un valor de 1Btc en 822,90)  va a provocar que el año 2017 sea un año intenso y aquellas personas con pocos escrúpulos intenten usar este medio de extorsión para hacerse de dinero fácil.

En definitiva, las plataformas RaaS, anonimato y lo masivo que puede ser una caza de usuarios o empresas para lograr el objetivo del intruso, va a provocar que el año que viene sea un año complicado para las empresas que de alguna manera no estén preparadas.

Como prepararse para recibir el 2017...
En base a los análisis de los comportamientos del malware,  los usuarios y empresas deben prepararse para no ser víctimas de estos códigos maliciosos.

Algunas de las cosas que pueden hacer para evitar el ransomware:
1) Antimalware: En realidad, la mayoria de los productos vienen por detrás,  el cambio de paradigma ha sorprendido a los fabricantes de software y sus famosas bases de datos que actualizan de manera obsoleta. Aquellos productos que reconozcan comportamientos erráticos y permitan generar filtros para evitar la generación de archivos cifrados serán los que prevalecerán en esta lucha contra el ransomware.

2) Ms Windows: Proteger usando las servicios que viene proveyendo desde el año 2008, como el FSRM y APPLOCKER, es una manera de evitar que los malwares se desplieguen en una plataforma.

3) Correo electrónico: Los antispam deberán empezar a filtrar los archivos adjuntos y en todo caso no dejar pasar archivos que no puedan escanearse correctamente. Los usuarios siguen abriendo archivos adjuntos que reciben de los correos electrónicos.

4) CONCIENTIZAR: involucrar al área de RRHH y empezar con campañas internas de prevención, orientadas al usuario para que entienda de la problemática. Recordarle que lo mismo que puede ocurrir en la empresa puede ocurrirle en su hogar con sus archivos y fotos. Los usuarios siguen abriendo adjuntos y apesar que las herramientas de prevención protejan, los usuarios las terminan vulnerando (desactivan antivirus,  habilitan usos de macros de office, desactivan el UAC de Windows con tal de abrir un archivo adjunto que un desconocido le ha enviado por correo).

5) Backup: Lo importante es no infectarse. Un post infección ya es un problema, más allá de que exista un backup con toda la información, el tiempo de recuperación, el tiempo de ausencia de la información, el tiempo de remoción del ransomware, provocará perdidas de dinero a la empresa.

6) Cloud:  Se está convirtiendo en un aliado, ya que por hoy (pero no se descarta en un futuro) los ransomware no están infectando repositorios de archivos cloud. Los intrusos aún no han desarrollado nada, por que aún están cobrado buenas divisas sin pasar al esquema Cloud. Pero si es necesario y las plataformas Cloud no están preparadas, podrián ser víctimas de malware. Un dropbox mal configurado puede ser un repositorio seguro de archivos cifrados por ransomware.

Si las empresas (como los usuarios finales) no se preparan, vayan despidiendose de su información o tengan en cuenta que en algún momento el backup va a ser su fiel amigo.

Nuevas tecnologías...
No nos olvidemos de los autos, IoT y todo aquello que tenga software y datos, que podrían ser víctimas gracias al ransomware. Se imaginan que no puedan activar el lavarropa usando IoT por que un ransomware les pida a cambio un pago en bitcoins? Debemos empezar a usar la tecnología y no ser tan confiados del mundo que nos rodea.

Deben prepararse si no quieren perder el acceso de la información y que esto se vea reflejado en los procesos de negocio de la compañía.
Prevenir es mejor que curar!!!

Felices Fiestas

Hasta la proxima...







martes, 11 de octubre de 2016

Ransomware como RaaS - Cambio de paradigma

Introducción
Tiempo atrás quedaron donde los estudiantes o algunos osados programaban un código malicioso (le llamábamos virus) y los publicaban en ciertas fechas para demostrar las vulnerabilidades de ciertos Sistemas Operativos. Recordaremos los virus Michelángelo, I love You, Melissa, Slammer, Conficker entre otros que en su momento nos provocaron buenos dolores de cabeza.

Luego aparecieron los "virus" crypto, que hasta el 2013 se les denominaba así a los malware (malicius software - software malicioso) que cifraban la información y se le permitía el acceso al usuario siempre y cuando pague un rescate del mismo. Ante la variedad de estos códigos maliciosos, dejaron de llamarse crypto para pasar a llamarse RANSOMWARE (RANSOM= rescate, WARE de SOFTWARE).

Cambio de paradigma
Ya hace un tiempo, y de alguna manera, todos usamos algún servicio de nube (cloud). Quién no tiene una cuenta en GMAIL, HOTMAIL, YAHOO u otro servicio de correo? Los servicios han ido migrando a la nube, una plataforma que alguien dispone y le brinda soporte, en donde nosotros usuarios solo consumimos.
Recuerdo que en diciembre del 2012, escribía un artículo explicando que era SaaS (ver aquí artículo completo), y en donde definíamos a SaaS como "Cloud Software as a Service (SaaS): Software como un service, esta capacidad provee al usuario que utiliza las aplicaciones del proveedor una infraestructura de nube. Las aplicaciones son accesibles desde varios dispositivos clientes a través de una interfaz como un navegador. (ej. Web-mail)".

Tomando ese concepto las plataformas han ido migrando y ofreciendo este soporte, hoy encontramos por ejemplo Microsoft Office 365, en donde el usuario se conecta y consume los servicios que Microsoft le provee sin importar el dispositivo desde donde se conecta y donde no debe instalar nada en el mismo para usarlo.

Hasta ahora, si leemos esto, no hay novedades y no deberíamos sorprendernos. Donde si nos vamos a sorprender es que hoy el Ransomware ya no es un malware con fines de mostrar la vulnerabilidad de una plataforma, si no que el despliegue del mismo pasó a ser una cuestión rentable, del momento que el secuestro de información + extorsión hace que el usuario, si no posee backup o manera de recuperar su información, termine pagando.  

Nos vamos a sorprender, por que hay plataformas disponibles para su uso en modalidad SaaS, que se denominan RaaS (Ransomware As a Service) y que una persona con poco conocimiento de programación, pagando los bitcoins requeridos, puede configurar y usar para desplegar el ransomware a sus víctimas.

RaaS Petya / Mischa
Vamos hablar de estas dos versiones de ransomware como RaaS. La explicación no está dedicada a que Ud. lector empiece a usarla, está pensada en generar conciencia y como debemos proteger las plataformas para evitar el uso de estos RaaS.
Cualquier ciberdelincuente puede ahora conectarse a la plataforma RaaS y utilizarla sin tener que correr riesgos en el uso y que alguna manera puedan ponerlos en riesgo y o bien sean detectados.
Para ingresar y usar la plataforma debemos usar el navegador Tor y entrar a la Deep Web, ingresando al sitio http://janus54et3yyzli3.onion/.
Allí nos aparece una pantalla que nos solicitan un captcha y luego la siguiente pantalla:

Es interesante como se promociona, en las cuatro columnas encontraremos las ventajas del mismo según Janus. ¿Quién es Janus? Es el seudónimo de la persona que está soportando o brindando el servicio y que ante un eventual problema les brindará soporte. Podemos hallarlo en Twitter como:

  
O bien como

En las columnas se observa que si uno falla, actua el otro y si aún posee dudas, puede ir al FAQ.


Pero como si fuera poco, si hay algo que no funcione bien, si le consultamos, nos brindará soporte, por lo cual vemos que protegen su "negocio".



Nota: esta captura se agregó luego de haber publicado la nota, pero me pareció útil actualizar la misma, para demostrar que se preocupan por el funcionamiento de la plataforma RaaS.

Si un cibercriminal no desea ser detectado y a su vez, quiere iniciarse en la carrera maliciosa del ransomware,  esta plataforma es la ideal. Si leen los beneficios que ofrecen, son tan marketineras como cualquier oferta de servicios SaaS.  Si observa, el cibercriminal puede calcular su profit en base a la infección lograda


Analizando un poco más a Petya / Mischa : "prueba de fallos?"

En marzo de este año, Petya llamó la atención porque no realizó el clásico cifrado de archivos de usuario, como otras familias de ransomware, este malware había  cifrado todo el disco duro al cargarse en la secuencia de arranque del Sistema Operativo. 
Después de un análisis más profundo, los fabricantes de software antimalware descubrieron que el malware se estaba llevando a cabo un cifrado de dos etapas y que fue cifrando el disco duro después de forzar un reinicio. 
Teniendo en cuenta que este paso (el reinicio) podría haberse evitado fácilmente, los autores del ransomware decidieron subir la apuesta y se añade una segunda carga útil en la infeción, el ramsonware Mischa. 
A diferencia de Petya, pero muy parecido a otros programas maliciosos, esta amenaza ejecuta el cifrado de archivos de usuarios de uno en uno. Empieza su rutina sólo después del reinicio, actuando así como un mecanismo de seguridad, por si falla el cifrado de Petya. 
Una vez que el usuario ejecuta el archivo se procede a la infección, reiniciando la PC y emulando un CHKDSK del Sistema Operativo (esto ocurre cuando hay un defecto en el disco del equipo), cifra la información.


Al finalizar, obtenemos esta hermosa pantalla


En donde al presionar una tecla nos comenta sobre la infección, como obtener los bitcoins y como ingresar el código de recuperación luego del pago y hasta si necesita ayuda o soporte.


Suponiendo que el UAC (User Access Control de Microsoft para S.O posteriores a Windows Vista) frenara la ejecución del Petya, se ejecuta Mischa y cifra archivos como un ransomware tradicional. Los archivos cifrados pasan tener una extensión adicional : "bQx1".

¿Como lo prevenimos?
Los pasos sugeridos para evitar una infección de Petya en una organización o uso hogareños de equipos.

1) Correos Electrónicos: ajustar las soluciones antimalware para que examinen el correo electrónico, los links y archivos ajuntos.
2) Usuarios: capacitar a los usuarios para que no abran archivos adjuntos de dudosa reputación y no ingresen a links en el cuerpo del correo. Enseñarles a validar los links, escribiendo los mismos en el navegador o bien verificando con la flecha del mouse sobre el link, si abajo de la aplicación del correo o el browser, el sitio que figura es el que dice ser.




3) Repositorios de archivos en la nube: Los links suelen llevar a Dropbox, por lo cual, en una organización debería estar bloqueado el acceso a este tipo de sitios. La organización deberá definir repositorios seguros de intercambio de archivos, y se deben bloquear los otros accesos. No solo pueden bajarse malware, un usuario con acceso a este tipo de plataforma puede robar información sin ser detectado.
4) UAC: Tener habilitado el UAC y enseñarle a los usuarios a entender por que debe estar funcionando y leer las pantallas. Muchas veces el usuario termina dando aceptar sin leer previamente.



5)  Antimalware actualizado: Microsoft, con la versión de Windows Defender que trae a partir de MS Windows 8.1 en adelante ya lo detecta. Debe estar actualizado y configurado. Microsoft detecta el malware Petya como Win32/Petya.
6) Permisos en el equipo local: desde el Active Directory, definir los permisos locales en los puestos de trabajo, definiendo a los usuarios como "usuarios NO administradores de equipo local".
7) Applocker: esta funcionalidad de Microsoft, permite definir políticas via GPO y determinar que aplicaciones, ejecutables y otros pueden ser utilizados por el usuario. Si define esto, por más que el antimalware esté desactualizado, no se infectará el equipo.
8) Backup: los usuarios no deberían tener información sensible en sus ordenadores, pero si dado el caso, equipos gerenciales o directores, cuentan con información de la organización, verifique los resguardos que se realicen de manera eficiente.

Hay mas RaaS?
Lamento comentarles que esto no finaliza aquí. Debido al desempeño del Petya/Mischa, ahora tenemos otros ransomware que funcionan de la misma forma, es decir RaaS:
  • Chimera: versión de la competencia y se estima, por ser más viejo que Petya, que Petya tiene parte de su código. Suele infectar los equipos partiendo de un gusano que ha infectado el equipo previamente. Si bien muchos antimalware lo detectan, como el Microsoft Windows Malicius Software Removal Tool, esto no recupera los archivos cifrados. Verifique si hay un desencriptador y luego corra el removedor del código malicioso.
  • PokemonGo: pensar que apenas apareció el juego comentamos que podría ocurrir esto. Al infectar el equipo crea una cuenta "Hack3r" y lo suma al grupo de Administrador local. Si reiniciamos el equipo, no aparecerá como una cuenta para iniciar sesión, por que es enmascarada por un cambio en la registry. Se comporta como otros malwares, asegurandose la posible infección de la red. En muchos casos se ha detectado la aparición de una puerta trasera para posibles conexiones y compartiendo recursos del equipo.
Si observamos, es la tendencia del Ransomware a futuro, por lo cual, debemos empezar a realizar ajustes en las plataformas para tener escenarios seguros.
Hasta la próxima...