De Ontinet: Nuclear Exploit Kit empieza a propagar la versión más reciente del ransomware Cryptowall (26/11/2015)

Saludos nuevamente.

Y ya esta noticia es una alerta que hay que tener muy en cuenta:

Nuclear Exploit Kit empieza a propagar la versión más reciente del ransomware Cryptowall
Josep Albors | 26 nov, 2015

ransom_tecla

A la hora de analizar las nuevas variantes de ransomware que van apareciendo, resulta vital conocer los vectores de propagación utilizados por los delincuentes para extender sus amenazas. El correo electrónico sigue siendo uno de estos vectores pero no es el más peligroso, puesto que requiere de la interacción con el usuario para que este ejecute el fichero adjunto malicioso.

Funcionamiento de un kit de exploits

Conocedores de este punto débil en la cadena de propagación, los creadores de ransomware hace tiempo que comenzaron a utilizar técnicas más elaboradas, a la par de efectivas. Una de estas técnicas consiste en la utilización de los conocidos como kits de exploits, conjuntos de herramientas que pueden ser utilizados incluso por delincuentes sin muchos conocimientos y que permiten automatizar el proceso de infección.

Esta automatización consiste normalmente en preparar una web maliciosa o aprovecharse de webs legítimas con agujeros de seguridad, de forma que descarguen malware automáticamente a los usuarios que las visiten, aprovechando alguna vulnerabilidad existente en el sistema o en las aplicaciones utilizadas.

De esta forma, todo el proceso se realiza de forma transparente al usuario, sin ventanas preguntándole una autorización para ejecutar el código malicioso, por lo que resulta muy efectiva para los delincuentes y muy peligrosa para los usuarios.

Cryptowall 4.0 y Nuclear Exploit Kit

Es por eso que, cuando se unen una de las peores amenazas existentes en la actualidad y un efectivo método de propagación, debemos extremar las precauciones para evitar que nuestros sistemas se conviertan en nuevas víctimas y los datos que almacenamos en ellos se vean afectados.

Justo de esta situación es de lo que alertan desde el Internet Storm Center, puesto que han observado cómo uno de los kits de exploits más utilizados en la actualidad está propagando la variante más reciente de Cryptowall. Esta propagación empezó a observarse el pasado viernes 20 de noviembre y, desde entonces, se han reportado varios casos de usuarios afectados por esta variante conocida popularmente como Cryptowall 4.0.

Esta variante del conocido ransomware apareció por primera vez a principios de noviembre e incorpora características que dificultan la recuperación de los ficheros cifrados. Una de estas características es que el ransomware sustituye los nombres originales de los archivos por caracteres aleatorios. De esta forma, se complica identificar los ficheros afectados y su posible restauración.

Además, esta versión también incluye otra característica que dificulta la recuperación del sistema a partir de puntos de restauración creados normalmente de forma automática. Sin estos puntos de restauración, la única opción de recuperar el sistema afectado pasa por echar mano de una copia de seguridad lo más reciente posible.

Conclusión

La constante evolución de esta amenaza y las técnicas usadas (cada vez más agresivas) demuestran que el ransomware representa una importante fuente de ingresos para las bandas de delincuentes que lo usan como mecanismo de extorsión. Se calcula que la familia Cryptowall ha causadoo más de 325 millones de dólares en daños provocados a particulares y empresas afectados.

Es por ese motivo que conviene tomar medidas preventivas adecuadas y contar con soluciones de seguridad que sean capaces de detectar y bloquear este tipo de amenazas, ya sean antivirus o soluciones específicas como Antiransom. Además, si quieres conocer más acerca de la historia del ransomware, disponemos de un completo White Paper que puede descargarse de forma gratuita.

Josep Albors

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Malware, Ransomware. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *