Etiqueta: Ransomware

Encontrado el primer ransomware con ‘Process Doppelgänging’ para evadir su detección

Los investigadores de seguridad han descubierto el primer ransomware que explota ‘Process Doppelgänging’.

Para quien no lo sepa, ‘Process Doppelgänging‘ es una técnica de inyección de código sin archivos que podría ayudar a evitar la detección de malware.

El ataque funciona mediante transacciones NTFS. Con ellas, inicia un proceso malicioso y reemplaza la memoria de un proceso legítimo. Engañando así a las herramientas de monitorización y al antivirus haciendoles creer que el proceso legítimo se sigue ejecutando.

Los investigadores de seguridad de Kaspersky Lab han encontrado el primer ransomwareque emplea esta técnica para evadir sus acciones maliciosas y apuntar a los usuarios de Estados Unidos, Kuwait, Alemania e Irán principalmente. Se trata de una variante deSynAck.

Un dato interesante que descubrieron es que este malware no infecta a usuarios de países específicos como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán.

Para identificar el país de un usuario específico, este ransomware compara los diseños de teclado instalados en el ordenador de la víctima con una lista almacenada en el malware. Si encuentra una coincidencia, el ransomware duerme 30 segundos y llama a ExitProcesspara evitar el cifrado de los archivos.

En caso de que si se ejecute, al igual que cualquier otro ransomwareSynAck encripta el contenido de cada archivo con el algoritmo AES-256-ECB y proporciona a las víctimas una clave de descifrado hasta que se pongan en contacto con los atacantes y cumplan sus demandas.


Además, también es capaz de mostrar una nota en la pantalla de inicio de sesión de Windows modificando las claves LegalNoticeCaption y LegalNoticeText en el registro.

A pesar de que los investigadores no han determinado cómo llega este malware a sus dispositivos, la mayoría de ransomware se propaga a través de correos electrónicos dephishing, anuncios maliciosos en sitios web y aplicaciones de terceros.

Se recomienda a todos los usuarios tener una copia de seguridad almacenada en un dispositivo externo que no esté siempre conectado a su PC.

Análisis en el blog de Kaspersky:
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/

El ransomware Petya/ExPetr visto desde adentro: aprenda cómo proteger su información

El ransomware Petya/ExPetr visto desde adentro: aprenda cómo proteger su información

El jueves 29 de junio, Kaspersky Lab y Comae Technologies presentarán un seminario web de emergencia a fin de ayudar a las empresas a comprender y defenderse del ransomware Petya/ExPetr.  El malware ha afectado compañías de diversos sectores de la industria de todo el mundo. Ucrania, Rusia y una serie de países de Europa occidental han sido los más perjudicados.

Juan Andrés Guerrero-Saade, investigador principal de seguridad del Equipo de Investigación y Análisis de Kaspersky Lab, conjuntamente con Matt Suiche, de Comae Technologies, presentarán la última información sobre los vectores de ataque de ransomware, el proceso de infección y cómo esta se disemina por las redes de las empresas. Proporcionarán orientación para mitigar los efectos del ataque y explicarán las medidas que las organizaciones deben tomar para proteger sus computadoras y redes de esta amenaza.

El seminario web tendrá lugar el jueves 29 de junio a las 10 AM, hora Miami – EUA.

Para unirse a este seminario web, haga clic en este enlace.

Necesitará auriculares o parlantes conectados a su PC o teléfono móvil para poder escuchar.

_

Ransomware Petya

Apreciado,

Les informamos que el día de ayer  (27 de junio), recibimos informes sobre una nueva ola de ataques de ransomware que se extendían por todo el mundo. Nuestros hallazgos preliminares sugieren que no se trata de una variante del ransomware Petya, tal como se ha informado públicamente, sino que se trata de un nuevo ransomware que no se había visto anteriormente. Pese a que cuenta con varias secuencias similares a Petya, posee funcionalidades completamente distintas. Lo hemos nombrado ExPetr.

Las soluciones de Kaspersky Lab detienen con éxito el ataque a través del componente System Watcher. Esta tecnología protege contra ataques de ransomware mediante el monitoreo de cambios en el sistema y el rechazo de cualquier acción potencialmente destructiva.

Recomendamos:

  •  Que todas las empresas actualicen su software de Windows: los usuarios de Windows XP y Windows 7 pueden protegerse a sí mismos instalando el parche de seguridad MS17-010.
  •  Asegurarse de tener la información respaldada. El respaldo apropiado y oportuno de su información puede ser utilizado para reestablecer los archivos originales después de experimentar una pérdida de información.

A los clientes corporativos de Kaspersky Lab les recomendamos:

  • Comprobar que todos los mecanismos de protección estén activados de acuerdo a las recomendaciones; Y que los componentes KSN y System Watcher (habilitados de forma predeterminada) no están deshabilitados.
  • Alternativamente, puede utilizar el Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) componente de Kaspersky Endpoint Security para bloquear la ejecución de la utilidad PSExec (parte de Sysinternals Suite), pero por favor utilice Application Privilege Control para bloquear “perfc.dat”.
  • Configure y habilite el mecanismo Default Deny del componente de Application Startup Control de Kaspersky Endpoint Security, para garantizar la defensa de manera proactiva contra este y otros ataques.

Si usted no cuenta con productos de Kaspersky Lab en su entorno, utilice la función AppLocker de Windows OS para deshabilitar la ejecución de cualquier archivo que porte el nombre “perfc.dat”, así como la utilidad PSExec de la suite Sysinternals. Y también podrá usted descargar la herramienta anti-ramsoware gratuita de Kaspersky Lab con tecnología que permite detectar y bloquear ransomware – https://go.kaspersky.com/Anti-ransomware-tool.html

Cordial Saludo,

Kaspersky Lab LatAm

Ransomware Petya – Variante de WannaCry

El equipo GREAT Team de Kaspersky ha publicado el día Martes 27 el siguiente comunicado oficial ante esta campaña masiva del Ransomware Petya.

Aquí está nuestra lista de recomendaciones sobre cómo sobrevivir a los ataques ransomware:

  • Asegúrese de actualizar el software de terceros Microsoft Windows y. Es crucial aplicar el boletín MS17-010 de inmediato.
  • No ejecute abrir archivos adjuntos de fuentes no fiables.
  • Copia de seguridad de datos sensibles a almacenamiento externo y mantenerlo fuera de línea.
  • Mantener actualizadas las bases de firmas de los endpoints.

 

 

También se aconseja por parte de Kaspersky Lab

  • Compruebe que todos los mecanismos de protección se activan según lo recomendado; y que KSN y componentes System Watcher (que están habilitadas de forma predeterminada) no se desactivan.
  • Como me
  • dida adicional para clientes corporativos es utilizar control de privilegios de aplicaciónnegar cualquier acceso (y, por tanto posibilidad de interacción o ejecución) para todos los grupos de aplicaciones en el archivo con el nombre “perfc.dat” y utilidad PSEXEC (parte de la Sysinternals suite)
  • Se puede utilizar como alternativa de Control de inicio de aplicacionescomponente de Kaspersky Endpoint Security para bloquear la ejecución de la utilidad de PSExec (parte del Sysinternals Suite), pero por favor utilice control de privilegios de aplicaciones con el fin de bloquear la “perfc.dat”.
  • Configurar y habilitar el modo por defecto del componente Control de inicio de aplicaciones de Kaspersky Endpoint Security para garantizar y hacer cumplir la defensa proactiva contra este y otros ataques de denegación.

 

 

 

 

Actualmente Kaspersky Lab detecta esta amenaza como, aplica a todas las versiones de Kaspersky Endpoint Security 10:

 

  • UDS: DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR: Trojan-Ransom.Win32.ExPetr.gen

Nuestro SystemWatcher motor de detección de comportamiento detecta la amenaza como:

  • PDM: Trojan.Win32.Generic
  • PDM: Exploit.Win32.Generic

Para mayor información sobre el caso y sus precauciones ver: https://securelist.com/schroedingers-petya/78870/

 Petya es el nuevo ransomware que causa estragos en todo el mundo

No han pasado ni dos meses desde que Wannacry hiciera temblar a muchas de las grandes compañías de todo el mundo cuando otro ransomware similar
vuelve a atacar.

Todo indica que este nuevo ataque se está reproduciendo a gran velocidad por todo el mundo, aunque por el momento Ucrania parece ser el país más
afectado. Petya (diminutivo ruso de Pedro) actúa de forma similar a Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE.
También se han detectado casos de afectados en España.

Imagen de Petya pidiendo el rescate:

El mensaje es claro:
“Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus
archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado”.

Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para
recuperar la información secuestrada. La lista de extensiones cifradas es amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk
.vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip Documentos, bases de datos, hojas de cálculo, correos, archivos comprimidos… toda la información importante se verá cifrada tras la actuación de Petya.

Petya no es un malware nuevo, hace más de un año ya empezamos a ver muestras de este malware. En esta ocasión nos encontramos con una nueva
versión que ha recogido el exploit empleado por Wannacry para su actuación.

En esta ocasión el rescate solicitado para recuperar la información  es de 300 euros en bitcoins.

Una de las acciones que realiza este malware es cifrar el MBR al reiniciar, por lo que ya será imposible acceder al sistema operativo y solo se mostrará una pantalla al arrancar el ordenador. De todas formas cuenta con un temporizador de una hora para forzar el reinicio. La recomendación en este caso es desconectar el equipo de la red hasta actualizar, pero no apagarlo y evitar cualquier tipo de reinicio forzado.

Para la infección a través de la red emplea técnicas de movimiento lateral a través de WMIC. Estas técnicas permiten al malware conseguir información de los sistemas de la red incluso sin necesidad de utilidades adicionales como RAT.

Los parches a aplicar en este caso son los mismos que para Wannacry. Es decir, aquellos sistemas que ya aplicaron los parches necesarios anteriormente no pueden verse afectados. Las actualizaciones publicadas por Microsoft para evitar esta vulnerabilidad se encuentran bajo el boletín MS17-010 y son las siguientes según sistema:
Para Windows 8.1
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216
Para Windows 10
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
Para Windows 7 y Server 2008
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Windows XP, Server2003 y 8
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Muestra de Petya en Virustotal

https://twitter.com/karlhiramoto/status/879726653924139008

Al igual que ocurría con Wannacry se buscaba un “botón de desactivación”, un dominio que en caso de no existir podría detener la cadena de propagación. Un investigador español ha encontrado el dominio coffeeinoffice.xyz que ya ha sido desactivado. Aunque aun no se ha comprobado que eso haya parado la propagación.

Por otra parte, la dirección de correo del atacante a través de la cual se realiza el pago está bloqueada, por lo cual será imposible llegar a realizar el pago.

Sin duda una de las imágenes del ataque queda reflejada en esta foto de un supermercado ucraniano:

Está claro. No aprendemos.
http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2017/06/petya-es-el-nuevo-ransomware-que-causa.html#comment-form

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

una-al-dia (17/05/2017) WannaCry y las lecciones que nunca aprendemos
http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Identificado ataque de ransomware contra varias multinacionales con sede en España
https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html

VirusTotal
https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
https://virustotal.com/es/file/71e48c8cfe11a823ed3d26793fe0c925621a0d693d4925538de2ec7313062d67/analysis/

Wanna Cry Ransomware : Update 5/21/2017 FIX
https://answers.microsoft.com/en-us/windows/forum/windows_10-security/wanna-cry-ransomware/5afdb045-8f36-4f55-a992-53398d21ed07

una-al-dia (30/03/2016) Petya, un nuevo ransomware que impide el acceso al disco duro
http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.html