Los ciberdelincuentes usan el ransomware para extorsionar a usuarios y empresas

El pasado mes de marzo ha sido, con diferencia, el mes en el que el ransomware, el malware que cifra la información de los usuarios y exige un rescate por su recuperación, ha estado más activo desde que se empezó a hablar de esta amenaza hace ya unos años, debido especialmente a la propagación de numerosas variantes que, en sucesivas oleadas, han llevado las tasas de detección registradas en los servicios de telemetría de ESET a unas cifras que no habíamos visto hasta la fecha. Entre los países en los que se han observado más detecciones se encuentra España, pero también otros como Japón, Reino Unido, Irlanda o Nueva Zelanda.

Entre las variantes de ransomware que se han observado en el laboratorio de ESET destaca el regreso de TeslaCrypt en la forma de email que suplanta a Correos. Tras analizarlo, se comprobó que los delincuentes habían realizado pocos cambios: la única novedad importante consistía en haber utilizado credenciales únicas para cada víctima, las cuales deben usarse para acceder al panel de control que permite realizar el pago del rescate.

Otra variante clásica que regresó con fuerza el pasado mes de marzo fue CTB-Locker, en esta ocasión orientado a cifrar archivos en servidores web para afectar así a las webs que alojan. Además, como dato curioso, esta nueva variante permite mantener una conversación con los delincuentes mediante un chat para pedir ayuda o soporte a la hora de pagar el rescate y descifrar los ficheros.

Pero las variantes de ransomware que han conseguido una mayor tasa de propagación a nivel mundial han sido, sin duda, Locky y TeslaCrypt. Usando el email como principal vector de ataque, los delincuentes utilizaron varios asuntos para tratar de engañar a sus víctimas y conseguir que ejecutaran el fichero adjunto malicioso.

Otra técnica utilizada por los delincuentes para propagar estas amenazas ha sido la utilización de publicidad maliciosa en sitios web populares con muchas visitas. Entre las webs afectadas se encontraban algunas de las más visitadas en Estados Unidos. Los delincuentes consiguieron colocar anuncios maliciosos gracias a la compra de dominios expirados de proveedores de publicidad online legítimos.

También se ha observado cómo aparecían nuevas muestras de ransomware con alguna particularidad que los diferenciaba del resto, como Petya. Este ransomware cifra una parte en concreto del sector de arranque del disco que se utiliza para poder ubicar todos los ficheros almacenados. De esta forma, el sistema y todos los archivos quedan inaccesibles a menos que se pague el rescate exigido por los delincuentes.

Pero Windows no es el único sistema operativo afectado por el ransomware. Además de los casos que se han analizado en meses anteriores y que afectaban también a dispositivos Android e incluso a algún que otro servidor Linux, este mes Mac OS ha sido el objetivo de un nuevo ransomware plenamente funcional que responde al nombre de KeRanger.

Los delincuentes detrás de esta amenaza consiguieron infectar una Transmission, conocida aplicación de descarga de ficheros por BitTorrent, y ofrecerla para su descarga durante un tiempo limitado desde la web oficial. Al ejecutar un fichero malicioso ubicado en la carpeta de instalación de Transmission, el ransomware empieza a cifrar archivos con ciertas extensiones, dejando un fichero de texto con las instrucciones a seguir para pagar el rescate en cada carpeta donde haya ficheros cifrados.

Pero no todo son malas noticias. En marzo también empezó el juicio contra uno de los grupos encargados de propagar el conocido como “Virus de la Policía”, detenidos en febrero de 2013. Aunque ahora yo no se observan tantas variantes de este tipo de ransomware, a día de hoy aún siguen existiendo amenazas de este tipo, especialmente dirigidas a dispositivos móviles con sistema Android.

“Que las infecciones por ransomware hayan llegado a estos niveles tan preocupantes demuestra que detrás de estas campañas se encuentran bandas de cibercriminales que están haciendo su agosto”, comenta Josep Albors, director del laboratorio de ESET España. “Debemos estar preparados ante este tipo de amenazas, y la mejor forma de prevenir que afecten a nuestros sistemas es sabiendo cómo protegerlos, limitando los vectores de ataque y contando con copias de seguridad actualizadas”, concluye Albors.

Amenazas en USB y bots que afectan a routers

El ransomware no ha sido la única amenaza que se ha analizado en el laboratorio de ESET durante el pasado mes de marzo. Entre otras, destaca la detección del troyano USB Thief, que ha estado propagándose mediante dispositivos USB y cuya finalidad es el robo de datos. La peculiaridad de este troyano es que no deja ningún rastro en los sistemas que infecta y emplea un mecanismo especial para evitar copiarse a otros dispositivos, lo que dificulta su detección y hace pensar que estamos ante algún tipo de ataque dirigido.

Pero no ha sido el único malware destacado descubierto en los laboratorios de la compañía, puesto que en marzo también se ha publicado el análisis de Remaiten, un bot de IRC que tiene como objetivo a routers y otros dispositivos del Internet de las cosas. Este malware se conecta a los dispositivos usando el protocolo Telnet por el puerto 23, desde el que realiza ataques de fuerza bruta para intentar adivinar las credenciales de acceso. A continuación, Remaiten descarga el código adecuado para la plataforma en la que se encuentra, lo ejecuta y permite así el control remoto del dispositivo por parte de los atacantes.

A pesar de las amenazas avanzadas, la mayoría del malware analizado sigue siendo relativamente simple. Un ejemplo lo tenemos en el envío masivo de correos fraudulentos que se hacen pasar por Google e intentan que los usuarios accedan a una supuesta página de registro en la que autenticarse en varias plataformas online. Por supuesto, la finalidad de los atacantes es robar las contraseñas de aquellos usuarios que las introduzcan en esta web de phishing.

Por su parte, Microsoft ha dado un paso adelante para mejorar la protección de sus usuarios y ha presentado una nueva característica en Office 2016. Esta nueva funcionalidad permite al administrador de sistemas de una empresa bloquear mediante políticas de grupo la ejecución de cualquier tipo de macro en documentos de Office, evitando así que un usuario ejecute accidentalmente una macro maliciosa que permita infectar sus sistema.

Seguridad en dispositivos móviles: el FBI contra Apple

Si hay una noticia destacada relacionada con los dispositivos móviles durante el mes de marzo, esta es sin duda la batalla legal que han mantenido Apple y el FBI en relación con el iPhone de uno de los responsables del tiroteo de San Bernardino. El FBI exigía a Apple que desbloquease el iPhone del principal acusado, pero la compañía se negó aludiendo a la privacidad de sus usuarios.

Finalmente el FBI canceló esta orden, puesto que, aparentemente, consiguió acceder al dispositivo mediante otros medios. No obstante, este parece que será solo el primero de muchos casos que están por venir y que afectará también a móviles que usen otros sistemas operativos como Android.

Precisamente, la seguridad de Android volvió a ponerse en entredicho cuando investigadores israelíes aseguraron haber descubierto una nueva vulnerabilidad bautizada como Metaphor. Esta vulnerabilidad sigue aprovechándose de Stagefright y funciona en versiones de Android que van desde la 2.2 a la 5.1, permitiendo a un atacante que la explote espiar al usuario del dispositivo.

El mes pasado también se detectó un troyano bancario para Android dirigido a los clientes de los bancos más importantes de Australia, Nueva Zelanda y Turquía. El troyano se hace pasar por una falsa aplicación de Flash Player y es capaz de detectar los SMS enviados como doble factor de autenticación y robar así las credenciales de hasta 20 aplicaciones de banca móvil.