Los secuestros de archivos continúan siendo una de las mayores amenazas a las que se enfrentan usuarios y empresas actualmente. El ransomware ha sido, una vez más, la amenaza con más presencia en los ataques observados por el laboratorio de ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, en abril.
Algunas de las variantes más destacadas para los secuestros de archivos durante el mes pasado han sido Petya y Jigsaw. En el caso de Petya, el ransomware no cifraba los archivos, sino el Master File Table del disco duro, con lo que se hacía imposible el acceso a los ficheros y se impedía que el sistema operativo arrancara. Por su parte, Jigsaw mostraba una imagen amenazadora de un personaje característico de la saga de películas “Saw” en la pantalla de bloqueo con instrucciones para pagar el rescate. Además, cada hora que pasaba, el ransomware iba eliminando ficheros e incluso borraba 100 archivos si el usuario trataba de detener el proceso o reiniciaba el sistema. Por suerte para el usuario, varios investigadores han conseguido desarrollar herramientas para evitar los secuestros de archivos que permiten descifrar los ficheros afectados por estas dos variantes, por lo que aquellos usuarios que hayan sufrido una infección pueden recuperar sus archivos sin tener que pagar un rescate a los ciberdelincuentes.
Hay que tener en cuenta que la mejor manera de no ser víctima de los secuestros de archivos es tomando las medidas de precaución adecuadas, entre las que destacan la actualización del sistema y de todas las aplicaciones que estén instaladas, puesto que muchas veces las vulnerabilidades son la puerta de entrada para el malware. Un claro ejemplo de esto son los agujeros de seguridad en Adobe Flash, usado desde hace tiempo para infectar a usuarios con todo tipo de amenazas.
Los secuestros de archivos están creciendo. La proliferación de nuevas variantes de ransomware demuestra que los delincuentes consideran esta amenaza como una importante fuente de ingresos
“La proliferación de nuevas variantes de ransomware demuestra que los delincuentes consideran esta amenaza como una importante fuente de ingresos”, afirma Josep Albors, director del laboratorio de investigación de ESET España. “Debemos tomar las medidas adecuadas para proteger nuestros sistemas, medidas que son relativamente fáciles de adoptar pero que nos pueden evitar problemas muy serios con la información almacenada en nuestros sistemas. De esta forma eviaremos los secuestros de archivos”, concluye Albors.
Engaños y estafas en emails y redes sociales
A pesar de la plaga del ransomware, hay otras técnicas que los delincuentes siguen usando y que les reportan interesantes beneficios de forma directa o mediante el robo de información confidencial como tarjetas de crédito. Durante las últimas semanas se han observado varios ejemplos de este tipo, ya sea en forma de correos no deseados o como falsas promociones en redes sociales.
Una de las campañas de spam más insistentes que hemos visto en los últimos años está protagonizada por un supuesto método para ganar dinero fácilmente invirtiendo en ciertas operaciones de bolsa. Pero Facebook también ha visto cómo los delincuentes intentaban engañar a los usuarios mediante publicaciones trampa: gafas de una conocida marca a precios de derribo para animar a los usuarios a comprarlas a través de una pasarela de pago insegura y robarles los datos de las tarjetas de crédito usadas; o una falsa aplicación que se hacía pasar por una publicación en la biografía con el nombre “My first video”, “My video”, “Private video” o una cadena de caracteres generados al azar y con la que se nos intentaba convencer de la instalación de una extensión maliciosa de Chrome que publicará en nuestro muro y enviará mensajes a nuestros contactos sin nuestro permiso.
Amenazas en móviles
Durante abril, conocimos el informe de seguridad en Android correspondiente a 2015 elaborado por Google, según el cual, ha descendido el número de dispositivos infectados. El mayor riesgo siguen siendo las aplicaciones instaladas desde orígenes desconocidos, que no pasan por los controles de los mercados oficiales.
El sistema operativo iOS de Apple también vio su seguridad comprometida al descubrirse una vulnerabilidad en las comunicaciones MDM que muchas empresas utilizan para gestionar remotamente los dispositivos móviles de sus empleados. Mediante esta vulnerabilidad, un atacante podría engañar a un usuario para que instalase un perfil de configuración modificado, usarlo para instalar su propio certificado raíz, suplantar el servidor MDM y lanzar una app maliciosa en el dispositivo de usuario que terminase ejecutando un malware.
Los usuarios de Apple fueron elegidos como objetivos por un grupo de ciberdelincuentes que intentó robar credenciales de Apple ID mediante el envío de mensajes que redirigían a webs de phishing. Estos mensajes se enviaban a los usuarios mediante mensajes de texto SMS e incluían el nombre del destinatario, por lo que resultaban muy convincentes a la hora de hacer que el usuario creyera que se había producido alguna incidencia con su ID de Apple.
Infraestructuras críticas, coches y botnets
El número de amenazas que ha afectado a infraestructuras críticas en los últimos años ha crecido lo suficiente para que su seguridad sea ahora una de las principales preocupaciones de los responsables de seguridad.
Es el caso de un banco en Bangladesh que vio cómo un grupo de ciberdelincuentes consiguió robar más de 81 millones de dólares usando una serie de herramientas que incluían un malware complejo. Permitió a los atacantes acceder a un software que se ejecuta en la infraestructura del banco, realizar la transferencia de dinero y eliminar cualquier rastro para dificultar la posterior investigación.
Otro caso descubierto en las últimas semanas es el de la central nuclear alemana de Gundremmingen, que tuvo que detenerse como precaución al encontrarse variantes de los malware Win32/Ramnit y Win32/Conficker en algunas máquinas, a las que llegaron mediante unidades de medios extraíbles. Estas infecciones se detectaron en sistemas que llevaban años desactualizados y que estaban encargados de visualizar información relacionada con el equipamiento que traslada las varillas de combustible nuclear.
Precisamente, también de Alemania y concretamente del Automóvil Club Alemán nos llegaron los resultados de otra investigación realizada en varios modelos de automóviles que disponen de llave electrónica. Los investigadores demostraron que era posible clonar la señal emitida por una de estas llaves y utilizarla para abrir y arrancar uno de estos vehículos. Todo esto con un equipamiento de apenas 200€ y a distancias que podrían llegar hasta los 100 metros.
Para cerrar el resumen mensual de abril con un dato positivo, durante el mes pasado anunciamos el resultado de la colaboración de ESET con la policía de Ucrania y la empresa CyS Centrum. Esta colaboración permitió desmantelar una red de ordenadores zombis, entre los que se incluía alrededor de 4.000 sistemas Linux.