CSIRT Panamá Aviso 2015-05- Información acerca de Ransomware

TOPICS:

Posted By: CSIRT Panamá May 28, 2015

CSIRT Panamá Aviso 2015-05- Información acerca de Ransomware
Gravedad: ALTA
Fecha de publicación: Mayo, 2015
Fecha de modificación: Mayo, 2015
Última revisión: Revisión B – Mayo 2015.

I. Sistemas Afectados
Windows en todas sus versiones, tanto de escritorio como de servidor. Esto incluye Linux y MacOS que estén ejecutando de forma virtual alguna versión de Windows.

II. Descripción
Ransomware (software malicioso de secuestro de información), es un tipo de código malicioso que restringe el acceso a los archivos del usuario mediante el cifrado de la información contenida en un computador. Luego de esto, el malware demanda el rescate de estos archivos a través un pago electrónico (bitcoins, por ejemplo) para poder habilitar el descifrado de los archivos secuestrados. Las imágenes 1 y 2 muestran distintos avisos utilizados por los ransomware más populares, al momento de cifrar los archivos de la víctima.

ctb-locker-la

III. Impacto
Vector de acceso: A través de red – remoto
Complejidad de Acceso: Baja
Autenticación: Se requieren permisos de instalación y ejecución de programas.
Tipo de impacto: Compromiso total/parcial de la disponibilidad y confidencialidad de los archivos del usuario/servidor.

ctb-locker-variante

IV. Detección
Es posible detectar y eliminar variantes de programas de rescate mediante barridos frecuentes con herramientas antivirus y antimalware actualizadas. Una buena implementación de políticas de filtrado de correo y cortafuegos permiten el descarte de fuentes maliciosas a las que el usuario puede acceder para la descarga e instalación involuntaria del ransomware.

¿Cómo se reconoce?
Un método común para infectar a usuarios con un ransomware es mediante correos. Se debe sospechar de fuentes desconocidas y correos en otros idiomas. Sin embargo es posible que el correo provenga de algún contacto conocido, se debe confirmar por otra vía (sin responder al correo de sospecha) sobre el envío del adjunto. Algunos correos viene con el asunto fax. Otro método de infección es al hacer click en un enlace que redirecciona a una página que realiza la descarga de forma automática. Se debe revisar primero hacia dónde dirige la página antes de hacer click en el enlace.

ransomware-propagation

Correo adjunto sospechoso

V. Recomendaciones

  • Generalmente el Ransomware utiliza mecanismos de cifrado no reversibles. La mayoría de las veces no existen mecanismos para descifrar los archivos sin la clave que está en poder de los atacantes. Las siguientes recomendaciones buscan brindar al lector opciones para evitar ser víctimas de este tipo de malware.
  • Evitar abrir archivos adjuntos o enlaces de Internet de procedencia sospechosa o desconocida. También pueden ocurrir casos donde se reciben correos maliciosos de contactos conocidos (donde ocurre una falsificación de identidad), por lo que se recomienda confirmar con la fuente si en verdad envió el adjunto, esto se debe realizar en persona/teléfono o en un correo aparte del recibido, ya que al responder un correo malicioso con identidad falsificada la respuesta se redirigiría al atacante y no al verdadero usuario del correo.
  • Evitar abrir enlaces sospechosos en Internet. Antes de hacer click en un enlace se puede revisar hacia dónde redirige solamente colocando el mouse sobre el enlace sin hacer click y se mostrará en pantalla o en la parte inferior el verdadero enlace de la página.
  • Realizar respaldos frecuentes y almacenarlos en discos duros sin acceso a Internet o a la red, ya que al infectar una máquina con acceso a un servidor se pueden cifrar también archivos del servidor.
  • Activar Shadow Volume Copies con la funcionalidad Restaurar Sistema de Windows en las máquinas importantes.
  • Actualizar herramientas anti-virus y anti-malware, y correr escaneos de forma regular.
  • Implementar políticas de filtrado de correo por el tipo de extensión de los archivos adjuntos. Se deben bloquear todos los adjuntos con extensiones .exe y .scr. Algunas variantes también pueden venir en archivos de extensión .cab.
  • Monitoreo constante de la actividad de conexión de los equipos en red para detectar algún comportamiento o tráfico inusual.

Todo el personal funcionario de la institución que utilice computadora, laptop, celular, tableta y cualquier dispositivo que le permita tener acceso al servicio de correo e Internet debe estar informado y capacitado en las campañas de concienciación sobre las infecciones de código malicioso, los correos sospechosos, correos fraudulentos, enlaces acortados y temas relacionados, para evitar que mediante ingeniería social y falsificación de identidad sean víctimas de un ataque por correo.

VI. Información Adicional

  • http://www.symantec.com/connect/blogs/support-perspective-ctb-locker-and-other-forms-crypto-malwareand-upatre
  • https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/25000/PD25696/en_US/McAfee_Labs_Threat_Advisory-CTB-Locker.pdff
  • http://www.welivesecurity.com/2015/01/21/ctb-locker-multilingual-malware-demands-ransome/

VII. Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124