domingo, 21 de mayo de 2017

Symantec informa lo que necesita saber sobre el software de secuestro informático WannaCry

america Caribbean cibercriminales consejos Director informático Ingeniería Latin ransomware Sebastian Brenner secuestro SOFTWARE Symantec informa tendencias tips WannaCry
El software de secuestro informático WannaCry se propaga de forma agresiva a través de las redes, bloquea archivos y exige rescate por ellos.

Escrito por: 

¿Qué ha sucedido?
El 12 de mayo de 2017 comenzó a propagarse ampliamente una nueva variante de la cepa Ransom.CryptXXX (WannaCry), un software de secuestro informático o ransomware, que afectó a un gran número de organizaciones, en particular en Europa.

¿Qué es el software de secuestro informático WannaCry?
WannaCry cifra archivos de datos y pide al usuario que pague un rescate de USD 300 en bitcoins. La nota de rescate indica que el monto del pago se duplicará después de tres días. Si no se realiza el pago después de siete días, los archivos cifrados se eliminan.
Symantec-informa-software-secuestro-informático-WannaCry
Figura 1. Pantalla de reclamación de rescate mostrada por el troyano WannaCry

El troyano también deja un archivo llamado !Please Read Me!.txt, que contiene el texto en el que se explica lo sucedido y la manera de pagar el rescate.

Symantec-informa-software-secuestro-informático-WannaCry
Figura 2. Nota de reclamación de rescate del troyano WannaCry

WannaCry cifra archivos que tienen las siguientes extensiones, y añade el sufijo .WCRY al final del nombre del archivo:
  • .lay6
  • .sqlite3
  • .sqlitedb
  • .accdb
  • .java
  • .class
  • .mpeg
  • .djvu
  • .tiff
  • .backup
  • .vmdk
  • .sldm
  • .sldx
  • .potm
  • .potx
  • .ppam
  • .ppsx
  • .ppsm
  • .pptm
  • .xltm
  • .xltx
  • .xlsb
  • .xlsm
  • .dotx
  • .dotm
  • .docm
  • .docb
  • .jpeg
  • .onetoc2
  • .vsdx
  • .pptx
  • .xlsx
  • .docx
Se propaga a otras computadoras atacando una vulnerabilidad conocida en la ejecución de código remoto de la versión 2 del bloque de mensajes de servidor (SMBv2) en equipos con Microsoft Windows: MS17‑010

Rueda de prensa Symantec

Rueda de prensa Symantec / Que saber sobre Ramsomware WannaCry 17 Mayo - 2017Ph By #SarahLee @AnastasiaLeeEdi @...
Posted by Revista Whats Up on sábado, 20 de mayo de 2017
¿Estoy protegido contra esta amenaza?
Los clientes de Symantec y de Norton están protegidos contra WannaCry mediante una combinación de varias tecnologías. Están disponibles las siguientes detecciones:
Antivirus
Sistema de prevención de intrusiones
  • 21179 (Ataque al sistema operativo: ejecución de código remoto del SMB en Microsoft Windows 3)
  • 23737 (Ataque: actividad de descarga de shellcodes)
  • 30018 (Ataque al sistema operativo: enlace de interfaz de administración remota del MSRPC)
  • 23624 (Ataque al sistema operativo: ejecución de código remoto del SMB en Microsoft Windows 2)
  • 23862 (Ataque al sistema operativo: ejecución de código remoto del SMB en Microsoft Windows)
  • 30010 (Ataque al sistema operativo: ejecución de código remoto del SMB en Microsoft Windows CVE‑2017‑0144)
  • 22534 (Sistema infectado: actividad de carga útil maliciosa 9)
  • 23875 (Ataque al sistema operativo: intento de divulgación del SMB de Microsoft MS17‑010)
  • 29064 (Sistema infectado: actividad de Ransom.Ransom32) 
Las organizaciones también deben cerciorarse de tener instaladas las actualizaciones de seguridad más recientes de Windows, en particular la descrita en el boletín de seguridad MS17‑010, para evitar la propagación.

Symantec-informa-software-secuestro-informático-WannaCry
Symantec-informa-software-secuestro-informático-WannaCry
Symantec-informa-software-secuestro-informático-WannaCry
Symantec-informa-software-secuestro-informático-WannaCry

¿Quiénes se ven afectados?
Numerosas organizaciones en todo el mundo han sido afectadas, la mayoría de ellas en Europa.

¿Se trata de un ataque focalizado?
No, al parecer no es un ataque focalizado por el momento. Las campañas de software de secuestro informático por lo general son indiscriminadas.

¿Por qué causa tantos problemas para las organizaciones?
WannaCry posee la capacidad de autopropagarse dentro de redes corporativas, sin intervención de los usuarios, atacando varias vulnerabilidades conocidas de Microsoft Windows. Las computadoras expuestas a la infección son las que no tienen instaladas las actualizaciones de seguridad más recientes de Windows.

¿Puedo recuperar los archivos cifrados?
Por el momento no hay forma disponible de descifrar los archivos, pero Symantec está llevando a cabo investigaciones al respecto. Symantec no recomienda pagar el rescate. Los archivos cifrados deben restaurarse a partir de respaldos, cuando sea posible.

¿Cuáles son las mejores prácticas para protegerse contra el software de secuestro informático?
  • Regularmente aparecen nuevas variantes de software de secuestro informático. Siempre tenga actualizado su software de seguridad para poder protegerse contra esta amenaza.
  • Mantenga actualizados su sistema operativo y los demás programas. Las actualizaciones de software con frecuencia incluyen parches para corregir vulnerabilidades de seguridad recién descubiertas que podrían ser el blanco de los ataques de software de secuestro informático.
  • El correo electrónico es uno de los principales medios de infección. Ponga especial atención a los correos electrónicos inesperados, en particular si contienen enlaces y/o archivos adjuntos.
  • Tenga extrema cautela con cualquier archivo adjunto de correo electrónico en formato de Microsoft Office que le advierta habilitar las macros para ver su contenido. A menos que tenga plena certeza de que se trata de un correo electrónico genuino de un remitente confiable, no habilite las macros y elimine de inmediato el correo electrónico.
  • Respaldar los datos importantes es la forma más efectiva y sencilla de combatir la infección de software de secuestro informático. Los atacantes se aprovechan de sus víctimas cifrando archivos valiosos y dejándolos inaccesibles. Si la víctima tiene copias de respaldo, podrá restaurar sus archivos una vez que la infección se haya eliminado. Sin embargo, las organizaciones deben asegurarse de que los respaldos estén debidamente protegidos, o almacenados sin conexión a la red, para que los atacantes no puedan eliminarlos.
  • El uso de servicios en la nube puede ayudar a mitigar la infección por software de secuestro informático, pues muchos de ellos conservan versiones previas de los archivos, lo cual le permitirá “dar marcha atrás” y recuperar los archivos descifrados.


Symantec-informa-software-secuestro-informático-WannaCry
Symantec-informa-software-secuestro-informático-WannaCry
Un Aumento Alarmante en Ataques Dirigidos Enfocados en Subversión y Sabotaje con Motivaciones Políticas

Informe anual de amenazas de Symantec detalla cómo simples tácticas llevaron a consecuencias nunca antes vistas

Uno en cada 131 correos electrónicos incluye un enlace o adjunto malicioso – El Índice más alto en cinco años.
El Volumen de víctimas de Ransomware aumentó el 266%; EEUU es el País que más sufre ataques, pues el 64% de los norteamericanos pagan rescate.
Los CIOs perdieron registro de cuántas Apps utilizan sus empresas en la Nube- Al ser Interrogados, la mayoría dirá que hasta 40, cuando en la realidad el número llega casi a 1.000.  

Los cibercriminales revelaron nuevos niveles de ambición en 2016 - un año marcado por ataques extraordinarios, que incluyen asaltos virtuales a bancos de varios millones de dólares y evidentes intentos de dificultar el proceso electoral en los EEUU liderados por grupos patrocinados por naciones, según el Informe Sobre Amenazas a la Seguridad en el Internet (ISTR) de Symantec (Nasdaq: SYMC), Volumen 22, lanzado hoy.

“La sofisticación e innovación forman parte de la naturaleza del escenario de amenazas, pero este año Symantec ha identificado cambios sísmicos en motivación y enfoque”, dijo Kevin Haley, director de Symantec Security Response. “El mundo ha visto a naciones específicas doblar sus esfuerzos para manipulación política y sabotaje dirigido. Al mismo tiempo, los cibercriminales han causado niveles sin precedentes de interferencia, enfocándose en herramientas de TI y servicios en la nube relativamente sencillos".

El informe ISTR de Symantec brinda una amplia visión del escenario de amenazas, que incluye conocimiento detallado sobre actividades de amenazas globales, tendencias de cibercrímenes y motivaciones de los grupos de ataque. Los más destacados incluyen:

Los ataques de subversión y sabotaje han tomado los titulares
Los cibercriminales vienen ejecutando ataques políticos devastadores en un movimiento para comprometer una nueva clase de objetivos. Los Ciberataques contra el Partido Demócrata en EEUU y la subsiguiente filtración de información robada, reflejan la tendencia de los criminales a emplear campañas explícitas y con gran divulgación en los medios de comunicación, destinadas a desestabilizar y perjudicar a las organizaciones y a los países, que se convirtieron en blancos. Si bien los ciberataques que implican sabotaje han sido tradicionalmente raros, el éxito percibido de varias campañas - incluso la elección de EEUU y Shamoon – apuntan hacia una creciente tendencia de los criminales que intentan influir en la política y sembrar la discordia en otros países. 

Las naciones blanco de grandes ataques 
Un nuevo tipo de grupos de atacantes han revelado grandes ambiciones financieras, que pueden ser un ejercicio para ayudar a financiar otras actividades secretas y subversivas. Actualmente, los asaltos más grandes se realizan de modo virtual, con miles de millones de dólares robados por cibercriminales. Si bien, algunos de esos ataques son obras de grupos organizados de criminales, por primera vez, algunas naciones parecen también estar involucradas. Symantec ha descubierto evidencias que vinculan a Corea del Norte con los ataques a bancos en Bangladesh, Vietnam, Ecuador y Polonia. 

“Este fue un golpe extremadamente audaz, y la primera vez que observamos fuertes indicios de participación de naciones en cibercrímenes financieros”, dijo Kevin Haley, director de Symantec Security Response. “A pesar de que su objetivo era asaltar un valor superior, el grupo de ataque robó por lo menos US$ 94 millones.”

Grupos de ataque transforman software común en armas; el correo electrónico se ha tornado en el arma principal
En 2016, Symantec observó a los cibercriminales usar PowerShell, un lenguaje común de script instalado en PCs y archivos de Microsoft Office como armas. Si bien los administradores de sistemas pueden usar esas herramientas comunes de TI para tareas diarias de administración, cada vez más los cibercriminales están utilizando esta combinación para sus campañas, ya que deja menos evidencias y ofrece la posibilidad de esconderse en áreas visibles. Debido al amplio uso de PowerShell por grupos de ataque, el 95% de los archivos PowerShell vistos por Symantec en su análisis eran maliciosos. 

El uso del correo electrónico como vía de infección también ha aumentado, convirtiéndose en una de las armas principales para los cibercriminales y una peligrosa amenaza para los usuarios. Symantec ha identificado que uno en cada 131 correos electrónicos incluía un enlace o adjunto malicioso - el índice más alto en cinco años. Asimismo, los fraudes conocidos como BEC (Business Email Compromise), enfocados en comprometer los correos electrónicos corporativos y que usan básicamente correos electrónicos de spear phishing cuidadosamente compuestos, han robado más de 3.000 millones de dólares en los últimos tres años, teniendo como blanco diariamente a más de 400 empresas.




Ceder a la extorsión digital: los estadounidenses están más dispuestos a pagar pedidos de rescate 
El Ransomware continúa creciendo como un problema global y un negocio lucrativo para los criminales. Symantec ha identificado más de 100 nuevas familias de malware lanzadas en el mercado, más del triple del volumen visto anteriormente, y un incremento del 36% en los ataques globales de ransomware. 

Sin embargo, Estados Unidos está firmemente en el punto de mira de los grupos de ataque como el principal blanco. Symantec ha identificado que el 64% de las víctimas estadounidenses de ransomware están dispuestas a pagar un rescate, en comparación con el 34% de las víctimas de otras partes del mundo. Desafortunadamente, eso deja consecuencias. En 2016, el rescate promedio creció en un 266% con criminales que exigían un valor promedio de US$ 1.077 por víctima en comparación a los US$ 294 conforme relatado el año anterior.

Vulnerabilidades en la nube: la próxima frontera del cibercrimen ha llegado
La creciente dependencia de servicios en la nube ha dejado vulnerables a las compañías para los ataques. Decenas de miles de bancos de datos en la nube de un proveedor específico fueron secuestrados y mantenidos como rehenes en 2016, después que los usuarios dejaron desactualizadas y abiertas las bases de datos en el internet sin la autenticación activada. 

La seguridad en la nube continúa siendo un reto para los CIOs. Según datos de Symantec, los CIOs perdieron el control de cuántas aplicaciones utilizan en la nube dentro de sus compañías. Al ser cuestionados, la mayoría asume que sus compañías usan hasta 40 aplicaciones en la nube cuando en la realidad el número llega casi a 1.000. Esta diferencia puede llevar a una falta de políticas y procedimientos acerca de cómo los funcionarios pueden acceder a servicios en la nube, lo que aumenta el riesgo de las aplicaciones en la nube. Estas vulnerabilidades encontradas en la nube están tomando forma. Symantec prevé que si los CIOs no consiguen obtener un mayor control sobre las aplicaciones usadas en la nube dentro de sus compañías, observarán un cambio en la forma cómo entran las amenazas en su entorno. 

Acerca del informe de amenazas a la seguridad de internet 
El Informe de Amenazas a la Seguridad de Internet (ISTR), brinda una visión general y el análisis anual de las actividades de amenazas globales. El informe tiene como base los datos de la Red de Inteligencia Global de Symantec, usados por los analistas de Symantec para identificar, analizar y proporcionar comentarios acerca de las nuevas tendencias en ataques, actividades de códigos maliciosos, phishing y spam.

Sebastian-Brenner-Director-Ingeniería-Latin-America-Caribbean
SEBASTIAN BRENNER
Director de Ingeniería  – Latin America and Caribbean

Sebastian Brenner cuenta con más de 10 años de experiencia en las tecnologías y servicios de Symantec y ha trabajado con organizaciones de Gobierno e Instituciones públicas y privadas en más de 15 países de la región. 

En la última década, Sebastian ha formado parte del equipo técnico de ventas y servicios en Symantec, desempeñándose como Ingeniero de ventas. Actualmente ocupa el cargo de Director de Ingeniería para Latinoamérica y el Caribe. Hasta el 2016, él ocupó el cargo de Security Strategist. Este es un equipo selecto en Symantec de 8 Profesionales de Seguridad para Estados Unidos y 2 para Latinoamérica que se encargan de ayudar a desarrollar y mejorar los programas de Seguridad de los clientes y compartir su experiencia y opinión sobre las últimas tendencias en Ciberseguridad, investigaciones de ataques y vulnerabilidades. Es un orador frecuente en eventos de la industria de seguridad, el sector Financieros y de Gobierno en la región.

Antes de incorporarse a Symantec, Sebastian trabajo en instituciones líderes como Ticketmaster Corporation y Valencia College. Es originario de Argentina y Licenciado en Ciencias de la Computación en la Universidad del Centro de la Florida (UCF). Cuenta con amplios conocimientos en materia de Ciberseguridad y manejo y protección de información y está certificado en CISSP, ITIL V3, PCIP and CCSK.

--
revista-whats-up-aficiones-colombia


Sarah Lee Méndez

Directora / Jefe de Prensa / Editora Contenido / Fotógrafa / Twitters: @AnastasiaLeeEdi @revistawhatsup / Instagram @sarahleefotografia

Con más de una década de experiencia en relaciones públicas, manejo de redes sociales, CM, diseño de Blogs, fotógrafa para eventos.

Suscribete vía Email / Es importante para nosotros!

 

VISITA OTRAS SECCIONES

  • Copyright © Tecnología, Redes Sociales - Whats up™ REVISTA WHATS UP.
    / AFICIONES COLOMBIA DISEÑO SARAH LEE