Etiqueta: Ransomware

Ransomware ganó docenas de ciudades y escuelas estadounidenses en 2019 | Noticias y opiniones


(El crédito de la foto debe leer Rob Engelaar / AFP / Getty Images)

2019 está abajo, el año en que el ransomware causó estragos en el sector público.

En los Estados Unidos, los ataques han afectado al menos a 103 agencias del gobierno de los Estados Unidos, principalmente a nivel estatal y municipal, según el proveedor de antivirus Emsisoft, uno de los principales proveedores de herramientas de descifrado. de ransomware.

El jueves, la compañía publicó un informe que detalla la epidemia de ransomware en curso, que ha pasado de apuntar a las PC de consumo a la presa de computadoras mal protegidas en grandes organizaciones, especialmente el sector público.

Los ataques han llegado a los titulares durante el año pasado por el cierre de los servicios de TI en gobiernos municipales, escuelas y proveedores de atención médica. Tan recientemente como hoy, la ciudad de Nueva Orleans dijo que fue atacada por un posible ataque de ransomware que llevó a la ciudad a cerrar los sistemas informáticos municipales.

Emsisoft ha intentado medir la magnitud del problema en los Estados Unidos basándose en informes de prensa y datos de la compañía para contar la cantidad de víctimas afectadas. Baste decir que la situación es mala. Además de las agencias gubernamentales, este año, los ataques de ransomware con sede en Estados Unidos han afectado a 86 universidades, colegios y distritos escolares. Durante el mismo período, 759 proveedores de atención médica en el país también fueron víctimas de agresión.

La escala de los ataques indica que los piratas informáticos pueden haber causado miles de millones de daños. De hecho, puede costarle a una organización miles o millones de dólares recuperarse de un incidente de ransomware, dijo Emsisoft en el informe.

"Como los ataques de ransomware contra los gobiernos, los proveedores de atención médica y las instituciones educativas han demostrado ser efectivos, se espera que estos sectores continúen siendo fuertemente atacados en 2020", continuó el compañía.

Se sabe que los gobiernos, las escuelas y los proveedores de atención médica gastan poco en seguridad de TI debido a sus presupuestos limitados. Como resultado, sus sistemas informáticos pueden convertirse en objetivos fáciles para los piratas informáticos. Las intrusiones pueden ocurrir en una vulnerabilidad no corregida en un sistema de conexión remota, por ejemplo. O el hacker engañará a un empleado para que abra un archivo adjunto que contenga malware.

En cuanto al ransomware, los ataques pueden desplegarse infectando en secreto no solo un sistema informático, sino flotas enteras de máquinas para cifrar todos los archivos a bordo. Los hackers luego ofrecerán liberar los datos cifrados, pero solo si la víctima paga.

El proveedor de antivirus Kaspersky Lab también rastreó los ataques de ransomware y descubrió que podían terminar exigiendo entre $ 5,000 y $ 5 millones a las víctimas cuando atacaban a una organización municipal.

Desafortunadamente, resolver el problema no será fácil. "Los presupuestos municipales de seguridad cibernética a menudo se centran más en el seguro y la respuesta de emergencia que en medidas defensivas proactivas. Esto se traduce en casos en los que la única solución posible es pagar a los delincuentes y facilitar su delito. actividades ", dijo Kaspersky Lab en un informe el miércoles. "Además, los datos almacenados en las redes municipales a menudo son vitales para el funcionamiento de los procesos diarios".

Para cambiar el status quo, el sector público tendrá que priorizar la seguridad de TI mientras se abstiene de pagar las demandas de rescate, ya que esto solo lleva a los hackers a atacar nuevamente. Las agencias gubernamentales, las escuelas y los proveedores de atención médica también deberían invertir en la creación de salvaguardas.

El fabricante de correos de Pitney Bowes fue víctima de un aparente ataque contra ransomware | Noticias y opiniones


(Foto: Rob Engelaar / AFP / Getty Images)

Un aparente ataque de ransomware golpeó al proveedor de envíos Pitney Bowes, evitando que las compañías agreguen costos de envío a sus paquetes y probablemente afectando al servicio de correo de los EE. UU. Para enviar su correo también.

Pitney Bowes atribuye esta interrupción a un "ataque de malware que encripta información en ciertos sistemas", lo cual es consistente con la operación habitual de las infecciones de ransomware.

"Nuestro equipo técnico está trabajando para restaurar los sistemas afectados, está trabajando de cerca con consultores externos para resolver este problema, y ​​estamos analizando todas las opciones para acelerar este proceso", dijo la compañía en un comunicado el lunes.

La compañía, que tiene más de un millón de clientes profesionales, es quizás mejor conocida por sus medidores de correo, que en principio pueden sellar un paquete para usted. Según Pitney Bowes, los medidores de franqueo de la compañía continúan funcionando, pero el ataque impide que los clientes repongan sus fondos para imprimir más fondos de franqueo.

Como resultado, algunos usuarios han recurrido a las redes sociales para publicar imágenes de sus máquinas de franqueo con errores informáticos. El acceso al servicio Pitney Bowes Send Pro en línea en el Reino Unido y Canadá también se interrumpe.

Además, el mismo ataque ocurrió en el servicio de catalogación de correo "preestablecido" de la compañía para USPS. Sin embargo, dado que el servicio postal de los Estados Unidos está cerrado hoy debido a la licencia federal del Día de Colón, no está claro si la interrupción retrasará la entrega del correo en todo el país. USPS no respondió de inmediato a una solicitud de comentarios.

Pitney Bowes se niega a dar detalles del ataque y si los piratas detrás del disturbio exigen un rescate. Pero hay buenas noticias. "Hasta la fecha, la compañía no ha visto evidencia que indique que los datos de clientes o empleados hayan sido mal utilizados", dijo el proveedor de servicios de envío en un comunicado publicado el lunes. Los sistemas de envío "transfronterizos" de la compañía tampoco se modifican.

Cuando un ransomware llega a un negocio, generalmente lo hace cifrando los datos en flotas informáticas enteras. Luego se publica una nota de rescate en las computadoras, pidiéndole a la víctima que pague o vea todos sus datos borrados. En algunos casos, los rescates pueden alcanzar más de $ 100,000 y millones de dólares cuando una gran corporación se ve afectada.

El FBI y los expertos en seguridad generalmente le aconsejan que nunca le pague a un atacante de ransomware. Esto alienta a los piratas informáticos a atacar nuevamente mientras no hay garantía de que descifrarán su computadora. Sin embargo, muchas víctimas, especialmente las empresas e incluso las autoridades municipales, terminan pagando un rescate, lo que lleva a los piratas informáticos a continuar asumiendo todas las computadoras comerciales vulnerables que tienen. ellos pueden encontrar.

Falla en iTunes para Windows abusado por ataques de ransomware | Noticias y opiniones


Según los investigadores de seguridad, los atacantes de ransomware han abusado de una vulnerabilidad de la versión de Windows de iTunes de Apple para evitar su detección por software antivirus.

El problema es con el programa de actualización Bonjour creado por Apple y provisto con iTunes para Windows, que se utiliza para proporcionar actualizaciones de software a la aplicación. La compañía de seguridad Morphisec descubrió que también sufría de una "vulnerabilidad de ruta no especificada", que podría hacer que el programa de actualización Bonjour realice un archivo no discriminatorio, sea seguro o malicioso. .

Los hackers en la raíz de la cepa de ransomware BitPaymer descubrieron la vulnerabilidad y la usaron en sus ataques. Específicamente, entregaron un archivo malicioso para explotar la falla y evitar la detección de software antivirus integrado en un sistema Windows.

El programa de actualización de Bonjour es bien conocido en la industria del software. Por lo tanto, los algoritmos de protección antivirus generalmente lo ignoran para evitar conflictos de software en las PC con Windows, dijo Michael Gorelik, CTO de Morphisec, en un informe publicado el jueves.

"En este escenario, Hello intentaba ejecutar desde la carpeta Archivos de programa, pero debido a la ruta no especificada, ejecutó el ransomware BitPaymer porque no era posible. llamado "Programa", agregó.

Según Morphisec, los atacantes del ransomware BitPaymer se dirigieron a las empresas al entregar primero correos electrónicos de phishing que contienen malware en secreto. Los atacantes realizarán un descubrimiento en la red corporativa del objetivo antes de activar un ransomware en las computadoras de la víctima. Otros ataques inicialmente consistieron en adivinar las contraseñas de los escritorios remotos de una organización víctima para poder establecerse.

Afortunadamente, a principios de esta semana, Apple corrigió la vulnerabilidad de la ruta no listada en iTunes mediante la implementación de actualizaciones para iCloud en Windows 7 y Windows 10. Sin embargo, Morphisec advierte que muchos usuarios pueden ejecutar versiones no corregidas del programa de apuestas. a Bonjour en su PC, luego eliminó iTunes.

"Nos sorprendieron los resultados de una encuesta que mostró que el programa de actualización Bonjour está instalado en una gran cantidad de computadoras que pertenecen a diferentes compañías. Muchas computadoras han desinstalado iTunes allí tiene mucho tiempo mientras el componente Bonjour es silencioso, no se actualiza y aún funciona ". el fondo ", escribió Gorelik en su informe.

Puede desinstalar Bonjour yendo al menú de Configuración de Windows o usando el Panel de control. Aunque Apple está eliminando iTunes en el nuevo MacOS de Catalina, la compañía continuará usando el software en sistemas Windows.

Estos investigadores quieren salvarte de Ransomware (gratis) | Noticias y opiniones


Si su computadora está bloqueada por un ransomware, pagar no necesariamente liberará sus archivos; de hecho, recomendamos Nunca dar dinero a estos ladrones.

¿Que hacer? Existe una pequeña posibilidad de que pueda guardar sus archivos sin renunciar a su billetera o tirar su PC a la basura. Un grupo de investigadores de seguridad revisa periódicamente las últimas variedades de ransomware para buscar fallas en su código de computadora y desarrollar herramientas gratuitas que pueden (a veces) revertir la infección.

Michael Gillespie está entre estos investigadores. Es programador diario, pero en su tiempo libre trabaja como cazador de ransomware para la compañía de antivirus con sede en Nueva Zelanda, Emsisoft, un proveedor líder de descifradores de ransomware. Las víctimas desesperadas a menudo le piden ayuda. "Puedo conseguir de 50 a 200 personas al día que se comuniquen conmigo. Es una locura", dijo en una entrevista.

Encuentra los errores

Cuando una infección de ransomware llega a su PC, el código malicioso encripta sus archivos y publica una nota, lo que lo obliga a pagar o nunca volver a ver sus datos. Si cedes, los hackers (teóricamente) te enviarán una clave de descifrado para recuperar tus archivos. Pero como cualquier software, una cepa de ransomware puede tener errores. Gillespie explotó estas vulnerabilidades para crear unos 100 descifradores, que cualquiera puede descargar de forma gratuita.

Los errores pueden ocurrir por varias razones: el hacker detrás del código malicioso puede ser un principiante. O el ransomware en sí mismo puede ser una primera versión temprana, y aún tiene que resolver todos sus problemas. Si hay una debilidad en el algoritmo de cifrado (proceso crucial que convertirá sus archivos en galimatías), entonces un investigador potencialmente desentrañará un ataque de ransomware y revertirá la infección.

(Gillespie tiene un canal de YouTube dedicado a descifrar ransomware).

"La regla general es que la criptografía (criptografía) es difícil y que los desarrolladores de software de ransomware también son seres humanos", dijo Gillespie. Recientemente, las víctimas le han pedido ayuda para recuperarse de la cepa "STOP DJVU", a menudo provista de software pirateado. Afortunadamente, Gillespie pudo crear un descifrador porque las primeras versiones del ataque incluían una clave de descifrado utilizable para revertir la infección en el código de computadora del software ransomware.

"Los autores de Ransomware, en su conjunto, realmente no aprenden", dijo Fabian Wosar, Director de Tecnología en Emsisoft. Wosar comenzó a perseguir ransomware en 2012 y desde entonces ha creado algunos descifradores para unas 150 familias o más, lo que sorprendió.

Descifrado de Emsisoft

(Lista de herramientas de descifrado de Emsisoft)

"Hace cuatro años, estaba 100% seguro de que nunca veríamos una familia de ransomware con defectos que pudiéramos explotar", dijo. "Pero siempre los vemos con la misma frecuencia".

Sospecha que la razón principal es que los piratas informáticos novatos actualmente están tratando de ransomware. "Muchas personas se están uniendo al juego", dijo. Los escritores de ransomware más potentes, por otro lado, pueden retirarse después de acumular tantos rescates. "Así que tenemos un montón de gente nueva que comete los mismos errores una y otra vez".

Frustra a los piratas

Wosar estima que generalmente hay una posibilidad entre cinco de que una nueva cepa de ransomware se pueda descifrar con éxito. Se invirtieron otras tensiones gracias a las fuerzas del orden que eliminaron a los piratas informáticos y recuperaron las claves de descifrado de sus servidores.

Pero muchos hackers detrás de los mayores ataques de ransomware parecen ser profesionales que continúan evadiendo la captura. Las variedades de ransomware más populares hoycomo Revil y Ryuk-Es probable que esté relacionado con Las pandillas cibercriminales organizadas, especializadas en objetivos corporativos y municipales, han extorsionado con éxito millones de dólares en bitcoins a las víctimas.

Ransomware (el crédito de la foto debe coincidir con ROB ENGELAAR / AFP / Getty Images)

(Ron Engelaar / AFP / Getty Images)

Investigadores como Wosar y Gillespie han reducido significativamente los ingresos de algunos piratas informáticos, sus descifradores individuales se han descargado decenas de miles de veces.

Entonces, ¿por qué estos investigadores ayudan a las víctimas de forma gratuita? Crear un descifrador sin costo no es realmente rentable para una compañía antivirus. Pero esto genera una buena prensa para Emsisoft, que ayuda a justificar el tiempo y el esfuerzo proporcionados.

"Tengo la impresión de hacer mi parte del mundo y ganar mi gloria", dijo Gillespie. Fascinado por la criptografía, comenzó a tratar con ransomware hace cuatro años.

Con respecto a Wosar: "Personalmente, la razón principal por la que lo hago es porque realmente me gusta molestar a los escritores de software de ransomware".

Sin embargo, frustrar a los piratas informáticos a veces puede tener un precio. El año pasado, Wosar dejó Alemania, su país de origen, después de preocuparse de que un autor en ransomware algún día pudiera intentar localizarlo y encontrarlo. Enviar un asesino a sueldo. "En este punto, es posible que hayamos causado $ 750 millones en daños a todos los grupos de piratas informáticos", dijo. "Solo se necesitaría una pequeña fracción de esa cantidad para enviar a alguien a visitarme y convencerme de que no escriba más descifradores".

Fabian burlas 2

Burlas fabianas

(Los autores de los mensajes de ransomware se han ido a Fabian Wosar a lo largo de los años).

Wosar dice que actualmente se encuentra "en el nivel más bajo" en el Reino Unido, donde continúa examinando y descifrando las últimas variedades de ransomware. También mantiene un registro digital con capturas de pantalla de todas las veces que los piratas informáticos lo insultaron por descifrar sus ataques de ransomware. En 2016, un cibercriminal incluso creó una cepa de malware llamada "Fabiansomware" destinada a perseguir a Wosar.

"Es casi como un halago", dijo Wosar.

Emsisoft no es el único que desarrolla decodificadores de ransomware. El sector, junto con la policía, ha creado Nomoreransom.org, que alberga varios descifradores gratuitos, y ha ayudado a más de 200,000 víctimas a recuperarse de los ataques, según Europol.

Sin embargo, la aplicación de la ley de los Estados Unidos no forma parte del proyecto Nomoreransom.org, probablemente porque el sitio web incluye entre sus socios a la compañía de antivirus rusa Kaspersky Lab y al Ministerio del Interior ruso.

Un portavoz del FBI nos dijo que el papel principal de la agencia es investigar el ransomware, que puede incluir consultas privadas con las víctimas sobre sus opciones de recuperación. "Le diremos a las personas las claves de descifrado disponibles para el público y les diremos que usen su mejor criterio", dijo el portavoz.

Nomoreransom

(El sitio web de Nomoreransom.org).

El descifrado no es un saludo

Aunque las herramientas de descifrado gratuitas pueden aliviar el brote de ransomware en curso, tienen sus limitaciones. De hecho, los autores de ransomware pueden corregir rápidamente sus creaciones.

"Cada vez que publica una herramienta de descifrado gratuita, le dice a los malos que modifiquen su código", dijo. Jakub Kroustek, un investigador de seguridad de Avast, una compañía antivirus, también está desarrollando herramientas de descifrado. "Si los hackers son lo suficientemente inteligentes, lo arreglarán".

"Hay dos lados en esta sala", agregó. "Si entra una nueva cepa de ransomware y usted es la primera víctima, las posibilidades son bastante buenas, hay una falla". Pero estas herramientas de descifrado también pueden ayudar a los piratas informáticos a ajustar y depurar sus ataques, haciendo que sus creaciones de ransomware sean resistentes a futuros intentos de descifrado.

Como resultado, tomará más que la búsqueda de errores de software para frenar el brote de ransomware en curso. Las víctimasincluidos consumidores, empresas y gobiernostendrá que dejar de ceder a la demanda de ransomware y centrarse en proteger sus computadoras.

"El consejo de prevención número uno es salvaguardar", dijo Gillespie. "Si todas sus redes de seguridad fallan, una copia de seguridad es lo que puede salvarlo al final".

A %d blogueros les gusta esto: