En Octubre se han vuelto a despertar los peores temores hacia el ransomware
Durante el mes de octubre el foco de atención en materia de seguridad informática se ha centrado fundamentalmente en dos puntos: por un lado, hemos conocido a BadRabbit, una nueva infección de ransomware que ha afectado a sistemas críticos; y, por otro, Krack, una vulnerabilidad en el protocolo WPA2 que impacta directamente en la seguridad de las comunicaciones en redes domésticas y corporativas.
Viejos conocidos y nuevos invitados
El descubrimiento de la vulnerabilidad en el protocolo de cifrado WPA2 ha supuesto un shock a nivel mundial, puesto que rompe el protocolo que se consideraba más seguro y para el cual aún no existe sustituto. Muchos fabricantes de dispositivos y sistemas operativos ya han lanzado los parches correspondientes que solucionan esta vulnerabilidad. Sin embargo, el problema se encuentra en los millones de dispositivos que van a quedarse sin actualizar, muchos de ellos del llamado Internet de las Cosas. Éstos podrían ser utilizados por los atacantes tanto para espiar las comunicaciones como para atacar otros objetivos.
Por otro lado, la aparición del ransomware BadRabbit a finales de mes volvió a despertar los temores suscitados por Wannacry y NotPetya. De hecho, varios investigadores han observado similitudes entre el código de BadRabbit y el de NotPetya, por lo que se piensa que los creadores podrían ser los mismos o, al menos, tener relación. No obstante, a diferencia de WannaCry o NotPetya, BadRabbit realizaba correctamente funciones de ransomware, ya que el cifrado instalado no contenía fallos. En los casos anteriores, aun pagando el rescate, era imposible recuperar la información cifrada.
“Ataques de ransomware se producen todas las semanas y algunas de las familias más conocidas tienen años de existencia”, comenta Josep Albors, responsable de investigación y concienciación de ESET España. “Aun así, seguimos viendo cómo empresas e infraestructuras críticas de todo el mundo siguen cayendo frente a una amenaza conocida y para la cual existen soluciones. Otra cosa es que quieran o puedan aplicarse”, concluye Albors.
De nuevo grandes empresas y servicios de infraestructuras críticas como el aeropuerto de Odessa o el metro de Kiev se vieron afectadas por este ataque. “Esto resulta preocupante, puesto que los diversos incidentes que hemos tenido durante los últimos años deberían haber servido para tomar las medidas adecuadas”, explica el responsable de investigación y concienciación de ESET.
Peligrosas vulnerabilidades en varios sistemas operativos
Entre los parches de seguridad publicados durante el mes de octubre hay que destacar el lanzado por Microsoft para solucionar un 0-day que se estaba utilizando en ataques dirigidos y que afectaba a todas las versiones de MS Office. Esta vulnerabilidad permitía a un atacante ejecutar código malicioso cuando la víctima abría un fichero especialmente modificado. Este tipo de vulnerabilidades son muy valoradas por los atacantes, ya que pueden camuflar sus amenazas en documentos aparentemente inofensivos y hacer que la víctima no sospeche nada hasta que ya es demasiado tarde.
Adobe también solucionó un 0-day en Adobe Flash Player que estaba siendo activamente aprovechado por los delincuentes, que se valían de documentos de Office para ejecutar el exploit que aprovechaba la vulnerabilidad para instalar el software espía FinSpy (muy utilizado para espiar a objetivos importantes en todo el mundo).
Tampoco se libró MacOS de los fallos de seguridad. La versión de este sistema operativo más reciente, publicada a finales de septiembre, tiene una vulnerabilidad que permitiría a un atacante robar las credenciales de las cuentas guardadas en el llavero del sistema. No obstante, para que este escenario se produzca es necesario que el usuario ejecute un fichero malicioso desactivando las medidas de seguridad incorporadas en el sistema y éste se encuentre con la sesión iniciada.
Malware para todos los gustos
A lo largo del mes, el laboratorio de ESET España analizó múltiples casos de malware. Entre otras muestras, habría que destacar al troyano Kovter, un viejo conocido especializado en el fraude en publicidad online y que suele explotar los sistemas de afiliados utilizando los tres navegadores principales para Windows como vector de propagación.
Para conseguir más víctimas, los delincuentes que desarrollan este malware se aprovecharon de una red publicitaria que gestiona la publicidad en la conocida página con contenido pornográfico Pornhub. Al acceder con Chrome, Firefox o Internet Explorer/Edge los usuarios eran redirigidos a otra web donde se ejecutaba código ofuscado mientras se mostraba una supuesta actualización del navegador y que, en realidad, servía para descargar el troyano Kovter en el sistema.
Los usuarios de MacOS, por su parte, también fueron objetivo de los delincuentes que consiguieron infectar la aplicación legítima Elmedia Player. Los investigadores de ESET avisaron a la empresa desarrolladora y éstos actuaron rápidamente para retirar la versión infectada con el malware OSX/Proton.
Otra de las investigaciones de ESET descubrió el primer ransomware que se aprovecha de los servicios de accesibilidad para Android y que no sólo cifra la información del dispositivo, sino que también lo bloquea cambiándole el PIN. Este ransomware, detectado como Android/DoubleLocker.A, está basado en el código de un troyano bancario anterior al que se le han eliminado las funcionalidades de recopilación de credenciales bancarias.
Los laboratorios de ESET también han seguido la evolución del malware Linux/Ebury, un backdoor de OpenSSH que roba credenciales, muy utilizado en ataques dirigidos. Este malware se descubrió en febrero de 2014 pero ha ido evolucionando desde entonces con nuevas funcionalidades. Además, ESET ha colaborado con el FBI para detener a un ciudadano ruso relacionado con la operación Windigo que utilizaba este malware para comprometer decenas de miles de servidores Linux e instalar otras variedades de malware en ellos.