viernes, 19 de mayo de 2017

Desencriptador para WannaCry

Introducción
Cómo dice un viejo dicho "... Una de cal otra de arena..." para utilizar una metáfora, por la aparición del WannaCry y ahora la publicación de un desencriptador, que si bien no es mágico y aplica el 100% de las veces, es un paleativo que puede llegar a ser útil al momento de querer recuperar la información.

Había una vez...
En principio el código de WannaCry se basa en "EternalBlue", un exploit usado por la NSA que fue expuesto al mundo por el grupo Shadow Brokers. Este grupo posee un set de herramientas que puede poner en riesgo a los procesos de negocios de varias organizaciones. Del set publicado por  Shadow Brokers, tenemos un conjunto de herramientas que aprovechan algunas vulnerabilidades como:

 - CVE-2008-4250 (exploit que es denominado “EclipsedWing”, Microsoft lo mitiga con un parche del año 2008, boletín MS08-67).
- CVE-2009-2526, CVE-2009-2532, y CVE-2009-3103 ( exploit “EducatedScholar”, mitigado por Microsoft con el boletín MS09-050 del año 2009).
- CVE-2010-2729 (el código malicioso “EmeraldThread”, resuelta su vulnerabilidad en el año 2010, con el boletín MS10-061).
- CVE-2014-6324 (el exploit “EskimoRoll”, mitigado con el boletín MS14-068 del año 2014).
- CVE-2017-7269 (un fallo sin resolver del IIS 6.0).
- CVE-2017-0146 y CVE-2017-0147 (exploit “EternalChampion”, mitigado en marzo de este año con el boletín MS17-010).

Si observamos, hay muchos de los boletines que se resuelven aplicando actualizaciones que han sido publicados por Microsoft hace un tiempo y aún hoy en muchas organizaciones puede explotarse por que no han sido implementados.

WannaCry
El día viernes 12 de mayo de 2017 pasará a la historia como la Pandemia que extorsionó al mundo.  Este Ransomware atacó a mas de 90.000 ordenadores distribuído en mas de 99 países en el mundo.
Su vector de infección fue un correo electrónico, utilizando la técnica de SPAM y PHISHING engaña al usuario para que visite un sitio Web, mediante un enlace de descarga del dropper (el que descargar el payload).  El archivo adjunto (dropper) infecta el equipo con el WannaCry, incluso provocando en muchos casos un BlueScreen de la muerte en los S.O Ms Windows, como vemos en la siguiente imagen:


Una vez infectado el equipo, comienza a cifrar los archivos como intento de propagación como lo hacían los virus tradicionales (el último que generó semejante impacto en un volumen importantes de equipos en el mundo, fue el CONFICKER).

El usuario observará pantallas en donde se le solicitará el pago del rescate del acceso a los archivos que fueron cifrados en su equipo. Pantallas similares a las siguientes:



Si bien muchas compañías a partir del día viernes del caos general, empezaron a parchar sus S.O, les recordamos que el parche evitará que se contagie de WannaCry desde otro equipo, pero si el usuario visita el sitio web donde está el dropper, se bajará el Ransomware y se infectará (deberá tomar otras medidas además del parche de Microsoft).
Aún hoy siguen infectándose equipos con el WannaCrypt, si quiere tener visibilidad de los casos que están ocurriendo en tiempo real, pueden verlo en este mapa https://intel.malwaretech.com/WannaCrypt.html

La propagación se realiza por los puertos 139 y 445, utilizando el SMBv1. Microsoft resuelve esta vulnerabilidad con el parche publicado en marzo/2017, pero si se complica desplegar el parche en el parque de máquinas de la red, lo que se puede hacer es desactivar el SMBv1 mediante una GPO de Active Directory y esto se aplicaría inmediatamente en toda la red. Para ver como se implementa esta GPO o Política de AD, les recomiendo revisar este artículo titulado "How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server".

Y un día se hizo la luz
En estos días se ha publicado una herramienta que permite recuperar los archivos sin tener que pagar el rescate. Una de las recomendaciones que se hace es que no se reinicie el equipo, ya que obtiene información de memoria al momento de su ejecución. Esto ocurre por que no borra los números primos de la memoria antes de liberar el uso de memoria.
El desencriptador podrán ubicarlo en esta URL https://github.com/gentilkiwi/wanakiwi/releases.
Les recordamos que puede ocurrir que no funcione en todos los casos.

Recomendaciones
Para finalizar, las constantes recomendaciones que venimos haciendo hace más de un año, nuestras 10 máximas:

1) Backup!!!!
2) Plataformas actualizadas, sin importar el S.O.
3) Aplicar una solución antimalware siempre actualizada en los dispositivos y equipos.
4) Capacitar a los usuarios sobre las amenazas.
5) Contar o ajustar soluciones antispam.
6) Filtrados Web con antivirus.
7) Contraseñas fuertes o complejas.
8) Mantenerse informados.
9) Ser desconfiados en terceros o desconocidos.
10) No pagar rescate.

Nuestras fuentes nos reportan que pueden surgir nuevas amenazas con igual o mayor impacto a la brevedad, por lo cual, esto requiere no relajarse y ser PROACTIVOS.

====================================== NOTA ===================================
Estos días leyendo algunos diarios, escuchando opiniones y otros informáticos que opinan sobre los intrusos, he observado el mal uso de unos términos que me llevan ha realizar la siguiente aclaración.
NO es lo mismo un Hacker que un Cybercriminal o Cyberdelincuente

HACKER: Unas definiciones que me gusta por que uno se siente identificado en algunas facetas, y voy a re-publicar y mencionar son:
1. Una persona que disfruta explorando los detalles de los sistemas programables y cómo estirar sus capacidades, a diferencia de la mayoría de los usuarios, que prefieren aprender sólo el mínimo necesario. RFC1392, los Glosario de los internautas , amplifica de manera útil como esta: Una persona que se complace en tener un profundo conocimiento del funcionamiento interno de un sistema, ordenadores y redes informáticas, en particular.
2. Aquel que con entusiasmo programas (incluso obsesivamente) o que disfruta de la programación en lugar de teorizar acerca de la programación.
3. Una persona capaz de apreciar el valor truco .
4. Una persona que es bueno en la programación rápidamente.
5. Un experto en un programa en particular, o uno que hace con frecuencia el trabajo de usarlo o sobre él.
6. Un experto o un entusiasta de cualquier tipo. Uno podría ser un hacker de la astronomía, por ejemplo.
7. Uno que disfruta el reto intelectual de superar creativamente o eludir limitaciones.

8. Entre otras 

FUENTE: The Jargon File, Eric´s Home Page.

CYBERDELINCUENTE: es un individuo que se aprovecha de las vulnerabilidades de las redes y sistemas de información para llevar a cabo actos tipificados por ley como criminales: robo de información, destrucción de información, extorsión, divulgación de información confidencial, distribución de pornografía infantil, envío de correo basura, terrorismo, extorsión, fraudes, robo de identidad, falsificación de información, piratería, etc.

Hasta la próxima.




 

sábado, 13 de mayo de 2017

Ransomware : "A mi no Wanna..."

Introducción
Cuando leí el nombre con el cual se había catalogado al Ransomware que afectó a más de 75 países y puso en jaque a varias compañías, me vino a la mente un viejo chiste en donde un cazador comentaba que cazó 3 leones, un leopardo y 2 "a mi no wana" (eran indios de la selva que se estaban escondido detrás de unos arbustos y gritaban eso cuando el cazador les disparaba); y si, pensaba, "a mi no Wanna Decryptor".... (más de un Responsable de Sistemas debe haber rogado por lo mismo...)

Un día ocurrió
Hace un tiempo venimos hablando de los Ransomware y que los ataques van ir escalando a menos que se logre resolver algunos puntos que trataremos en el artículo. Por ahora vamos a ver que ocurrió en la siguiente cronología usando información que fuimos observando en las redes sociales y que de alguna manera fue anunciando con mayor agilidad que los medios periodísticos lo que ocurría en el mundo.

- 2:30 Terminé de escribir mi articulo del Blog y me fui a dormir con una sensación que al otro día iba a ser movido, por algunos Twitter que había observado.
- 7:30 de la mañana observo el Twitter como todas las mañanas y se lee que Telefónica de España estaba afectada por un Ransomware. No se sabía que era, impacto y que estaba ocurriendo.
- 8:30 Ya el Twitter era un conventillo, ya que muchos opinaban por algo que se desconocía y le pegaban al Chema Alonso por que se le había escapado la tortuga.
- 9:30 Empezó a observarse en Twitter que comentaban que  ciertos hospitales de Inglaterra también habían sido afectados.
- 10:30 El Twitter y Facebook era una caldera. Me pasan el audio que teóricamente se había utilizado en Telefónica en donde le piden a los usuarios que apaguen sus equipos. Con este anuncio pensé, la cosa viene mas que complicada y vamos a tener que estar atentos. Mientras tanto mandábamos algunos Twitter para mantener a los seguidores informados.
- 11:00 El bitcoins llegaba a los U$S 1813,51.
- 11:15 De ElevenPaths (área Seguridad de Telefónica), publicaban noticias como estas "seguridad en Android de Google" y nada decían de lo que estaba ocurriendo en Telefónica.
- 11:30 Algunos seguidores compartieron el link que habíamos escrito la noche anterior, opacado por el Ransomware y el impacto que estaba teniendo en el mundo.
- 12:00 Los diarios de España se hacen eco de problema de Telefónica.
- 12:00 Caen unos puntos las acciones de Telefónica.
- 12:00 Ya el Ransomware tiene nombre y apellido "Wanna Decryptor o WannaCrypt".
- 12:30 Empezamos a notificar a nuestros clientes y amigos sobre el problema y como evitarlo.
- 13:30 El ransomware que atacó a Telefónica se propaga: WanaCrypt0r deja KO varios hospitales en UK.
- 13:30 36,000 detecciones contando Russia, Ucrania y Taiwan. A medida que la cosa se expandía era como imaginarse "Juegos de Guerra" y ver como evitar ser una víctima. Ya no era una epidemia, si no una PANDEMIA.
- 14:00 Se anuncia que con la actualización que publicara Microsoft en Marzo (MS17-010), la epidemia en las empresas se podría haber evitado.  Una vez más se denota que Operaciones o el área responsable de las empresas de mantener los S.O. actualizados se había quedado dormido. Es cierto que no en todas las compañìas se puede actualizar todo constantemente por que muchas veces ocurren que las actualizaciones poseen fallos o bien su aplicación terminan afectando la funcionalidad de alguna aplicacion en el puesto de trabajo o servidor. En este caso, una vulnerabilidad del SMB de Microsoft afectó y por primera vez vemos que un Ransomware se propaga como lo hacían los viejos virus. El link del boletín de Microsoft esta aquí y sugerimos aplicarlo. Ojo, la actulización corrige el problema de Ms Windows para que no se difunda el Ransomware, pero NO evita su infección.
- 14:10 Anuncio del CN-CERT con información importante de lo que estaba ocurriendo y como mitigarlo. Se puede encontrar aquí el artículo.
- 15:00 Nuestros clientes y amigos ya tenían ajustadas sus plataformas, ahora a cruzar los dedos y esperar que no ocurra nada.
- 15:30 Noticias de empresas Chilenas afectadas por el Ransomware.
- 16:00 Algunas empresas en Argentina ya empezaban a tener problemas con el Ransomware. En el silencio de la tarde de un viernes, se escuchaba por los centros de cómputos "... a mi no Wana...."
- 18:00 Cada vez mas empresas y países afectados.
- 20:00 Llegan noticias de empresas de Córdoba, como call center y comunicaciones que tenían el Ransomware, algunas pudieron contenerlo otras no.
- 20:30 Reportaje para el diario MZA Radio y hablando de lo que ocurrió en el día.
- 21:00 Observando el mapa mundo de infecciones, todo estaba iluminado, más de 75 paises afectados y el día no habia terminado. Llegan WhatsApp a mi teléfono preguntando si teníamos más noticias, si todo lo que se había configurado en las empresas era suficiente y que podíamos esperar a la noche (muchos no durmieron bien anoche).
- 21:00 Todos los medios (TV y Radio) con noticias del impacto que tuvo en el día semejante ataque a nivel global.
- 23:00 Empieza la calma o el suspenso, Twitter empieza a repetir noticias, algunas empresas ya no reportan sus infecciones y de a poco comienza la calma.

Nos vamos a dormir, al otro día

06:30 Chema Alonso publica un excelente artículo y da su visión de lo que ocurrió a Telefónica de España.  Luego de eso no publica más nada, pero en el artículo está todo dicho. Sugiero que lo lean AQUI.
7:30 Noticias de más empresas afectadas, en este caso : Nissan's Sunderland.
8:30 Revisando la tapas de los diarios, vemos con asombro que la gran mayoría puso la noticia en su tapa.

 9:30 Intento prepararme para el día, afuera llovizna,  algunos WhatsApp consultando si tenía novedades y otros preguntando si prendían las PCs. La calma quería adueñarse del día.
10:00 Desayunando observo que aparecen nuevas empresas infectadas, como Renault y una empresa alemana de trenes.
11:00 Una noticia bomba, imaginada para estos tiempos. Microsoft lanza actualización para el S.O. Windows XP, siendo que el mismo ya hace un par de años que no cuenta con soporte. Pueden bajar el boletín de seguridad AQUI. Gracias Microsoft!!
12:00 El valor promedio del bitcoin es de  U$S 1722.95.
13:00 Las redes sociales vuelven a la calma y el Wanna Decryptor va desapareciendo entre otros Twitts que aparecen en la pantalla.

Por que pasó
Muy simple, conjunción de un usuario que abrió un link que le llegó en un correo (en las empresas que poseen antispam, algo falló y el usuario no estaba capacitado para no abrir links que fueran dudosos, sumando que el URL Filtering si existía no bloqueó el acceso y en antivirus no detectó el malware), con el link del malware que se bajó ejecutó (por intervención del usuario) y aprovechó una vulnerabilidad existente en el S.O (se sabía de la vulnerabilidad desde diciembre/16 y Microsoft en marzo/2017 publicó el boletín con la actualización) provocó una epidemia en las redes locales de las empresas.
Si observan las palabras en negrita, fíjense todas las cosas que debía sortear el Ransomware para infectar el equipo, son muchas, esto es preocupante, ya que hay muchas compañias que siguen administrando plataformas como se viene haciendo hace 10 años atrás. Las amenzas han mutado, es hora que pongamos manos a la obra!!!
Les recuerdo que estos son pasos de mitigación, la seguridad 100% no esta garantizada. Recomendamos para la Organizaciones, realizar Gestión de Riesgo en sus procesos críticos de negocio....

Como evitarlo
Como menciono arriba, el vector de infeción fue el correo electrónico, por lo cual hay que empezar a tomar medidas. Si a nuestra casa llega un sobre dudoso no lo abrimos de primera instancia, es hora de cambiar la forma que se usa la tecnología, hay que ser DESCONFIADO. Si revisan nuestro blog, cada artículo termina con las recomendaciones de protección. Les recomiendo leer este artículo RANSOMWARE - PARTE V - RECOMENDACIONES A EMPRESA y para los usuarios en sus casas puede aplicar estas recomendaciones RANSOMWARE - PARTE IV - RECOMENDACIONES A USUARIOS

Van por más
Hace veinte días observamos un ataque masivo a puertos RDP e infecciones con Dharma y Crysis, ayer con Wana Decryptor y que observamos:

- Nadie fue detenido.
- Las empresas sufrieron un impacto importante (aquellas que fueron afectadas).
- Con el primer Ransomware hicieron muy buenos bitcoins, no así con el segundo, ya que solo hicieron un poco mas de 16 Bitcoins.
- El bitcoins sigue subiendo su precio.

No es de extrañar, que mientras Uds lee este artículo, ya se este preparando una nueva oleada de ataque para dejar fuera de linea a más empresas y si, deban pagar para ponerlas on-line. Allí se tendrán que preguntar, de quien es entonces la información. No dejen de leer las recomendaciones de la PARTE V en donde les indico como protegerse.

Moraleja
No dejes para mañana lo que puedas hacer hoy...

Hasta la próxima.












jueves, 11 de mayo de 2017

Ransomware: de infecciones aleatorias a epidemia, un nuevo negocio.

Introducción.
Ya hemos definido Ransomware en otros artículos en este blog, pero hoy vamos a cambiarla por "Delito Cibernético", ya que se está convirtiendo en una industria, un modelo de negocio para aquellos que no tienen escrúpulos y ponen en jaque pequeñas y grandes empresas.

Análisis
El año 2017 empezó con todo en cuanto respecta a Ransomware. En los últimos meses ya han surgido más casos que en todo el 2016, y con cierto nivel de complejidad que supera técnicamente las versiones de Ransomware del año pasado.
La pregunta que nos hacen las organizaciones o pequeñas en cuanto a este tipo de epidemia, (ya dejaron ser casos aislados de infección, ya hay una ocurrencia con cierta referencia y programada), "¿Qué pueden hacer las organizaciones y que pueden esperar en el futuro de estas amenazas?".
Analizando desde hace un año las diferentes versiones de estos malware, el comportamiento de los mismos, las acciones de prevencion de detección, el ascenso del valor del bitcoin (pensar que en agosto del año pasado rondaba los U$S 590)  y los intentos de intrusión deliverados, podemos decir que esta epidemia recién empieza y el que no esté preparado va a terminar siendo una víctima de infección.

La pregunta que nos hacemos los Analistas de Seguridad, ¿Que ha causado que programadores con tanto conocimiento o talento se dediquen a esta actividad delictiva?.  Ante el desconocimiento de las organizaciones de como actuar ante esta amenaza y la manera rápida, anónima y fácil de ganar dinero, observamos que esto hoy se ha convertido en un modelo de negocio, una nueva plataforma ha surgido, "Crimen-As-Services".

Haciendo seguimiento de una billetera virtual la semana pasada,  un intruso en un día recolectó por pagos de extorsiones 719 bitcoins. Un negocio redondo en donde no se paga impuestos, el anonimato está asegurado y se aseguran un gran porcentaje de pago de las extorsiones por que las organizaciones siguen administrando aún las plataformas de tecnología como lo venían haciendo hace 10 años.

Extorsión digital
El Ransomware se ha convertido en un cambio de paradigma dentro de los delitos, siendo un secuestro virtual, en donde la víctima es la información de las organizaciones.
Al principio era por medio de envío de mails "phishing" con el fin de engañar e infectar a usuarios de una red, pero eso provocaba que el intruso debiera esperar que el atacado mordiera el anzuelo. La ansiedad y la voracidad de los atacantes por tener cada vez más bitcoins, ha provocado ya ataques direcionados, en busqueda de servidores publicados a Internet con vulnerabilidades expuestas y que sean aprovechadas con el fin de introducir de alguna manera un Ransomware en el servidor. Hemos detectado muchos ataques de fuerza bruta a puertos publicados de RDP (Terminal Server de Microsoft) y ataques a IIS (Internet Information Services) , en donde explotando una vulnerabilidad lograron inyectar un keylogger para hacerse de cuentas válidas y luego ingresar el malware.

Información en jaque?
Una de las cosas que observamos es que la mayoría de las compañias no saben que activos informáticos pertenecen a los procesos críticos de negocio, por ende si un activo es comprometido, lo será tambien la organización. ¿Cuánto va a invertir en seguridad si no saben que proteger? ¿La Organización no sabe que proteger, es bueno o malo? Hoy las organizaciones no saben o no tienen cuantificado cuanto vale la información, solo se darán cuenta cuando la información este cifrada y el usuario no tenga acceso.
Entonces, surge la pregunta del rigor :¿Por que la empresa debería pagar un rescate por su propia información?. Si hacen bien la tarea, NO se debería pagar a los extorsionadores de la información digital.

Ser una víctima: si o no
En estos dos años de análisis de casos de Ransomware, observamos que las empresas invierten lo justo en Seguridad Informática. La balanza está entre la prevención e invertir tiempo y alguna solución de protección de seguridad versus el pago del rescate. Hoy cualquiera puede ser una víctima de Ransomware, el tema radica en donde queremos estar, si viendo como estamos protegidos o bien, analizando de donde vamos a sacar 2,5 bitcoins para pagar un rescate (valor promedio de una infección tipica de Ransomware).

Las Organizaciones deben trabajar en prevención, he aquí algunas recomendaciones:

1) Capacitar al personal: generar campañas de concientización en las personas que trabajan en la compañia, pensando en como pueden protegerse en sus cuentas personales para que generen un hábito para todo lo que apliquen luego. No fuerce y baje directivas que impongan una forma de trabajo, esto no siempre resulta.

2) Antimalware: contar con una plataforma antimalware con análisis de comportamiento es una buena ayuda a la prevención.

3) Contraseñas fuertes: utilizar contraseñas complejas.

4) Servicios a Internet: restringir los servicios que se publican a Internet. Utilizar accesos seguros mediante el uso de VPN utilizando SSL.

5) Monitorear: un intruso persevera y triunfa por que nadie lo bloquea o deniega el acceso. Monitore los accesos a la plataforma, sobre todos los externos.

6) Oculte la información del negocio: no deje de fácil acceso la información que es fundamental para los procesos de negocio.

7) Resguardos / backups: Pregunte al negocio cuanto tiempo puede estar sin acceso a la información. Esto le va a indicar cada cuanto debe hacer backups. Un backup a la semana o una vez al día ya no es negociable, piense en resguardos con más periodicidad, piense en lo que necesita su Organización.

8) Actualizaciones: mantenga las plataformas actualizadas, una vulnerabilidad que ha sido publicada por algún boletín, permite que algun intruso en algún momento la explote.

9) NO pague Rescate.

Si no posee un listado de sus Procesos de Negocio y de los Activos que forman parte de ella, no sabrá el valor de los activos y esto puede dar lugar a que termine en una situación en donde deba pagar rescate de una información que a lo mejor no lo vale.

Ser precavido es la mejor defensa.

Hasta la proxima....

Nota: mientras terminabamos esta redacción, Telefónica de España y algunos Hospitales de Reino Unido, están siendo atacado de manera masiva con un Ransomware.

Alertas:

 - Wanna Decryptor: http://www.iosmovil.com/wanna-decryptor-asi-funciona-el-supuesto-ransomware-que-se-ha-usado-en-el-ciberataque-a-telefonica/

- Ataque masivo de ransomware: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html.

lunes, 8 de mayo de 2017

Aspectos Juridicos de la Tecnología


1 Hack Para Los Chicos - Jornada del 05 de mayo del 2017

Se llevó a cabo el evento 1 Hack Para Los Chicos 201, esta vez en Santa Fé.
La agenda del evento fue


Con muy buena presencia, les dejo el link en donde salió publicado un resumen del evento del diario UNO de Santa Fe, ingresar ACA.

A su vez, les dejo un video con fotos y videos que resumen la actividad de esa jornada....

video

Algunas fotos






Gracias a todos los que colaboraron y participaron.
Hasta la próxima...



miércoles, 18 de enero de 2017

RANSOMWARE - (File Server Resource Manager) nuestro mejor aliado

Introducción
Aún las compañias siguen haciendo uso intensivo del File Server y en algunos casos están analizando de subir esa información en un repositorio en la nube o cloud.  En MS Windows, desde la versión Ms Windows 2008, File Server Resource Manager provee un conjunto de herramientas que permite a los administradores comprender, controlar y administrar la cantidad y el tipo de datos almacenados en sus servidores. Mediante el uso del Administrador de recursos del servidor de archivos o FSRM, los administradores pueden colocar cuotas en volúmenes, explorar activamente archivos y carpetas y generar informes de almacenamiento completos. Este conjunto de instrumentos avanzados no sólo ayuda al administrador a monitorear eficientemente los recursos de almacenamiento existentes, sino que también ayuda en la planificación y la implementación de futuros cambios de políticas.
Mediante el uso de File Server Resource Manager, puede realizar las siguientes tareas:
  • Crear cuotas para limitar el espacio permitido para un volumen o carpeta y generar notificaciones por correo electrónico y otras cuando se superen los límites de cuota.

  • Generar y aplicar automáticamente cuotas a todas las subcarpetas existentes.
  • Crear plantillas de archivos para controlar el tipo de archivos que los usuarios pueden guardar y envíe notificaciones cuando los usuarios intenten guardar archivos bloqueados.

  • Definir las plantillas de selección de cuotas y archivos que pueden aplicarse fácilmente a nuevos volúmenes o carpetas en una organización.

  • Programar informes periódicos de almacenamiento que ayuden a identificar tendencias en el uso del disco o que generen informes de almacenamiento instantáneamente, o bien bajo demanda.
Evitar Ransomware
Ya sabemos que si una computadora o PC se infecta de un ransomware puede generar problemas a una organización, por que el mismo buscará unidades mapeadas en la PC e intentará cifrar los archivos alojados en estas carpetas. Tambien sabemos que el usuario al tener permisos sobre esas carpetas, indefectiblemente serán cifradas a menos que algo bloquee la generación de los archivos cifrados.
El antimalware debería detectar el comportamiento del malware y bloquear la generación de archivos cifrados y eliminar la amenaza.  Hoy los ransomware son cada vez mas audaces, cifran desde recursos mapeados hasta carpetas compartidas en la red. Es por eso que una capa adicional de protección debe ser tenida en cuenta.
Una de las maneras de evitar ciertos ransomware es bloqueando el comportamiento de los mismos. El malware tratará de cifrar los archivos en una ubicación alternativa y reemplazará los archivos originales por los cifrados. En la PC original, dependerá del S.O que tenga y que protecciones podamos agregar, pero en los servidores podemos usar el FSRM para bloquear este comportamiento.

En el FSRM, dentro de la consola, en la opción  "File Screening Management" podremos generar filtros para evitar la generación de ciertos archivos cifrados. Para ello hay que crear un par de reglas.


Lo primero que debería hacer es dentro de "File Groups" crear un grupo denominado Ransomware (ejemplo) y agregar las extensiones conocidas como resultado del cifrado. Hay algunas versiones de ransomware que pueden quedar afuera, ya que hay versiones que cifran los archivos como *.exe, *.mp4, *.zip, etc, que si deben ser alojados dentro de una carpeta por un usuario, no podria ser bloqueado. Es importante en este caso, tener una política definida de que se va alojar en el File Server (EJ: no deben alojarse *.mp3, *.mp4, *.exe, *.zip, etc).

 

Una vez creado el grupo ya podemos crear la regla de bloqueo. En la regla seleccionaremos el grupo creado y configuraremos el SMTP para que si hay intentos de generar este tipo de archivos, el FSRM nos notifique y podamos tomar acciones.
Crearemos primero la regla, y seleccionaremos la partición o directorio a proteger (en este caso todo el disco S:\) y seleccionaremos un filtro personalizado, ya que no está dentro de los perfiles que trae de manera predeterminada.

 

Luego,  seleccionamos en el modo Activo (este modo es para que bloquee, ya que el modo Pasivo  solo avisa cuando se cumple alguna condición de la regla) el grupo que generamos para bloquear, en este caso lo habíamos denominado RANSOMWARE.



Posteriormente configuramos las alertas por correo, para que cuando se cumpla la condición nos avise por correo electrónico. En el correo, como en el log de eventos de Windows (también hay que habilitarlo), ante una condición va a reportar, usuario, PC y que está queriendo hacer el usuario o el malware (escribir o modificar un archivo, nombre, con extensión determinada). Por lo cual, el administrador puede obtener información rápida desde DONDE está el malware tratando de cifrar los archivos.



 


Si observa, se puede modificar las variables, por si se desea agregar alguna otra información relevante para detectar el origen del malware.

Por último la regla debe quedar de la siguiente manera

Si bien, muchos pueden plantear que no es una configuración ideal, ya que los filtros deben agregarse manualmente, es una capa adicional de protección. Lo importante es tratar de incluir todas las extensiones posibles de los ransomware que estén dando vuelta. En el artículo   RANSOMWARE - PARTE III - VERSIONES   está el link donde puede bajar un excel que suele actualizarse todos los meses y agrega los nuevos ransomware y las extensiones con las cuales se generan los archivos cifrados.

El File Server tiene Ransomware, y ahora que hago???
Si detecta que hay directorios infectados y queremos saber el origen, el FSRM es un buen auxilio. Para ello debemos crear una regla de reporte, para que nos indique quien es el propietario u OWNER de archivos con una extensión predeterminada.
Para ello, tenemos que crear un reporte, desde el "Storage Report Management". Allí generaremos un reporte, en donde seleccionaremos la unidad o directorios a revisar y filtraremos por propietario.


Luego editaremos los parámetros en "Edit Parameters", donde es importante seleccionar que tipo de archivo queremos buscar.


En este caso seleccionamos archivos con extension "*.zzzzz". Es decir que el reporte se ejecutará y nos deberá traer un listado de usuarios que grabaron archivos con esta extensión en el File Server. De esta manera obtendremos rápidamente los usuarios cuyas PCs están infectadas y las cuales debemos remover de la red para evitar una epidemia.

Luego debemos verificar el nivel de infección, aislar las PCs y restaurar el backup de los archivos que fueron afectados.

Si se generan bien los filtros, este tipo de reporte no deberían ser generados. Por otro lado puede dejarlo programado para que se genere cada cierto período de tiempo, buscando archivos con extensiones de ransomware conocidas y les llegue por correo electrónico si algún usuario tiene como propietario algún tipo de archivo cifrado. Les llegaría algo similr a esto:


Es una buena medida tenerlo activo, por que valida:

1) que los filtros del FSRM estén funcionando;
2) el correo con las alertas llegan y
3) los reportes se generan.

Si la plataforma antimalware no posee buenos reportes, en el caso de infección, el FSRM va ser su mejor aliado.

Seguiremos con las recomendaciones en los próximos artículos.

Si han probado otras configuraciones que han permitido frenar el ransomware, nos escriban y publicamos sus experiencias.

Hasta la próxima..

Para más información del FSRM, visite este sitio.


miércoles, 21 de diciembre de 2016

Ramsonware 2017 - Lo que se viene

Estamos finalizando el 2016, año que este malware denominado RANSOMWARE ha provocado grandes pérdidas de dinero a las empresas y grande dolores de cabeza a los administradores de tecnología.

Se va el 2016...
Se termina el año y vemos en los diferentes reportes de seguridad, que Noviembre de este año, la actividad de estos códigos maliciosos fueron creciendo de manera representativa. Las empresas (y tambien los usuarios) siguen sin aprender la lección y siguen siendo víctimas.
Como hemos evangelizado todo el año, este malware tiene dos grandes vectores de infección: SPAM (correo electrónico) y NAVEGACION.
Hasta último momento seguimos teniendo reportes de empresas que son infectadas por algún ransomware, que ha vulnerado la plataforma y crifrado la información.
Resumiendo podemos decir:

1) Correo Electrónico: usando una metodología compleja, los usuarios siguen recibiendo correos, haciendose pasar por alguna entidad o persona conocida, con un archivo adjunto para que el usuario lo abra y se termine infectando. Decimos que es una metodología compleja, por que se suman diversas técnicas de intrusión como INGENIERIA SOCIAL + SPAM + PHISHING + INTRUSION RECURSO + EXTORSION. Los usuarios siguen sin ser desconfiados de los correos electrónicos que reciben (encima ahora en las fiestas de fin de año aumentan representativamente) y abren los adjuntos, siendo infectados por algún ransomware. Si bien el usuario puede tener o no alertas de seguridad por el S.O y por los productos de ofimatica que utilicen, termina abriendo el adjunto a pesar de las advertencias.

2) Navegación: la asuncia de filtros y la navegación no alineada a las necesidades de las empresas, hacen que los usuarios ingresen a sitios pocos seguros y terminen bajando algún gusano o ransomware.

Se viene el 2017 mas fuerte....
El Ransomware, hoy es un negocio redondo y que seguirá creciendo.  Al no poder dar con aquellas personas que generan este tipo de malware, que de alguna manera manteniendo el anonimato gracias a Internet y cobrando sus ganancias post extorsión, permite que la práctica aumente y cada vez surjan mas intimidadores como versiones de ransomware.

El uso de las plataformas RaaS está provocando, que no solo aquellos que desarrollan el malware lo usen, si no que permite que terceros, sin conocimientos de desarrollo terminen usando la plataforma y ser socios (por llamarlo de alguna manera) de esta actividad ilícita.

El anonimato y el crecimiento del uso del bitcoins, que viene subiendo su valor nominal día a día (en Julio teníamos un valor de 1 Btc a  U$S 560, llegando a hoy con un valor de 1Btc en 822,90)  va a provocar que el año 2017 sea un año intenso y aquellas personas con pocos escrúpulos intenten usar este medio de extorsión para hacerse de dinero fácil.

En definitiva, las plataformas RaaS, anonimato y lo masivo que puede ser una caza de usuarios o empresas para lograr el objetivo del intruso, va a provocar que el año que viene sea un año complicado para las empresas que de alguna manera no estén preparadas.

Como prepararse para recibir el 2017...
En base a los análisis de los comportamientos del malware,  los usuarios y empresas deben prepararse para no ser víctimas de estos códigos maliciosos.

Algunas de las cosas que pueden hacer para evitar el ransomware:
1) Antimalware: En realidad, la mayoria de los productos vienen por detrás,  el cambio de paradigma ha sorprendido a los fabricantes de software y sus famosas bases de datos que actualizan de manera obsoleta. Aquellos productos que reconozcan comportamientos erráticos y permitan generar filtros para evitar la generación de archivos cifrados serán los que prevalecerán en esta lucha contra el ransomware.

2) Ms Windows: Proteger usando las servicios que viene proveyendo desde el año 2008, como el FSRM y APPLOCKER, es una manera de evitar que los malwares se desplieguen en una plataforma.

3) Correo electrónico: Los antispam deberán empezar a filtrar los archivos adjuntos y en todo caso no dejar pasar archivos que no puedan escanearse correctamente. Los usuarios siguen abriendo archivos adjuntos que reciben de los correos electrónicos.

4) CONCIENTIZAR: involucrar al área de RRHH y empezar con campañas internas de prevención, orientadas al usuario para que entienda de la problemática. Recordarle que lo mismo que puede ocurrir en la empresa puede ocurrirle en su hogar con sus archivos y fotos. Los usuarios siguen abriendo adjuntos y apesar que las herramientas de prevención protejan, los usuarios las terminan vulnerando (desactivan antivirus,  habilitan usos de macros de office, desactivan el UAC de Windows con tal de abrir un archivo adjunto que un desconocido le ha enviado por correo).

5) Backup: Lo importante es no infectarse. Un post infección ya es un problema, más allá de que exista un backup con toda la información, el tiempo de recuperación, el tiempo de ausencia de la información, el tiempo de remoción del ransomware, provocará perdidas de dinero a la empresa.

6) Cloud:  Se está convirtiendo en un aliado, ya que por hoy (pero no se descarta en un futuro) los ransomware no están infectando repositorios de archivos cloud. Los intrusos aún no han desarrollado nada, por que aún están cobrado buenas divisas sin pasar al esquema Cloud. Pero si es necesario y las plataformas Cloud no están preparadas, podrián ser víctimas de malware. Un dropbox mal configurado puede ser un repositorio seguro de archivos cifrados por ransomware.

Si las empresas (como los usuarios finales) no se preparan, vayan despidiendose de su información o tengan en cuenta que en algún momento el backup va a ser su fiel amigo.

Nuevas tecnologías...
No nos olvidemos de los autos, IoT y todo aquello que tenga software y datos, que podrían ser víctimas gracias al ransomware. Se imaginan que no puedan activar el lavarropa usando IoT por que un ransomware les pida a cambio un pago en bitcoins? Debemos empezar a usar la tecnología y no ser tan confiados del mundo que nos rodea.

Deben prepararse si no quieren perder el acceso de la información y que esto se vea reflejado en los procesos de negocio de la compañía.
Prevenir es mejor que curar!!!

Felices Fiestas

Hasta la proxima...







martes, 11 de octubre de 2016

Ransomware como RaaS - Cambio de paradigma

Introducción
Tiempo atrás quedaron donde los estudiantes o algunos osados programaban un código malicioso (le llamábamos virus) y los publicaban en ciertas fechas para demostrar las vulnerabilidades de ciertos Sistemas Operativos. Recordaremos los virus Michelángelo, I love You, Melissa, Slammer, Conficker entre otros que en su momento nos provocaron buenos dolores de cabeza.

Luego aparecieron los "virus" crypto, que hasta el 2013 se les denominaba así a los malware (malicius software - software malicioso) que cifraban la información y se le permitía el acceso al usuario siempre y cuando pague un rescate del mismo. Ante la variedad de estos códigos maliciosos, dejaron de llamarse crypto para pasar a llamarse RANSOMWARE (RANSOM= rescate, WARE de SOFTWARE).

Cambio de paradigma
Ya hace un tiempo, y de alguna manera, todos usamos algún servicio de nube (cloud). Quién no tiene una cuenta en GMAIL, HOTMAIL, YAHOO u otro servicio de correo? Los servicios han ido migrando a la nube, una plataforma que alguien dispone y le brinda soporte, en donde nosotros usuarios solo consumimos.
Recuerdo que en diciembre del 2012, escribía un artículo explicando que era SaaS (ver aquí artículo completo), y en donde definíamos a SaaS como "Cloud Software as a Service (SaaS): Software como un service, esta capacidad provee al usuario que utiliza las aplicaciones del proveedor una infraestructura de nube. Las aplicaciones son accesibles desde varios dispositivos clientes a través de una interfaz como un navegador. (ej. Web-mail)".

Tomando ese concepto las plataformas han ido migrando y ofreciendo este soporte, hoy encontramos por ejemplo Microsoft Office 365, en donde el usuario se conecta y consume los servicios que Microsoft le provee sin importar el dispositivo desde donde se conecta y donde no debe instalar nada en el mismo para usarlo.

Hasta ahora, si leemos esto, no hay novedades y no deberíamos sorprendernos. Donde si nos vamos a sorprender es que hoy el Ransomware ya no es un malware con fines de mostrar la vulnerabilidad de una plataforma, si no que el despliegue del mismo pasó a ser una cuestión rentable, del momento que el secuestro de información + extorsión hace que el usuario, si no posee backup o manera de recuperar su información, termine pagando.  

Nos vamos a sorprender, por que hay plataformas disponibles para su uso en modalidad SaaS, que se denominan RaaS (Ransomware As a Service) y que una persona con poco conocimiento de programación, pagando los bitcoins requeridos, puede configurar y usar para desplegar el ransomware a sus víctimas.

RaaS Petya / Mischa
Vamos hablar de estas dos versiones de ransomware como RaaS. La explicación no está dedicada a que Ud. lector empiece a usarla, está pensada en generar conciencia y como debemos proteger las plataformas para evitar el uso de estos RaaS.
Cualquier ciberdelincuente puede ahora conectarse a la plataforma RaaS y utilizarla sin tener que correr riesgos en el uso y que alguna manera puedan ponerlos en riesgo y o bien sean detectados.
Para ingresar y usar la plataforma debemos usar el navegador Tor y entrar a la Deep Web, ingresando al sitio http://janus54et3yyzli3.onion/.
Allí nos aparece una pantalla que nos solicitan un captcha y luego la siguiente pantalla:

Es interesante como se promociona, en las cuatro columnas encontraremos las ventajas del mismo según Janus. ¿Quién es Janus? Es el seudónimo de la persona que está soportando o brindando el servicio y que ante un eventual problema les brindará soporte. Podemos hallarlo en Twitter como:

  
O bien como

En las columnas se observa que si uno falla, actua el otro y si aún posee dudas, puede ir al FAQ.


Pero como si fuera poco, si hay algo que no funcione bien, si le consultamos, nos brindará soporte, por lo cual vemos que protegen su "negocio".



Nota: esta captura se agregó luego de haber publicado la nota, pero me pareció útil actualizar la misma, para demostrar que se preocupan por el funcionamiento de la plataforma RaaS.

Si un cibercriminal no desea ser detectado y a su vez, quiere iniciarse en la carrera maliciosa del ransomware,  esta plataforma es la ideal. Si leen los beneficios que ofrecen, son tan marketineras como cualquier oferta de servicios SaaS.  Si observa, el cibercriminal puede calcular su profit en base a la infección lograda


Analizando un poco más a Petya / Mischa : "prueba de fallos?"

En marzo de este año, Petya llamó la atención porque no realizó el clásico cifrado de archivos de usuario, como otras familias de ransomware, este malware había  cifrado todo el disco duro al cargarse en la secuencia de arranque del Sistema Operativo. 
Después de un análisis más profundo, los fabricantes de software antimalware descubrieron que el malware se estaba llevando a cabo un cifrado de dos etapas y que fue cifrando el disco duro después de forzar un reinicio. 
Teniendo en cuenta que este paso (el reinicio) podría haberse evitado fácilmente, los autores del ransomware decidieron subir la apuesta y se añade una segunda carga útil en la infeción, el ramsonware Mischa. 
A diferencia de Petya, pero muy parecido a otros programas maliciosos, esta amenaza ejecuta el cifrado de archivos de usuarios de uno en uno. Empieza su rutina sólo después del reinicio, actuando así como un mecanismo de seguridad, por si falla el cifrado de Petya. 
Una vez que el usuario ejecuta el archivo se procede a la infección, reiniciando la PC y emulando un CHKDSK del Sistema Operativo (esto ocurre cuando hay un defecto en el disco del equipo), cifra la información.


Al finalizar, obtenemos esta hermosa pantalla


En donde al presionar una tecla nos comenta sobre la infección, como obtener los bitcoins y como ingresar el código de recuperación luego del pago y hasta si necesita ayuda o soporte.


Suponiendo que el UAC (User Access Control de Microsoft para S.O posteriores a Windows Vista) frenara la ejecución del Petya, se ejecuta Mischa y cifra archivos como un ransomware tradicional. Los archivos cifrados pasan tener una extensión adicional : "bQx1".

¿Como lo prevenimos?
Los pasos sugeridos para evitar una infección de Petya en una organización o uso hogareños de equipos.

1) Correos Electrónicos: ajustar las soluciones antimalware para que examinen el correo electrónico, los links y archivos ajuntos.
2) Usuarios: capacitar a los usuarios para que no abran archivos adjuntos de dudosa reputación y no ingresen a links en el cuerpo del correo. Enseñarles a validar los links, escribiendo los mismos en el navegador o bien verificando con la flecha del mouse sobre el link, si abajo de la aplicación del correo o el browser, el sitio que figura es el que dice ser.




3) Repositorios de archivos en la nube: Los links suelen llevar a Dropbox, por lo cual, en una organización debería estar bloqueado el acceso a este tipo de sitios. La organización deberá definir repositorios seguros de intercambio de archivos, y se deben bloquear los otros accesos. No solo pueden bajarse malware, un usuario con acceso a este tipo de plataforma puede robar información sin ser detectado.
4) UAC: Tener habilitado el UAC y enseñarle a los usuarios a entender por que debe estar funcionando y leer las pantallas. Muchas veces el usuario termina dando aceptar sin leer previamente.



5)  Antimalware actualizado: Microsoft, con la versión de Windows Defender que trae a partir de MS Windows 8.1 en adelante ya lo detecta. Debe estar actualizado y configurado. Microsoft detecta el malware Petya como Win32/Petya.
6) Permisos en el equipo local: desde el Active Directory, definir los permisos locales en los puestos de trabajo, definiendo a los usuarios como "usuarios NO administradores de equipo local".
7) Applocker: esta funcionalidad de Microsoft, permite definir políticas via GPO y determinar que aplicaciones, ejecutables y otros pueden ser utilizados por el usuario. Si define esto, por más que el antimalware esté desactualizado, no se infectará el equipo.
8) Backup: los usuarios no deberían tener información sensible en sus ordenadores, pero si dado el caso, equipos gerenciales o directores, cuentan con información de la organización, verifique los resguardos que se realicen de manera eficiente.

Hay mas RaaS?
Lamento comentarles que esto no finaliza aquí. Debido al desempeño del Petya/Mischa, ahora tenemos otros ransomware que funcionan de la misma forma, es decir RaaS:
  • Chimera: versión de la competencia y se estima, por ser más viejo que Petya, que Petya tiene parte de su código. Suele infectar los equipos partiendo de un gusano que ha infectado el equipo previamente. Si bien muchos antimalware lo detectan, como el Microsoft Windows Malicius Software Removal Tool, esto no recupera los archivos cifrados. Verifique si hay un desencriptador y luego corra el removedor del código malicioso.
  • PokemonGo: pensar que apenas apareció el juego comentamos que podría ocurrir esto. Al infectar el equipo crea una cuenta "Hack3r" y lo suma al grupo de Administrador local. Si reiniciamos el equipo, no aparecerá como una cuenta para iniciar sesión, por que es enmascarada por un cambio en la registry. Se comporta como otros malwares, asegurandose la posible infección de la red. En muchos casos se ha detectado la aparición de una puerta trasera para posibles conexiones y compartiendo recursos del equipo.
Si observamos, es la tendencia del Ransomware a futuro, por lo cual, debemos empezar a realizar ajustes en las plataformas para tener escenarios seguros.
Hasta la próxima...