¿Es el reciente ataque DDoS el primero de una nueva era?

La caída de los servicios DNS primero en la costa este de Estados Unidos y su consecuente impacto en los clientes de Dyn, un proveedor de DNS, podría ser el inicio de una nueva era de ataques en internet dirigido vía ‘cosas inteligentes’. Está claro que estos objetos no son tan inteligentes como pensamos, ya que cualquiera puede hacer uso de ellos para dirigir un ataque a grandes sitios webs como Twitter, Reddit y Spotify. De cara al futuro, es fundamental que los fabricantes eliminen las contraseñas por defecto y garantizar que los dispositivos se puedan actualizar de forma remota y automática contra amenazas de seguridad, ayudando a prevenir este tipo de ataques recurrentes.

La botnet supuestamente utilizada para llevar a cabo este ataque comprende aproximadamente 500.000 cámaras inteligentes afectadas, aquellas que están presentes en todos lados, como centros comerciales, vestíbulos, oficinas y tiendas. En este ataque sólo se han utilizado aproximadamente el 10 por ciento de estos bots, lo que demuestra el increíble poder ejercido desde un solo tipo de dispositivo. Existen millones de ‘cosas inteligentes’ más inseguras que podrían causar caídas de la red, si se intervienen.

Se recomienda que las personas que tienen televisores inteligentes, luces, termostatos, routers y otros dispositivos conectados a Internet actualicen sus softwares regularmente y cambien inmediatamente la contraseña que viene por defecto a una contraseña más segura. En el mundo que vivimos, se considera ser un buen ciudadano, preocuparse por mantener seguros tus objetos para que no te perjudiquen a ti ni a otros.

8 Consejos para proteger smartphones y tablets

Tekpyme quiere sumarse a la campaña de concienciación sobre los peligros existentes para los dispositivos móviles que ha comenzado el Centro Europeo de Ciberdelincuencia de Europol (EC3) y las distintas fuerzas y cuerpos de seguridad de 22 países europeos (incluida España) y tres no pertenecientes a la UE (Colombia, Noruega y Ucrania).

Esta iniciativa se enmarca dentro del Mes Europeo de la Seguridad Cibernética y busca recordar que el riesgo de malware móvil es real: los hackers pueden robar el dinero y la información confidencial, usar estos dispositivos como bots e incluso espiar sus actividades.

La Policía Nacional, que también forma parte de esta iniciativa, difundirá información mediante infografías, vídeos y gifs con pautas de prevención a través de Twitter, Facebook, en su canal en YouTube o en su cuenta Instagram.

Aquí os dejamos una serie de consejos para proteger nuestros smartphones y tablets.

  • Bloquea tu móvil con una contraseña segura.
  • Instala apps sólo desde sitios oficiales. No realices un jailbreak (eliminar limitaciones de seguridad impuestas por el proveedor).
  • No sigas enlaces no solicitados que recibas en correos electrónicos, SMS o cualquier otro tipo de mensajería.
  • Realiza copias de seguridad con asiduidad.
  • No te conectes a redes WiFi abiertas.
  • Ponte en contacto con tu operador de telefonía móvil para anular las llamadas a números de tarificación especial y a servicios “premium” de SMS.
  • Apaga los servicios de WiFi, geolocalización y bluetooth cuando no los uses.
  • Instala una app de seguridad móvil que incluya filtrado web, escaneo de apps, geolocalización y bloqueo y borrado remoto.

Esperemos que este tipo de iniciativas sirvan para que tomemos conciencia de las amenazas existentes para smartphones y tablets y adoptemos prácticas que ayuden a mejorar su protección.

Sophos lanza Sophos Intercept X, la tecnología antiexploit y antiransomware de última generación

Sophos anuncia la disponibilidad de Sophos Intercept X, un producto de seguridad enpoint de última generación que detiene el malware de día cero, los ataques sigilosos y las variantes exploit desconocidas, e incluye una funcionalidad avanzada antiransomware que permite detectar ataques desconocidos previos en cuestión de segundos. Sophos Intercept X se instala junto al software de seguridad endpoint ya existente de cualquier fabricante, y al instante impulsa la protección endpoint eliminando el código malicioso antes de que este se ejecute.

Sophos Intercept X combina cuatro componentes de seguridad esenciales que cualquier administrador de TI debería esperar de los productos de protección next-gen endpoint:

  • 1. Detección de amenazas y exploit sin firmas. Defensa antimalware y antihacker que bloquea las amenazas de día cero, los ataques residentes de memoria y amenazas desconocidas sin necesidad de escanear los documentos.
  • 2. CryptoGuard. Innovación antiransomware que identifica e intercepta la actividad de encriptación maliciosa, bloquea el ransomware antes de que bloquee los sistemas y puede hacer que los documentos encriptados vuelvan a su estado original.
  • 3. Analítcas de Causa Raíz. Análisis visuales en 360º de los ataques que permite ver de dónde proviene la amenaza, qué infectó, hasta dónde infectó y proporciona recomendaciones para prevenir ataques similares futuros.
  • 4. Sophos Clean. Muy útil para cazar y eliminar cualquier rastro de spyware y malware persistente e incrustado.

Desarrollado como un componente clave en la estrategia sincronizada de seguridad de Sophos, Intercept X está equipado con Security Heartbeat para compartir la inteligencia ante amenazas con las soluciones de última generación Firewall XGSafeguard Encryption, para una respuesta coordinada y automatizada frente a los ataques. El producto puede ser instalado y controlado de forma remota a través de la consola de gestión cloud Sophos Central, que permite a los administradores controlar y ajustar la configuración, distribuir licencias, añadir nuevos endpoints y realizar seguimiento de toda la actividad. Además, su panel de control exclusivo diseñado por los partners de Sophos muestra todos los servicios disponibles de Sophos Central para aportar niveles de protección más elevados para el cliente a la vez que ofrece a los partners oportunidades extra de ingresos recurrentes.

Los clientes y partners que participaron en el programa público de la versión beta, experimentaron las capacidades de protección de última generación de Sophos Intercept X, entre las que se incluye la habilidad de eliminar el impacto del ransomware al reconocer y detener casi de forma inmediata la actividad maliciosa encriptada y prevenir que los ataques se expandan a través de la red. Una vez la amenaza es neutralizada, los archivos infectados pueden volver a su estado original, ahorrando una cantidad de recursos, tiempo y dinero considerables.

En palabras de nuestro CEO Fernando Lianes, “Sophos Intercept X es una de las últimas tecnologías de seguridad que hemos estado reclamando para atender las necesidades de nuestros clientes. Junto con el resto de soluciones de seguridad de Sophos y su gran integración, gracias a Sophos Central, hemos conseguido y disfrutado de un despliegue sencillo e intuitivo; se trata del revulsivo perfecto para atender a las demandas de seguridad que requerían nuestros clientes para hacer frente a las siempre cambiantes y peligrosas infecciones de ransomware, y pudiendo liberar a los departamentos de TI de muchos de dolores de cabeza”.

3 ciberamenazas que surgen en vacaciones y de las que no eres consciente

El factor humano es uno de los principales riesgos en la ciberseguridad. Los ciberdelincuentes emplean todo tipo de trucos basados en ingeniería social para hacernos caer en sus trampas. Por otro lado, la educación en seguridad informática brilla por su ausencia, por lo que es fácil que nos estemos poniendo en peligro sin darnos cuenta.

En épocas vacacionales, cuando estamos fuera de nuestro hogar habitual, existen tres amenazas concretas que nos pueden poner en peligro y de las que muchos no son conscientes:

1. Uso de ordenadores públicos
Hay mucha gente que no tiene un portátil o que no le apetece cargar con él en sus vacaciones. Pero de vez en cuando queremos actualizar nuestros perfiles en las redes sociales, ver el estado de nuestra cuenta bancaria o simplemente chequear nuestro correo electrónico. Así que nos dirigimos a un cibercafé, biblioteca o cualquier otro ordenador público para realizar alguna de esas operaciones.

El uso de un ordenador compartido es muy peligroso ya que no sabemos si está limpio de malware o que tipo de medidas de seguridad han tomado. Debemos extremar las precauciones y seguir todas las recomendaciones que hemos dado en este artículo.

2. Wifis abiertas
Los datos móviles son caros, por lo que el uso de wifis abiertas está muy extendido. La mayoría de las veces confiamos en este tipo de conexiones ya que estamos en un lugar “conocido” (hotel, biblioteca, aeropuerto, etc) por lo que no pensamos que nuestra navegación por Internet puede ser espiada.

Sin embargo es muy fácil simular ese tipo de señales, y una vez alguien se conecte a una red comprometida, podrán espiar lo que hagamos así como introducirse en nuestros dispositivos.

3. Demasiada información en las redes sociales
Los delincuentes también usan las redes sociales como medio de trabajo. Las emplean para difundir sus estafas o llevarnos a webs comprometidas desde las que nos infectan con malware.

Sin embargo, otro uso habitual es comprobar si determinada persona está de vacaciones para proceder a robar en su domicilio. Entendemos que si vamos de vacaciones queramos que todos nuestros amigos compartan nuestras vivencias, pero compartir demasiada información puede volverse en nuestra contra. Mide bien vuestras publicaciones y repasa la configuración de privacidad para evitar miradas indiscretas.

Conclusión
El verano está para disfrutarlo. No permitas que un mal uso de las nuevas tecnologías se convierta en tu peor pesadilla. Cuidado dónde te conectas y lo que haces en ordenadores ajenos. Mantente alerta con las redes sociales, nunca sabes quien te puede estar siguiendo.

Apple publica un parche de seguridad que bloquea a los jailbreakers

Dos semanas después de que Apple publicara el iOS 9.3.3, una actualización que solucionaba muchas vulnerabilidades, incluida una que era similar al Stagefright de Android, publican una nueva que soluciona otro problema muy peligroso. En el primer caso el agujero de seguridad se encontraba en ImageIO, un componente que se usa para procesar y renderizar imágenes.

Probablemente ves muchas imágenes en tu iPhone a lo largo del día, no solo las que sacas con tu cámara, también las que recibes vía correo electrónico, Internet o apps de mensajería. Por eso, un problema en la gestión de imágenes es como un regalo de navidad para los ciberdelincuentes.

Con la nueva actualización iOS 9.3.4 se soluciona una incidencia similar relacionada con la gestión del sonido del componente IOMoleFrameBuffer. Apple, como ocurre habitualmente, no ofrece mucha información sobre el problema, solo que esta vulnerabilidad puede permitir la ejecución de código de forma remota con privilegios de kernel. Esto es como si a los malos les tocara la lotería dos veces ya que, al disponer de privilegios a nivel de kernel, pueden saltarse mucha limitaciones que controlan a las apps normales.

Jailbreak
Parece ser que el bug que acaba de ser subsanado fue descubierto por Team Pangu, un grupo de expertos en jailbreak. Los jailbreakers intentan encontrar vulnerabilidades en iOS, no para cometer crímenes, sino para liberar sus iPhones de las restricciones que les impone Apple, como que solo se pueda instalar apps desde el App Store.

Irónicamente, en esos mercados “no oficiales” de apps, no solo encontramos apps de baja calidad o que contengan malware, también hay aplicaciones de seguridad muy interesantes.

Por lo que sabemos, ningún ciberdelincuente estaba usando la vulnerabilidad descubierta por Team Pangu, pero una vulnerabilidad es una vulnerabilidad, por lo que tiene ser erradicada.

¿Qué hacer?
Como siempre recomendamos, instala los parches de seguridad lo antes posible.

Nunca nos ha parecido una buena idea que Apple cierre las posibilidades de un jailbreak, aunque seguimos insistiendo en que no se debe instalar apps fuera de los mercados oficiales.

 

QuadRooter, la vulnerabilidad que afecta a 900 millones de dispositivos Android

En la pasada conferencia sobre seguridad informática DEF CON 24 en Las Vegas, un grupo de investigadores presentó una serie de vulnerabilidades, que llamaron QuadRooter, que afectan a dispositivos con Android Marshmallow y anteriores que integren chips Qualcomm.

QuadRooter supone que un atacante podría tener un acceso total a nuestro dispositivo pudiendo, entre otras cosas, ver todos los ficheros, registrar y enviar lo que tecleemos, localizarnos por GPS o grabar audio y vídeo.

QuadRooter está compuesto por cuatro vulnerabilidades:

CVE-2016-2503 descubierto en el driver de la GPU de Qualcomm y solucionado en el Boletín de Seguridad de Google Android de julio de 2016.

CVE-2016-2504 encontrado en el driver de la GPU de Qualcomm y solucionado en el Boletín de Seguridad de Google Android de agosto de 2016.

CVE-2016-2059 localizado en el módulo kernel de Qualcomm kernel y solucionado en abril, aunque se desconoce el número de dispositivos parcheados.

CVE-2016-5340 presente en el driver de la GPU de Qualcomm y solucionado, aunque se desconoce el número de dispositivos parcheados.

Todo lo que un atacante necesita hacer para aprovecharse de estos agujeros de seguridad es instalar un malware en el dispositivo de la víctima. Esto se puede conseguir vía una app maliciosa o haciendo que se ejecute un pequeño programa.

Dispositivos afectados
Qualcomm es uno de los fabricantes de chips punteros a nivel mundial. Se calcula que hay unos 900 millones de dispositivos afectados. La siguiente lista muestra algunos de los principales dispositivos afectados:

Samsung Galaxy S7 and Samsung S7 Edge
Sony Xperia Z Ultra
OnePlus One, OnePlus 2 and OnePlus 3
Google Nexus 5X, Nexus 6 and Nexus 6P
Blackphone 1 and Blackphone 2
HTC One, HTC M9 and HTC 10
LG G4, LG G5, and LG V10
New Moto X by Motorola
BlackBerry Priv
¿Qué hacer?
Tres de las cuatro vulnerabilidades han sido solucionadas en las actualizaciones mensuales de seguridad de Google. La cuarta vendrá en la actualización de septiembre.

Como el problema se encuentra en los drivers que controlan el chipset, debemos esperar a que el fabricante del dispositivo o el operador de telefonía nos haga llegar esos parches para que estos sean efectivos.

Mientras tanto solo nos queda esperar y presionar para que envíen esos parches lo antes posible.

Microsoft soluciona 5 vulnerabilidades críticas con su actualización de agosto

Microsoft acaba de publicar su actualización de agosto.

Este mes consta de nueve boletines, numerados desde el MS16-095 al MS16-103, estando catalogados cinco de ellos como “Critico – Ejecución de código remoto (RCE)”.

Como posiblemente sepas, RCE significa que un ciberdelincuente puede engañarte con un fichero de aspecto inofensivo, o dirigirte hacia una web y hacerse con el control de tu ordenador.

En otras palabras: un ataque RCE puede infectar tu ordenador sin necesidad de que descargues ningún fichero y sin que salte ningún aviso de seguridad.

Aunque Microsoft no ofrece detalles técnicos, los componentes afectados en este mes son:

MS16-095
Actualización para Internet Explorer

MS16-096
Actualización para Microsoft Edge. Aunque no existe mucha información parece que el problema reside en JavaScript. Este tipo de problemas vale la pena solucionarlos, ya que se pueden emplear en una web de manera que, con que solo visites esa web comprometida, ya estarías infectado.

MS16-097
Actualización para Microsoft Graphics Component. Microsoft no especifica qué gráficos están afectados, pero el problema afecta al propio Windows, Office y Skype. Las incidencias con las imágenes también son delicadas, ya que los ciberdelincuentes disponen de infinidad de maneras de poner una imagen a tu disposición.

MS16-099
Actualización para Microsoft Office. Este agujero de seguridad permitiría que un atacante tomara el control de tu ordenador únicamente abriendo un documento Office, sin necesidad de que tuvieras activados los macros.

El consejo de que “no abras ningún documento de alguien que no conozcas”, se aplica a este caso. Pero si tu trabajo implica gestionar documentos, es muy complicado cumplirlo.

MS16-102
Actualización para la librería PDF de Windows. Esta vulnerabilidad es igual de peligrosa que la anterior, la MS16-099. En este caso, afecta a los PDFs y es un tipo de fichero muy popular, usado constantemente en ámbitos laborales.

¿Qué hacer?
Las actualizaciones de este mes son lo suficientemente graves para tener que instalarlas lo antes posible. Afortunadamente no se tiene constancia que los “malos” las estén usando, pero eso no evita que lo hagan en un futuro muy cercano. Sigue nuestro consejo “actualiza rápido, actualiza a menudo”.

Cifrado “Always-On”

Sophos lanza sistema sincronizado de cifrado de archivos “Always-On”

Sophos, proveedor global en seguridad para protección de redes y endpoints, ha anunciado Sophos SafeGuard Encryption 8, una nueva solución de cifrado sincronizado que protege contra el robo de datos a través de software malicioso, ciberataques o filtraciones accidentales. Las empresas ahora pueden adoptar las mejores prácticas de cifrado a nivel de archivo “always-on” para resguardar la información a la que se accede desde móviles, portátiles, ordenadores, redes y aplicaciones para compartir archivos en la nube. Sophos es el primer proveedor que ofrece cifrado persistente, transparente y proactivo que protege por defecto archivos tanto en Windows, Mac, iOs o Android.

Hasta ahora, la gestión y adopción de cifrado se consideraba un proceso demasiado complejo, lo que ha dificultado su aceptación. Según una encuesta realizada por Sophos, The State of Encryption Today, solo el 29% de los directores de TI dice tener siempre sus móviles cifrados y este porcentaje aumenta a 43% cuando se trata del cifrado de un Mac, lo que representa un alarmante nivel de exposición a ciberataques en las empresas.

“Solo el cifrado de disco completo protege los datos en caso de un robo o de pérdida del portátil o dispositivo móvil. Sin embargo, los datos viajan por todas partes – son vulnerables y extremadamente difíciles de proteger constantemente cuando se comparten y usan desde diferentes dispositivos y aplicaciones de colaboración basadas en la nube”, explica Dan Schiappa, vicepresidente senior y director general de seguridad Enduser de Sophos. “Hemos reinventado SafeGuard Encryption 8 para cifrar cada archivo por defecto y validar continuamente a los usuarios, las aplicaciones y dispositivos para una colaboración segura. También incorporamos archivos protegidos con contraseña, lo que permite a los usuarios compartir archivos cifrados con terceros externos a la empresa. Cuando la seguridad de datos es simple y transparente, los usuarios son más propensos a usarla, haciendo que toda la empresa sea más segura y más proclive a seguir las medidas de seguridad”, añade.

En general, un cifrado fácil de usar debería ser prioritario en la agenda de todos los líderes TI, ya que éste revalúa la estrategia de protección de datos para cumplir con los nuevos requisitos de la legislación europea. Hay que tener en cuenta que, cuando a partir del 25 de mayo de 2018 sea aplicable el Reglamento general de protección de datos de la Unión Europea (UE), las empresas que gestionan datos de clientes y empleados dentro de la Unión Europea se enfrentarán a serias sanciones económicas, que implican hasta multas del 4% de los ingresos anuales a nivel mundial si se incumple el reglamento. Esta sanción incluye a compañías que no necesariamente tienen su sede en la Unión Europea, pero gestionan datos de ciudadanos europeos.

“La legislación de protección de datos está siendo introducida en todo el mundo, y las empresas deberían revisar sus políticas de protección de datos antes de enfrentase a las consecuencias. Las empresas que gestionan negocios en países con leyes de protección de datos deben adaptarse a los reglamentos locales”, dice Schiappa. “El cifrado se considera la mejor medida de seguridad disponible. Sophos SafeGuard Encryption es fácil de gestionar y supone la opción más aconsejable para cualquier negocio global que necesita proteger información confidencial o adaptarse a la legislación”, asegura.

Como parte de la estrategia de seguridad sincronizada de Sophos, Sophos SafeGuard Encryption puede responder automáticamente cuando se producen incidentes y amenazas a la seguridad de endpoints conectados. Durante una infección activa, Sophos SafeGuard Encryption puede suspender temporalmente las claves de cifrado para proteger los datos y los usuarios pueden obtenerlas nuevamente de manera automática cuando el incidente se haya resuelto. Sophos SafeGuard Encryption también se sincroniza con las claves de Sophos Mobile Control, que asegura los derechos de acceso a archivos en teléfonos móviles y tabletas. Incluso, se puede tener acceso de manera segura a los documentos cifrados desde la aplicación Secure Work Space.

“Existen cuatro razones fundamentales para que las empresas tengan en cuenta el cifrado. La primera y más importante es la protección de los datos confidenciales contra los ciberataques y la filtración de datos. La segunda es la filtración involuntaria. La gente suele dejar sus móviles y dispositivos USB en la parte trasera de los taxis y a menudo envía correos electrónicos a personas equivocadas, dejando a la vista archivos y otra información privada. En tercer lugar, el cifrado ayuda a las empresas a cumplir con el reglamento de protección de datos de la Unión Europea, mitigando el efecto de las sanciones que su incumplimiento conlleva. Por último, la migración a servicios basados en la nube presenta un problema de seguridad, y el cifrado puede ayudar a las compañías a proteger información que podría ser vulnerable”, asegura Duncan Brown, director de investigación de European security practice de IDC. “A fin de que el cifrado sea eficaz en estos cuatro escenarios, tiene que ser fácil de gestionar para el administrador de TI, transparente para los usuarios y debe adaptarse a diferentes plataformas y tipos de archivos. Sophos hace todo esto con SafeGuard Encryption, permitiendo a las empresas adoptar rápidamente el cifrado como una medida de seguridad necesaria”.

Riesgos Pokemon Go

Sophos Iberia comenta los riesgos de Pokémon Go para la seguridad de Android

Sophos Iberia, empresa experta en seguridad de redes, ha comentado los riesgos y problemas que puede acarrear Pokémon Go en Android, debido a toda las instalaciones externas que se han realizado con anterioridad a la llegada oficial del juego a nuestro país.

Entre los problemas, con virus y malware incluidos en las versiones peligrosas como lo más destacado, la empresa ha recomendado lo siguiente, aunque sea lo más típico en el mundo Android:

  • No usar aplicaciones desconocidas o con escasa reputación. No confíes en una aplicación de la que nadie parece saber nada.
  • Suscribirse a Google Play. A pesar de los fallos recientes de la tienda oficial de aplicaciones para Android, es más seguro usar Google Play que acceder a aplicaciones desde otras modalidades poco convencionales.
  • Utilizar un antivirus para Android. Sophos Mobile Security está disponible de manera gratuita y protege los móviles automáticamente frente a aplicaciones maliciosas.
  • Gestionar los teléfonos de empresa de manera centralizada. Sophos Mobile Control permite controlar las opciones de seguridad de todos los móviles de empresa, de tal manera que evita la descarga de aplicaciones de fuentes poco fiables en los teléfonos de trabajo.

Surprise, el ransomware que se instala a través de TeamViewer

El ransomware es el tipo de malware más peligro de los últimos años. Cuando un usuario se infecta por él, todos sus archivos personales se cifran con un algoritmo prácticamente imposible de romper y, posteriormente, se le pide el pago de un “rescate” para poder recuperar los archivos o, de lo contrario, estos se perderán para siempre. Las formas más comunes de distribuir ransomware es a través de campañas publicitarias maliciosas, kits de exploits o correo electrónico, aunque la forma de distribución de nuevo ransomware, conocido como Surprise, ha pillado por sorpresa tanto a usuarios como a investigadores de seguridad.

Surprise, nombre que ha recibido este ransomware por la extensión que añade a todos los archivos infectados, es un nuevo ransomware detectado por primera vez el día 10 de marzo por unas pocas firmas antivirus, desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto que se publicó con fines educativos pero que, como ocurre siempre, está siendo utilizado para hacer el mal.

Este ransomware ha llegado, como su nombre indica, por sorpresa a todos los usuarios. Las víctimas del mismo se han encontrado con que, de repente, de un día para otro todos sus ficheros habían sido codificados añadiendo la extensión “.surprise” en todas las fotos, documentos y archivos personales del sistema. Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint.

Este ransomware utiliza un algoritmo AES-256 para cifrar los archivos con una clave maestra RSA-2048, la cual se almacena en un servidor remoto de control. Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.

Para recuperar los archivos, el pirata informático pide un pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.

No se sabe cómo el pirata informático logró conectarse a los servidores TeamViewer para distribuir Surprise

El ransomware en sí no es ninguna sorpresa, ya que a grandes rasgos es como cualquier otro. Lo realmente curioso de él es la forma de infectar a los usuarios. Aunque al principio no había nada claro, según aumentó el número de víctimas se pudo observar un patrón, y es que todas ellas tenían instalada la herramienta de control remoto TeamViewer en sus sistemas. Analizando los registros de esta herramienta, todas las víctimas han podido ver cómo un usuario no autorizado se había conectado a sus equipos, había descargado un fichero llamado “surprise.exe” (el ransomware) y lo había ejecutado manualmente, dando lugar así a la infección.

Por el momento no se sabe cómo ha conseguido el pirata informático conectarse de forma remota a los equipos de las víctimas, aunque hay dos posibles opciones:

La primera de ellas, aunque un poco complicada, es que el pirata tenga en su poder una vulnerabilidad zero-day que le permita conectarse de forma remota a cualquier servidor TeamViewer. Los responsables de seguridad de TeamViewer han auditado su herramienta tras las primeras infecciones y aseguran que esto no es posible, lo que nos lleva a la segunda opción.

La segunda de ellas, y probablemente más probable, es que utiliza una herramienta de escaneo de red para detectar cualquier servidor TeamViewer conectado y, posteriormente, consigue acceder a los sistemas de sus víctimas mediante ataques de fuerza bruta.

Tanto las empresas de seguridad como Bleeping Computer y los responsables de seguridad de TeamViewer están estudiando el caso para poder arrojar luz sobre cómo ha sido posible que un pirata informático haya podido distribuir este nuevo ransomware a través de esta herramienta de control remoto.

Tal como recomienda directamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer con una contraseña compleja, activar la doble autenticación, mantener el servidor actualizado a la última versión (y descargado siempre de la web oficial) y, por último, asegurarnos de que el ataque informático no viene por ninguna otra rama (por ejemplo, otro malware instalado en el sistema).

Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.

También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos, especialmente cuando los últimos pings contra el servidor C&C no han devuelto respuesta.