Más de 1000 escuelas de EE. UU. impactadas por ransomware en 2019

El portal de Infosecurity Magazine ha señalado que en lo que va del año, más de 1,000 escuelas de EE. UU. se han visto afectadas por ransomware.

Según estadísticas de la firma de ciberseguridad Armor, se han identificado 11 nuevos distritos escolares compuestos por 226 escuelas que han sido comprometidas por este tipo de malware desde finales de octubre, lo cual eleva el número total de distritos escolares afectados a 72 por año, impactando aproximadamente 1,039 escuelas en todo el país.

Afortunadamente, de los 11 distritos impactados en la última ronda de ciberataques, solo uno confirma haber pagado el rescate. A principios de esta semana, Microsoft instó a los clientes a no pagar a los ciberdelincuentes.

«Lo más importante a tener en cuenta es que pagar a los ciberdelincuentes para obtener una clave de descifrado de ransomware no garantiza que se restablecerán sus datos cifrados».

Universidad alemana obligada a entregar 38,000 contraseñas en persona

El portal PC Magazine ha publicado que la Universidad de Giessen en Alemania exige que cada estudiante recoja personalmente su contraseña para el sistema de correo electrónico de la escuela después de un ataque de malware.

La Universidad está haciendo una solicitud extraña porque la escuela es miembro de una red de investigación alemana con reglas estrictas. Como resultado, la universidad debe seguir los requisitos legales que aseguran que las nuevas contraseñas se entreguen al propietario real, y no a otra persona, explicó en un aviso.

«No hay alternativa a este procedimiento», agrega la página web de la universidad.

Dado este requisito, la escuela ahora enfrenta la difícil tarea de entregar nuevas contraseñas a 38,000 usuarios. Esta semana, largas filas de estudiantes, miembros de la facultad y otros empleados han recorrido el gimnasio de la universidad para recoger sus credenciales. 

El restablecimiento de la contraseña se realizó en respuesta a un ciberataque que obligó a la universidad a cerrar sus sistemas de internet y correo electrónico a principios de este mes. Los expertos en seguridad contratados de la escuela han atribuido el ataque a una pieza de malware, que puede haberse extendido a las computadoras Windows de los empleados.

¡Ahora ransomware en cámaras!

Cuando escuchamos sobre ransomware, ese malware que secuestra el acceso a tus datos y que ha dado tantos dolores de cabeza tanto a usuarios como a grandes organizaciones alrededor del mundo, seguro vienen a nuestra mente esas noticias donde los dispositivos afectados son computadoras o servidores, sin embargo este tipo de ciberataques no solo se enfocan en esos objetivos. Tal es el caso de las cámaras digitales que están siendo atacadas con este peculiar malware.

Y es que al menos 30 cámaras del fabricante Canon se han encontrado susceptibles a vulnerabilidades críticas a través de conexiones Wi-Fi y USB. Los modelos de cámara afectados corren el riesgo de ser infectados por ransomware, por lo que los ciberatacantes pueden retener fotografías y videos tomados en la cámara

Las vulnerabilidades fueron descubiertas por la firma de ciberseguridad Check Point, que alertó a Canon sobre el problema que afecta a cada categoría de producto.

En respuesta, la japonesa Canon lanzó inmediatamente una notificación junto con una actualización de firmware para los 33 modelos de cámaras que son susceptibles de este tipo de ataque, desde dispositivos profesionales como la Canon EOS 1-DX Mark II hasta la Canon EOS R y la Canon PowerShot G5X Mark II.

La firma de ciberseguridad ha informado que otros fabricantes de cámaras también pueden ser vulnerables.

DePriMon: malware que utiliza formas novedosas de infectar tu PC

Se ha detectado un descargador de malware que está utilizando técnicas que no se habían visto antes y en consecuencia se destaca por su dificultad para encontrarlo. Apodado DePriMon, el descargador malicioso descubierto por la firma de ciberseguridad ESET, se utiliza para implementar malware utilizado por un grupo de cibercriminales llamado Lambert, también conocido como Longhorn, que se especializa en ataques contra compañías europeas y de Medio Oriente. 

Este malware registra un nuevo monitor de puerto local, un truco incluido en la técnica de «Monitores de puertos». Para eso, el malware usa el nombre «Monitor de impresión predeterminado de Windows», es por eso que se le ha llamado DePriMon.

Segun ESET, DePriMon es un descargador inusualmente avanzado cuyos desarrolladores han hecho un esfuerzo adicional para configurar la arquitectura y crear los componentes críticos.

DePriMon se descarga en la memoria y se ejecuta directamente desde allí como una DLL. Nunca se almacena en el disco. Tiene un archivo de configuración sorprendentemente extenso con varios elementos interesantes, su cifrado se implementa correctamente y protege la comunicación C&C de manera efectiva.

Como resultado, DePriMon es una herramienta potente, flexible y persistente diseñada para descargar una carga útil y ejecutarla, y para recopilar información básica sobre el sistema y su usuario en el camino.

Los expertos recomiendan tomar las medidas de prevención básicas: mantener su sistema de seguridad actualizado y no descargar ni ejecutar archivos sospechosos o de dudoso origen.

9 ataques de malware por segundo en México

Muchas personas consideran que solo las grandes empresas sufren de ciberataques, sin embargo la realidad es otra. Cada año, millones de personas son víctimas de cibercriminales, y México evidentemente no es la excepción.

Uno de los principales males que aquejan a usuarios de a pie es el malware, que no es más que un software malicioso diseñado para infectar la computadora de un usuario legítimo y dañarla de diversas maneras.

Según cifras de la empresa de ciberseguridad Kaspersky, México ocupa el noveno lugar a nivel global en la lista de países más atacados con «programas maliciosos».

En México se registran poco más de 9 ataques de malware por segundo. En el periodo de octubre del año pasado al mismo mes de 2019, Kaspersky contabilizó 300 millones 868 mil 532 ataques de malware en México, lo que representa un incremento del 31% comparado contra el mismo periodo de 2017 a 2018, además de un crecimiento del 16% de usuarios infectados.

En el marco de la presentación Predicciones 2020, Roberto Martínez, Analista Sr. de la firma, señaló que el incremento de ataques en México ha sido considerable y que ahora los criminales no sólo trabajan para atacar a grandes corporaciones o compañías, sino que el aumento también ha sido dirigido a usuarios finales, ya que se ha vuelto más común que las personas ocupen sus dispositivos para trabajar o realizar otras tareas.

La mayoría de amenazas que detectó Kaspersky en México están relacionadas con publicidad maliciosa (adware) o con cracks (instalación de software piratas).

Hackers pueden aprovecharse de Alexa y Google Home para espiar y robar contraseñas

El portal ArsTechnica ha publicado un reportaje sobre las preocupaciones alrededor de aplicaciones maliciosas desarrolladas por terceros con el fin de aprovechar dispositivos inteligentes para espiar a usuarios y robar contraseñas.

Por ahora, las amenazas a la privacidad planteadas por Amazon Alexa y Google Home son de conocimiento común. Los trabajadores de ambas compañías habitualmente han escuchado audios de usuarios.

Ahora, hay una nueva preocupación: aplicaciones maliciosas desarrolladas por terceros y alojadas por Amazon o Google. La amenaza no es solo teórica. Hackers de Whitehat en los laboratorios de investigación de seguridad de Alemania desarrollaron ocho aplicaciones (cuatro «habilidades» de Alexa y cuatro «acciones» de Google Home) que superaron los procesos de investigación de seguridad de ambas empresas. Las habilidades o acciones se presentan como aplicaciones simples para verificar horóscopos, con la excepción de uno, que se hizo pasar por un generador de números aleatorios. Detrás de escena, estos «espías inteligentes», como los llaman los investigadores, espiaban subrepticiamente a los usuarios y además roban sus contraseñas.

«Siempre estuvo claro que esos asistentes de voz tienen implicaciones de privacidad, ya que Google y Amazon reciben comandos de voz, y esto posiblemente genera en ocasiones accidentes», señala Fabian Bräunlein, consultor senior de seguridad de SRLabs. «Ahora mostramos que, no solo los fabricantes, sino también … los hackers pueden abusar de esos asistentes de voz para entrometerse en la privacidad de alguien».

Las aplicaciones maliciosas tenían diferentes nombres y formas de trabajar ligeramente diferentes, pero todas seguían flujos similares. Un usuario diría una frase como: «Hola Alexa, pide a Mi Lucky Horóscopo que me dé el horóscopo de Tauro» o «OK Google, pide a Mi Lucky Horóscopo que me dé el horóscopo de Tauro». Las aplicaciones de espionaje respondieron con la información solicitada, mientras que las aplicaciones de phishing dieron un mensaje de error falso. Luego, las aplicaciones dieron la impresión de que ya no se estaban ejecutando cuando, de hecho, esperaron en silencio la siguiente fase del ataque.

Después de reportar estas aplicaciones ambas empresas las eliminaron de sus tiendas de aplicaciones. Es alentador que Amazon y Google hayan eliminado las aplicaciones y estén fortaleciendo sus procesos de revisión para evitar que aplicaciones similares estén disponibles. Pero el éxito de SRLabs plantea serias preocupaciones. Google Play tiene una larga historia de hospedaje de aplicaciones maliciosas que generan malware sofisticado de vigilancia, en al menos un caso, dijeron los investigadores, para que el gobierno de Egipto pueda espiar a sus propios ciudadanos. Otras aplicaciones maliciosas de Google Play han robado criptomonedas de usuarios y ejecutado cargas secretas de código. Este tipo de aplicaciones se han escapado rutinariamente del proceso de investigación de Google durante años.

Hay poca o ninguna evidencia de que las aplicaciones de terceros estén amenazando activamente a los usuarios de Alexa y Google Home ahora, pero la investigación de SRLabs sugiere que la posibilidad de ninguna manera es descabelladaLos riesgos planteados por Alexa, Google Home y otras aplicaciones que siempre escuchan superan sus beneficios. La investigación de SRLabs Smart Spies solo aumenta la creencia de que la mayoría de las personas no deberían confiar en estos dispositivos.

Joker: malware que roba datos y dinero

Seguramente habrás escuchado de la nueva película de Joker, personaje interpretado por Joaquin Phoenix. Joker es la antítesis del superhéroe Batman, y se caracteriza por su personalidad retorcida y aterradora. Pues bien, investigadores de seguridad han detectado una pieza de malware, igual de compleja, retorcida y aterradora, la cual está enfocada en atacar dispositivos Android. Este malware se ha descargado casi medio millón de ocasiones desde la tienda Google Play. Fue descubierto por Aleksejs Kuprins, investigador de seguridad.

Cuando un dispositivo Android se infecta con Joker, se comienzan a ejecutar varios procesos en segundo plano, posteriormente el malware simula silenciosamente la interacción con sitios web de publicidad, roba los mensajes SMS de la víctima asó como su lista de contactos e información del dispositivo.

Esta actividad sigilosa incluye la simulación de clics con un módulo de recopilación de SMS para agregar la capacidad de ingresar códigos de autorización para servicios de suscripción premium. Esto quiere decir que sin que la víctima se percate, los registra de manera secreta y paga por dichos servicios sin su autorización.

Google afirma haber eliminado varias de las aplicaciones, sin embargo, esto no fue suficiente ya que las mismas contaban con cerca de 472,000 descargas. Se ha identificado que Joker se ha instalado a través de 24 aplicaciones infectadas, entre ellas se encuentran: Age Face, Altar Message, Antivirus Security – Security Scan, Beach Camera, Board picture editing, Certain Wallpaper, Climate SMS, Collate Face Scanner, Cute Camera, Dazzle Wallpaper, Declare Message, Display Camera, Great VPN, Humour Camera, Ignite Clean, Leaf Face Scanner, Mini Camera, Print Plant scan, Rapid Face Scanner, Reward Clean, Ruddy SMS, Soby Camera y Spark Wallpap.

De acuerdo con el investigador, Joker está programado para atacar países seleccionados, ya que en el código incrustado en las apps afectadas contienen códigos móviles de países específicos, sin embargo se recomienda tomar precauciones en caso de haber instalado alguna de las aplicaciones infectadas.

Brasil y México, países más afectados por malware en América Latina

La novena Cumbre Latinoamericana de Ciberseguridad de Kaspersky destacó que Brasil y México son los países más afectados por malware en la región, y que además se mantienen en el Top 20 mundial. En el evento llevado a cabo en Iguazú, Argentina, se señaló también que los dispositivos móviles en América Latina reciben 6 intentos de ataque de malware por minuto, y que en la clasificación mundial de ciberataques móviles, Brasil es el que más ataques registra en estas latitudes y se ubica en sexto lugar a nivel mundial, seguido por México a nivel regional y como noveno a nivel global.

Según los expertos de la empresa de ciberseguridad, esta estadística es consecuencia en gran medida por la descarga de software no licenciado, llamado comúnmente como «pirata». “La piratería ayuda al criminal porque los sistemas piratas son vulnerables. Es una cadena de hechos: primero, el usuario no quiere pagar, instala un sistema operativo pirata e instala un crack; segundo, el usuario no actualiza el programa porque identificaría que se trata de un software pirata; tercero, el software es vulnerable y cuarto, el usuario es atacado”, señaló Fabio Assolini, analista senior de Seguridad de Kaspersky.

Otra gran amenaza en la región es el phishing, “El phishing ofrece la credencial necesaria que dará al atacante la posibilidad de desarrollar las siguientes etapas de ataques más avanzados”. México se ubica en el lugar 13 en este indicador.

¿Tienes Android? ¡Cuidado con este ransomware que se propaga por SMS!

La empresa de ciberseguridad ESET ha reportado un nuevo malware que ataca específicamente a dispositivos Android a través de mensajes SMS.

Se trata de un ransomware, es decir, un malware que cifra los datos del equipo y los «secuestra» hasta que el usuario realice un pago con el fin de que el ciberdelincuente le proporcione una llave para descifrarlos. El malware ha sido identificado como Android / Filecoder.C, y en caso de lograr su cometido solicita como rescate un pago en criptomonedas equivalente a 200 dólares.

Este ransomware se ha distribuido a través de varios foros en línea, y al infectar a un usuario se propaga a través de SMS con enlaces maliciosos utilizando la lista de contactos de sus víctimas. La mayoría de los temas de las publicaciones de dichos enlaces están relacionados con pornografía, aunque también se han detectado publicaciones relacionadas con temas técnicos a modo de señuelo. En todos los comentarios o publicaciones, los ciberatacantes incluyeron enlaces o códigos QR que apuntaban a las aplicaciones maliciosas.

¿Cómo protegerse?

Para evitar ser víctima de este malware, basta con no dar click en el enlace en caso de recibir el mensaje SMS y eliminarlo inmediatamente.

ESET, además recomienda como medidas preventivas :

  • En primer lugar, mantenga sus dispositivos actualizados, idealmente configúrelos para parchear y actualizar automáticamente, de modo que pueda permanecer protegido incluso si no se encuentra entre los usuarios más expertos en seguridad.
  • Si es posible, quédese con Google Play u otras tiendas de aplicaciones acreditadas. Es posible que estas tiendas no estén completamente libres de aplicaciones maliciosas, pero sin duda tendrá más posibilidades de evitarlas.
  • Antes de instalar cualquier aplicación, verifique su calificación y los comentarios. Concéntrese en los negativos, ya que a menudo provienen de usuarios legítimos, mientras que los atacantes suelen elaborar comentarios positivos.
  • Concéntrese en los permisos solicitados por la aplicación. Si parecen inadecuados para las funciones de la aplicación, evite descargar la aplicación.
  • Use una solución de seguridad móvil acreditada para proteger su dispositivo.

Monokle, malware que roba datos en dispositivos Android

Monokle, el malware redescubierto por la empresa de ciberseguridad Lookout, está enfocado en robar información de dispositivos móviles con sistema operativo Android. Lookout ha catalogado a Monokle como una pieza avanzada de software de vigilancia que ha implementado varias características que no hemos visto antes para capturar datos.

Este conjunto de herramientas de software dirigido a espiar se desarrolló en 2015, sin embargo se ha venido detectando actividad del malware con mayor frecuencia durante los últimos meses. La actividad hasta el día de hoy se ha mantenido restringida y limitada, lo que sugiere que Monokle se usa con moderación en campañas altamente específicas.

El malware, tiene como finalidad la extracción de datos de los usuarios, también permite la instalación de certificados de seguridad, a través de los cuales se puede interceptar el tráfico, desde páginas y aplicaciones que, al menos en apariencia, son seguras. Entre sus funcionalidades se encuentran, la recopilación de contactos, historial de llamadas, historial del navegador e información del calendario; permitir la recuperación de texto sin formato de la contraseña de un usuario capturando la sal utilizada al almacenarla en reposo; grabación de llamadas y audio ambiental; recuperar cuentas y contraseñas asociadas, recuperar correos electrónicos, tomar capturas de pantalla, rastrear la ubicación del dispositivo y recopilar información de la torre celular cercana; entre otras.

«Monokle es un gran ejemplo de la tendencia de empresas y estados-nación que desarrollan sofisticados malware móviles que hemos observado a lo largo de los años«, afirma la publicación del blog de Lookout.