Descripción

Investigadores de seguridad internacionales han revelado nuevas variantes de malware del tipo de ransomware que es utilizado para pedir rescates por archivos cifrados a continuación se listan los más relevantes:

• Mongolock: Se dirige a las bases de datos y tiene la variante de eliminar los  archivos de la víctima en el disco local al mismo tiempo que los va cifrando y supuestamente realiza una copia de seguridad para exigir el rescate.
  Mongolock hace uso de "format.com" que es un comando de windows para  formatear la unidad de disco local, por lo cual no realiza la copia de seguridad, dado que formatea la unidad y el atacante no podría restaurar la información así se pague el rescate.

• JungleSec: Diseñado para infectar servidores de LINUX que hagan uso de IPMI (Intelligent Platform Management Interface), que puede estar configurada con  contraseñas por defecto o desactivadas, en si en cualquier servidor LINUX una interfaz IPMI no configurada puede dar acceso remoto al sistema a los atacantes, lo que les daría control total sobre el servidor para instalar el malware y pedir el rescate.

• SamSam: Elige sus víctimas por el uso de Prolocolo de Escritorio Remoto (RDP) de Windows que puede ser accesible desde internet y mediante fuerza bruta obtiene las contraseñas, corriendo una herramienta como Mimikatz que detecta credenciales de controladores de dominio, usando además herramientas que mapean la red de la víctima, deshabilitando el software de seguridad y distribuyen el malware de encriptación de SamSam a tantos sistemas como pueda alcanzar en el mapeo de la red.

• MATRIX: Accede a través de una contraseña débil de RDP Protocolo de Escritorio Remoto, integrada en ordenadores Windows y se dirige a cualquiera de los dispositivos conectados a la red de la maquina infectada, sin extenderse a través de toda la institución, característica por la cual no es detectada por herramientas de seguridad dado que afecta sólo a un dispositivo en la red.

• PHOBOS: Hereda funciones de ataque conocidos de Dharma y CrySis, donde el sistema se aprovecha del uso de Protocolo de Escritorio Remoto (RDP) y Virtual Network Computing (VNC) realizando ataques desde internet, buscando conexiones remotas o se propaga a través de ataques de spam por correo electrónico con archivos adjuntos maliciosos o con enlaces a sitios fraudulentos.

• DJVU: En una Variante de Stop Ransomware que se distribuye por correo electrónico a través de ataques de SPAM con archivos adjuntos de correo electrónico malicioso, enlaces a sitios de descargas fraudulentas, exploits, inyecciones web, actualizaciones falsas, instaladores infectados, donde añade extensiones ".djvu", ".udjvu" o ".blower" que es un formato para el uso de libros electrónicos y almacenamiento de documentos escaneados, motivo por el cual su ataque es dirigido en especial a usuarios finales con poco conocimiento en informática, pero por su condición de uso de extensiones lo hace difícil de reconocer.

• ANATOVA: Se distribuye a través de descargas de Juegos Online y aplicaciones de juegos, usa el engaño de la víctima realizando un camuflado de su iconos con uno de juegos o aplicaciones conocidas en las redes P2P de juegos, lo que lo hace más amigable para las víctimas familiarizadas con este entorno.

• SHADE 2: Se envía en archivos ZIP que contienen un Java Script que descarga un loader malicioso, que es descargado de URLs de sitios de Wordpress legítimos comprometidos bajo la apariencia de archivo de una imagen, donde el ransomware se distribuye.
  Los sitios web de wordpress que se encuentran comprometidos pueden haber sufrido ataques de bots automatizados en el pasado y pueden ser sitios que distribuyen actualmente este ramsomware.

En la mayoría de las variantes de este tipo de malware se comprometen los dispositivos, porque el usuario abrió previamente enlaces o archivos adjuntos en un correo sospechoso o descargo versiones no oficiales de aplicaciones de sitios comprometidos. 

Recomendaciones

1. Realizar copias de seguridad que brinden protección contra la pérdida de información:

• Identificar datos, información y sistemas, sensibles o críticos para la institución.
• Establecer procesos y/o procedimientos de respaldo, considerando la periodicidad.
• Realizar pruebas de restauración.
• Determinar tiempos de retención de las copias de respaldo.
• Las copias deben alojarse en un medio externo distinto al del equipo para poder recuperar los archivos.

2. Se debe mantener el sistema operativo y sus aplicaciones actualizadas con los parches de seguridad mas recientes.  

3. Establecer requisitos técnicos mínimos para la identificación y autenticación de  usuarios para: Conexiones remotas, servicios y aplicaciones que permitan controlar, autorizar y asignar privilegios a cuentas de usuario.

4. Restringir el acceso a aplicaciones de control remoto como Remote Desktop Protocol RDP) y Virtual Network Computing (VNC). En caso de ser necesario su uso se recomienda:

• Fortalecer las contraseñas utilizadas y cambiarlas periódicamente.
• No utilizar en ningún caso, cuentas por defecto.

5. Es recomendable que en el: firewall, IDS, puertas de enlace web, enrutadores u otros  dispositivos basados ​​en el perímetro, se revise y reconfigure los indicadores de compromiso basados en URL e IP.

6. Si tiene un sitio en Wordpress verifique si existe el archivo o nombre de url “ssj.jpg”, y en ningún caso lo abra, puede estar alojando el archivo con el loader malicioso de un ransomware.

7. No se recomienda en ningún caso, que se pague dinero de rescate a los autores del ransomware.