Virus de la Policía

Empezábamos el mes con una nueva versión del ransomware conocido popularmente como “Virus de la Policía”. Esta nueva variante no incluía ninguna novedad especialmente destacable para aquellos países que llevan meses detectando este malware, pero sí que presentó, por primera vez, variantes adaptadas a países de Latinoamérica como Argentina, Bolivia, Ecuador y México.

Pero este no fue el único ransomware que analizamos en nuestro laboratorio ya que, a mediados de mes, empezamos a observar cómo muchos usuarios, especialmente empresas, comenzaron a ver que sus sistemas Windows 2003 se bloqueaban y cifraban los archivos almacenados. A continuación se mostraba un mensaje pidiendo una cantidad de dinero y una dirección de email para poder recuperar la información cifrada.

“La facilidad que tienen los ciberdelincuentes para crear y distribuir nuevas variantes de ransomware, unido a los beneficios económicos directos que proporciona, hace que ésta sea una de las amenazas que más difusión están teniendo en la actualidad, con varios grupos de ciberdelincuentes actuando en paralelo”, comenta Josep Albors, director del laboratorio de ESET en Ontinet.com.

Esta proliferación de casos de ransomware no nos debe extrañar, puesto que las vulnerabilidades de las que se aprovechan no son parcheadas por muchos usuarios. Además, al afectar y bloquear a la herramienta principal de trabajo de muchas personas, no son pocos los que ceden ante este chantaje y pagan la cantidad que se solicita.

¿Ciberataques?

Durante este mes también hemos visto cómo lo que algunos medios han llamado ciberataques, han saltado a la primera plana de medios generalistas. El primero de estos supuestos ciberataques fue el sufrido por varios bancos y televisiones de Corea del Sur, algo que algunos medios interpretaron como un posible ataque realizado desde Corea del Norte. Este ataque resultó ser una infección por un malware que sobreescribía el sector de arranque (MBR) del disco duro de los sistemas infectados, dejando inutilizadas las máquinas afectadas.

Al mismo tiempo, algunas webs como la del proveedor de Internet LG Uplus aparecieron modificadas por un grupo que se hace llamar “Whois Team”. Aun hoy, es difícil decir si estos dos incidentes estuvieron relacionados o si se trató de una mera coincidencia. Lo que parece claro es que no fue un ciberataque lanzado por otro país, como algunos medios informaron.

Otro incidente que hizo correr ríos de tinta en medios generalistas, como The New York Times, fue el ataque de denegación de servicio sufrido por la organización SpamHaus, encargada de gestionar la lista negra de spammers más conocidos. A raíz de la inclusión en esta lista negra de la empresa CyberBunker, uno de los servicios de alojamiento de datos preferido por organizaciones como The Pirate Bay o la Russian Business Network, se lanzó un ataque de denegación de servicio de grandes proporciones.

A pesar de que este ataque manejó cifras muy elevadas, que llegaron a alcanzar los 300 gigabits por segundo, este tráfico no impidió el correcto funcionamiento de Internet. No obstante, varios medios se hicieron eco de que este ataque podría haber causado graves problemas a los usuarios e incluso haber tumbado toda la Red, algo muy exagerado y que surgió a raíz de las declaraciones de CloudFare, empresa contratada por Spamhaus para mitigar este ataque.

En marzo, vulnerabilidades mil
Siguiendo con las ya tradicionales vulnerabilidades en Java y productos de Adobe, marzo no fue una excepción. Así pues, a principios de mes vimos cómo se aprovechaba una vulnerabilidad en la última versión de Java en ese momento para descargar e instalar un troyano, lo que permitiría a un atacante acceder remotamente a la máquina infectada.

Poco tiempo después y con motivo de la celebración del evento PWN2OWN 2013, salieron a la luz nuevas vulnerabilidades en Java, concretamente tres. No fue el único software que cayó en este evento, donde varios investigadores buscan fallos de seguridad a cambio de suculentos premios en metálico.

Además de Java, los navegadores Internet Explorer 10, Firefox y Chrome funcionando bajo Windows también cayeron; solamente se libró Safari bajo Mac OS/X. Adobe también vio cómo se comprometía la seguridad de sus productos Flash y Reader. Poco tiempo después también se vio obligada a lanzar parches de seguridad para Adobe Air y solucionar así varios agujeros críticos de seguridad.

Los sistemas de distribución digital de software como Origin llevan meses en el punto de mira de los ciberdelincuentes. Si no hace mucho fue Steam el que presentaba fallos que podrían ser aprovechados para descargar malware desde un enlace modificado que utilizase la nomenclatura de esta plataforma, este mes comprobamos que Origin también era vulnerable a un ataque similar. Sin duda, los jugones representan un objetivo más que interesante para los creadores de malware viendo los ataques que tienen como objetivo este tipo de usuarios.

Una prueba de concepto que nos llamó la atención fue la que permitía que nuestro disco duro se llenase por completo al acceder a un sitio web modificado especialmente. Esta prueba de concepto se aprovechaba de una característica de HTML5, presente en la mayoría de los navegadores actuales más usados, y permitía llenar 1 Gigabyte en tan solo 20 segundos.

Como vulnerabilidad curiosa, destacamos la que Microsoft solucionó el pasado mes y que permitía a un atacante saltarse los controles de seguridad del sistema Windows con solo utilizar un pendrive USB. Esta vulnerabilidad requería de acceso físico a la máquina, pero permitiría realizar esas acciones tan propias del cine de Hollywood donde se puede saltar cualquier medida de seguridad con solo introducir un medio extraíble en el sistema.

Mac, móviles, Evernote y Facebook

Los sistemas Mac tampoco se libraron de las amenazas en marzo. En nuestro blog hablamos de un malware que, inicialmente desarrollado para Windows, había dado el salto a sistemas Mac y que afectaba a los usuarios cuando estos visitaban una web infectada. Los usuarios infectados sufrirían a partir de ese momento el bombardeo constante de anuncios indeseados y redirecciones a sitios web con más publicidad.

Apple también nos dio una buena noticia al comenzar a utilizar el protocolo seguro https en su Apple Store. A pesar del éxito de esta tienda online, no ha sido hasta ahora que Apple ha optado por utilizar un protocolo seguro que impida realizar una serie de ataques que podrían, entre otras opciones, capturar los datos de la cuenta del usuario en una Wi-Fi pública.

Durante marzo también hemos visto cómo se han presentado varias maneras de saltarse la protección del bloqueo de pantalla en dos de los dispositivos móviles de más éxito como son el iPhone y el Samsung Galaxy Note II. Aprovechándose de fallos sin solucionar, a pesar de haber lanzado parches que supuestamente los arreglaban, varios investigadores publicaron vídeos donde mostraban cómo accedían a la agenda o las fotos de un móvil completamente bloqueado.

La privacidad de nuestros datos en la nube se vio comprometida al anunciar el popular servicio Evernote que su seguridad había sido vulnerada y que, por eso, se veían obligados a cambiar las contraseñas de sus más de 50 millones de usuarios. Por suerte, entre los datos a los que los atacantes consiguieron acceder no se encontraban los de las tarjetas de crédito ni las notas almacenadas por los usuarios.

Tampoco Facebook se libró de los fallos en privacidad, puesto que de nuevo se anunció el descubrimiento de un nuevo fallo en su Timeline. Este fallo permitía que los amigos de nuestros amigos en Facebook tuvieran acceso a ver a qué eventos habíamos asistido, aun habiendo configurado la privacidad de forma que nuestras publicaciones solo puedan ser vistas por nuestros amigos directos.

Pero sin duda, la fuga de datos privados que más revuelo mediático produjo fue la que reveló información privada de varios personajes famosos de Estados Unidos. Personas tan conocidas como Michelle Obama, Beyoncé, Hillary Clinton, Tom Cruise o Bill Gates, entre otros, vieron cómo varios de sus datos privados eran accesibles a cualquiera que visitara la web preparada a tal efecto. Entre esta información encontramos varios lugares de residencia, números de teléfono e incluso movimientos en sus cuentas bancarias.

 

Fuente: muyseguridad