Los 10 peores ataques de Ransomware de 2017
Ransomware es uno de los términos que más se han utilizado y explicado en la sección de noticias y productos de Seguridad en la comunidad, lo ha sido durante todo 2017 y lo será, sin duda también, durante el 2018. Sin embargo, una vez finalizado el año, se puede hacer recuento y ya tenemos el top 10 de los peores ataques del año pasado. El protagonista indiscutible, desde luego, WannaCry, pero la lista completa es la siguiente: NotPetya WannaCry Locky CrySis Nemucod Jaff Spora Cerber Cryptomix Jigsaw Si queréis profundizar en estos ataques y obtener más información, os dejamos acceso a un webinar de ElevenPaths que habla de los orígenes y la evolución que ha sufrido el Ransomware hasta llegar a las versiones actuales, incluyendo recomendaciones de nuestros especialistas así como algunas investigaciones sobre casos curiosos. Recuerda que el principal vector de ataque del Ransomware sigue siendo el correo electrónico, y por ello, desde Telefónica te recomendamos el servicio Tráfico Limpio de Correo, con un módulo específico para repeler estos dañinos ataques. Si quieres estar informado sobre estos temas, te recomendamos que accedas a este foro de seguridad. Para más información sobre el servicio, contacta con nosotros y estaremos encantados de ayudarte.
Fuerte incremento de los ataques dirigidos
Se ha detectado, desde el Security Cyberoperations Center de Telefónica, un fuerte incremento de los ataques dirigidos a empresas utilizando el correo electrónico. El contenido malicioso de estos ataques es, cómo no, Ransomware. El mecanismo es similar en todos los casos: se recibe, en varias de las direcciones de correo electrónico de la empresa, un correo electrónico con asuntos que en muchos casos tienen que ver con la actividad concreta de la empresa, un cuerpo de mensaje bastante bien diseñado, en español o en inglés, y en todos los casos, un adjunto que puede ser de diversos tipos: PDF, DOC, XLS... El contenido de estos adjuntos siempre es malicioso y tiene como objeto descargar un programa de Ransomware, ejecutarlo en el equipo y bloquearlo, para posteriormente solicitar un rescate económico. Hay varias características en esta nueva oleada de ataques que recomiendan estar alerta: El ataque se envía desde direcciones reales registradas en servicios de correo habituales, como Gmail. Los correos están escritos en un castellano o inglés bastante correcto, y con una maquetación bastante buena. El contenido incluye ganchos bastante realistas, que en muchos casos tienen relación con la actividad de la empresa: facturas pendientes, pagos recibidos, información de proyectos supuestamente relacionados con la empresa, recepción de un paquete de mensajería, etc... Los destinatarios son direcciones reales de la empresa, suelen recibirse los mismos correos en varios buzones distintos de la misma empresa. Cambian rápidamente: cada día crean un nuevo gancho, con nueva maquetación y con una versión distinta del Ransomware, y lo envían a diversas direcciones de la empresa. Dadas las características de estos ataques por oleadas, los sistemas de filtrado de correo habituales no siempre son capaces de detectarlos y bloquearlos. La rapidez con la que mutan los ataques, con nuevas versiones cada día, y empleando direcciones de correo válidas y envíos de volumen reducido, hacen que los motores antispam no los detecten. Tampoco los motores antimalware basados en firmas que incorporan estos servicios de filtrado son capaces de detectar estas amenazas zero-day, especialmente cuando todavía no ha sido identificado el ataque e incorporado a los ficheros de firmas. Además de las recomendaciones habituales (extremar la prudencia y no abrir ningún correo electrónico de fuentes desconocidas, especialmente si lleva adjuntos que no estás esperando), se recomienda especialmente la contratación de algún sistema avanzado de protección del correo electrónico. Telefónica ofrece a las empresas, el servicio Tráfico Limpio de Correo, con Protección contra amenazas avanzadas (ATP en sus siglas en inglés) que incorpora motores avanzados, capaces de detectar estos ataques. Se basa en tecnología de sandboxing de última generación que evita las técnicas evasivas habituales en los ataques con Ransomware, y con inspección de código a bajo nivel. Si necesitas más información, no dudes en ponerte en contacto con nosotros o con tu comercial ¡y te ayudaremos!
