Fugas de información: Phishing y Ransomware

Ahora mismo nos encontramos con una evolución enorme de las aplicaciones web siendo utilizadas a diario por millones de personas. Éstas manejan gran cantidad de datos críticos de sus usuarios y esto conlleva a un riesgo, cada vez mayor, cuando son atacadas.

El atacante va a buscar diferentes formas para poder acceder. Si se encuentra un sistema bien fortificado, utilizará técnicas destinadas a obtener información sobre las personas (empleados) que están en contacto con el mismo.

La mayoría de los casos de fugas de información se producen por malas prácticas en el uso del correo electrónico.  Como podemos observar en la imagen el 76 % de infecciones de ransomware ha sido distribuido a través de phishing y campañas de spam.

http://globbsecurity.com/ransomware-cifras-38969/

http://globbsecurity.com/ransomware-cifras-38969/

Un ejemplo de las pérdidas que puede tener una empresa por culpa de phishing, es lo que le ocurrió a BitStamp. Durante semanas cinco empleados recibieron correos y mensajes por Skype, hasta que uno ellos se descargó un archivo adjunto que, al abrirlo, ejecutó un código malicioso y comprometió su equipo. A partir de ahí, los atacantes consiguieron la información necesaria para realizar el robo de más de 18000 bitcoints.

En este tipo de casos, es necesario entrenar a nuestro personal. En la actualidad, obtener correos de los empleados, recibir correos fraudulentos de posibles clientes, ofertas referentes a gustos personales, etc. es relativamente sencillo. A veces es complicado detectar los correos fraudulentos, incluso detectar una web clonada.

Actualmente, existe una campaña de phishing con la tarjeta de carrefour pass para robar las claves de acceso y  otra, aprovechando la campaña de la renta, para robar datos bancarios.

Es por ello que, desde SVT, creemos firmemente que es necesario realizar una formación de calidad y entendible para todos los empleados de una organización, ya que, ellos, son el eslabón más débil de la cadena y serán los primeros en recibir ataques.

Por este motivo, hemos creado un programa de formación que incluye campañas phishing ficticias y totalmente controladas, de manera que se puedan analizar los resultados y proponer un plan de mejora personalizado, que mitigue y reduzca los riesgos dentro de la organización.

Descifrar el ransomware CryptXXX

Recientemente la empresa “Kaspersky” ha lanzado una herramienta que viene a intentar combatir la lucha contra el archiconocido ransomware en su variante CryptXXX.

Al igual que casi todos los ransomware CryptXXX se suelen distribuir entre los usuarios, a través de correos maliciosos que adjuntan ficheros infectados o en su defecto enlazan a páginas Web con exploits preparados para colarse por cualquier resquicio del navegador.

Una vez ejecutado, ya sea por doble clic del usuario o por accesos indebidos a URL’s maliciosas (junto con navegadores no actualizados y/o obsoletos) el ransomware cifra los archivos del sistema y añade la extensión .crypt al nombre de cada fichero. Acabado el trabajo de cifrado, el propio virus, informa al usuario de que ha sucedido, con que clave de cifrado y como recuperar los ficheros previo pago de una cantidad estipulada previamente y que en la mayoría de casos, según el ciberdelincuente vea variará muy probablemente. ¿Por qué variará? El atacante suele pedir que se le envíe un fichero cifrado para demostrar a la víctima que puede descifrarlo. Normalmente, por la precipitación del inexperto usuario y por la gravedad del asunto, este enviará algún fichero relevante y es así como el atacante obtendrá información del usuario de cierta forma pudiendo deducir si es un particular o una empresa. En el segundo caso, suele elevar el precio ya que los datos de una empresa suelen tener más valor que los de un particular.

Ransomware-pic

Read the rest of this entry »