Publicado el

#Ransomware móvil, una amenaza en constante evolución

Entre abril de 2016 y marzo 2017, el número de usuarios afectados por ransomware en todo el mundo creció un 11,4% en comparación con el mismo periodo del año anterior, superando los 2,5 millones.

El ransomware móvil se adapta a los tiempos. Lejos de decrecer su influencia, aumenta debido a su capacidad evolutiva. De hecho, ahora su objetivo son los países más ricos, aquellos que, además de contar con una población que disfruta de mayores ingresos, también disponen de infraestructura móvil y de pagos más avanzadas.

Ésta es una de las conclusiones a las que llega el informe anual de ransomware para 2016-2017, elaborado por Kaspersky Lab. Un escenario, el que describe, de gran interés para los cibercriminales porque permite que se puedan transferir los rescates en apenas un par de clics.

El informe, que cubre el periodo completo de 2 años, está dividido en 2 partes de 12 meses cada una: desde abril de 2015 a marzo de 2016 y de abril 2016 a marzo de 2017, respectivamente. Se han elegido estos meses en concreto porque han sido testigos de unos cambios muy importantes en el panorama de las amenazas ransomware.

En lo que respecta a su contenido, la actividad de ransomware móvil se disparó en el primer trimestre de 2017, con 218.625 paquetes de instalación de ransomware de troyanos móviles. Una cifra 3,5 veces superior a la del trimestre anterior. Luego, la actividad bajó al mismo nivel de los otros 2 años del informe. El panorama de amenazas móviles sigue creando mucha expectación, ya que los criminales se dirigen contra naciones con infraestructuras financieras y de pago que pueden verse fácilmente comprometidas.

En el periodo de 2015-2016, Alemania fue el país con mayor porcentaje de usuarios móviles atacados por cualquier tipo de ransomware móvil (casi el 23%), seguido por Canadá (casi el 20%), el Reino Unido y los EE.UU., ambos superando el 15%.

Esta situación cambió en 2016-2017, con EE.UU. escalando a la primera posición con un 19%. Canadá (algo menos del 19%) y Alemania (más del 15%) completan el trio de cabeza, dejando al Reino Unido en el cuarto lugar, con un poco más del 13%.

El ascenso de EE.UU. se debió en gran parte a los ataques de ransomware de las familias Sypeng y Fusob, el primero dirigiéndose casi exclusivamente a los EE.UU. Y, en cuanto Fusob, inicialmente esta familia de malware se dirigió contra Alemania, pero desde el primer trimestre de 2017, EE.UU. encabeza su lista de objetivos con el 28% de los ataques.

Entre otros elementos claves del informe KSN de 2017, encontramos:

• El número total de usuarios que, entre abril de 2016 y marzo de 2017, se vieron afectados por ransomware creció un 11.4% comparado con los 12 meses anteriores (abril 2015 a marzo 2016), pasando de 2.315.931 a 2.581.026 usuarios por todo el mundo.

• La proporción de usuarios que fueron afectados por ransomware al menos en una ocasión cayó en casi 0,8% puntos, desde el 4.34% en 2015-2016 al 3.88% en 2016-2017.

• Entre todos los afectados por ransomware, la proporción de los que se toparon con cryptors subió en 13.6 puntos porcentuales, desde el 31% en 2015-2016 al 44.6% en 2016-2017.

• El número de usuarios atacados con cryptors casi se duplicó, de 718.536 en 2015-2016 a 1.152.299 en 2016-2017.

• La lista de los 10 países con el mayor porcentaje de usuarios atacados en 2016-17 con ransomware de PC, como proporción de todos los usuarios atacados con cualquier tipo de malware, está formada por: Turquía (casi el 8%), Vietnam (cerca del 7,5%), India (por encima del 7%), Italia (cerca del 6,6%), Bangladesh (más del 6%), Japón (casi el 6%), Irán (casi el 6%), España (casi el 6%), Argelia (casi el 4%) y, en último lugar, China (con casi el 3,8%). Esta lista es bastante diferente de la anterior de 2015-2016. Desde entonces, Turquía, Bangladesh, Japón, Irán y España se han incorporado a la relación, todos ellos con porcentajes superiores al 5%.

Para reducir el riesgo de infección, se recomienda a los usuarios que:

• Realicen copias de seguridad con regularidad.

• Utilicen soluciones de seguridad fiables y que recuerden mantener operativas funciones claves como System Watcher.

• Mantener actualizado el software de cualquier dispositivo.

• Tratar los anexos de los correos o mensajes que vengan de personas desconocidas con precaución. Y, en caso de duda, por mínima que sea, mejor no abrirlo.

• En las empresas hay que educar a los empleados y a los equipos de TI: mantener los datos sensibles separados, restringir el acceso y realizar siempre copias de seguridad.

• Si tenemos la desgracia de caer víctimas de un encriptador (cryptor), mantengamos la calma. Puede usar la página No More Ransom (no más rescates) y es posible que encuentre una herramienta de descifrado que ayude a recuperar sus archivos.

• Finalmente, recordar que el ransomware es una figura delictiva y que estos hechos deben ser puestos en conocimiento de las fuerzas de seguridad.

Para disponer de asesoramiento y recomendaciones sobre cómo actuar ante un ataque de ransomware, puede visitar No More Ransom. Compruebe también No Ransom para encontrar los últimos descifradores, herramientas de eliminación de ransomware e información sobre protección frente a ransomware.

La versión completa del informe sobre malware de Kaspersky Lab está disponible en Securelist.com.

Fuente: Ciberseguridad Integral

Publicado el

#WannaCry confirma las tendencias sobre el gasto en seguridad como el más importante en inversión #TI #seguridad

El ciberataque global del ransomware WannaCry, que puso en jaque la seguridad de miles de empresas en 150 países, ha confirmado las tendencias en inversión TI reveladas por Toshiba en su estudio ?Make IT Work? realizado entre más de 400 directivos con decisión de compra de grandes corporaciones y medianas empresas de Europa.

Llevado a cabo en colaboración con la consultora ICM, el estudio señala que el área de inversión más importante en el departamento de TI de las empresas europeas es el de seguridad de los datos (54%). Para más de la mitad de los directivos encuestados la pérdida de esta información es, sin duda, el escenario más crítico para cualquier negocio, más aún en un entorno en el que cada vez más dispositivos se conectan a las redes corporativas.

En este sentido, según Toshiba, el 62% de los empleados europeos utilizan sus dispositivos personales para trabajar, en particular smartphones (42%) y tabletas (31%). Esta situación complica la gestión de las infraestructuras TI y genera mayores riesgos para la seguridad, hasta el punto de que un 40% de los encuestados considera que su mayor reto es la gestión de las actualizaciones de software de tantos tipos de dispositivos.

Precisamente, este reciente secuestro de cientos de miles de ordenadores en todo el mundo ha puesto en evidencia la importancia de la actualización de los sistemas operativos y de información de todos los dispositivos que accede a una red corporativa. En este sentido, Toshiba señala los riesgos de seguridad que implica, por ejemplo, seguir operando con Windows XP, sistema carente de soporte desde 2014 y el más afectado por el último ataque.

Las actualizaciones regulares de los sistemas operativos y del software de seguridad deben, según Toshiba, hacerse sin excepción en todos los dispositivos y servicios de la intranet y esto incluye el correo electrónico, que puede ser una fuente de infección malintencionada y de propagación. De acuerdo con Toshiba, la solución ideal para las empresas para preservar sus datos es la limitación al trabajo remoto con archivos y datos que se almacenan, solamente, en servidores corporativos y realizan copias de seguridad de forma continua.

La solución, desde el punto de vista de la red interna, es relativamente sencilla: tecnología thin client o cliente ligero, la cual reduce significativamente los riesgos, dado que todas las aplicaciones y los datos se encuentran directamente en un servidor. Sin embargo, según Toshiba, estas soluciones de terminal ligero también conllevan sus riesgos, ya que algunas incluyen un disco duro con un sistema operativo vulnerable. Además, pueden ser más costosas de gestionar, mantener y actualizar, sobre todo en caso de disponer de un parque amplio de dispositivos.

Asimismo, según Toshiba, estos terminales no responden a la necesidad de muchas empresas de garantizar la productividad de sus empleados en movilidad. En este sentido, la compañía japonesa señala que la tendencia futura pasa por dispositivos móviles altamente seguros y que permitan la administración centralizada de los sistemas operativos.

Por ello, Toshiba ya dispone de la primera solución del mercado de terminales virtuales basada en ordenadores portátiles sin sistema operativo ni disco duro. Este concepto elimina las vulnerabilidades de seguridad de los thin client disponibles en el mercado, sin comprometer o reducir la funcionalidad y prestaciones de un portátil estándar tradicional.

Denominada Toshiba Mobile Zero Client, esta tecnología elimina la necesidad de almacenar datos o aplicaciones localmente ya que los usuarios acceden a un escritorio virtual (VDI), basado en la nube, donde residen las herramientas necesarias para su actividad profesional y hace que sea imposible la instalación de malware o software malicioso.

Fuente: ComputerWorld

Publicado el

El #ransomware en dispositivos móviles: bloquéalo #seguridad #tecnologia

La semana pasada, hablamos de ransomware para ordenadores, algo muy molesto. Pero, no solo existe el ransomware para ordenadores, sino que también existe para dispositivos móviles y este también va al alza.

Hoy hablaremos de los tipos de ransomware móvil más frecuentes. Hemos obtenido las estadísticas de esta entrada de nuestras soluciones de seguridad.

Ransomware mobile

¿Qué es el ransomware móvil?

Muchas personas ya saben lo que es el ransomware (y cada vez hay más conciencia al respecto). El tipo de ransomware más extendido y molesto para ordenador es el cryptolocker, un malware que cifra tus datos y ofrece la restauración de los mismos tras el pago de un rescate. Otro tipo de ransomware son los bloqueadores, los cuales bloquean el funcionamiento de los navegadores y de los sistemas operativos y piden un rescate para devolver el acceso. Hoy en día, los bloqueadores para ordenadores están menos extendidos que el ransomware cifrador, en mayor parte porque este último es más eficiente a la hora de hacer ganar dinero a los delincuentes.

En cuanto al panorama de las amenazas en dispositivos móviles, sin embargo, sucede al contrario: casi no existen cryptolockers para dispositivos Android porque el sistema operativo y las aplicaciones crean copias de seguridad en la nube. Cuando los usuarios tienen copias de sus archivos, no hay necesidad de pagar un rescate, por lo tanto, sus creadores tienen pocos incentivos a la hora de atacar a los usuarios de Android.

El uso de bloqueadores es una forma mucho más común de infectar dispositivos Android. En los móviles, actúan simplemente superponiendo la interfaz de cada aplicación con una suya propia, por lo que la víctima no puede utilizar ninguna. Los propietarios de PC pueden deshacerse de un bloqueador con facilidad (lo único que deben hacer es extraer el disco duro infectado, conectarlo a otro ordenador y borrar los archivos del bloqueador). Pero no se puede extraer el almacenamiento de un teléfono ya que va soldado a la placa base, lo que explica por qué el 99 % del malware móvil son bloqueadores.

Pequeños grandes jugadores

Entre 2014 y 2015 hubo cuatro principales protagonistas dominando el panorama del ransomware móvil: Svpeng, Pletor, Small y Fusob. En este momento, Pletor ha casi detenido su expansión porque sus creadores han lanzado el infame troyano Acecard y, al parecer, prefieren invertir sus recursos en desarrollar este para expandirlo. Los desarrolladores de Svpeng se han centrado, en su mayoría, en la versión bancaria del troyano. Por ello, solo hay dos grandes familias de ransomware móvil: Small y Fusob. Como resultado, entre 2015 y 2016 ambos troyanos han representado el 93 % de la cuota de ransomware móvil.

mob-ransomware-chartCabe destacar que las familias de troyanos Fusob y Small tienen mucho en común. Ambas muestran pantallas falsas que se hacen pasar por autoridades y acusan a las víctimas de incurrir en un delito. Ambas afirman que se abrirá una instrucción a no ser que el usuario pague la fianza.

Tanto Fusob como Small ofrecen extrañas formas de pago para el rescate: Fusob sugiere el pago con tarjetas regalo de iTunes, mientras que Small ofrece a las víctimas la opción de pagar con el sistema de pago Kiwi o con los cupones de MoneyPak. Seguramente ambos fueron creados por grupos de cibercriminales de habla rusa, pero con enfoques muy diferentes.

En primer lugar, Fusob detecta el idioma del dispositivo y, si es alguno de los de las repúblicas posoviéticas, no hace nada. Si no, muestra una pantalla en la que afirma ser de la NSA y pide un rescate que varía entre los 100 y los 200 dólares. La mayoría de las víctimas de Fusob (más del 41 %) viven en Alemania; el Reino Unido y los Estados Unidos ostenta el segundo y el tercer puesto, con el 14,5 % y el 11,4 %.

small-fusobLuego, está la familia Small. Casi el 99 % de sus víctimas se localizan en tres de los países que Fusob evita: Rusia, Kazajstán y Ucrania. El ransomware Small muestra una pantalla de temática gubernamental con instrucciones de pago, amenazas y la exigencia de una cantidad de entre 700 y 3 500 rublos (entre 10 y 50 dólares) para desbloquear el dispositivo infectado. También existe una versión inglesa local de Small, la cual cuenta con una pantalla de bloqueo diferente en la que se menciona al FBI y pide unos 300 dólares.

Hay dos versiones más de Small. Una es un cryptolocker que ejecuta las mismas operaciones de la primera versión y, además, cifra los datos de la tarjeta SD del dispositivo. La segunda es un troyano multifunción capaz de robar dinero, desviar datos y, por supuesto, bloquear el dispositivo.

Qué está sucediendo y qué debemos esperar

Cuando el malware móvil aún no suponía una gran amenaza, nosotros ya empezamos a dar la voz de alarma. Justo como predijimos, este tipo de malware está experimentando un enorme crecimiento de sus índices (sin mostrar signos de deceleración). Desde 2014 hasta la actualidad, ¡los ataques a móviles se han casi cuadruplicado!

Entre ellos, el número de víctimas de ransomware también ha aumentado, pasando del 2,04 % al 4,63 %. El año pasado, los Estados Unidos fueron el objetivo principal del ransomware móvil (uno de cada diez usuarios que se topó con malware se enfrentó a malware para móviles). Ahora, en Alemania y Canadá les sucede a dos de cada diez, en Reino Unido, Estados Unidos y Kazajistán a uno de cada siete y a más de uno de cada diez en Italia y Holanda.

Creemos que el malware móvil, en particular el ransomware, se hará más popular el próximo año. Para leer un informe más detallado sobre ransomware, visita securelist.lat.

Come protegerse

  1. Instala aplicaciones solo desde tiendas oficiales como Google Play. Para asegurarte de que no se instala ninguna aplicación desde una fuente poco fiable, ve a los ajustes de Android, selecciona Seguridad y comprueba que la casilla de “Fuentes desconocidas” esté desactivada.

  2. Actualiza frecuentemente el firmware de tu dispositivo y sus aplicaciones. Puedes seleccionar la actualización automática de las aplicaciones, pero seguirás teniendo que actualizar el sistema manualmente. Actualiza en cuanto haya una actualización over-the-air (OTA) disponible.

  3. Instala una solución de seguridad sólida. Aunque hayas instalado todas las actualizaciones posibles y descargado las aplicaciones desde fuentes fiables, no has eliminado totalmente el riesgo. El malware puede colarse en Google Play y expandirse mediante las vulnerabilidades aún no conocidas de los kits de exploit. Para evitar ser víctima del ransomware móvil, te recomendamos que utilices la versión completa de Kaspersky Internet Security for Android porque es la única que monitoriza constantemente lo que sucede en tu dispositivo y elimina las amenazas en cuanto aparecen.

Fuente: Kaspersky