PirataRoberts3-0

Música para amenizar la lectura link: https://www.youtube.com/watch?v=D9Qx_L1S4Jw El ransomware es el tipo de malware más peligroso de losúltimos años. Cuando un usuario se infecta por él, todos sus archivospersonales se cifran con un algoritmo prácticamente imposible de romper y,posteriormente, se le pide el pago de un “rescate” para poder recuperar losarchivos o, de lo contrario, estos se perderán para siempre. Las formas máscomunes de distribuir ransomware es a través de campañas publicitariasmaliciosas, kits de exploits o correo electrónico, aunque la forma dedistribución de nuevo ransomware, conocido como Surprise, ha pillado porsorpresa tanto a usuarios como a investigadores de seguridad. Surprise, nombre que ha recibido este ransomware por laextensión que añade a todos los archivos infectados, es un nuevo ransomwaredetectado por primera vez el día 10 de marzo por unas pocas firmasantivirus, desarrollado a partir del proyecto libre EDA2, un ransomware decódigo abierto que se publicó con fines educativos pero que, como ocurresiempre, está siendo utilizado para hacer el mal. Este ransomware ha llegado, como su nombre indica, porsorpresa a todos los usuarios. Las víctimas del mismo se han encontrado conque, de repente, de un día para otro todos sus ficheros habían sido codificadosañadiendo la extensión “.surprise” en todas las fotos, documentos y archivospersonales del sistema. Una vez finalizada la infección, el malware deja en elescritorio 3 archivos con las instrucciones necesarias para recuperarlos. Elautor de este ransomware se esconde tras dos cuentas de correo, una enProtonMail y otra en Sigaint. Este ransomware utiliza un algoritmo AES-256 paracifrar los archivos con una clave maestra RSA-2048, la cual se almacena en unservidor remoto de control. Este malware es capaz de detectar 474 formatosde archivos diferentes para cifrarlos, borrarlos de forma segura e impedirsu recuperación mediante las copias de seguridad, salvo que estas se almacenenidénticas en una unidad externa desconectada del equipo en el momento de lainfección. Para recuperar los archivos, el pirata informático pideun pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo yel número de archivos que se hayan cifrado, el pago puede ascender hasta los 25Bitcoin, unos 10.000 euros. No se sabe cómo el pirata informático logró conectarse alos servidores TeamViewer para distribuir Surprise El ransomware en sí no es ninguna sorpresa, ya que agrandes rasgos es como cualquier otro. Lo realmente curioso de él es la formade infectar a los usuarios. Aunque al principio no había nada claro, segúnaumentó el número de víctimas se pudo observar un patrón, y es que todas ellastenían instalada la herramienta de control remoto TeamViewer en sus sistemas.Analizando los registros de esta herramienta, todas las víctimas han podido vercómo un usuario no autorizado se había conectado a sus equipos, habíadescargado un fichero llamado “surprise.exe” (el ransomware) y lo habíaejecutado manualmente, dando lugar así a la infección Por el momento no se sabecómo ha conseguido el pirata informático conectarse de forma remota a losequipos de las víctimas, aunque hay dos posibles opciones: La primera de ellas, aunqueun poco complicada, es que el pirata tenga en su poder una vulnerabilidadzero-day que le permita conectarse de forma remota a cualquier servidorTeamViewer. Los responsables de seguridad de TeamViewer han auditado suherramienta tras las primeras infecciones y aseguran que esto no es posible, loque nos lleva a la segunda opción. La segunda de ellas, yprobablemente más probable, es que utiliza una herramienta de escaneo de redpara detectar cualquier servidor TeamViewer conectado y, posteriormente,consigue acceder a los sistemas de sus víctimas mediante ataques de fuerzabruta. Tanto las empresas deseguridad como y los responsables de seguridad deTeamViewer están estudiando el caso para poder arrojar luz sobre cómo ha sidoposible que un pirata informático haya podido distribuir este nuevo ransomwarea través de esta herramienta de control remoto. Tal como recomiendadirectamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendableproteger las sesiones de TeamViewer con una contraseña compleja, activarla doble autenticación, mantener el servidor actualizado a la última versión (ydescargado siempre de la web oficial) y, por último, asegurarnos de que elataque informático no viene por ninguna otra rama (por ejemplo, otro malwareinstalado en el sistema). Los responsables de estaherramienta de control remoto también recomiendan a todas las víctimas acudir asus correspondientes departamentos de policía con el fin de poner una denunciay poder ayudar, en todo lo posible, a la identificación de los responsables. También es recomendable nopagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestrosarchivos, especialmente cuando los últimos pings contra el servidor C&C nohan devuelto respuesta. Te gusto lo que acabas de leer, puedes seguirme para estar enterado de mis actualizaciones. Comenta siempre desde el ángulo del respeto, puedes agregar el post a favoritos y compartirlo, tampoco olvides dejar puntos.