{"id":6107,"date":"2019-07-23T11:41:47","date_gmt":"2019-07-23T16:41:47","guid":{"rendered":"http:\/\/www.syspertec.com.co\/web\/?p=6107"},"modified":"2019-07-23T11:42:10","modified_gmt":"2019-07-23T16:42:10","slug":"kaspersky-alerta-sobre-nuevo-ransomware-que-aprovecha-peligrosa-vulnerabilidad-de-windows","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/kaspersky-alerta-sobre-nuevo-ransomware-que-aprovecha-peligrosa-vulnerabilidad-de-windows\/","title":{"rendered":"Kaspersky alerta sobre nuevo ransomware que aprovecha peligrosa vulnerabilidad de Windows"},"content":{"rendered":"\n

Sodin ha sido detectado en Asia, Europa, Norteam\u00e9rica y Am\u00e9rica Latina<\/em><\/p>\n\n\n\n

Julio de 2019<\/p>\n\n\n\n

Los investigadores de Kaspersky han descubierto a Sodin, un nuevo ransomware que aprovecha una vulnerabilidad de d\u00eda cero<\/a> de Windows para obtener privilegios de administrador en el sistema infectado. El ransomware tambi\u00e9n aprovecha la arquitectura de la Unidad Central de Procesamiento (CPU) para evitar ser detectado, una funcionalidad que no se ve a menudo en este tipo de amenazas. Adem\u00e1s, en algunos casos, el malware no requiere la interacci\u00f3n del usuario ya que los atacantes simplemente lo plantan en servidores vulnerables.<\/p>\n\n\n\n

El ransomware, o el cifrado o bloqueo de datos o dispositivos acompa\u00f1ado de una demanda de dinero, es una ciberamenaza persistente que afecta tanto a individuos como organizaciones de todos los tama\u00f1os en todo el mundo. La mayor\u00eda de las soluciones de seguridad detectan las versiones comunes y los vectores de ataque establecidos. Sin embargo, m\u00e9todos complejos como el de Sodin que implican el aprovechamiento de una vulnerabilidad de d\u00eda cero, descubierta recientemente en Windows (CVE-2018-8453), para escalar privilegios pueden evitar sospechas durante un largo tiempo.<\/p>\n\n\n\n

Este malware parece ser parte de un esquema RAAS (siglas en ingl\u00e9s de ransomware-as-a-service), lo que significa que sus distribuidores pueden elegir libremente la forma en que este se propaga. Hay indicios de que el malware se est\u00e1 distribuyendo a trav\u00e9s de un programa de afiliados. Por ejemplo, los programadores del malware han dejado en su funcionalidad \u2018un agujero\u2019 que les permite descifrar los archivos sin que sus afiliados sepan: una ‘clave maestra’ que no requiere la clave del distribuidor para el descifrado (normalmente las claves del distribuidor son las que se han utilizado para descifrar los archivos de las v\u00edctimas que pagan el rescate). Los programadores podr\u00edan utilizar esta funci\u00f3n para controlar el descifrado de los datos de la v\u00edctima o la distribuci\u00f3n del ransomware, eliminando, por ejemplo, a ciertos distribuidores del programa de afiliados al hacer in\u00fatil el malware.<\/p>\n\n\n\n

Adem\u00e1s, aunque amenazas de ransomware usualmente requieren alg\u00fan tipo de interacci\u00f3n con el usuario, como abrir un archivo adjunto en un mensaje de correo electr\u00f3nico o hacer clic en un enlace malicioso, los atacantes detr\u00e1s de Sodin no necesitan esa ayuda, ya que generalmente encuentran un servidor vulnerable y env\u00edan una orden para bajar el archivo malicioso llamado “radm.exe”, el cual guarda el ransomware localmente y lo pone en marcha.<\/p>\n\n\n\n

La mayor\u00eda de los objetivos de Sodin han sido detectados en Asia: el 17,6% de los ataques se han detectado en Taiw\u00e1n, el 9,8% en Hong Kong y el 8,8% en la Rep\u00fablica de Corea. Sin embargo, tambi\u00e9n se han observado ataques en Europa, Norteam\u00e9rica y Am\u00e9rica Latina. Los cibercriminales detr\u00e1s de este ataque exigen US$2.500 equivalentes en Bitcoin de cada v\u00edctima.<\/p>\n\n\n\n

Seg\u00fan investigadores de Kaspersky, lo que hace que Sodin sea a\u00fan m\u00e1s dif\u00edcil de detectar es el uso de la t\u00e9cnica “Heaven’s Gate”. Esta permite que un malware ejecute c\u00f3digo de 64 bits a partir de un proceso de 32 bits, lo cual no es una pr\u00e1ctica com\u00fan y no suele ocurrir en ransomware.<\/p>\n\n\n\n

Los investigadores creen que la t\u00e9cnica de Heaven’s Gate se usa en Sodin por dos razones principales:<\/p>\n\n\n\n

\u00b7         Hacer que el an\u00e1lisis del c\u00f3digo malicioso sea m\u00e1s dif\u00edcil, pues no todos los examinadores de c\u00f3digo soportan esta t\u00e9cnica y, por lo tanto, no pueden reconocerla.<\/p>\n\n\n\n

\u00b7         Evadir la detecci\u00f3n mediante soluciones de seguridad instaladas. Esta t\u00e9cnica se usa para eludir la detecci\u00f3n basada en la emulaci\u00f3n, un m\u00e9todo para descubrir amenazas previamente desconocidas que implica el lanzamiento de c\u00f3digo que se comporta de manera sospechosa en un entorno virtual que emula a una computadora real.<\/p>\n\n\n\n

\u201cAunque los ataques de ransomware han disminuido un 30% en los \u00faltimos dos a\u00f1os<\/a>, hemos visto un cambio en su comportamiento: los cibercriminales eligen sus objetivos en base a su potencial, d\u00e1ndole preferencia a las grandes instituciones y compa\u00f1\u00edas que pueden pagar el rescate solicitado, disminuyendo el volumen de ataques contra usuarios dom\u00e9sticos. Estos ataques centrados en organizaciones buscan dejarlas sin acceso a sus sistemas durante mucho tiempo, causando da\u00f1os considerables que a su vez han llevado a que los cibercriminales empleen t\u00e9cnicas cada vez m\u00e1s avanzadas, como en el caso de Sodin\u201d<\/em>, comenta Roberto Mart\u00ednez, analista senior de seguridad en Kaspersky. <\/strong><\/p>\n\n\n\n

Para evitar ser v\u00edctimas de ransomware como Sodin, los investigadores de Kaspersky aconsejan a las empresas:<\/h3>\n\n\n\n

\u00b7         Asegurarse de que el software utilizado en su empresa se actualice regularmente a las versiones m\u00e1s recientes. Los productos de seguridad con capacidades de Evaluaci\u00f3n de vulnerabilidades y administraci\u00f3n de parches pueden ayudar a automatizar estos procesos.<\/p>\n\n\n\n

\u00b7         Utilizar una soluci\u00f3n de seguridad robusta, como Kaspersky Endpoint Security for Business<\/a>, que est\u00e1 equipada con capacidades de detecci\u00f3n basadas en el comportamiento para proteger eficazmente contra amenazas conocidas y desconocidas, incluidas las vulnerabilidades.<\/p>\n\n\n\n

Todas las soluciones de Kaspersky detectan el ransomware como Trojan-Ransom.Win32.Sodin<\/strong>. La vulnerabilidad CVE-2018-8453 que utiliza el ransomware fue detectada anteriormente por la tecnolog\u00eda de Kaspersky en campa\u00f1as maliciosas, las cuales los investigadores acreditan pertenecer al grupo de hackers FruityArmor. La vulnerabilidad fue enmendada<\/a> el 10 de octubre de 2018.<\/p>\n\n\n\n

El informe completo sobre Sodin est\u00e1 disponible en Securelist.com<\/a><\/p>\n\n\n\n

Acerca de Kaspersky<\/strong><\/strong><\/p>\n\n\n\n

Kaspersky es una empresa de ciberseguridad global fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras cr\u00edticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compa\u00f1\u00eda incluye una protecci\u00f3n l\u00edder para\u00a0endpoints<\/em>\u00a0y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales m\u00e1s avanzadas y en evoluci\u00f3n. M\u00e1s de 400 millones de usuarios est\u00e1n protegidos por las tecnolog\u00edas de Kaspersky y ayudamos a 270,000 clientes corporativos a proteger lo que m\u00e1s valoran. Obtenga m\u00e1s informaci\u00f3n en\u00a0http:\/\/latam.kaspersky.com<\/a>.<\/p>\n\n\n\n

Syspertec sas<\/p>\n\n\n\n

–<\/p>\n\n\n\n

Agencia de Prensa y Relaciones P\u00fablicas<\/p>\n","protected":false},"excerpt":{"rendered":"

Sodin ha sido detectado en Asia, Europa, Norteam\u00e9rica y Am\u00e9rica Latina Julio de 2019 Los investigadores de Kaspersky han descubierto a Sodin, un nuevo ransomware que aprovecha una vulnerabilidad de d\u00eda cero de Windows para obtener privilegios de administrador en el sistema infectado. El ransomware tambi\u00e9n aprovecha la arquitectura de la Unidad Central de Procesamiento (CPU) para evitar […]<\/p>\n","protected":false},"author":2,"featured_media":6109,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","footnotes":""},"categories":[98],"tags":[176,195,119],"class_list":["post-6107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kaspersky-lab","tag-kaspersky","tag-syspertec","tag-tecnologia"],"jetpack_featured_media_url":"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/07\/20190708_Ransomware_enterprise.jpg","_links":{"self":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/6107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/comments?post=6107"}],"version-history":[{"count":1,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/6107\/revisions"}],"predecessor-version":[{"id":6110,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/6107\/revisions\/6110"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media\/6109"}],"wp:attachment":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media?parent=6107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/categories?post=6107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/tags?post=6107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}