TEMAS DE SEGURIDAD

Samsam podría indicar una nueva tendencia
de ransomware dirigido

Una nueva variante de ransomware criptográfico podría ser la señal de un cambio hacia ataques a empresas mediante malware que cifra archivos.

Incremento de los incidentes relacionados con el ransomware

El FBI, el US-CERT y el CCIRC  han emitido advertencias sobre el incremento de los incidentes relacionados con el ransomware.

 

En febrero de 2016,  Symantec destacó el aumento del ransomware Locky, una de las variantes de ransomware más extendidas que están en circulación. Durante los últimos meses, en los titulares de las noticias ha ido apareciendo una variante nueva denominada Samsam, Samas o Samsa, que tiene el objetivo concreto de infectar sistemas.

Seguridad de sitios web

Ransomware

El ransomware dirigido

En líneas generales, el ransomware infecta los sistemas mediante descargadores maliciosos, descargas no autorizadas y mensajes de correo electrónico con spam malicioso. Cuando un descargador malicioso infecta el equipo de un usuario, descarga malware adicional que, con frecuencia, incluye ransomware criptográfico. Los mensajes de correo electrónico maliciosos contienen una gran variedad de archivos adjuntos que, si se abren, descargan y ejecutan una de las numerosas variantes de ransomware para iniciar el proceso de cifrado. Después de haber cifrado los archivos, se exige a la víctima el pago de un rescate para descifrarlos.

A diferencia del ransomware convencional, Samsam no se propaga mediante descargas no autorizadas ni correo electrónico, sino que los atacantes que están detrás de esta variante utilizan herramientas como  Jexboss para identificar servidores sin parches que ejecutan productos empresariales JBoss de Red Hat.

Cuando los atacantes logran acceder a uno de estos servidores aprovechando los puntos vulnerables de JBoss, utilizan otras herramientas y scripts gratuitos para obtener credenciales e información sobre los equipos conectados a la red. A continuación, implementan el ransomware para cifrar archivos de estos sistemas antes de exigir un rescate.

Otro de los rasgos distintivos del ransomware Samsam es que son los mismos atacantes quienes generan el par de claves RSA. La mayoría del ransomware criptográfico se pondrá en contacto con un servidor de control y de comandos que generará un par de claves RSA y enviará la clave pública para cifrar archivos de los equipos infectados. Con Samsam, los atacantes generan el par de claves y cargan la clave pública junto con el ransomware en los equipos elegidos como víctimas.

Innovación continua en ransomware

Samsam es solo una de las cada vez más numerosas variantes de ransomware; sin embargo, lo que la distingue de otro tipo de ransomware es la manera en que se infiltra en sus objetivos a través de un software que afecta a los servidores sin parches. Lo que más llama la atención del caso es que los delincuentes dirigen sus ataques de ransomware directamente a las organizaciones. El éxito de estos ataques recientes denota un cambio en los cibercriminales, ya que intentan maximizar los beneficios centrándose en empresas vulnerables.

Se ha demostrado que el ransomware es un modelo de negocio viable; por lo tanto, no sorprende que las técnicas que se utilizan ya no sean el spam malicioso y las descargas no autorizadas, sino algo mucho más parecido a los ataques dirigidos.

Versiones de JBoss

Las organizaciones que tienen productos empresariales de JBoss en sus entornos deben comprobar si ejecutan versiones sin parches y, de ser así, deben aplicarlos inmediatamente. Según Red Hat, las siguientes versiones de JBoss (y posteriores) no están afectadas:

  • Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
  • Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
  • Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

 

Protección
Los productos de Symantec y Norton protegen contra Samsam y sus herramientas mediante las siguientes formas de detección:

Antivirus:

 

Compruebe ahora la seguridad de su sitio web

Symantec CryptoReport

Compruebe la instalación de sus certificados SSL/TLS

COMPROBAR AHORA
Evaluación de vulnerabilidades

Evaluación de vulnerabilidades

Una vulnerabilidad es un punto de entrada potencial mediante el cual se puede dañar, descargar o manipular una función o los datos de un sitio web. Un sitio web típico (incluso el blog más simple) puede contener miles de vulnerabilidades potenciales.

Seguir leyendo

La diferencia entre virus, gusanos y troyanos

La diferencia entre virus, gusanos y troyanos

El error más común que se comete cuando se habla de un virus informático es referirse a un gusano o un troyano como "virus".

Seguir leyendo

¿En qué consisten el malware, los virus, el spyware y las cookies?

¿En qué consisten el malware, los virus, el spyware y las cookies? ¿Qué los diferencia?

Antes de descargarse nada de Internet, debe estar seguro de lo que es. 

Seguir leyendo

CASOS DE ÉXITO

Soluciones de Symantec Website Security en el mundo real

Únase a la comunidad

Participe en los debates sobre seguridad en Symantec Connect

SYMANTEC CONNECT

Siga la información sobre amenazas en Twitter @Threatintel

SYMANTEC ON TWITTER

Vea vídeos en el canal de YouTube de Symantec Website Security

SYMANTEC ON YOUTUBE