TEMAS DE SEGURIDAD

Samsam podría indicar una nueva tendencia
de ransomware dirigido

Una nueva variante de ransomware criptográfico podría indicar una tendencia hacia atacar empresas con software malicioso que cifra sus archivos.

Incremento de los incidentes relacionados con el ransomware

El FBI, el US-CERT y el CCIRC  han emitido advertencias sobre el incremento de los incidentes relacionados con el ransomware.

 

En febrero de 2016,  Symantec destacó el aumento del ransomware Locky, una de las variantes de ransomware más extendidas en circulación. Durante los últimos meses, en los titulares de las noticias ha ido apareciendo una variante nueva denominada Samsam, Samas o Samsa, que tiene el objetivo concreto de infectar sistemas.

Seguridad de sitios web

Ransomware

El ransomware dirigido

En líneas generales, el ransomware infecta los sistemas mediante descargadores maliciosos, descargas no autorizadas y mensajes de correo electrónico con spam malicioso. Cuando un descargador malicioso infecta el equipo de un usuario, descargará malware adicional que, con frecuencia, incluye ransomware criptográfico. Los mensajes de correo electrónico maliciosos contienen una gran variedad de archivos adjuntos que, si se abren, descargan y ejecutan una de las numerosas variantes de ransomware para iniciar el proceso de cifrado. Después de haber cifrado los archivos, se exige a la víctima el pago de un rescate para descifrar los archivos.

A diferencia del ransomware más convencional, Samsam no se propaga mediante descargas no autorizadas ni correo electrónico, sino que los atacantes que están detrás de esta variante utilizan herramientas como  Jexboss para identificar servidores sin parches que ejecutan productos empresariales JBoss de Red Hat.

Cuando los atacantes han logrado acceder a uno de estos servidores aprovechando los puntos vulnerables de JBoss, utilizan otras herramientas y scripts de uso gratuito para obtener credenciales e información sobre los equipos conectados a la red. A continuación, implementan el ransomware para cifrar archivos de estos sistemas antes de exigir un rescate.

Otro de los rasgos distintivos del ransomware Samsam es que los atacantes mismos generan el par de claves RSA. La mayoría del ransomware criptográfico se pondrá en contacto con un servidor de control y de comandos que generará un par de claves RSA y enviará la clave pública para cifrar archivos de los equipos infectados. Con Samsam, los atacantes generan el par de claves y cargan la clave pública junto con el ransomware en los equipos elegidos como víctimas.

Innovación continua en ransomware

Samsam es solo una de las cada vez más numerosas variantes de ransomware; sin embargo, lo que la distingue de otro ransomware es la manera en que se infiltra en sus objetivos mediante un software que afecta a los servidores sin parches. Lo que más llama la atención del caso es que los delincuentes dirigen sus ataques de ransomware directamente a las organizaciones. El éxito de estos ataques recientes denota un cambio en los cibercriminales, ya que intentan maximizar los beneficios centrándose en empresas vulnerables.

Se ha demostrado que el ransomware es un modelo de negocio viable; por lo tanto, no debería sorprender que las técnicas que se utilizan ya no sean el spam malicioso y las descargas no autorizadas, sino algo mucho más parecido a los ataques dirigidos.

Versiones de JBoss

Las organizaciones que implementan productos empresariales de JBoss en sus entornos deben comprobar si ejecutan versiones sin parches; de ser así, deben aplicarlos inmediatamente. Según Red Hat, las siguientes versiones de JBoss (y las posteriores a ellas) no están afectadas:

  • Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
  • Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
  • Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

 

Protección
Los productos de Symantec y Norton protegen contra Samsam y sus herramientas con las siguientes formas de detección:

Antivirus:

 

Compruebe ahora la seguridad de su sitio web

Symantec CryptoReport

Compruebe la instalación de sus certificados SSL/TLS

PROBAR AHORA
Evaluación de vulnerabilidades

Evaluación de vulnerabilidades

Una vulnerabilidad es un punto de entrada potencial mediante el cual se puede dañar, descargar o manipular la funcionalidad o los datos de un sitio web. Un sitio web típico (incluso el blog más simple) puede tener miles de vulnerabilidades potenciales.

Seguir leyendo

La diferencia entre virus, gusanos y troyanos

La diferencia entre virus, gusanos y troyanos

El error más común que se comete cuando se habla de un virus informático es referirse a un gusano o un troyano como virus.

Seguir leyendo

¿En qué consisten el malware, los virus, el spyware y las cookies?

¿En qué consisten el malware, los virus, el spyware y las cookies? ¿Qué los diferencia?

Antes de descargarse nada de Internet, debe estar seguro de lo que es. 

Seguir leyendo

CASOS DE ÉXITO

Soluciones de Symantec Website Security en el mundo real

Incorpórese a la comunidad

Participe en las conversaciones sobre seguridad en Symantec Connect

SYMANTEC CONNECT

Siga la información sobre amenazas en Twitter @Threatintel

SYMANTEC ON TWITTER

Vea videos en el canal de YouTube de Symantec Website Security

SYMANTEC ON YOUTUBE

Hemos actualizado nuestra Política de privacidad que se puede encontrar aquí.