Archivos por Etiqueta: troyano

Una operación policial consigue desmantelar al virus más peligroso del mundo.

Una acción conjunta de las fuerzas policiales de Estados Unidos, Canadá y varios países europeos ha puesto fin a la red de «bots» de Emotet, uno de los troyanos más peligrosos del mundo y que, a través de su infraestructura, ha permitido el desarrollo de acciones ilícitas como la extorsión a través de «ransomware». Un tipo de virus capaz de cifrar información y secuestrar equipos para, después, solicitar un pago a la víctima a cambio de recuperar el control.

Visto por primera vez en 2014, Emotet fue recibiendo actualizaciones de forma habitual para mantener su eficacia. En este sentido, el Departamento de Seguridad Nacional de Estados Unidos estimaba que cada incidente de seguridad en el que el código participaba generaba en las compañías afectadas más de un millón de dólares en gastos para resolver la incidencia.

El virus, además, estaba atacando especialmente a las empresas de España. Así lo demuestra un reciente informe de la firma Check Point, en el que se afirmaba que este código fue el más empleado por los cibercriminales durante diciembre para robar datos a las firmas nacionales. En concreto, afectó al 15% de las compañías de nuestro país y al 7% en el mundo.

«En un principio, Emotet se desarrolló como un malware bancario diseñado para infectar ordenadores y robar información privada y sensible de los usuarios. Sin embargo, con el tiempo ha evolucionado y ahora es una de las variantes de software malicioso más costosas y destructivas», explica en un comunicado remitido a ABC Maya Horowitz, directora de inteligencia e investigación de amenazas y productos en Check Point.

Por su parte, Adolf Strada, analista de «malware» de la empresa de ciberseguridad Avast, señala en declaraciones a este diario que el desmantelamiento de Emotet supone «un hito muy relevante en la lucha contra la ciberdelincuencia»: Ha sido como una navaja suiza, por sus múltiples habilidades para robar contraseñas, sustraer dinero de cuentas bancarias y agregar los dispositivos de las victimas a las redes de bots, para lanzar así más campañas de ciberestafas».

«Este «malware» ha utilizado potentes métodos de ocultación para evitar ser neutralizado por los antivirus, y ha sido ofrecido por sus creadores como servicio de malware a otros ciberdelincuentes. Ver la desarticulación de este malware por parte de las autoridades competentes es una noticia muy positiva para el mundo de la ciberseguridad teniendo en cuenta su amplio alcance y la gran cantidad de familias de malware reconocidas atribuidas a su infraestructura», completa el experto.

Según recoge Europa Press, ahora esta red de «bots» está bajo el control de los investigadores participantes de la acción internacional coordinada que ha permitido tumbar esta amenaza. Se ha desarrollado en el marco de la Plataforma Multidisciplinar Europea Contra las Amenazas Criminales (EMPACT), y en ella han colaborado Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, bajo la coordinados por Europol y Eurojust.

 

emotet-2-kEEC--620x349@abc

Gnip: el troyano bancario que utiliza el coronavirus para atacar a los españoles

Los ciberdelincuentes llevan tiempo utilizando el coronavirus. Durante los últimos meses, la compañías de ciberseguridad han alertado sobre cómo le sacan partido de varias formas. Desde sitios web maliciosos disfrazados de páginas en las que se ofrece información sobre la pandemia, hasta ciberestafas en las que se piden donaciones para combatir la enfermedad.

Ahora, la empresa de ciberseguridad Kaspersky ha alertado sobre el efecto que está teniendo en España el virus informático Ginp. Un troyano que los atacantes camuflan como la aplicación Coronavirus Finder. Una «app», pensada para dispositivos Android, que -aparentementemente- muestra al usuario las personas cercanas que están contagiadas. Sin embargo, su objetivo real pasa por robarle los datos bancarios a la víctima.

«El «malware» (virus informático) Ginp fue detectado por primera vez el pasado otoño. Al principio, contaba con las habilidades típicas de los troyanos bancarios: enviaba todos los contactos de la víctima a sus creadores, interceptaba los mensajes de texto, robaba los datos de la tarjeta bancaria y cubría las aplicaciones bancarias con ventanas de «phishing». Esto último lo hacía aprovechando las funciones de Accesibilidad, un conjunto de funciones de Android para usuarios con deficiencia visual», explican a este diario fuentes de Kaspersky.

La empresa apunta, a su vez, que, desde su aparición, el «malware» ha ido evolucionando. Hasta llegar al momento actual, en el que está siendo empleado especialmente en la campaña relacionada con el Covid-19. «Ginp permite a los atacantes generar nuevos ataques dirigidos a todas aquellas víctimas cuyos teléfonos están infectados. Así, cuando Ginp recibe un comando específico, abre una página llamada Coronavirus Finder con una interfaz simple que muestra el número de personas infectadas por coronavirus a tu alrededor y que te insta a pagar una pequeña suma (0,75 €) para ver la ubicación de dichas personas», afirman las mismas fuentes.

Asismismo, desde Kaspersky señalan que el hecho de que la suma que se solicita no sea muy elevada provoca que muchos usuarios caigan en la trampa: «Como la cantidad es muy pequeña, muchas víctimas no se lo piensan dos veces. Entonces la página web te invita a introducir los datos de tu tarjeta bancaria para completar la transacción. Una vez que introduzcas todos los datos de tu tarjeta de crédito, estos van a parar directamente a los delincuentes… y luego no sucede nada. Ni siquiera te cobrarán esta pequeña cantidad (¿para qué?, si ya tienen los fondos de tu tarjeta a su disposición). Y, por supuesto, no te muestran información alguna sobre personas infectadas por coronavirus cerca de ti, ya que no disponen de ella».

Hasta el momento, la gran mayoría de las víctimas de esta campaña -el 83%- son residentes en España. Sin embargo, desde la firma de ciberseguridad apuntan que no pasará mucho tiempo antes de que comiencen a crecer las incidencias en otros países.

 

coronavirus-finder-kX8E--620x349@abc

Cómo evitar caer en la trampa del troyano Emotet

El troyano financiero Emotet está teniendo una especial incidencia en España, como han advertido desde la compañía de ciberseguridad ESET, por eso, detectarlo resultará clave para evitar que infecte nuestro equipo y acceda a la libreta de direcciones de nuestro correo para seguir propagándose.

En los correos electrónicos que ocultaban este troyano «no aparece un remitente sino dos», como apuntan desde ESET. Esto se debe a que el primero de los remitentes es el que suplanta el «malware» (virus informático) para hacerse pasar por alguien de confianza. El segundo, por su parte, se puede ver en el campo «De:» o en el «Return Path» de la cabecera del correo, que pertenece al dominio comprometido por los atacantes y usado para realizar el envío masivo de correos.

«Si el usuario se fija, puede ser capaz de detectar estos correos como fraudulentos y eliminarlos antes de que se conviertan en una amenaza», aseguran desde la compañía. Este correo, además, tiene un archivo adjunto en formato Word que puede tener varios nombres como «ARCHIVOFile_H3981.doc», «MENSAJE_092019.doc», «985832-2019-7-84938.doc» o «61.doc», entre muchos otros. Precisamente el riesgo se encuentra en este adjunto, ya que si el usuario lo abre, se iniciará la ejecución del «software» que instalará Emotet en el equipo.

Este archivo malicioso actúa como «descargador» del archivo que contiene el troyano. Cuando Emotet es descargado y ejecutado en el sistema, «se quedará a la espera para robar credenciales bancarias, aunque también aprovechará para obtener nuevas direcciones de correo a las que propagarse y, dependiendo de la campaña, instalar otro ‘malware’ en el equipo».

La compañía matiza que «la recepción de este correo y la descarga del Word que adjunta no suponen que el equipo esté comprometido, ya que aún no se ha ejecutado nada». Aun así, recomiendan «estar atentos ante correos sospechosos y no pulsar de forma indiscriminada el primer enlace o adjunto que nos encontremos en nuestra bandeja de entrada».

virus-k4FF--1240x698@abc

Kit de supervivencia básico para protegerse contra el cibercrimen

El ciberataque masivo que ha puesto nerviosos a miles de empresas desde hace una semana por un ataque de «ransomware» o secuestro de datos llamado WannaCry ha puesto de relieve la importancia de las actualizaciones de seguridad y la concienciación de cada usuario. Ante tanto término técnico anglosajón, que puede hacer que las personas con menores conocimientos tecnológicos se pierdan un poco, es de recibo tener presentes unas pautas e informaciones para evitar que los datos personales y la información de los ordenadores y teléfonos móviles conectados queden a salvo de intromisiones. Porque los ciberdelincuentes jamás cesarán en sus intentos de robar información y perpetrar el caos. Siempre van un paso por delante y no se detienen ante nada descubriendo fallos de seguridad que aprovechar y poner en práctica sus actividades criminales. Se sirven de múltiples recursos y técnicas para lograr su cometido. Los expertos en seguridad informática insisten que todo aparato conectado a internet es suceptible de ser «hackeado». Saber a lo que se refieren expresiones como «ransomware» o estar al tanto de los «malware» o gusanos también entra dentro del aprendizaje digital.

1. «Malware» o código malicioso, un software que quiere infiltrarse. Fusión de los términos en inglés «malicious» y «software», se conoce en español como código malicioso y agrupa la mayoría de amenazas informáticas. Se trata de un tipo de software malintencionado que tiene el objetivo de infiltrarse o dañar un ordenador o dispositivo conectado sin el consentimiento del usuario.

2. Virus, «troyano», gusano, un mar de amenazas de distinta naturaleza. Los virus atacan a los sistemas operativos. El «troyano» se presenta habitualmente como un archivo ejecutable que se camufla bajo otro tipo de archivos más comunes. Su objetivo es introducirse en el dispositivo para tener control remoto. El gusano tiene la capacidad de extenderse por las redes de comunicaciones. Se infiltra a través de un correo y accede a la lista de contactos para reenviar copias de sí mismo. En el caso de «spyware», recopila información sobre las actividades de un usuario.

3. «Ransomware» o secuestro de datos, técnica habitual. Se trata de un secuestro virtual de los datos de un dispositivo conectado. Una extorsión digital en toda regla de un ordenador, por ejemplo, restringiendo su acceso a cambio de dinero, aunque el pago no garantiza su recuperación total. Hay varias técnicas para lograrlo. Una de las más habituales es introducir un «malware» a través de un archivo adjunto en un correo electrónico. Una vez que el usuario abre ese mensaje se instalan unos ficheros que bloquean el dispositivo. Para protegerse es necesario borrar los emails sospechosos, actualizar todos los parches de seguridad y hacer copias de seguridad.

4. Ataques de DDoS, cuando internet queda colapsado. Este tipo de ataques de denegación de servicio bloquean diferentes páginas web o redes completas saturándolos con tráfico de miles de equipos infectados, lo que se conoce como una red de «bots». Su objetivo es que los usuarios no puedan acceder a esos servicios. Están dirigidos no a un único internauta sino a servidores web. Son difíciles de evitar y pueden provocar pérdidas económicas a las empresas afectadas.

5. «Phishing» o suplantación de identidad, la estafa llega al buzón de correo. Es un método que los ciberdelincuentes utilizan para engañar y conseguir que los usuarios revelen información personal como contraseñas o datos de tarjetas de crédito o de la seguridad social. Lo hacen con el envío de correos electrónicos fraudulentos o dirigiéndole a un sitio web falso. Se camuflan como comunicaciones oficiales. Nunca responder a solicitud de información personal.

6. «Bugs» o vulnerabilidades, la lucha constante. Son fallos técnicos en el software o en el hardware usados para entrar en los sistemas. Algunos de esas lagunas se resuelven con celeridad en el momento en el que las empresas lo detectan, lanzando parches y actualizaciones. Sin embargo, en muchas otras ocasiones los ciberdelincuentes descubren un agujero desconocido provocando un ataque llamado de «Día Zero» o «Zero Day» aprovechando que ese momento no hay solución.

kit-cibercrimen-kmwF--620x349@abc