loader
talkie

El término malware describe una amplia gama de software que está diseñado intencionalmente para causar daño a sistemas y dispositivos, redes o usuarios. El software malicioso también puede recopilar información, proporcionar acceso ilícito y realizar una amplia gama de acciones que el propietario legítimo de un sistema o red puede no querer que ocurran. Vamos a describir varios de los tipos más comunes de malware, para estar familiarizados con cada uno de ellos, cómo diferenciarlos, cómo podemos identificarlos y las técnicas comunes que se utilizan para combatirlos.

 

El ransomware

El ransomware es un malware que se apodera de una computadora y luego exige un rescate. Hay muchos tipos de ransomware, incluido el malware criptográfico, que encripta archivos y luego los mantiene como rehenes hasta que se paga un rescate. Otras técnicas de ransomware incluyen amenazar con denunciar al usuario a la policía debido a software pirateado o pornografía, o amenazar con exponer información confidencial o imágenes del disco duro o dispositivo de la víctima.

Una de las defensas más importantes contra el ransomware es un sistema de copia de seguridad eficaz que almacena los archivos en una ubicación separada que no se verá afectada si el sistema o dispositivo del que realiza la copia de seguridad está infectado y cifrado por ransomware. Las organizaciones que se están preparando para lidiar con el ransomware deben determinar cuál será su respuesta; en algunos casos, el pago de rescates ha dado lugar a la devolución de archivos y, en otros, los atacantes simplemente han exigido más dinero.

Los troyanos, o caballos de Troya, son un tipo de malware que normalmente se disfraza de software legítimo. Se llaman caballos de Troya porque dependen de personas desprevenidas que los ejecutan, lo que proporciona a los atacantes una ruta hacia un sistema o dispositivo. Los troyanos de acceso remoto (RAT) brindan a los atacantes acceso remoto a los sistemas. Algunas herramientas legítimas de acceso remoto se utilizan como RAT, lo que puede dificultar la identificación de si una herramienta es una herramienta legítima de soporte remoto o una herramienta que un atacante está utilizando para el acceso remoto. Las herramientas antimalware también pueden causar falsos positivos cuando encuentran herramientas de acceso remoto que pueden usarse como RAT, pero deshabilitar esta detección puede resultar en que no se detecten RAT. Los profesionales de la seguridad a menudo combaten troyanos y RAT utilizando una combinación de conciencia de seguridad (para alentar a los usuarios a que no descarguen software que no sea de confianza) y herramientas antimalware que detectan el comportamiento de troyanos y RAT y archivos maliciosos conocidos.

A diferencia de los troyanos que requieren la interacción del usuario, los gusanos se propagan por sí mismos. Aunque los gusanos a menudo se asocian con la propagación a través de ataques a servicios vulnerables, es posible cualquier tipo de propagación a través de medios automatizados, lo que significa que los gusanos pueden propagarse a través de archivos adjuntos de correo electrónico, recursos compartidos de archivos de red u otros métodos. Los gusanos también se autoinstalan, en lugar de requerir que los usuarios hagan clic en ellos, lo que los hace bastante peligrosos.

Los rootkits son programas maliciosos diseñados específicamente para permitir que los atacantes accedan a un sistema a través de una puerta trasera. Muchos rootkits modernos también incluyen capacidades que funcionan para ocultar el rootkit de la detección a través de una variedad de técnicas, que van desde aprovechar los controladores del sistema de archivos para garantizar que los usuarios no puedan ver los archivos del rootkit, hasta infectar el código de inicio en el registro de arranque maestro (MBR) de un disco, lo que permite ataques contra sistemas de cifrado de disco completo.

La detección de rootkits puede ser un desafío, porque no se puede confiar en un sistema infectado con malware como este. Eso significa que la mejor manera de detectar un rootkit es probar el sistema sospechoso desde un sistema o dispositivo confiable. En los casos en que eso no sea posible, las herramientas de detección de rootkits buscan comportamientos y firmas que son típicos de los rootkits. Las técnicas como la verificación de la integridad y la validación de datos frente a las respuestas esperadas también pueden ser útiles para la detección de rootkits, y las herramientas anti-rootkit a menudo usan una combinación de estas técnicas para detectar rootkits complejos.

Una vez que se descubre un rootkit, la eliminación puede ser un desafío. Aunque algunas herramientas antimalware y anti-rootkit pueden eliminar rootkits específicos, la recomendación más común siempre que sea posible es reconstruir el sistema o restaurarlo a partir de una buena copia de seguridad. A medida que las máquinas virtuales, los contenedores, las imágenes del sistema y los entornos definidos por software se han vuelto más comunes, han simplificado los procesos de restauración y, en muchos casos, pueden ser tan rápidos, o más rápidos, que garantizar que un sistema infectado con un rootkit haya sido correctamente y completamente limpio.

Al igual que muchos de los tipos de malware sobre los que leerá aquí, las mejores formas de prevenir los rootkits son las prácticas de seguridad normales, que incluyen el parcheo, el uso de configuraciones seguras y la garantía de que se utiliza la administración de privilegios. También se pueden utilizar herramientas como el arranque seguro y las técnicas que pueden validar archivos y sistemas en vivo para ayudar a evitar que los rootkits se instalen correctamente o permanezcan residentes.

Las puertas traseras son métodos o herramientas que brindan acceso que pasa por alto los procedimientos normales de autenticación y autorización, lo que permite a los atacantes acceder a sistemas, dispositivos o aplicaciones. Las puertas traseras pueden estar basadas en hardware o software, pero en la mayoría de los escenarios para el examen Security +, se preocupará por las puertas traseras basadas en software.

Como ocurre con muchos de los tipos de malware que discutimos aquí, una infección de malware puede incluir varios tipos de herramientas de malware. De hecho, los troyanos y los rootkits suelen incluir una puerta trasera para que los atacantes puedan acceder a los sistemas que han infectado.

Al igual que los rootkits, los fabricantes de software y hardware a veces utilizan puertas traseras para proporcionar acceso continuo a sistemas y software. Las puertas traseras instaladas por el fabricante son una preocupación, ya que es posible que no se divulguen y, si los atacantes las descubren, pueden proporcionar un acceso que quizás no conozca.

En ocasiones, la detección de puertas traseras se puede realizar comprobando puertos y servicios abiertos inesperados, pero las herramientas de puerta trasera más complejas pueden aprovechar los servicios existentes. Los ejemplos incluyen puertas traseras basadas en web que requieren una URL diferente en el servicio web existente y puertas traseras que ocultan su tráfico mediante un túnel hacia un host de control remoto utilizando canales encriptados u ofuscados.

Los bots son sistemas o dispositivos controlados de forma remota que tienen una infección de malware. Los grupos de bots se conocen como botnets, y los atacantes que los controlan para realizar diversas acciones, que van desde compromisos e infecciones adicionales, hasta ataques de denegación de servicio o actuando como transmisores de spam, utilizan botnets. Las grandes redes de bots pueden tener cientos de miles de bots involucrados, y algunas han tenido millones de bots en total.

Muchos sistemas de comando y control de botnets (C&C) operan en modo cliente-servidor. En este modelo, se pondrán en contacto con los sistemas de control central, que proporcionan comandos y actualizaciones, y realizarán un seguimiento de cuántos sistemas hay en la botnet. Internet Relay Chat (IRC) se utilizó con frecuencia para administrar botnets cliente-servidor en el pasado, pero muchas botnets modernas dependen del tráfico HTTP seguro (HTTPS) para ayudar a ocultar el tráfico C&C y evitar que los defensores lo monitoreen y analicen fácilmente.

Los servidores de comando y control (C&C) son el núcleo de una botnet. Permiten a los atacantes administrar la botnet, y las herramientas avanzadas de C&C tienen una amplia gama de capacidades que pueden ayudar a los atacantes a robar datos, realizar ataques distribuidos de denegación de servicio a gran escala, implementar y actualizar capacidades de malware adicionales y responder a los intentos de defensores para proteger sus redes.

Las botnets se pueden utilizar para atacar servicios y aplicaciones, y los ataques distribuidos de denegación de servicio (DDoS) contra aplicaciones son una aplicación común de las botnets. Las botnets dependen de una combinación de su tamaño, que puede abrumar las aplicaciones y los servicios, y la cantidad de sistemas que contienen, lo que hace que sea casi imposible identificar qué hosts consumen recursos de manera maliciosa o envían tráfico que parece legítimo con una intención maliciosa.

Identificar un ataque DDoS impulsado por una botnet requiere monitorear el tráfico de la red, las tendencias y, a veces, la visibilidad ascendente de un proveedor de servicios de Internet. Los síntomas pueden ser difíciles de identificar a partir de un aumento significativo en el tráfico legítimo, lo que significa que pueden ser necesarias herramientas de seguridad como los sistemas de gestión de eventos e información de seguridad (SIEM) que pueden correlacionar datos de múltiples fuentes. Las herramientas de análisis de comportamiento también pueden ayudar a diferenciar un DDoS de los patrones de tráfico más típicos.

Los keyloggers son programas que capturan las pulsaciones de teclas de los keyboards, aunque las aplicaciones de keyloggers también pueden capturar otras entradas como el movimiento del mouse, las entradas de la pantalla táctil o el deslizamiento de tarjetas de crédito desde dispositivos conectados. Los keyloggers funcionan de muchas formas, desde herramientas que capturan datos del kernel hasta API o scripts, o incluso directamente desde la memoria. Independientemente de cómo capturen los datos, el objetivo de un keylogger es capturar la entrada del usuario para ser analizada y utilizada por un atacante.

La prevención de keyloggers por software generalmente se centra en las mejores prácticas de seguridad normales para garantizar que no se instale malware que contenga un keylogger, incluidos los parches y la administración de sistemas, así como el uso de herramientas antimalware. Dado que muchos keyloggers tienen como objetivo adquirir contraseñas, el uso de la autenticación multifactor (MFA) puede ayudar a limitar el impacto de un keylogger, incluso si no puede vencer al registrador de teclas en sí.

En entornos de seguridad más complejos donde no se puede confiar en los sistemas subyacentes, el uso de unidades USB de arranque puede evitar el uso de un sistema operativo subyacente potencialmente comprometido.

 Las bombas lógicas, a diferencia de los otros tipos de malware que se describen aquí, no son programas maliciosos independientes. En cambio, son funciones o código que se colocan dentro de otros programas que se activarán cuando se cumplan las condiciones establecidas. Algunos programas maliciosos utilizan este tipo de código para activarse cuando se cumple una fecha específica o un conjunto de condiciones. Aunque son relativamente raras en comparación con otros tipos de malware, las bombas lógicas son una consideración en el desarrollo de software y la administración de sistemas, y pueden tener un impacto significativo si se activan con éxito.

Los virus informáticos son programas maliciosos que se auto-copian y auto-replican. Los virus requieren uno o más mecanismos de infección que utilizan para propagarse, generalmente combinados con alguna forma de capacidad de búsqueda para encontrar nuevos lugares a los que propagarse. Los virus también suelen tener un desencadenante, que establece las condiciones de cuándo se ejecutará el virus, y una carga útil, que es lo que hace, entrega o las acciones que realiza el virus. Los virus vienen en muchas variedades, que incluyen:

  • Virus residentes en la memoria, que permanecen en la memoria mientras se ejecuta el sistema del dispositivo
  • Virus que no residen en la memoria, que se ejecutan, se propagan y luego se apagan
  • Virus del sector de arranque, que residen dentro del sector de arranque de una unidad o medio de almacenamiento.
  • Virus de macro, que utilizan macros o código dentro del software de procesamiento de texto u otras herramientas para propagarse
  • Virus de correo electrónico, que se propagan a través del correo electrónico, ya sea como archivos adjuntos o como parte del correo electrónico en sí, utilizando fallas dentro de los clientes de correo electrónico.

El spyware es un software malicioso diseñado para obtener información sobre un individuo, una organización o un sistema. Existen varios tipos de spyware, con diferentes tipos de información dirigidos a cada uno. Muchos paquetes de spyware rastrean los hábitos de navegación de los usuarios, el software instalado o información similar y lo informan a los servidores centrales. Algunos spyware son relativamente inocuos, pero existen programas espía maliciosos que se dirigen a datos confidenciales, permiten el acceso remoto a cámaras web o proporcionan acceso ilícito o no deseado a los sistemas en los que están instalados. El software espía está asociado con el robo de identidad y el fraude, la publicidad y la redirección del tráfico, la supervisión de la gestión de derechos digitales (DRM) y con el stalkerware, un tipo de spyware que se utiliza para supervisar ilícitamente a los socios en las relaciones.

El spyware se combate con mayor frecuencia utilizando herramientas antimalware, aunque la conciencia del usuario puede ayudar a prevenir la instalación de spyware que se incluye en los instaladores de software (actuando así como una forma de troyano), o por otros medios donde el spyware puede parecer una herramienta útil.

Si bien muchos tipos de infecciones de malware son maliciosos, los programas potencialmente no deseados (PUP) son programas que el usuario puede no querer, pero que no son tan peligrosos como otros tipos de malware. Por lo general, los programas basura se instalan sin que el usuario lo sepa o como parte de un paquete de software u otra instalación. Los programas basura incluyen adware, barras de herramientas del navegador, programas de rastreo del navegador web y otros. La mayoría de los programas antivirus y antimalware pueden detectar y eliminar programas potencialmente no deseados, y las organizaciones pueden limitar los derechos de los usuarios para evitar la instalación de software adicional o limitar qué software se puede instalar para evitar la instalación de programas basura y otras aplicaciones no deseadas en sus PC de propiedad de la organización.

Si ve un informe de un PUP en un sistema, tenga en cuenta que no debe suponer de inmediato que el sistema se ha visto comprometido, como lo haría con el otros malware analizado en este documento. Una discusión sobre el conocimiento y las mejores prácticas con el usuario final, la eliminación con las herramientas adecuadas y el regreso al funcionamiento normal puede ser todo lo que necesita hacer con la mayoría de las instalaciones de programas basura.

El malware no es el único tipo de código malicioso que puede encontrar. Los scripts y el código personalizado que no sea malware también pueden ser utilizados por actores malintencionados. Estos ataques pueden ocurrir de forma local o remota a través de una conexión de red y, a menudo, aprovechan herramientas integradas como Windows PowerShell y Visual Basic, o Bash y Python en sistemas Linux. Los atacantes pueden aprovechar incluso macros como las integradas en Office Suite de Microsoft.

PowerShell, el lenguaje de secuencias de comandos integrado de Windows, es un objetivo popular para los actores malintencionados debido a las poderosas capacidades que proporciona. PowerShell permite la ejecución remota y local, el acceso a la red y muchas otras capacidades. Además, dado que está disponible de forma predeterminada en los sistemas Windows y, a menudo, no se monitorea cuidadosamente, los atacantes pueden aprovecharlo de muchas maneras diferentes, incluso para ataques de malware sin archivos donde los scripts de PowerShell se ejecutan localmente una vez que un navegador o complemento se ve comprometido.

Las defensas contra los ataques de PowerShell incluyen el uso del modo de lenguaje restringido, que limita los comandos confidenciales en PowerShell, y el uso de la herramienta de control de aplicaciones integrada de Windows Defender o AppLocker para validar scripts y limitar qué módulos y complementos se pueden ejecutar. También es una buena idea activar el registro para PowerShell y la auditoría de la línea de comandos de Windows.

Muchos sistemas Windows tienen instalado Microsoft Office y las macros de Microsoft Office escritas en Visual Basic para Aplicaciones (VBA) son otro objetivo de los atacantes. Aunque los virus de macro ya no son tan comunes como antes, las macros integradas en documentos de Office y funciones similares en otras aplicaciones son objetivos potenciales para los atacantes, y si se descubren nuevas vulnerabilidades en Office, la popularidad de los virus de macro podría aumentar.

Afortunadamente para los defensores, Microsoft Office deshabilita las macros de forma predeterminada. Esto significa que la defensa principal contra el malware basado en macros es educar a los usuarios para que no habiliten macros en documentos desconocidos o que no sean de confianza, y para proporcionar un escaneo adecuado de cualquier documento de Office que reciba la organización por correo electrónico u otros medios.

PowerShell, VBA y macros son populares en los sistemas Windows, pero los sistemas Linux también son el objetivo. Los atacantes pueden aprovechar lenguajes y herramientas comunes como Python, Perl y Bash como parte de su proceso de ataque. Se pueden usar lenguajes como estos para crear acceso remoto persistente usando shells de enlace o reversos, así como una multitud de otras herramientas útiles de explotación. Metasploit, una popular herramienta de explotación, incluye rootkits que aprovechan cada uno de estos lenguajes.

Evitar el uso de herramientas integradas o preexistentes, como lenguajes de programación y shells, puede resultar difícil porque son una parte importante de cómo los usuarios interactúan y utilizan los sistemas en los que existen. Eso hace que la seguridad que evita que los atacantes obtengan acceso a los sistemas a través de vulnerabilidades, cuentas comprometidas y otros medios sea una de las capas de defensa más importantes.

Afortunadamente, existen herramientas para buscar rootkits como chkrootkit y rkhunter, que pueden ayudar a los defensores a buscar e identificar rootkits. Las herramientas de seguridad basadas en el comportamiento también pueden monitorear los registros del sistema y el tráfico de la red para ayudar a los defensores a identificar los sistemas comprometidos.

Probablemente hayan oído hablar del grupo de ransomware Conti. Después de su surgimiento en 2020, acumularon al menos 700 víctimas, donde por “víctimas” nos referimos a corporaciones de “peces gordos” con millones de dólares en ingresos; a diferencia de la operación de ransomware promedio de su vecindario, a Conti nunca le importó extorsionar a su suegra por las fotos de sus vacaciones. Durante un tiempo, Conti fue el rostro del ransomware, junto con su compañero de pandilla REvil, hasta este febrero, cuando las autoridades rusas arrestaron a 14 agentes de REvil, lo que dejó a Conti efectivamente solo en su posición como una operación de ransomware de la liga principal. En ese momento, esto fue aclamado con cautela como una señal de buena voluntad por parte de Rusia; algunos pensaron que posiblemente los rusos finalmente se negarían a tolerar los ataques incesantes e irreverentes que se originaban en suelo ruso y tenían como objetivo las oficinas corporativas, las escuelas y los hospitales occidentales.

Conti es un operador de Ransomware-as-a-Service (RaaS) que vende o arrienda ransomware a sus actores afiliados de amenazas cibernéticas. El grupo de ransomware Conti se vio por primera vez en octubre de 2019; sin embargo, el análisis de malware y sus TTP indican que han estado activos desde 2017 bajo diferentes nombres como Ryuk, Hermes, CryptoTech y Wizard Spider. Por ejemplo, el ransomware Ryuk y Conti usa la misma dirección de billetera de bitcoin para los pagos de rescate, creando un vínculo directo entre dos grupos. El grupo Conti RaaS también está afiliado a otros grupos de ciberdelincuentes como TrickBot, Emotet y BazarLoader para la distribución de su ransomware.

¿Qué es el doxing?

 El doxing (a veces escrito como doxxing) consiste en revelar información identificadora de una persona en línea, como su nombre real, dirección particular, lugar de trabajo, teléfono, datos financieros y otra información personal. Luego, esta información se divulga al público sin el permiso de la víctima.

Si bien la práctica de revelar información personal sin el consentimiento del sujeto en cuestión existe desde antes del nacimiento del Internet, el término doxing surgió primero en el mundo de los hackers en la década de 1990, en el que el anonimato se consideraba sagrado. Las disputas entre los hackers rivales a veces provocaban que alguien decidiera “exponer docs” sobre otra persona, quien hasta ese momento solo era conocida por su nombre de usuario o alias. “Docs” se convirtió en “dox” y, finalmente, en su propio verbo (es decir, sin el prefijo “exponer”).

Ahora, con la guerra en toda regla entre Rusia y Ucrania, esta visión utópica no parece tan probable. El 25 de febrero de 2022, Conti emitió una declaración de pleno apoyo al gobierno ruso, junto con una severa advertencia dirigida a cualquiera que pudiera considerar tomar represalias contra Rusia a través de la guerra digital.

Unas horas más tarde, alguien en lo más alto de la cadena de Conti debe haberse dado cuenta de que esta declaración podría ser contraproducente y se modificó para quedar de la siguiente manera:

CONTI

 

Stern es el Gran Jefe, conocido como líder del grupo tanto internamente como fuera de la organización. Él es quien desarrolla la visión de alto nivel de las operaciones del grupo y las colaboraciones con los afiliados, y administra muchas de las personas y proyectos directa e indirectamente. Stern también paga directamente los salarios de varios miembros de la organización y administra la mayor parte de los gastos. Dependiendo del tiempo, el estilo de gestión de Stern fluctúa ampliamente entre la microgestión con el envío de mensajes de difusión preguntando sobre sus tareas y problemas y las ausencias de varios días.

Bentley es un líder técnico del grupo responsable de probar y evadir el malware y las cargas útiles utilizadas por múltiples grupos dentro y fuera de la organización. Bentley administra equipos de encriptadores y evaluadores, trabajando con muchos clientes internos y externos diferentes, y también maneja las preguntas relacionadas con los certificados digitales y las soluciones antivirus de terceros.

Mango es el “gestor de dudas generales del equipo”, resolviendo mayoritariamente las dudas entre los responsables de las campañas de infección y los codificadores. Mango también participa en el proceso de recursos humanos y paga directamente el salario a parte del grupo de trabajo, además de ayudar de manera efectiva a Stern con sus otros proyectos.

Buza es un gerente técnico responsable de los codificadores y sus productos, curando el desarrollo de cargadores y bots dentro de múltiples equipos de codificadores.

Target es un administrador responsable de los equipos de hackers, su intercomunicación y carga de trabajo. También administra todos los aspectos de todas las oficinas fuera de línea, tanto para piratas informáticos como para operadores, su presupuesto, recursos humanos y comunicación efectiva con otras partes de la organización. También gestiona parte de las tareas relacionadas con las campañas de ingeniería social.

Veron aka mors es el punto focal de las operaciones del grupo con Emotet. Veron administra todos los aspectos de las campañas de Emotet, incluida su infraestructura, en estrecha colaboración con los miembros relevantes de Conti.

Conti, es capaz de acceder a las redes de las víctimas de diversas técnicas, según algunos reportes. Por ejemplo:

  • Campañas de Pishing, estas pueden contener archivos de texto maliciosos o enlaces del mismo tipo. Los archivos adjuntos pueden descargar malware como TrickBot, Bazar Backdoor u otro tipo de aplicaciones usadas de forma maliciosa.
  • Explotación de vulnerabilidades en equipos que están sin protección en internet.
  • Ataques a equipos con el protocolo de escritorio remoto o (RDP) expuesto en internet.

Conti, al encontrarse en la categoría de RaaS, recluta afiliados que son quienes se encargan de exfiltrar la información de las víctimas, y ejecutar la ransomware en los equipos.

Como se señaló anteriormente, los afiliados por lo general cobran una ‘comisión’, cerca del 70% en casos exitosos. En ocasiones pueden generar conflictos y se cree que esto sucedió con Conti, cuando un afiliado publicó información de las herramientas utilizadas

En la primera semana del mes de agosto del 2021, un afiliado del grupo, publico en un foro clandestino un archivo en el que se encontraban distintos manuales y herramientas que el grupo daba a los afiliados. Esto fue un acto de venganza, aparentemente el grupo Conti, no pagó el monto que esperaba este afiliado por el trabajo hecho de (Pentest).

El archivo publicado contiene 37 manuales, la mayoría escritos en ruso, que son instructivos de cómo utilizar distintas herramientas para realizar las siguientes acciones:

  • Configurar y utilizar Cobalt Strike
  • Realizar ataques de fuerza bruta sobre el protocolo SMB, incluyendo un listado de algunas contraseñas básicas
  • Lograr persistencia utilizando el software AnyDesk dentro de la máquina de una víctima
  • Desactivar el Windows Defender de manera manual dentro de una máquina víctima
  • Enumerar usuarios dentro de una red
  • Realizar una copia de las Shadow copies
  • Exfiltrar archivos utilizando el software Rclone
  • Instalar el framework Metasploit dentro de un servidor privado virtual (VPS, por sus siglas en inglés)
  • Escalar privilegios
  • Utilizar el exploit de ZeroLogon en Cobalt Strike
  • Dumpear el proceso LSASS utilizando Cobalt Strike
  • Extraer la información de una base de datos SQL
  • Escanear una red por medio de la herramienta NetScan
  • Enlaces hacia repositorios públicos con exploits o guías de cómo realizar un pentest sobre una red de Active Directory.

Un análisis hecho de una muestra de 2021 con el hash 8FBC27B26C4C582B5764EACF897A89FE74C0A88D, se identifica que, cuando Conti se ejecuta en la máquina de una víctima, cifra todos los archivos en el equipo exceptuando algunos.

Mientras se va haciendo el trabajo de cifrado de los archivos contenidos en una carpeta, se crea un archivo «readme.txt», el cual contiene la nota de rescate y los datos necesarios para contactar a los delincuentes.

Una característica que diferencia a Conti de otros ransomware es que crea una cantidad considerable de hilos que permiten ejecutar en paralelo la rutina de cifrado. De esta forma logra cifrar los archivos de la máquina víctima de manera más rápida. A su vez, dependiendo del tamaño del archivo que va a ser cifrado, Conti no necesariamente cifra el archivo entero, sino que cifra una parte de este

Recomendaciones

Se ha sido víctima de un ataque de ransomware, sea Conti u otro, no es aconsejable pagar por el recate de la información, no hay certeza de que entreguen el descifrador de la información además de que se esta contribuyendo a que el cibercrimen crezca.

Hacer backups de la información de manera periódica.

Mostrar las extensiones de los archivos que por defecto vienen ocultas, para evitar abrir archivos maliciosos.

Instalar una solución de seguridad confiable.

Implementar una solución EDR, sobre todo en activos críticos o con una alta exposición, para detectar posibles anomalías.

Mantener los equipos actualizados, tanto el Sistema Operativo como aplicaciones que se utilicen

Deshabilitar el RDP cuando no sea necesario.

No abrir archivos adjunto ni enlaces en un correo si no conoces a la persona que lo envió

Capacitar al personal de la empresa para que sea consciente de los riesgos a los que estamos expuestos en Internet.

Referencia: https://www.welivesecurity.com/la-es/2021/11/29/ransomware-conti-principales-caracteristicas/

Costa Rica se ubica en la posición 48 del National Cibersecurity Index que contempla a 160 países y lo ubica en la posición cinco de América, solo antecedido por Estados Unidos, Paraguay, Chile y Canadá.

Exportadores, importadores y comerciantes alertaron de “posibles pérdidas millonarias”, por la imposibilidad de realizar sus actividades normalmente, ya que las empresas están siendo altamente afectadas por la inhabilitación del sistema aduanero TICA, lo que ha significado la paralización del comercio internacional desde el lunes, a la vez que hay un colapso en fronteras, puertos y aeropuertos.

  1. Denunciar cualquier tipo de abuso que se vea en las redes sociales

Muchas veces, las redes sociales son el escenario en el que se producen delitos informáticos. Ya sea casos de grooming, acoso u otro tipo, es importante realizar la denuncia. Algunas redes sociales como Facebook ofrecen una guía para reportar un hecho inapropiado que contempla casos que van desde un perfil falso, contenidos ofensivos o algún otro tipo de delito de carácter sexual, entre otros.

  1. No compartir noticias y concursos de dudosa reputación

Las noticias falsas son un problema, ya que muchos de estos mensajes apelan a lo emocional logrando viralizarse de forma rápida. En el caso de los concursos, es importante recordar revisar los términos y condiciones, que el organizador sea fácilmente identificable, que exista una fecha para la entrega de premio y corroborar que haya otros participantes. En caso de que sea demasiado tarde, si el concurso fue promocionado a través de Facebook se debe utilizar la opción “denunciar”.

  1. Si se está al tanto de un ataque o estafa, compartir la información en redes sociales

Al recibir un mensaje a través del correo o redes sociales que se trate de una estafa, avisar a quien lo envió y avisar a los contactos. También se puede informar a través de las redes sociales para que los usuarios estén alertas y no caigan en la trampa.

  1. Revisar qué permisos se le da a las apps asociadas a los perfiles

El episodio de Facebook y Cambridge Analytica donde la red social cedió datos recolectados de una aplicación, que los usuarios instalaban sin leer los permisos que otorgaban, dejó en evidencia la falta de responsabilidad y de consciencia con respecto al valor de la información personal. ESET publicó un artículo en el que explica cómo saber qué tipo de información se comparte con empresas y desarrolladores de apps a través de los permisos.

  1. Configurar la privacidad de cuentas y/o perfiles

El excesivo intercambio de información digital puede tener sus consecuencias, sobre todo en redes sociales. Es por eso que se recomienda limitar al máximo el acceso a lo que otros pueden ver, hacer revisiones de los permisos que se conceden con cierta regularidad y configurar mejor las opciones de privacidad disponibles en cada una de las redes sociales que se utilizan. En este sentido, ESET elaboró una guía para mejorar la seguridad y privacidad en Facebook en 5 pasos.

6. No compartir ni enviar archivos antes de comprobar que son seguros

Es común que a través de los archivos adjuntos los atacantes infecten a sus víctimas. Estos pueden llegar a través del correo, las redes sociales o servicios como WhatsApp. Por eso es importante, antes de reenviar cualquier archivo, corroborar que el archivo proviene de una fuente confiable.

7. Actualizar las contraseñas

Cambiar las claves de acceso para las cuentas puede evitar complicaciones aún mayores. Para ayudar a recordar múltiples contraseñas distintas para cada cuenta, se puede utilizar un gestor de contraseñas, como KeePass. Con esta herramienta se puede almacenar el nombre de usuario y clave de acceso de cada plataforma y actualizar la información cada vez que se haga un cambio.

8. Activar el doble factor de autenticación

Activar el doble factor de autenticación en cada uno de los servicios que sea posible, siempre y cuando esté disponible, como el caso de Gmail, Facebook, Instagram, Twitter u otras plataformas. Es una capa de seguridad adicional que ayuda a evitar el accesos a las cuentas sin consentimiento.

9. Actualizar los dispositivos

Mantener los equipos y dispositivos al día con las últimas actualizaciones. Muchos ataques informáticos se provocaron explotando vulnerabilidades que fueron parcheadas en actualizaciones. En el famoso caso del ransomware WannaCry, se aprovechó de una vulnerabilidad en equipos que utilizaban Windows, pese a que el fabricante del sistema operativo, Microsoft, había lanzado un parche para reparar este fallo pocos meses antes del masivo brote que causó tanto daño a usuarios y compañías a nivel global.

  1. Respaldar la información importante (de manera regular)

Nunca se sabe cuándo uno puede ser víctima de un malware o de algún problema que afecte a nuestros equipos, como puede ser incluso el robo de la computadora o teléfono. Contar con un respaldo de información como fotos, videos, archivos u otro tipo de material, pasa a ser invalorable.

FIN