Lo que comenzó como un ataque controlado se ha descontrolado por completo: un grupo de hackers rusos crearon un gusano llamado LitterDrifter para atacar objetivos ucranianos. El problema es que este virus está extendiéndose por todo el mundo. Como ya sucedió con Stuxnet, el gusano creado por la Agencia de Seguridad Nacional de Estados Unidos y que afectó a 100.000 ordenadores de todo el mundo, estos malwares se replican a sí mismos para extenderse sin parar. LitterDrifter puede acabar siendo un nuevo WannaCry si no se toman medidas.

LitterDrifter, el gusano que está colándose en miles de equipos

Conocidos como Gamaredon y otros nombres como Primitive Bear, ACTINIUM, Armageddon y Shuckworm, este grupo de piratas informáticos desarrollaron LitterDrifter en Visual Basic Scripting (VBS) para espiar toda la información posible del equipo infectado. El gusano no permanece como un agente dormido a la espera de la orden, sino que se expande exponencialmente y rastrea información sin parar. De hecho, el gusano no necesita de ninguna acción por parte del usuario: LitterDrifter crea una copia oculta del archivo "trash.dll" y usa los .LNK (de acceso directo) para propagarse a la máxima velocidad.

"Hemos observado pruebas de infecciones en Hong Kong. Todo esto podría indicar que, al igual que otros gusanos USB, LitterDrifter se ha extendido más allá de sus objetivos previstos, indican desde Check Point Research. De hecho, según los reportes recibidos por el servicio VirusTotal, propiedad de Google, se han reportado equipos infectados con IPs en Estados Unidos, Vietnam, Chile, Polonia y Alemania. Es cuestión de tiempo que pueda acabar en el sur de Europa.

Cómo puede extenderse este virus a tu Mac

Las recomendaciones, como suele ser habitual, se basan en la prevención al máximo de cualquier riesgo. Si bien LitterDrifter no se basa en técnicas innovadoras y poco sofisticadas, eso no implica que solo pueda atacar a equipos Windows y que no pueda afectarte a ti. WannaCry es un ransomware que acabó expandiéndose por más de 100 países. A continuación te dejamos una serie de consejos de seguridad para minimizar los riesgos:

En Applesfera

Microsoft descubre un nuevo malware letal para macOS: se instala sin que el usuario se dé cuenta

• Nunca abras emails o mensajes de orígenes desconocidos o fuentes poco fiables, aunque sean de tu entorno. Mucho malware se propaga en cadenas de mensajes y como meros archivos adjuntos que, al descargarse, comienzan a proliferar.
• Mantén tus equipos actualizados a la última versión, con el sistema operativo al día y lo mismo con el antivirus, si es que usas alguno en Mac.
• Recuerda hacer copias de seguridad cada poco tiempo. Puedes usar Time Machine y usar dispositivos externos para guardar la información más esencial.
• Revisa la configuraciones de seguridad de tu navegador, red WiFi cifrada con WPA3 y router de casa protegido con contraseña. Es imprescindible que siempre uses cifrados seguros, certificados válidos actualizados.
• Nunca conectes una memoria USB a tu equipo si conocer su procedencia y sin antes pasarle una revisión de seguridad. Para ello puedes usar, por ejemplo, CleanMyMacX, que cuenta con Moonloop Engine para detectar riesgos de primer nivel y se actualiza constantemente.

En Applesfera | He cuidado cientos de Macs como formador: así los mantengo limpios sin recurrir a antivirus ni fórmulas milagrosas

En Applesfera | No, tu Mac no tiene un virus: este ingenioso método quiere engañarte pero podemos solucionarlo

En los últimos días se ha descubierto un nuevo ransomware llamado EvilQuest que se oculta tras apps pirateadas. Este malware cifra los archivos del ordenador de forma que son inaccesibles a menos que se pague una cantidad, al menos en teoría.

Ransomware, el malware que pide rescates

Un ransomware es un programa malicioso que "secuestra" los archivos de un ordenador y pide un rescate (ransom) para que el usuario pueda recuperarlos. Previo al aviso del rescate el ransomware cifra todo el contenido que le es posible con una clave aleatoria que es necesaria para recuperar el acceso a los archivos.

EvilQuest es la última variante de ransomware capaz de afectar a los ordenadores Mac que Malwarebytes ha descubierto en internet. Un descubrimiento que se originó en un foro ruso donde se ofrecía una versión pirateada (gratuita) de la app Little Snitch.

La app pirateada se ofrece en un instalador genérico que, además de instalar Little Snitch, instala un pequeño ejecutable llamado Patch en la ruta /Users/Shared y un script de postinstalación que activa al malware. El script mueve el archivo Patch a una nueva ubicación y lo renombra como CrashReporter, un nombre común en los ordenadores Mac. Desde aquí Patch se autoinstala en varias ubicaciones dentro del ordenador.

Este ransomware es capaz de cifrar gran cantidad de archivos del ordenador, incluyendo archivos de configuración y archivos del llavero, por lo que el llavero de iCloud queda inaccesible y el Finder da constantes errores. Tras el ataque el ransomware solicita 50 dólares para descifrar los archivos, aunque, según Malwarebytes, no cumple con el descifrado aunque se abone la cantidad.

Por si fuera poco el malware también instala un keylogger, una pequeña aplicación que registra todas las pulsaciones de tecla de un ordenador. Un ataque que es capaz de acceder a contraseñas, datos bancarios y otra información, aunque, por ahora, se desconoce el uso de esos datos.

¿Está mi Mac a salvo?

Ante esta clase de ataques, ¿qué podemos hacer? Todo. La seguridad de nuestro ordenador depende del uso que le demos. Esta clase de aplicaciones maliciosas no pueden afectar a un ordenador sin consentimiento. En este caso el consentimiento pasa por descargar una app de una fuente que no es de confianza y, encima, introducir la contraseña del ordenador durante la instalación, con lo que el ransomware encuentra poca resistencia.

Las precauciones a tomar ante la situación son sencillas. La primera y más importante es que nunca instalemos ninguna app excepto de sitios de confianza como el App Store o de las web de empresas de confianza (Adobe, Microsoft, etc.). La segunda precaución es disponer de una copia de seguridad de los datos, donde es especialmente útil usar Time Machine.

En Applesfera

Cómo mejorar la seguridad de nuestro Mac a través del Firewall del Sistema

La piratería de apps, es decir, poder utilizar gratuitamente apps que cuestan dinero es una práctica que cada vez más está cayendo en desuso, pero sigue siendo el principal foco de entrada de malware a los dispositivos.

La noticia más importante de las últimas horas ha sido el ciberataque que dejó fuera de juego a todo el sistema de Telefónica en España, y que está propagándose por varios países de todo el mundo, aunque con mucha más fuerza en Rusia, Taiwán, España, Alemania, Japón o Turquía. Aunque por su magnitud puede ser considerado como uno de los ataques más grandes de los últimos tiempos, este no ha sido el único que ha tenido lugar y ha logrado afectar a cientos de usuarios.

Aunque muchos de ustedes cuentan con un dispositivo iOS o con un Mac, y alguna vez han pensado que están exentos de vulnerabilidad, están un poco alejados de la realidad. Tanto los ordenadores Mac como los dispositivos iOS pueden ser infectados, incluso por el ransomware Wanna Decryptor, pero ocurre lo de siempre y es que, al tener menos cuota de mercado, los hackers no hacen tantos intentos por conseguir entrar en el sistema.

Algunos ejemplos de vulnerabilidades

Vamos a hablar de ejemplos puntuales. Empecemos por el caso de Dropbox que en 2016, reportó un ataque en el que los hackers filtraron los correos electrónicos y contraseñas de 68 millones de usuarios. Según la compañía, el listado de correos correspondía al año 2012, por lo que pidió a las personas cambiar su contraseña si no la habían cambiado desde ese año. Desde luego muchos usuarios de iOS tienen cuenta en Dropbox y aunque el ataque no fue dirigido al dispositivo, si se pudieron ver afectados.

Otro ejemplo es el ataque de phishing ocurrido a principios de mayo de 2017 y que perjudicó a usuarios con cuentas de Gmail y Google Docs. El ataque se propagó a través de un correo electrónico que invitaba a las víctimas a revisar un documento de Google Docs. Al dar clic, los enviaba a una página de Google para seleccionar la cuenta con la que querían acceder al documento, y posteriormente. tenían que otorgar permisos a una app llamada 'Google Docs'.

En el momento en que los usuarios lo permitían, la falsa aplicación tenía acceso a sus correos, con todo y opción de enviar y leer, así como a sus contactos. Después de eso, el atacante enviaba casi de forma inmediata el mismo correo a los contactos de las víctimas haciendo que el phishing se propagara de forma increíble.

¿Cómo puedo protegerme frente a un ciberataque?

Para evitar ser víctimas de ataques informáticos, es necesario ser precavido con nuestras cuentas, cambiar de forma frecuente las contraseñas, y evitar confiar en correos electrónicos que no se vean muy confiables. Además, se recomienda activar la verificación en dos pasos en los servicios que la tengan, para que la seguridad sea aun mayor.

Si un servicio que utilicemos con frecuencia sufre un ataque o una filtración, lo primero que tenemos que hacer es detectar si nuestra cuenta está dentro de las afectadas. Para eso existen servicios como 'Have I been Pwned', donde podemos escribir nuestra dirección de correo electrónico o nuestro usuario, para saber si hemos sido afectados por alguna brecha de seguridad.

Por otra parte, si nos remitimos al caso que ocurrió ayer, como lo explicamos en este post, sí es posible que un equipo de la compañía de la manzana sea infectado con ransomware, y hay algunas claves que podemos tener en cuenta:

• Nunca hagas clic en enlaces dentro de un correo electrónico desconocido.
• No respondas mensajes que te soliciten información personal o financiera.
• Realiza copias de seguridad de tu información de forma periódica.
• Actualiza los sistemas operativos de tus dispositivos, nunca ignores ninguna de las actualizaciones que lanza la compañía.
• Evita ingresar a sitios web desconocidos o de dudosa procedencia.

En Applesfera | ¿Se hubiera salvado Telefónica del ataque de ransomware si utilizaran ordenadores Mac y no Windows?

En la actualidad hemos volcado gran parte de nuestras vidas a decenas de plataformas digitales. Protegidas con usuario y contraseña, encierran una cantidad importante de información acerca de nosotros. Información que con frecuencia da acceso a tarjetas de crédito, direcciones físicas y otros datos sensibles.

En el caso de los usuarios de Apple, el Apple ID es la cuenta que guarda todo lo relacionado con los dispositivos, servicios y tarjetas de pago que utilizamos con la compañía. Es por ello que se ha convertido en objetivo de ataque de hackers. Vamos a ver cuáles son las maneras más comunes por las que intentan acceder a nuestros Apple ID y cómo protegernos de estos ataques. 

Métodos comunes que utilizan los hackers para acceder a un Apple ID

Es importante aclarar que para acceder a un Apple ID son necesarios dos cosas: el email que utilizas para acceder y la contraseña. Hay dos grandes formas de obtener estos datos, son las siguientes:

1. Mediante el hackeo de otras compañías y servicios online: los hackeos a grandes y pequeñas empresas están empezando a ser cada vez más frecuentes. Y con ellos, los hackers se están haciendo con emails y contraseñas de millones de usuarios. Emails y contraseñas que muchos reutilizan en otros sitios, como por ejemplo su Apple ID.

2. Mediante técnicas de ingeniería social: una forma sofisticada de decir que son ellos mismos los que te engañan, con frecuencia haciéndose pasar por un empleado de Apple o a través de una comunicación que se supone es de la compañía.

Para protegerte del primero, es esencial que utilices contraseñas diferentes en cada servicio online que te des de alta. Reaprovechar contraseñas en diferentes sitios es una receta segura para el desastre. En cuanto uno de esos sitios es hackeado, el resto de los que empleen esa combinación de email y contraseña están comprometidos.

Crear y memorizar contraseñas es una labor tediosa, pero que nos asegura estar protegidos. Muchos sitios exigen ahora contar con un determinado número de caracteres, mayúsculas, minúsculas, números y símbolos para aceptar un alta. De modo que es más cómodo utilizar generadores de contraseñas como el llavero de iCloud integrado en Safari o gestores de contraseñas como 1Password.

¿Cómo saber si tu email ha sido comprometido en algún hackeo? Para ello, os recomendamos la web Have I been pwned? que comprueba cualquier email introducido en su formulario con robos de credenciales que se han hecho públicos. Así sabrás si tu email está en el listado y dónde tienes que cambiar las contraseñas, pero ojo, no todos los hackeos se han hecho públicos.

Ingeniería social y Apple ID: cómo protegerse

En cuanto a la ingeniería social, los hackers tienen métodos más o menos elaborados para hacerse con el control de tu Apple ID. Los métodos más frecuentes son:

• Email que asegura ser de Apple y que envía un enlace para comprobar cualquier dato como pretexto. Al pinchar en el enlace, te redirige a una web bajo su control en la que te piden introducir email y contraseña. En cuanto lo haces, les estás regalando a los hackers las llaves de tu Apple ID.

• SMS con idénticas excusas e intenciones. Un enlace a una web suya para que introduzcas tus datos y así robarte tu Apple ID.

• Si has perdido o te han robado tu dispositivo y lo bloqueaste con Buscar mi iPhone, los mismos ladrones pueden llamarte haciéndose pasar por un empleado de Apple. Te pedirán tu contraseña de Apple ID bajo pretexto de poder devolvértelo, pero con ello estarás permitiendo que lo desbloqueen y puedan venderlo posteriormente.

• Mediante una llamada automática de teléfono en la que afirman haber detectado cierta actividad inusual en tu cuenta y que solicitan les devuelvas las llamada. Un método muy reciente en el que además te indican que no utilices tu ordenador o Google antes de contactar con ellos, seguramente para que no te des cuenta de que son hackers.

• Solicitando acceso a tu Apple ID desde un nuevo dispositivo cuando tienes la autenticación de dos factores activada. Basta con saber que cualquier intento de inicio de sesión no autorizada por nosotros será un intento de hackeo, especialmente si viene de una ubicación remota como me sucedió hace unos días. De China, nada menos (ver imagen superior).

• Interceptando tus comunicaciones a través de una red Wi-Fi no segura. Las redes públicas están desprotegidas frente a personas que saben cómo ver el tráfico que se mueve en ellas. No te conectes a ellas salvo que sea necesario y, en ese caso, intenta hacerlo a través de una VPN. No es la panacea pero sí ayuda a enmascarar tu información.

Aquí es importante destacar que Apple no se va a poner en contacto contigo por ninguna vía (email, SMS o teléfono), a no ser que tú hayas contactado con ellos antes por algún motivo (reparación, compra, dudas). Aún así, nunca des tus credenciales por teléfono o SMS y tampoco accedas a tu Apple ID desde un link que te proporcione un tercero.

También es muy recomendable activar la autenticación de dos factores para mejorar la seguridad de tu Apple ID. Ten en cuenta que si un hacker gana acceso a tu Apple ID, tiene acceso a emails, mensajes, fotos, calendario, contactos, copias de seguridad y dispositivos. Una forma común de sacar dinero a sus víctimas es bloqueando el acceso al Apple ID y los propios dispositivos para después solicitar un rescate para desbloquearlos.

Una técnica que se conoce como ransomware y que está proliferando en los últimos meses. Un ejemplo reciente de ello es uno que solicita acceso a tu Dropbox para después utilizar tus documentos como rehenes.

En Applesfera | Qué hacer si tu iPhone o iPad ha sido robado.

En Xataka | Qué es el ransomware, cómo actúa y cómo prevenirlo.

Si hay una amenaza creciente ahora mismo entre la cyberdelincuencia es sin duda, el ransomware. Esta forma de acceder al ordenador y cifrar contenido para luego solicitar un 'rescate' se ha convertido en un negocio cada vez más floreciente. Hasta la fecha, OS X ha permanecido relativamente ajeno como plataforma, a excepción de KeRanger, que dejó un amargo sabor de boca a bastantes propietarios del Mac. Pese a no ser ni de lejos un mal tan masivo como en Windows, un desarrollador ha creado una herramienta gratuita para OS X que puede servir de primera barrera de protección ante esta amenaza.

Un exempleado de la NSA que ahora trabaja en una empresa de seguridad de software, buen conocedor de la problemática, ha desarrollado la aplicación RansomWhere?, un software gratuito que alerta al usuario ante el posible ataque ransomware. Patrick Wardle, su creador, anticipa que la herramienta no es infalible pero al menos protegerá ante "procesos de poca confianza" que intenten cifrar el contenido.

Anticipándose al ataque

La grandeza de esta sencilla aplicación reside precisamente en su sencillez: el ransomware una vez entra en el sistema comienza a cifrar ficheros hasta lograr bloquear el sistema, y RansomWhere? detiene el proceso alertándonos de que está sucediendo. "Idealmente cifrará unos pocos archivos (dos o tres) antes de ser detectado y bloqueado", explica Wardle en una entrevista concedida a Forbes. Sin embargo, su creador conoce bien las limitaciones de la herramienta.

La primera y fundamental, que únicamente protege el contenido ubicado en la carpeta del usuario, y la segunda, que RansomWhere? confía plenamente en las aplicaciones del sistema, con lo que si una es corrompida, el ransomware puede continuar su ataque. En cualquier caso, si la herramienta detecta el cifrado de algunos archivos, bloqueará el proceso y nos saltará una ventana de alerta que permitirá aceptar o por contra, bloquear el proceso, evitando, en su caso, el ataque.

Vía | Forbes

Nos vemos obligados a informar de una nueva vulnerabilidad, y grave, provocada por Java. No sólo constituye un agujero importante de seguridad por el que algún que otro hacker puede conseguir acceso a nuestro sistema, sino que además se está usando para bloquear el ordenador utilizando ransomware. El error afecta a la versión 7 update 10 y anteriores de Java y a todos los sistemas operativos, y por ende también a OS X.

El ransomware o “software de rescate” si se tradujera literalmente consiste en un código malicioso que nos bloquea de algún modo el sistema o el acceso a la red y no nos lo desbloquea hasta que paguemos un rescate. Poniendo un ejemplo, imaginaos que un día os aparece una página web de la FBI en el navegador y os dice que paguéis 200 euros de multa para poder seguir accediendo a internet. La página es falsa, por supuesto, y en realidad le estamos dando dinero a una tercera persona. En la imagen superior tenéis un ejemplo.

Oracle ya ha reconocido el problema (añadiendo que ha surgido a través de un error anterior mal solucionado) y está trabajando en solucionarlo. Por el momento el único remedio posible es desactivar Java en el sistema, un remedio que para algunos es imposible por cuestiones profesionales. Para ellos, lo mejor es usar un navegador que no sea el principal para ejecutar contenido con Java y asegurarnos de tenerlo desactivado en el que usamos a diario. ¡Gracias a todos los que nos habéis avisado!

Vía | The Next Web
Imagen | Wikipedia