Entrades

Avui comença la campanya de Renda 2016 i ja s’han començat a rebre correus intentant suplantar a l’Agència Tributària. Aquests correus contenen un fitxer adjunt maliciós.

Detall del fals correu

Només amb esmentar a l’Agència Tributària a més d’un li haurà entrat el pànic i hi haurà corregut a obrir el fitxer adjunt al correu.

Els correus poden tenir el següent format:

Mail renta

Correu maliciós suplantant l’Agència Tributaria

El fitxer Word adjunt, conté macros que executen codi maliciós. Aquestes macros estan desactivades, és per això que el primer que intenten els delinqüents és aconseguir que, en obrir el fitxer, els usuaris permeten l’execució d’aquestes macros, cosa que en aquesta ocasió es realitza de forma bastant explícita.

Anàlisi

Tot i que el document és detectat per diverses solucions antivirus, en aquest cas tan sols s’encarrega de descarregar un altre malware i aquest s’executa en el sistema. És una variant del conegut troià Win32 / Neurevt, que roba informació confidencial de l’usuari (contrasenyes, informació sobre el sistema operatiu utilitzat, etc.)

Conclusió

L’ús de l’Agència Tributària com a ganxo per intentar aconseguir un major nombre de víctimes just quan comença la campanya de la Renda és una cosa a destacar. Per aquest motiu recomanem no obrir aquest tipus de correus, fins i tot si provenen de remitents de confiança.

A més, si les macros vénen desactivades per defecte en el document Word adjunt, és per un bon motiu i no hem d’activar-les, i així evitar que malware s’executi.

Recomanacions

En primer lloc, tenir una bona política de Backups ben dissenyada i fiable. No és gens aconsellable tenir a la mateixa xarxa el repositori de còpies de seguretat, ja que el virus podria ser capaç de xifrar els mateixos i inutilitzar-los. Recomanem fer còpies de seguretat regularment i tenir-les fora de l’edifici, ja sigui mitjançant suports externs (USB, LTO) o mitjançant còpies al Núvol.

Tenir un bon antivirus actualitzat i ben configurat. A Infordisa recomanem l’ús d’ESET NOD32 en tots els equips i servidors de la xarxa.

Si no té cap estratègia de còpies, o requereix d’un nou o actualització del seu antivirus, consulteu-nos i l’assessorarem de la millor manera per protegir la continuïtat del seu negoci.

Aquests son alguns articles que et poden resultar interessants:

A l’actualitat, les empreses necessiten protegir els usuaris que treballen des de qualsevol lloc i utilitzen més d’un dispositiu per al seu treball. Per aconseguir-ho, necessiten d’un antivirus competent que permeti protegir fàcilment els usuaris independentment del nombre de dispositius que utilitzin. Ja sigui des d’equips Windows i Mac, a telèfons o tauletes, passant per escriptoris virtuals o físics, etc. Tots han d’estar degudament protegits.

Però, quin antivirus s’ha d’escollir?

És hora d’escollir un software antivirus per a la protecció de la teva empresa. És molt important escollir-lo correctament ja que serà el programari antivirus que suporti la seguretat de les dades i dispositius de la teva empresa. En el moment que et poses a investigar, et trobes amb una infinitat de possibilitats, marques, tarifes, tecnicismes, ofertes, etc. Per tal de resoldre aquest dilema, ho enfocarem d’una forma diferent.

Quines obligacions ha de complir un bon antivirus?

Aquestes són les 7 obligacions que un antivirus ha de complir a la teva empresa:

  1. Ha de protegir a tots els dispositius i usuaris. Ha d’administrar d’una forma segura i protegir els usuaris i les dades emmagatzemades als telèfons, tauletes, portàtils i ordinadors de sobretaula. A més, ha de protegir als teus usuaris independentment del lloc on es trobin: ja sigui a casa, de viatge, a l’oficina, etc.
  2. Ha de protegir-te de qualsevol amenaça. Cal un antivirus provat i amb un control efectiu dels dispositius, aplicacions, dades, Internet i accessos a la xarxa.
  3. Ha de permetre un ús fàcil i pràctic dels dispositius personals a la feina. Ha de tenir un accés segur a les dades i al correu de la teva empresa, fent ús d’una gestió de dispositius mòbils fàcil d’utilitzar.
  4. Ha de simplificar-te les tasques d’administració. Cal reduir la càrrega de treball.
  5. T’ha de permetre obtenir d’una forma pràctica i senzilla un suport. Cal eliminar les complicacions de llicències i tenir a disposició un suport proporcionat per experts.
  6. Cal tenir a disposició un sistema de llicències raonable. Necessites preus per usuari, independentment del nombre de dispositius que s’utilitzin.
  7. Has de poder-te beneficiar d’un servei raonable. Cal disposar d’un bon servei per a les actualitzacions, un suport les 24 hores il·limitat i d’uns estalvis considerables de diversos anys o com a client fidel.

Ara ja saps quins són els requisits o obligacions que un antivirus ha de complir a la teva empresa. Per escollir quin antivirus compleix amb tots aquests requisits, et suggerim el següent model: ESET NOD32.

ESET NOD32: màxima protecció per la teva empresa

ESET NOD32 és l’antivirus que assegura una protecció completa de les estacions de treball, dels dispositius mòbils i de les dades i Internet.

Vols més informació sobre l’antivirus ESET NOD32? Contacta amb nosaltres i t’ajudarem

Antivirus ESET NOD32

El virus Ransomware no para d’extendre’s. En el primer trimestre d’aquest 2016, s’han descobert més de 5.000 versions a 21 aplicacions mòbils: un 24% mes que el trimestre anterior.

En quines aplicacions s’ha descobert?

Han estat molts tipus d’aplicacions però, sobretot, les aplicacions que poden contenir Ransomware, son aquelles de vídeos en streaming, de control d’estat de l’usuari o de planificació de viatges.

Com entra als dispositius mòbils?

Els clients no estan actualitzant el software dels seus dispositius. Per aquest motiu, els forats de seguretat no es tanquen: una porta oberta per l’entrada de virus.

Com es produeix el delicte?

El mètode implica l’ús de dues o més apps per llançar un atac més sofisticat. Aquest atac es basa en el robatori de dades sensibles de l’usuari. Es pot produir quan s’intercanvia informació amb d’altres usuaris o quan s’envia informació a una aplicació que pot realitzar transaccions financeres.
D’altra banda, també hi ha el risc que pugui utilitzar una aplicació que pot controlar un servei del sistema. És llavors quan pot controlar i donar ordres des d’altres aplicacions per canviar el funcionament del telèfon.

Com es pot evitar?

Hi ha hagut molts esforços per millorar la seguretat mòbil, però contínuament apareixen noves amenaces que tracten d’ocultar Ransomware a la vista. Per aquest motiu, és molt important que cada vegada sigui més difícil per les aplicacions malicioses trobar un forat on entrar als dispositius personals. És necessari desenvolupar noves tècniques i eines per tal d’assolir aplicacions mòbils més intel·ligents.

Des d’Infordisa es recomana tenir el software actualitzat de tots els dispositius mòbils que disposi l’usuari o l’empresa.

Cada dia apareixen nous casos d’estafes online on s’utilitzen e-mails corporatius per extendre arxius maliciosos que les puguin dur a terme.

És el cas dedetectat a e-mails sota la identitat de l’empresa de servei postal Correos. La tècnica utilitzada s’anomena Ransomware TorrentLocker.

Què és Ransomware TorrentLocker?

És una tècnica delictiva que es basa en la suplantació d’identitat dels e-mails del servei postal espanyol: Correos. Es duu a terme mitjançant una sèrie d’enviament massius que s’estan produint durant aquesta setmana.

Com funciona?

Els delinqüents utilitzen unes plantilles actualitzades emprant el disseny d’e-mails de la versió actual on hi apareix un rebut d’una carta certificada o paquet. En el missatge es demana que es reculli la comanda, sinó es cobrarà una quantitat de diners per cada dia que passi. A més a més, s’ofereix un enllaç en el que suposadament podrem descarregar la informació relacionada amb la comanda.

Si l’usuari clica sobre l’enllaç proporcionat, serà redirigit a una web controlada pels delinqüents i que, suposadament, serveix per obtenir el localitzador de l’enviament. 

Com s’ha detectat?

Després de clicar a l’enllaç, a la nova url no s’utilitzen dominis que semblin estar relacionats amb Correos.

El codi de seguretat captcha no canvia.

Si l’usuari introdueix un codi i clica el botó consultar, es descarregarà un fitxer executable que té com a icona el d’un arxiu PDF.

En aquest darrer arxiu PDF apareixerà la informació sobre la quantitat a pagar pel rescat de la comanda (299€) i s’indicarà la quantitat d’arxius que han estat xifrats.

Com està el cas a l’actualitat?

Actualment, la pàgina continua estant allotjada a la xarxa Tor, però els delinqüents utilitzen un proxy per tal que els usuaris no hagin d’instal·lar cap software addicional. Els pagaments es continuen realitzant amb bitcoins, duplicant-se la quantitat a pagar si no es realitza el pagament en un temps determinat.

Com actuar per evitar ser estafats?

Des d’Infordisa es recomana un seguit de pautes per tal d’evitar aquest tipus d’infeccions:

D’una banda, és important alertar a coneguts i familiars de la perillositat d’aquest tipus de correus electrònics.

D’altra banda però, des del punt de vista corporatiu, és molt important utilitzar un antivirus actualitzat i un filtre antispam capaç de reconèixer missatges d’aquest tipus. A més a més, cal aplicar polítiques d’entorns corporatius i eines especialitzades que permeten bloquejar la recepció, la descàrrega i l’execució de qualsevol arxiu maliciós.

Vols un antivirus potent, segur i actualitzat davant de qualsevol amenaça?

Infordisa treballa des de fa més d’una dècada amb l’antivirus ESET NOD32: un antivirus ràpid, efectiu i el més ben valorat pels usuaris i empreses.

NOD32-INFO

Si necessites més informació d’aquest antivirus competent, actualitzat i ràpid, nosaltres t’assessorarem i te la facilitarem.

Investigadors de ESET han publicat recentment un document tècnic on analitzen un nou cuc que infecta routers, amb l’objectiu de cometre fraus en xarxes socials. Després segrestar les connexions a Internet de les víctimes, el virus pot posar “M’agrada” a publicacions i pàgines, “veure” vídeos i “seguir” altres comptes.

QUÈ ÉS MOOSE?

El malware, que els investigadors Olivier Bilodeau i Thomas Dupuy van denominar Linux/Moose, infecta els routers basats en Linux i altres tipus de dispositius que funcionen amb aquest sistema. Un cop infectats, aquesta amenaça busca i elimina altres infeccions de malware ja existents per no tenir competència en el consum dels recursos limitats d’aquests dispositius i, seguidament, busca altres routers per infectar-los.

moose-virus-com-funciona

No obstant això, el cuc Moose no es basa en cap vulnerabilitat pròpia d’aquests dispositius. Simplement aprofita els avantatges que ofereixen els dispositius poc segurs per l’ús de credencials febles d’inici de sessió.

AMENAÇA PER AL INTERNET DE LES COSES

Lamentablement, això significa que, a més dels routers, també hi hauria altres dispositius que es podrien veure afectats per aquest cuc com un dany col·lateral accidental. L’equip d’ESET creu que fins i tot els dispositius mèdics, com les bombes d’infusió de certes marques, podrien resultar afectades pel cuc Linux / Moose.

No obstant això, les principals víctimes del cuc són els routers. Les següents marques de dispositius ja es van identificar com a vulnerables: ACTIONTEC, Hik Vision, Netgear, Synology, TP-Link, ZyXEL i Zhone.

Aquesta preferència pels routers és comprensible ja que són dispositius permanentment connectats a Internet que els usuaris instal·len i després, en la majoria de casos, no actualitzen o ni tan sols canvien les contrasenyes que vénen per defecte. No obstant això, amb la proliferació de dispositius de tot tipus connectats a Internet no seria estrany que els atacants busquessin nous objectius en un futur proper.

FINALITAT DE MOOSE

L’informe tècnic d’aquesta amenaça proporciona una anàlisi detallada del cuc Moose, els mètodes que poden emprar els usuaris per determinar si els seus dispositius estan infectats, i instruccions per a la desinfecció. Més important encara, es proporcionen consells de prevenció per evitar la reinfecció.

No obstant això, probablement el més interessant de tot sigui tractar de comprendre la finalitat amb la qual es va crear el cuc Moose.

Durant la investigació, l’equip de ESET va observar que el cuc creava comptes falses en llocs com Instagram, i automàticament seguia als usuaris. En molts casos, l’increment de seguidors es frenava durant alguns dies, potser per no fer saltar els sistemes d’alarma automatitzats implementats per les xarxes socials per identificar conductes sospitoses.

moose-redes-sociales

La trista realitat és que hi ha molts individus i empreses que se les empesquen per manipular la seva reputació en els mitjans socials. A vegades no es tenen objeccions a contractar a tercers que els ofereixen un increment en la quantitat de visualitzacions d’un vídeo corporatiu, afegir seguidors a Twitter o aconseguir més fans de Facebook.

Sovint, aquests “tercers” es posen en contacte amb altres empreses. El perill rau en què puguin contractar criminals (potser sense si més no saber-ho) amb accés a la botnet de routers infectats amb Moose per dur a terme el frau de mitjans socials sol·licitat.

El fet que no es tracti de fans o visualitzacions de vídeos “reals” probablement passi desapercebut, o sigui ocultat pels equips de màrqueting desitjosos d’impressionar als seus caps.

ALTRES FINALITATS MALICIOSES POSSIBLES

A més del frau en les xarxes socials, el paper d’ESET també considera que el malware podria usar-se potencialment per realitzar altres activitats, com atacs de denegació de servei distribuït (DDoS), l’exploració de xarxes específiques (on treballa àrduament per passar els tallafocs) i activitats d’espionatge o segrest de DNS (podent conduir a webs de phishing ia altres atacs de malware).

Tampoc hem d’oblidar altres possibilitats com, per exemple, utilitzar els routers infectats com a proxy i connectar-se a través d’ells, fent més difícil la localització dels delinqüents.

CONCLUSIÓ

Un cop més, se’ls recomana als consumidors romandre atents, assegurar-se tenir instal·lats els últims pedaços de seguretat, i mai fer servir les contrasenyes predeterminades o fàcils d’endevinar en els seus dispositius connectats a Internet.

Per obtenir molta més informació sobre l’amenaça i la forma de protegir-te, llegeix el paper tècnic de l’equip d’experts de ESET “Dissecting Linux / Moose” (en anglès).

Artícle original del blog We Live Secutity de ESET

Aquestes darreres setmanes segurament ha sentit parlar a companys o coneguts, sobre un virus que entra als equips, encripta la informació que hi tenim, i en demana posteriorment un rescat. Es tracta del virus Cryptolocker, i si el prevenim, el podem evitar. Tot seguit us expliquem com.

Què és Cryptolocker?

Els últims mesos tothom ha sentit parlar d’aquest virus ja que algun amic proper segurament ja l’ha patit. Cryptolocker és un dels Virus més famosos i més perillosos dels últims anys que està atacant amb força durant aquest mes a través de noves mutacions inutilitzant milers d’Equips i Servidors. Aquest Malware utilitza sofisticades tècniques de xifrat de dades per inutilitzar documents importants. Es rep mitjançant e-mail i l’equip s’infecta a través de la descàrrega dels seus fitxers adjunts, els quals no són detectats pels antivirus.

Com desinfectar-me?

Actualment no hi ha cap manera fiable de desencriptar els arxius. La única solució és recuperar el sistema mitjançant backups previs a la infecció. En qualsevol cas, pagar als hackers no és garantia de solució eficaç. Alguns antivirus poden eliminar el virus en si, però no recuperar les dades.

Com prevenir el desastre?

Primer de tot cal tenir una bona política de Backups ben dissenyada i fiable. No és gens aconsellable tenir a la mateixa xarxa el repositori de backups, ja que el virus podria ser capaç de encriptar-los i inutilitzar-los. Recomanem realitzar cèpies de seguretat regularment i tenir-los fora de l’edifici, ja sigui mitjançant suports extraïbles (USB, LTO) o còpies al Núvol.

Tenir un bon antivirus actualitzat i ben configurat. A Infordisa recomanem l’ús d’ESET NOD32 en tots els equips i Servidors de la xarxa. Truqui’ns i li ensenyarem com configurar correctament el seu antivirus i protegir-se dels atacs.

Si no té cap estratègia de còpies, consulti’ns i li assessorarem de la millor manera per protegir la continuïtat del seu negoci.

S’ha detectat una nova campanya de ransomware, un tipus de software maliciós que xifra tots els documents del disc dur de la víctima i demana un rescat per desxifrar-los. Aquesta campanya, utilitza una nova variant del CTB-Locker, i està afectant des de fa uns dies a molts usuaris espanyols.

Tot apunta que el focus d’infecció és un correu electrònic amb un fitxer adjunt, bé amb extensió doc o rtf, o bé un fitxer comprimit que conté un fitxer amb extensió scr.

Una vegada l’usuari ha executat el fitxer adjunt, comença a xifrar tots els documents que troba als discs durs de l’usuari, incloent-hi documents accessibles a través d’unitats de xarxa, per la qual cosa hem de tindre especial atenció en entorns empresarials, ja que podria comprometre’s tota la informació de l’empresa si no es prenen mesures a temps.

També s’han detectat variants que roben les llibretes de direccions de les aplicacions de correu electrònic per a obtenir noves víctimes a qui enviar el correu electrònic origen de la infecció.

A continuació podem veure captures amb l’aspecte que presenta el programari maliciós una vegada ha infectat l’equip:

En aquest enllaç tenim més informació sobre la família CTB-Locker. S’indica que utilitza criptografia de corba el·líptica per a xifrar els fitxers, tor per a comunicar-se amb els servidors de control, i Bitcoin com a mètode de pagament, dificultant en gran mesura el seguiment dels delinqüents. A més, indiquen que encara no s’ha trobat cap manera de desxifrar els fitxers xifrats per aquest programari maliciós sense haver de pagar el rescat.

En els últims mesos estem veient aparéixer cada vegada més Ransomware, i tot apunta que serà una tècnica que anirà augmentant la seua presència en un futur pròxim, com indica el FBI en l’article “Ransomware on the Rise”.

Hi ha molts tipus de programari maliciós pensats per reportar beneficis als delinqüents i altres que simplement busquen provocar molèsties o trastorns. Tot i això, el programari maliciós que més es distribueix a través de llocs web està dissenyat perquè els delinqüents guanyin diners.

Si el vostre lloc web està infectat, els tipus de programari maliciós que es descriuen a continuació es podrien descarregar als dispositius dels vostres clients quan ho visitin. Tingueu en compte que aquestes persones veuran la vostra marca juntament amb un avís de l’antivirus o, en el pitjor dels casos, dels efectes d’una infecció.

Ramsonware

ramsonware

El ramsonware bloqueja l’equip de l’usuari i mostra una única pantalla d’advertència. Ni tan sols es permet que el personal d’assistència entri al dispositiu de forma remota per eliminar el programari maliciós. Sovint, el missatge adopta l’aparença d’un avís oficial d’un cos de seguretat i el programari pot arribar a utilitzar la càmera de l’equip per incloure una foto de l’usuari en l’advertència.

Beneficis pel delincuent

Com deixa entreveure el nom en anglès, els delinqüents exigeixen un rescat per desbloquejar el dispositiu. Solen donar a entendre que es tracta d’una multa per un comportament il·lícit o il·legal de la víctima, que es pagarà a un cos de seguretat oficial i el pagament del rescat no sempre es tradueix en el desbloqueig de l’equip. S’estima que l’any passat un tres per cent de les víctimes van pagar el rescat.

Botnets

botnets

Les botnets són xarxes d’equips personals i servidors que els delinqüents utilitzen per distribuir spam o generar clics falsos en anuncis remunerats per clic. Si el programari maliciós funciona bé, incorporarà el dispositiu de la víctima a la xarxa sense aixecar sospites.

Beneficis pel delinqüent

Tot i que els beneficis que genera aquest tipus de programari maliciós no són elevats immediatament, es tracta d’infeccions difícils de detectar i eliminar, pel que suposen una font d’ingressos constant a llarg termini per als delinqüents.

Registre de pulsacions de tecles

registro-pulsaciones-teclado

El registre de pulsacions de tecles consisteix justament en això: el programari maliciós grava les tecles que es premen i, per tant, pot buscar combinacions de 16 dígits (possible numeració de targeta de crèdit), seqüències de sis números (dates de naixement en potència) o cadenes de text poc habituals (que podrien ser contrasenyes).

Beneficis pel delincuent

L’objectiu d’aquest tipus de programari maliciós és recopilar informació per realitzar robatoris d’identitat, fraus amb targeta de crèdit i hacking de comptes. Com aquestes dades estan molt cotitzades en el mercat negre, aquest programari maliciós pot reportar grans beneficis, sobretot si permet als delinqüents esquivar els sofisticats i sòlids sistemes de protecció d’un dels grans clients de la seva empresa.

Propagació

propagacion

El programari maliciós es propaga per la xarxa a la qual estigui connectada la víctima, de manera que tots els usuaris i servidors d’aquesta xarxa queden exposats a una infecció que pot afectar a les dades, els dispositius i les operacions.

Beneficis pel delinqüent

La recompensa depèn del grau de propagació i del programari maliciós addicional que s’activi en els diferents dispositius segons les seves vulnerabilitats. Aquest tipus d’atac pot paralitzar una empresa, provocar fuites de dades massives i implicar centenars de milers d’euros de despeses d’esmena.