Adylkuzz
Malware Adylkuzz infecta los ordenadores
con el fin de crear y robar dinero virtual sin que el usuario lo sepa
Cuando todavía no se han apagado los ecos de los ataques
provocados por el ransomware WannaCry, que entre otras empresas afectó a
Telefónica e incluso se cebó con la red del Sistema Nacional de Salud de Reino
Unido, la firma de seguridad Proofpoint ha alertado en su blog de un nuevo
malware que aprovecha la misma vulnerabilidad, se denomina Adylkuzz y su
finalidad es utilizar los equipos que caen víctimas de su ataque para minar una
criptomoneda llamada Monero.
Según el analista de Proofpoint Kafeine, este ataque es
anterior al de WannaCry, pero ha pasado prácticamente desapercibido por sus
efectos, que cifran el contenido del equipo, solicitando un rescate a cambio de
la clave que permite descifrarlos. Al parecer, las primeras muestras de su actividad
se remontan al 2 de mayo, e incluso podrían haber comenzado antes, el 24 de
abril. Y es muy posible que se trate de un ataque de mayor envergadura y
alcance que el de WannaCry, que se estima que ha afectado a unos 200.000
ordenadores en más de 150 países.
Como WannaCry, este ataque utiliza para actuar el exploit
conocido como Eternal Blue y la puerta trasera DoublePulsar. Ambas herramientas
de hackeo fueron desarrolladas por la NSA y liberadas online por un grupo que
se hace llamar ShadowBrokers.
Según Kafeine, los efectos de Adylkuzz han sido
particularmente eficaces en las redes que aún no habían instalado las
actualizaciones que Microsoft lanzó para parchear las vulnerabilidades
críticas, a finales de marzo. Los equipos infectados en apenas 20 minutos ya
pasan a formar parte de una botnet de minado de criptomoneda.
Lo primero que hace este malware para actuar en un equipo es
infectar con Double Pulsar los ordenadores a través de Eternal Blue. Entonces,
este backdoor descarga y ejecuta automáticamente Adylkuzz. Una vez hecho esto,
el malware detendrá cualquier instancia suya que haya en ejecución, lo que
dificulta su detección, además de bloquear determinadas comunicaciones para
evitar una infección mayor.
A continuación detecta la dirección IP del equipo infectado
y descarga las instrucciones de minado, el programa encargado de hacerlo y
varias herramientas de limpieza. Desde entonces, uno de los servidores
encargados de dar las órdenes a los ordenadores afectados y de controlar su
funcionamiento (en Proofnet han encontrado más de 20), se encarga de todo.
CÓMO SE ENTERA EL USUARIO AFECTADO
Los usuarios notarán que pasan cosas extrañas en su equipo.
Para empezar, el ordenador afectado perderá acceso a los recursos de red y el
sistema funcionará más lento y peor. Según Kafeine, muchos de los afectados
pensaron que habían sido atacados por WannaCry cuando en realidad lo estaban
por Adylkuzz. Y que puede que gracias a este, que como hemos visto se encarga
de bloquear ciertos recursos de red para evitar más infecciones, WannaCry no se
haya extendido tanto.
Segun ha declarado Alfonso Franco, CEO de All4Sec, sobre
este ataque, “realmente el ataque Adylkuzz es anterior a WannaCry y funciona de
forma “parecida”, pero algo más inteligente, ya que lo que hace además de
contaminar la red es evitar que otros malware (incluido WannaCry) puedan
anticiparse e infectar ellos mismos los equipos“. Franco ha señalado también
que “lamentablemente es algo que parece que va a suceder mucho en estos días,
porque el exploit relativo a la vulnerabilidad
Eternal Blue se hizo público el 9 de mayo y eso va a permitir que
aparezcan mucho imitadores“. Para él, “WannaCry ha sido solo un test para
probar el impacto y ver lo que podía pasar. Incluso me atrevería a decir que
posiblemente lo lanzaron o ‘se les escapó’ antes de tiempo. Lo que pueda venir
ahora, que han probado que la combinación “ransomware + Worm “ es totalmente
rentable, es como para preocuparse“.
Por otra parte, Steve Grobman, CTO de McAfee, ha querido
explicar algunas cuestiones relacionadas con la aparición de esta nueva
amenaza: “WannaCry y Adylkuzz son los últimos ejemplos de cómo el análisis de
riesgo de ‘parchear o no parchear’ debe ser una cuestión replanteada dentro de
las organizaciones de todo el mundo. Las empresas nunca deberían llegar a la
conclusión de que la ausencia de un gran ciberataque es sinónimo de una defensa
efectiva. Wannacry y Adylkuzz han confirmado la importancia que tienen los
parches o actualizaciones de seguridad en la construcción y mantenimiento de
las defensas efectivas, y por qué la planificación de parches para mitigar las
vulnerabilidades del entorno deben convertirse en una prioridad”.
“Siempre que haya un parche que deba ser aplicado, existe un
riesgo asociado, tanto si lo aplicamos como si no. Los responsables IT
necesitan entender cuáles son esos niveles de riesgo y luego tomar la decisión
que minimice el peligro para su propia organización. El hecho de que haya compañías que, sin haber
aplicado parches de seguridad, no han sufrido ningún ataque que pueda
aprovechar estas vulnerabilidades, genera la percepción de que está bien
retrasar la aplicación de estos parches”.
“Una de las principales diferencias entre Adylkuzz y
WannaCry es que Adylkuzz puede permanecer un tiempo sin ser detectado y seguir
actuando siempre y cuando sea posible maximizar la cantidad de tiempo que una
máquina es usada para data mining. Sin duda, esto es un aliciente para que los
cibercriminales de Adylkuzz causen daños mínimos mientras pasan desapercibidos,
mientras que WannaCry alerta al usuario que se ha producido una vulneración y
provoca la destrucción masiva de los datos de una plataforma”.
Las versiones más recientes de los
productos de Comodo Endpoint Security Manager (CESM) Professional Edition
Está diseñado para ayudar a los
administradores de redes corporativas desplegar, gestionar y controlar el
software Comodo Endpoint Security en equipos en red.
Protección total para los ordenadores
conectados en red.
El más potente e intuitiva para todo
uso Endpoint Manager en su clase, CESM PE logra no sólo la seguridad de sus
estaciones de trabajo, ordenadores portátiles y netbooks, pero ahora también
maneja su estado del sistema. Una vez instalado a través de los asistentes
simplificados, los puntos finales son rápida y eficiente descubrieron a través
de la consulta de Active Directory o rango de direcciones IP. A continuación,
se pueden agrupar según sea necesario y políticas administrativas aplicadas.
CESM volverá a aplicar automáticamente esas políticas a los puntos finales no
cumple con sus configuraciones necesarias.
Más eficiente, eficaz y una
administración más fácil.
Esta capacidad de desplegar y gestionar
de forma centralizada las políticas de seguridad a una red que está protegido
con una suite de seguridad probada y totalmente integrado, puede ahorrar miles
de horas-hombre por año. el tiempo de administración que de otra manera se
perdería a problemas de configuración e interoperabilidad proveedor repetitivas
puede ser re-dirigida hacia los intereses comerciales núcleo más productivas y
rentables. Además, debido a las políticas de CESM se pueden implementar de
inmediato en todos los nodos protegidos, los administradores pueden responder
más rápidamente a proteger una red completa contra las últimas amenazas, a las
cero horas. La interfaz intuitiva de CESM permite acceder rápidamente a los
asistentes de tareas, importante red y los datos relacionados con tareas y
recursos de apoyo.
Estructura de guía.
El tablero de instrumentos: Muestra
consolidadas, "en un solo vistazo 'resumen estadístico de la información
vital, como estados de puntos finales administrados, instalaciones de productos
de seguridad y los archivos identificados como amenazas potenciales.
El Área de Informática: desempeña un papel
clave en la interfaz de CESM Consola administrativa proporcionando los
administradores del sistema con la capacidad de importar, ver y administrar
ordenadores conectados en red, crear grupos de punto final y aplicar políticas
de seguridad adecuadas:
- Agregar
equipos / importación de CESM para la gestión centralizada.
- Crear
grupos de equipos para una fácil administración.
- Aplicar
políticas de seguridad para puntos finales o grupos individuales.
- Ver
los detalles completos de los criterios de valoración que son
administrados por CESM.
- Gestionar
elementos en cuarentena, las aplicaciones actualmente en ejecución,
procesos y servicios en puntos remotos.
- La
gestión de las unidades de almacenamiento y en los puntos finales.
- Ejecutar
análisis antivirus bajo demanda en los puntos finales o grupos
individuales.
- Iniciar
la sesión de escritorio remoto compartido con los extremos remotos.
- Generar
informes granulares para puntos finales agrupados.
- Ver y modificar la configuración de cualquier política -
incluyendo el nombre, la descripción, los componentes de productos de
seguridad, sistemas destino y si la política debe permitir la
configuración local.
- Crear
nuevas políticas mediante la importación de configuración desde otro
ordenador o mediante la modificación de una política existente.
- Aplicar
políticas a grupos enteros de punto final.
- reportes
detallados pueden ser solicitados por cualquier cosa, desde una sola
máquina hasta toda la red gestionada.
- Cada
tipo de informe es altamente personalizable según las necesidades del
administrador.
- Los
informes se pueden exportar a los formatos .pdf y .xls para la impresión y
/ o distribución.
- Los
informes disponibles incluyen la configuración de punto final de productos
de seguridad, cumplimiento de las políticas, las estadísticas de malware,
delta política, registros de productos de seguridad, los elementos en
cuarentena y más.
- Ver la
versión y actualizar la información. Ver la información de licencia y
activar / licencias de actualización.
- Ver
detalles del servidor en el que está instalado CESM.
- Ver la información de contacto de soporte y diferentes
formas de obtener ayuda en CESM.
- Descargar
CESM Agente para la instalación en los puntos finales remotos, para añadir
manualmente a CESM.
- Configurar
el tiempo de vida de los informes generados y retenidos en el servidor de
CESM.
- Seleccione
el idioma en el que deben aparecer las interfaces CESM.
- Configurar
notificaciones automáticas por correo electrónico desde CESM. CESM puede
enviar correos de notificación al administrador en la ocurrencia de
ciertos eventos como los ataques de virus, malware encontrado y más.
- Configurar
servidores CESM 'dependientes'. gestionar de forma centralizada y
configurar cualquier servidor subordinado CESM actualmente la gestión de
puntos finales en una red diferente.
- Configurar
la función de detección automática para identificar los puntos finales no
gestionados en Active Directory.
Asignar y reasignar los puntos finales
a los grupos.
El Área de Políticas: Permite a los
administradores crear, importar y gestionar las políticas de seguridad para
máquinas de punto final.
La zona de cuarentena: Ver todos los
sospechosos programas, archivos ejecutables, aplicaciones y archivos movidos a
cuarentena por el CES y los Cavs instalaciones en los puntos finales
gestionados y administrarlos
La zona Sandbox: Ver todos los
programas no reconocidos, ejecutables, las aplicaciones que actualmente se
ejecutan en el interior del recinto de seguridad en los puntos finales
gestionados y gestionarlos.
Área de Gestión de archivos: Ver todos
los archivos ejecutables que no se identifican como seguros en la comprobación
de la base de datos de archivos seguros certificada Comodo y administrarlas.
El Área de Aplicaciones -Ver todas las
aplicaciones instaladas en los puntos finales y desinstalar aplicaciones no
deseadas.
El área de Procesos: Ver los procesos
que se ejecutan actualmente en todos los puntos finales en tiempo real y
terminar los procesos que se ejecutan en los puntos finales innecesariamente
seleccionados.
El Área de Servicios: Ver los servicios
de Windows, Unix procesos y servicios de Mac que se cargan en todos los puntos
finales gestionados y comenzar o detener los servicios en los puntos finales
seleccionados.
El Área de Informes: Generar resúmenes
altamente informativos, gráficos de la seguridad y el estado de los puntos
finales gestionados.
El Área de Ayuda: Permite al
administrador ver la versión CESM y actualizar información, ver y actualizar
las licencias, y la información de soporte vista.
El Área de Preferencias: Permite a los
administradores configurar los ajustes de idioma, archivos de informes,
notificaciones por correo electrónico y servidores de CESM dependientes y
agentes para descargar CESM para la instalación fuera de línea en puntos
remotos.
La empresa Comodo, innovador mundial y
desarrollador de soluciones de seguridad informática, ha anunciado
recientemente que su solución avanzada Endpoint Protection ha sido galardonada
como la mejor Anti Malware Solución del año 2016 por la Asociación de Premios a
la Excelencia de CiberSeguridad.
Este premio independiente se produce en
colaboración con la Comunidad de Seguridad de Información en LinkedIn,
aprovechando la experiencia de más de 300.000 profesionales de seguridad
cibernética quienes reconocen los mejores productos de seguridad, a sus
trabajadores y organizaciones a nivel mundial.
“Felicitamos a Comodo por ser
reconocidos como el ganador en la categoría Anti Malware de los Premios a la
Excelencia 2016 de seguridad cibernética “, dijo Holger Schulze, fundador de
los 300.000 miembros de la Comunidad de Información de Seguridad de LinkedIn.
Asimismo, el fundador de la comunidad
señaló que “Con más de 430 entradas generales, los premios a la Excelencia en
Ciberseguridad son altamente competitivos y todos los ganadores reflejan lo
mejor de la innovación de productos y la excelencia en el espacio de seguridad
cibernética de hoy”.
Como recomendación general, conviene
que estés pendiente de los resultados que te ofrecen estas herramientas de
seguridad informática para empresas y que lo hagas de forma periódica, ya que
cualquier precaución es poca ante las ciberamenazas.
¿Necesitas ampliar información y claves
sobre seguridad informática? consulte con los ingenieros de Seguridad America o
con sus Expertos comerciales que lo asesoraran en la mejor opción para su
modelo de negocio, tanto a nivel de usuario como desde el punto de vista de
empresa, mejorar la seguridad de tus equipos y dispositivos móviles.
Contáctanos en:
Mail: ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com
Comentarios
Publicar un comentario