Autor Tema: ¿Sirve tener Antivirus? - Ransomware y Malware 2018  (Leído 378 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Rock Lee

  • Administrador
  • *
  • Mensajes: 1121
    Ingreso: Enero de 2014
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
¿Sirve tener Antivirus? - Ransomware y Malware 2018
« on: 30 Marzo de 2018, 11:00 pm »

Con los tiempos corren y cada vez se descubren nuevas vulnerabilidad o perfeccionan la manera de lograr su objetivo, pero muchos siguen firmes en su convicción de que un antivirus es innecesario, quisiera compartir un poco de información sobre ransomware y malware en este 2018.

El ransomware no depende de que descargues un archivo infectado para encriptarte hasta las ganas de vivir, ¿sabías? La famosa frase de "no uso antivirus porque sé donde me meto" es un bucle de incoherencia cuando se trata de malware en los tiempos corren.

La mayoria del ransomware explota otros sectores de un sistema:

Kits de exploits - Los atacantes maliciosos desarrollan kits de exploits que contienen código ya escrito diseñado para aprovechar vulnerabilidades como EternalBlue. Este tipo de ransomware puede infectar cualquier equipo conectado en red que tenga un software desactualizado. Un día, encendemos el equipo y todos los archivos están bloqueados.

Ingeniería social - Otras formas de ransomware utilizan métodos ya comprobados para infectar los equipos. La ingeniería social (o phishing) hace referencia al acto de persuadir a alguien para que descargue malware desde un archivo adjunto o un vínculo web. Estos archivos suelen llegar en un correo electrónico que parece proceder de una fuente fiable, y el archivo adjunto o el vínculo se asemejan a un formulario de pedido, un comprobante, una factura o un aviso importante. Por su extensión, el archivo parece un PDF o un archivo de Excel o Word, pero, en realidad, es un archivo ejecutable enmascarado. El usuario lo descarga, hace clic en él y comienza la debacle. (Puede que no sea algo instantáneo. Algunos tipos de ransomware se diseñan para que se oculten en el equipo durante un tiempo determinado; de esta forma, es más difícil averiguar exactamente su origen).

Malvertising - El malvertising es otro método de infección por el cual el atacante utiliza una red publicitaria para distribuir el malware. El anuncio falso podría aparecer incluso en sitios web de confianza. Si el usuario hace clic en el vínculo del anuncio, el ransomware se descarga en su equipo.

Malvertising + browser scripts - Algunos anuncios son programados de forma muy inteligente. Tan inteligente que logran atravesar los algoritmos de Google y colarse hasta entre anuncios de Google Ads. Funcionan como malvertising, solo que explotando vulnerabilidades del navegador y descargando payloads (archivos maliciosos) sin la necesidad de hacer click en ellos.

El ransomware no existe solo en Windows. Ya hubo casos en Mac, y hasta en Android mediante apps maliciosos que se colaron en la Play Store de Google.

Y no existe un solo tipo de ransomware. Hay ejemplos que encriptan tu información, otros que encriptan todo el sistema dejandolo inutilizable, y otros que envian copia de tu información al atacante quien amenaza con divulgarlos online.

El antivirus no es la única respuesta y seguro no es la mas avanzada.

Herramientas útiles a la hora de prevenir el ransomware son:
  • Backups al día
  • Imágenes del sistema al día
  • Firewalls interactivos para advertir de las conexiones entrantes y salientes (recuerden que la mayoría del ransomware solo divulga un script y mediante wscript.exe se conecta al servidor y descarga los archivos necesarios). Un firewall en default-deny, es decir, bloquear la conexión si el usuario no especifica la acción, es una muy buena herramienta de protección.
  • Anti-ejecutables. Programas como VoodooShield bloquean en primer y segundo plano cualquier programa que el usuario no permite explícitamente. Literal, al hacer click en un programa, o que un programa se trate de ejecutar en segundo plano, el anti-ejecutable despliega una ventana, bloqueandolo por default, y ofreciendote hacer click para desbloquearlo. Bloquearía el script, y el .exe descargado como payload del servidor.
  • Bloqueador de publicidad en navegador (uBlock Origin)
  • Anti-script en navegador (ScriptSafe, NoScript)
  • Actualizadores de software. Real. Tener un programa que actualice diariamente tu software para que no tengas que recordar hacerlo puede ser un paso gigante a no estar vulnerable.
  • Tener actualizado el sistema operativo. De lo posible tener Windows Update en automático y por al amor a la santísima Virgen de Guadalupe DEJEN DE DESACTIVAR WINDOWS UPDATE!

Configuraciones interesantes para tu máquina o de tus colegas que se infectan con worms del 2008:
  • Desactivar Windows Script Host
  • Desactivar Macros en excel
  • UAC activado
  • Solo elevar ejecutables firmados y validados
  • Desactivar Javascript en adobe Reader
  • Activar vista protegida en adobe Reader


Saludos Familia!

Nota: Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.