La Guía Definitiva del Kit de Explotación Angler para Personas No Técnicas [Actualizado]

BY admin
|

Últimamente se ha hablado mucho del kit de explotación Angler, pero, para la mayoría de la gente, las advertencias no tocan la fibra sensible. Y definitivamente no tienen la culpa.

No todo el mundo tiene tiempo de buscar en Google «Angler exploit kit» y leer 4-5 artículos para entender de qué se trata. Y el hecho de que la mayoría de los artículos sobre el tema sean análisis técnicos no ayuda mucho.

Así que nos propusimos crear la guía definitiva del kit de exploits Angler para personas no técnicas, un artículo que explique lo básico:

  1. Qué son los kits de exploits
  2. Por qué Angler destaca entre los kits de exploits
  3. Sus principales capacidades
  4. Cómo se propaga Angler
  5. Lo que tu antivirus puede( no) hacer sobre Angler
  6. Los últimos avances en la actividad de Angler
  7. Cómo mantener tu sistema a salvo de Angler
  8. Una lista de análisis técnicos para los que quieran profundizar en el tema.

¿Pero por qué necesito saber estas cosas?

Buena pregunta. La respuesta es bastante sencilla: porque tú también eres un objetivo.

Como verás, no hace falta ser rico, famoso, estar en la política o en el deporte para ser víctima de la ciberdelincuencia. Todo lo que tienes que hacer es tener una conexión a Internet y usarla. Eso es todo lo que se necesita, tristemente.

Pero eso no significa que estés indefenso. Al contrario, el hecho de que estés leyendo esto ya te hace más inteligente y consciente de lo que los ciberdelincuentes quieren que seas. Así que sigue desplazándote y dales una sorpresa inesperada.

¿Qué es un kit de explotación?

Empecemos por lo básico.

DEFINICIÓN:
Un kit de explotación es una herramienta que los ciberdelincuentes utilizan para aprovechar las vulnerabilidades de tu sistema e infectarlo con malware.

Básicamente es un trozo de código diseñado con fines maliciosos. Lo que hace es abrir un canal que los ciberdelincuentes pueden utilizar para comunicarse con su sistema y alimentarlo con códigos que incluyen diferentes tipos de comandos.

Como verá, los kits de explotación son un gran negocio en el mundo de los ciberdelincuentes. Aquí es donde empezó todo:

El primer ataque registrado de un kit de exploits se remonta a 2006, en el que se utilizó el kit WebAttacker.
Este fue el primer kit de exploits encontrado en el mercado clandestino ruso. Venía con soporte técnico y se vendía por 20 dólares.

Fuente: Evolution of Exploit Kits by Trend Micro

El kit de explotación está diseñado por el atacante para realizar al menos 3 acciones principales:

  • Escanear su sistema en busca de vulnerabilidades
  • Explotar las vulnerabilidades que descubre descargando código malicioso en su sistema
  • Ejecutar código malicioso en su sistema, lo que básicamente significa que es capaz de instalar malware en su dispositivo.

El kit de explotación suele tener como objetivo los navegadores u otros programas que un sitio web puede invocar a través de cualquiera de sus navegadores (Adobe Reader, Java Runtime Environment, Adobe Flash Player, etc.).

Los kits de explotación incluyen un conjunto de comandos que pueden hacer que un sistema se comporte de forma anormal. Pueden utilizarse para interrumpir la actividad en el software, el hardware y cualquier otra cosa que sea electrónica.

Pero recuerde: esto no significa que, si su sistema está infectado, pueda descubrir que está ocurriendo por su cuenta.

Si pudiéramos ver estas infecciones a simple vista, sería mucho más fácil detenerlas. Pero ese barco zarpó en algún momento de los años 90 y ya no es tan sencillo.

Ejemplo:

Haces clic en un resultado de búsqueda de Google buscando más información sobre una cámara GoPro. Acabas en un blog que ofrece una reseña, así que navegas, pero lo cierras después.

Mientras estás en la web, así es como puede producirse una infección en menos de un segundo:

  • Los atacantes redirigen su navegador a un sitio web malicioso que aloja un kit de explotación (esto se llama un ataque drive-by)
  • El kit de explotación entonces procede a escanear su navegador para ver si hay algún agujero de seguridad
  • Puede que no haya instalado las últimas actualizaciones de Java (asiente en silencio si usted también las odia – no es el único)
  • Como el plugin de Java en su navegador es vulnerable, el agujero de seguridad en él podría dar al kit de explotación una forma de entrar en su sistema
  • Aquí, el kit de explotación puede dejar caer la carga útil, que es la parte del malware que realiza la acción maliciosa
  • La carga útil entonces procederá a aplicar lo que está programado para hacer: recoger tu información financiera (datos de la tarjeta de crédito, contraseñas y nombres de usuario de la banca online, etc.), cifrar tus datos y pedir un rescate u otras acciones, que presentaremos más adelante.

Cómo funciona el angler exploit kit

En pocas palabras, así es como los ciberdelincuentes se aprovechan de los agujeros de seguridad de tu sistema para poder infiltrarse y llevar a cabo sus ataques. No requieren ninguna aportación por tu parte, como usuario y todo el proceso es invisible. Pero, por supuesto, hay más en esta historia.

Usted puede haber notado que en ninguna parte de este proceso he mencionado la protección antivirus de patada en. Hay 2 razones para ello:

  • Desgraciadamente, no todo el mundo tiene instalado un antivirus, lo que convierte a estos usuarios en objetivos andantes
  • Los kits de exploits más utilizados son tan sofisticados que consiguen evitar ser detectados por los productos antivirus. Sigue leyendo para saber por qué.

Hay ciertos kits de exploits que se han hecho infames por sus habilidades. Por ello, se utilizan para distribuir algunas de las formas más sofisticadas de malware.

Lo que pueden hacer estos kits de explotación hará que quieras seguir algunas reglas básicas de seguridad en línea que hemos preparado para ti al final de este artículo. Sólo hay que ver el aumento de nuevos kits de explotación creados en los últimos años.

Evolución de los kits de explotación

Fuente: Evolution of Exploit Kits by Trend Micro

¿Por qué Angler destaca entre los kits de exploits?

Identificado por primera vez en 2013, Angler es uno de los kits de exploits más conocidos utilizados en los ciberataques. En su corta historia, Angler ha ganado tracción por sus características especiales. Ha propagado ransomware, ha estado involucrado en malvertising e incluso en campañas de hacktivismo.

En 2014, fue el segundo exploit kit más utilizado según el Informe de Seguridad Global 2015 de Trustwave. Supuso el 17% de las infecciones, mientras que Nuclear, el kit de exploits más utilizado, generó el 23% de las infecciones.

Desde marzo de 2015, Angler se ha vuelto aún más activo. Nuestro equipo de Heimdal Security, así como muchos otros investigadores han observado el kit de explotación en sus análisis.

fig-1-angler-ek-growth

Fuente: Sophos’s «A closer look at the Angler exploit kit»

Es más, según el Informe de Seguridad de Medio Año de Cisco, en 2015, Angler representó el 40% de la penetración de usuarios en los ciberataques observados hasta ahora.

Como se puede ver claramente, Angler domina el mercado de kits de exploits en este momento y ha sido especialmente activo en los últimos meses.

Kit de exploits Angler por trimestre

Fuente: Trend Micro, «Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks»

Pero estas estadísticas del kit de exploits Angler por sí solas no pintan el panorama completo. Lo importante es el conjunto de factores que hicieron que Angler alcanzara una distribución tan amplia y un uso tan elevado. Las noticias sobre Angler se extienden como un reguero de pólvora en la comunidad de ciberseguridad debido a lo que este kit de exploits puede hacer.

Angler sigue liderando el mercado de kits de exploits en términos de sofisticación y efectividad general.

Las principales capacidades del kit de exploits Angler

Hay muchas razones por las que Angler se sitúa tan alto entre las preferencias de los ciberdelincuentes. Hemos tratado de reunir aquí algunas de ellas, sin entrar en demasiados detalles técnicos. Para aquellos que quieran profundizar en el tema, pueden encontrar una lista de análisis técnicos al final del artículo.

Así que esto es lo que puede hacer el infame kit de exploits Angler:

Puede ser utilizado fácilmente por atacantes que carecen de profundos conocimientos técnicos.

Los atacantes que no son expertos en TI o seguridad pueden comprar el kit de exploits en línea. No tienen que saber cómo crear el kit ellos mismos y aún así pueden cosechar los beneficios utilizando el kit.

A veces, los kits de exploits como Angler incluso vienen con una interfaz fácil de usar. Esto permite al atacante seguir la evolución de la campaña de malware y ajustar la configuración para obtener resultados más eficaces.

Apuesto a que no creías que fuera tan fácil…

Se vende en los círculos de ciberdelincuentes y está al alcance de cualquiera.

El cibercrimen como servicio no es nuevo, y hace tiempo que se habla de él. Kits de explotación como Angler se venden en los círculos cibercriminales, a buen precio. Sophos especula con la posibilidad de que exista un modelo de pago de «pago por instalación», en el que los creadores de Angler cobran a los atacantes sólo por las infecciones exitosas de malware.

Para hacer el kit de explotación aún más atractivo, sus creadores incluso lo precargan con vulnerabilidades, haciendo que el kit esté listo para ser desplegado.

Puede ser programado para realizar un gran número de acciones.

Angler es un kit de explotación muy versátil. Los ciberdelincuentes pueden instruir el kit para:

  • instalar malware (financiero – Tinba, Vawtrak, ransomware – CryptoWall, Teslacrypt, Torrentlocker)
  • recopilar datos confidenciales (nombres de usuario, contraseñas, detalles de tarjetas, etc.) y subirlos a los servidores que controlan
  • o vincular el sistema infectado a una red de bots (un «ejército de zombis» de ordenadores utilizados para realizar ataques adicionales).

Por ejemplo, estos son los tipos de malware que Angler instaló en sistemas vulnerables mediante ataques drive-by en abril de 2015:

familias de malware instaladas por Angler en abril de 2015

Fuente: Sophos, «A closer look at the Angler exploit kit»

Se centra en las vulnerabilidades del software desactualizado.

Solo este factor es una enorme razón por la que Angler tiene tanto éxito en la instalación de malware en los PC de los usuarios.

¿Cuántas veces has ignorado una actualización de una de tus apps o de tu sistema operativo?

Todos lo hemos hecho. Millones de internautas lo siguen haciendo a diario, por una serie de razones que ahora no son importantes.

Lo que SÍ es importante es que Angler se aprovecha de todos esos agujeros de seguridad de tu sistema. Y hay muchos para elegir!

Como dijo una vez un especialista en ciberseguridad, los ciberdelincuentes sólo tienen que encontrar una vulnerabilidad, pero nosotros tenemos que parchearlas todas.

¡Integra nuevas vulnerabilidades rápidamente!

La popularidad de Angler aumentó porque sus desarrolladores son capaces de añadir exploits para nuevas vulnerabilidades muy rápidamente. Cuando una vulnerabilidad de Día Cero llega al mercado, Angler es de los primeros en integrarla, especialmente si hablamos de Flash.

Por ejemplo, estos son los vectores de malware más comunes identificados por Cisco en la primera mitad de 2015:

vectores de malware más comunes

Fuente: Cisco 2015 Midyear Security Report

Flash ya tiene una de las peores reputaciones en cuanto a vulnerabilidades de software. Así que, por supuesto, el equipo que está detrás de Angler se fija en él en primer lugar, porque Flash ofrece muchos agujeros de seguridad que explotar.

Debido a que es tan adaptable, los creadores pueden añadir nuevas vulnerabilidades a Angler, así como eliminar las existentes, muy rápidamente. Esto lo convierte en un producto de primera en los círculos de ciberdelincuentes.

Intenta evadir la detección en cada etapa de la infección.

La innovación es clave para Angler y su desarrollo. Sus creadores parecen tomárselo muy en serio, ya que adaptan constantemente sus tácticas para evitar ser detectados por los productos de seguridad, especialmente los antivirus.

En resumen, así es como lo hace (puede ser un poco técnico, pero no demasiado):

Para evadir el filtrado de reputación, cambia rápidamente de nombre de host y de número de IP, además de utilizar el shadowing de dominio para aprovecharse de los dominios legítimos. Para evadir la detección de contenidos, los componentes involucrados en Angler son generados dinámicamente para cada víctima potencial, utilizando una variedad de técnicas de codificación y encriptación. Por último, Angler utiliza trucos de ofuscación y anti-sandbox para frustrar la recogida y el análisis de muestras.

Fuente: Sophos, «A closer look at the Angler exploit kit»

Los ciberdelincuentes que están detrás de Angler pensaron en cada pequeño detalle cuando diseñaron este kit de explotación. Por eso tarda tanto en ser detectado y por eso su antivirus no puede protegerle de las infecciones de malware entregadas por Angler.

Aquí tiene más información sobre el tema, a continuación.

Puede entregar infecciones de malware «invisibles»

Angler se utiliza a menudo en ataques drive-by, de los que hablamos al principio del artículo.

Sobre estos ataques:
Los ataques drive-by ocurren cuando aterrizas en una página web comprometida, donde los ciberdelincuentes han inyectado código malicioso. El usuario puede ser redirigido a otra página web, que aloja el kit de explotación, o recibir una advertencia en la que debe hacer clic para ignorarla.

En ambos casos, el ataque no es en absoluto evidente. Sobre todo porque la protección antivirus no entra en acción. Por eso, los ataques drive-by son de los peores y la mayoría de los usuarios de Internet no tienen ni idea de que existen o de que pueden producirse.

Además, Angler puede realizar infecciones «sin archivos», lo que significa que, durante todo el proceso, los atacantes no descargan ni un solo archivo en su PC. Los productos antivirus tradicionales analizan sus archivos para detectar infecciones de malware. Pero si no hay ningún archivo que escanear, entonces simplemente concluye que tampoco hay infección.

Otro factor que contribuye al éxito de Angler es la carga útil cifrada que utiliza. La carga útil representa los comandos del atacante. Para que el antivirus pueda bloquear la infección, primero tiene que desencriptar la carga útil. Luego tiene que analizarla, ponerla en cuarentena y luego eliminarla.

Mientras el antivirus se esfuerza por hacer todo eso, el malware se instala en el sistema y ya está extrayendo información o haciendo lo que se le ha ordenado.

Por eso su producto antivirus tradicional puede tardar hasta unos días en avisarle de que hay una infección en su sistema. Para entonces, sus datos ya estarán en manos de los ciberdelincuentes. O encriptados y esperando a que pagues cientos de dólares para desencriptarlos.

tiempo de detección de una infección de ek anglertiempo de detección de una infección de ek angler

Fuente: Cisco 2015 Midyear Security Report

Como muestra este ejemplo del 2015 Trustwave Global Security Report:

Incluso incluyeron un Zero Day propio para Adobe Flash (CVE-2015-0313/CVE-2015-0311) que pasó desapercibido durante dos meses.

Sus tácticas de distribución hacen que sea difícil de bloquear.

Los ciberdelincuentes saben que la clave para pasar desapercibidos es moverse rápido.

Así es como consiguen propagar Angler y mantener sus identidades en el anonimato al mismo tiempo:

  • Buscan servidores web que puedan comprometer.
  • Básicamente hackean los sitios web alojados en esos servidores.
  • Una vez que tienen el control del servidor, crean cantidades masivas de subdominios cargados con Angler
  • Envían a las víctimas a través de campañas de spam o de malvertising a esos subdominios, donde se infectan con Angler.
  • Siguen consolidando su infraestructura constantemente (leer más sobre la infraestructura de Angler).

El problema es que estos subdominios se crean en volúmenes enormes, tienen una vida útil muy corta y son aleatorios. Al no tener un patrón que seguir ni proporcionar el tiempo necesario para ser analizadas, estas tácticas de infección son muy difíciles de bloquear.

El kit se camufla como páginas web legítimas, lo que dificulta su bloqueo sin bloquear inadvertidamente otras aplicaciones legítimas.

Fuente: 2015 Trustwave Global Security Report

Por ejemplo, estas son algunas cifras de las campañas de Dridex que se desarrollaron este año y que fueron analizadas por Cisco.

  • La campaña de malware se produce rápidamente (9h), antes de que los antivirus tradicionales puedan reaccionar
  • Se entregan múltiples campañas en este plazo tan corto (850)
  • Los atacantes utilizan macros de Microsoft para entregar el malware financiero
  • Los atacantes modifican rápidamente el contenido de la campaña, como los agentes de usuario, los archivos adjuntos y los referentes, y vuelven a lanzar la campaña.

Fuente: Cisco 2015 Midyear Security Report

Y el ciclo se repite una y otra vez.

Utiliza las credenciales hackeadas de las violaciones de datos para extenderse aún más.

Después de todas las violaciones de datos que han sido noticia tantas veces, millones de credenciales comprometidas acabaron en la dark web. Por ejemplo, si su correo electrónico estuvo involucrado en una de las recientes violaciones, lo más probable es que esté a la venta en algún mercado de la web oscura. Junto con tu nombre de usuario, contraseña e incluso los datos de tu tarjeta. Y hay mucha más información que los ciberdelincuentes pueden reunir, basándose en estas pistas.

Por supuesto, los ciberdelincuentes que están detrás de Angler han hecho uso de estas credenciales, especialmente de los registros DNS comprometidos.

Sólo una breve información:
DNS significa Sistema de Nombres de Dominio y controla la configuración del sitio web y del correo electrónico de un nombre de dominio. Cuando se violan los registros DNS, los atacantes obtienen acceso a ese sitio web y a su contenido, así como a la dirección de correo electrónico asociada a ese dominio.

Al utilizar credenciales y registros DNS hackeados, los ciberdelincuentes han logrado aumentar sustancialmente su alcance. Al mismo tiempo, también utilizaron esto para cubrir sus huellas y permanecer en el anonimato y evitar ser descubiertos por las fuerzas del orden.

Utiliza páginas de aterrizaje creíbles y bien construidas para entregar el exploit.

Otro factor esencial que ayuda a que una campaña de malware llegue al mayor número de víctimas posible es la autenticidad. Si la página web en la que aterrizan las víctimas parece legítima, es más probable que el usuario navegue y haga clic en las cosas.

Así que los atacantes se han propuesto crear páginas falsas que parezcan lo más reales posible. Y con todo el mal diseño web que hay, ni siquiera es tan difícil pasar desapercibido.

Los investigadores de Cisco sugieren que los autores del kit de exploits pueden estar basándose en la ciencia de los datos para
crear páginas de aterrizaje generadas por ordenador que se parezcan a las páginas web normales y engañen fácilmente a los usuarios.
La publicidad maliciosa (publicidad online maliciosa) es probablemente el motor clave para un flujo constante de tráfico web hacia estas páginas.

Fuente: Cisco 2015 Midyear Security Report

Es conocida por ser un eficaz vector de infección de malware.

Aunque no hay cifras definitivas que lo confirmen, se dice que Angler tiene una tasa de «conversión» muy efectiva.

Esto podría ser parte de su éxito y una razón por la que tantos atacantes eligen utilizar Angler en sus campañas. Por supuesto, las otras partes que contribuyen a este alto uso se enumeran más arriba.

Como siempre, es una mezcla de elementos lo que hace el trabajo. Por desgracia, esta vez se hace en detrimento de los usuarios de Internet de todo el mundo.

¿Cómo se propaga Angler?

Angler puede ser uno de los kits de exploits más avanzados que existen, pero eso no es suficiente. Para que se convierta en el «más buscado», debe ser capaz de llegar al mayor número posible de víctimas potenciales.

Entonces, ¿cómo difunden Angler los ciberdelincuentes para que los internautas como tú y yo nos infectemos?

Los atacantes se basan en 3 tácticas principales para llegar al mayor número de PCs posible:

  • Publicidad maliciosa
  • Inyección de código malicioso
  • .

La publicidad maliciosa es cuando los ciberdelincuentes utilizan la publicidad en línea para distribuir el malware. Se infiltran en las redes de distribución de contenidos que se encargan de desplegar la publicidad online en los sitios web. Los servidores que trabajan para ello suelen ser bastante vulnerables, por lo que no es un reto para los atacantes entrar.

Una vez dentro, pueden infectar todos los banners de la red con código malicioso, en este caso, redirecciones que llevan a páginas de aterrizaje de Angler. Así, sitios web tan grandes como The Huffington Post, Mashable u otros podrían estar poniendo en peligro a sus visitantes sin saberlo.

Al utilizar la publicidad maliciosa, los ciberdelincuentes pueden llegar a un gran número de usuarios de Internet a la vez. Estamos hablando de millones¡

Y hay otra forma en la que Angler puede entrar en su sistema: los iFrames. Esta es una forma de insertar contenido de otro sitio web en el sitio web que estás visitando. Así, podrías estar leyendo un artículo en The New York Times y la página podría albergar contenido malicioso de otro sitio web. Este tipo de contenido malicioso también redirigirá a los usuarios a las páginas del kit de explotación Angler, donde se activará la infección.

Por supuesto, también está la situación en la que los atacantes deciden inyectar código malicioso en varios sitios web. Este código también alimentará el tráfico a las páginas web crea para difundir Angler y las consiguientes infecciones de malware.

Todas estas 3 tácticas se basan en aprovechar la confianza que los visitantes tienen en los grandes sitios web. Los ciberdelincuentes también correlacionan este factor de confianza con la capacidad del kit de explotación para no ser detectado mientras se produce la infección. Es una combinación terrible que engaña a demasiadas víctimas que muy a menudo desconocen la existencia de estos peligros.

¿Pueden los antivirus protegerme de Angler?

Sentimos decirlo, pero no.

Todavía puede pensar que la protección antivirus es una solución para todos sus problemas de seguridad, pero es sólo un mito.

Los antivirus tradicionales no pueden proporcionar una protección del 100%. Ninguna solución de seguridad puede hacerlo, por eso se necesita una protección multicapa.
Ya he explicado antes por qué los antivirus son en su mayoría ineficaces contra los kits de explotación más avanzados. Su capacidad para evitar la detección es asombrosa.

Eso no significa que no se necesite un antivirus. De hecho, es una provisión de seguridad básica que tienes que hacer. Pero necesitas algo más que un antivirus para mantenerte a salvo de Angler y otros kits de explotación similares.

Aquí tienes más pruebas:

Una de las principales razones por las que Angler ha sido tan penetrante y ha podido infectar a tantos usuarios es la falta de cobertura antivirus. Durante el mes de julio, Talos observó casi 3.000 hashes únicos asociados a los exploits. Esos datos se consultaron con VirusTotal y se descubrió que sólo el 6% de los hashes estaban en VirusTotal. De ese 6%, la detección media era baja, ya que normalmente menos de diez motores AV lo detectaban.

Fuente: Cisco Talos, «Angler exposed»

Desarrollos recientes

Aquí hay una gran mejora reciente que demuestra que Angler está a la vanguardia de la innovación en todo lo relacionado con los kits de exploits. A principios de diciembre, nuestro equipo de Heimdal Security detectó que Angler distribuía CryptoWall 4.0, la versión más reciente del infame ransomware.

Los creadores de Angler integraron el payload de CryptoWall 4.0 menos de un mes después de que lo detectáramos por primera vez. Dada la complejidad de ambos elementos, un mes es realmente poco tiempo para su adopción.

No se detiene aquí, por supuesto. A principios de diciembre de 2015, vimos cómo varios servidores nuevos pasaban a formar parte de la red de distribución de Angler. La configuración del «crimen como servicio» incluye varios dominios comprometidos. Aquí hay una selección que ha sido saneada por Heimdal Security:

carla campbell co
evancampbell me
upuff us
aero station us
idtsolutions us
linnosnes com
cherhawaii com
hilodayspa com
miracle-touch massage com
evancampbell co
ecupidonline.us
theflightdeck us
bugado com
stock real money com
jerramconsulting com
oldtruckpartsonline com

Más de 100 dominios fueron bloqueados en nuestra base de datos en una sola mañana, porque estaban siendo explotados para entregar CryptoWall 4.0. Además de eso, Angler también se utilizó para vincular las máquinas infectadas a una red de bots, de modo que puedan utilizar sus recursos para alimentar nuevos ataques.

También en diciembre de 2015, observamos una fuerte actividad en el kit de exploits Angler. En este caso, se utilizaron dos servidores para entregar ataques drive-by a través de sitios web infectados. Aquí están sus detalles:

185.46.8 218
195.64.155 168

De nuevo, se bloqueó un nuevo lote de dominios comprometidos para proteger a los usuarios de Heimdal. Puedes ver algunos de ellos a continuación:

parques galácticos com
quehacerescrazycousin com
americanoutlawelixirs com
rocket solar
galactic Energy
rocket voyage
bigsoya com
nyratwo com
hydronest com
seabiofuels com
alpvideophoto com
rocket worldwide com
galactic power Energy
rocket vacations
levoradikal tk
elginjohn com
seberevolta com
ozonitewater com
miamilawgroup com

LATER EDIT :

Detectamos nuevos movimientos en el kit de exploits Angler el viernes 11 de diciembre de 2015, , en los servidores utilizados para plantar CryptoWall 4.0 en PCs obsoletos con Windows.

Esta nueva campaña utiliza métodos idénticos a la que expusimos el 2 de diciembre, cuando identificamos por primera vez a Angler propagando CryptoWall 4.0. Además, parece que la campaña actual también está coordinada por el mismo grupo de ciberdelincuentes, que ahora tienen como objetivo las versiones desactualizadas de Adobe Flash y Adobe Reader o Acrobat Reader.

Como es específico para el kit de exploits Angler, la infección se entrega a través de páginas web comprometidas que trasladan al usuario a una serie de dominios creados para este fin malicioso.

Aquí están los nuevos servidores que se utilizan para propagar CryptoWall 4.0 a través de Angler, que, como se puede ver, se propagan en Rusia, Francia y EEUU:

5101.67 101 (PIN DATACENTER-NET, Rusia)
51254162 81 (OVH, Francia)
209133214 46 (Noc4hosts Inc, EE.UU.)

Como se ha mencionado anteriormente, nuestros investigadores observaron que el tráfico malicioso se dirige desde estos servidores utilizando un gran número de dominios cuyo único objetivo es realizar los ataques drive-by. He aquí una pequeña muestra de estos dominios:

happy keys house com
youniquenatasha com
lovingallthishair com
millenniumsurfaces com
Team doyle net
urbansignsusa net
youregonnaneedabiggerboat net
Clergy-women biz
direktologistics com
abemc net
aircontrols net
clergywoman info
Clergy-women mobi

El proceso de infección también implica el uso de un montón de subdominios asociados a los dominios presentados anteriormente. Estos representan la plataforma principal que el exploit kit Angler utiliza para distribuir CryptoWall 4.0 en ataques drive-by.

A pesar de que la campaña tiene más de 2 días, la detección por parte de los antivirus es todavía muy baja: sólo 7 de las 56 soluciones antivirus listadas en VirusTotal pueden actualmente identificar y bloquear el ataque.

Nueva campaña del exploit kit Angler 11 de diciembre de 2015

Por favor, haz clic aquí para ver la lista completa de las tasas de detección en el momento de la campaña.

Talos de Cisco compartió algunas cifras extraídas de su inteligencia que muestran el impacto que Angler tiene en sus víctimas. Esto se debe especialmente a que Angler es un vector de infección favorito para el ransomware. Cuando se acopla, la infección tiene posibilidades de éxito casi seguras.

La víctima se queda con sus datos encriptados y una única forma de recuperarlos: pagar el rescate. Por supuesto, si tienen una copia de seguridad, no hay necesidad de reflexionar sobre si pagar o no pagar. Pero si no hay copia de seguridad…

Fuente: Cisco Talos, «Angler exposed»

ingresos de Angler talosintel

Por supuesto, las campañas de distribución de Angler tienen una detección antivirus muy baja, por lo que no es ningún secreto que lo más probable es que estés expuesto si no sigues algunas reglas básicas de seguridad.

¿Cómo puedo mantener mi sistema protegido de Angler?

Hemos hablado de cómo Angler puede integrar las vulnerabilidades de software más nuevas del mercado. Pero no son las únicas que persiguen los ciberdelincuentes.

De hecho, Angler puede buscar y explotar agujeros de seguridad que ya han sido parcheados por los fabricantes de software. Si los usuarios no aplican las actualizaciones, las vulnerabilidades siguen ahí. Y todos sabemos que muchos de nosotros nos quedamos atrás en esta práctica clave de seguridad.

La protección del kit de explotación es una configuración relativamente sencilla. No necesitas conocimientos técnicos para mantenerte a salvo de Angler y el malware que distribuye. He aquí una lista de comprobación útil para ayudarle a empezar:

Asegure su navegador

Muchas de las infecciones distribuidas por Angler aprovechan una vulnerabilidad en el navegador del usuario. Hay varias formas en las que pueden comprometer tu sistema: a través de agujeros de seguridad en los plugins, porque no has instalado la última versión, etc.

¡Pero hay una forma de asegurarse de que tu navegador no te está exponiendo a ciberataques! Sólo tienes que seguir los pasos de la:

Guía definitiva para asegurar tu navegación online: Chrome, Firefox e Internet Explorer

Mantén tu software actualizado

Como has podido comprobar, las apps más usadas del mundo son también las más vulnerables, tanto si hablamos de Flash como de Chrome.

La confianza está en que es sencillo cerrar un montón de agujeros de seguridad en tu sistema simplemente aplicando actualizaciones con regularidad. Y lo mismo ocurre con tu sistema operativo, por supuesto.

Echa un vistazo a estas estadísticas para ver por ti mismo por qué no deberías ignorar nunca más una actualización:

8 aplicaciones de software vulnerables que exponen tu ordenador a ciberataques

Usa antivirus

Puede que el antivirus no sea muy eficaz contra los kits de exploits avanzados o los ataques de ransomware, pero sigues necesitándolo. Es una línea básica de defensa y definitivamente deberías utilizarlo.

Si estás perdido entre demasiadas opciones, puedes utilizar la guía que hemos elaborado para ayudarte a elegir el mejor antivirus para tu sistema.

¿Cuál es el mejor antivirus para mi PC? Una guía de investigación paso a paso

Protege tu sistema del ransomware con las herramientas adecuadas

Entonces, si el antivirus no puede protegerme de Angler o del ransomware, ¿qué puede hacerlo?

Hay herramientas que tienen la capacidad de bloquear Angler o ransomware como CryptoWall para que no lleguen a tu sistema. Actúan de forma proactiva y escanean su tráfico de Internet para bloquear el acceso a sitios web potencialmente peligrosos.

Puede leer más sobre estas herramientas en esta práctica lista que hemos creado exactamente para este propósito:

¿Ha muerto el antivirus? Meet The NextGen Anti-Hacking Tools

Haga una copia de seguridad de sus datos

Hacer una copia de seguridad de los datos no es sexy. A la mayoría de la gente le parece aburrido y que requiere mucho tiempo y no ven realmente el beneficio. Pero no podemos dejar de recalcar lo importante que es.

Tener una copia de seguridad de tus datos puede sacarte de un apuro en cualquier momento!

Si tu ordenador se infecta con un ransomware, no tienes que pagar el rescate. Si tienes que hacer un borrado del sistema para eliminar una infección, no tienes por qué perder tus archivos. Si ocurre algo, seguirás teniendo acceso a tus documentos importantes, fotos y otros medios.

Sin embargo, ten en cuenta que una copia de seguridad basada en la nube no es suficiente. Algunos tipos de ransomware pueden cifrar los datos de tu Google Drive si está sincronizado en el ordenador infectado.

Así que haz una copia de seguridad de tus datos AHORA y luego hazla a menudo.

¿No sabes por dónde empezar?

Tenemos justo lo que necesitas:

Cómo hacer una copia de seguridad de tu ordenador – los mejores consejos en un solo lugar

Pero recuerda: todas estas guías sólo funcionan si las aplicas. Si lo haces una vez, tendrás tu propia configuración de seguridad online que podrás mejorar y modificar a tu gusto.

Análisis técnicos: echa un vistazo más de cerca al kit de exploits Angler

Para aquellos que tengan un poco de apetito por más conocimientos relacionados con Angler, hemos redondeado algunos de los análisis técnicos que muestran cómo funciona este particular kit de exploits.

  • Sophos: «Una mirada más cercana al kit de explotación Angler»
  • IXIA: «Angler Exploit Kit Deobfuscation and Analysis»
  • SANS Edu: «El kit de exploits Angler impulsa una nueva variante de ransomware»
  • Blog de los laboratorios de seguridad de Websense: «Angler Exploit Kit – Operando en la vanguardia»
  • Trend Micro: «Evolución de los Exploit Kits»
  • Blog de Cisco: «Threat Spotlight: Angler Lurking in the Domain Shadows»
  • Cisco Talos: «Angler exposed.»

Conclusión

Espero que ahora tengas una mejor comprensión de lo que Angler y otros kits de explotación pueden hacer. Es un gran desafío mantenerse al día con la seguridad en línea y lo sé por mi propia experiencia. Pero también es muy importante.

Internet ofrece algunas oportunidades excepcionales para aprender, trabajar y crecer como persona. Pero el «paquete» también incluye algunas amenazas que a veces son difíciles de entender.

Así que espero haber conseguido parte de mi misión hoy aquí, que es ayudarte a ver las cosas con más claridad y a entender realmente por qué la seguridad en línea debe estar en tu lista de cosas por hacer. La lista es larga; yo también tengo una pila de ellas. Pero no puedo permitirme que mi trabajo y mis pasiones se vean interrumpidos por los ciberdelincuentes.

¿Y tú?

Heimdal™ Threat Prevention Home se asegura de que ese enlace sea seguro.
Tus padres y amigos harán clic en cualquier enlace sospechoso, así que asegúrate de que estén protegidos.
Heimdal™ Threat Prevention Home protección antimalware y ransomware heimdal security
Heimdal™ Threat Prevention Home proporciona:Actualizaciones de software automáticas y silenciosasProtección inteligente contra el malwareCompatibilidad con cualquier antivirus tradicional.

¡Asegure su navegación en línea!

Consiga Threat Prevention Home

.