CTB-Locker eleva los niveles de ransomware un 165% en el primer trimestre
- Seguridad
El último informe de McAfee Labs, además de detectar un rápido crecimiento del ransomware, también recoge el gran aumento del malware en Adobe Flash.
La proliferación de la familia CTB-Locker y su programa de “afiliación”, una nueva familia de ransomware llamada Teslacrypt y nuevas versiones de CryptoWall, TorrentLocker y BandarChor, han provocado un aumento del 165% en este tipo de programa malicioso que bloquea el sistema informático y pide un rescate por liberarlo. Así lo ha detectado McAfee Labs en el primer trimestre de este año; los laboratorios de seguridad atribuyen el éxito de CTB-Locker a técnicas inteligentes para evadir seguridad de software, la alta calidad de los emails de phishing y a un programa de “afiliación” que ofrece a sus cómplices un porcentaje del pago del rescate a cambio de inundar el ciberespacio con mensajes de phishing CTB-Locker.
También en los tres primeros meses del año se dispararon las muestras de malware en Adobe Flash hasta un 317%. ¿Por qué? Los investigadores apuntan a varios factores: un aumento de la popularidad de Adobe Flash, el retraso del usuario en aplicar parches disponibles de Adobe Flash, nuevos métodos de aprovechar vulnerabilidades de producto, un pronunciado incremento del número de dispositivos móviles que gestionan archivos .swf; y la dificultad para detectar algunos ataques a Adobe Flash. Los expertos están viendo un cambio continuo de foco entre los desarrolladores de exploit kit desde archivos Java y vulnerabilidades de Microsoft Silverlight a vulnerabilidades de Adobe Flash.
Por otra parte, en febrero de 2015 la comunidad de ciberseguridad se percató de los esfuerzos realizados por un equipo secreto llamado Equation Group para atacar firmware HDD y SSD. McAfee Labs evaluó los módulos de reprogramación de firmware en SSDs de forma adicional a la capacidad de reprogramación HDD ya conocida. Una vez reprogramado, el firmware HDD y SSD puede recargar malware asociado cada vez que arranquen los sistemas infectados y el malware persiste incluso si las unidades son reformateadas o el sistema operativo es reinstalado. Una vez infectado, el software de seguridad no puede detectar el malware asociado almacenado en un área oculta de la unidad.
“Hemos monitorizado muy de cerca tanto pruebas de concepto académicas como casos de malware con firmware en estado salvaje o capacidades de manipulación de BIOS, y estos ataques de firmware de Equation Group están clasificados como una de las amenazas más sofisticadas de este tipo. Aunque este tipo de malware ha sido desplegado de forma histórica para ataques muy focalizados, las empresas deben prepararse para la aparentemente inevitable disponibilidad de reencarnaciones de este tipo de amenazas en el futuro”, dice Vincent Weafer, vicepresidente senior de McAfee Labs.
Otros hallazgos del informe de McAfee Labs de mayo son:
- Crecimiento de malware en PC. El primer trimestre registró un leve descenso en malware en PC, un desarrollo que se debe principalmente a la actividad de una familia de adware, SoftPulse que despuntó en el último trimestre de 2014 y regresó a niveles normales en el primer trimestre de 2015. El malware de McAfee Labs “zoo” creció un 13% durante este período y ahora contiene 400 millones de muestras.
- Malware móvil. El número de nuevas muestras de malware móvil incrementó un 49% del último trimestre de 2014 al primer trimestre de 2015.
- Ataques SSL. Los ataques relacionados con SSL continuaron en el primer trimestre de 2015, aunque el número se mantuvo estable con respecto al último trimestre de 2014. Esta reducción es probablemente el resultado de actualizaciones de la biblioteca SSL que han eliminado muchas de las vulnerabilidades atacadas en anteriores trimestres. Los ataques Shellshocks son todavía relevantes desde que surgieron a finales del último año.
- Spam de Botnets. Los botnets como The Dyre, Dridex, y Darkmailer3.Slenfbot superaron a Festi y Darkmailer2 como las principales redes de spam; promocionando farmaceúticas, tarjetas de crédito robadas y “oscuras” herramientas de marketing de redes sociales.