Cuando todavía no se han apagado los ecos de los ataques provocados por el ransomware WannaCry, que entre otras empresas afectó a Telefónica e incluso se cebó con la red del Sistema Nacional de Salud de Reino Unido, la firma de seguridad Proofpoint ha alertado en su blog de un nuevo malware que aprovecha la misma vulnerabilidad, se denomina Adylkuzz y su finalidad es utilizar los equipos que caen víctimas de su ataque para minar una criptomoneda llamada Monero.
Según el analista de Proofpoint Kafeine, este ataque es anterior al de WannaCry, pero ha pasado prácticamente desapercibido por sus efectos, que cifran el contenido del equipo, solicitando un rescate a cambio de la clave que permite descifrarlos. Al parecer, las primeras muestras de su actividad se remontan al 2 de mayo, e incluso podrían haber comenzado antes, el 24 de abril. Y es muy posible que se trate de un ataque de mayor envergadura y alcance que el de WannaCry, que se estima que ha afectado a unos 200.000 ordenadores en más de 150 países.
Como WannaCry, este ataque utiliza para actuar el exploit conocido como Eternal Blue y la puerta trasera DoublePulsar. Ambas herramientas de hackeo fueron desarrolladas por la NSA y liberadas online por un grupo que se hace llamar ShadowBrokers.
Según Kafeine, los efectos de Adylkuzz han sido particularmente eficaces en las redes que aún no habían instalado las actualizaciones que Microsoft lanzó para parchear las vulnerabilidades críticas, a finales de marzo. Los equipos infectados en apenas 20 minutos ya pasan a formar parte de una botnet de minado de criptomoneda.
Lo primero que hace este malware para actuar en un equipo es infectar con Double Pulsar los ordenadores a través de Eternal Blue. Entonces, este backdoor descarga y ejecuta automáticamente Adylkuzz. Una vez hecho esto, el malware detendrá cualquier instancia suya que haya en ejecución, lo que dificulta su detección, además de bloquear determinadas comunicaciones para evitar una infección mayor.
A continuación detecta la dirección IP del equipo infectado y descarga las instrucciones de minado, el programa encargado de hacerlo y varias herramientas de limpieza. Desde entonces, uno de los servidores encargados de dar las órdenes a los ordenadores afectados y de controlar su funcionamiento (en Proofnet han encontrado más de 20), se encarga de todo.
CÓMO SE ENTERA EL USUARIO AFECTADO
Los usuarios notarán que pasan cosas extrañas en su equipo. Para empezar, el ordenador afectado perderá acceso a los recursos de red y el sistema funcionará más lento y peor. Según Kafeine, muchos de los afectados pensaron que habían sido atacados por WannaCry cuando en realidad lo estaban por Adylkuzz. Y que puede que gracias a este, que como hemos visto se encarga de bloquear ciertos recursos de red para evitar más infecciones, WannaCry no se haya extendido tanto.
Segun ha declarado Alfonso Franco, CEO de All4Sec, sobre este ataque, “realmente el ataque Adylkuzz es anterior a WannaCry y funciona de forma “parecida”, pero algo más inteligente, ya que lo que hace además de contaminar la red es evitar que otros malware (incluido WannaCry) puedan anticiparse e infectar ellos mismos los equipos“. Franco ha señalado también que “lamentablemente es algo que parece que va a suceder mucho en estos días, porque el exploit relativo a la vulnerabilidad Eternal Blue se hizo público el 9 de mayo y eso va a permitir que aparezcan mucho imitadores“. Para él, “WannaCry ha sido solo un test para probar el impacto y ver lo que podía pasar. Incluso me atrevería a decir que posiblemente lo lanzaron o ‘se les escapó’ antes de tiempo. Lo que pueda venir ahora, que han probado que la combinación “ransomware + Worm “ es totalmente rentable, es como para preocuparse“.
Por otra parte, Steve Grobman, CTO de McAfee, ha querido explicar algunas cuestiones relacionadas con la aparición de esta nueva amenaza: “WannaCry y Adylkuzz son los últimos ejemplos de cómo el análisis de riesgo de ‘parchear o no parchear’ debe ser una cuestión replanteada dentro de las organizaciones de todo el mundo. Las empresas nunca deberían llegar a la conclusión de que la ausencia de un gran ciberataque es sinónimo de una defensa efectiva. Wannacry y Adylkuzz han confirmado la importancia que tienen los parches o actualizaciones de seguridad en la construcción y mantenimiento de las defensas efectivas, y por qué la planificación de parches para mitigar las vulnerabilidades del entorno deben convertirse en una prioridad”.
“Siempre que haya un parche que deba ser aplicado, existe un riesgo asociado, tanto si lo aplicamos como si no. Los responsables IT necesitan entender cuáles son esos niveles de riesgo y luego tomar la decisión que minimice el peligro para su propia organización. El hecho de que haya compañías que, sin haber aplicado parches de seguridad, no han sufrido ningún ataque que pueda aprovechar estas vulnerabilidades, genera la percepción de que está bien retrasar la aplicación de estos parches”.
“Una de las principales diferencias entre Adylkuzz y WannaCry es que Adylkuzz puede permanecer un tiempo sin ser detectado y seguir actuando siempre y cuando sea posible maximizar la cantidad de tiempo que una máquina es usada para data mining. Sin duda, esto es un aliciente para que los cibercriminales de Adylkuzz causen daños mínimos mientras pasan desapercibidos, mientras que WannaCry alerta al usuario que se ha producido una vulneración y provoca la destrucción masiva de los datos de una plataforma”.
Las versiones más recientes de los productos de Comodo Endpoint Security Manager (CESM) Professional Edition
Está diseñado para ayudar a los administradores de redes corporativas desplegar, gestionar y controlar el software Comodo Endpoint Security en equipos en red.
Protección total para los ordenadores conectados en red.
El más potente e intuitiva para todo uso Endpoint Manager en su clase, CESM PE logra no sólo la seguridad de sus estaciones de trabajo, ordenadores portátiles y netbooks, pero ahora también maneja su estado del sistema. Una vez instalado a través de los asistentes simplificados, los puntos finales son rápida y eficiente descubrieron a través de la consulta de Active Directory o rango de direcciones IP. A continuación, se pueden agrupar según sea necesario y políticas administrativas aplicadas. CESM volverá a aplicar automáticamente esas políticas a los puntos finales no cumple con sus configuraciones necesarias.
Más eficiente, eficaz y una administración más fácil.
Esta capacidad de desplegar y gestionar de forma centralizada las políticas de seguridad a una red que está protegido con una suite de seguridad probada y totalmente integrado, puede ahorrar miles de horas-hombre por año. el tiempo de administración que de otra manera se perdería a problemas de configuración e interoperabilidad proveedor repetitivas puede ser re-dirigida hacia los intereses comerciales núcleo más productivas y rentables. Además, debido a las políticas de CESM se pueden implementar de inmediato en todos los nodos protegidos, los administradores pueden responder más rápidamente a proteger una red completa contra las últimas amenazas, a las cero horas. La interfaz intuitiva de CESM permite acceder rápidamente a los asistentes de tareas, importante red y los datos relacionados con tareas y recursos de apoyo.
Estructura de guía.
El tablero de instrumentos: Muestra consolidadas, "en un solo vistazo 'resumen estadístico de la información vital, como estados de puntos finales administrados, instalaciones de productos de seguridad y los archivos identificados como amenazas potenciales.
El Área de Informática: desempeña un papel clave en la interfaz de CESM Consola administrativa proporcionando los administradores del sistema con la capacidad de importar, ver y administrar ordenadores conectados en red, crear grupos de punto final y aplicar políticas de seguridad adecuadas:
- Agregar equipos / importación de CESM para la gestión centralizada.
- Crear grupos de equipos para una fácil administración.
- Aplicar políticas de seguridad para puntos finales o grupos individuales.
- Ver los detalles completos de los criterios de valoración que son administrados por CESM.
- Gestionar elementos en cuarentena, las aplicaciones actualmente en ejecución, procesos y servicios en puntos remotos.
- La gestión de las unidades de almacenamiento y en los puntos finales.
- Ejecutar análisis antivirus bajo demanda en los puntos finales o grupos individuales.
- Iniciar la sesión de escritorio remoto compartido con los extremos remotos.
- Generar informes granulares para puntos finales agrupados.
- Ver y modificar la configuración de cualquier política - incluyendo el nombre, la descripción, los componentes de productos de seguridad, sistemas destino y si la política debe permitir la configuración local.
- Crear nuevas políticas mediante la importación de configuración desde otro ordenador o mediante la modificación de una política existente.
- Aplicar políticas a grupos enteros de punto final.
- reportes detallados pueden ser solicitados por cualquier cosa, desde una sola máquina hasta toda la red gestionada.
- Cada tipo de informe es altamente personalizable según las necesidades del administrador.
- Los informes se pueden exportar a los formatos .pdf y .xls para la impresión y / o distribución.
- Los informes disponibles incluyen la configuración de punto final de productos de seguridad, cumplimiento de las políticas, las estadísticas de malware, delta política, registros de productos de seguridad, los elementos en cuarentena y más.
- Ver la versión y actualizar la información. Ver la información de licencia y activar / licencias de actualización.
- Ver detalles del servidor en el que está instalado CESM.
- Ver la información de contacto de soporte y diferentes formas de obtener ayuda en CESM.
- Descargar CESM Agente para la instalación en los puntos finales remotos, para añadir manualmente a CESM.
- Configurar el tiempo de vida de los informes generados y retenidos en el servidor de CESM.
- Seleccione el idioma en el que deben aparecer las interfaces CESM.
- Configurar notificaciones automáticas por correo electrónico desde CESM. CESM puede enviar correos de notificación al administrador en la ocurrencia de ciertos eventos como los ataques de virus, malware encontrado y más.
- Configurar servidores CESM 'dependientes'. gestionar de forma centralizada y configurar cualquier servidor subordinado CESM actualmente la gestión de puntos finales en una red diferente.
- Configurar la función de detección automática para identificar los puntos finales no gestionados en Active Directory.
Asignar y reasignar los puntos finales a los grupos.
El Área de Políticas: Permite a los administradores crear, importar y gestionar las políticas de seguridad para máquinas de punto final.
La zona de cuarentena: Ver todos los sospechosos programas, archivos ejecutables, aplicaciones y archivos movidos a cuarentena por el CES y los Cavs instalaciones en los puntos finales gestionados y administrarlos
La zona Sandbox: Ver todos los programas no reconocidos, ejecutables, las aplicaciones que actualmente se ejecutan en el interior del recinto de seguridad en los puntos finales gestionados y gestionarlos.
Área de Gestión de archivos: Ver todos los archivos ejecutables que no se identifican como seguros en la comprobación de la base de datos de archivos seguros certificada Comodo y administrarlas.
El Área de Aplicaciones -Ver todas las aplicaciones instaladas en los puntos finales y desinstalar aplicaciones no deseadas.
El área de Procesos: Ver los procesos que se ejecutan actualmente en todos los puntos finales en tiempo real y terminar los procesos que se ejecutan en los puntos finales innecesariamente seleccionados.
El Área de Servicios: Ver los servicios de Windows, Unix procesos y servicios de Mac que se cargan en todos los puntos finales gestionados y comenzar o detener los servicios en los puntos finales seleccionados.
El Área de Informes: Generar resúmenes altamente informativos, gráficos de la seguridad y el estado de los puntos finales gestionados.
El Área de Ayuda: Permite al administrador ver la versión CESM y actualizar información, ver y actualizar las licencias, y la información de soporte vista.
El Área de Preferencias: Permite a los administradores configurar los ajustes de idioma, archivos de informes, notificaciones por correo electrónico y servidores de CESM dependientes y agentes para descargar CESM para la instalación fuera de línea en puntos remotos.
La empresa Comodo, innovador mundial y desarrollador de soluciones de seguridad informática, ha anunciado recientemente que su solución avanzada Endpoint Protection ha sido galardonada como la mejor Anti Malware Solución del año 2016 por la Asociación de Premios a la Excelencia de CiberSeguridad.
Este premio independiente se produce en colaboración con la Comunidad de Seguridad de Información en LinkedIn, aprovechando la experiencia de más de 300.000 profesionales de seguridad cibernética quienes reconocen los mejores productos de seguridad, a sus trabajadores y organizaciones a nivel mundial.
“Felicitamos a Comodo por ser reconocidos como el ganador en la categoría Anti Malware de los Premios a la Excelencia 2016 de seguridad cibernética “, dijo Holger Schulze, fundador de los 300.000 miembros de la Comunidad de Información de Seguridad de LinkedIn.
Asimismo, el fundador de la comunidad señaló que “Con más de 430 entradas generales, los premios a la Excelencia en Ciberseguridad son altamente competitivos y todos los ganadores reflejan lo mejor de la innovación de productos y la excelencia en el espacio de seguridad cibernética de hoy”.
Como recomendación general, conviene que estés pendiente de los resultados que te ofrecen estas herramientas de seguridad informática para empresas y que lo hagas de forma periódica, ya que cualquier precaución es poca ante las ciberamenazas.
