Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
marzo
(Total:
36
)
- Doble factor de autenticación o verificación en do...
- CopperheadOS es el fork abierto ultraseguro de And...
- Cabeceras de Seguridad HTTPS en el servidor web Ng...
- Lexar presenta una tarjeta microSDXC UHS-I de 200GB
- Gigabyte presenta la nueva GTX 960 Xtreme Gaming
- El FBI logra hackear el iPhone de San Bernardino
- 1 de cada 4 internautas españoles utiliza adblockers
- Aplicaciones bancarias móviles: la mayoría no apru...
- Las nuevas tarjetas contactless NFC no son tan seg...
- Apple criticada tras “burlarse de la gente pobre”
- Cómo tener dos cuentas a la vez de WhatsApp, Faceb...
- Cellebrite, la compañía israelí que ayuda al FBI a...
- La piratería de la TV de pago con CardSharing
- Kali Linux 2.1.2 para dispositivos ARM ya es compa...
- La herramienta BinDiff es ahora gratuita
- Surprise, un ransomware que se instala a través de...
- Empleados de Apple amenazan con dimitir antes de s...
- Un estudiante se imprime un aparato dental en 3D p...
- El propietario de una conexión wifi en un bar no e...
- ProtonMail, el correo cifrado, ultraseguro y libre...
- Metaphor, un exploit basado en Stagefright, secues...
- Así obtuvo las fotos íntimas de famosas el hacker ...
- Google Nexus 5X y Nexus 6P bajan de precio
- Navega de forma anónima (VPN + TOR) con un router ...
- PiDrive, el disco duro económico de 314 GB para la...
- AMD anuncia Radeon Pro Duo, la tarjeta gráfica más...
- El error ortográfico de un delincuente le impide r...
- Verizon pagará 1,2 millones a las autoridades esta...
- Facebook soluciona fallo que permitía hackear cuen...
- KeRanger es el primer ataque de ransomware para Ma...
- Recopilación comandos Windows con interfaz gráfica
- SSD de 16TB de Samsung ya está a la venta a un pre...
- Cazan a Kanye West, defensor del copyright, con un...
- DROWN: vulnerabilidad crítica en sitios HTTPS con ...
- FBI reconoce un error al manejar el iphone del aut...
- Facebook activa la posibilidad de emitir vídeo en ...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
KeRanger es el primer ataque de ransomware para Mac OS X
lunes, 7 de marzo de 2016
|
Publicado por
el-brujo
|
Editar entrada
El cliente de BitTorrent Transmission ha sido comprometido. La web oficial acaba de notificar a sus usuarios el reciente incidente
con las siguientes instrucciones: Todo el mundo usando la versión 2.90
en OSX debe inmediatamente actualizar a la versión 2.91 o borrar la
copia de la versión 2.90, debido a que esta infectada por un malware
conocido como OSX.KeRanger.A
Durante este fin de semana Apple ha logrado bloquear finalmente un ataque dirigido a infectar los Mac con el malware conocido como ransomware. Se trataría de la primera vez en la historia que ocurre un ataque de este tipo en los equipos de Cupertino.
Según la firma de seguridad con la que ha estado trabajando la compañía, el incidente sería el primer ataque enfocado únicamente a Apple utilizando ransomware, que por lo general se dirige a equipos que ejecutan Windows. La forma de actuar del ataque es pidiéndole a las víctimas que paguen una cuota, por lo general a través de bitcoin, para obtener acceso a las claves con las que recuperar los archivos. Por tanto hablamos de un software malicioso que afecta a un equipo de manera temporal y que hasta ahora se había producido en equipos con el SO de Microsoft.
El aviso habría sido alertado por la firma de seguridad Palo Alto Networks, quienes habrían detectado la presencia del ransomware bajo el título de Keranger en los instaladores de Transmission, el cliente de BitTorrent para Mac. Según ha advertido la página web de Transmission, aquellas personas que hubieran descargado la versión 2.90 del cliente “deben actualizar inmediatamente a la versión 2.92”.
En cuanto a cómo lograron los atacantes subir una versión manipulada de Transmission, no está nada claro. Según explicaban desde la firma de seguridad Palo Alto:
En cuanto a su modus operandi, el ataque de KeRanger aparecía en aquellos equipos infectados tres días después de su ejecución. Lo hacía cifrando documentos de los ordenadores junto a otros ficheros del mismo, momento en el que se pedía el pago (normalmente alrededor de 400 dólares) a alguna dirección específica.
El único ransomware conocido para OS X fue descubierto por Kaspersky Lab en 2014, fue denominado FileCoder y estaba incompleto mientras que KeRanger sí es una versión totalmente terminada y muy efectiva de software.
Los atacantes infectaron dos instaladores de la versión 2.90 de Transmission en la mañana del 4 de marzo. Cuando se identificó el problema, los instaladores estaban disponibles para descarga desde el sitio web de Transmission. Lo más probable es que el sitio web de este proyecto Open Source fuera comprometido y los instaladores originales fueran sustituidos por ambos instaladores infectados.
La aplicación infectada con KeRanger estaba firmada con un certificado de desarrollador de Apple válido y por lo tanto, era capaz de saltarse la primera línea de defensa de Apple, Gatekeeper. Si un usuario instala la aplicación infectada, un ejecutable embebido en la misma pasa a formar parte del sistema. Entonces KeRanger espera hasta 3 días para conectar con sus servidores de control y comando en la red Tor. Una vez conectado a estos servidores, comienza a cifrar ciertos tipos de documentos y archivos de datos del sistema. Tras terminar el proceso, solicita a la víctima que pague un Bitoin (alrededor de 400 dólares) a una dirección específica para poder recuperar sus archivos. Adicionalmente, KeRanger aparentemente sigue en desarrollo como ransomware y parece que el malware también intenta cifrar el contenido de las copias de seguridad de Time Machine para prevenir que el usuario pueda recuperar información desde su copia de seguridad.
Tras descubrir el malware, Palo Alto Networks, informó directamente a los responsables del proyecto Transmission y a Apple el mismo 4 de marzo. Desde entonces, Apple ha revocado el certificado del desarrollador asociado y ha añadido las definiciones de Xprotect para impedir la ejecución del malware, además de que los instaladores maliciosos han sido retirados de la web del proyecto Transmission.
Los instaladores infectados con KeRanger incluyen un archivo extra llamado General.rtf dentro de la carpeta Transmission.app/Contents/Resources. Utiliza un icono de documento RTF, pero es un ejecutable Mach-O empaquetado con UPX 3.91. Cuando el usuario ejecuta una de estas aplicaciones infectadas, se copia este archivo General.rtf a la ubicación:
El ransomware no cifra todo el contenido del disco sino que busca activamente hasta 300 tipos de archivos para su cifrado:
Fuentes:
http://www.elotrolado.net/noticia_los-ordenadores-de-apple-reciben-el-primer-ataque-ransomware-de-su-historia_27896
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
http://www.faq-mac.com/2016/03/keranger-una-aproximacion-forense-al-primer-ransomware-mac/
https://forum.transmissionbt.com/viewtopic.php?f=4&t=17834
Durante este fin de semana Apple ha logrado bloquear finalmente un ataque dirigido a infectar los Mac con el malware conocido como ransomware. Se trataría de la primera vez en la historia que ocurre un ataque de este tipo en los equipos de Cupertino.
Según la firma de seguridad con la que ha estado trabajando la compañía, el incidente sería el primer ataque enfocado únicamente a Apple utilizando ransomware, que por lo general se dirige a equipos que ejecutan Windows. La forma de actuar del ataque es pidiéndole a las víctimas que paguen una cuota, por lo general a través de bitcoin, para obtener acceso a las claves con las que recuperar los archivos. Por tanto hablamos de un software malicioso que afecta a un equipo de manera temporal y que hasta ahora se había producido en equipos con el SO de Microsoft.
El aviso habría sido alertado por la firma de seguridad Palo Alto Networks, quienes habrían detectado la presencia del ransomware bajo el título de Keranger en los instaladores de Transmission, el cliente de BitTorrent para Mac. Según ha advertido la página web de Transmission, aquellas personas que hubieran descargado la versión 2.90 del cliente “deben actualizar inmediatamente a la versión 2.92”.
En cuanto a cómo lograron los atacantes subir una versión manipulada de Transmission, no está nada claro. Según explicaban desde la firma de seguridad Palo Alto:
Es posible que la página oficial de Transmission se haya visto comprometida y los archivos fueran reemplazados por versiones maliciosas recompiladas, pero no podemos confirmar cómo se produjo la intromisión.
En cuanto a su modus operandi, el ataque de KeRanger aparecía en aquellos equipos infectados tres días después de su ejecución. Lo hacía cifrando documentos de los ordenadores junto a otros ficheros del mismo, momento en el que se pedía el pago (normalmente alrededor de 400 dólares) a alguna dirección específica.
El 4 de marzo Palo Alto Networks detectó que el instalador de la
versión 2.90 del instalador del cliente de bitTorrent Transmission para
OS X había sido infectado con un ransomware, solo unas pocas horas
después de haber sido publicado y que fuera accesible a todo el mundo.
¿Qué es un ransomware?
Un ransomware (del inglés ransom rescate y ware, software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.El único ransomware conocido para OS X fue descubierto por Kaspersky Lab en 2014, fue denominado FileCoder y estaba incompleto mientras que KeRanger sí es una versión totalmente terminada y muy efectiva de software.
Los atacantes infectaron dos instaladores de la versión 2.90 de Transmission en la mañana del 4 de marzo. Cuando se identificó el problema, los instaladores estaban disponibles para descarga desde el sitio web de Transmission. Lo más probable es que el sitio web de este proyecto Open Source fuera comprometido y los instaladores originales fueran sustituidos por ambos instaladores infectados.
La aplicación infectada con KeRanger estaba firmada con un certificado de desarrollador de Apple válido y por lo tanto, era capaz de saltarse la primera línea de defensa de Apple, Gatekeeper. Si un usuario instala la aplicación infectada, un ejecutable embebido en la misma pasa a formar parte del sistema. Entonces KeRanger espera hasta 3 días para conectar con sus servidores de control y comando en la red Tor. Una vez conectado a estos servidores, comienza a cifrar ciertos tipos de documentos y archivos de datos del sistema. Tras terminar el proceso, solicita a la víctima que pague un Bitoin (alrededor de 400 dólares) a una dirección específica para poder recuperar sus archivos. Adicionalmente, KeRanger aparentemente sigue en desarrollo como ransomware y parece que el malware también intenta cifrar el contenido de las copias de seguridad de Time Machine para prevenir que el usuario pueda recuperar información desde su copia de seguridad.
Tras descubrir el malware, Palo Alto Networks, informó directamente a los responsables del proyecto Transmission y a Apple el mismo 4 de marzo. Desde entonces, Apple ha revocado el certificado del desarrollador asociado y ha añadido las definiciones de Xprotect para impedir la ejecución del malware, además de que los instaladores maliciosos han sido retirados de la web del proyecto Transmission.
Dentro de KeRanger
Los dos instaladores infectados por KeRanger están firmados por un certificado legítimo de Apple, ahora revocado. La ID del certificado era “POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)” que es diferente de la ID usada por el equipo de Transmission para firmar anteriores aplicaciones. Los instaladores maliciosos fueron generados la mañana del 4 de marzo.Los instaladores infectados con KeRanger incluyen un archivo extra llamado General.rtf dentro de la carpeta Transmission.app/Contents/Resources. Utiliza un icono de documento RTF, pero es un ejecutable Mach-O empaquetado con UPX 3.91. Cuando el usuario ejecuta una de estas aplicaciones infectadas, se copia este archivo General.rtf a la ubicación:
~/Librería/Kernel_service
y ejecuta el programa escondido dentro del documento incluso antes de que aparezca ningún interfaz de Transmission. La aplicación escondida tras General.rtf se encarga de cifrar los archivos de usuario y emitir la alerta correspondiente para conseguir obtener el dinero por el rescate, descargada de servidores de la red Tor.
El ransomware no cifra todo el contenido del disco sino que busca activamente hasta 300 tipos de archivos para su cifrado:
- Documentos: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex
- Imágenes: .jpg, .jpeg,
- Audio y vídeo: .mp3, .mp4, .avi, .mpg, .wav, .flac
- Archivos: .zip, .rar., .tar, .gzip
- Código fuente: .cpp, .asp, .csh, .class, .java, .lua
- Bases de datos: .db, .sql
- Correo electrónico: .eml
- Certificados: .pem
Preguntas y respuestas
- Utilizo Transmission y me actualicé a la versión 2.90 ¿Estoy infectado?: No. El problema solo afectaría a los usuarios que descargaron el instalador infectado durante el breve periodo de tiempo (entre las 11 de la mañana del 4 de marzo, PST hasta las 7 de la mañana PST del 5 de marzo de 2016) que estuvo disponible en la web de Transmission. Es mucho más importante que controles qué descargas y de donde a partir de ahora, no obstante y solo confiar en fuentes de software fiables en la medida de lo posible, ya que el desarrollador de KeRanger no ha creado este software como prueba de concepto y es posible que veamos más ataques de este tipo en el futuro.
- ¿La versión de Transmission 2.92 es segura?: Sí. La puedes descargar desde la web de Transmission.
- ¿Puedo infectarme a día de hoy?: Apple ha revocado el certificado del desarrollador de la versión maliciosa, por lo que una aplicación firmada con ese certificado como la versión maliciosa de Transmission no se ejecutará. Adicionalmente ha actualizado las definiciones de Xprotect para evitar que se ejecute la aplicación.
- ¿Puedo forzar la renovación de las definiciones de Xprotect?: Claro. Abre el Terminal en Aplicaciones > Utilidades e introduce el siguiente comando:
sudo softwareupdate --background-critical
que fuerza la actualización de las definiciones de Xprotect. - ¿Cómo puedo saber si estoy infectado o no?: Un par de
aproximaciones al problema. Para empezar comprueba si la versión que
estás utilizando de Transmission es la 2.90 y si la descargaste desde la
web de Transmission durante el 4 a 5 de marzo. Si ya la tenías
instalada y actualizaste, seguramente no estás infectado. Usando el
Terminal o el Finder, comprueba la existencia del documento .rtf
malformación en la aplicación en estas dos rutas:
/Applications/Transmission.app/Contents/Resources/ General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
- Utiliza el Monitor de Actividad para controlar el proceso: El proceso asociado a este malware es Kernel_service que no tiene nada que ver con otros servicios del sistema que usan de forma legítima el nombre de Kernel. El nombre del proceso malicioso es Kernel_service y debes forzar su salida directamente desde el Monitor de Actividad.
- Eliminación de archivos: Si estuvieras infectado (cosa
bastante improbable a estas alturas) elimina las siguientes (y solo las
siguientes) carpetas de tu librería de usuario:
~/Librería/Kernel_service
Además de las carpetas ocultas, si existieran “kernel_pid”, “.kernel_time”, “.kernel_complete” o “kernel_service” dentro de la carpeta Librería de tu usuario. - ¿Es grande el impacto?: muy pequeño. De hecho, es más ruido mediático que otra cosa porque el impacto real contra usuarios es mínimo y las acciones tomadas por Transmission y Apple han sido determinantes para bloquear el software y al desarrollador. Esto no quiere decir que no vaya a ser utilizado este ransomware para infectar otras futuras aplicaciones, pero a día de hoy, con la información que te hemos suministrado estás protegido y puedes comprobar, para asegurarte, que no tienes un problema.
Fuentes:
http://www.elotrolado.net/noticia_los-ordenadores-de-apple-reciben-el-primer-ataque-ransomware-de-su-historia_27896
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
http://www.faq-mac.com/2016/03/keranger-una-aproximacion-forense-al-primer-ransomware-mac/
https://forum.transmissionbt.com/viewtopic.php?f=4&t=17834
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.