Panel de Tecnología y soluciones informáticas
Buscar:
Formas de Ramsonware

La doble extorsión

Como ya hemos visto, el ransomware es uno de los problemas de seguridad más importantes y puede afectar tanto a usuarios domésticos como a empresas. En los comienzos, los cibercriminales usaban el ransomware para cifrar los archivos de la víctima y pedir un rescate para liberarlos. A día de hoy, es cada vez más común lo que se conoce como doble extorsión. ¿Y en qué consiste exactamente?

La historia tradicional del ransomware era la de un código malicioso que cifraba rápidamente archivos con para luego borrarlos si no se pagaba el rescate. Sin embargo, después del ransomware WannaCry y NotPetya durante 2017, las empresas empezaron a invertir en ciberseguridad, poniéndole más énfasis en las copias de seguridad y los procesos de restauración, para que incluso si los archivos fuesen destruidos, las organizaciones tuvieran copias en su lugar y pudieran restaurar fácilmente sus datos.

Pero como era de esperar, los ciberdelincuentes también adaptaron sus técnicas. Ahora, en lugar de simplemente encriptar los archivos, primero exfiltran la información para que si la empresa se niega a pagar, la información puede filtrarse en línea o venderse al mejor postor, es decir, usan adicionalmente lo que se conoce como doxing. 

Así que si una empresa, por ejemplo, que tiene un nuevo producto que aún no ha sacado al mercado, puede ser extorsionada con la intención de filtrar al público la información de dicho producto. Pero no sólo eso, sino que además si entre dicha información van datos de carácter personal, le podría suponer un problema legal a la empresa si no toma las medidas adecuadas, además de por supuesto un ataque a la reputación de la marca. Teniendo en cuenta esto, los cibercriminales empezaron a aprovechar las propias regulaciones de ciberseguridad (CCPA, RGPD, NYSDFS), para que sus víctimas no tuvieran que pagar una fuerte multa de cumplimiento y alentarlas así a guardar silencio ofreciéndoles un rescate menor que la multa.

La doble extorsión es por tanto cifrar los archivos para que no estén accesibles y además, amenazar con hacer pública dicha información cifrada, para forzar a la empresa a que pague el rescate deseado.

Como curiosidad, el primer caso de alto perfil de doble extorsión fue el ransomware Maze a finales de 2019. Además, recientemente se han llegado a dar casos de triple extorsión según Checkpoint, donde los cibercriminales envían correos personalizados a clientes para que paguen el rescate en vez de la empresa o incluso se suman ataques del tipo DDoS o llamadas telefónicas a los socios comerciales. Como ves, ante las medidas, los “malos” siempre están maquinando nuevas técnicas para ganar dinero.

El sitio favorito de los cibercriminales

La DeepWeb o “Internet profundo” está compuesta por todo el contenido de Internet que no es indexado por los motores de búsqueda como Google, Yahoo etc. Engloba toda esa información que está online, pero a la que no puedes acceder de forma pública. Por una parte, pueden tratarse de páginas convencionales que han sido protegidas por un paywall, pero también correos electrónicos guardados en los servidores de nuestro proveedor o archivos guardados en Dropbox . Los sitios con un “Disallow” en el archivo robots.txt o páginas dinámicas que se generan al consultar una base de datos (consultas bancarias o similares) también forman parte de esta red.

En realidad, el concepto que tiene la mayoría de la gente sobre la Deep Web es el concepto de Dark Web. Sin embargo hay que saber diferenciarlas. La Dark Web es ese fragmento de Internet al que sólo se puede acceder mediante aplicaciones específicas. Mientras que la Deep Web supone en torno al 90% del contenido de la World Wide Web, la Dark Web ocuparía únicamente el 0,1% de ella.

Diccionary.com definen a la Dark Web como “la porción de Internet que está intencionalmente oculta a los motores de búsqueda, usa direcciones IP enmascaradas y es accesible sólo con un navegador web especial: parte de la Deep Web”. 

Principalmente la Dark Web suele formarse por páginas que con unos enlaces muy particulares a través de dominios propios como las .onion de TOR o las .i2p de los eepsites de I2P, pero a las que no puedes acceder a no ser que tengas el software necesario para navegar por las Darknets en las que se alojan.

Como la Deep Web suele ser en cierta manera la parte de Internet no indexada por los buscadores comerciales, se cree también que la Dark Web no puede ser indexada por ninguno. Sin embargo, esto no es del todo cierto ya que si es verdad que en Google no encontrarás acceso a ella, existen otros buscadores específicos en los que sí que se puede hacer.

Algunos son accesibles desde la Clearnet, como Onion City, capaces de indexar miles de páginas .onion. También existen otros buscadores dentro de las propias Darknets como not Evil, Torch o una versión de DuckDuckGo. Además, otras herramientas como Onion.to permiten acceder a las Dark Webs de TOR con sólo añadir la terminación .to, al dominio .onion

Por último, se ha mencionado el término Darknet, el cual fue acuñado en 2002 en el documento “The Darknet and the Future of Content Distribution” escrito por cuatro investigadores de Microsoft (Peter Biddle, Paul England, Marcus Peinado y Bryan Willman). En él se refieren a ella como una colección de redes y tecnologías que podría suponer una revolución a la hora de compartir contenido digital. Para explicar este concepto podríamos decir que mientras la Dark Web es todo ese contenido deliberadamente oculto que nos encontramos en Internet, las darknets son esas redes específicas como TOR o I2P que alojan esas páginas. Vamos, que aunque Internet sólo hay uno, la World Wide Web, hay diferentes darknets en sus profundidades ocultando el contenido que compone la Dark Web.

Las más conocidas son la red friend-to-friend Freenet, I2P o Invisible Internet Project con sus Eepsites con extensión .i2p o ZeroNet con sus múltiples servicios. Pero la más popular de todas es TOR, una red de anonimización que tiene también su propia Darknet, y es básicamente a la que suele referirse todo el mundo cuando habla de ellas. Para acceder a esta última se puede usar el propio navegador de TOR o incluso una Kali ejecutando tor por terminal. Por último, resaltar que los enlaces para las diferentes páginas del dominio .onion son dinámicos, es decir cambiantes. Si quieres consultar lo que puedes encontrar en este dominio existe TheHiddenWiki, que es una wiki con los enlaces actualizados.

La Darknet por tanto son las redes ocultas en sí, mientras que Dark Web se puede utilizar para referirse a dos cosas: para referirse al contenido, a las webs oscuras, y para hablar de la cultura que implica. Además, la Darknet o red oscura traducido, puede tener una connotación negativa, lo que no es casualidad, ya que muchas de las Dark Webs que suele haber alojadas en ellas suelen tener fines negativos como son: asesinos a sueldo, anonimato total y habitaciones rojas, sustancias o contenidos ilegales etc.

Sin embargo no todo el mundo acepta esas connotaciones negativas, y muchos piensan en el término “oscuro” de estas redes como un símil de algo que está oculto entre las sombras. Esto se debe a que en las Darknets también hay contenido útil y constructivo, sin olvidar de que pueden servir como vía de escape, comunicación u opinión en algunos países donde el Internet convencional es más controlado y censurado.

También tienes que tener en cuenta que algunas de las cosas más escandalosas que puedes encontrarte en las Dark Webs también las verás en el Internet convencional, como por ejemplo las drogas, ya que se han dado casos donde se ponen a la venta a la vista de todos en plataformas tan comunes como Instagram o Tinder.

Como te podrás imaginar, los cibercriminales usan las Darknets para vender la información filtrada, ransomware u otro tipo de información o contenido que les suministre beneficios en el anonimato.

0 Comentarios
Conti Desempeño

Compensación y Desempeño

Los miembros del equipo de negociación de Conti (incluidos los especialistas de OSINT) reciben comisiones, calculadas como un porcentaje del monto del rescate pagado que oscila entre el 0,5 % y el 1 %. A los codificadores y algunos de los gerentes se les paga un salario en bitcoin, que se transfiere una o dos veces al mes. Los empleados de Conti no están protegidos por las juntas laborales locales y, por lo tanto, tienen que soportar algunas prácticas de las que están exentos los empleados tecnológicos típicos, como ser multados por bajo rendimiento:

En última instancia, este método resultó no ser lo suficientemente efectivo y la gerencia de Conti tuvo que recurrir a la amenaza más tradicional de despido para motivar a los empleados, como se ve a continuación.

El equipo ofensivo también tiene menos flexibilidad en su tiempo libre. Después de todo, que un miembro del equipo esté disponible o no puede significar la diferencia entre detectar y neutralizar una infracción y avanzar con éxito a la etapa en la que los datos de la víctima se cifran y filtran. Para los miembros de este equipo, acostumbrados a estar siempre de guardia, un simple placer como tener sábado y domingo libres es motivo de celebración:

Aparte de estos golpes de buena fortuna, el equipo ofensivo no puede tomar un descanso. Incluso en el Año Nuevo, que se celebra ampliamente en todos los países de habla rusa y generalmente implica varios días de vacaciones para los empleados, se espera que los miembros de este equipo asuman sus “roles de combate” si es necesario. Otros empleados también están técnicamente de guardia durante estos días, pero está fuertemente implícito que en la práctica están de vacaciones pagadas y no recibirán mensajes de texto de inspección sorpresa de los jefes durante las vacaciones.

Como se ve en el mensaje de Silver más arriba, hay un premio al “empleado del mes” que se extrae del fondo de multas punitivas impuestas a los empleados menos favorecidos de ese mes. La bonificación de premio es igual al 50 % del salario de ese empleado y se puede otorgar a los empleados por nuevas iniciativas útiles que ganan puntos con la gerencia (como inventar un nuevo método de entrega de carga útil) o por un compromiso y persistencia extraordinarios al resolver algún problema específico.

Evidentemente, la gerencia se toma el premio muy en serio: las razones para elegir al ganador no se inventan y los puntos mencionados anteriormente sí importan.

El estilo de gestión varía de un equipo a otro. En algunos casos, el “gran jefe” Stern simplemente envía un mensaje de difusión preguntando al grupo cómo están, en qué proyectos están trabajando y si tienen alguna idea nueva que quieran promover. En otros casos, la gerencia intermedia está involucrada y generalmente exige informes, la mayoría de los cuales lamentablemente no están disponibles para nosotros, ya que se transfieren con OTR o mediante servicios privados compartidos como privnote.

A veces, los líderes de equipo pueden incluso participar en la tradicional tradición corporativa de la Revisión de desempeño, discutiendo al final del año cómo le fue al empleado, qué hicieron bien y cómo pueden mejorar, además de informarles sobre los planes globales de Conti. para el próximo año y recomendar oportunidades de capacitación.

Anonimato, ignorancia y retención

No todos los empleados de Conti saben que son parte de una actividad delictiva, al menos no desde el principio. En una entrevista de trabajo en línea, un gerente le dice a un potencial empleado del equipo de codificación: “aquí todo es anónimo, la dirección principal de la empresa es el software para pentesters”.

Un ejemplo sorprendente es un miembro del grupo conocido por el apodo de “Zulas”, probablemente la persona que desarrolló el backend de Trickbot en el lenguaje de programación Erlang. Zulas es un apasionado de Erlang, ansioso por mostrar ejemplos de sus otros trabajos e incluso menciona su nombre real. Cuando su gerente menciona que su proyecto “trick” (Trickbot) fue visto por “medio mundo”, Zulas no entiende la referencia, llama “lero” al sistema y revela que no tiene idea de qué está haciendo su software y por qué el equipo hace todo lo posible para proteger las identidades de los miembros. Su interlocutor decide no romper su ingenuo corazón y le dice que está trabajando en un backend para un sistema de análisis de anuncios.

Incluso cuando un empleado involuntario finalmente se da cuenta de lo que está construyendo, Conti tiene un plan para retenerlo. El mismo Stern describe brevemente el proceso en otra conversación: el programador podría trabajar en un solo módulo, sin entender el proyecto como un todo; cuando finalmente se dan cuenta, después de muchas horas de trabajo, Conti les ofrece un aumento de sueldo. Stern testifica que, llegados a ese punto, los empleados suelen darse cuenta de que, dado que todo ha ido bien hasta ahora, no tienen que preocuparse por las consecuencias y, por lo tanto, el único incentivo para pasar por la molestia de renunciar a su trabajo son consideraciones puramente morales. Stern parece dar a entender que este método produce buenas tasas de retención, incluso para los empleados que, de otro modo, se habrían negado a ser contratados para trabajar para un sindicato de ciberdelincuentes en primer lugar.

Oficinas

Te puedes imaginar que una empresa como Conti estaría alojada completamente en línea, pero no: el grupo Conti tiene varias oficinas físicas. Estos están a cargo de “Target”, socio de Stern y jefe efectivo de operaciones de la oficina, quien también es responsable del fondo de salarios, el equipo técnico de la oficina, el proceso de contratación de Conti y la capacitación del personal. Durante 2020, las oficinas offline fueron utilizadas principalmente por testers, equipos ofensivos y negociadores. Target menciona 2 oficinas dedicadas a los operadores que están hablando directamente con los representantes de las víctimas. En agosto de 2020, se abrió una oficina adicional para administradores de sistemas y programadores, bajo la supervisión del “Profesor”, quien es responsable de todo el proceso técnico para asegurar la infección de una víctima.

Los mensajes de Rocket.Chat filtrados incluyen las comunicaciones de los miembros del equipo ofensivo que trabajaban en la oficina, lo que indica que probablemente Rocket.Chat estaba instalado en sus dispositivos móviles.

Contrataciones

Todos hemos oído hablar de la escasez de habilidades en tecnología, y el grupo Conti tiene que lidiar con eso como todos los demás. Para mejorar sus probabilidades, optaron por diversificar su grupo inicial de candidatos, así que en lugar de confiar únicamente en el talento clandestino criminal, Conti contrata personal regularmente abusando de los sitios web de contratación legítimos.

HeadHunter y SuperJobs

El recurso principal que suele utilizar Conti HR para la contratación son los servicios de cazatalentos de habla rusa como headhunter. También han usado otros sitios como superjobs, pero en esta última tuvieron menos éxito.

Conti OPSec prohíbe dejar rastros de ofertas de trabajo de desarrollador en dichos sitios web, una regulación aplicada estrictamente por uno de los superiores (Stern). Entonces, para contratar desarrolladores y seguir esta norma, Conti pasa por alto el sistema de trabajo y filtrado de headhunter.ru. Quizás te preguntes el por qué headhunter.ru ofrece tal servicio, pero la respuesta es que no lo hacen. Lo que ocurre es que Conti simplemente compró el software que brinda acceso al conjunto de CV “prestados” sin permiso, lo que parece ser una práctica estándar en el mundo del cibercrimen.

Esta necesidad de interactuar directamente con una enorme lista de CV en lugar de utilizar el filtrado integrado del sitio exacerba aún más la lucha típica de recursos humanos para encontrar candidatos con la experiencia tecnológica relevante. En ocasiones, Conti HR ha expresado francamente su frustración por verse inundado de candidatos irrelevantes:

Una vez que Recursos Humanos localiza a un candidato que podría encajar en alguna vacante dentro de Conti Corp, su CV se anonimiza y se envía al punto de contacto técnico pertinente dentro de la organización. Esto inicia un diálogo engorroso en el que Recursos Humanos actúa como mediador, para asegurarse de que el posible superior del candidato no conozca su identidad. No hace falta decir que este proceso no es a prueba de balas. A veces es posible deducir la identidad del candidato realizando una búsqueda en la web de su experiencia laboral y, a veces, RR. HH. simplemente comete un error y no elimina el nombre.

Uno podría sorprenderse por la composición demográfica de los empleados de Conti. Contrariamente al estereotipo prevaleciente de ciberdelincuentes jóvenes e imprudentes, que tienen la ilusión de ser invencibles y no tienen nada que perder, a Conti también se le acercaron posibles empleados senior. Una de esas personas, que afirmó tener experiencia como desarrollador desde 1980, se presenta de la siguiente manera:

El uso de HeadHunter como herramienta de reclutamiento no se limita a especialistas técnicos. También se usó para reclutar a otros empleados, por ejemplo, para personal en centros de llamadas utilizados en campañas de ingeniería social como BazaarCall. Entrevistar a estos candidatos es responsabilidad de “Derek”, un empleado de recursos humanos de Conti, quien usa Telegram en lugar de chats basados en Tor para esta tarea.

Boca a Boca

Cuando se comunicaban con los empleados, la alta gerencia a menudo argumentaba que trabajar para Conti era el negocio de su vida: altos salarios, tareas interesantes, crecimiento profesional etc. “Stern”, uno de los superiores, incluso ideó un programa de recomendación de empleados para codificadores, donde una recomendación exitosa que dura más de un mes genera una bonificación equivalente al segundo salario del empleado recomendado.

En un caso verdaderamente sobresaliente, un ex miembro del red team curioso hackeó el Jabber del grupo para hablar directamente con Stern. Mientras que en una empresa de tecnología típica tal táctica podría estar mal vista, en el mundo del cibercrimen es evidentemente una hazaña a tener en cuenta y ser respetada:

Foros de Darknet

Aparte de estos métodos poco ortodoxos, Conti también recluta talento de la manera más tradicional, a través de foros clandestinos. A los posibles candidatos se les da primero el identificador de Jabber que usará su entrevistador (como admintest, que manejaría las pruebas para los administradores de sistemas). Si la entrevista fue exitosa, se crea una cuenta permanente para el candidato. Incluso con este método de rutina, Conti HR a veces se volvía creativo: por ejemplo, al buscar miembros del equipo ofensivos y administradores de sistemas, se les ocurrió la idea de “reciclar” una campaña de reclutamiento anterior de un grupo de ransomware rival. Su principal competidor, REvil, había realizado anteriormente un truco publicitario que consistió en depositar un millón de dólares en bitcoins en una cuenta para luego publicar un anuncio de reclutamiento en medio del hilo del foro donde se discutía el depósito. Este anuncio recibió muchas respuestas con detalles de contacto, todos públicos, por lo que Conti HR pudo extraer de este hilo un grupo de candidatos de alta calidad para enviar spam con ofertas de trabajo.

Planes de Futuro

La alta gerencia de Conti busca constantemente nuevas formas de expandir el negocio. Las ideas que surgieron para este propósito van desde simples estafas hasta proyectos paralelos a gran escala. Una de las ideas discutidas fue la creación de un intercambio criptográfico en el propio ecosistema del grupo.

Mango parece apoyar con entusiasmo todas las ideas del jefe y las promueve entre otros miembros del grupo.

Otro proyecto es la “red social darknet” (también conocida como “VK for darknet” o “Carbon Black for hackers”), un proyecto inspirado en Stern y llevado a cabo por Mango, previsto para ser desarrollado como proyecto comercial. En julio de 2021, Conti ya estaba en contacto con un diseñador, que produjo algunas maquetas.

Consecuencia de la fuga de información

Debido a que la filtración continuó después del volcado inicial de datos filtrados, todos tuvimos el privilegio inusual de ver las respuestas a la filtración original. Se vio a los miembros borrando la actividad pasada, eliminando máquinas virtuales de producción y moviéndose a otros canales de comunicación.

Parece que la filtración se sumó a la pila de problemas actuales en Conti. Como vimos en los chats, el gran jefe Stern guardó silencio a mediados de enero, en enero-febrero se observan varios problemas informados con el salario y, finalmente, unos días antes de la filtración, “Frances” en Rocket.Chat les dice a todos tomar un descanso de 2 a 3 meses para reagruparse y reorganizarse debido a la amplia atención del público y la ausencia de los jefes del grupo.

Mientras todo esto sucede, el negocio de Conti sigue operativo, al menos parcialmente. El sitio de fugas de Conti (ContiNews) todavía está activo y se actualiza con nuevas víctimas. Como el proceso de configuración y soporte de la infraestructura de Conti se agiliza, no será un gran problema para Conti configurar sus operaciones desde cero.

En cuanto a los miembros, Conti probablemente perderá algunos. Ciertamente, se espera que los miembros que se sintieron molestos como resultado de la filtración al menos se tomen unas largas vacaciones. Probablemente se irán varios empleados más que se sintieron ofendidos por la forma en que otros miembros hablaron de ellos a sus espaldas, así como aquellos que ya estaban preocupados por los posibles riesgos laborales de trabajar para una operación de ransomware; esta fuga en curso sin duda los asustó.

Habiendo dicho todo eso, con todo el conocimiento, esfuerzo, organización, ingenio y dinero invertido, Conti es simplemente demasiado grande para fallar. A menos que se produzca un arresto generalizado como el que le sucedió a REVil, es muy probable que Conti se levante de nuevo. Si alguno de nosotros tuvo delirios románticos sobre una operación enormemente rentable como Conti siendo dirigida por un grupo pequeño, despistado y apasionado que simplemente está “volando” y podría cansarse de rodar todo este dinero, ahora todos sabemos que no.

0 Comentarios
Estructura CONTI

Estructura Organizativa

La estructura de Conti es casi una jerarquía organizativa clásica, con líderes de equipo que informan a la alta dirección, pero para su crédito hay muchos casos de diferentes grupos que trabajan directamente entre sí (esto se denomina “flujo de información horizontal”, y es una buena cosa y un signo de salud organizacional, como cualquier thinkfluencer empedernido le dirá felizmente).

Para dar una visión general de cómo funcionan las comunicaciones entre los miembros y los afiliados, etiquetamos a la mayoría de los miembros activos del chat de Jabber con sus ocupaciones profesionales y visualizamos sus comunicaciones. En esta captura, cuanto más saturado es el vínculo entre los miembros más intensa es la comunicación, mostrando así tanto un vínculo vertical entre jefes y subordinados, como un vínculo horizontal entre los miembros que trabajan activamente en proyectos compartidos.

Sin embargo, esto no es de ninguna manera una representación perfecta de la estructura organizacional, ya que las personas están siendo reemplazadas y promovidas todo el tiempo.

Los principales grupos que observamos fueron:

  • HR (Recursos Humanos): Responsable de hacer nuevas contrataciones. Esto incluye navegar a través de sitios de búsqueda de empleo de habla rusa, organizar entrevistas en línea y mediar entre el entrevistador y el punto focal técnico relevante. En muchos casos, HR no tenía la autoridad para decidir sobre la compensación ya que, si una entrevista salía bien, el candidato sería remitido a una gerencia superior que le haría una oferta.
  • Codificadores: Las célebres personas que mantienen los aspectos básicos del código de malware real, los back-ends del servidor y los paneles web de administración requeridos por las operaciones diarias del grupo Conti. Esto se extiende a muchas herramientas auxiliares utilizadas por el grupo Conti, incluidas TrickBot, Bazaar, Anchor, la infraestructura de C&C y, por supuesto, los propios “casilleros” que cifran los archivos de desafortunadas víctimas.
  • Probadores: los encargados de probar varios programas maliciosos contra soluciones de seguridad conocidas para asegurarse de que evitan la detección. Es comprensible que los proveedores de seguridad no estén encantados de vender sus productos al grupo Conti y pro tanto tengan que recurrir a técnicas. En al menos un caso, un tercero tuvo que involucrarse y realizar la compra en nombre de Conti (mientras cobraba una prima considerable), e imaginamos que esto fue una ocurrencia normal.
  • Crypters: “Crypting” es la jerga del cibercrimen para lo que algunos de nosotros, los tipos más académicos, llamamos “ofuscación”. Los crypters tienen la tarea de realizar cambios sintácticos en las cargas útiles, los archivos binarios y los scripts para que sean más difíciles de detectar y analizar, al mismo tiempo que conservan su función semántica. Los crypters a menudo trabajaban en estrecha colaboración con los probadores. Las estrategias de crypter podrían parecer buenas en teoría, pero la verdadera prueba era cuando un probador las lanzaba contra un entorno de pruebas hostil.
  • SysAdmins: miembros de Conti encargados de configurar la infraestructura de ataque y brindar soporte según sea necesario. Esto incluye todas las tareas que realiza un departamento de TI típico: instalar paneles, mantener servidores, crear servidores proxy, registrar dominios, administrar cuentas y, presumiblemente, decirles a otros miembros de Conti que intenten apagar sus máquinas y volver a encenderlas.
  • Ingenieros inversos: los encargados de observar las herramientas existentes para comprender cómo funcionan. Por ejemplo, mientras se construía el casillero Conti a mediados de 2020, su desarrollo fue respaldado por un esfuerzo de ingeniería inversa del ransomware Maze, que en ese momento estaba siendo utilizado por algunos de los afiliados de Conti. Otro ejemplo es un proyecto que invierte el cargador Buer para lanzar un proyecto similar dentro del ecosistema Conti.
  • Equipo ofensivo: dado el acceso inicial a una máquina de la víctima, estos miembros de Conti (llamados “hackers” y “pentesters” en comunicaciones) son responsables de la escalada de privilegios y el movimiento lateral, convirtiendo una brecha inicial en una captura completa de la red objetivo. Su objetivo final sería obtener privilegios de administrador de dominio, lo que luego permitiría filtrar y cifrar los datos de la víctima.
  • Especialistas OSINT y Personal de Negociación: Una vez que los datos de una víctima se retienen con éxito para obtener un rescate, estos miembros de Conti intervienen para hacer demandas e intentar cerrar un trato. Algunos son especialistas de OSINT que realizan investigaciones sobre la empresa objetivo: el sector en el que opera, sus ingresos anuales, etc., para que la demanda de pago del rescate logre un equilibrio entre lucrativo y realista. Otros miembros hacen la negociación real y actúan como “representantes de servicio al cliente” que operan el chat basado en Tor de Conti. El manejo de “clientes” a menudo implicaría persuadir, hacer amenazas o proporcionar pruebas de que Conti posee los datos extraídos y puede recuperarlos para la víctima o publicarlos, dependiendo de si la víctima paga o no. La gestión del blog de fugas de Conti y la programación de la publicación de los datos de las víctimas en caso de que no se cumpla el plazo para el pago del rescate también son competencia de este departamento.

Si queremos identificar a las principales personas de la organización que desempeñan un papel clave en las comunicaciones del grupo serían como se ve en la siguiente captura:

  • Stern: es el Gran Jefe, conocido como líder del grupo tanto internamente como fuera de la organización. Él es quien desarrolla la visión de alto nivel de las operaciones del grupo y las colaboraciones con los afiliados, y administra muchas de las personas y proyectos directa e indirectamente. Stern también paga directamente los salarios de varios miembros de la organización y administra la mayor parte de los gastos. Dependiendo del tiempo, el estilo de gestión de Stern fluctúa ampliamente entre la microgestión con el envío de mensajes de difusión preguntando sobre sus tareas y problemas y las ausencias de varios días.
  • Bentley: es un líder técnico del grupo responsable de probar y evadir el malware y las cargas útiles utilizadas por múltiples grupos dentro y fuera de la organización. Bentley administra equipos de encriptadores y evaluadores, trabajando con muchos clientes internos y externos diferentes, y también maneja las preguntas relacionadas con los certificados digitales y las soluciones antivirus de terceros.
  • Mango: es el “gestor de preguntas generales del equipo”, resolviendo mayoritariamente las dudas entre los responsables de las campañas de infección y los codificadores. Mango también participa en el proceso de recursos humanos y paga directamente el salario a parte del grupo de trabajo, además de ayudar de manera efectiva a Stern con sus otros proyectos.
  • Buza: es un gerente técnico responsable de los codificadores y sus productos, curando el desarrollo de cargadores y bots dentro de múltiples equipos de codificadores.
  • Target: es un administrador responsable de los equipos de hackers, su intercomunicación y carga de trabajo. También administra todos los aspectos de todas las oficinas fuera de línea, tanto para piratas informáticos como para operadores, su presupuesto, recursos humanos y comunicación efectiva con otras partes de la organización. También gestiona parte de las tareas relacionadas con las campañas de ingeniería social.
  • Veron aka mors: es el punto focal de las operaciones del grupo con Emotet. Veron administra todos los aspectos de las campañas de Emotet, incluida su infraestructura, en estrecha colaboración con los miembros relevantes de Conti.

0 Comentarios
CONTI

Conti: Una breve aproximación

Su primera aparición fue en octubre de 2019 y opera como RaaS (Ransomware as a Service), es decir, el ransomware se ofrece en foros clandestinos reclutando afiliados que se encargan de distribuirlo a cambio de un porcentaje de los beneficios.

Este ransomware usa la modalidad de la doble extorsión, es decir, incluye al encriptado la técnica del doxing, que consiste en exfiltrar información del afectado antes de ser cifrada y amenazar a las víctimas con publicarla si no se paga el rescate. Esto aumenta la presión sobre los afectados, ya que no sólo recoge el hecho de que hay que intentar recuperar los archivos cifrados, sino que también hay que evitar una posible brecha de información, lo que podría perjudicar a la víctima de varias formas (su reputación por ejemplo).

Las victimas de este ransomware son organizaciones que o bien cuentan con grandes cantidades de dinero o que necesitan de la información para poder trabajar con normalidad. Conti ha sido uno de los más activos en el 2021 y deja casos conocidos como el ataque al sistema de salud de Irlanda en plena pandemia del Coronavirus.

El ransomware es capaz de acceder a las redes de las víctimas mediante campañas de phishing que pueden contener archivos maliciosos o enlaces infectados. Los archivos adjuntos maliciosos descargan malware como TrickBot u otro tipo de aplicaciones para implantar Backdoors o realizar movimientos laterales. También ataca vulnerabilidades en equipos expuestos a internet y al protocolo de escritorio remoto RDP.

El principal vector de ataque son personas reclutadas que se encargan de acceder a las redes, moverse lateralmente, escalar privilegios, exfiltrar la información de las víctimas y ejecutar el ransomware en los equipos. Todo ello, para cobrar una comisión que suele rondar el 70% en caso de éxito. Sin embargo, no siempre termina bien y puede terminar en conflictos en caso de impago, como ya ocurrió una vez y donde el afiliado publicó información de los manuales de Conti porque el grupo no le había pagado el monto de dinero acordado.

Conti: ¿Cómo opera?

Conti recluta a afiliados para que hagan “pentest” sobre el objetivo, y les proporciona las herramientas necesarias (muchas de ellas son herramientas comúnmente usadas a la hora de hacer un pentesting) junto con unos manuales detallados para que lleven a cabo las distintas acciones cibercriminales sobre los objetivos. Los manuales están tan detallados que incluso una persona con conocimientos básicos podría hacer uso de las herramientas.

Como ya se ha comentado, un ex-afiliado no muy contento por no recibir el dinero acordado filtró en agosto de 2021 los manuales y herramientas. En total había unos 37 manuales donde se detallaban cómo usar las herramientas que entre otras acciones permitían:

  • Configuración y utilización de Cobalt Strike, una herramienta de escaneos intrusivos que permite encontrar la ubicación de las vulnerabilidades así como para realizar pruebas de penetración.
  • Ataques por fuerza bruta al protocolo SMB con listado de algunas contraseñas básicas.
  • *Persistencia *dentro de una máquina mediante AnyDesk.
  • Desactivar Windows Defender en una máquina.
  • Enumerar usuarios dentro de la red.
  • Exfiltrar archivos mediante RClone.
  • Instalar Metasploit dentro de un VPS.
  • Utilización de ZeroLogon en Cobalt Strike, una vulnerabilidad en el inicio de sesión en la cual el vector de inicialización se establece como cero, cuando debería ser siempre un número aleatorio.
  • Escalada de privilegios.
  • Extracción de información de bases de datos SQL.
  • Escanear una red con NetScan.
  • Enlaces de repositorios con exploits o guías de como hacer un pentesting sobre Active Directory.
  • Dumpear el proceso LSASS con Cobalt Strike.
  • Sincronizar archivos de un PC contra servicios de almacenamientos en la nube usando RClone.

Cuando Conti se ejecuta, mientras se van cifrando los archivos de forma paralela usando hilos, se crea un archivo readme.txt que contiene la nota de rescate con todos los datos para contactar con los cibercriminales. Por otro lado, Conti es capaz de buscar dispositivos con carpetas compartidas con el protocolo SMB para cifrar su contenido. Resaltar que la creación de hilos permite al ransomware cifrar los archivos de forma más rápida. Además, dependiendo del tamaño del recurso a cifrar, Conti no necesariamente cifra el mismo entero, sino que puede cifrar sólo una parte del mismo.

El proceso de cifrado de un archivo se resume en:

  • Generar clave aleatoria para el algoritmo ChaCha8.
  • Cifrar el contenido dependiendo del tamaño del recurso.
  • Cifrar la clave simétrica con la clave pública RSA (alojada en .data del malware).
  • Guardar la clave cifrada dentro del recurso modificado.
  • Agregar la extensión .QTBHS al recurso modificado.

Por último, otras características observadas en dicho ransomware son:

  • Eliminar los archivos Shadow copies de la máquina víctima.
  • Posee código basura, que no modifica la lógica principal del malware, pero sí dificulta su análisis.
  • Tanto las cadenas de caracteres como los nombres de las API de Windows se encuentran ofuscadas con distintos algoritmos, y las dos ofuscan en tiempo de ejecución.
  • Capacidad de ejecutarse con ciertos argumentos: -p “carpeta” –> cifra los archivos de una carpeta en particular -m local –> cifra la máquina víctima con múltiples hilos -m net –> cifra las carpetas compartidas con múltiples hilos -m all –> cifra todo el contenido de la máquina victima como también las carpetas compartidas con múltiples hilos -m backups –> No implementado (podría estar relacionado con el borrado de archivos de backups) -size chunk –> modo para cifrar archivos grandes -log logfile –> No implementado (parece ser que crea un archivo que registra la actividad del malware mientras se ejecuta) -nomutex –> No crea un mutex
  • No cifra los archivos: - Terminados en las extensiones: .exe, .dll, .lnk, .sys, .msi y .bat. - Llamados readme.txt o CONTI_LOG.txt. - Que se encuentren en las carpetas: tmp, winnt, temp, thumb, $RecycleBin, Boot, Windows, TrendMicro, perflogs, Sophos o HitmanPro.

Conti: Prevención

Lo primero que todo, se desaconseja totalmente el pago por el rescate en caso de que se sufra un ataque de Conti o de otro ransomware, ya que esto favorece a que el cibercrimen crezca y que este tipo de ataques sean rentables. Además, pagar el rescate no nos asegura que el cibercriminal nos va a dar el descifrador.

¿Cómo evito o minimizo riesgos de este tipo de ataque entonces? Algunas de las medidas que puedes aplicar son:

  • Hacer backups de manera periódica.
  • Instalar solución de seguridad confiable.
  • Implementar solución EDR para detectar anomalías.
  • Mantener equipos actualizados (aplicaciones y Sistema operativo).
  • Deshabilitar RDP en caso de no ser necesario.
  • No abrir enlaces ni archivos adjuntos de remitentes no conocidos.
  • Mostrar extensiones de archivos que por defecto vienen ocultas, para evitar abrir recursos maliciosos.
  • Formar y concienciar acerca de los riesgos a los que se está expuestos en internet.
0 Comentarios
Historia de los virus

Cronología

En 1966 el científico John Von Neumann publicó la “Teoría del autómata autorreplicante”. No era un virus en sí, sino un ensayo que proponía que los ordenadores comenzarían a reflejar el sistema nervioso humano si continuaban creciendo. Era lógico pensar que cuanto más complejos se hicieran, crecerían las posibilidades de que pudieran autorreplicar partes de ellos, similar al funcionamiento de un virus.

El primer virus: Creeper (1971)

Según las clasificaciones actuales, éste agente sería clasificado como un “gusano” puesto que era capaz de propagarse a ordenadores en conexiones locales. Lo desarrolló Bob Thomas que trabajaba para BBN Technologies y era un software que podía saltar entre los ordenadores de una red.

El ordenador infectado mostraba “I’M THE CREEPER: CATCH ME IF YOU CAN”, pero no causaba daños a los sistemas. Lo que hacia era analizar si había otro ordenador al que saltar, en cuyo caso lo hacía. Un colega de Bob, Ray Tomlinson, decidió actualizar Creeper para que también se además de autorreplicarse, dejara una copia de sí en un ordenador antes de pasar al siguiente. Para contrarrestarlo, inventó también THE REAPER, que encontraba equipos infectados con Creeper y lo eliminaba. Ray Tomlinson es el padre tanto del primer virus moderno como del primer antivirus.

El primer troyano: ANIMAL (1975)

John Walker desarrolló el primer troyano llamado ANIMAL. En ese momento, los “programas de animales”, que intentaban adivinar en qué animal estabas pensando con 20 preguntas fueron muy populares. La versión creada por Walker tenía una gran demanda. Walker creó PREVADE que se instalaba junto con ANIMAL. Durante el juego, PREVADE examinaba todos los directorios del ordenador a disposición del usuario y realizaba una copia de ANIMAL en los directorios donde no estaba presente. Dentro de ANIMAL se encontraba oculto otro programa que llevaba a cabo acciones sin la aprobación del usuario.

El primer virus para PC: BRAIN (1986)

Fue el primer virus para PC, que comenzó infectando disquetes de 5,2 pulgadas. Fue obra de Basit y Amjad Farooq Alvi, dos hermanos que regentaban una tienda de informática en Pakistán, con el objetivo de que los clientes no hicieran copias ilegales de su software. Era más o menos inofensivo aunque ralentizaba mucho los disquetes y ocupaba bastante memoria. Además, permitía a los creadores rastrear los dispositivos infectados. El código incluía su dirección y teléfono para poder reparar cualquier equipo infectado. El problema fue que, debido al robo de disquetes que lo contenía, se sorprendieron al verse inundados de peticiones para eliminar BRAIN de montones de dispositivos infectados.

0 Comentarios
Los casos mas peligrosos de Malwares

The most dangerous cases

CryptoLocker (2013)

El primero en abrir la era del ransomware a gran escala. Se difundió a través de archivos adjuntos y mensajes de spam utilizando la Botnet GameoverZeuS, utilizando encriptación de clave pública RSA de 2048 bits. Según Avast, entre 2013 y principios de 2014, había infectado más de 500.000 computadores. El software era muy básico y fue derrotado gracias a la Operación Tovar, una campaña conjunta entre el FBI, Interpol, compañías de seguridad y universidades

WannaCry (2017)

Es uno de los ransomware más peligrosos, así como uno de los ciberataques más grandes de la historia. A causa de este malware, el término ransomware entró en la consciencia del mundo y de la prensa mundial. En mayo de 2017, 200.000 usuarios cayeron en alrededor de 150 países, incluidas grandes empresas, organizaciones e instituciones públicas. WannaCry utiliza el exploit EternalBlue y un error de Microsoft en la implementación del protocolo SMB.

Una de las características más peligrosas es que se autoinstala en tu computador al encriptar archivos con la extensión .WCRY. El pago es de $300 dólares en bitcoins, los 3 primeros días. Posteriormente se duplica y si no se realiza dentro de una semana todos los archivos se pierden.

Petya y NotPetya (2017)

Petya era un paquete de ransomware que se remonta al 2016. Semanas después de WannaCry comenzó a propagarse en una versión actualizada que aprovechaba también el exploit EternalBlue . 

Debido a su evolución adquirió el nombre de NotPetya. El ransomware del 28 de junio se registró en un 80% en Ucrania. En segundo lugar se dió en Alemania con un 9%. NotPetya se propagó también por correo electrónico mediante archivos .doc, .xls, .ppt o .pdf. Sin que el usuario sea consciente, tras ver el archivo, se comenzaba a descargar el malware de Internet. Cuando se terminan de encriptar los archivos el PC queda inutilizable y se solicita el rescate de $300 en bitcoins. Este ransomware apunta directamente al boot (cargador de arranque) del PC.

Ryuk (2018)

Causó muchos daños entre el 2018 y 2019. Estaba dirigido a organizaciones que pudieran pagar mucho y no pudieran permitirse tener tiempo de inactividad. Entre las víctimas se encuentran periódicos estadounidenses y el servicio de agua de Carolina del Norte.

Ryuk utiliza algoritmos militares robustos como RSA-4096 y AES-256. Una característica importante de Ryuk es que puede deshabilitar la opción “Restaurar Sistema” de Windows, lo que ocasiona dificultad en recuperar los datos cifrados sin pagar el rescate. Los analistas creen que el código fuente de Ryuk deriva de Hermes, un producto del grupo Lazarus de Corea del Norte. McAfee cree que Ryuk fue construido sobre un código de un fabricante ruso pues el ransomware no se ejecuta en computadoras donde el idioma está configurado en ruso, bielorruso o ucraniano.

Conti (2019)

Conti fue visto por primera vez en entre octubre y diciembre de 2019 y opera como un Ransomware as a Service (RaaS, por sus siglas en ingles). Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.

Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido.

Los primeros casos de Ransomware

El primer Ransomware. AIDS (1989)

Hasta este punto los virus solo existían para diversión de quienes los creaban. Sin embargo Joseph Popp cambiaría todo eso en 1989 al lanzar el primer “Ransomware”: el troyano AIDS. Una vez instalado, contaba las veces que se iniciaba en el ordenador. Cuando se llegaba a las 90, ocultaba todos los archivos y exigía el envío de una carta con 189 USD a una dirección específica para “renovar la licencia”. Joseph Popp terminó por ser detenido y acusado de once cargos de chantaje pero quedó libre tras ser declarado mentalmente inhábil y aceptar donar las ganancias a la investigación contra el SIDA (AIDS son las siglas de SIDA en inglés).

El virus de la policía: Reventon (2012)

En 2012 se comenzó a distribuir este ransomware, basado en el troyano Citadel que a su vez estaba basado en el troyano Zeus. Desplegaba un mensaje “perteneciente” a una agencia de ley correspondiente al país de la víctima, por esto se comenzó a llamar trojan cop ya que alegaba que el computador había sido utilizado para actividades ilegales como descarga de software pirata o pornografía infantil. Mostraba una advertencia informando que el sistema fue bloqueado y que debían pagar una fianza para liberarlo, mediante el pago a una cuenta anónima en Ukash o Paysafecard.

Como técnica de ingeniería social, mostraba la IP del computador en pantalla y podía simular la cámara web. A principios de 2012 comenzó su expansión por varios países de Europa y variaba el logo referente a las Fuerzas de Seguridad correspondientes. Este fue el detonante de muchos ataques Ransomware actuales.

0 Comentarios
Ramsomware (Malware)

Introducción

La aparición de los computadores supuso un cambio importante en la percepción y el trabajo de muchas personas. Los primeros ordenadores estaban orientados a realizar cálculos complejos que ayudaban a los científicos a completar sus estudios. A medida que fue avanzando la tecnología comenzaron a aparecer programas informáticos con el fin de dañar o realizar acciones malintencionadas en dichas máquinas, sobre todo, cuando empezaron a popularizarse entre un público con desconocimiento completo sobre los sistemas.

Siempre han existido conflictos entre países/estados así como entre corporaciones y obviamente el espionaje ha jugado un papel muy importante en ellos tanto a nivel bélico como a nivel económico y político. Imagina cuán importante es saber para un país la estrategia que sigue su enemigo así como información de eventos que tienen programados, como por ejemplo ataques o bombardeos en ciertas zonas influyentes.

Precisamente ese es el punto clave: la Información.

La mayoría de los peligros del mundo digital están relacionados con filtraciones, pérdidas o robo de información, así como suplantaciones de identidad. Pensándolo bien, todo lo que tenemos, como el dinero, esta ligado al manejo de información, como tu número de cuenta bancaria y tus claves para poder acceder a este.

¿Es lo mismo un virus que un malware?

La respuesta es NO. El concepto Virus Informático está contenido dentro de Malware pero no todo malware es un virus.

El término Malware (malicious software) se refiere a cualquier tipo de Software Malicioso escrito y desarrollado para infectar y dañar un sistema, así como robar información sensible o ganar acceso a sistemas privados. Los malware son usados por los cibercriminales como una herramienta para conseguir sus objetivos, normalmente acompañado de técnicas de ingeniería social para conseguir “colar” el malware.

Un virus informático, en cambio, se copia a sí mismo y se propaga a otros dispositivos pero necesita la acción de un usuario, es decir, que haya abierto un fichero con el virus, un enlace malicioso etc. Se extienden infectando aplicaciones como el correo electrónico y puede transmitirse por medios extraíbles (USB, discos extraíbles…), sitios web infectados, archivos adjuntos e incluso routers de red. Existen virus sencillos, que dañan el disco duro o eliminan archivos, y virus mas complejos que pueden ocultarse en el equipo y realizar acciones como bombardeos de spam. Existen algunos otros más sofisticados que modifican su código para evitar ser detectados. Estos últimos son llamados “Virus Polimórficos”. Un virus, en definitiva, es un tipo de malware. El término Malware incluye a los virus, spyware, adware, ransomware y otros tipos de software dañinos.

Conocer las diferencias entre Malware y virus sirve de mucha ayuda tanto para la prevención como para la eliminación de estos.

Tipos de Malware

Algunos de los tipos de Malware son:

  • Troyanos: Los troyanos (trojans) son piezas de malware que tratan de instalarse en el dispositivo de un usuario tratando de hacerse pasar por una aplicación útil. Estos programas, por lo general, abren Backdoors (puertas traseras) en el sistema para dejar el equipo vulnerable frente a los ataques de otros malware.
  • Ransomware: El Ransomware es un tipo de malware que impide el acceso a los archivos, sistemas o redes de tu computadora,bien simplemente bloqueando su acceso (Ransomware de bloqueo), o bien realizando el cifrado de estos (Ransomware de cifrado), y demandando el pago de un rescate para su recuperación. Pueden causar interrupciones en el funcionamiento de los sistemas y la pérdida de información y datos críticos.
  • Keyloggers: Los keyloggers son programas que registran las pulsaciones de las teclas y las almacenan en registros de texto. A menudo se instalan a través de browser hijacking (secuestro de navegador) y los usuarios podrían verse afectados simplemente visitando algún sitio web infectado.
  • Botnets: Una botnet es una red de dispositivos informáticos “zombie” infectados con malware que permite su control remoto para enviar spam, realizar ataques de denegación de servicio distribuidos (DDoS) o propagar otro tipo de malware, de manera que el usuario no tiene conocimiento de la infección de su dispositivo.
  • Rootkits: Un rootkit es un malware que otorga a un ciberdelincuente acceso remoto a nivel de raiz y controla un dispositivo mientras se oculta en esa máquina, es decir, un atacante puede ver toda la actividad de la máquina sin que el usuario lo sepa. Proporciona al atacante la posibilidad de crear puertas traseras en el sistema en el que se despliega. Técnicamente no es un malware en si, sino un proceso utilizado para implementar malware. Un Rootkit arranca al mismo tiempo o antes del sistema operativo y puede: instalar otro malware, robar información (usuarios, contraseñas…), eliminar código del sistema operativo u otros archivos, espiar el dispositivo, modificar la configuración del sistema, desactivar la aplicación de seguridad (firewall, antivirus…), etc.

Tipos de Virus

Algunos de los tipos de virus son:

  • Gusanos: Se trata de un virus diseñado para propagarse a través de varios dispositivos mientra permanece activo en todos ellos, realizando copias de si mismo y alojándolas en diferentes ubicaciones del equipo. La principal diferencia con el virus (genérico), es que no necesita la acción de un usuario ni la modificación de un recurso existente para infectar algún equipo.
  • Web Scripting Virus: Este es un tipo de virus sigiloso dirigido a sitios web. Sobrescribe el código de una web e inserta enlaces que podrían instalar software peligroso en el dispositivo de un visitante. Las infecciones de estos virus pueden robar cookies y utilizar la información para suplantar la identidad del usuario en el sitio web infectado.
  • Virus Macro: Es un virus escrito en el mismo lenguaje de macros que el software que infecta, como por ejemplo Microsoft Excel y Word. Están dirigidos a software y no a sistemas, por tanto puede infectar cualquier tipo de sistema operativo donde corra dicho software. Una macro es una serie de comandos para automatizar una tarea, si pues se insertan en los procesos automatizados, obligando por ejemplo a un Word a crear nuevos archivos, dañar datos, trasladar texto, dar formato a discos duros…
  • Virus de boot: Son virus que infectan los sectores de inicio (Boot) o el sector de inicio maestro de los discos duros. También puede infectar tablas de particiones de los discos. El virus se activa cuando el ordenador es encendido y el sistema operativo se carga. En el arranque del sistema se ejecutará código contenido en el sector de arranque, pasando a la memoria.
  • Virus de bomba lógica: Es un virus informático que contiene una bomba lógica, es decir, código que se ejecuta cuando se cumplen ciertas condiciones en el sistema, por ejemplo, iniciar el sistema la décima vez tras la infección, que el reloj de la BIOS llegue a una fecha en específico o incluso cuando se presione una combinación de teclas específica.
  • Virus polimórficos: Son virus que se mutan a si mismos mientras mantiene intacta una parte del algoritmo original, es decir su funcionalidad principal. Muchos antivirus intentan localizar programas maliciosos mediante búsquedas en los archivos de la computadora y en los paquetes enviados a través de una red. La mayoría de veces, los virus utilizan técnicas de cifrado para dificultar su detección en el sistema.

¿Necesito Anti-Malware a la vez que Antivirus?

Ambos tipos de software son necesarios para defender los dispositivos contra software maliciosos. Sin embargo, hoy en día los servicios de antivirus ofrecen también protección contra todo tipo de malware.

Los sistemas Antimalware identifican, eliminan y evitan la instalación de malware ya conocido, pues contienen bases de datos de partes del código ya conocido y resultan una buena defensa contra variaciones o modificaciones, es decir se centran en las nuevas amenazas. Las bases de datos se actualizan constantemente para incluir las nuevas amenazas cuando éstas son detectadas.

Los Antivirus en cambio, mantienen a los sistemas protegidos contra las variaciones tradicionales como los gusanos, que aún pueden dañar los dispositivos.

La diferencia principal son sus designaciones:

  • El antimalware se ocupa de todas las categorías del software malicioso mientras que el antivirus generalmente se ocupa de una sola categoría. Para una defensa sólida contra virus, adware, spyware, rootkits , troyanos y otras formas de software peligroso, necesitaremos un antimalware.
  • El antivirus por su parte sirve para defenderse de las amenazas de virus más comunes.

Podemos decir que es bueno contar con ambas soluciones pero teniendo en cuenta que se debe tener cuidado puesto que en ocasiones unos softwares entran en conflicto con otros, produciendo una disminución importante de los recursos del sistema.

0 Comentarios