Los expertos en seguridad han alertado de la presencia de una nueva versión de esta amenaza disponible en sitios web y que es más peligrosa. El exploit Angler ha visto incrementada su funcionalidad y a partir de ahora además de cifrar los datos que se encuentran en el equipo afectado realiza el robo de las credenciales introducidas.
Antes los propietarios de esta amenaza se conformaban con cifrar la información de los equipos Windows (hay que recordar que solo afectan a esta familia de sistemas operativos) y solicitar una recompensa para permitir de nuevo el acceso a esta. Sin embargo, esto ha cambiado por completo y ahora además de realizar esta se procede con anterioridad al robo de todas las contraseñas almacenadas en el equipo o que se introducen, centrándose sobre todo en aquellas que pertenecen a redes sociales, servicios de mensajería y banca en línea.
Evidentemente para realizar estas acciones se deben utilizar dos malware o uno que posea ambas funciones. En esta ocasión los ciberdelincuentes se han decantado por una copia de Pony para proceder al robo y de CryptoWall 4.0 para cifrar los datos.
El nuevo y peligroso Cryptowall 4.0 empieza a distribuirse junto al Nuclear Exploit Kit
En el caso del primero, siempre se ha distribuido haciendo uso de correos spam con el instalador adjunto al contenido, siendo la primera vez que se detecta su distribución haciendo uso de un exploit. En el caso del segundo, podría decirse que se ha utilizado todos los métodos disponibles, desde exploits hasta aplicaciones falsas o modificadas que contienen el código del instalador.
Cómo evitar verme afectado por el exploit Angler
La mayoría de las veces este exploit se distribuye haciendo uso de correos electrónicos, por lo que resulta fundamental no ejecutar los archivos adjuntos ni acceder a direcciones web desconocidas contenidas en estos. También hay que mantener nuestro equipo al día en lo referido a las actualizaciones, así como el navegador web y la herramientas de seguridad. Sin embargo, ya se sabe que en este tipo de circunstancias todo consejo es poco, así que conviene disponer de una copia de seguridad para recuperar los datos de una forma mucho más sencilla.
¿Qué debo hacer si ya lo estoy?
Si ya estás infectado y tus archivos cifrados es probable que si has tecleado unas credenciales en el navegador web también hayan sido objeto de robo. Por lo tanto, lo primero que es recomendable hacer es modificar la contraseñas de todos aquellos servicios que sean susceptibles a sufrir un uso no autorizados de la cuenta. Con respecto al tema de la información cifrada, tenemos dos opciones: eliminar de forma adecuada el exploit y restaurar los datos gracias a una copia de seguridad, o bien realizar el formateo del equipo y rescatar los datos de una copia, si es que la hemos realizado a tiempo.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
