imagen porcentaje

Matricúlate con los mejores descuentos

Programas Exclusivos UAH

imagen porcentaje

Matricúlate con los mejores descuentos

KeRanger, nuevo ransomware para Mac

keranger-transmission-ransomware-web

La experiencia te dice que no hay ningún sistema informático invulnerable a los ataques de seguridad. Esta semana, conocimos la existencia del ransomware KeRanger para Mac.

Los alumnos del Área de Formación de Programación y Seguridad de CICE disponen de un Máster específico de Seguridad Informática y Hacking Ético avalado por el organismo oficial EC-Council, cuya necesidad queda patente con noticias como la que nos ocupa con KeRanger, un software malicioso cuyo único objetivo es robar datos personales y chantajear a sus usuarios.

En el blog de seguridad de Mac de Intego o en páginas especializadas como MacRumors o Faq-Mac, se hicieron eco esta semana del fallo de seguridad de Transmission, un cliente de descarga de BitTorrent para Mac, mediante el cual, se producía la infección del ordenador con KeRanger, el primer ransomware completo para la plataforma de Apple. La infección se produjo con una determinada versión del instalador del software, concretamente la v2.90 del 4 de marzo.

¿Cómo se ha filtrado KeRanger en Transmission y qué hace?

Al poco de conocerse que la seguridad de Transmission había sido comprometida, John Clay, representante del proyecto, informó a Reuters que el ransomware había sido añadido a la imagen de disco de Transmission después de producirse un ataque informático del servidor donde estaba alojada. Al detectar el ataque, rápidamente publicaron la v2.91 para solucionarlo.

keranger-transmission-ransomware

Junto con el nuevo instalador, en las notas de versión, además de alertar del problema, se recomendó utilizar el “Monitor de Actividad” de Mac OS X y revisar si se tenía activo el proceso “kernel_service”. En caso afirmativo, sería necesario hacer doble clic y elegir la opción “Abrir ficheros y puertos” y chequear la existencia de “/Users//Library/kernel_service”. Una vez confirmada la infección, se recomienda forzar la finalización del proceso con un “Quit > Force Quit”.

Desde Palo Alto Networks, aportaron más detalles de la vulnerabilidad producida por KeRanger. Al estar firmada la aplicación con un certificado válido de desarrollo de Mac, fue capaz de pasar el filtro de protección de Gatekeeper de Apple. Pasados tres días desde su instalación, KeRanger comenzaría a encriptar ciertos tipos de documentos y a transferirlos a servidores Tor de forma anónima. Una vez completado el proceso, los atacantes solicitarían a las víctimas un pago vía Bitcoin de alrededor de 400 dólares para recuperar los ficheros robados. Además, y para rematar la jugada, también afectaría a las copias de Time Machine, impidiendo que los usuarios pudieran recuperar sus ficheros por sus propios medios.

Los ficheros que KeRanger rastrearía serían:

• Documentos: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex
• Imágenes: .jpg, .jpeg,
• Audio y vídeo: .mp3, .mp4, .avi, .mpg, .wav, .flac
• Archivos: .zip, .rar., .tar, .gzip
• Código fuente: .cpp, .asp, .csh, .class, .java, .lua
• Bases de datos: .db, .sql
• Correo electrónico: .eml
• Certificados: .pem

En definitiva, todos aquellos que pueden contener información confidencial, sea de ámbito personal o profesional.

En Palo Alto Networks, además de alertar del problema, incluyen un profundo análisis técnico de KeRanger, así como una detallada explicación de cómo funciona internamente, paso a paso, que seguramente despertará la curiosidad de todo programador que se precie.

¿Cuántos equipos han sido infectados?

Desde que se subió hasta que se retiró la versión infectada, y según las estadísticas de descargas del servidor, la versión 2.90 de Transmission fue descargada unas 6.500 veces. Tras el ataque, las medidas de seguridad del servidor donde se alojaba el software han sido lógicamente reforzadas. Por su parte, Transmission lanzó una segunda actualización de emergencia (v2.92) para eliminar el malware ya instalado, y Apple actualizó su software de protección, Xprotect, para detectarlo e impedir que infecte el equipo.

Recomendaciones inmediatas si el equipo ha sido infectado

Tras eliminar Transmission 2.90 y actualizar Xprotect, se recomienda comprobar las siguientes rutas del sistema y eliminar los ficheros y carpetas mencionadas:

/Applications/Transmission.app/Contents/Resources/General.rtf (fichero)

/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf (fichero)

~/Librería/Kernel_service (carpeta completa)

Así como las carpetas ocultas “.kernel_pid”, “.kernel_time”, “.kernel_complete” y “kernel_service” que se encontrarían en la carpeta de usuario del sistema.

Activa las actualizaciones automáticas de la App Store

Además de todo lo comentado anteriormente, también se recomienda activar las actualizaciones automáticas del panel de opciones de la App Store, tal y como se indica en la siguiente captura de pantalla:

keranger-transmission-ransomware-update-app-store

¿Es KeRanger el primer ransonware para Mac?

Aunque algunos medios lo han calificado como el primer ransonware para Mac, KeRanger es en realidad el segundo, o el primero verdaderamente completo y efectivo. El anterior, fue descubierto en 2014 por la empresa especializada en seguridad informática Kaspersky Lab, y al que denominaron como FileCoder. Un ransomware incompleto que no alcanzó la propagación de KeRanger, pero que sin duda supuso un primer toque de atención.

La seguridad informática comienza por uno mismo

Parece casi inevitable que al aumentar la cuota de equipo de Mac, aumente de igual modo el interés de los delincuentes informáticos en la plataforma de Apple. En tiempos en los que estamos conectados permanentemente, es razonable que aumente la exposición a las amenazas y que deban extremarse las medidas de seguridad.

Es un buen momento por tanto para abandonar la falsa creencia de que el Mac es impenetrable, porque no hay ningún sistema 100% seguro y mucho menos si está conectado a Internet. Ahora bien, tampoco es que ahora utilizar Mac sea un peligro, de la misma forma que no lo es utilizar Windows o Linux, siempre y cuando se realice de forma responsable.

Compañías como Microsoft o Apple disponen de equipos especializados en seguridad que actualizan con frecuencia sus sistemas operativos para proteger a sus usuarios de las nuevas vulnerabilidades que se van descubriendo. Pero recordemos que la primera gran medida de seguridad que se debe adoptar comienza por el propio usuario. En este sentido, descargar software pirata es una fuente potencial de instalar software malicioso que pueda entrañar peligros para la integridad del equipo y sus datos.

Especialista en seguridad informática, un perfil profesional al alza

Sobra mencionar la importancia que los profesionales en seguridad informática tienen ya en el presente. Y aunque en el bloque anterior comentábamos la necesidad de tomar precauciones por uno mismo, la labor de los profesionales en seguridad informática es vital para mantener nuestros sistemas, aplicaciones y datos a salvo de ataques. Son los cuerpos de seguridad de la era digital, y sin ellos, los delincuentes informáticos tendrían el camino libre para robar y chantajear a los usuarios mediante la instalación o filtración de software como KeRanger.

CICE, como Centro de Formación Autorizado de EC Council en España, es consciente de la importancia de este perfil profesional y ofrece a sus alumnos la formación necesaria para desempeñar con éxito su tarea de proteger los datos de sus clientes y empresas.

10/03/2016 | , | Artículos Diseño, Desarrollo y Apps Programación, Seguridad y Sistemas Informáticos

Miguel Gómez

Miguel Gómez

Escribe tu
Comentario

Si quieres personalizar tu avatar, click aquí.
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *
Recuerda que los comentarios deben ser revisados por un administrador.

O si lo prefieres, déjanos tus datos y nosotros te llamamos.

*Selecciona una titulación

Te llamamos sin compromiso

Puedes llamarnos al 91 401 07 02 (Centro Maldonado) o al 91 435 58 43 (Centro Povedilla).

Si lo prefieres, déjanos tus datos y nosotros te llamamos.

Solo hasta el 25 de marzo

¡MATRÍCULA

GRATIS!

Solo quedan


*Consulta condiciones aquí
KeRanger, nuevo ransomware para Mac
Buzón de Sugerencias
SOLICITAR UNA CLASE DE PRUEBA GRATUITA
KeRanger, nuevo ransomware para Mac

Horario atención al cliente

  • Lunes a viernes

    • De 9 a 14 horas
    • De 16 a 21 horas
  • Sábados

    • De 9 a 14 horas

Teléfono de contacto: 91 435 58 43

Solicita información sobre
Envíanos tu opinión sobre CICE
Nosotros te asesoramos

¿No te decides?

Nosotros te ayudamos. Utiliza nuestro buscador avanzado para encontrar el curso que quieres.