Anuncios maliciosos en dominios pertenecientes a Disney, Facebook, el periódico The Guardian y otros, conducen a los usuarios a malware que cifra los archivos de un ordenador hasta el pago de un rescate, según Cisco.

El descubrimiento surge poco después de que compañías tecnológicas y el gobierno americano trabajaran conjuntamente para cerrar un centro que distribuía malware bancario y software tipo “ransomware”, software que cifra información y solicita rescate. La investigación de Cisco revela una forma técnicamente compleja y muy efectiva de infectar un gran número de ordenadores con “ransomware”.

El tipo de ataque, como “malverstising” es un problema desde hace tiempo. Las redes publicitarias han dado pasos para detectar los anuncios maliciosos situados en sus redes, pero los chequeos de seguridad no son infalibles.

Ocasionalmente, se cuelan anuncios maliciosos que se muestran en una gran cantidad de sitios web que tienen acuerdos con la red publicitaria y sus afiliados. Los sitios web donde aparecen los anuncios desconocen normalmente estos abusos.

Los 90 dominios a los que los anuncios maliciosos condujeron el tráfico, también habían sido pirateados, dice Gundert. En el caso de los sitios de WordPress, parece que los atacantes utilizaron ataques de fuerza bruta, que involucra la adivinación de credenciales de acceso, para acceder a los paneles de control del sitio. Luego se insertaba un kit de explotación denominado Rig, que atacaba el ordenador de las víctimas, ha dicho Gundert.

Este kit de explotación, visto primero en abril por Kahu Security, chequea si los usuarios utilizan una versión no parcheada de Flash, Java o Silverlight. Si el ordenador de alguien no está parcheado, la infección es instantánea.

En la siguiente fase del ataque, se instala un programa de “ransomware” denominado “Cryptowall”, pariente de Cryptolocker. Éste cifra los archivos del usuario, solicitando un rescate. En otra muestra de sofisticación, el sitio web donde tienen que pagar los usuarios, es un sitio escondido que utiliza la red TOR.

Para navegar a un sitio escondido TOR el usuario tiene que tener instalado TOR, para lo cual Cryptowall facilita las instrucciones de como instalarlo. Los que retrasan el pago del rescate descubren que este se incrementa con el paso del tiempo. A causa de la utilización de TOR y la complejidad técnica del ataque, Cisco no ha descubierto todavía al grupo detrás de estos ataques.

http://www.computerworld.es/tendencias/anuncios-maliciosos-que-encriptan-la-informacion-hasta-el-pago-de-un-rescate