noviembre 19, 2020

¿Pueden los Macs obtener un rescate y cómo detener un ataque de rescate

¿Pueden los Macs traer a Petya?

Puede que hayas oído hablar de WannaCry, un programa de rescate que paralizó los ordenadores del NHS en mayo de 2017, y del ataque con randsomware de Petya que se produjo a finales de junio de 2017. Ha pasado un tiempo desde estos casos de alto perfil que sólo eran un peligro para los usuarios de PC, pero tal vez te preguntes si, como usuario de Mac, deberías hacer algo para protegerte de tales amenazas, y cómo arreglar las cosas si te golpea el ransomware.
Aquí tienes todo lo que necesitas saber sobre cómo detectar, evitar y eliminar el software de rescate en los Mac.

¿Qué es el software de rescate?

Antes de analizar los casos de software de rescate en los Mac, explicaremos qué es realmente el software de rescate. Es un tipo de ataque de malware en el que los archivos se cifran en contra de su voluntad y una petición de rescate le dice que pague una cuota si quiere que los archivos se descifren de nuevo.
Como se mencionó anteriormente, el Ransomware es una preocupación para los usuarios de Windows, siendo WannaCry y Petya ejemplos bien conocidos en esa plataforma, pero ¿es algo de lo que preocuparse si se utiliza un Mac?

Bueno, si usas Windows en un Mac obviamente debes ser tan cauteloso como si estuvieras usando Windows en un PC, pero si usas MacOS Apple tiene un número de medidas de seguridad incorporadas que deberían protegerte, ¿verdad?

Desafortunadamente, incluso los Macs se han visto afectados por ataques de Ransomware, aunque son muy raros, como verás si sigues leyendo.
Este es uno de los varios artículos de Macworld que tratan sobre la seguridad de los Mac.

¿Pueden los Mac tener Rasomeware?

¿Pueden infectarse los Mac con un programa de rescate? ¿Ha habido algún caso de rescate de Mac?
La respuesta es sí, pero es un caso muy raro. Ha habido un puñado de ejemplos de rescate de Macs identificados por los investigadores de seguridad hasta la fecha, pero ninguno ha llevado a brotes serios y pocos Macs, si es que alguno, se ha visto afectado. Sin embargo, la lista es una lectura interesante para aprender cómo un futuro brote de rescate podría propagarse y cómo podría funcionar.

ThiefQuest / EvilQuest (Junio/Julio 2020)

Malwarebytes destacó que el código malicioso se estaba propagando en copias piratas de Little Snitch y otros programas para Mac en un foro de torrente ruso Rutracker.
El programa intenta instalarse en varios lugares del sistema se esconde detrás de nombres como «com.apple.questd» y «CrashReporter». Si lo instalas en tu ordenador comenzará a encriptar los archivos antes de mostrarte un mensaje de chantaje pidiendo 50 bitcoin para desencriptar los archivos. Lee más sobre esto aquí: El software de rescate de Mac podría encriptar tu Mac.

Se cree que el elemento de rescate de este malware podría ser sólo una parte de su propósito: el malware parece buscar ciertos tipos de archivos antes de enviarlos a un servidor central antes de que se cifren los archivos.

FileCoder / Filezip / Patcher (Febrero 2017)

Los investigadores de seguridad encuentran e identifican el software de rescate Filezip que se hace pasar por aplicaciones de «parcheo» que pueden ser descargadas de sitios de piratería. Las aplicaciones de parcheo están diseñadas para modificar ilegalmente software comercial popular como Adobe Photoshop o Microsoft Office para que puedan ser usadas sin compra y/o sin un código de licencia.

Cuando el usuario intenta utilizar la aplicación de parche, Filezip en su lugar cifra los archivos del usuario y luego coloca un archivo «README!.txt», «DECRYPT.txt» o «HOW_TO_DECRYPT.txt» en cada carpeta que enumera las demandas de rescate (0,25 BitCoin; alrededor de $375 en el momento de escribir este artículo en mayo de 2017). Notablemente, como muchos ejemplos de rescates basados en Windows, Filezip es incapaz de descifrar ningún archivo, por lo que pagar el rescate no tiene sentido.
How to remove Mac ransomware: Filezip

Los investigadores de seguridad encuentran e identifican el rescate del KeRanger dentro de una actualización autorizada para el cliente Transmission BitTorrent. El primer ejemplo real de rescate de Mac, esta vez los creadores del rescate han hecho un claro esfuerzo para crear una amenaza genuina.
El KeRanger está firmado con un certificado de seguridad autorizado, por lo que no está bloqueado por el sistema de seguridad del MacOS Gatekeeper, por ejemplo. KeRanger cifra los archivos y luego deja un archivo README_FOR_DECRYPT.txt en el directorio en el que se hace la petición de rescate.

Sin embargo, gracias a la rápida acción de los investigadores y también de Apple, que revocan inmediatamente el certificado de seguridad, el KeRanger se detiene antes de que se convierta en una amenaza grave. Sin embargo, si ambas agencias no hubieran sido tan rápidas, podría haber sido una historia muy diferente.

How to remove Mac ransomware: KeRanger

Gopher (septiembre de 2015) y Mabouia (noviembre de 2015)

Dos investigadores de seguridad, trabajando de forma independiente, crean por separado Gopher y Mabouia, dos ejemplos de programas de rescate dirigidos específicamente a los Macs. Sin embargo, ambos son sólo demostraciones de prueba de concepto, destinadas a demostrar que el rescate en toda regla en el Mac es totalmente posible.
Aparte de las copias compartidas con los investigadores de seguridad para que aprendan de ellas, ninguna de ellas sale de los ordenadores de los investigadores, por lo que no se pueden difundir.

FileCoder (Junio 2014)

Los investigadores de seguridad encontraron e identificaron FileCoder a través del sitio web de escaneo de virus Virus Total, aunque para entonces FileCoder ya era viejo, habiendo sido detectado por primera vez por el escáner de malware del sitio dos años antes.
Específicamente dirigido a OS X/macOS, FileCoder está inacabado y no es una amenaza, ya que en realidad no encripta los datos del usuario. Sí muestra una ventana de aplicación que exige un rescate de 30 euros (bastante descaradamente, esto se descuenta a 20 euros si se utiliza una tarjeta de crédito en lugar de PayPal o Western Union).
No se sabe dónde se originó FileCoder, o cómo se pretendía difundir.
How to remove Mac ransomware: FileCoder

Estafa del FBI (Julio 2013)

Durante más de un decenio, los programas de rescate de los sitios web han intentado extorsionar a los crédulos usuarios de Windows mediante el «bloqueo» del navegador en un supuesto sitio web de las fuerzas del orden. Sin embargo, esto siempre ha sido un mero humo y espejos, y puede superarse fácilmente.
Pero en julio de 2013 los investigadores de seguridad descubrieron una estafa similar dirigida específicamente al navegador Safari de la Mac. El usuario estaba bloqueado en una página web falsa del «FBI» a través de un cuadro de diálogo que no le permitía salir del sitio, y se le exigía una «multa» de 300 dólares para desbloquear el sistema.
Dejar el navegador se hizo imposible. Si el usuario forzaba a salir de Safari, la página de rescate simplemente se recargaba la próxima vez que Safari se iniciaba.
Desde entonces, Apple ha arreglado Safari tanto en la Mac como en el iPhone/iPad para que sea menos fácil que el software de rescate basado en el navegador como este funcione. Sin embargo, puede que todavía encuentres ejemplos menos virulentos.
How to remove Mac ransomware: FBI scam

¿Puede Macs tener WannaCry?

En pocas palabras, no. WannaCry se aprovecha de un fallo en el sistema de compartición de archivos en red de Microsoft Windows, una tecnología llamada SMB. Una vez que WannaCry entra en un solo ordenador de la red – normalmente porque un individuo abrió un archivo adjunto de un correo electrónico falso – entonces usa un error en SMB para inyectarse en todos los otros ordenadores de la red que no han sido parcheados.

Los Macs también usan SMB como la tecnología de intercambio de archivos en red por defecto, por lo que inicialmente podrías pensar que los Macs también podrían verse afectados. Sin embargo, Apple utiliza su propia implementación a medida de SMB. Aunque es totalmente compatible con la versión de Microsoft, no sufre los mismos errores o agujeros de seguridad, por lo que no se ve afectada por WannaCry – o al menos no en la manifestación actual de WannaCry.
El iPhone, iPad, Apple TV e incluso el Apple Watch no utilizan el intercambio de archivos SMB, así que ni siquiera están teóricamente en riesgo por WannaCry.
How to remove Mac ransomware: WannaCry

¿Pueden los Macs infectarse con Petya?

Petya es otro ataque de Ransomware, similar a WannaCry, que afectó a ordenadores de Europa y Estados Unidos a finales de junio de 2017.
Petya golpeó algunas grandes empresas, y como el anterior ataque de rescate de WannaCry que afectó al NHS en el Reino Unido, se extendió rápidamente a los ordenadores de Windows en la misma red.
Los ordenadores están infectados debido a una vulnerabilidad en Windows para la cual Microsoft ha publicado un parche.
La mayoría de las compañías de antivirus han actualizado su software para protegerse contra Petya.

El software de rescate de Petya exige que se paguen 300 dólares en Bitcoins como rescate para recuperar el acceso al ordenador. Sin embargo, se cree que los autores son aficionados, ya que la nota de rescate da la misma dirección de Bitcoin para cada víctima y sólo se proporciona una dirección de correo electrónico para la correspondencia, que por supuesto ya ha sido cerrada.
El ataque puede haber sido dirigido al gobierno ucraniano más que como un medio para hacer dinero.

Cómo proteger un Mac del rescate

Aunque en el momento de escribir este artículo no ha habido un brote serio de rescate en el Mac (o en cualquier hardware de Apple), los investigadores de seguridad creen que es una posibilidad real.
En el programa «Squawk Box» de la CNBC, tras el famoso ataque de rescate de WannaCry, Aleksandr Yampolskiy, CEO de SecurityScorecard, insistió en que los usuarios de Apple son vulnerables a los ataques de tipo WannaCry, incluso si ese evento específico sólo afectaba a los sistemas Windows.
«Sucede que este ataque está dirigido a las computadoras de Windows», dijo.»Pero Apple es absolutamente vulnerable a tipos de ataques similares».
Así que, asumamos hipotéticamente que ha sido infectada. ¿Qué debería hacer?

Paso 1: No entres en pánico

Tómese su tiempo y evite las reacciones de las rodillas.

Paso 2: Limpiar

Utiliza un escáner de malware como el Bitdefender Virus Scanner gratuito para buscar el rescate y eliminarlo.
Es poco probable que seas la única persona afectada por el rescate, así que mantente atento a sitios como Macworld para saber más sobre la naturaleza de la infección del rescate. Es muy probable que encuentres instrucciones específicas sobre cómo limpiar la infección, si un escáner de virus no es capaz de hacerlo.
Puede que descubras que un investigador de seguridad ha encontrado una forma de descifrar tus archivos de forma gratuita, algo que ocurrió con el ejemplo más reciente del puñado de infecciones de software de rescate que se han identificado en un Mac.

Paso 3: No pague

Como verás más adelante cuando examinemos el puñado de brotes de software de rescate existentes que afectan al Mac, ¡es muy probable que pagar no te permita recuperar tus archivos!

Paso 4: Desconectar el almacenamiento

El único ejemplo de programa de rescate efectivo visto en una Mac hasta ahora – KeRanger – también intentó cifrar las copias de seguridad de Time Machine, para tratar de hacer imposible que el usuario simplemente restaurara los archivos de una copia de seguridad.
Por lo tanto, cuando descubras que tu Mac ha sido infectado por un programa de rescate, debes minimizar la posibilidad de que las copias de seguridad también se cifren, desenchufando inmediatamente cualquier almacenamiento extraíble, como los discos duros externos, y desconectándote de cualquier recurso compartido de la red haciendo clic en el icono de expulsión que aparece junto a sus entradas en la barra lateral del Finder.

Paso 5: Instalar la aplicación RansomWhere?

Considere la posibilidad de instalar la aplicación RansomWhere? Esta aplicación gratuita se ejecuta en segundo plano y vigila cualquier actividad que se asemeje a la encriptación rampante de archivos, como la que tiene lugar durante un ataque de rescate. Luego detiene el proceso y te dice lo que está sucediendo. Bien, así que algunos de sus archivos pueden terminar siendo encriptados, pero esperemos que no muchos.
How to remove Mac ransomware: RansomeWhere?

Paso 6: Seguir las reglas básicas de protección contra el phishing

Como con muchos ejemplos de rescates y malware, WannaCry inicialmente infectó las redes informáticas a través de un ataque de phishing. Nunca abra un archivo adjunto de correo electrónico que no esperaba, incluso si parece venir de alguien que conoce, y no importa cuán importante, interesante o astuto parezca ser.

Paso 7: No uses software poco fiable

El más reciente software de rescate de Mac intenta propagarse a través de aplicaciones «crackeadas» o de parcheo diseñadas para permitirle usar software comercial de forma gratuita. Por lo tanto, evita todo software dudoso como este.

Paso 8: Asegúrate siempre de que tu sistema y tus aplicaciones estén actualizadas

En un Mac puedes configurar las actualizaciones automáticas abriendo la aplicación Preferencias del Sistema, que encontrarás en la lista de aplicaciones del Finder, y seleccionando el icono del App Store. A continuación, pon una marca junto a Comprobar automáticamente si hay actualizaciones, y pon una marca en todas las casillas situadas directamente debajo de este encabezado.

Paso 9: Instalar sólo desde los sitios web oficiales

Si de repente aparece una ventana emergente que dice que uno de los plugins de su navegador está desactualizado, por ejemplo, asegúrese de actualizar sólo desde la página web oficial de ese plugin, como el sitio web de Adobe si es el plugin de Flash. Nunca confíes en el enlace proporcionado en una ventana emergente! Los hackers utilizan frecuentemente estos pop-ups y sitios web falsos para difundir programas de rescate y otros programas maliciosos.

Paso 10: Haga una copia de seguridad con frecuencia y desconéctese

Si tienes una copia de seguridad de tus archivos, entonces importa menos si el rescate ataca porque puedes simplemente restaurar. Sin embargo, el brote de software de rescate KeRanger también intentó cifrar las copias de seguridad de Time Machine, por lo que podrías optar por utilizar una aplicación de terceros, como Carbon Copy Cloner, para hacer una copia de seguridad de tus archivos. Más información: Cómo hacer una copia de seguridad de un Mac

Aunque no basta con hacer una copia de seguridad de tu Mac. Para estar realmente seguro, también deberías desconectar la unidad de copia de seguridad después de que el Mac haya hecho una copia de seguridad, de esa manera la unidad no puede ser encriptada en un ataque.

¿Cómo puedo proteger mi iPhone o iPad de un rescate?

Los dispositivos iOS, como los iPhone y los iPads, se crearon desde el principio para ser mucho más seguros que los Mac, y un verdadero rescate a través de algún tipo de infección de malware sería extremadamente difícil de conseguir. Ciertamente no ha habido ningún ejemplo hasta ahora, o al menos en los dispositivos iOS que no han sido encarcelados.
Sin embargo, los iPhones, iPads e incluso los Macs están sujetos al secuestro de iCloud, un tipo de ataque con rescate por el que un hacker reutiliza contraseñas descubiertas a través de una de las muchas brechas de seguridad a gran escala con el fin de iniciar sesión y tomar el control de la cuenta de iCloud de un usuario. Luego cambian la contraseña y utilizan el servicio «Encuentra mi iPhone» para bloquear remotamente el dispositivo iOS o Mac, enviando al usuario demandas de dinero de rescate con el fin de restaurar el control.
A menudo amenazan con borrar remotamente el dispositivo o el Mac además de esto. El primer ataque de esta naturaleza fue el de Oleg Pliss en 2014.
How to remove Mac ransomware: Oleg Pliss

El secuestro de iCloud se puede frustrar fácilmente estableciendo una autenticación de dos factores, ¡y deberías hacerlo ahora!
Sin embargo, independientemente de si es posible una infección real de rescate, ciertamente tiene sentido asegurarse de mantener su iPhone o iPad completamente actualizado (lea Cómo actualizar el iOS en el iPhone o iPad) para tener la mejor protección posible contra cualquier amenaza potencial. Cuando una nueva actualización de iOS esté disponible, aparecerá una notificación junto a la aplicación Ajustes, y podrás actualizarla abriendo Ajustes y luego tocando General> Actualización de software. (Tenga en cuenta que no hay manera de configurar las actualizaciones automáticas del sistema en iOS).

Es probable que cualquier aplicación que afirme proporcionar análisis antivirus para dispositivos iOS sea dudosa, en el mejor de los casos, porque todas las aplicaciones de iOS están en una caja de arena, por lo que no pueden analizar el sistema u otras aplicaciones en busca de malware.

¿Debo ejecutar una aplicación antivirus todo el tiempo?

Puede que te sorprenda, pero los Macs ya tienen antimalware incorporado, cortesía de Apple.
XProtect se ejecuta de forma invisible en segundo plano y analiza los archivos que se descargan como parte del proceso estándar de cuarentena de archivos. Apple actualiza XProtect regularmente con nuevas definiciones de malware y puedes ver la frecuencia de las actualizaciones siguiendo estos pasos:
Abra la aplicación Información del sistema haciendo clic en Apple> Acerca de este Mac y, a continuación, haga clic en el botón Informe del sistema.
Seleccione el encabezado Software en la lista de la izquierda y, a continuación, el encabezado Instalaciones debajo de éste.
Haga clic en el encabezado de la columna Fecha de instalación para ordenar la lista por la más reciente y busque entradas que digan XProtectPlistConfigData.
XProtect
XProtect fue la forma en que Apple fue capaz de derrotar al KeRanger, tal vez la más seria amenaza de rescate basada en Mac hasta ahora, antes de que tuviera la oportunidad de convertirse en endémica. Además, el más reciente software de rescate de Mac, Filezip, ha sido añadido a XProtect también.
Combinado con otras salvaguardas incorporadas como la cuarentena de archivos y el Gatekeeper – ambos de los cuales impiden al usuario ejecutar aplicaciones o abrir documentos que descargan de sitios web extraños – el Mac está mejor protegido contra el software de rescate de lo que se podría pensar.

Sin embargo, no hay nada malo en ejecutar ocasionalmente un escáner de virus a petición como Bitdefender Virus Scanner, incluso si éste puede encontrar muchos falsos positivos en forma de virus de Windows en cosas como los archivos adjuntos al correo electrónico. Los virus de Windows son inofensivos para los usuarios de Mac. Lee sobre el mejor software antivirus para Mac aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *