4 de abril de 2016

PAPELES PANAMÁ. El servidor de correo electrónico del bufete panameño Mossack atacado

El bufete de abogados panameño Mossack Fonseca, considerado la mayor plataforma de testaferros de América Latina, asegura haber "sufrido un ataque a su servidor de correo electrónico”.
La hermana de Don Juan Carlos, la Infanta Doña Pilar de Borbón, ocultó fondos en Panamá. Según revela el Consorcio de Periodistas de Investigación Internacional representado en España por La Sexta y El Confidencial, dirigió y presidió la sociedad Delantera Financiera, creada por el bufete Mossack Fonseca, presuntamente especializado en blanqueo de capitales. La sociedad se habría cerrado en junio de 2014, poco después de la proclamación de Felipe VI. Las pesquisas desvelan también que ocultaron dinero en Panamá el futbolista Lionel Messi, el director de cine Pedro Almodóvar, el entorno del presidente ruso Vladimir Putin o el presidente argentino Mauricio Macri.
En total, fueron filtrados más de 11,5 millones de documentos internos de la firma Mossack Fonseca. La empresa panameña es conocida por crear y administrar sociedades offshore en paraísos fiscales. La filtración es 46 veces más grande que Wikileaks (251.000 documentos). La filtración inicial fue recibida por el diario alemán Süddeutsche Zeitung, que compartió los registros con la ICIJ.
La documentación revela unas cuatro décadas del archivo del despacho panameño, hasta 2015. Hay información de casi 214.500 sociedades 'offshore' que aluden de forma directa a indirecta a unos 140 políticos y gente cercana a personalidades de 21 países diferentes en los que aparecen personalidades tan relevantes como Salmán bin Abdulaziz, rey de Arabia Saudí, el presidente de Emiratos Árabes Unidos, el presidente de Ucrania, amigos de la infancia de Putin, primos de Bachar Al Asad o una docena de miembros de la familia Domecq.
El despacho panameño Mossack Fonseca, especializado en la prestación de servicios fiduciarios a nivel internacional, ha comunicado a sus clientes que ha sufrido un ataque informático contra su base de datos. Este bufete, considerado la mayor plataforma de testaferros de América Latina y que cuenta con una importante cartera de clientes española, asegura en un comunicado que ha abierto una investigación después de comprobar que, “por desgracia” ha sufrido un “ataque a su servidor de correo electrónico”.
Mossack Fonseca asegura que está adoptando “todas las medidas necesarias para prevenir que vuelva a ocurrir”; que ha “reforzado” sus sistemas de seguridad; y que se encuentra trabajando con “consultores expertos” para determinar la información exacta a la que han accedido “personas no autorizadas”. El despacho, a través de su director de Márketing y Ventas, pide disculpas a sus clientes y pone a su disposición un correo electrónico para aclararles cualquier duda adicional.
El Consorcio Internacional de Periodistas de Investigación (ICIJ) acaba de comunicar que dispone de estos datos y que hará público a las ocho de la tarde a través de diferentes medios de comunicación internacionales lo que ya ha bautizado como 'Los papeles de Panamá'.
Mossack Fonseca fue el despacho que, por citar algunos ejemplos vinculados con España, constituyó las sociedades que adquirieron el lujoso ático del ex presidente de la Comunidad de Madrid, Ignacio González, en Estepona. Así, de este bufete salieron las entidades instrumentales Walford Overseas y Coast Investors, radicada esta última en el paraíso fiscal de Delaware. La Fiscalía Anticorrupción considera que estas entidades fueron creadas para ocultar la identidad del verdadero comprador del inmueble así como el origen de los fondos utilizados.
Entre las múltiples sociedades off shore concebidas por Mossack Fonseca se encuentran también algunas de las utilizadas por el ex duque de Palma Iñaki Urdangarin y por su ex socio Diego Torres para esconder en destinos como Belice el dinero público que recaudaron a través del Instituto Nóos.
Fuente: El Español.com

EEUU. Retira acción legal contra Apple sobre iPhone cifrado

 El Departamento de Justicia de Estados Unidos dijo que accedió con éxito a datos almacenados en un iPhone cifrado utilizado por uno de los autores de los ataques en San Bernardino y pidió a una corte revocar una orden que obliga a Apple a ayudar, mostraron el lunes documentos de un tribunal.
Recordemos que la empresa de tecnología se opuso a una orden judicial obtenida por el FBI el mes pasado que requería que desarrollara una nuevo software para desactivar la protección de las claves y permitir el acceso al iPhone utilizado por Rizwan Farook, uno de los tiradores que participó del ataque en San Bernardino.
Apple consideró el retiro como una victoria.
  • "Desde el principio objetamos la demanda del FBI de desarrollar una entrada alternativa al iPhone (conocida también como puerta trasera) porque creíamos que era un error y que establecería un precedente peligroso", dijo Apple en un comunicado difundido en la noche del lunes.
  • "Como resultado del retiro por parte del Gobierno (de la acción legal), nada de eso ocurrió. Este caso nunca debería haberse levantado", añadió la empresa.
  • Funcionarios estadounidenses dijeron la semana pasada que eran optimistas en que podrían ser capaces de desbloquear el teléfono avanzado sin la ayuda de Apple.
  • En un documento de dos páginas publicado el lunes, el Departamento de Justicia aseguró que el Gobierno "ya no requiere" la asistencia de Apple.
  • El iPhone en medio de la disputa fue utilizado por Farook, quien realizó en diciembre un ataque en San Bernardino junto a su esposa en el que mataron a 14 personas y dejaron a otras 22 heridas.
  • Apple había argumentado que el pedido del Gobierno y la orden judicial darían a los tribunales un autoridad ilimitada para forzar a empresas privadas a trabajar como sus agentes
Fuente: Reuters

PIRATERIA. Hacker encarcelado asegura haber manipulado elecciones de 9 países

Los países a los que alude son Nicaragua, Panamá, Honduras, El Salvador, Colombia, México, Costa Rica, Guatemala y Venezuela. En concreto, Andrés Sepúlveda también dice que ayudó a Enrique Peña Nieto a hacerse con la presidencia de México en 2012.
El pirata informático Andrés Sepúlveda asegura que ayudó al presidente de México, Enrique Peña Nieto, a ganar las elecciones de 2012 e intervino en los comicios de otros países, como Colombia, México, Panamá y Venezuela, en declaraciones a Bloomberg Businessweek.
"Mi trabajo era hacer acciones de guerra sucia y operaciones psicológicas, propaganda negra, rumores, en fin, toda la parte oscura de la política que nadie sabe que existe, pero que todos ven", indica el hacker colombiano en una extensa entrevista con la revista estadounidense.
Sepúlveda, que cumple una condena de diez años de cárcel en su país, explica que ayudó a manipular las elecciones de nueve países de Latinoamérica mediante el robo de datos, la instalación de programas malignos (malware) y la creación de burlas en las redes sociales.
Los países a los que alude son Nicaragua, Panamá, Honduras, El Salvador, Colombia, México, Costa Rica, Guatemala y Venezuela.
El pirata informático, de 31 años e ideológicamente cercano a la derecha, dice haber viajado durante ocho años a través del continente americano manipulando las principales campañas políticas.
En la actualidad, el hacker cumple una condena de 10 años de cárcel en Colombia por los delitos de uso de software malicioso, conspirar para delinquir, violación de datos y espionaje vinculados a las elecciones de ese país en 2014.
En su entrevista con Bloomberg Businessweek, Sepúlveda asegura que el trabajo realizado para la campaña de Peña Nieto fue de lejos "el más complejo" que hizo y que costó 600.000 dólares.
Con el fin de ayudar a Peña Nieto a obtener la victoria, Sepúlveda supuestamente encabezó un equipo de seis hackers que robaron estrategias de campaña, manipularon redes sociales para crear falso entusiasmo e instalaron spyware (programa informático espía) en las sedes de campaña de la oposición.
Fuente: Publico.es

SEGURIDAD. Los chips Intel de 64 bits acaban con el malware Rootkit

Intel Security lo atribuye al hecho de una mayor adopción de equipos con procesadores Intel de 64 bits por parte de las organizaciones, que junto a Windows 10, contemplan características como Kernel Patch Protection y Secure Boot, muy válidas para combatir esta modalidad de malware.
El año 2015 se cerró con un crecimiento del malware en base a la aparición de 42 millones de nuevos hashes maliciosos, un 10% más que en el trimestre anterior, y la segunda cifra más alta registrada por McAfee Labs. De las mencionadas, un total de 2,3 millones se corresponden con nuevas muestras de malware móvil, un millón más que en el período anterior.
El ransomware es otra de las amenazas que tras una desaceleración a mediados de 2015, repuntó para significar un aumento del 26 por ciento en el último trimestre frente a los tres meses anteriores. El ransomware de código abierto, así como el ransomware como servicio siguen siendo la vía de entrada para muchos atacantes, y campañas como Teslacrypt y CryptoWall 3 siguen ampliando su alcance desde el punto de vista económico. Los laboratorios de McAfee Labs llegan a cifrar pagos de rescate de hasta 325 millones de dólares por parte de algunas de las víctimas.
No ocurre lo mismo con el malware de tipo rootkit, el cual se desplomó a finales del pasado año. La firma de seguridad lo atribuye al hecho de una mayor adopción de los clientes de equipos con procesadores Intel de 64 bits junto a Windows de 64 bits, tecnologías ambas que contemplan características como Kernel Patch Protection y Secure Boot, muy válidas para combatir esta modalidad de malware.
Los datos son fruto del último informe de amenazas que ha presentado Intel Security en base a su laboratorio McAfee Labs Threats Report de marzo de 2016, en el que se analiza la actitud de 500 profesionales de ciberseguridad en torno al intercambio de inteligencia de amenazas. Los participantes, procedentes de Norteamérica, Asia Pacífico y Europa, evalúan el conocimiento de la CTI (inteligencia de amenazas compartida), su valor percibido en la seguridad corporativa, y qué factores deben destacar en las estrategias de seguridad.
Los participantes destacan las oportunidades que ofrece el CTI para las empresas. Sin embargo, la realidad es que a pesar de que el 42% de los participantes afirman haber utilizado el intercambio de inteligencia de amenazas en alguna ocasión, solo un 97% opina que les puede llegar a ofrecer una mayor protección para su empresa.
Vincent Weafer, vicepresidente del grupo McAfee Labs de Intel Security destaca que “dada la determinación demostrada por los cibercriminales, el intercambio de amenazas se convertirá en una herramienta importante para inclinar la balanza de la ciberseguridad a favor de los defensores”. 
Sectores como los servicios financieros y las infraestructuras críticas son sin duda los principales beneficiados de la CTI, dada la naturaleza de alta especialización de las amenazas que McAfee Labs ha monitorizado en estos dos sectores de misión crítica.
Fuente: Computeworld

RANSOMWARE. Cómo protegerse al 90% de este malware sin contar con el antivirus

Este tipo de malware suele ejecutarse casi siempre desde una lista de directorios temporales y trabaja en ellos para obtener la clave y generar los ficheros necesarios para la comunicación con el servidor. Por lo tanto, si bloqueamos los permisos sobre dichos directorios, el ransomware no podrá ejecutarse, quedando nuestro sistema protegido.
Crear nueva directiva de seguridad en Windows para proteger del ransomware
Para bloquear el acceso a estos directorios vamos a aprovechar las directivas de seguridad de Windows. Para ello según el sistema operativo empleado haremos lo siguiente:
En Windows 10
  • Abrimos el menú configuración y en el recuadro que dice “Buscar una configuración” introducimos el texto “Herramientas administrativas”, seleccionando la opción encontrada y después del menú que aparece, buscaremos la “Directiva de Seguridad Local” seleccionándola igualmente.
En Windows anteriores:
  • Abrimos el Panel de Control y en el apartado de Sistema y Seguridad > Herramientas administrativas buscaremos la Directiva de Seguridad Local.
Después el procedimiento a seguir es similar para todas las versiones de windows:
En esta ventana seleccionamos la ruta “Reglas adicionales” y, en el apartado central, pulsamos con el botón derecho debajo de las dos reglas existentes por defecto y elegimos “Regla de nueva ruta de acceso” para crear, una a una, las siguientes entradas:
Directivas de seguridad local en Windows:
  1. %AppData%\*.exe – “No permitido”
  2. %AppData%\*\*.exe – “No permitido”
  3. %LocalAppData%\*.exe – “No permitido”
  4. %LocalAppData%\*\*.exe – “No permitido”
  5. %ProgramData%\*. exe – “No permitido”
  6. %Temp%\*.exe – “No permitido”
  7. %Temp%\*\*.exe – “No permitido”
  8. %LocalAppData%\Temp\*.zip\*.exe – “No permitido”
  9. %LocalAppData%\Temp\7z*\*.exe – “No permitido”
  10. %LocalAppData%\Temp\Rar*\*.exe – “No permitido”
  11. %LocalAppData%\Temp\wz*\*.exe – “No permitido”
  12. %ProgramData%\*. exe – “No permitido”
Una vez creadas todas las reglas reiniciamos el ordenador para que se apliquen correctamente y listo. En caso de ser víctima de una amenaza cuyo binario se ejecute desde alguna de las rutas anteriores, esta quedará automáticamente bloqueada, asegurando nuestros datos y evitando un mal mayor.
Esta medida de seguridad no solo afecta al ransomware, sino que también será eficaz con todo el malware (virus, troyanos, etc) que se intente ejecutar desde cualquiera de las rutas anteriores.
Este sistema de protección contra el ransomware no es perfecto
  • Como se indica en el título del post, este sistema nos protegerá aproximadamente del 90% de las amenazas, sin embargo, hay otras herramientas maliciosas que se ejecutan desde otros directorios, por lo que que debemos continuar utilizando antivirus para llegar al 99,99% ( los del sector de la informática decimos que la seguridad absoluta no existe).
  • También indicar que bloquear los permisos sobre estos directorios puede hacer que algunas aplicaciones no se ejecuten correctamente. Tal como indica la fuente, de más de 300 aplicaciones probadas solo ha dado problemas Spotify, nada grave teniendo en cuenta que se puede copiar su carpeta a otro directorio y este seguirá funcionando sin problemas de forma portable.
Recomendación
  • Por prevención, es siempre necesario hacer copia de seguridad de nuestros archivos.
Fuente: Redeszone.net

CISCO. Vulnerabilidad en productos Cisco Firepower

Cisco ha confirmado una vulnerabilidad en las características de detección y bloqueo de archivos maliciosos de los sistemas Firepower que podría permitir a un atacante remoto evitar las funciones de detección de malware de los sistemas afectados.
Recursos afectados
La vulnerabilidad, con CVE-2016-1345, afecta al software del systema Cisco Firepower que tenga una o más políticas de acciones con archivos configuradas y que se ejecute en los siguientes productos:
  1. FirePOWER 7000 Series Appliances
  2. FirePOWER 8000 Series Appliances
  3. Adaptive Security Appliance (ASA) 5500-X Series con FirePOWER Services
  4. Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
  5. Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
  6. FirePOWER Threat Defense para Integrated Services Routers (ISRs)
  7. Next Generation Intrusion Prevention System (NGIPS) para Blue Coat X-Series
  8. Sourcefire 3D System Appliances
  9. Virtual Next-Generation Intrusion Prevention System (NGIPSv) para VMware
Detalle e Impacto de la vulnerabilidad
  • Esta vulnerabilidad también afecta al proyecto Open Source Snort si el código fuente se compila con la opción de configuración --enable-file-inspect.
  • El fallo reside en una validación inadecuada de los campos de las cabeceras http. Un atacante podría aprovechar la vulnerabilidad mediante el envío de una petición http manipulada a un sistema afectado. Lo que podría permitir al atacante evitar la detección de archivos maliciosos o bloquear las políticas configuradas en el sistema. De esta forma el malware podría pasar por el sistema sin ser detectado.
Recomendación
  • Cisco ha publicado las versiones 5.4.0.7, 5.4.1.6 y 6.0.1 de Cisco Firepower System Software: Los usuarios pueden instalar la versión apropiada mediante las características de actualización de software de Cisco Firepower Management Center.
  • También se ha solucionado en Snort versión 2.9.8.2 disponible desde http://www.snort.org/downloads
Más información:
Fuente: Hispasec

AUTODESK . Vulnerabilidad descubierta en Autodesk Backburner Manager 2016

Se ha reportado una vulnerabilidad en el administrador de Autodesk Backburner que podría permitir a un atacante remoto sin autenticación ejecutar código arbitrario.
Autodesk BackBurner, maneja y controla el procesamiento y compilación de tareas ejecutadas en productos Autodesk tales como Maya, 3DStudioMax, Burn, Flame…etc. Permite agilizar tiempos de renderizado y liberar espacio para otras tareas, está especialmente indicado para trabajar en configuraciones con múltiples maquinas en red.
Recursos afectados
  • Este problema, reportado por el investigador independiente Alex Ondrick, afecta a versiones anteriores a Autodesk Backburner 2016 2016.0.0.2150. Se recomienda actualizar a versiones superiores.
Detalle e Impacto de la vulnerabilidad
  • El problema, con CVE-2016-2344, podría permitir a un atacante remoto sin autenticación causar una denegación de servicio y potencialmente ejecutar código arbitrario a través del envío de comandos especialmente manipulados. La vulnerabilidad se debe a un error de comprobación que podría causar un desbordamiento de la memoria intermedia basada en pila.
Recomendación
  • Se recomienda tomar las siguientes medidas de seguridad:
  • El manager utiliza el puerto TCP/UDP 3234 por defecto, por lo que se recomienda que sea supervisado y controlado por un administrador del sistema, además recomendamos que se restrinja el servicio manager.exe solo a redes y usuarios autorizados.
Más información:
Fuente: Hispasec

GOOGLE. Solventa vulnerabilidades críticas en Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 49.0.2623.108) para todas las plataformas (Windows, Mac y Linux) para corregir cinco nuevas vulnerabilidades de gravedad alta, incluido el problema descubierto en el Pwn2Own.
En esta ocasión se han corregido cinco vulnerabilidades, una lectura fuera de límites en V8 y por uso después de liberar en Navigation y en Extensions. También se soluciona la vulnerabilidad que se anunció en el Pwn2Own, debida a un desbordamiento de búfer en libANGLE.Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 18.000 dólares en recompensas a los descubridores de los problemas.
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Así como múltiples vulnerabilidades en V8 en la rama 4.9 (actualmente 4.9.385.33). Los CVE asociados a las vulnerabilidades van del CVE-2016-1646 al CVE-2016-1650.
Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

TREND MICRO Ejecución remota de comandos en productos suyos

Nueva vulnerabilidad reportada por Project Zero de Google. En esta ocasión diversos productos Trend Micro se ven afectados por un sencillo problema que podría permitir la ejecución remota de comandos arbitrarios.
Tavis Ormandy, el conocido investigador de Google, ha descubierto un stub remoto de depuración de Node.js en los productos Trend Micro Maximum Security, Premium Security y Password Manager. El propio Tavis ha calificado el fallo como ridículo.
Un stub es una clase que implementa la interfaz remota de forma que cualquiera puede utilizarla como si se tratara de una local. Básicamente se trata de un servidor que implementa ciertos métodos sobre los cuales se puede ejecutar código Javascript. Este tipo de sistema es usado en labores de depuración pero, tal y como suele ser habitual en este tipo de funcionalidad, su explotación suele ser trivial mientras que su impacto puede llegar a ser crítico si este servicio llega a publicarse en producción.
De forma que para explotar el fallo basta con realizar algo similar:
http://localhost:Puerto/json/new/?javascript:require('child_process').spawnSync('calc.exe')
Basta un sencillo bucle para encontrar el puerto en el que el stub se encuentra a la escucha.
TrendMicro accidentally left a remote debugging server running on all customer machines #oops https://t.co/bPLFOrTLBl
— Tavis Ormandy (@taviso) 30 de marzo de 2016
El problema se reportó a Trend Micro el 22 de marzo, que reaccionó rápidamente y publicó un parche temporal el día 30. Según el investigador, en determinadas circunstancias, aun con el parche provisional instalado, podría seguir siendo vulnerable. De todas formas, dada la gravedad del problema, Trend Micro ha publicado ya versiones actualizadas y trabaja en una versión definitiva.
No es la primera vez que Tavis Ormandy centra sus descubrimientos en productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos.
El pasado septiembre, el investigador también avisó de fuertes evidencias de la existencia de un mercado negro muy activo en vulnerabilidades en productos de seguridad. Por esta razón consideraba que los fabricantes de productos de seguridad tienen la responsabilidad de mantener los más altos estándares de desarrollo seguro para minimizar el posible daño potencial causado por su software.
Más información:
Fuente: Hispasec

PETYA. Nuevo ransomware que impide el acceso al disco duro

Investigadores de G-Data han informado de un nuevo malware, más concretamente un ransomware, que bajo el nombre de Petya impide el acceso al disco duro y pide un rescate de más de 300 euros.
Detalle del ataque

  • Para llevar a cabo la infección, los estafadores utilizan correos específicamente diseñados en los que se incluye un enlace a un alojamiento en Dropbox, que simula ser un falso currículum. A diferencia de otras ocasiones en que se han empleado vulnerabilidades para lograr la infección del sistema, en esta ocasión los atacantes recurren al medio más clásico y sencillo, la ingeniería social. El archivo descargado en realidad es un ejecutable ("Bewerbungsmappe-gepackt.exe") que inicia la descarga e instalación del troyano en el sistema.
  • Una vez instalado Petya sobrescribe el MBR (Master Boot Record) del disco duro reemplazándolo con un cargador malicioso y provoca el reinicio del ordenador. El MBR es la parte del sistema que indica al ordenador como debe arrancar el sistema operativo. Con ello Windows se reinicia con el cargador del ransomware, que muestra una pantalla que simula ser un chkdsk. Sin embargo durante este falso Chkdsk lo que realiza es el cifrado de la Master File Table (MFT).
  • Esto es, Petya no llega a cifrar todo el disco duro como tal, lo cual llevaría demasiado tiempo, pero una vez que la MFT queda cifrada (o corrompida) el sistema no puede saber donde se alojan los archivos, por lo que quedan totalmente inaccesibles.
  • Tras ello, como suele ser habitual en este tipo de malware se muestra un aviso bastante alarmante. Ya que en vez del habitual arranque de Windows se muestra una pantalla de color rojo con una calavera blanca en ASCCI.
  • Ahora al ransomware solo le queda mostrar una pantalla en la que se ofrecen las instrucciones para realizar la compra de una clave que permita recuperar los datos.
  • También hay que señalar que una vez que el MBR queda modificado por Petya, también se impide el reinicio en Modo Seguro.
  • Acto seguido, el usuario recibe instrucciones explícitas sobre cómo hacer el pago, al igual que cualquier crypto-ransomware que esté circulando en la actualidad: una lista de demandas, un enlace a Tor Project y cómo llegar a la página de pago a través de él, y un código de descifrado personal.
Las instrucciones para el pago se encuentran en una web de la red Tor, donde se informa que el afectado deberá pagar 0,90294 Bitcoins (unos 320 euros) para obtener la supuesta clave que permita recuperar la información del disco duro.
Hasta el momento todos los análisis realizados no se ha conseguido un método para recuperar la información, por lo que como siempre la mejor medida de seguridad es la precaución.
Según ha confirmado Trend Micro Dropbox fue informada de los archivos maliciosos alojados en su servicio y la compañía ya los ha eliminado. A pesar de ello, hay que tener presente que los atacantes podrán emplear cualquier otro alojamiento o medio para el envío del archivo malicioso.
Más información:
Fuente: Hispasec

COVERTON. Pagar el rescate de este ransomware no garantiza la recuperación de datos secuestrados.

Coverton es una nueva amenaza que cifra los archivos de los equipos infectados y solicita el pago de una cantidad para recuperar el acceso, aunque no sea verdad.
La frustración de los usuarios provoca que el pago de un Bitcoin, o lo que es lo mismo 400 dólares aproximadamente. 
También es algo habitual que una vez se haya descargado el instalador en el equipo con sistema operativo Windows y se haya ejecutado, éste se añada al inicio para que esté disponible cada vez que se inicie sesión.
Coverton bloqueara 950 tipos de archivos
  • A diferencia de otros que solo se centran en tipos de archivos muy concretos, coincidiendo casi siempre con aquellos donde se puede encontrar la información más importante, esta amenaza cifrará nada más y nada menos que 950 tipos de archivos. Pero lo realmente importante y aquí es donde hay que tener mucho cuidado es con las copias de seguridad que se encuentren en volúmenes ocultos, ya que la amenaza tratará de llevar a cabo su borrado.
  • Hay que decir que una vez que se produce el bloqueo de los archivos, la amenaza avisará al usuario a través de un archivo HTML que se generará de forma automática con las instrucciones necesarias.
¿Recuperar el dinero pagado?
  • Es bastante habitual que pagar el dinero solicitado por los ciberdelincuentes no sirva absolutamente para nada y aquí es donde radica la mayor diferencia con respecto a otras amenazas. 
  • Si durante el proceso de descifrado no se obtienen los resultados esperado el usuario dispondrá de total potestad para cancelar el pago y así recuperar el dinero, algo que no ofrecen muchos ransomware, por no decir que es la primera vez que lo vemos.
Fuente: Softpedia

KIMCILWARE. Nuevo ransomware enfocado a secuestrar tiendas online

KimcilWare es un nuevo ransomware detectado en las últimas horas por los investigadores de seguridad de MalwareHunterTeam cuyo principal objetivo es el de secuestrar los servidores de diferentes tiendas online, generalmente basadas en Magento, para luego pedir el correspondiente rescate por ellas.
Cuando este ransomware infecta el servidor, este añade la extensión “.kimcilware” a todos los ficheros del mismo. Para que la página web siga funcionando, el malware genera su propio fichero index con el que muestra una pantalla en negro con un texto que indica que el servidor ha sido secuestrado. El pirata informático pide el pago de 140 dólares, obviamente en Bitcoin, por la clave de cifrado con la que recuperar los archivos.
Servidor secuestrado por el ransomware kimcilware
  • Por el momento no se sabe cómo se ha podido llevar a cabo la infección. A día de hoy se conocen más de 10 tiendas afectadas por este ransomware, sin embargo, no se sabe cómo las elige el pirata informático. Mientras que la infección podría realizarse mediante una vulnerabilidad en el servidor o en Magento, algunos servidores que alojan varias tiendas online solo han visto comprometidas una de ellas, lo que hace pensar que el pirata informático ataca objetivos concretos y no va solo “a ver qué encuentra”.
  • Los investigadores de seguridad siguen estudiando este nuevo y hasta ahora desconocido (aunque la primera infección data del 3 de marzo de este mismo año) ransomware, así como intentando encontrar un fallo en la seguridad del mismo que brinde información sobre el pirata informático responsable o que permita descifrar los archivos sin tener que pasar por caja.
KimcilWare es, probablemente, una variante más del ransomware libre Hidden Tear
  • Uno de los investigadores de seguridad que se encuentran investigando esta nueva amenaza ha detectado que la dirección de correo del pirata informático, tuyuljahat@hotmail.com, coincide con la de otro ransomware descubierto hace algún tiempo, MireWare. Debido a que este ransomware era una variante de Hidden Tear, es muy probable que el nuevo KimcilWare también lo sea, aunque, a diferencia del primero, este esté enfocado principalmente a tiendas Magento.
  • Debido a la falta de información, por el momento, las únicas recomendaciones de seguridad que se pueden dar para intentar mitigar esta amenaza es recomendar el uso de contraseñas seguras tanto en el servidor como en el panel de administración de Magento, así como mantener todo el núcleo de la tienda actualizado para evitar que, si la infección de realiza a través de una vulnerabilidad, esta pueda estar comprometiendo nuestro servidor.
Fuente: Securityweek.com

REMAITEN. Nuevo malware enfocado a routers y dispositivos IoT

Expertos de seguridad de ESET han detectado una nueva amenaza que busca infectar principalmente routers basados en Linux y dispositivos IoT conectados constantemente a la red. Esta amenaza ha recibido el nombre de Remaiten. 
Remaiten es un nuevo malware creado a partir de dos amenazas ya conocidas (Tsunami (también conocido como Kaiten) y Gafgyt) que, a su vez, mejora las principales funciones de estas y añade nuevas para poder llevar a cabo ataques más complejos.
ESET ha registrado hace pocas horas una nueva versión de este malware, la 2.2, que incluye comandos wget/tftp y cuenta con binarios para infectar dispositivos de arquitecturas PowerPC y SuperH, siendo así capaz de infectar prácticamente cualquier dispositivo del mercado.
Cómo funciona el malware Remaiten
  • Una de las características más peculiares de este malware es su forma de distribución. Cuando recibe órdenes desde su servidor de control, el malware intenta conectarse a direcciones IP aleatorias a través de telnet, utilizando el puerto 23. Si consigue conexión, utiliza un diccionario para intentar adivinar el usuario y la contraseña y conseguir tomar el control del dispositivo.
  • Una vez consigue acceso, el malware descarga en el equipo afectado una serie de ficheros ejecutables e intenta ejecutarlos. Estos archivos están compilados para múltiples arquitecturas así que, en lugar de analizar el dispositivo y ejecutar el binario adecuado para llevar a cabo la infección, simplemente descarga y ejecuta todos hasta que uno lo hace con éxito. Además de muchas arquitecturas arcaicas, este malware también es compatible con ARM y MIPS.
  • Cuando el malware se ha instalado con éxito en el router o dispositivo IoT, este permanece ejecutado como un demonio, siempre en primer plano, conectado a su servidor a través de una interfaz IRC y a la espera de órdenes. Todas las conexiones se realizan cifradas, por lo que es bastante complicado poder detectarlas.
Remaiten IRC
  • Este malware puede recibir una serie de órdenes o comandos desde el servidor de control. Estas funciones han sido heredadas de Tsunami y Gafgyt, y se centran principalmente en buscar nuevas víctimas (ya que forma parte de una botnet), y realizar todo tipo de ataques de red como ataques de desbordamiento en el router, la descargar archivos modificados, realizar barridos de IPs mediante telnet, etc. Este malware no se lleva bien con otros bots, por lo que también tiene una función para finalizar cualquier demonio o proceso que no sea imprescindible para el router.
  • Como podemos ver, una amenaza bastante simple pero preocupante a la vez. Es muy complicado defenderse de ella ya que, igual que no podemos instalar un antivirus en un router, la infección no depende del usuario, sino que podemos llegar a ser víctimas incluso por azar, por mala suerte. La única recomendación de seguridad que podemos daros es, si el router lo permite, cambiar la contraseña del telnet para que, en caso de ser objetivo de Remaiten, este no pueda conectarse a nuestro router.
Fuente: We Live Security

SPAM. Un error permitía enviar correo basura utilizando los servidores de PayPal

Un investigador alemán ha descubierto un problemas en los servidores de PayPal que habría sido explotado por ciberdelincuentes.
Benjamin Kunz Mejri, perteneciente a la empresa Vulnerability Lab, detectó un fallo de seguridad en la configuración de algunos servidores que habría propiciado a terceras personas no solo el acceso no autorizado, sino a la utilización de estos para enviar correo con contenido malware. El experto ha detallado que para alguien que no posee conocimientos altos de programación sería una vulnerabilidad muy complicada de explotar pero hoy en día cualquier cosa es posible.
En lo referido a porqué existía esta fallo, el investigador ha detallado que hace bastante tiempo PayPal estrenó una función que permitía compartir una cuenta con otros usuarios. Para esto solo era necesario proporcionar la dirección de correo de esta persona con la que se quiere compartir a la que el servicio enviará un correo para verificar su identidad. El experto descubrió que se podía añadir código malware al nombre de usuario que posteriormente sería recopilado por el servidor para enviar el correo a esta persona.
Campañas phishing utilizando el servicio legítimo de PayPal
  • Aunque no se tiene constancia a ciencia cierta de que esto se haya producido, sí que es verdad que hace tiempo se detectó el envío de correos bastante sospechosos que utilizaban el dominio del servicio de pagos. Dada la facilidad relativa para llevar a cabo la difusión del contenido malicioso, no es para nada descabellado pensar que esta situación se haya dado en algún momento, ya que no se maneja una fecha exacta de la disponibilidad de este fallo de seguridad que por suerte para los usuarios ya se ha solucionado.
  • Lo que se puede llevar a cabo con este tipo de prácticas es redirigir al usuario a sitios web externos del servicio para proceder por ejemplo al robo de las credenciales de acceso a su cuenta y de esta forma proceder posteriormente a su secuestro y uso no autorizado.
  • Dada la importancia del error y las repercusiones que ha podido tener para algunos usuarios, desde el servicio han valorado los esfuerzos del investigador y lo han recompensado con mil dólares. Y es que teniendo en cuenta que el correo electrónico procedía del dominio del servicio, muy pocos usuarios habrían sospechado del contenido de éste.
Fuente: Softpedia

ACTUALIZACION. El administrador de contraseñas de Firefox en iOS recibe importantes mejoras

Los navegadores web, importante herramienta  para garantizar la seguridad de los usuarios mientras navegan por Internet, y es por este motivo que Firefox en iOS ha recibido importantes mejoras, concretamente en su gestor de contraseñas.
Desde la fundación Mozilla están muy concienciados con la seguridad de los usuarios y una prueba de ello fue la implementación de sistemas que evitaban el seguimiento de la navegación de los usuarios en Internet. Ahora serán los usuarios de Firefox en iOS los que se beneficiarán de una novedad que creemos que es muy importante: una contraseña en el administrador de credenciales.
Firefox en iOS mejora su seguridad
  • Con el fin de evitar accesos no autorizados a este elemento del navegador, los responsables de la fundación han decidido permitir al usuario que introduzca un código de 4 dígitos para proteger toda la información contenida, y de esta forma evitar el robo de las contraseñas.
  • Pero esto no acaba aquí, ya que teniendo en cuenta que los dispositivos de la manzana mordida disponen de lector de huellas dactilares, los usuarios también podrán recurrir al Touch ID para verificar su identidad y modificar esta información, algo que ya sucede por ejemplo al comprar aplicaciones en la App Store.
  • Con esta medida que puede parecer sencilla, el usuario podrá disfrutar de una mayor velocidad de navegación rellenando formularios de una forma mucho más sencilla y sin el temor de que sus credenciales puedan caer en otras menos.
Fuente: Blog Mozilla

PHP, PYTHON Y GOOGLE GO. Fallan al detectar certificados TLS revocados

La empresa de seguridad web Sucuri ha llevado a cabo un experimento en el que intenta comprobar la seguridad de los diferentes lenguajes de programación web. En este experimento se ha comprobado cómo reaccionan los diferentes lenguajes de programación web frente al uso de certificados falsos, revocados, auto-firmados o caducados para comprobar la seguridad de nuestros datos al hacer uso de las plataformas web.
Según el estudio, ninguna versión de Python, PHP ni de Google Go son capaces de reconocer y bloquear el uso de certificados revocados debido a que los propios lenguajes de programación carecen de las medidas de seguridad necesarias para poder detectarlos. Con el paso de los meses, Python y PHP se han actualizando para mejorar la seguridad de estos de manera que las versiones más utilizadas sí son capaces de reconocer certificados caducados o incorrectos, aunque siguen sin detectar el uso de los revocados.
Este experimento ha demostrado que los piratas informáticos pueden atacar directamente a las API de las plataformas que, de estar escritas en alguno de los lenguajes de programación vulnerables, pueden llegar a permitir ataques MITM donde se capture y modifique el tráfico sin que el certificado sea rechazado. Bibliotecas adicionales como cURL tampoco añaden a los lenguajes de programación la posibilidad de identificar estos certificados.
Los expertos de seguridad de Sucuri han publicado también una serie de scripts para comprobar la seguridad de las conexiones verificadas de los diferentes lenguajes de programación, los cuales se pueden descargar desde el siguiente enlace. La empresa de seguridad ha utilizado dichos scripts para comprobar el comportamiento de los lenguajes de programación web más utilizados, con los resultados que aparecen al pie del post.
Certificados y lenguajes de programación
  • Esto abre una serie de brechas de seguridad. Si, por ejemplo, una plataforma utiliza por defecto un certificado y piratas informáticos se hacen con él, normalmente este se revoca para evitar suplantaciones de identidad y se genera otro. Mientras que los navegadores y muchas aplicaciones son capaces de detectar y bloquear estos certificados revocados, las API programas en PHP, Python e incluso en Go, el lenguaje de programación web más moderno y desarrollado por Google, no son capaces de detectarlos.
  • Como hemos dicho, aunque utilicemos las versiones más recientes de los lenguajes de programación, no existe esta verificación y, debido a la complejidad de la misma, lo más seguro es que tampoco la veamos a corto plazo. Al final, el responsable de que ninguna API haga uso de estos certificados es el propio administrador web quien, utilizando herramientas como BadSSL, debe detectar e impedir la ejecución de APIs que utilicen copias falsas o revocadas de los mismos.
Fuente: Sucuri


REMAITEN. Botnet compuesta por routers domésticos

Los routers hanevolucionado. Sin embargo, es muy importante que la configuración de este sea la adecuada para evitar problemas, como por ejemplo, que los ciberdelincuentes vinculen tu equipo a la botnet Remaiten para realizar ataques de denegación de servicio.
La mayoría de los usuarios acceden a su router utilizando las credenciales por defecto que posee el dispositivo a su salida de fábrica y posee activada la opción de gestión remota, permitiendo que cualquier usuario pueda acceder a este utilizando admin o 1234 como usuario y contraseña y modificar la configuración del mismo.
Los propietarios de esta red que ya posee un tamaño considerable utilizan una herramienta que es capaz de automatizar el proceso y rastrear si el equipo es accesible vía el puerto 23 o lo que es lo mismo, a través de Telnet.
Una vez se ha detectado el dispositivo se debe descargar el bot adecuado que será el encargado de instalarse y ser persistente a pesar de los apagados. También recibirá órdenes y las ejecutará, siendo por el momento la nota predominante la generación masiva de tráfico hacia determinadas direcciones, sinónimo de ataque de denegación de servicio.
El usuario desconoce si su equipo pertenece Remaiten o no
  • Tal y como suele suceder en este tipo de infecciones, los ciberdelincuentes buscan que la amenaza pase desapercibida el mayor tiempo posible, y en esta ocasión el usuario solo nota pequeñas ralentizaciones en la conexión que nunca serán achacadas a este problema. El control de los equipos se realiza a través del protocolo IRC y el servidor de control es un canal de estas características. Gracias al envío de mensajes privados se puede ordenador que dirección atacar y sobre qué puerto se debe llevar a cabo el ataque.
  • MIPS, ARM, Power PC, y Super H son las arquitecturas que por el momento se han visto afectadas por estos ataques que han comenzado a proliferar durante esta semana.
  • Para evitar que esto suceda solo debemos modificar las credenciales de acceso que nuestro router posee por defecto y evitaremos que pase a forma parte de esta red encargada de la realización de ataques de denegación de servicio, pudiendo incluso llevar a cabo la desactivación de Telnet.
Fuente: Softpedia

(ISC)². Anuncia webinarios gratuitos para profesionales de seguridad de la información

La mayor asociación sin fines de lucro de profesionales certificados en seguridad cibernética de información, software e infraestructuras en todo el mundo, anuncia su agenda de webinarios para los meses de abril y mayo de 2016.
Todo el contenido es gratuito, impartido en línea, en inglés y abierto a la participación de profesionales de Seguridad de la Información y otros interesados.
“Los webinarios (ISC)² tienen por objetivo apoyar a los profesionales de seguridad de la información en su desarrollo profesional y son una excelente oportunidad para que se mantengan actualizados sobre los asuntos más discutidos recientemente y las tendencias del sector. Además, los webinarios forman una red para compartir experiencias y conocimientos de gran valor”, afirma Adriana Rodrigues, Gerente de Marketing de (ISC)² para América Latina.
Los webinarios se presentan en tres formatos diferentes para facilitar la participación de los profesionales y el aprovechamiento del contenido. La serie “From the Trenches” reúne a especialistas de diferentes áreas de seguridad de la información para discutir experiencias, desafíos y principales amenazas del día a día. Los “Security Briefings” se llevan a cabo mensualmente y ofrecen a los profesionales un panorama profundo sobre temas específicos de seguridad de la información, mientras que los “ThinkTanks” sirven como una mesa redonda para que especialistas influyentes presenten y debatan una variedad de temas que representan los principales desafíos enfrentados en el panorama actual.
Además de garantizar el acceso al contenido, cada sesión equivale a un crédito (1 CPE) en el programa de Educación Profesional Continua de (ISC)², utilizado por los miembros del instituto para el mantenimiento de la certificación. Para participar en los webinarios, acceda a https://www.isc2.org/events/default.aspx.
Agenda de webinarios para abril y mayo/2016:
  • Rock the CASB Part 2: Real World Use-Cases for Cloud Access Security Brokers ( 7 de abril )
  • The Only Constant is Change – GDPR and Data Privacy ( 14 de abril )
  • Part 2: The Rise of Automated Attacks – Take Back Control of your Web Accounts ( 21 de abril )
  • Rock the CASB Part 3: Enabling Secure BYOD with Cloud Access Security Brokers ( 5 de mayo)
  • Briefings Part 3: The Rise of Automated Attacks – Dissecting the Event (19 de mayo)
Todos los webinars mencionados empiezan a las 13:00 EST. A continuación, la hora convertida para algunos de los países de América Latina:
  • • Costa Rica, México (DF), Guatemala, Honduras y Nicaragua – 11:00
  • • Colombia, Panama, Peru y Ecuador – 12:00
  • • Venezuela – 12:30
  • • Bolivia y Paraguay – 13:00
  • • Argentina, Chile y Uruguay – 14:00
(ISC)² cuenta aproximadamente 110 mil miembros en más de 160 países. Reconocido mundialmente por su estándar de excelencia, (ISC)2 concede a profesionales cualificados las credenciales Certified Information Systems Security Professional (CISSP®) y concentraciones relacionadas, Certified Secure Software Lifecycle Professional (CSSLP®), Certified Cloud Security Professional (CCSPSM), Systems Security Certified Practitioner (SSCP®), HealthCare Information Security and Privacy Practitioner (HCISPP®), Certified Cyber Forensics Professional (CCFP®) e Certified Authorization Professional (CAP®).
Las certificaciones de (ISC)² están entre las primeras credenciales de tecnología de la información a cumplir con los estrictos requisitos de la norma ISO/IEC 17024, un estándar de referencia mundial para evaluar y certificar profesionales y equipos. (ISC)2 también ofrece programas educativos y servicios basados en su compendio de conocimientos (CBK®), un conjunto de temas sobre seguridad de softwares y de información.
Más información
Fuente: diarioti.com

CEOs. Detectan brecha entre equipos de seguridad y operaciones de TI (SecOps)

Una encuesta de BMC y Forbes Insights revela que los fallos en la seguridad más conocidos son la principal causa de exposición a violaciones de datos y amenazas cibernéticas.
El 60 % de los directores ejecutivos consideran que las discrepancias entre las prioridades de los equipos de seguridad y las operaciones de TI (SecOps) podrían provocar pérdidas de datos, disminución en el tiempo de productividad y dañas en la reputación de la empresa.
BMC, proveedor mundial en soluciones de software para TI, en asociación con Forbes Insights publicó el 31 de marzo los resultados de una encuesta sobre seguridad en la que participaron más de 300 directores ejecutivos, que revela que las fallas en la seguridad más conocidas son la principal causa de exposición a violaciones de datos y amenazas cibernéticas. El informe también confirma una brecha significativa entre los equipos de seguridad y de operaciones de TI (SecOps), que contribuye a pérdidas innecesarias de datos, disminución de la productividad y daños potenciales en la reputación de la empresa.
La encuesta muestra que el 44 % de las infracciones de seguridad ocurren incluso cuando las fallas de seguridad y sus soluciones ya se habían identificado. En términos simples, solucionar una falla de seguridad lleva demasiado tiempo una vez que el parche ya está disponible. Cuando se consultó por el motivo, el 33 % de los directivos afirmaron que priorizar qué sistemas arreglar primero representaba un gran desafío, ya que los equipos de seguridad y operaciones podrían tener prioridades diferentes.
Aunque los esfuerzos conjuntos de seguridad y operaciones de TI determinan, en definitiva, cuán sólida es la seguridad de una empresa, los objetivos individuales de estos dos grupos suelen ser diferentes. Las mayores zonas de riesgo para una empresa consisten en el procedimiento interno obsoleto y mal sincronizado que boicotean los esfuerzos por defenderse contra amenazas conocidas con rapidez. Al preguntarles sobre los desafíos a los que se enfrentan los equipos de seguridad y operaciones de TI, el 60 % de los directivos encuestados contestó que un equipo conoce los requisitos del otro solo en términos generales o muy vagamente. Sin embargo, prácticamente la mitad de ellos no tienen un plan para mejorar la coordinación entre estos dos grupos.
A medida que las compañías se preparan para el 2016, los CIO necesitan un plan para abordar la brecha de SecOps. El informe recomienda una serie de acciones, entre las que se incluyen las siguientes:
  • Crear grupos de trabajo funcionales y que compartan las preocupaciones en seguridad, cumplimiento y funcionamiento, e implementar reuniones frecuentes para establecer lealtad y confianza.
  • Desarrollar procesos de flujo de trabajo de cooperación que simplifiquen las interacciones entre el personal de seguridad, operaciones de TI y cumplimiento.
  • Reemplazar los procesos manuales propensos a errores con plataformas inteligentes de cumplimiento y seguridad que automaticen las pruebas y la implementación de parches de seguridad, y ofrezcan herramientas de gestión de información centralizadas.
“Dada la cantidad de vulnerabilidades en la seguridad de información que existen en el mundo actual, los equipos de seguridad y de operaciones de TI podrían beneficiarse ampliamente de una colaboración más estrecha y un flujo de trabajo más eficiente”, explicó Michael Allen, director de seguridad de información de Morningstar, Inc. “Acercar a los equipos de SecOps e implementar un enfoque integrado para automatizar los procesos de seguridad de información mejoró en gran medida la seguridad de los datos en Morningstar”.
“Debido a las amenazas cada vez más sofisticadas, llegó el momento de repensar la estrategia de seguridad tradicional, por departamentos y en silos”, comentó Chris Christiansen, vicepresidente de programas, productos y servicios de seguridad en IDC. “Los CIO deben responsabilizar tanto a los grupos de seguridad como a los de operaciones de TI por la identificación y resolución rápida de problemas, e integrar las actividades de seguridad y operaciones de TI para fortalecer la protección de sus organizaciones”.
Mas información
Fuente: diarioti.com