15 de mayo de 2017

CHINA. Descubre "mutación" del virus responsable del ciberataque mundial

Las autoridades de Pekín señalan que esta nueva versión del virus —WannaCry 2.0— se ha saltado las medidas de seguridad implantadas tras el primer ataque.
China ha anunciado este lunes que ha descubierto una nueva mutación del virus WannaCry, responsable del ciberataque a escala mundial que afectó a más de 150 países desde el viernes, informa hoy el diario oficial Global Times.
La Administración del Ciberespacio, el Departamento de Seguridad Pública de Pekín y la Comisión Municipal de Economía y Tecnología de la Información de la capital china emitieron un comunicado en el que aseguraron que esta nueva versión del virus —WannaCry 2.0— se ha saltado las medidas de seguridad implantadas tras el primer ataque.
WannaCry está basado en EternalBlue, aplicación desarrollada por la Agencia Nacional de Seguridad (NSA) estadounidense para atacar ordenadores que utilicen el sistema operativo Microsoft Windows, para lo que aprovecha los agujeros de seguridad, afirmó este periódico.
El director del Instituto de Estrategia en el Ciberespacio chino, Qin An, indicó que las "armas virtuales desarrolladas por Estados Unidos recuerdan al mundo el gran daño que la hegemonía estadounidense en las redes puede causar".
El comunicado añade que no puede evitarse una mayor propagación de este ransomware, que limita o impide a los usuarios el acceso al ordenador o ficheros a menos que paguen un rescate, y las administraciones han pedido a sus departamentos que actualicen sus sistemas operativos y desconecten de la red los equipos infectados.
Según un portal afiliado al comité municipal del Partido Comunista de China (PCCh) en Pekín, es probable que el virus "se propague más rápidamente" a partir de ahora, ya que muchas de las instituciones detienen su actividad durante los fines de semana.
Pese a que los informes de expertos internacionales en ciberseguridad aseguraban que China era uno de los países afectados desde un primer momento, los medios oficiales apenas han publicado información al respecto hasta ahora.
Sin embargo, un análisis de la compañía de antivirus china Qihu 360 cifró el número de infectados en "miles de ordenadores": 29.372 de compañías u organismos oficiales —especialmente en las provincias orientales de Jiangsu y Zhejiang—, de los cuales 4.341 pertenecen a instituciones educativas, las más afectadas.
Entre los afectados por el ataque en China, cuyo número continúa en aumento, se encuentran hospitales, estaciones de tren, universidades, oficinas gubernamentales y de correos o gasolineras.
La Sanidad británica evalúa el impacto del ciberataque
  • Otros afectados, como la Sanidad británica, aún evalúan las consecuencias del ciberataque del pasado viernes contra varios hopitales aunque ha pedido a los pacientes que no cancelen de momento sus citas médicas, después de que el ataque provocase la cancelación de operaciones.
  • El Servicio Nacional de Salud (NHS, por sus siglas en inglés) informó este lunes de que del incidente de los últimos días está surgiendo un "panorama complejo" de la situación, mientras muchos ordenadores de la Sanidad son encendidos esta mañana tras el fin de semana.
  • En el Reino Unido el NHS resultó castigado ya que, además de cancelarse intervenciones quirúrgicas, debieron retrasarse citas y desviar ambulancias, aunque los historiales de los pacientes, según el ministerio de Interior, no se vieron comprometidos. El virus que afectó al NHS es conocido como Wanna Decryptor y WannaCry.
Por otro lado, algunos ordenadores del Instituto Catalán de la Salud (ICS), especialmente en los ambulatorios, han dejado de funcionar esta mañana, según han informado fuentes del ICS, que desconocen el origen de la avería y el alcance de la misma. No está claro que se deba al ciberataque.
Fuentes del ICS han informado a Efe que han contactado con la compañía Telefónica, que es la servidora del servicio, para que diagnostiquen y solucionen el problema.
Fuente: Publico.es

CIBERSEGURIDAD. ¿Qué hacer tras el ciberataque global?

Check Point analiza cómo WannaCry ha afectado a empresas de todo el mundo y explica qué medidas se pueden tomar para evitarlo.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP) analiza el origen y las consecuencias del ciberataque masivo que ha puesto a medio mundo en jaque.
¿Cómo es posible que los sistemas de seguridad no lo hayan detectado?
La seguridad nunca está garantizada al cien por cien y, en este caso, el factor humano ha tenido un papel importante: el malware ha conseguido penetrar a través de una vulnerabilidad de un equipo desactualizado utilizando la técnica del phishing. Es decir, ha sido un empleado el que ha abierto un correo electrónico que contenía el malware y esto ha desencadenado el problema a gran escala.
Según Mario García, director general de Check Point para España y Portugal “estamos ante un ataque nunca visto. Las dimensiones y la agresividad de este incidente global ponen de manifiesto la importancia que tiene la seguridad. Tenemos que pasar de las recomendaciones a la obligatoriedad: la realidad es que la seguridad IT es absolutamente imprescindible y hechos como el que acabamos de vivir lo demuestran”
Y de vuelta a la oficina…¿qué podemos hacer?
La herramienta más eficaz para luchar contra el ransomware es la prevención. Las medidas principales que debe tomar toda empresa son:
1.   Hacer copias de seguridad de los ficheros y archivos. El almacenamiento cloud y las redes corporativas tienen cada vez más protagonismo y se está perdiendo la costumbre de hacer copias de seguridad. Tener un duplicado de toda la información y los archivos es vital para evitar el sobresalto de un secuestro.
2.   Formar a la plantilla para que detecten amenazas potenciales. Una gran parte de las campañas de secuestro de datos siguen utilizando spam y phishing, como hemos podido comprobar en el caso de WannaCry. Por esta razón, la formación de los trabajadores es un elemento clave a la hora de evitar cualquier infección. Si son capaces de detectar los emails y las páginas web sospechosas, colaborarán de forma proactiva para mantener la empresa segura.
3.   Limitar el acceso a los datos y archivos. Las compañías deben asegurarse de que los empleados sólo tienen acceso a los ficheros que necesitan para trabajar. Así, en caso de una infección, la información de los servidores no se verá comprometida al completo. Es necesario poner todas las barreras necesarias para que, en caso de ataque exitoso, no afecte a todos los datos corporativos.
4.   Actualizar las herramientas de protección de la empresa y todos los sistemas operativos. Desde el punto de vista de la ciberseguridad, la actualización tanto de la solución como de los sistemas es fundamental
5.   Implementar una estrategia de seguridad con múltiples capas e incluir tecnologías de prevención contra amenazas avanzadas. Instalar una solución de seguridad multicapa es la mejor estrategia para evitar el secuestro de datos y sus desagradables consecuencias. Las compañías necesitan complementar sus soluciones de seguridad e IPS con herramientas avanzadas que les protejan contra el malware desconocido. Dos tecnologías clave que deben incluir son la desinfección de archivos y el sandboxing avanzado. Cada una de estas soluciones ofrece protección a un distinto nivel, pero combinadas con muy eficaces contra los ataques desconocidos a nivel de red y directamente en los endpoints.
Fuente: Diarioti.com

Actualización para Adobe Flash Player y Experience Manager Forms

Adobe ha publicado actualizaciones para solucionar siete vulnerabilidades en Flash Player y otra en Experience Manager Forms.
ADOBE FLASH PLAYER
  • Como es habitual todos los meses el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-15, destinado a solucionar siete vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
  • Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando una vulnerabilidad de uso de memoria después de liberarla y seis de corrupción de memoria. Los CVE asignados son: CVE-2017-3068 al CVE-2017-3074.
  • Adobe ha publicado la versión 25.0.0.171 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.
Recomendación
  • Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde http://www.adobe.com/go/getflash
ADOBE EXPERIENCE MANAGER FORMS
  • Por otra parte, Adobe ha publicado una actualización de seguridad para Adobe Experience Manager (AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle. Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0.
  • Está destinada a resolver una vulnerabilidad de obtención de información sensible, considerada importante, resultante del abuso del servicio de pre-population en AEM Forms (CVE-2017-3067). Se ha resuelto proporcionando a los administradores controles adicionales en la configuración para restringir las rutas de archivos y protocolos empleados para rellenar automáticamente un formulario.
Recomendación
Se han publicado las siguientes actualizaciones:
Más información:
Fuente: Hispasec

VERITAS NETBACKUP. Vulnerabilidades críticas

Se han anunciado tres vulnerabilidades críticas en Veritas NetBackup y NetBackup Appliance que podrían permitir a un atacante remoto escribir archivos y ejecutar código arbitrario en los sistemas afectados.
Veritas Backup es un popular y completo sistema de almacenamiento y restauración de copias de seguridad en red.
Detalle de la vulnerabilidad
  • Los problemas residen en el proceso 'bprd' en un servidor maestro. Podrían permitir evitar el filtrado de directorios por lista blanca y la ejecución de comandos a usuarios remotos sin autenticar como root/administrator (CVE-2017-8856). También se podría copiar cualquier archivo sobre otro en un host NetBackup en el dominio del servidor maestro y su posterior ejecución como root/administrator (CVE-2017-8857). Y por último la escritura de cualquier archivo en un host NetBackup host en el dominio del servidor maestro (CVE-2017-8858).
  • La vulnerabilidad está confirmada para NetBackup 8.0 (y anteriores) y NetBackup Appliance 3.0 (y anteriores).
Recomendación
Más información:
Fuente: Hispasec

13 de mayo de 2017

CIBERSEGURIDAD. Europol afirma que ciberataque fue de un "nivel sin precedentes"

La agencia de cooperación policial europea Europol ha movilizado a su unidad de ciberdelincuencia para investigar el ataque sufrido el viernes por miles de organizaciones de al menos 99 países, considerado de "un nivel sin precedentes" en la historia.
El Centro Europeo de Ciberdelincuencia está ya apoyando a los países que se han visto afectados en la medida en que la institución considera necesaria una "investigación internacional" para esclarecer el alcance y la autoría del ataque con 'ransomware', ha informado Europol. Por su parte, la justicia francesa ha abierto una investigación por los ciberataques. Los expertos de Europol estiman en más de 50.000 el número de organizaciones víctimas de los ataques.
Además de golpear al Sistema Nacional de Salud de Reino Unido, a la banca y los ferrocarriles rusos o al sistema informático de la compañía de trenes alemana Deutsche Bahn, llegó, entre otros, a Taiwán, Ucrania o Turquía. La empresa checa de antivirus Avast, que figura entre las diez primeras del mundo, informó hoy de que el ciberataque afecta ya a 99 países.
El "ransomware", en este caso una variación del denominado 'Wannacry', es un tipo de virus que se instala en un ordenador, "encripta y secuestra" todos sus ficheros, para, a continuación, pedir un rescate en 'bitcoin', una moneda virtual, que no se puede rastrear, explica Muñoz-Grandes.
Se avecinan nuevos ataques
  • "La seguridad total no existe", advierte este experto en antimalware quien recuerda que hace décadas las actualizaciones de antivirus se hacían cada ciertos meses y manualmente, mientras hoy se efectúan cada hora y aún así "son insuficientes", advierte.
  • Según el socio director de la empresa de ciberseguridad S2Grupo, Jose Rosell, para evitar este tipo de ataques se debe tener el nivel de parcheo adecuado, el bloqueo de las comunicaciones locales, efectuar copias de seguridad extraordinarias y apagar los equipos no esenciales, de cuyo uso se pueda prescindir.
  • Todos los expertos consultados creen que 2017 registrará un incremento de este tipo de ataques que serán cada vez "más sofisticados" y que afectarán tanto a empresas como a particulares, y, probablemente, llegará a los 'smartphones' (teléfonos inteligentes), que hasta ahora no se ven afectados por este tipo de secuestros.
  • El ataque sufrido por Telefónica "es significativo, pero no sorprende, no es ni será el último caso" señala el experto en ciberseguridad y colaborador de EFE Deepak Daswani, quien ha recordado otros casos relevantes como el ataque a Yahoo en 2015 con robo masivo de correos o a Sony en 2014.
  • La mayoría de empresas del IBEX 35 han tenido en algún momento un ataque similar sin llegar a la magnitud del de Telefónica, ha sostenido el experto en seguridad y director del programa Mundo Hacker de TVE, Antonio Ramos.
  • El director del Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas de la Universidad Politécnica de Cataluña, Manuel Medina, ha advertido en declaraciones a Efe, la facilidad para generar este tipo de ataques, ya que en el "mercado negro" se pueden adquirir "kit" para fabricarlos a precios relativamente bajos y muy rentables cuando se compara con el daño que son capaces de hacer.
Recomendación
  • La Asociación de Internautas (AI) aunque lamenta el ataque niega que se haya producido "un caos mundial en Internet".
  • Además, explica que para prevenir este ataque, "es tan fácil como tener nuestro equipo Windows actualizado, un buen antivirus actualizado también y por ultimo instalar un cortafuegos".
Fuente: Expansion.com

CIBERSEGURIDAD. De cómo investigador anónimo detuvo con 10 euros ciberataque global

Un investigador británico, @MalwareTechBlog en Twitter, dice haber encontrado un "kill-switch", un interruptor de apagado de emergencia, en el código del ransomware, y ha hecho uso de él. En concreto, y según él asegura al diario The Guardian, WannaCrypt incluía en una parte de su código una conexión a un dominio concreto: si se conectaba, el malware se "dormía"; si no, procedía a atacar.
El dominio no estaba registrado, así que @MalwareTechBlog decidió registrarlo. Por unos 10 euros consiguió hacerse con dicho nombre de dominio e, inmediatamente después, comenzó a recibir a través de él numerosas peticiones de equipos infectados. Las redirige a un servidor sinkhole, a través del cual está detectando datos del ataque y enviándolos, según él asegura, al FBI. Como el ransomware detecta que hay conexión, entonces no infecta el equipo. 
Captura del código donde se puede ver que WannaCrypt intenta conectarse a un dominio y, en función de la respuesta, sigue con el ataque o no.
La solución de @MalwareTechBlog nos sirve, además, para hacernos una idea de los numerosos ataques que WannaCrypt está intentando a nivel global. Con la procedencia de las solicitudes que recibe a través del dominio registrado, el investigador ha elaborado un mapa en tiempo real que muestra desde dónde se conectan los ordenadores infectados y el New York Times ha optado por enseñar en un mapa en diferido la evolución de las infecciones en todo el mundo.
La existencia de este "kill-switch" ha sido confirmada por Malwarebytes y por Talos Intelligence, perteneciente a CISCO.
   Las estadísticas comenzaron a detectar un aumento de peticiones DNS sobre dicho dominio a partir de las 07.24 UTC, hasta alcanzar las 1.400 simultáneas horas más tarde:
Pero ¿ha detenido el ataque?
Infections for WannaCry/WanaDecrpt0r are down due to @MalwareTechBlog registering initial C2 domain leading to kill-switch #AccidentalHero
— Warren Mercer (@SecurityBeard) 12 de mayo de 2017
Todavía es pronto para responder, pero todo parece indicar que sí o, al menos, está ayudando a ralentizar la infección de nuevos equipos. Darien Huss, de la compañía de ciberseguridad Proofpoint, así lo asegura, y también CISCO a través de Warren Mercer, responsable técnico de Cisco Talos, y del propio análisis de Talos Intelligence que comentábamos antes. En Malwarebytes lo confirman y además lo explican así:
·  El WinMain de este ejecutable primero se intenta conectar al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. No descarga nada de allí, simplemente intenta conectarse. Si se conecta, deja de ejecutarse.
·     Esto era probablemente una especie de kill-switch o técnica anti-sandbox. Pero, fuera lo que fuera, ha resultado contraproducente contra los autores del gusano, ya que el dominio ha sido redigirido a un sinkhole y el host en cuestión ahora resuelve una IP que hospeda un sitio web. Por tanto, nada pasará a los nuevos sistemas en los que se ejecute este ejecutable. Esto sólo se aplica a esta variante con el hash que hemos compartido; podría haber nuevas versiones en el futuro
Mercer se refiere a @MalwareTechBlog como un "héroe accidental", y el propio investigador británico lo confirma: "Confieso que no sabía que registrar el dominio detendría el malware hasta después de registrarlo, así que inicialmente fue accidental".
Probablemente aparezcan nuevas variantes que no puedan detenerse con este método
  • Eso sí, esto no significa que las maldades de WannaCrypt se hayan terminado aquí. Los ordenadores infectados siguen infectados y, además, si alguien decidiera modificar el malware y volver a distribuirlo con otro dominio o directamente sin esa línea de código, podríamos volver a encontrarnos con una epidemia mundial, según advierten @MalwareTechBlog y otros expertos.
Recomendación
·        Parchear los sistemas lo antes posible.
Fuente: Xataca.com

CIBERSEGURIDAD. Ciberataque global interrumpe servicios en casi 100 paises

 Un gran ciberataque global que usó herramientas que se cree han sido desarrolladas por la Agencia de Seguridad Nacional de Estados Unidos golpeó el viernes a FedEx, provocó interrupciones en el sistema de salud de Reino Unido, e infectó computadoras en casi 100 países.
El desarrollador ruso de software para ciberseguridad Kaspersky Lab dijo que sus equipos habían contabilizado más de 45.000 ataques en 74 países en las primeras horas del viernes. Más tarde, su rival Avast llevó el recuento a 57.000 infecciones en 99 países, con Rusia, Ucrania y Taiwán entre los principales objetivos.
Hospitales y clínicas británicos se vieron obligados a rechazar pacientes y cancelar consultas porque sus computadoras fueron infectadas por una nueva y perniciosa versión de "ransomware" que se propagó rápidamente por todo el mundo, exigiendo pagos de hasta 6.000 dólares para restablecer el acceso a las redes.
FedEx Corp, el servicio líder de entrega de paquetes a nivel mundial, dijo que fue una de las compañías cuyo sistema Windows fue infectado con el malware, que según firmas de ciberseguridad fue distribuido a través de correos electrónicos masivos.
Solo una pequeña cantidad de compañías con sede central en Estados Unidos fue infectada porque los piratas informáticos parecen haber empezado su campaña de infección en organizaciones en Europa, dijo Vikram Thakur, gerente de investigación en el fabricante de software de seguridad Symantec.
Para cuando dirigieron su atención a organizaciones en Estados Unidos, los filtros de seguridad ya habían identificado a la nueva amenaza marcando como maliciosos a los correos electrónicos que la transportaban, dijo Thakur.
Entre los objetivos en España estuvo el gigante de las telecomunicaciones Telefónica, que precisó que el ataque se limitó a algunos computadores en una red interna y no afectó a clientes o servicios. Portugal Telecom y Telefónica Argentina también dijeron haber sufrido ataques.
En Rusia, los ministerios de Interior y Emergencias, así como el mayor banco del país, el Sberbank, dijeron haber sido objeto de ataques.
Funcionarios y expertos identificaron el ransomware como una nueva variante de "WannaCry", que tiene la capacidad de propagarse automáticamente a lo largo de grandes redes explotando una vulnerabilidad en el sistema operativo Windows.
Según la mayoría de los analistas de seguridad, esa vulnerabilidad fue desarrollada por la Agencia de Seguridad Nacional estadounidense y fue liberada el mes pasado en Internet por un grupo de hackers conocido como Shadow Brokers.
"Una vez que ingresa y comienza a moverse a través de la infraestructura, no hay manera de pararlo", dijo Adam Meyers, un investigador de la firma de ciberseguridad CrowdStrike.
Microsoft lanzó un parche el 14 de marzo descrito como vital para los usuarios de Windows para reparar el fallo. "Hoy nuestros ingenieros agregaron detección y protección contra un nuevo software malicioso conocido como Ransom:Win32.WannaCrypt", informó el viernes la compañía en un comunicado.
Fuente: Reuters

CIBERSEGURIDAD. La red corporativa de Telefónica hackeada

Los empleados de Telefónica han recibido el aviso de dejar de trabajar y apagar los ordenadores tras un ataque informático con ransomware.
La red corporativa de Telefónica ha sido hackeada la mañana de este viernes, según se ha podido comprobar tras consultar con varios empleados en distintas oficinas de la compañía.
El CNI ha confirmado que se trata de un ataque masivo de ransomware a varias organizaciones que se ha llevado a cabo aprovechando una vulnerabilidad en Windows. A su vez, el Ministerio de Energía, Turismo y Agenda Digital, a través del INCIBE (Instituto Nacional de Ciberseguridad), ha asegurado que "el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías".
El origen de la infección no está confirmado en estos momentos, pero fuentes cercanas a la compañía apuntan que se trata de un ataque con origen en China y que se está pidiendo un rescate en bitcoins. La cifra exigida no está clara, a pesar de la imagen mostrada y podría equivaler a 300 dólares por equipo infectado o a 300 bitcoins, lo que dada la conversación actual serían 509.487 euros.
El ataque informático ha paralizado parte de la red informática de la compañía y numerosos empleados, tanto en Ronda de Comunicación como en la sede de Gran Vía en Madrid, no pueden trabajar o han sido enviados a sus domicilios.
Todos los empleados han recibido el aviso de apagar los ordenadores, incluidos colaboradores externos de la empresa que se conecten mediante VPN. Una cifra por determinar de equipos han mostrado pantallazos azules y errores a causa de la desconexión de la red, mientras que otros han mostrado rótulos e imágenes en referencia al rescate.
Fuentes de Telefónica, aseguran que en torno a un 85% de los ordenadores de la compañía han sido afectados por el gusano informático, que ha utilizado una traza similar a programas empleados en el pasado por SLAVIC. El CNI explica que este virus es una versión de WannaCry, que infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.
En el mensaje que aparece en pantalla, se exige un rescate en bitcoins para antes del 15 de mayo. En caso de no pagarse en dicho momento, se subirá la cifra y, llegado el día 19, borrarían los archivos a los que han tenido acceso. Esta táctica es bastante habitual en los ataques con ransomware.
Desde Telefónica, admiten el ataque y cifran en cientos los ordenadores afectados. No ha afectado a consumidores ni clientes de Movistar, que siguen pudiendo llamar y navegar por Internet en sus terminales. Aunque el servicio de atención al cliente funciona con problemas.
Una de las figuras más mediáticas en lo que respecta a la seguridad de Telefónica, Chema Alonso, ha acudido a Twitter para quitar hierro al ataque. "Las noticias son exageradas y los compañeros están trabajando en ello ahora mismo", asegura.
Fuente: El Mundo.es

CIBERATAQUE. Vodafone, Gas Natural, Indra e Iberdrola desconectan terminales por precaución

Telefónica ha sufrido una incidencia de seguridad informática que ha obligado a otras grandes compañías a tomar medidas de prevención.
"Vodafone no se ha visto afectado, pero como medida de prevencion, todos los ordenadores deben estar apagados, tanto los que estén en la oficina como los que estén en casa. Portatiles y de mesa, salvo guardias. Apaga tu portatil."
Con este mensaje, Vodafone ha comuncado a todos sus empleados que debían apagar sus ordenadores como medida de "higiene", ante el problema informático que ha sufrido Telefónica durante esta mañana. La operadora británica ha confirmado a este medio que no han sufrido ningún tipo de ciberataque, pero que han decidido tomar esta decisión como prevención.
Horas antes, cuando la noticia no había sido confirmada por Telefónica, Vodafone había escrito a sus empleados para evitar posibles ataques. La compañía explicaba a sus trabajadores que se trataba de un ataque "denominado ransomware, un software malicioso que al infectar a nuestro equipo facilita al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos, quitando así el control de toda la información y datos almacenados en el mismo". Para evitarlo, incluía unos consejos:
MUY IMPORTANTE: Si recibes un correo con un adjunto de un origen desconocido:
Lo más importante es que no abras ni hagas clik en ningún vínculo que aparezca, ya que puede contener un malware que puede afectar a tu equipo.
Elimina directamente el mensaje y, como te indicamos, no abras los enlaces o archivos que contenga.
Recuerda que estos correos también pueden llegar también a tu correo personal (Gmail, Yahoo, MSN...)
Este tipo de ataques suelen utilizar un elaborado correo que suplanta identidades de empresas externas.
IBERDROLA, INDRA Y GAS NATURAL
La operadora no ha sido la única en tomar medidas preventivas. Iberdrola, como usuario de Telefónica, ha indicado a todos sus trabajadores que cierren los ordenadores con carácter preventivo.
Lo mismo ha ocurrido en el caso de Gas Natural Fenosa e Indra que han decidido cerrar todos los ordenadores como prevención ante el problema de ransomware sufrido por Telefónica.
Otras de las compañías que en un primer momento aparecieron en los medios como afectadas por el ciberataque, ya han desmentido la noticia, como Capgemini, que ha enviado un comunicado urgente:
 "Capgemini desmiente que haya sufrido algún ataque. Capgemini no ha tenido ninguna incidencia de este tipo y toda la compañía está funcionando con total normalidad".
Fuente: Expansion.com

CIBERATAQUE. Oleada de ransomware afecta a multitud de equipos

Se está produciendo una infección masiva de equipos tanto personales como en organizaciones, por un malware del tipo ransomware que tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate. Así mismo, podría infectar al resto de ordenadores vulnerables de la red, catalogada de Importancia:  5 - Crítica
Recursos afectados:
  1. Microsoft Windows Vista SP2
  2. Windows Server 2008 SP2 and R2 SP1
  3. Windows 7
  4. Windows 8.1
  5. Windows RT 8.1
  6. Windows Server 2012 and R2
  7. Windows 10
  8. Windows Server 2016
Detalle e Impacto de la vulnerabilidad
  • El método de infección y propagación se produce aprovechando una vulnerabilidad del sistema operativo Windows. Se recomienda aplicar los últimos parches de seguridad publicados.
  • Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones,  ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es una variante de WCry/WannaCry, llamada WanaCrypt0r https://en.wikipedia.org/wiki/Ransomware
Recomendación
Fuente: INCIBE

Ejecución de código en Intelligent Management Center de HP

Se ha descubirto una vulnerabilidad en la plataforma Intelligent Management Center de HP que podría permitir a un atacante remoto la ejecución de código, catalogada de Importancia: 5 - Crítica
Recursos afectados:
  • Intelligent Management Center (iMC) Todas las versiones anteriores a iMC PLAT 7.3 E0504P04
Recomendación
HP ha publicado una nueva versión de iMC PLAT 7.3 E0504P04 que resuelve esta vulnerabilidad, para los siguientes productos:
  1. JD125A HP IMC Std S/W Platform w/100-node
  2. JD126A HP IMC Ent S/W Platform w/100-node
  3. JD808A HP IMC Ent Platform w/100-node License
  4. JD814A HP A-IMC Enterprise Edition Software DVD Media
  5. JD815A HP IMC Std Platform w/100-node License
  6. JD816A HP A-IMC Standard Edition Software DVD Media
  7. JF288AAE HP Network Director to Intelligent Management Center Upgrade E-LTU
  8. JF289AAE HP Enterprise Management System to Intelligent Management Center Upgrade E-LTU
  9. JF377A HP IMC Std S/W Platform w/100-node Lic
  10. JF377AAE HP IMC Std S/W Pltfrm w/100-node E-LTU
  11. JF378A HP IMC Ent S/W Platform w/200-node Lic
  12. JF378AAE HP IMC Ent S/W Pltfrm w/200-node E-LTU
  13. JG546AAE HP IMC Basic SW Platform w/50-node E-LTU
  14. JG548AAE HP PCM+ to IMC Bsc Upgr w/50-node E-LTU
  15. JG549AAE HP PCM+ to IMC Std Upgr w/200-node E-LTU
  16. JG747AAE HP IMC Std SW Plat w/ 50 Nodes E-LTU
  17. JG748AAE HP IMC Ent SW Plat w/ 50 Nodes E-LTU
  18. JG768AAE HP PCM+ to IMC Std Upg w/ 200-node E-LTU
  19. JG550AAE HPE PCM+ Mobility Manager to IMC Basic WLAN Platform Upgrade 50-node and 150-AP E-LTU
  20. JG590AAE HPE IMC Basic WLAN Manager Software Platform 50 Access Point E-LTU
  21. JG660AAE HP IMC Smart Connect with Wireless Manager Virtual Appliance Edition E-LTU
  22. JG766AAE HP IMC Smart Connect Virtual Appliance Edition E-LTU
  23. JG767AAE HP IMC Smart Connect with Wireless Manager Virtual Appliance Edition E-LTU
  24. JG768AAE HPE PCM+ to IMC Standard Software Platform Upgrade with 200-node E-LTU
Detalle de la vulnerabilidad:
  • No se han dado más detalles de la vulnerabilidad solucionada. Se ha reservado el identificador CVE-2017-5815 para esta vulnerabilidad.
Más información
Fuente: INCIBE

MICROSOFT. Boletines de seguridad de mayo de 2017

La publicación mensual de actualizaciones de seguridad de Microsoft este mes consta de 56 vulnerabilidades, 41 clasificadas como importantes y 15 de ellas críticas que permiten la ejecución de código de forma arbitraria. Los productos afectados incluyen .NET, DirectX, Edge, Internet Explorer, Office, Sharepoint y Windows, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
  1. Adobe Flash Player
  2. Internet Explorer 10
  3. Internet Explorer 11
  4. Microsoft .NET Framework 2.0 Service Pack 2
  5. Microsoft .NET Framework 3.5
  6. Microsoft .NET Framework 3.5.1
  7. Microsoft .NET Framework 4.5.2
  8. Microsoft .NET Framework 4.6
  9. Microsoft .NET Framework 4.6.1
  10. Microsoft .NET Framework 4.6.2
  11. Microsoft .NET Framework 4.6/4.6.1
  12. Microsoft Edge
  13. Microsoft Office 2016 paraMac
  14. Windows 10 para 32-bit Systems
  15. Windows 10 para x64-based Systems
  16. Windows 10 versión 1511 para sistemas 32-bit
  17. Windows 10 versión 1511 para sistemas x64
  18. Windows 10 versión 1607 para sistemas 32-bit
  19. Windows 10 versión 1607 para sistemas x64-based
  20. Windows 7 para sistemas 32-bit Service Pack 1
  21. Windows 7 para sistemas x64 Service Pack 1
  22. Windows 8.1 para sistemas 32-bit
  23. Windows 8.1 para sistemas x64
  24. Windows RT 8.1
  25. Windows Server 2008 para sistemas 32-bit Service Pack 2
  26. Windows Server 2008 para sistemas 32-bit Service Pack 2 (Server Core installation)
  27. Windows Server 2008 para sistemas Itanium Systems Service Pack 2
  28. Windows Server 2008 para sistemas x64 Service Pack 2
  29. Windows Server 2008 para sistemas x64 Service Pack 2 (Server Core installation)
  30. Windows Server 2008 R2 para sistemas Itanium Service Pack 1
  31. Windows Server 2008 R2 para sistemas x64 Service Pack 1
  32. Windows Server 2008 R2 para sistemas x64 Service Pack 1 (Server Core installation)
  33. Windows Server 2012
  34. Windows Server 2012 (Server Core installation)
  35. Windows Server 2012 R2
  36. Windows Server 2012 R2 (Server Core installation)
  37. Windows Server 2016
  38. Windows Server 2016 (Server Core installation)
Detalle e Impacto de la vulnerabilidad
Los productos afectados por vulnerabilidades críticas son:
  • Adobe Flash está afectado por 7 vulnerabilidades de corrupción de memoria que podrían resultar en la ejecución remota de código. Windows está afectado por estas vulnerabilidades, ya que Flash Player está integrado en Internet Explorer y Edge en Windows 8 y 10. Los identificadores reservados de las vulnerabilidades son  CVE-2017-3068, CVE-2017-3069, CVE-2017-3070, CVE-2017-3071, CVE-2017-3072, CVE-2017-3073, CVE-2017-3074.
  • Internet Explorer/Edge está afectado por múltiples vulnerabilidades de corrupción de memoria cuya explotación permitiría la ejecución remota de código al navegar por páginas web especialmente diseñadas con los permisos de usuario en cuestión. Los identificadores reservados de las vulnerabilidades son  CVE-2017-0221, CVE-2017-0222, CVE-2017-0224, CVE-2017-0227, CVE-2017-0228, CVE-2017-0229, CVE-2017-0235, CVE-2017-0236, CVE-2017-0240, CVE-2017-0266.
  • Windows SMB afectado por varias vulnerabilidades en Microsoft Server Message Block (SMB) 1.0 que podrían permitir a un atacante no autenticado ejecutar código arbitrario en el host de destino a través de paquetes especiales enviados servidor SMBv1 vulnerable. Los identificadores reservados de las vulnerabilidades son CVE-2017-0272, CVE-2017-0277, CVE-2017-0278, CVE-2017-0279.
  • Microsoft Malware Protection Engine esta afectado por una vulnerabilidad que permite la ejecución remota de código. Esta vulnerabilidad fue publicada fuera de ciclo 48 horas antes debido a la criticidad e la misma. Para mas información vea el correspondiente aviso Ejecución remota de código en Microsoft Malware Protection Engine.
Recomendación
Más información
Fuente: INCIBE

Fuga de información en Cisco WebEx Meetings Server

Cisco ha publicado un parche que corrige una vulnerabilidad en Cisco WebEx Meetings Server, catalogada de Importancia: 4 - Alta
Recursos afectados:
  1. Cisco WebEx Meetings Server 2.5
  2. Cisco WebEx Meetings Server 2.6
  3. Cisco WebEx Meetings Server 2.7
  4. Cisco WebEx Meetings Server 2.8
Detalle e impacto de la vulnerabilidad
  • Debido a una configuración incompleta de robots.txt y cuando la funcionalidad de Short URL no está activada, un atacante remoto no autenticado puede acceder a la planificación de reuniones de los clientes.
Recomendación
Más información
Fuente: INCIBE

7 de mayo de 2017

EEUU.. El Pentágono todavía usa Windows 95

Muchos de los sistemas críticos de seguridad del Pentágono funcionan con versiones anticuadas de Windows que al no estar conectados a Internet, el riesgo de sufrir ataques informáticos es más reducido
Actualizar teléfonos, ordenadores y otros dispositivos es una de las claves más básicas para tener dispositivos seguros, en parte porque las grandes compañías actualizan constantemente sus sistemas operativos, y en parte también porque dichas empresas abandonan las versiones más antiguas, haciéndolas más inseguras ante hackers y otros usuarios malintencionados.
Curiosamente, el mismísimo Pentágono hace oídos sordos a estas recomendaciones y todavía mantiene versiones muy anticuadas de Windows en algunos sistemas de seguridad que son críticos, tal y como expone la web especializada en defensa militar Defense One.
Según comenta uno de los responsables de la oficina del Subsecretario de Defensa de Energía, Instalaciones y Medio Ambiente, alrededor de un 75% de los ordenadores todavía trabajan con Windows XP, Windows 98 e incluso Windows 95, que ya tiene más de 20 años a sus espaldas. Y, al parecer, esto no pasa sólo en el Pentágono, sino que otras 15 instalaciones militares del Departamento de Defensa están en la misma situación.
En un contexto diferente, esto sería un problema inmenso, dado que dichos sistemas operativos ya no se actualizan oficialmente y alguien con conocimientos suficientes podría colarse en una de las instalaciones más importantes para el gobierno de los EEUU. Sin embargo, parece que los sistemas que funcionan con estas versiones tan viejas de Windows no están conectados a Internet, por lo que la única forma de colarse en ellos sería estar físicamente delante del dispositivo y acceder a su red cerrada, lo que sin duda no es tan sencillo. Eso no significa que no haya riesgos, pues sí existen comunicaciones entre ordenadores con sistemas operativos obsoletos que están conectados por red a otras instalaciones del Gobierno, lo que sí los haría más vulnerables a ataques informáticos.
El Pentágono está actualmente actualizando parte de su infraestructura a la última versión de Windows, si bien no parece que los ordenadores con funciones críticas vayan a ponerse al día con la misma velocidad que los equipos de oficina.
Más información
Fuente: El Mundo.es

FRANCIA. Correos electrónicos de campaña presidencial de francés Macron se filtran en internet

El comité de campaña del candidato Emmanuel Macron dijo el viernes que fue blanco de un "enorme" ataque informático que volcó a internet correos electrónicos, contratos y documentos contables, ocurrido precisamente poco antes que los franceses elijan a su futuro presidente entre el candidato de centro y la rival de ultraderecha Marine Le Pen.
Un usuario identificado como EMLEAKS publicó cerca de nueve gigabytes de datos en Pastebin, un sitio para compartir documentos que permite subir material de forma anónima. No fue posible comprobar inmediatamente si la información subida era genuina, ni la identidad de la persona que la publicó.
"El movimiento En Marche! (¡En marcha!) ha sido víctima de un ataque coordinado de gran escala esta tarde, que ha dado paso a la difusión en las redes sociales de información interna", informó el movimiento político de Macron a través de un comunicado.
Un representante del Ministerio del Interior de Francia no quiso referirse al tema, aduciendo reglamentaciones que prohíben hacer comentarios que pudieran influenciar una elección y que entraron en vigencia a la medianoche del viernes (2200 GMT) y abarcan hasta el cierre de los últimos centros de votación el domingo a las 1800 GMT.
Las encuestas mostraban que Macron se encaminaba a derrotar a Le Pen en las elecciones de hoy domingo, en la que se considera la elección más importante del país en décadas.
El equipo de campaña de Macron ya había denunciado intentos de intervenir sus sistemas, que atribuyó a piratas informáticos rusos. El Kremlin negó que estuviera detrás de tales ataques.
En su comunicado, En Marche! declaró que los documentos que se divulgaron mostraban sólo el funcionamiento normal de una campaña presidencial, pero que textos auténticos se habían mezclado en las redes sociales con datos falsos para sembrar "duda y desinformación".
Fuente: Reuters

GOOGLE. Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas para corregir una nueva vulnerabilidad y ofrecer la migración a 64 bits.
El navegador se actualiza a la versión 58.0.3029.96 para Windows, Mac y Linux. En esta ocasión Google confirma la corrección de una nueva vulnerabilidad considera de gravedad alta.
Cabe señalar que en el aviso Google indica que para mejorar la estabilidad, rendimiento y seguridad los usuarios que actualmente cuentan con una versión de 32 bits de Chrome, y un Windows 64-bits con 4GB o más de memoria en la autoactualización se efectuará la migración automática a la versión 64 bits del navegador. La version 32 bits de Chrome seguirá estando disponible desde la página de descargas de Chrome.
La vulnerabilidad corregida está considerada como de gravedad alta y consiste en una condición de carrera en WebRTC (CVE-2017-5068). Según la política de la compañía ha supuesto 500 dólares de recompensa al descubridor del problema.  https://twitter.com/GoogleChromeDev/status/859479386063388672
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

WORDPRESS. Grave vulnerabilidad “0-day” que permite restablecer contraseñas

Se ha anunciado un grave 0-day en WordPress que podría permitir a un atacante sin autenticar conseguir el enlace de restablecimiento de contraseña y de esta forma obtener acceso a la cuenta de la víctima.
Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos. WordPress tiene un porcentaje de uso superior al 27% entre los principales 10 millones de sitios web. A su vez WordPress se sitúa como el sistema más popular de administración de blogs con más de 60 millones de usuarios.
El problema, con CVE-2017-8295, reside en la funcionalidad de reinicio de contraseña que podría permitir a un atacante obtener el enlace de restablecimiento de contraseña sin autenticación previa. Esto se debe a la utilización de datos no fiables de forma predeterminada al crear el correo de restablecimiento de contraseña, que se supone que solo se entrega al propietario de la cuenta.
[Adv.Update] #WordPress 4.7.4 Unauth. Pass Reset
Example scenarios divide into requiring interaction and no inter.https://t.co/d8g3kDzo0W
— Dawid Golunski (@dawid_golunski) 4 de mayo de 2017
De esta forma mediante la modificación de la petición http el atacante podrá construir una petición de solicitud de reinicio de contraseña de cualquier usuario. En determinadas configuraciones del servidor web, el atacante podrá enviar un valor de cabecera HTTP_HOST específicamente construido a la página de reinicio de contraseña para modificar los valores de cabeceras de correo SMTP 'From' o 'Return-Path' que se utilizan para enviar el correo electrónico de restablecimiento de contraseña. Si el servidor de correo electrónico del usuario de destino no puede enviar mensajes SMTP al usuario de destino, el correo electrónico de restablecimiento de contraseña se puede devolver a la dirección de correo electrónico del usuario remoto.
Como resultado, el atacante podrá obtener el código de restablecimiento de contraseña. El impacto específico depende del tipo de servidor web, la configuración del servidor web y las condiciones del propio escenario (por ejemplo, el estado del servidor de correo del usuario de destino).
Se ven afectadas todas las versiones de WordPress. Según Dawid Golunski, (@dawid_golunski) el investigador que ha reportado el fallo, comunicó el problema a WordPress repetidas veces desde julio del año pasado sin obtener respuesta. Por lo que finalmente ha decidido hacerlo público a pesar de no existir solución oficial.
Más información:
Fuente: Hispasec