18 de abril de 2017

EEUU. Achaca a "hacker" ruso detenido en España delitos de fraude informático

El delito de fraude informático es uno de los que la justicia estadounidense atribuye al programador ruso Piotr Levashov, uno de los "hackers" más buscados y que fue detenido la pasada semana en Barcelona por infectar ordenadores con "malware" y pedir luego una especie de "rescate" por liberarlos.
Según han informado a Efe fuentes jurídicas, ese es uno de los cargos que figuran en la Orden Internacional de Detención (OID) cursada por Estados Unidos contra Levashov y que ha servido de base para el arresto del "hacker" en España, que está ahora a la espera de que la justicia española se pronuncie sobre su posible entrega a ese país.
Levashov declaró ante la juez de guardia de la Audiencia Nacional Carmen Lamela el pasado viernes por la tarde por videoconferencia desde Barcelona y se negó a ser extraditado a Estados Unidos, tras la que la magistrada dictó su ingreso en prisión en espera de que el país norteamericano formalice su petición de entrega ante el tribunal español.
Las autoridades estadounidenses tienen ahora 40 días para facilitar a España los documentos en los que sustentan sus cargos contra el ciudadano ruso, tras lo que se celebrara una vista de extradición ante un tribunal de la Audiencia Nacional, que decidirá si concurren los requisitos para que sea juzgado en Estados Unidos.
El detenido, de 36 años, creó una infraestructura cibernética en forma de 'botnet' o red a través de la que controlaba cientos de miles de ordenadores distribuidos internacionalmente, según ha informado la Dirección General de la Policía.
No sólo sustraía credenciales personales de los ordenadores, sino que también distribuía 'spam' o contenido no deseado y los infectaba con un 'software' malicioso o 'malware' a través del que bloqueaba el acceso a la información y pedía después un rescate económico para descifrarlo.
Más de 10 años creen los investigadores que Levashov ha estado 'hackeando' los ordenadores a nivel mundial, obteniendo con ello importantes beneficios económicos. Gracias a su detención, los agentes han podido liberar de manera masiva ordenadores infectados de las víctimas.
Su mujer, María Levashova, explicó a la televisión internacional rusa RT que su marido fue detenido en cumplimiento de una orden de busca y captura de Estados Unidos que acusa al programador de haber participado en el presunto ciberespionaje orquestado por el Kremlin para favorecer la victoria del republicano Donald Trump.
"Hablé con mi marido en comisaría por teléfono. Dijeron algo de un virus que supuestamente creó mi marido, relacionado con la victoria de Trump", dijo María Levashova a RT.
Las autoridades estadounidenses, con el FBI y los servicios secretos a la cabeza, investigan la presunta relación entre el Kremlin y la campaña electoral de Trump, quien tomó posesión en enero pasado de la presidencia.
La investigación sostiene que Rusia organizó el "hackeo" de los ordenadores del Partido Demócrata para perjudicar la candidatura de Hillary Clinton y allanar el camino a la victoria de Trump en las elecciones presidenciales.

Fuente: La Vanguardia

UNIÓN EUROPEA. Las obligaciones del nuevo reglamento GDPR

A partir de mayo de 2018 entrará en vigor el nuevo reglamento de protección de datos de la Unión Europea, conocido como la directiva GDPR (Reglamento General de Protección de Datos). Esta directiva será de obligatorio cumplimiento para todas las empresas de la Unión Europea que manejen cualquier tipo de información personal y su incumplimiento puede suponer multas de hasta 20 millones de euros.
GDPR: Obligaciones de empresas para almacenar y procesar datos personales
Esta nueva normativa se resume, principalmente, en 3 niveles.
  1. El primero de los niveles busca obligar a las empresas a implementar una organización de los datos coherente y estructurada, reduciendo así el riesgo de incumplir la GDPR al tener todos los datos organizados y facilitar, además, las auditorías de cumplimiento de esta normativa. Además, también se dejan claros los procesos, procedimientos y políticas de cómo proteger los datos y actuar en caso de violación de datos.
  2. En el segundo de los niveles se especifican las medidas técnicas necesarias para el cumplimiento de la normativa. De esta manera, los controladores son los responsables de demostrar el cumplimiento del reglamento y asegurarse de que los empleados están informados de sus obligaciones. Además, también explica el cómo se debe actuar en caso de violación y las políticas a cumplir, pudiendo imponerse multas cuando no se notifique a tiempo una violación. También se especifican los derechos del sujeto, la comunicación de la información de privacidad y los principios de la seguridad de los datos y el cifrado que deben tener estos.
  3. En el tercer nivel se aplican las medidas a nivel de los datos, obligando a tener bien declarado el origen de los datos, qué datos personales se guardan y con quién se comparten. Además, se debe definir el cómo se procesan todos estos datos.
Los expertos de seguridad de ESET han habilitado una página web que nos permiten ver un resumen con todas las obligaciones de esta nueva normativa y nos permitan, además, descargar de forma totalmente gratuita una guía para el cumplimiento de la GDPR que ayudará a las empresas a asegurarse de estar cumpliendo con este reglamento.
Como ya hemos dicho, este nuevo reglamento entrará en vigor a partir de mayo de 2018, en poco más de un año. Sin duda, una nueva normativa necesaria para proteger nuestros datos en un mundo cada vez más conectado y en el que cada vez confiamos más información personal a las empresas. Eso sí, debemos admitir que el reglamento es muy complejo y cuenta con multas por incumplimiento muy elevadas, por lo que, si tienes una empresa, lo mejor es contratar un auditor que certifique que, efectivamente, se está cumpliendo este reglamento, antes de que sea demasiado tarde.
Fuente: Redeszone.net

CIA. Director Agencia Inteligencia describe WikiLeaks como "servicio de inteligencia hostil"

El director de la CIA, Mike Pompeo, describió el jueves a Wikileaks como un "servicio de inteligencia hostil" que a menudo es secundado por algunos estados, como el caso de Rusia el año pasado durante la campaña presidencial estadounidense.
"WikiLeaks opera como un servicio de inteligencia hostil y habla como un servicio de inteligencia hostil", dijo Pompeo ante una audiencia en un centro de estudios de Washington.
El servicio de inteligencia ruso GRU utilizó al grupo activista para distribuir material filtrado durante las elecciones presidenciales de Estados Unidos en el 2016, sostuvo Pompeo.
WikiLeaks reveló una serie de correos electrónicos entre los demócratas durante la campaña del 2016 que según los servicios de inteligencia estadounidenses fueron obtenidos mediante hackeos por Rusia para influenciar en las elecciones, favoreciendo al ahora presidente Donald Trump.
El fundador de WikiLeaks, Julian Assange, dijo que la publicación de esos correos no tenía como objetivo alterar el resultado de las elecciones.
En marzo, WikiLeaks publicó documentos describiendo las herramientas de hackeo y fragmentos de códigos computarizados de la CIA, aunque no publicó la totalidad de los programas necesarios para realizar seguimientos de teléfonos, computadores y televisores conectados a internet.
Funcionarios judiciales y de inteligencia dijeron que era probable que contratistas hayan violado las normas de seguridad y entregado esos documentos a WikiLeaks.
Los contratistas se han revelado como fuente de filtraciones sensibles para el Gobierno en los últimos años, especialmente por figuras como Edward Snowden y Harold Martin, ambos empleados por la consultora Booz Allen Hamilton mientras trabajaban para la Agencia Nacional de Seguridad (NSA).
Fuente: Reuters

IBM X-FORCE. Revela un récord histórico de vulnerabilidades y datos filtrados en 2016

Los cibercriminales empiezan a recoger datos no estructurados, el spam se dispara un 400 por ciento y el ransomware continua extendiéndose.
IBM Security ha dado a conocer los resultados de su informe 2017 IBM X-Force Threat Intelligence Index cuyas conclusiones revelan que el número de registros comprometidos se ha incrementado un 566 por ciento en 2016, pasando de 600 millones a más de 4.000 millones. Estas filtraciones incluyen datos en los que los ciberdelincuentes tradicionalmente han puesto foco como tarjetas de crédito, contraseñas e información personal médica; sin embargo en este informe se ha constatado un cambio en las estrategias de los ciberdelincuentes. En 2016 numerosas brechas de seguridad estaban relacionadas con datos no estructurados como archivos de email, documentos empresariales, de propiedad intelectual y códigos fuente.
IBM X-Force Threat Intelligence Index ha monitorizado durante 2016 a más de 8.000 clientes de seguridad en 100 países así como los datos derivados de activos no pertenecientes a los clientes como sensores de spam y honeynets (un tipo de sistemas de detección de intrusos). IBM X-Force pone trampas en redes de todo el mundo y monitoriza más de 8 millones de ataques de spam y phishing al día, a la vez que analiza más de 37 mil millones de páginas web e imágenes.
Según otro informe del pasado año, el método principal de ransomware se realiza vía archivos adjuntos maliciosos en correos spam. Esto ha generado un incremento del 400 por ciento en spam cada año en los últimos años con aproximadamente un 44% de spam conteniendo archivos maliciosos.
El sector financiero vuelve a ser foco de ciberataques
  • En 2015, el sector sanitario fue el más atacado, mientras que los servicios financieros estaban en tercer lugar. Sin embargo, en 2016 los ciberdelincuentes han vuelto a centrarse en el sector financiero. A pesar de ser el sector que más ciberataques ha recibido el pasado año, los datos del informe de X-Force revelan que fue el tercero en cuanto a registros comprometidos. Este bajo éxito a pesar del alto volumen de ataques indica que la inversión continuada en prácticas de seguridad ha ayudado a proteger a las instituciones financieras.
  • La industria sanitaria continúa siendo amenazada por un alto número de incidentes, a pesar de que los atacantes se centraron en objetivos más pequeños, por lo que se ha reducido el número de informes filtrados. En 2016, solo 12 millones de registros fueron comprometidos en este sector, frente a los 100 millones de 2015, lo que supone un descenso del 88 por ciento.
  • Las empresas del sector de la información y comunicación e instituciones gubernamentales sufrieron el mayor número de incidentes y registros atacados en 2016 (3.400 millones en el primer caso y 398 millones de registros filtrados en el caso de instituciones gubernamentales).
Buenas noticias para las estrategias defensivas
  • En 2016, la media de eventos de seguridad en clientes monitorizados por IBM era de más de 54 millones, un 3 por ciento más que en 2015. A medida que los sistemas de seguridad estén cada vez más sintonizados e integrados y van creciendo tecnologías innovadoras como los sistemas cognitivos el número de incidentes por organización bajará. De hecho el número de incidentes bajó un 48 por ciento en 2016.
Fuente: Diarioti.com

KASPERSKY LAB. Informe especial sobre las huellas de Lazarus

La empresa de seguridad presenta los resultados de una investigación realizada durante más de un año sobre la actividad de Lazarus, el famoso grupo de ciberdelincuentes que supuestamente está detrás del robo de 81 millones de dólares al Banco Central de Bangladesh en 2016.
Kaspersky Lab acaba de publicar los resultados de una investigación realizada durante más de un año sobre la actividad de Lazarus, el famoso grupo de ciberdelincuentes que supuestamente está detrás del robo de 81 millones de dólares al Banco Central de Bangladesh en 2016. Este robo está considerado uno de los mayores cibergolpes realizados hasta el momento y las investigaciones posteriores de diferentes empresas de seguridad TI, entre ellas Kaspersky Lab, atribuyen la autoría a Lazarus, un famoso grupo de ciberespionaje y cibersabotaje responsable de toda una serie de repetitivos y devastadores ataques, conocido desde 2009 por sus ataques a empresas manufactureras, medios de comunicación e instituciones financieras en al menos 18 países.
Aunque después del ataque en Bangladesh el grupo permaneció en silencio, Lazarus siguió en activo, preparando nuevas operaciones para robar fondos de otros bancos. Consiguieron introducirse en una institución financiera del sudeste asiático, pero los productos de Kaspersky Lab detectaron el ataque y lo detuvieron, por lo que estuvieron inactivos los meses posteriores. Después tomaron la decisión de dirigirse hacia Europa, pero de nuevo fueron neutralizados gracias al software de detección de Kaspersky Lab, así como por el trabajo de los equipos de respuesta rápida, análisis forense e ingeniería reversa de compañías de investigación.
Fórmula Lazarus
Tomando como base los resultados del análisis forense de estos ataques, los analistas de Kaspersky Lab han sido capaces de reconstruir el modus operandi del grupo
  1. Compromiso inicial: Un sistema sencillo del banco se ve comprometido, bien remotamente a través de un código de acceso vulnerable (p.ej. a través de un webserver) o mediante un ataque wateringhole aprovechándose de un exploit instalado. Una vez que se visita esa esta web, el ordenador de la víctima (el empleado de banco) recibe el malware que agrega componentes adicionales.
  2. Posición establecida: Es entonces cuando el grupo se mueve a otros hosts del banco y despliega backdoors permanentes, permitiendo que el malware vaya y venga como quiera.
  3. Reconocimiento interno: El grupo se dedica durante días y semanas a conocer la red y a identificar aquellos recursos de valor. Uno de esos recursos puede ser un servidor de backup, donde se almacena información de autenticación, un servidor de correo o los registros de procesos de transacciones financieras.
  4. Entregar y robar: Finalmente despliegan un malware especial capaz de evitar las medidas de seguridad del software financiero, procediendo a emitir transacciones no autorizadas en nombre del banco.
Geografía y referencia
  • Los ataques analizados por los analistas de Kaspersky Lab tuvieron lugar durante varias semanas. Sin embargo, los ciberdelincuentes han podido estar operando durante meses. Durante el análisis del incidente en el sudeste asiático, los expertos descubrieron que los hackers habían comprometido la red del banco al menos durante siete meses antes del momento en el que intervino el equipo de respuestas ante incidentes. De hecho, el grupo ya había conseguido acceder a la red de ese banco antes de que se produjera el incidente de Bangladesh.
  • Según los registros de Kaspersky Lab, desde diciembre de 2015 han ido apareciendo ejemplos de malware relacionados con las actividades del grupo Lazarus en instituciones financieras, casinos y desarrolladores de software para compañías de inversión de Corea, Bangladesh, India, Vietnam, Indonesia, Costa Rica, Malasia, Polonia, Irak, Etiopía, Kenia, Nigeria, Uruguay, Gabón, Tailandia y algún otro país. Los últimos ejemplos de los que Kaspersky tiene conocimiento han sido detectados en marzo de 2017, lo que evidencia que los cibercriminales no parecen tener intención de parar.
  • Aunque los ciberatacantes fueron cuidadosos en borrar sus huellas, al menos uno de los servidores afectados en otra campaña contenía un importante fallo al haberse dejado olvidado uno de los elementos. El servidor se había configurado como centro de comando y control de malware y las primeras conexiones inieron desde unos pocos VPN/servidores proxy indicando que eran pruebas para el servidor C&C. Sin embargo, había también una conexión corta en ese mismo día que procedía de una extraña dirección IP en Corea del Norte. Este es un detalle que puede indicar un posible origen del grupo Lazarus, o al menos de algunos de sus miembros. Sin embargo, todavía no es prueba suficiente para poder determinarlo, pues la conexión podría haber sido una operación de despiste.
  • El grupo Lazarus no deja de invertir en nuevas variantes de su malware. Durante meses han intentado crear un conjunto de herramientas que fueran invisibles a las soluciones de seguridad. Cada vez que lo han hecho, los especialistas de Kaspersky Lab han podido identificar ciertas características sobre cómo se había creado su código, permitiendo a realizar un seguimiento de nuevas variantes. En este momento, los ciberatacantes se mantienen relativamente silenciosos, lo que probablemente quiere decir que están trabajando en rearmarse.
“Estamos seguros de que les vamos a ver de nuevo en marcha. Ataques como los que ha realizado el grupo Lazarus demuestran como pequeños problemas de configuración pueden terminar en brechas de seguridad importantes, con resultados para las empresas de cientos de millones de dólares en pérdidas. Confiamos en que los responsables de bancos, casinos y compañías de inversión por todo el mundo, sean conscientes del peligro de Lazarus”, comenta Vitaly Kamluk, responsable del equipo de análisis e investigación global de Kaspersky Lab en APAC.
Los productos de Kaspersky Lab detectan y bloquean con éxito el siguiente malware utilizado por Lazarus
  1. Backdoor.Win32.Contopee.a,
  2. Backdoor.Win64.Agent.lo,
  3. Exploit.MSIL.CVE-2016-0034.b,
  4. HEUR:Trojan-Banker.Win32.Alreay.gen,
  5. Trojan-Banker.Win32.Agent.zvr, Etc.
La empresa también está facilitando indicadores de compromiso (IOC) claves, así como otros datos que ayudan a las organizaciones a buscar huellas de estos ataques en sus redes corporativas. Para más información puede visitar Securelist.com.
Fuente: diarioti.com

MILLENNIALS. Principal riesgo de la seguridad informática

Informe de Citrix y The Ponemon Institute concluye que los millennials hacen que sea necesario cambiar la arquitectura de seguridad informática debido a que usan cada vez más aplicaciones, dispositivos móviles y nuevos métodos para compartir la información y colaborar que plantean nuevos riesgos de seguridad a las empresas.
Según una encuesta reciente llevada a cabo por The Ponemon Institute y Citrix, existen dos riesgos de seguridad informática importantes para los que las empresas deben prepararse: los empleados millennial y el Reglamento General de Protección de Datos (GDPR), que próximamente entrará en vigor. El estudio global de más de 4000 profesionales de TI, de seguridad y de negocios arrojó que los millennials usan una cantidad cada vez mayor de aplicaciones y dispositivos móviles y nuevos métodos para compartir la información y colaborar que plantean nuevos riesgos de seguridad a las empresas. El estudio también mostró que la mayoría de las compañías dudan de su capacidad de cumplir con los rigurosos requisitos de seguridad y cumplimiento del Reglamento GDPR propuesto.
Las diferencias generacionales aumentan el riesgo de seguridad
  • La fuerza de trabajo actual está conformada por tres generaciones distintas, y cada una tiene una visión diferente sobre cómo compartir la información, la colaboración, la tecnología y el rol que desempeña la seguridad en cada uno de estos aspectos. El estudio global muestra que cada generación también es susceptible a distintos tipos de vulnerabilidades en materia de seguridad:
  • El 55% de los encuestados dedicados a la seguridad y a los negocios dijeron que los millennials, nacidos entre 1981 y 1997, suponen el riesgo más grande de eludir las políticas de seguridad informática y usar aplicaciones no aprobadas en el lugar de trabajo.
  • El 33% dijeron que la generación conocida como baby boomers, nacidos entre 1946 y 1964, son los más susceptibles a las estafas de phishing e ingeniería social.
  • El 32% dijeron que los miembros de la llamada Generación X, nacidos entre 1965 y 1980, son los que tienen más probabilidades de eludir las políticas de seguridad y usar aplicaciones y dispositivos no aprobados en el lugar de trabajo.
El Reglamento impone más requisitos en materia de seguridad
  • El Reglamento GDPR, que entrará en vigor en mayo de 2018, es una medida de la Unión Europea (UE) que apunta a proteger la información corporativa y los datos de los empleados ahora que los trabajadores están cruzando las fronteras digitales y físicas en todo el mundo. El Reglamento afectará a las empresas de todo el mundo, incluyendo a toda organización dentro y fuera de la UE que comparta datos o venda productos o servicios en la región. A medida que las empresas se preparan, deben sortear algunos obstáculos. El estudio de Citrix y The Ponemon Institute arrojó que el 67% de las empresas globales encuestadas están al tanto del GDPR, pero que sólo un 50 por ciento, aproximadamente, han comenzado a prepararse para el nuevo reglamento. Los obstáculos más importantes son:

  1. Las empresas con actividad comercial en Europa deben adaptarse: El 74% de los encuestados dicen que el GDPR tendrá un impacto importante y negativo en las operaciones de negocios. El 65% están preocupados por las nuevas multas de hasta 100 millones de euros o entre el 2% y el 4% del ingreso mundial anual.
  2. Las tecnologías deben proteger toda la información en todo lugar: El 52% de los encuestados considera que su infraestructura de seguridad no facilita el cumplimiento y la aplicación del reglamento con un enfoque centralizado del control, monitoreo y elaboración de informes sobre los datos.
  3. Repercusiones globales: Al 53% les preocupa el aumento de los efectos globales que traerá aparejado el GDPR, dado que impactará a más negocios, incluyendo a muchos que están fuera de la UE.

Derribando las barreras
  • El Director de Seguridad (CSO) Stan Black y el Director de Marketing (CMO) de Citrix Tim Minahan ofrecen consejos a las organizaciones para implementar la infraestructura adecuada para su negocio:
  • Stan Black, CSO de Citrix: “Todos somos susceptibles a una vulneración de seguridad. Las organizaciones no pueden tomarse su tiempo para implementar estrategias inteligentes de seguridad. La seguridad es una preocupación global, y ya sea una organización gubernamental grande o una pequeña empresa, el momento de actuar es ahora. Mientras se implementan estas normas más estrictas, se debe adoptar un enfoque estratégico, poner las cosas en perspectiva, educar a la fuerza de trabajo para crear una cultura consciente de la seguridad y buscar soluciones integrales que satisfagan las necesidades únicas de cada empresa. La arquitectura de seguridad del futuro es predictiva y adaptativa, y aprovecha los beneficios de las tecnologías emergentes para resolver los desafíos de seguridad empresariales”.
  • Tim Minahan, CMO de Citrix: “Desde que la transformación digital llevó a que el lugar de trabajo sea cualquier lugar, el acceso ya no se limita a las redes corporativas. Y si bien la fuerza de trabajo actual es más flexible y productiva, los enfoques tradicionales de la seguridad también deben evolucionar. Los datos cruzan fronteras digitales a cada minuto, y las arquitecturas de seguridad deben tener en cuenta esta fusión de la vida personal y la vida laboral. Una arquitectura de seguridad inteligente también tiene en cuenta las necesidades de la fuerza de trabajo, incluyendo las diferencias generacionales, para eliminar las amenazas a la seguridad que deberían ser fáciles de controlar para que las empresas puedan enfocarse en el negocio y en los clientes”.
Fuente: Diarioti.com

Utilizan documentos Word y Excel falsos para distribuir malware

Descargar archivos de Internet es una acción que hay que realizar con cierta prudencia. Los ciberdelincuentes se aprovechan del desconocimiento y confianza ciega que muestran los usuarios para distribuir malware. Podría decirse que esto es lo que está sucediendo en la actualidad. Se están valiendo de documentos Word y Excel falsos para que los usuarios descarguen un nuevo ransomware.
Aunque no se trata de una amenaza nueva, sí es cierto que se trata de una evolución de CryptoMix. Ha tenido bastante protagonismo en los últimos meses y parece bastante evidente que la publicación de variantes es una forma que posee los ciberdelincuentes para alargar la vida de esta amenaza informática. Mole es el nombre de la amenaza que nos ocupa.
Tal y como hemos comentado al comienzo, los ciberdelincuentes están utilizando documentos falsos de Word y Excel para distribuir la amenaza. O lo que es lo mismo, el usuario cree que está descargando un .docx o .xls. Sin embargo, el archivo final posee una extensión .exe. Es decir, el instalador del ransomware que hemos citado con anterioridad.
Es necesario mencionar que además de esta forma de distribución también están recurriendo a complementos falsos para la suite ofimática de Microsoft. Expertos en seguridad se han topado en repetidas ocasiones con plugin-office.exe. Como se puede imaginar, no se trata del instalador de un complemento.
Servicios a través de los que se distribuye la amenaza
  • Hemos precisado al principio del artículo que se están valiendo sobre todo de páginas web. Sin embargo, es cierto que no podemos dejar escapar la oportunidad para indicar que los ciberdelincuentes también están utilizando cuentas de correo electrónico que se han visto comprometidas para difundir mensajes que poseen como adjunto el instalador la amenaza, pero siempre haciendo mención a documentos de la suite de ofimática de los de Redmond o instaladores de complementos.
  • Cuando el usuario realiza la apertura del archivo aparece a simple vista un mensaje de error con un texto genérico. En este mensaje el usuario solo posee la opción “OK”. En realidad, se trata de un mensaje de UAC enmascarado. Pulsando en el único botón existente el usuario otorga al instalador permisos de administrador.
  • Esto desencadenará la ejecución del archivo C:\Windows\SysWOW64\wbem\WMIC.exe. Este hará uso del archivo que anteriormente se ha descargado el usuario.
  • Posteriormente, el usuario visualizará un mensaje de UAC para otorgar permisos de cambios en el equipo al ejecutable citado con anterioridad. En la mayoría de los casos el usuario no se lo pensará dos veces y pulsará en la opción “Sí”.
Consecuencias para el usuario y su equipo
  • Aunque no lo hemos mencionado aún, indicar que esta amenaza afecta a equipos Windows con versión 7 o superiores.
  • Una vez ejecutado, en primer lugar genera un ID que identificará al equipo infectado, enviado al servidor de control remoto de forma instantánea. Una vez hecho esto, comienza el cifrado de los archivos existentes en el equipo utilizando el algoritmo RSA de 1024 bits.
  • La clave se almacenará en la siguiente dirección: %UserProfile%\AppData\Roaming\26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE
Si tienes copias de seguridad en el equipo no servirán de nada
  • El problema de esta amenaza es que no solo limita la actividad al cifrado de los archivos. Posteriormente se centrará en desactivar procesos del sistema relacionados con mecanismos de seguridad, haciendo gala de los permisos de administrador de los que disfruta.
  • Una vez hecho esto pasará a centrarse sobre todo en detectar copias de seguridad y puntos de restauración y proceder a su eliminación y cifrado, haciendo inútil cualquier intento por parte del usuario de recuperar el acceso a la información. Muchos expertos en seguridad, a la vista de las consecuencias recomiendan realizar una instalación limpia del equipo Windows.
Fuente: Bleeping Computer

AUDITORIA INFORMATICA. Herramientas fundamentales para auditar Wi-Fi instaladas en Kali Linux

Kali Linux es el sistema operativo orientado a auditorías de todo tipo más utilizado del mundo. Esta distribución incorpora por defecto una gran cantidad de herramientas para realizar auditorías Wi-Fi, hoy os vamos a enseñar las seis herramientas fundamentales para auditar toda clase de redes inalámbricas.
Aircrack-Ng
  • Aircrack-ng es la herramienta más conocida y utilizada para la realización de auditorías inalámbricas. Si alguna vez has probado la seguridad de WEP o WPA, estamos seguros que has utilizado esta herramienta. Debido a que es una de las herramientas fundamentales para auditorías, viene por defecto en la distribución de Kali Linux.
  • Dentro de la suite Aircrack-ng que sirve para crackear las contraseñas inalámbricas con WEP o WPA, también tenemos otras herramientas como Aireplay-ng que nos sirve para generar tráfico en un punto de acceso y hacer ataques de desautenticación, Airodump-ng que nos sirve para capturar todos los paquetes que viajan por el aire de los diferentes routers o AP inalámbricos al alcance, y también tenemos Airbase-ng que nos servirá para configurar puntos de acceso falsos y hacer que las víctimas se conecten a ellos para lanzar ataques de ingeniería social.
  • Si vas a utilizar esta herramienta, es necesario disponer de una tarjeta Wi-Fi que soporte modo monitor y también inyección de paquetes, nuestra favorita es la TP-Link TL-WN722ND que podéis encontrar por tan solo 10 euros.
  • En la web oficial de Aircrack-ng podéis ver las últimas versiones e incluso descargar el código fuente de la herramienta.
Wash y Reaver
  • Wash y Reaver son dos herramientas diferentes para auditar equipos con el protocolo WPS (Wi-Fi Protected Setup) activado pero forman parte del mismo “paquete”. Para poder comprobar la seguridad del WPS deberemos utilizar las dos, por lo que es fundamental hablar de ambas a la vez.
  • Wash se encarga de determinar si el router o punto de acceso Wi-Fi tiene habilitado el WPS o no, además, nos dirá qué versión de WPS está utilizando y si el WPS está bloqueado por demasiados intentos fallidos. Después de que se descubriera la vulnerabilidad en el protocolo WPS, los fabricantes decidieron que el WPS de autobloquee tras un cierto número de intentos.
  • Reaver por otra parte, se encarga de probar múltiples contraseñas (por fuerza bruta) contra un determinado objetivo que tenga WPS activado, de esta manera, será capaz de recuperar los dos PINs para finalmente recuperar la contraseña WPA/WPA2 configurada en el propio router.
  • Os recomendamos acceder a la web oficial de Reaver-WPS donde encontraréis el código fuente.
PixieWPS
  • Esta herramienta también ataca el WPS, pero solo de ciertos routers que son vulnerables a ataques de WPS de manera offline. Actualmente todos los routers y AP nuevos no son vulnerables con este fallo, pero los que ya lo son podrás aprovecharlo para crackear dicho WPS en segundos.
  • Puedes descargar PixieWPS con el código fuente del Reaver-WPS original, ya que hay un proyecto que integra todas las herramientas.
Wifite
  • Wifite es una herramienta automatizada que se encarga de crackear redes con claves WEP, WPA, WPA2 e incluso WPS. Esta herramienta se encarga de capturar el handshake de WPA, desautenticar a los clientes inalámbricos, falsificar la dirección MAC y guardar la contraseña de la red. Es necesario tener aircrack-ng y reaver instalado para que todos los ataques funcionen, pero como Kali Linux los integra por defecto no deberemos preocuparnos.
  • En la web oficial de Wifite podéis encontrar en detalle todos los requisitos y lo que hace.
Hashcat
  • Es la herramienta por excelencia para crackear contraseñas utilizando tanto la CPU como la GPU de nuestro ordenador. Esta herramienta te servirá para crackear por fuerza bruta o diccionario el handshake WPA que hayas capturado previamente con la suite Aircrack-ng. Hashcat es hoy en día la herramienta más optimizada y más rápida para realizar este tipo de tareas.
Fern Wifi Cracker
  • Esta herramienta está escrita en Python y tiene una interfaz gráfica de usuario, es capaz de atacar redes WEP y WPA así como claves WPS, también es capaz de realizar ataques sencillos de hombre en el medio. Os recomendamos acceder al proyecto Fern Wifi Cracker en GitHub donde encontraréis toda la información.
  • En nuestra página dedicada a la seguridad informática tenéis más manuales sobre cómo realizar auditorías inalámbricas Wi-Fi. También os recomendamos darle una oportunidad a Wifislax, una distribución Linux orientada específicamente a auditorías inalámbricas de todo tipo.
Fuente : Redeszone.net

CARBON. La puerta trasera que ha puesto en jaque a instituciones europeoas y estadounidenses

Los ciberdelincuentes ponen toda la carne en el asador para conseguir acceder a los equipos y conseguir el robo de información. Turla ha sido uno de los malware que más han sonado en los últimos meses, sobre todo entre instituciones de todo el mundo. Desde ESET han querido desgranar una de las claves de este virus informático, escogiendo la puerta trasera Carbon.
La gran ventaja con la que cuenta esta amenaza es que posee la posibilidad de mutar sus vectores de ataque cuando son descubiertos e ineficaces ante herramientas de seguridad. Ni que decir que sus objetivos son equipos con sistema operativo Windows. Se detectó por primera vez hace tres años. Desde entonces, se han localizado hasta 8 variantes de la puerta trasera que nos ocupa en este artículo.
Carbon no posee una finalidad legítima, de ahí que sea noticia desde hace tiempo. En primer lugar, hay que decir que esta pieza de software se distribuye a través de correo electrónicos. Es decir, el usuario descarga un archivo adjunto y realiza su ejecución. Para enviar el mensaje se utilizan por norma general cuentas de correo electrónico que se han visto comprometidas. También s ehan localizado variantes en las que el archivo se distribuye a través de páginas web donde las cuentas del CMS se han visto comprometidas.
Una vez ejecutado el archivo comienza la instalación de software en el equipo.
Carbon y otros softwares distribuidos
  • Taydig o Skipper son dos de las puertas traseras más conocidas que contribuyen junto con Carbon a que el ciberdelincuente disponga de acceso remoto. Esto permitirá a los ciberdelincuentes instalar cualquier software a posteriori y sin que el usuario se percate de lo que está sucediendo en el equipo.
  • La arquitectura de Carbon es bastante sencilla. Tal y como apuntan desde ESET consiste en un dropper que se encarga de instalar otros softwares no deseados en el equipo. No es la primera vez que hablamos de este tipo de amenazas, pero sí que es cierto que esta es la más longeva.
 Peligro en la LAN
  • Lo realmente importante y que hay que tener en cuenta es que una vez infectado el equipo comprueba si existe alguna oportunidad para extenderse a otros vía red. Lo que queremos decir es que realiza un análisis de las IPs disponibles de forma local y trata de realizar su volcado a través de Samba.
  • Su peligro radica en que las variantes son muchas y no todas las herramientas de seguridad son capaces de detectar la amenaza antes de que haya infectado el equipo. Por este motivo se pide máxima precaución al acceder a mensajes de correo electrónico con archivos adjuntos.
  • Los daños provocados en equipos informáticos de instituciones han sido cuantiosos. Parece que por el momento no despiertan mucho interés los equipos domésticos.
Fuente: Resdezone.net

VMWARE VCENTER SERVER. Ejecución remota de código

La actualización de VMware vCenter Server resuelve una vulnerabilidad de ejecución remota de código a través de BlazeDS catlogada de importancia: 5 - Crítica
Recursos afectados:
  • VMware vCenter Server 6.5
  • VMware vCenter Server 6.0
Recomendación
  • Actualizar a la ultima versión, o aplicar los parches listados en la web del fabricante.
Detalle e impacto de la vulnerabilidad
  • VMware vCenter Server contiene una vulnerabilidad de ejecución remota de código explotable a través del uso de mensajes AMF3 de BlazeDS. Esta vulnerabilidad puede usarse para ejecutar código arbitrario al deserializar un objeto Java no confiable.
Más información
Fuente: INCIBE

BIND. Múltiples vulnerabilidades

Se han reportado tres vulnerabilidades explotables remotamente, una de ellas de criticidad alta, que afectan a varias versiones del software Bind., catalogada de  importancia:  4 - Alta
Recursos afectados:
Las siguientes versiones de Bind están afectadas:
  • 9.8.0 hasta la 9.8.8-P1,
  • 9.9.9 hasta la 9.9.9-P7,
  • 9.9.10b1 hasta la 9.9.10rc2,
  • 9.10.0 hasta la 9.10.4-P7,
  • 9.10.5b1 hasta la 9.10.5rc2,
  • 9.11.0 hasta la 9.11.0-P4,
  • 9.11.1b1 hasta la 9.11.1rc2,
  • 9.9.3-S1 hasta la 9.9.9-S9
Detalle e impacto de las vulnerabilidades
El detalle de las vulnerabilidades descubiertas es el siguiente:
  • Finalización de named cuando procesa una respuesta con registros en un orden no habitual (Criticidad Alta): Un servidor que está haciendo recursividad puede ser forzado sin un mensaje de fallo si recibe una respuesta conteniendo registros de recursos CNAME o DNAME con un orden determinado. Un atacante puede generar DoS a través de esta vulnerabilidad.
  • Error en la utilización de DNS64 con "break-dnssec yes" (Criticidad Media): Una petición con un conjunto específico de características podrían provocar a un servidor que utilice DNS64 un error de ejecución y terminación abrupta, lo que derivaría en una denegación del servicio.
  • Finalización de named con un error de REQUIRE si recibe una cadena de comando nula en su canal de control (Criticidad Media): Named dispone de un canal de control que, si está habilitado, puede permitir a un atacante remoto realizar un escalado de privilegios y parar el servidor sin tener permisos para ello, generando así la denegación del servicio.
Recomendación
  • Actualizar a la versión parcheada más moderna. Todas las versiones de Bind pueden ser descargadas desde la página de descargas.
Más información
Fuente: INCIBE

JUNIPER. Boletín de seguridad de abril de 2017

Juniper ha publicado un boletín de seguridad en el que se describen múltiples vulnerabilidades que afectan a varios de sus productos, catalogada de importancia: 5- Crítica
Recursos afectados:
  • Cualquier producto o plataforma que ejecute Junos OS con IPv6 y/o BGP habilitados o no.
  • NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1.
Detalle e impacto de la actualización
  • Se han corregido múltiples vulnerabilidades que afectan  a NorthStar Controller Application, una de ellas de severidad crítica: se puede ver el detalle de los fallos corregidos en la página de la base de conocimiento de Juniper.
  • Así mismo, se han corregido las siguientes vulnerabilidades de severidad alta:
  • Desbordamiento de búfer en controlador de teclado en Junos: un usuario local podría sobreescribir en una porción de kernel debido a que se realiza una comparación incorrecta en el manejador de ioctl. A esta vulnerabilidad se le ha asignado el identificador CVE-2016-1886.
  • Ataque de denegación de servicio por fragmentos atómicos de mensajes ICMPv6 PTB: un fallo en la gestión de mensajes ICMP Packet Too Big (PTB) podría ocasionar una condicion de denegación de servicio. Se ha asignado el siguiente identificador a esta vulnerabilidad: CVE-2016-10142.
  • Fallo y reinicio de rpd (routing process daemon) debido a mensajes UPDATE BGP especialmente diseñados: mensajes UPDATE BGP especialmente diseñados pueden ocasionar una condición de denegación de servicio si los fallos de rpd son provocados repetidamente. A esta vulnerabilidad se le ha asignado el identificador CVE-2017-2313.
Recomendación
  • Actualizar la plataforma o producto afectado según lo descrito en los recursos que se enumeran en el apartado Referencias de este aviso.
Más información
Fuente: INCIBE

ATAQUES DDOS. La rentabilidad del cibercrimen alcanza hasta el 95% de la inversión

El coste de una página desprotegida se sitúa entre los 46 y 92 euros, frente a un mínimo de 370 si la página está protegida
El precio medio de un ataque DDoS alcanza los 23 euros por hora. En el caso de ataque de un botnet integrado por 1.000 ordenadores de sobremesa es de 6,5 euros
Los expertos de Kaspersky Lab han analizado los servicios DDoS disponibles en el mercado negro y han observado cómo esta actividad ilegal ha crecido de manera notable, además de conseguir alcanzar unos mayores niveles de popularidad y rentabilidad. La conclusión del informe de Kaspersky Lab es muy preocupante, ya que indica que es posible lanzar un ataque con un coste mínimo de 6,5 euros por hora, mientras que para la empresa víctima los costes pueden llegar a suponer los miles o incluso los millones de euros perdidos.
Este tipo de ataque de denegación de servicio distribuido (DDoS) es una de las herramientas más populares en el arsenal de los cibercriminales. El motivo para lanzar un ataque DDoS puede ser desde el ciberacoso hasta la extorsión. También se usan con frecuencia para distraer la atención del personal de TI mientras se comete otro ciberdelito, como el robo de identidad o la implementación de malware.
El nivel de servicio requerido para lanzar un ataque de DDoS en el mercado negro no es muy distinto del necesario en un negocio legal. La única diferencia es que no existe contacto o relación entre el proveedor y el cliente. Los “proveedores de servicio” de este lucrativo negocio han creado sitio web en el que los interesados, después de registrarse, pueden seleccionar el servicio que buscan, pagar por él y luego recibir un informe sobre los ataques. En algunos casos, incluso se cuenta con un programa de fidelidad que ofrece recompensas o puntos por cada ataque realizado.
Existen muchos factores que pueden incidir en el precio del servicio, uno es el tipo de ataque y su fuente. Por ejemplo, un botnet construido sobre dispositivos IoT es más barato que un botnet a base de servidores. Otro factor a tener en cuenta es la duración de los ataques (medido en segundos, horas y días), y la ubicación del cliente. Los ataques DDoS sobre los websites de habla inglesa suelen ser normalmente más caros que ataques similares sobre sitios de lengua rusa.
Los ataques sobre websites gubernamentales y sobre otros recursos protegidos por soluciones anti-DDoS específicas, tienen un coste mucho mayor, pues mientras los primeros son más arriesgados, los segundos son más difíciles de llevar a cabo. Por ejemplo, en una página web de DDoS-as-a-Service, el coste por un ataque sobre una página web desprotegida puede ir desde los 46 a los 92 euros, mientras que un ataque a una página protegida sube hasta los 370 euros o más.
Así, un ataque DDoS puede costar desde los 4,6 euros por 300 segundos de duración hasta los 370 euros por un ataque de 24 horas. El precio medio de un ataque está en los 23 euros por hora. Los expertos de Kaspersky Lab también han estimado en 6,5 euros por hora el coste de un ataque de un botnet en la nube de 1000 ordenadores de sobremesa. Esto significa que los cibercriminales que organizan ataques DDoS consiguen alcanzar un beneficio de más de 16 euros por hora.
Existe otro escenario que ofrece una gran rentabilidad a los cibercriminales, que es el que se produce cuando éstos chantajean a sus víctimas con el pago de una cantidad de dinero a cambio de no ser víctimas de un ataque de DDoS o para que un ataque en marcha se suspenda. El importe exigido puede ser el de bitcoins equivalentes a miles de euros, llevando la rentabilidad del ataque hasta sobrepasar el 95%. De hecho, aquellos que llegan a chantajear a sus víctimas puede que incluso no cuenten con los recursos necesarios para lanzar el ataque mismo, siendo suficiente la simple amenaza.
“Los cibercriminales están constantemente buscando formas nuevas y económicas de organizar botnets, así como de escenarios cada vez más ingeniosos que a las soluciones de seguridad les cueste gestionar”, comenta Alfonso Ramírez, director general de Kaspersky Lab Iberia. “Por tanto, mientras existan servidores, ordenadores y otros dispositivos conectados a Internet vulnerables, y mientras que muchas compañías prefieran no invertir en seguridad frente a los ataques DDoS, podemos tener la seguridad de los ataques de DDoS seguirán creciendo, junto con su complejidad y frecuencia”.
Algunos cibercriminales no tienen escrúpulos a la hora de realizar ataques DDos al mismo tiempo que ofrecen sus servicios de protección contra ellos. Los expertos de Kaspersky Lab recomiendan que no se utilicen este tipo de servicios.
Fuente: Diarioti.com

macOS. El malware para esta plataforma creció un 744% en todo el 2016

Hace varias horas, la empresa de seguridad McAfee ha publicado un informe donde muestra el crecimiento del malware para macOS a lo largo de todo 2016. Según este informe, la empresa de seguridad ha detectado cerca de medio millón de nuevas amenazas durante todo el pasado año, demostrando eso un aumento del malware del 744% respecto al año anterior.
Según este informe, la mayoría de estas nuevas amenazas informáticas se tratan tan solo de adware, software publicitario, muy molesto pero que, en realidad, por sí mismo no supone una grave amenaza para los usuarios. De igual forma, la compañía indica que la principal forma de infección es a través de las macros de Office, técnica que lleva años sin utilizarse en Windows pero que, por algún motivo, ahora ha resurgido en macOS.
Aunque los datos son serios, en realidad casi son insignificantes en comparación con los de Windows o Android. Mientras que, por un lado, tenemos las casi 500.000 amenazas informáticas para el sistema operativo de Apple, en realidad se han detectado más de 600 millones de nuevas amenazas para Windows, mientras que para Android se han detectado más de 15 millones.
Fuente: Redeszone.net