15 de mayo de 2017

CHINA. Descubre "mutación" del virus responsable del ciberataque mundial

Las autoridades de Pekín señalan que esta nueva versión del virus —WannaCry 2.0— se ha saltado las medidas de seguridad implantadas tras el primer ataque.
China ha anunciado este lunes que ha descubierto una nueva mutación del virus WannaCry, responsable del ciberataque a escala mundial que afectó a más de 150 países desde el viernes, informa hoy el diario oficial Global Times.
La Administración del Ciberespacio, el Departamento de Seguridad Pública de Pekín y la Comisión Municipal de Economía y Tecnología de la Información de la capital china emitieron un comunicado en el que aseguraron que esta nueva versión del virus —WannaCry 2.0— se ha saltado las medidas de seguridad implantadas tras el primer ataque.
WannaCry está basado en EternalBlue, aplicación desarrollada por la Agencia Nacional de Seguridad (NSA) estadounidense para atacar ordenadores que utilicen el sistema operativo Microsoft Windows, para lo que aprovecha los agujeros de seguridad, afirmó este periódico.
El director del Instituto de Estrategia en el Ciberespacio chino, Qin An, indicó que las "armas virtuales desarrolladas por Estados Unidos recuerdan al mundo el gran daño que la hegemonía estadounidense en las redes puede causar".
El comunicado añade que no puede evitarse una mayor propagación de este ransomware, que limita o impide a los usuarios el acceso al ordenador o ficheros a menos que paguen un rescate, y las administraciones han pedido a sus departamentos que actualicen sus sistemas operativos y desconecten de la red los equipos infectados.
Según un portal afiliado al comité municipal del Partido Comunista de China (PCCh) en Pekín, es probable que el virus "se propague más rápidamente" a partir de ahora, ya que muchas de las instituciones detienen su actividad durante los fines de semana.
Pese a que los informes de expertos internacionales en ciberseguridad aseguraban que China era uno de los países afectados desde un primer momento, los medios oficiales apenas han publicado información al respecto hasta ahora.
Sin embargo, un análisis de la compañía de antivirus china Qihu 360 cifró el número de infectados en "miles de ordenadores": 29.372 de compañías u organismos oficiales —especialmente en las provincias orientales de Jiangsu y Zhejiang—, de los cuales 4.341 pertenecen a instituciones educativas, las más afectadas.
Entre los afectados por el ataque en China, cuyo número continúa en aumento, se encuentran hospitales, estaciones de tren, universidades, oficinas gubernamentales y de correos o gasolineras.
La Sanidad británica evalúa el impacto del ciberataque
  • Otros afectados, como la Sanidad británica, aún evalúan las consecuencias del ciberataque del pasado viernes contra varios hopitales aunque ha pedido a los pacientes que no cancelen de momento sus citas médicas, después de que el ataque provocase la cancelación de operaciones.
  • El Servicio Nacional de Salud (NHS, por sus siglas en inglés) informó este lunes de que del incidente de los últimos días está surgiendo un "panorama complejo" de la situación, mientras muchos ordenadores de la Sanidad son encendidos esta mañana tras el fin de semana.
  • En el Reino Unido el NHS resultó castigado ya que, además de cancelarse intervenciones quirúrgicas, debieron retrasarse citas y desviar ambulancias, aunque los historiales de los pacientes, según el ministerio de Interior, no se vieron comprometidos. El virus que afectó al NHS es conocido como Wanna Decryptor y WannaCry.
Por otro lado, algunos ordenadores del Instituto Catalán de la Salud (ICS), especialmente en los ambulatorios, han dejado de funcionar esta mañana, según han informado fuentes del ICS, que desconocen el origen de la avería y el alcance de la misma. No está claro que se deba al ciberataque.
Fuentes del ICS han informado a Efe que han contactado con la compañía Telefónica, que es la servidora del servicio, para que diagnostiquen y solucionen el problema.
Fuente: Publico.es

CIBERSEGURIDAD. ¿Qué hacer tras el ciberataque global?

Check Point analiza cómo WannaCry ha afectado a empresas de todo el mundo y explica qué medidas se pueden tomar para evitarlo.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP) analiza el origen y las consecuencias del ciberataque masivo que ha puesto a medio mundo en jaque.
¿Cómo es posible que los sistemas de seguridad no lo hayan detectado?
La seguridad nunca está garantizada al cien por cien y, en este caso, el factor humano ha tenido un papel importante: el malware ha conseguido penetrar a través de una vulnerabilidad de un equipo desactualizado utilizando la técnica del phishing. Es decir, ha sido un empleado el que ha abierto un correo electrónico que contenía el malware y esto ha desencadenado el problema a gran escala.
Según Mario García, director general de Check Point para España y Portugal “estamos ante un ataque nunca visto. Las dimensiones y la agresividad de este incidente global ponen de manifiesto la importancia que tiene la seguridad. Tenemos que pasar de las recomendaciones a la obligatoriedad: la realidad es que la seguridad IT es absolutamente imprescindible y hechos como el que acabamos de vivir lo demuestran”
Y de vuelta a la oficina…¿qué podemos hacer?
La herramienta más eficaz para luchar contra el ransomware es la prevención. Las medidas principales que debe tomar toda empresa son:
1.   Hacer copias de seguridad de los ficheros y archivos. El almacenamiento cloud y las redes corporativas tienen cada vez más protagonismo y se está perdiendo la costumbre de hacer copias de seguridad. Tener un duplicado de toda la información y los archivos es vital para evitar el sobresalto de un secuestro.
2.   Formar a la plantilla para que detecten amenazas potenciales. Una gran parte de las campañas de secuestro de datos siguen utilizando spam y phishing, como hemos podido comprobar en el caso de WannaCry. Por esta razón, la formación de los trabajadores es un elemento clave a la hora de evitar cualquier infección. Si son capaces de detectar los emails y las páginas web sospechosas, colaborarán de forma proactiva para mantener la empresa segura.
3.   Limitar el acceso a los datos y archivos. Las compañías deben asegurarse de que los empleados sólo tienen acceso a los ficheros que necesitan para trabajar. Así, en caso de una infección, la información de los servidores no se verá comprometida al completo. Es necesario poner todas las barreras necesarias para que, en caso de ataque exitoso, no afecte a todos los datos corporativos.
4.   Actualizar las herramientas de protección de la empresa y todos los sistemas operativos. Desde el punto de vista de la ciberseguridad, la actualización tanto de la solución como de los sistemas es fundamental
5.   Implementar una estrategia de seguridad con múltiples capas e incluir tecnologías de prevención contra amenazas avanzadas. Instalar una solución de seguridad multicapa es la mejor estrategia para evitar el secuestro de datos y sus desagradables consecuencias. Las compañías necesitan complementar sus soluciones de seguridad e IPS con herramientas avanzadas que les protejan contra el malware desconocido. Dos tecnologías clave que deben incluir son la desinfección de archivos y el sandboxing avanzado. Cada una de estas soluciones ofrece protección a un distinto nivel, pero combinadas con muy eficaces contra los ataques desconocidos a nivel de red y directamente en los endpoints.
Fuente: Diarioti.com

Actualización para Adobe Flash Player y Experience Manager Forms

Adobe ha publicado actualizaciones para solucionar siete vulnerabilidades en Flash Player y otra en Experience Manager Forms.
ADOBE FLASH PLAYER
  • Como es habitual todos los meses el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-15, destinado a solucionar siete vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
  • Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando una vulnerabilidad de uso de memoria después de liberarla y seis de corrupción de memoria. Los CVE asignados son: CVE-2017-3068 al CVE-2017-3074.
  • Adobe ha publicado la versión 25.0.0.171 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.
Recomendación
  • Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde http://www.adobe.com/go/getflash
ADOBE EXPERIENCE MANAGER FORMS
  • Por otra parte, Adobe ha publicado una actualización de seguridad para Adobe Experience Manager (AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle. Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0.
  • Está destinada a resolver una vulnerabilidad de obtención de información sensible, considerada importante, resultante del abuso del servicio de pre-population en AEM Forms (CVE-2017-3067). Se ha resuelto proporcionando a los administradores controles adicionales en la configuración para restringir las rutas de archivos y protocolos empleados para rellenar automáticamente un formulario.
Recomendación
Se han publicado las siguientes actualizaciones:
Más información:
Fuente: Hispasec

VERITAS NETBACKUP. Vulnerabilidades críticas

Se han anunciado tres vulnerabilidades críticas en Veritas NetBackup y NetBackup Appliance que podrían permitir a un atacante remoto escribir archivos y ejecutar código arbitrario en los sistemas afectados.
Veritas Backup es un popular y completo sistema de almacenamiento y restauración de copias de seguridad en red.
Detalle de la vulnerabilidad
  • Los problemas residen en el proceso 'bprd' en un servidor maestro. Podrían permitir evitar el filtrado de directorios por lista blanca y la ejecución de comandos a usuarios remotos sin autenticar como root/administrator (CVE-2017-8856). También se podría copiar cualquier archivo sobre otro en un host NetBackup en el dominio del servidor maestro y su posterior ejecución como root/administrator (CVE-2017-8857). Y por último la escritura de cualquier archivo en un host NetBackup host en el dominio del servidor maestro (CVE-2017-8858).
  • La vulnerabilidad está confirmada para NetBackup 8.0 (y anteriores) y NetBackup Appliance 3.0 (y anteriores).
Recomendación
Más información:
Fuente: Hispasec