22 de diciembre de 2017

EEUU. La Casa Blanca responsabiliza oficialmente a Corea del Norte por WannaCry

Mediante un artículo de opinión en The Wall Street Journal, Thomas Bossert, consejero de seguridad nacional de Donald Trump, ha responsabilizado oficialmente a Corea del Norte por el ataque de ransomware WannaCry, que causó estragos a nivel mundial en mayo pasado.
El funcionario comentó: “Por más de una década, Corea del Norte ha actuado de mala forma, en general sin ser responsabilizada. Este comportamiento maligno adquiere ribetes cada vez más peligrosos y WannaCry es un ejemplo en tal sentido. Sus consecuencias y repercusiones excedieron el ámbito económico. El software maligno perjudicó de manera especial las computadoras del servicio de salud pública del Reino Unido, dañando así sistemas dedicados a tareas de importancia crítica. Estas disrupciones pusieron en riesgo las vidas de las personas”.
Con ello, Estados Unidos secunda al Reino Unido, que en octubre acusó formalmente al régimen de Pyongyang de haber creado y distribuido WannaCry. Corea del Norte desmintió las acusaciones británicas, que calificó de especulaciones infundadas.
Las semanas posteriores al devastador incidente de WannaCry, tres empresas de seguridad informática, Kaspersky Lab, Symantec, y BAE Systems coincidieron en vincular a WannaCry con Lazarus Group, unidad de ciberespionaje norcoreana responsable de ataques contra Sony, el gobierno surcoreano y numerosas entidades bancarias de todo el mundo.
Bossert no aportó nuevas pruebas o información forense sobre la participación o responsabilidad de Corea del Norte en la orquestación del ataque.
Cabe señalar que WannaCry fue posible mediante la utilización de una ciberarma sustraída a la NSA, denominada EternalBlue.
La Casa Blanca complementó los comentarios de Bossert con declaraciones donde atribuye WannaCry a Corea del Norte. Las declaraciones sobre el tema comienzan en el minuto 40 de la siguiente grabación.
Fuente: Diarioti.com

EEUU. Alto funcionario dice que Facebook y Microsoft detuvieron ciberataques norcoreanos

Facebook Inc y Microsoft Corp actuaron la semana pasada para detener una serie de posibles ciberataques de Corea del Norte, dijo un alto funcionario de la Casa Blanca, mientras Estados Unidos culpaba públicamente a Pyongyang por un ataque informático en mayo que paralizó hospitales, bancos y otras empresas.
“Facebook eliminó cuentas y detuvo la ejecución operativa de ataques informáticos en curso y Microsoft actuó para corregir ataques existentes, no sólo el ataque WannaCry”, dijo el asesor de seguridad nacional de la Casa Blanca Tom Bossert el martes.
Bossert no proporcionó detalles sobre los hechos, pero dijo que el Gobierno de Estados Unidos instaba a otras compañías a cooperar en la defensa de la seguridad informática.
Bossert afirmó en una rueda de prensa en la Casa Blanca que Pyongyang era responsable del ataque informático WannaCry que infectó a cientos de miles de computadores en más de 150 países y sostuvo que Estados Unidos tiene evidencia clara de que Corea del Norte fue responsable, aunque no divulgó esa evidencia.
La acusación ocurrió en momentos de alta tensión con Corea del Norte por sus programas de armas nucleares y misiles.
Un portavoz de Facebook confirmó que la empresa borró la semana pasada cuentas asociadas con una entidad de pirateo informático vinculada a Corea del Norte conocida como Lazarus Group “para hacer más difícil que realicen sus actividades”.
Las cuentas eran mayormente perfiles personales operados como cuentas falsas usadas para construir relaciones con posibles blancos, comentó el portavoz.
Reino Unido y varios investigadores de seguridad del sector privado concluyeron previamente que Corea del Norte había sido responsable por el ataque. Bossert dijo que otros países, como Japón, Australia, Nueva Zelanda y Canadá también están de acuerdo con la conclusión de Estados Unidos.
Un alto funcionario del Gobierno dijo a Reuters el lunes que los organismos de Inteligencia de Estados Unidos tenían un “alto nivel de confianza” en que Lazarus Group llevó a cabo el ataque WannaCry.
Investigadores de seguridad y funcionarios estadounidenses creen que Lazarus fue el responsable del ataque informático contra Sony Pictures Entertainment en 2014 que destruyó archivos, filtró comunicaciones corporativas en la red y provocó el despido de varios altos ejecutivos.
No fue posible contactar de inmediato a representantes del Gobierno norcoreano para comentar, pero Pyongyang ha negado ser responsable del ataque WannaCry y calificó de campaña de difamación esa y otra acusaciones de que realizó ataques informáticos.
Fuente: Reuters

PREVISIÓN 2018. Los ciberdelincuentes preferirán Android y el sector sanitario

Sophos prevé que los ataques de malware dirigidos a dispositivos móviles y al sistema operativo Android sigan aumentando durante el año 2018. Asimismo, los sectores más vulnerables, como el sanitario, continuarán siendo objetivos clave de los ataques por ransomware.
Desde los juegos online, pasando por los dispositivos portátiles, hasta las apps de los móviles, la tecnología se está utilizando prácticamente en todos y cada uno de los momentos de la vida cotidiana de la gente. Sin embargo, la desventaja de vivir en la actual sociedad hiperconectada reside en que las personas también se encuentran en una situación de extrema vulnerabilidad frente a los ciberataques.
El Informe SophosLabs 2018 Malware Forecast revela cómo se está extendiendo el malware en las tecnologías de uso cotidiano y cómo cada año los ciberdelincuentes se vuelven más inteligentes en sus ataques, lo que hace que cada vez sea de mayor importancia que los usuarios sean más precavidos y estén más atentos a los posibles peligros que implican este tipo de amenazas.
Mientras que muchos usuarios pueden pensar que este tipo de ataques nunca les afectarán, la investigación realizada por Sophos, líder global en seguridad para protección de redes y endpoints, revela todo lo contrario. Ricardo Maté, director general de Sophos Iberia, desgrana los riesgos más destacados de 2017 señalados en el informe y matiza qué podemos esperar para 2018:
El ransomware puede estar en cualquier plataforma: móviles y tablets no se escapan
Este año, WannaCry sacudió al mundo entero ya que el cybersecuestro representó más del 45% de todo el ransomware rastreado, seguido muy de cerca por Cerber con un 44.2%, según el último Informe de Malware de Sophos. Tan solo en septiembre, el 30,4% del malware malicioso de Android procesado por SophosLabs fue ransomware. Estando la mayoría de estos ataques dirigidos a usuarios de Windows, pero viéndose aumentada la cantidad de ataques en otras plataformas, incluidas Android, Mac y Linux.
Los ataques de ransomware han reorientado su atención en los últimos dos años hacia los sectores con mayor probabilidad de pagar, como la sanidad, el gobierno, la infraestructura crítica y las pequeñas empresas. Debido a que el sector sanitario es una de las industrias más lucrativas por pagos de ransomware o venta de los registros médicos, la sanidad ha sido un gran objetivo en 2017 y sin duda continuará siéndolo en 2018.
El malware se esconde en las aplicaciones de Android
Al revisar Google Play, Sophos ha descubierto que la cantidad de las diferentes amenazas se había duplicado desde el año pasado. Un tipo de malware, apodado ‘GhostClicker’, estuvo en Google Play durante casi un año, disfrazándose como parte de la biblioteca de servicios. Este malware solicitaba permiso de administración del dispositivo y simulaba activamente los anuncios de clic para obtener ingresos.
Otro de los hallazgos fue Lipizzan, un spyware que infectó hasta 100 dispositivos. Aunque no parezca un gran número, resulta que se trataba de un malware específico diseñado concretamente para controlar la actividad del teléfono y extraer datos de aplicaciones populares, como el correo electrónico, el SMS, la ubicación o las llamadas de voz.
Los ataques de malware como éste no muestran signos de reducirse en un futuro, ya que los cibercriminales saben que funcionan. Por lo tanto, para evitar ser una víctima de malware para Android, Sophos sugiere a los consumidores que tengan en cuenta estos aspectos:
      Recurrir solamente a Google Play: aunque no sea perfecto, realiza un gran esfuerzo para evitar que el malware llegue en un primer momento.
      Evitar las aplicaciones con poca reputación y ser especialmente cauteloso al usar un dispositivo de la empresa.
      Parchear los dispositivos a menudo. Es necesario verificar la actitud de los proveedores ante las actualizaciones.
El número de aplicaciones maliciosas ha aumentado de manera constante en los últimos cuatro años, alcanzando casi los 3,5 millones en 2017, por lo tanto, es probable que veamos un nuevo aumento en 2018, incluidas trampas en juegos online aún más traicioneras.
Las filtraciones de datos no desaparecerán
La sociedad hiperconectada tiene su contra en que las personas son extremadamente vulnerables a los ciberataques, como quedó claro recientemente con el hackeo de Uber, que afectó a 57 millones de clientes y conductores. Lamentablemente, no hay motivos para creer que estas filtraciones de datos vayan a disminuir en 2018, y con la entrada en vigor del GDPR en mayo, continuará siendo un tema candente y que continuaremos viendo.
Es imposible predecir con total exactitud todo lo que sucederá en 2018, sin embargo, es bastante probable que Android y Windows continúen siendo fuertemente atacados con ransomware y otros tipos de malware. El correo electrónico también seguirá siendo el principal vector de ataque que amenace la seguridad cibernética corporativa, especialmente en el caso de ataques dirigidos.
Cuatro son las tendencias que han destacado en 2017 y que probablemente dominarán 2018:
1.    Una oleada de ataques ransomware alimentados por el RaaS, y amplificados por el resurgimiento de gusanos.
2.    Una explosión de malware de Android en Google Play y en otras plataformas.
3.    Continuos esfuerzos para infectar ordenadores Mac.
4.    Las amenazas en Windows, alimentadas por exploit-kits DIY (Do It Yourself), harán muy sencillo atacar las vulnerabilidades de Microsoft Office.
Fuente: Diarioti.com

CIBERDELINCUENCIA. También utiliza Inteligencia Artificial y aprendizaje automático

Así como la tecnología benigna crece, también el desarrollo de tecnologías criminales basadas en los principios de Inteligencia Artificial y Machine Learning comenzarán a surgir, lo que generará un conflicto entre máquinas, las cuales se adaptarán para superar a sus contrapartes. Esto creará un bando enfocado en la protección y otro en el ataque y daños a la información empresarial o personal.
La tecnología actual nace, crece y se desarrolla a velocidades sorprendentes. Cada año son producidos chips más potentes, dispositivos con mayor capacidad de operación y almacenamiento, algoritmos más complejos que engloban actividades específicas, aplicaciones más funcionales y todo un universo de posibilidades. Todo este panorama resultaría en una época llena de beneficios, de no ser por el creciente conflicto entre tecnologías que luchan constantemente entre ellas.
Seguramente ha escuchado premisas en películas y novelas de ciencia ficción en las que Inteligencias Artificiales han tomado conciencia, generando conflictos contra el hombre, y que, a pesar del desarrollo y esfuerzo tecnológico, la humanidad es incapaz de hacer frente ante esta amenaza, sea cual sea, debido al desarrollo veloz de tecnología. Esta situación los hace confiar en máquinas que sean capaces de enfrentarse entre ellas.
Suena a cliché, pero nada más cercano a la realidad. Durante este año, y en menos de seis meses, se registraron tres ataques que tomaron por sorpresa a usuarios y empresas a nivel mundial: Wanna Cry, NoPetya y BadRabbit; y tan sólo en el mes de octubre fueron filtrados 55,488,818[i] registros por distintas actividades delictivas. Poco a poco, el crecimiento y desarrollo de estas tendencias criminales ha hecho que las empresas comprendan que es necesario apoyarse de la tecnología para defenderse de la tecnología.
En la industria de la seguridad cada día aparecen vulnerabilidades y maneras novedosas de atacar a individuos y organizaciones usando sus herramientas de trabajo. Es tal la cantidad de distintos tipos de programación maliciosa que el hombre ha tenido que redoblar esfuerzos para hacer frente a la mayoría de estas amenazas. Sin embargo, en un futuro cercano será superado y su capacidad de respuesta será casi nula debido a la velocidad de propagación y a la complejidad que los archivos maliciosos demuestran día con día.
¿Cómo hacer frente a ello? Machine Learning e Inteligencia Artificial son tecnologías que poco a poco toman mayor presencia en el panorama de la seguridad, una paquetería que es capaz de aprender y adaptarse de forma natural ante las futuras tendencias, evolucionando a la par, entendiendo a una velocidad mucho mayor de qué manera contener actuales y futuros ataques digitales. De acuerdo con una encuesta de seguridad que realizamos a 300 profesionales de seguridad y TI, un 70% ha contemplado el uso de Machine Learning para su protección en los últimos 12 meses.
El uso de estas tecnologías evolutivas ha resultado en la contención de amenazas mucho antes de que sean ejecutadas; el hecho de que estos programas sean capaces de analizar el código que compone a cada uno de los archivos que entren a nuestros dispositivos es una muestra de su capacidad y velocidad de respuesta, lo cual por el momento nos ha otorgado una etapa de confianza y tranquilidad.
Sin embargo, así como la tecnología benigna crece, también el desarrollo de tecnologías criminales basadas en los principios de Inteligencia Artificial y Machine Learning comenzarán a surgir, lo que generará un conflicto entre máquinas, las cuales se adaptarán para superar a sus contrapartes. Esto creará un bando enfocado en la protección y otro en el ataque y daños a la información empresarial o personal.
Este desarrollo de tecnologías nos convertirá de participantes activos ante las tendencias de seguridad a observadores pasivos, ya que el nivel de complejidad superará la capacidad humana, por lo que confiaremos y nos apoyaremos en la capacidad de procesamiento de máquinas para defendernos de tecnologías similares.
Aunque esto suene a ciencia ficción, no lo es. Esto ya está ocurriendo. Y debemos tener este entendimiento de que, así como la tecnología se desarrolla, nuestra confianza en la misma debe crecer para poder aceptar su cobijo ante un futuro no muy lejano.
Fuente: Diarioti.com

Nueva campaña utiliza exploits de la NSA para minería de Monero

Una nueva campaña, denominada Zealot, ataca servidores Windows y Linux mediante un surtido de exploits que hacen posible la minería de la criptomoneda Monero.
La campaña sido detectada por F5 Networks, que la ha denominado Zealot, debido a zealot.zip, uno de los archivos malignos unidos a los servidores objeto de los ataques. Según se indica, el ataque ha sido posible mediante el mismo exploit utilizado en el hack de Equifax.
Los investigadores Maxim Zavodchik y Liron Segal, de F5 Networks, los atacantes escanean Internet en busca de servidores vulnerables; es decir, no parcheados, utilizando dos exploits, CVE-2017-5638 y CVE-2017-9822, para Apache Struts y DotNetNuke ASP.NET CMS, respectivamente.
La vulnerabilidad de Apache Struts es la misma que otros atacantes utilizaron en meses pasados para vulnerar los sistemas de gigante financiero estadounidense Equifax. Paralelamente, otro grupo de delincuentes utilizó la misma vulnerabilidad en abril para atacar servidores Struts, donde instalaron ransomware.
Al encontrar un servidor Windows vulnerable, los atacantes instalan EternalBlue y EternalSynergy, dos exploits de la NSA filtrados a Internet por el grupo autodenominado Shadow Brokers. En algunos casos, también utilizaron PowerShell de Windows para descargar e instalar una aplicación de malware utilizada para la minería de Monero.
Los investigadores de F5 recalcan que los atacantes pudieron haber utilizado la última etapa del proceso; es decir, la instalación de malware, para instalar a su antojo virus y troyanos, aparte de ransomware. Cabe señalar que los atacantes sólo descargaron US$8500 en algunos monederos dispersos, lo que lleva a preguntarse si acaso el objetivo era más bien probar un concepto de ataque, en el lugar de procurar un botín económico. Esta perspectiva se ve refrendada por los expertos Zavodchik y Segal, quienes comentaron: “el nivel de sofisticación que hemos visto en la campaña Zealot nos lleva a creer que esta fue desarrollada y ejecutada por actores con conocimientos muy superiores a los de quienes normalmente operan botnets”. Con ellos se referían a la capacidad de instalar y activar una cadena de infección de varios niveles, para luego instalar malware avanzado y especialmente adaptado, y finalmente la capacidad de desplazarse lateralmente entre distintas capas de una red
Fuente: Diarioti.com

MALWARE. Las 3 nuevas campañas que también llegan por Navidad

Llega la Navidad y es época de muchas cosas. Reencuentros familiares, de amigos, salir a comer fuera… Pero si hay algo que hacemos mucho en España en esta fecha es comprar. Regalos para esta época que llenan las calles de las ciudades. Pero también, y cada vez más, adquirimos las compras por Internet. De eso hablamos hoy en este artículo. Han encontrado tres nuevas campañas de malware que llegan justo a tiempo para Navidad y que podrían poner en riesgo nuestras compras.
Campañas de malware en Navidad
Se trata de tres cepas de malware (GratefulPOS, Emotet y Zeus Panda) y han cobrado vida con nuevas campañas activas justo a tiempo para la temporada de compras navideñas. Si bien GratefulPOS parece ser una nueva cepa, los otros dos, Emotet y Zeus Panda, acaban de sufrir actualizaciones menores que les permiten acceder a las tiendas en línea más activas en esta época del año.
GratefulPOS
De los tres, el más intrigante es GratefulPOS. Se trata de una cepa de malware que se dirige a los sistemas de punto de venta (POS, en sus siglas en inglés). Descubierto por el Equipo de Detección de Amenazas Cibernéticas de Target y analizado por investigadores de seguridad de la división FirstWatch de RSA, GratefulPOS parece una combinación de códigos entre múltiples familias de malware como FrameworkPOS, TRINITY, BlackPOS y BrickPOS.
Descubierto por primera vez a mediados de noviembre, GratefulPOS fue diseñado para ejecutarse en sistemas POS que ejecutan versiones x64 de Windows 7 o posterior.
Según los investigadores de RSA, el malware parece estar instalado manualmente, lo que significa que los atacantes deben comprometer las redes POS de antemano.
Zeus Panda
Una segunda cepa de malware que ha visto un aumento en la actividad es Zeus Panda. Es de la misma familia de malware detectada hace unas semanas alterando los resultados de la página de búsqueda para apuntar a los usuarios a enlaces de descarga maliciosos.
Según un informe publicado la semana pasada por Proofpoint, desde mediados de noviembre, los operadores del troyano Zeus Panda han cambiado su modus operandi habitual.
“Hemos observado campañas de troyanos bancarios de Zeus Panda que se centran cada vez más en objetivos no bancarios con una extensa lista de inyectores (del navegador) claramente diseñados para aprovechar las compras y actividades navideñas“, dice el personal de Proofpoint.
“Más específicamente, estas campañas de Zeus Panda expandieron sus inyecciones a una variedad de sitios de compras en línea para minoristas como Zara, minoristas en línea especializados, sitios de viajes y sitios de transmisión de vídeos, entre otros”, dijeron los investigadores.
Emotet
Por último, pero no menos importante, los investigadores de Bromium descubrieron una interesante variante de Emotet que se lanzó justo a tiempo para atrapar la última temporada de compras navideñas.
Según los investigadores, pudo evadir hasta el 75% de los antivirus.
Así pues, los ciberdelincuentes aprovechan esta época del año para intensificar sus ataques. Son fechas en las que muchos usuarios realizan compras en la Red. Como siempre, lo mejor es utilizar el sentido común y estar siempre seguros de qué páginas visitamos y dónde compramos.
Fuente: Bleeping Computer

WINDOWS 10. Más más seguro con Windows Defender Application Guard

Microsoft sigue trabajando para que Windows 10 sea un sistema operativo más seguro para todos. Por ello, como parte de la próxima actualización de Redstone 4, la compañía también traerá Windows Defender Application Guard (WDAG) exclusivo para la empresa al SKU Pro. La primera compilación para traer este cambio es 17063. Acaba de ser lanzada con Windows Defender Application Guard para estar disponible para todos una vez que la versión RTM de la actualización del sistema operativo se envíe en la primavera de 2018.
Windows Defender Application Guard
Windows Defender Application Guard es una herramienta que protege los ordenadores contra amenazas específicas usando tecnología de virtualización Hyper-V. Microsoft dice que gracias a esta nueva tecnología, Edge se convierte en “el navegador más seguro del mundo”.
El gigante del software dice que esta mejora en particular se basa en los comentarios de los usuarios. En el conocido como feedback. Revela que muchos usuarios de Windows 10 Pro también solicitaron que Windows Defender Application Guard fuera lanzado en este SKU.
“Tú hablaste y nosotros escuchamos. Microsoft va a llevar Windows Defender Application Guard a Windows 10 Pro en la próxima actualización de características de Windows 10. Ahora, al igual que los usuarios de Windows 10 Enterprise, los usuarios de Windows 10 Pro pueden navegar por Internet en Application Guard sabiendo que sus sistemas están protegidos incluso de los ataques más sofisticados”, explicó Microsoft en las notas de la versión de la compilación 17063.
Mejora de seguridad en Windows
Windows Defender ha mejorado sustancialmente en los últimos tiempos y las actualizaciones más recientes de Windows 10 trajeron novedades importantes.
Por ejemplo, con el lanzamiento de Windows 10 Fall Creators, Windows Defender evolucionó al Centro de Seguridad de Windows Defender. Ahora agrupa todas las funciones de seguridad. Incluye antivirus, firewall o protección de red.
Con esta novedad, el sistema operativo de Microsft sigue apostando fuerte por la seguridad. Su idea de convertirse en un sistema totalmente seguro sigue creciendo. Como sabemos, Windows 10 junto a Windows 7 son los dos sistemas operativos más utilizados mundialmente. Esto significa que los usuarios deben de estar más alerta, ya que los ciberdelincuentes se centran en aquello donde hay más usuarios.
Recomendaciones
Como siempre decimos, lo mejor es contar con buenos programas y herramientas de seguridad. De ello hablamos en un artículo anterior. Nombramos algunas de las mejores aplicaciones gratuitas para Windows centradas en la seguridad. Pero además hay que señalar que es muy importante el sentido común.
La mayoría de los ataques de malware vienen precedidos de la interacción del usuario. Esto significa que algunos tipos como los ransomware, necesitan que el usuario lo “active”. Esto puede ser descargando un archivo o ejecutándolo, por ejemplo. Por ello debemos de estar siempre alertas y asegurarnos de que estamos descargando archivos seguros.
Fuente: Softpedia

WORDPRESS. Encuentran puerta trasera en plugin con 300.000 descargas

Un plugin de WordPress instalado en más de 300.000 sitios ha sido modificado recientemente para descargar e instalar una puerta trasera oculta. El equipo de WordPress ha intervenido y eliminado este complemento del repositorio oficial de WordPress Plugins, que también proporciona versiones limpias para los clientes afectados. Como sabemos se trata de un sistema de gestión de contenidos muy popular.
Puerta trasera en un plugin de WordPress
Conocido solo como Captcha, el plugin de WordPress fue uno de los plugins CAPTCHA más populares en el sitio oficial. Fue el trabajo de un desarrollador de plugins muy popular llamado BestWebSoft. Esta compañía está detrás de muchos otros plugins conocidos de WordPress.
BestWebSoft vendió la versión gratuita de su plugin Captcha a un nuevo desarrollador llamado Simply WordPress el 5 de septiembre, según una publicación en el sitio de la compañía.
Exactamente tres meses después de la venta, el nuevo propietario del complemento envió Captcha versión 4.3.7, que contenía código malicioso que se conectaría al dominio simplywordpress.net y descarga un paquete de actualización de complemento desde fuera del repositorio oficial de WordPress (en contra de las reglas de WordPress.org) . Este paquete de actualización furtivo instalaría una puerta trasera en los sitios que usan el complemento.
Puerta trasera en WordPress
“Este backdoor (puerta trasera) crea una sesión con el ID de usuario 1 (el usuario administrador predeterminado que crea WordPress cuando lo instala por primera vez), establece las cookies de autenticación y luego se elimina a sí mismo”, dice Matt Barry, investigador de seguridad de Wordfence. “El código de instalación de la puerta trasera no está autenticado, lo que significa que cualquiera puede activarlo”.
Actualización limpia
Además, también hay un código para activar una actualización limpia que elimina cualquier rastro de la puerta trasera, en caso de que el atacante decida borrar todas sus pistas.
Al principio esta actualización no llamó la atención de nadie. Lo que expuso la puerta trasera no fue una queja del usuario, sino un reclamo de derechos de autor del equipo de WordPress. Hace unos días, el equipo de WordPress eliminó el plugin Captcha del sitio web oficial de WordPress.org porque el nuevo autor del complemento había utilizado la marca comercial “WordPress” en su nombre y marca de complemento.
La eliminación del plugin del sitio de WordPress alertó al equipo de seguridad de Wordfence. Se trata de una empresa que proporciona un poderoso firewall de aplicaciones web para sitios de WordPress.
“Cada vez que el repositorio de WordPress elimina un complemento con una gran base de usuarios, verificamos si pudo ser debido a algo relacionado con la seguridad”, dice Barry, explicando cómo llegaron a revisar el código del complemento y detectar la puerta trasera.
Una vez que detectaron la puerta trasera, Wordfence notificó al equipo de seguridad de WordPress. Gracias a ello compiló una versión limpia del plugin Captcha (versión 4.4.5). Inmediatamente comenzaron a forzar la instalación en todos los sitios web afectados. Eliminaron así las versiones con código malicioso de los usuarios. Más de 100.000 sitios recibieron la versión limpia del plugin Captcha durante el fin de semana, dijeron desde el equipo de WordPress.
Fuente: Bleeping Computer

PREVISION ATAQUES 2018. Del ransomware de 2017 al malwareless de 2018

En este 2017 que termina hemos vivido numerosos ataques de malware. Pero si hay algo que ha aumentado y ha estado presente en muchas ocasiones ha sido el ransomware. Podríamos decir que ha sido el año e este tipo de ataques. Como sabemos, su función es secuestrar los archivos de un equipo y pedir un rescate por ellos. En 2018 parece ser que ganarán peso los ataques malwareless. Estarán muy presentes, aunque sin olvidarnos del ransomware.
El malwareless crecerá en 2018
Al menos esas son las previsiones de Panda Security. Aseguran que seguiremos viendo ataques de ransomware como hasta ahora, pero que entrará en juego, y muy fuerte, los ataques de malwareless.
Los ciberdelincuentes utilizan métodos cada vez más sofisticados para atacar. Esto es así ya que las empresas y los usuarios particulares se toman más en serio la seguridad. Cuentan con programas y herramientas capaces de hacer frente a estas amenazas. Por ello los atacantes tienen que innovar y buscar la fórmula de poder penetrar la seguridad.
Es por ello que en los últimos meses han aumentado los ataques malwareless. Ataques que no utilizan malware. Los atacantes suplantan la identidad del administrador una vez se han hecho con sus credenciales en la red. Con ello logran penetrar sin ser detectados por las medidas de seguridad.
En 2017 esta tendencia ya ha ido aumentando. De hecho, en el 62% de las brechas de seguridad en empresas se han empleado técnicas de hacking. En el 49% de estos problemas no se utilizó malware. Esto, sin embargo, irá a más en 2018.
La forma en la que los ciberdelincuentes pueden atacar sin malware son muy variadas. Para ello utilizan herramientas no maliciosas y que forman parte del día a día de los usuarios.
Métodos legítimos
Un ejemplo puede ser el ataque por fuerza bruta hacia un servidor que tenga activado el Remote Desktop Protocol. Con ello consiguen las credenciales para acceder a ese equipo. Con eso, utilizan scripts y herramientas que están en el propio sistema operativo para pasar desapercibidos. Instalan una puerta trasera para aprovecharse de las teclas especiales (Sticky keys) para acceder al equipo incluso sin las credenciales.
También utilizan esta forma de ataque sin fichero para introducir un software de minería de Monero. Como sabemos esto puede ralentizar los equipos, sobrecalentarlos e incluso llegar a afectar seriamente a sus componentes. La minería de criptomonedas ha estado también muy presente en este 2017.
Una de las claves y mejores soluciones para detectar este tipo de ataques sin ficheros, malwareless, radica en monitorizar el funcionamiento de nuestros dispositivos. Así podremos detectar usos anómalos.
Sin duda se trata de una manera más compleja de detectar estas amenazas. Aun así, el sentido común es importante. Además de contar con programas y herramientas de seguridad. Estos deben de estar actualizados a la última versión. Sólo así podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento de nuestro equipo.
Fuente: Panda Security

CIBERDELINCUENCIA. Traspaso de actividades del ransomware hacia la minería de Monero

Los ciberdelincuentes parece que están cambiando sus objetivos hacia la minería de criptomonedas. Al final, como todo, se adaptan a lo que está en auge. Y como sabemos las monedas digitales han crecido exponencialmente en los últimos tiempos. Cada vez más usuarios se interesan por este mundo. Es por ello que el grupo responsable detrás del ransomware VenusLocker han cambiado de objetivo y ahora se centran en difundir la minería de Monero.
La minería de Monero, más presente
Pero este caso no es aislado. Resulta llamativo, eso sí, que cambien de utilizar un ransomware por un minador de Monero. Ya hemos visto que uno de los tipos de malware que más ha aumentado en los últimos meses ha sido el de la minería oculta de criptomonedas. Esto afecta tanto a los usuarios de ordenadores como de dispositivos móviles.
El problema es que este tipo de ataques compromete muy seriamente a los dispositivos. Ya vimos el caso de Loapi, el malware para Android que introducía minería de criptomonedas. Esto provoca sobrecalentamiento y un esfuerzo extra a los componentes del móvil. Incluso puede llegar a destrozar, literalmente, el aparato. La batería se hincha y en general todo el dispositivo sufre.
Ahora estamos ante un nuevo caso en el que los ciberdelincuentes se centran en la minería de criptomonedas. Concretamente en Monero, una de las muchas opciones de monedas digitales que podemos encontrarnos. Y no eligen esta por casualidad. Se trata de una de las que más ha crecido en las últimas semanas.
Aumento del precio y del interés
Si miramos el precio de hace un mes, estaba en 132$. Hoy supera los 450$. Hablamos de más del triple del valor. Seguramente siga subiendo. Es por ello que a los ciberdelincuentes les interesa este mercado. Optan por cambiar sus objetivos. El caso de VenusLocker es uno de ellos. Como sabemos, los ataques de ransomware consisten en secuestrar los archivos de la víctima y pedir un rescate a cambio.
Según Joie Silva, investigador de seguridad de Fortinet’s FortiGuard Labs, la campaña de distribución de malware de VenusLocker solo se dirige a usuarios de Corea del Sur, por el momento. Sin embargo esto podría trasladarse a otros países.
Silva informó sobre una campaña de spam dirigida a los usuarios a través de una alerta falsa de violación de datos para un vendedor en línea de Corea del Sur. Los correos electrónicos no deseados contenían un archivo adjunto, un archivo que ocultaba un archivo EXE malicioso.
Como hemos mencionado en alguna ocasión, este tipo de malware suele requerir la interacción del usuario. Por ello debemos de tener sentido común, especialmente cuando recibimos un correo electrónico extraño. Nunca debemos de abrir ni ejecutar un archivo del que no tengamos certeza de su procedencia. Es una de las técnicas que utilizan los ciberdelincuentes para introducir ransomware o, en los últimos tiempos, minadores de criptomonedas ocultos.
Muchas páginas han sido afectadas por la minería de criptomonedas. En un artículo anterior hablábamos de cómo podíamos saber si una web está minando Monero. Es muy sencillo y puede ser útil para algunos usuarios.
En cualquier caso, lo que no puede faltar en nuestros dispositivos son programas y herramientas de seguridad. Además hay que tenerlas actualizadas a la última versión. Así podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento de nuestro equipo.
Fuente: Redes Zone.net

DIGMINE. Nuevo malware distribuido por Facebook Messenger

Digmine, el nuevo malware que ese expande por FacebookDigmine, el nuevo malware que ese expande por Facebook
Facebook es conocido por todos como una de las redes sociales más populares del mundo. Es por ello que cuando hay una campaña de malware afecta a muchos usuarios. Hoy estamos ante una de estas noticias. Esta nueva variedad se denomina Digmine, y es un malware que se distribuye a través de Facebook Messenger. Esta es, como sabemos, la plataforma de mensajería instantánea oficial de Facebook. Cuenta con usuarios en las diferentes plataformas tanto para ordenador como para dispositivos móviles.
Digmine, nueva campaña de malware de Facebook
Digmine instala un minero de criptomonedas Monero en el equipo de la víctima. Además introduce una extensión maliciosa para el navegador Google Chrome. Esto le ayuda a propagarse a más víctimas.
Como sabemos, la minería de criptomoendas es uno de los tipos de malware que más está aumentando últimamente. Los ciberdelincuentes utilizan los dispositivos de los usuarios para minar estas monedas digitales que están tan en auge. Esto afecta directamente al rendimiento de estos equipos, además de que pueden reducir la vida útil de los dispositivos por sobrecalentamiento.
Además, el hecho de que ataquen a Google Chrome e introduzcan una extensión maliciosa en este navegador no es casualidad. Se trata del más utilizado en las diferentes plataformas. Tienen ahí un gran número de usuarios a los que infectar.
Falso vídeo
Las víctimas generalmente reciben un archivo llamado video_xxxx.zip (donde xxxx es un número de cuatro dígitos) que intenta hacerse pasar como un archivo de video. El archivo oculta un EXE. Los usuarios descuidados que ejecuten este archivo se infectarán con Digmine.
Un investigador de seguridad de Corea del Sur llamado c0nstant y expertos de Trend Micro dicen que, actualmente, el servidor envía a las víctimas un minero de Monero y una extensión de Chrome.
Digminer también agrega un mecanismo de inicio automático basado en el registro, y luego instala el minero de Monero y la extensión de Chrome que acaba de recibir.
Normalmente, las extensiones de Chrome solo se pueden cargar desde Chrome Web Store, la página oficial, pero en este caso los atacantes están instalando la extensión maliciosa mediante un ingenioso truco que utiliza los parámetros de la línea de comandos de la aplicación Chrome.
La función de la extensión es acceder al perfil de Facebook Messenger del usuario y enviar mensajes privados a todos los contactos de la víctima. Este mensaje contiene un video_xxxx.zip similar.
El mecanismo de autopropagación utilizado por esta extensión de Chrome solo funciona si Chrome inicia automáticamente la sesión de usuarios en sus cuentas de Facebook. Si el usuario no tiene credenciales de Facebook guardadas en Chrome, la extensión no funcionará, ya que no podrá llegar a la interfaz de Facebook Messenger para enviar sus mensajes de correo no deseado.
Los investigadores han descubierto que los atacantes utilizan archivos EXE. Esto significa que solo los usuarios de Windows son actualmente objetivo, pero no los usuarios de Linux o Mac. Al parecer, la campaña se dirigió primero a los usuarios de Corea del Sur, pero desde entonces se ha extendido a otros países como Vietnam, Azerbaiyán, Ucrania, Vietnam, Filipinas, Tailandia y Venezuela.
Fuente: Bleeping Computer

OPERA 50. Primer navegador contra la minería de criptomonedas

Mozilla Firefox y Google Chrome son, como todos sabemos, los navegadores líderes a nivel mundial. Sin embargo va a ser Opera 50 el primer navegador en contar con una función anti minería de criptomonedas. Evitará así que las páginas web utilicen la potencia de la CPU de los equipos de los usuarios para extraer monedas digitales. Este hecho afecta notablemente al rendimiento de los dispositivos e incluso pueden acortar su vida útil, ya que pueden sobrecalentarse y exponerse a riesgos innecesarios.
Opera 50 contra la minería
La minería de criptomonedas está en auge. Por ello cada vez salen más ataques de malware relacionados con esto. El motivo es que las criptodivisas llevan un ritmo al alza en las últimas semanas y meses. Cada vez son más usuarios los que optan por invertir en esto. Del mismo modo, los ciberdelincuentes buscan la manera de sacar beneficios.
Esta nueva característica que traerá Opera 50 se llama NoCoin y está actualmente en desarrollo. Los usuarios pueden obtenerlo ahora si instalan Opera 50 Beta RC. Se espera que la característica llegue a la versión estable de Opera 50, configurada para su lanzamiento oficial en enero de 2018.
NoCoin viene deshabilitado de forma predeterminada. Podemos entrar en la configuración del navegador y activarlo. Al hacer esto tendremos el bloqueador contra la minería de criptomonedas encendido.
Este movimiento por parte de Opera llega después del auge de la minería de criptomonedas. Esto despegó especialmente a partir del mes de septiembre. Ocurrió cuando se lanzó Coinhive, un servicio de minería.
Páginas que minan criptomonedas
En un artículo anterior hablábamos de cómo podíamos saber si una página está minando cuando navegamos por ella. Es algo muy sencillo de averiguar y puede ser muy útil para muchos usuarios. Así podemos evitar navegar por aquellas páginas que estén utilizando nuestro equipo para minar criptodivisas.
The Pirate Bay, por ejemplo, utiliza en la actualidad este servicio. Pero también lo hacen miles de otras páginas. En la gran mayoría de los casos, la biblioteca de Coinhive se carga sin pedir consentimiento a los usuarios o sin su conocimiento, por lo general, en sitios pirateados.
Desde entonces, nuevos servicios de aspecto similar a Coinhive se han lanzado semanalmente. El último de ellos fue descubierto recientemente y se llama HashUnited.
Además de Opera, los ingenieros de Google también han tomado nota de este comportamiento abusivo y en octubre comenzaron las conversaciones sobre la posibilidad de agregar un permiso de navegador para el código JavaScript que abuse de la potencia de la CPU durante largos períodos de tiempo, como lo hacen los scripts de minería de criptodivisas.
Minería de criptodivisas
Los usuarios de otros navegadores pueden mantenerse a salvo de mineros abusivos en el navegador instalando extensiones de navegador especializadas que bloquean este tipo de comportamiento o instalando bloqueadores de anuncios, la mayoría de los cuales han agregado soporte para bloquear los servicios de minería en los últimos meses.
Así pues, Opera 50 será el primer navegador en traer incorporada una función para bloquear la minería de monedas digitales. De momento, como hemos mencionado, podemos utilizar su versión Beta. Será el próximo mes cuando saldrá a la luz, previsiblemente, la versión estable.
Fuente: Bleeping Computer

GOOGLE PLAY. Encontradas aplicaciones monederos de Bitcoin falsos

El mundo de las criptomonedas está muy en auge últimamente. Cada vez son más los usuarios que se interesan por esta forma de inversión. Pero al mismo tiempo también aumenta el malware relacionado con las monedas digitales. Hemos visto minadores de moneda ocultos, por ejemplo. Hoy nos hacemos eco de una nueva noticia relacionada con Bitcoin. En esta ocasión han aparecido falsos monederos de Bitcoin en Google Play.
Falsos monederos de Bitcoin en Google Play
Después de los ataques de malware que han acechado en los últimos tiempos, los usuarios de Android tienen un par de amenazas nuevas de las que preocuparse y éstas incluyen mineros de criptomonedas y falsos monederos de Bitcoin en Google Play Store. En octubre de este año, se informó que un malware de minería de Monero se escondía detrás de algunas aplicaciones y utilizaba la capacidad informática de los dispositivos Android para generar monedas digitales.
Ahora, los investigadores de seguridad informática de Lookout han encontrado tres aplicaciones falsas de billetera Bitcoin en Play Store. Han sido desarrolladas con la intención de robar datos relacionados con Bitcoin de los usuarios. Gracias a su repentino aumento en los precios, todos quieren Bitcoins y los ciberdelincuentes no son ajenos a este momento.
Según informan los investigadores de Lookout, las tres aplicaciones falsas de billetera engañaron a los usuarios para que enviasen pagos de bitcoin a las direcciones especificadas por el atacante. Los investigadores denominaron este tipo de aplicaciones como “PickBitPocket”. Una aplicación infectada con PickBitPocket funciona de tal manera que se presenta como una auténtica billetera de Bitcoin, pero está configurada para engañar a las víctimas para que proporcionen la dirección bitcoin del atacante en lugar de la del vendedor.
 “Una persona está vendiendo algunos bienes o servicios y permite el pago en Bitcoin. El vendedor proporciona una dirección al comprador para el pago. Si el vendedor está utilizando una aplicación de billetera PickBitPocket, en su lugar enviará la dirección Bitcoin del atacante al comprador”, explicaron los investigadores.
LISTA DE APLICACIONES
Bitcoin Mining
La primera aplicación que fue identificada por los investigadores de Lookout se llamó Bitcoin Mining. Fue desarrollada por Pyramix Studio. Tenía hasta 5000 instalaciones, mientras que uno de los usuarios escribió “Esta aplicación intentó robar mi contraseña de Google”.
De acuerdo con la descripción de la aplicación, el desarrollador afirmó que “Bitcoin Mining” es “la aplicación más confiable y mejor pagada disponible”, mientras que en realidad robaba datos una vez instalados en el dispositivo.
Blockchain Bitcoin Wallet – Fingerprint
La segunda aplicación maliciosa se llamaba “Blockchain Bitcoin Wallet – Fingerprint” y tenía entre 5.000 y 10.000 instalaciones que pretendían proporcionar un servicio de compra y venta de la moneda digital. Si miramos sus revisiones, uno puede ver que los usuarios no tenían idea de lo que la aplicación realmente hacía.
Fast Bitcoin Wallet
La tercera aplicación fue “Fast Bitcoin Wallet”. Esta aplicación aseguraba brindar la mejor experiencia en moneda digital en dispositivos Android. Sin embargo, en realidad, robó las credenciales del usuario. Esto incluía la dirección del monedero Bitcoin del comprador.
Fuente: Hackread

DELL EMC. Vulnerabilidad de desbordamiento de memoria

Una vulnerabilidad en el manejo del protocolo SMBv1 puede permitir a un atacante remoto no autenticado ejecutar código arbitrario o una denegación de servicio en los productos afectados, catalogada de Importancia: 4 - Alta
Recursos afectados:
1.    DELL EMC Data Domain DD OS 5.7.0, 5.7.5, 6.0.0, 6.0.2, y 6.1.0
2.    DELL EMC Data Domain Virtual Edition 2.0.0, 3.0.0 y 3.1.0
Detalle e impacto de la vulnerabilidad:
Se trata de una vulnerabilidad provocada por la incorrecta gestión de las operaciones de la memoria llevadas a cabo por el protocolo SMBv1 para procesar los paquetes de datos. Un atacante puede explotar esta vulnerabilidad enviando paquetes SMBv1 especialmente manipulados al sistema afectado. En el caso de conseguir explotar la vulnerabilidad, se desencadenará un desbordamiento de memoria el cual permitirá a un atacante ejecutar código arbitrario en el sistema además de la posibilidad de realizar un ataque de denegación de servicio.
Recomendación
DELL EMC proporciona a los usuarios de los productos afectados una actualización de software que soluciona la vulnerabilidad identificada. Puede ser encontrada en esta dirección. (https://support.emc.com/downloads/32697_DD-OS ).
Más información
      Dell EMC Data Domain SMBv1 Memory Overflow Remote Arbitrary Code Execution Vulnerability https://tools.cisco.com/security/center/viewAlert.x?alertId=56304
      ESA-2017-157: EMC Data Domain DD OS Memory Overflow Vulnerability http://seclists.org/fulldisclosure/2017/Dec/79
Fuente: INCIBE