Boletín nº 40 Noticias Seguridad en Comunidad Movistar Empresas

Angeles_Telefonica Empresas
Moderador Senior Empresas
1.739 Visitas

Noticias Seguridad.jpg

 

 *   Un nuevo ataque de 'ransomware' paraliza grandes empresas en todo el mundo

 

Paralización total en grandes multinacionales: la empresa de alimentación Mondelez (matriz de empresas como Cadbury y Nabisco y dueña de marcas como Oreo, Chips Ahoy, TUC), las empresas Nivea, el laboratorio estadounidense Merck, la petrolera rusa Rosneft, la naviera Moller-Maersk, y el bufete DLA Piper, una de las mayores firmas legales de todo el mundo,  un ataque de ransomware similar al ocurrido a nivel mundial con Wannacry hace apenas un mes. Y no son las únicas.

El Vice Primer Ministro de Ucrania, Pavlo Rozenko también dijo en su Facebook que Petya cifró sus unidades de disco. "Petya utiliza el mismo exploit de Eternalblue y también se propaga en las redes internas con Mimikatz WMIC y PsExec, por eso los sistemas parcheados pueden ser afectados igualmente" dijo Mikko Hypponen, Director de Investigación de F-Secure. La diferencia fundamental con WannaCry es que este malware solo se propaga en la red local, no a través de Internet. Petya, además cifra muchos menos tipos de archivos que su predecesor. Este nuevo ransomware utiliza el exploit SMB únicamente en parte de la infección, haciendo uso de MimiKatz para la extracción de credenciales del proceso lsass.exe, y WMIC o PSExec para el movimiento lateral, resultando de ese modo inocuo el parche de seguridad MS-17-010. Es decir, aunque un equipo esté completamente parcheado podría infectarse vía propagación. En este momento hay dos versiones de Petya activas, la versión de abril pasado se puede recuperar siguiendo este procedimiento. Para la versión actual(27/06) se puede probar el mismo método pero, por desgracia, aún no hay forma segura de recuperación.

Investigadores encontraron que la versión actual de Petya cifra los archivos luego del reboot de la computadora. Si el sistema recién se infectó con Petya, se puede apagar y no volver a encender el equipo. Si la máquina se enciende se inicia el proceso de cifrado.

 

http://www.elconfidencial.com/tecnologia/2017-06-27/ataque-ransomware-dla-piper-wannacry_1405839/

 

*   IoT ya cuenta con 7.000 virus que atacan sus dispositivos

 

Una de las razones por la que se estima que el 2016 no fue el año de la explosión del Internet de las Cosas fue por las advertencias sobre la inseguridad de los dispositivos. Puede que muchos hayan pensado que era una exageración y que el tiempo desmentiría a los alarmistas. Por el contrario, el más reciente informe de Kaspersky Lab sobre el particular apunta a que los apocalípticos se quedaron cortos:

7.000 tipos distintos de malware que atacan a dispositivos de IoT han sido detectados por la firma de ciberseguridad.

La mitad de los virus para estos equipos inteligentes tienen data de 2017. Es decir, están circulando por primera vez.

Estos códigos maliciosos han sido diseñados por los ciberdelincuentes para que al piratear los dispositivos, esto sirvan para espiar, extorsionar e, inclusive, involucrar a las personas en procesos de chantaje.

 

http://www.cioal.com/2017/06/23/iot-ya-cuenta-con-7-000-virus-que-atacan-sus-dispositivos/

 

*   Cómo clonar cuentas de @telegram
 

Alvaro Javier, Mateo Martínez y Guillermo W. de Intelligence HUB han publicado un documento mostrando como clonar una cuenta de Telegram, accediendo a todos los usuarios y mensajes sin ningún tipo de advertencia por parte de esta aplicación de mensajería. El Sistema de mensajería Telegram permite múltiples instancias de chat en diferentes dispositivos móviles. Esto podría ser definido como una "funcionalidad" pero para nosotros es una falla grave de seguridad que compromete la privacidad de los usuarios de la plataforma. Permite a un potencial atacante acceder a los contactos y funcionalidades completas de Telegram como si fuera el usuario víctima.

 

http://inthub.org/whitepapers/Cloning_Telegram_ES.pdf

 

*   Cámaras en miniatura y lectores falsos resultan claves para el fraude con tarjetas

 

Según los especialistas, hay cuatro momentos en los que los usuarios deben enfocarse, porque es posible perder el control de las tarjetas: cuando ingresan en un cajero automático, cuando realizan una extracción, cuando abren un link que llega a sus cuentas de correo (porque produce la descarga de un virus) y cuando entregan su tarjeta de crédito para realizar un pago.

 

http://www.lanacion.com.ar/2035503-camaras-en-miniatura-y-lectores-falsos-resultan-claves-para-el-fraude-co...

 

*   Vulnerabilidades críticas en OpenVPN

 

Un poco después del mes en que se publicaran los resultados de sus dos auditorías de seguridad, OpenVPN ha publicado la solución a cuatro vulnerabilidades, entre ellas un fallo crítico de Ejecución Remota de Código (RCE),  Una de las auditorías de OpenVPN, llevada a cabo desde diciembre de 2016 hasta febrero de 2017, encontró varios problemas de riesgo bajo y medio y esa auditoría elogió el diseño global de OpenVPN en criptografía. Estos errores ya fueron parcheados en mayo pasado.

La otra auditoría realizada sobre OpenVPN 2.4.0 encontró dos  errores más que también fueron parcheados en mayo.

 

https://threatpost.com/openvpn-patches-critical-remote-code-execution-vulnerability/126425/

 

*  Impresoras utilizadas para identificación de documentos y personas

 

Expertos en seguridad han alertado que se está llevando a cabo una campaña de distribución de los ransomware Koler y Marcher, dos ransomware para el sistema operativo Android.Marcher es un malware bancario que roba información financiera de los usuarios, como credenciales de banca en línea y detalles de tarjetas de crédito. Hemos observado que Marcher evolucionó con el tiempo, utilizando nuevos trucos y mecanismos de entrega. Los autores están utilizando nuevas técnicas para propagar infecciones, tales como señuelos pornográficos y promoción entorno a nuevos juegos. En una ola reciente de esta semana, Marcher se está disfrazando de Adobe Flash Player. Al abrir un sitio dañino, se le informa al usuario que el reproductor de Flash del dispositivo está desactualizado y que debe descargar "Adobe_Flash_2016.apk". El malware también guiará al usuario para deshabilitar la seguridad y permitir la instalación de aplicaciones de terceros.

Los usuarios que se ven afectados por esta amenaza sufren un bloqueo de la pantalla del terminal. Es decir, no se centra en el bloqueo de los archivos, pero sí en la imposibilidad de que el usuario acceda al funcionamiento habitual del terminal móvil y a estos. Koler. En esta nueva campaña de distribución de Koler, el funcionamiento es idéntico y no se ha añadido ningún cambio, o al menos a simple vista. La nueva campaña de distribución tiene como protagonistas las tiendas de aplicaciones no oficiales. Es en estas donde se han publicaciones aplicaciones falsas que sobre el papel ofrecen acceso a contenido pornográfico. Sin embargo, esto no es así y se trata de un cebo para llamar la atención de los usuarios. Una vez descargada e instalada la aplicación, los usuarios se encuentran con una pantalla que bloquea el terminal. Los ciberdelincuentes se han valido de la imagen del FBI para informar al usuario sobre un bloqueo que afecta a su dispositivo, siendo necesario el abono de una cantidad para que se realice la retirada de este "bloqueo".

 

https://www.zscaler.com/blogs/research/new-android-marcher-variant-posing-adobe-flash-player-update

 

 * Stack Clash, una nueva vulnerabilidad grave en sistemas Linux y Unix que permite conseguir permisos de root en cualquier servidor

 

El sector de la seguridad informática está últimamente muy revuelto. Desde el caos causado por WannaCry el mes pasado, expertos de seguridad de todo el mundo se están tomando muy en serio la protección de sus sistemas y equipos de cara a evitar posibles ataques informáticos a través de Internet. Por ello, cada pocos días estamos viendo cómo se hacen públicos, y se solucionan, todo tipo de fallos de seguridad como el nuevo Stack Clash, una nueva vulnerabilidad que afecta a los servidores Linux y Unix.

Stack Clash es una nueva vulnerabilidad que afecta a todo tipo de sistemas operativos Linux, Unix, OpenBSD y FreeBSD que puede permitir a un atacante elevar los privilegios de una aplicación desde el nivel más bajo a root para poder actuar dentro del servidor sin ninguna restricción. Además, la naturaleza de la vulnerabilidad puede permitir a un atacante ejecutar código directamente con permisos de root sin tener que realizar un paso intermedio para la escalada de privilegios.

En términos técnicos, esta vulnerabilidad se encuentra en una región de la memoria conocida como pila o “Stack”. El exploit diseñado para explotar esta vulnerabilidad se encarga de colisionar esta parte de la memoria con otras partes con información aleatoria para conseguir los permisos. Aunque la técnica utilizada no es para nada nueva, el exploit que circula por la red sí lo es.

 

https://www.redeszone.net/2017/06/20/stack-clash-vulnerabilidad-linux/

 

*   Mozilla lanza una herramienta para verificar la seguridad de tu servidor SSH

 

Mozilla ha lanzado recientemente una nueva herramienta que nos va a permitir verificar la seguridad de tu servidor SSH. Mozilla SSH Observatory no solo nos proporcionará información sobre la seguridad de su configuración, sino también qué cambios deberíamos hacer para asegurar aún más las comunicaciones a través de este protocolo.

 

https://www.redeszone.net/2017/06/24/mozilla-lanza-una-herramienta-para-verificar-la-seguridad-de-tu-serv.../