Boletín semanal nº 22 Noticias Seguridad en Comunidad Empresas Movistar
* Botnet Star Wars con 350.000 cuentas en Twitter Dos investigadores del University College de Londres descubrieron una gran botnet de 350.000 cuentas de Twitter, y expresaron preocupación por los posibles riesgos de que el botmaster decidiera "despertar" las cuentas bajo su control. El estudiante de investigación Juan Echeverría Guzmán y su supervisor y conferencista en el colegio Shi Zhou le dijeron a Threatpost que los bots de la red Star Wars podrían ser utilizados para propagar spam o enlaces maliciosos, y también, para modificar el clima socia de los medios de comunicación. Se podrían crear falsos trending topics, intentar influir en la opinión pública, o iniciar campañas que pretenden propagar noticias falsas entre los usuarios de Twitter. https://threatpost.com/massive-twitter-botnet-dormant-since-2013/123246/ * APT28, el grupo de 'hackers' rusos que está sembrando el caos en el mundo El nombre APT28 se ha convertido en sinónimo de 'hacking' gubernamental de élite, con acciones cada vez más atrevidas como el robo y difusión de información de los ordenadores del Partido Demócrata de Estados Unidos. Según múltiples expertos, este grupo de 'hackers' están a sueldo de los servicios de inteligencia del gobierno ruso. Pero, ¿qué se sabe realmente de ellos? ¿Son también rusos? ¿Son muchos o pocos? Y, sobre todo, ¿cómo trabajan? http://www.elconfidencial.com/tecnologia/2017-01-14/apt28-hackers-rusia-eeuu-informatica_1316329/ * El latido del corazón podría ser tu próxima contraseña Un password seguro es una de las características más importantes que debes tener en tus cuentas para poder escapar a ataques de malware, virus o de que roben tu información. Para enfrentar ataques de hackers investigadores de Nueva York están probando una nueva forma de proteger historiales médicos usando el latido del corazón para acceder a ellos. http://www.minutouno.com/notas/1533134-el-latido-del-corazon-podria-ser-tu-proxima-contrasena * Juego Minecraft, ataques cibernéticos y el FBI? Un programa malicioso que lanzó el mayor ciberataque en la red el año pasado estaba vinculado a los servidores de Minecraft (un juego de computadora de Microsoft en el que los usuarios construyen cosas con bloques), según los expertos que investigaron el ataque. Brian Krebs, un bloguero que escribe sobre temas de seguridad, pasó meses investigando el ataque del malware que impedía el acceso a su blog. ¿Cómo un único ciberataque pudo dañar a varios sitios populares como Twitter, Spotify y Netflix al mismo tiempo? Según Krebs, el origen de la botnet (como se conoce a la red de robots informáticos) Mirai se remonta a las rivalidades dentro de la comunidad de Minecraft. http://www.bbc.com/mundo/noticias-38690902 * Go-cry: un ransomware de código abierto escrito en go En 2015 os hablábamos de Hidden Tear, el primer ransomware de código abierto. Pocos meses después crearon native-tear, un clon escrito en C++, y hoy os traemos go-cry otro port escrito en Go. Go-cry es un proyecto que fue escrito para mostrar lo fácil que es crear código extremadamente malicioso, de hecho si observáis el código veréis que es sumamente sencillo. Ya sabéis que el ransomware está diseñado para secuestrar los archivos más queridos de la víctima demandando grandes cantidades de dinero para desbloquearlos. Go-cry se compone de dos partes, un servidor web y el software cliente. Los archivos de salida se situarán en ./bin/ http://www.hackplayers.com/2017/01/go-cry-un-ransomware-de-codigo-abierto.html * QCrypt: sistema de cifrado "irrompible" creado por un adolescente Se ha construido un nuevo sistema de cifrado, que su creador afirme que es impermeable a los poderes de las computadoras cuánticas, y que el creador de dicho sistema es un estudiante Irlandes de 16 años de edad, es una noticia que vale la pena http://www.ibtimes.co.uk/unbreakable-encryption-technology-created-by-16-year-old-schoolboy-1603024 * Mail cifrado El servicio de correo electrónico cifrado "Lavabit", que se vio obligado a cerrar en 2013 después de no cumplir con una orden judicial que exigía acceso a las claves SSL para fisgonear en los correos electrónicos de Edward Snowden, será relanzando. El CEO de Lavabit, Ladar Levison, podría haber ayudado al gobierno y al FBI a obtener la contraseña de Snowden y las credenciales de otros usuarios. Pero, en lugar de cumplir con la solicitud federal que podría comprometer las comunicaciones de todos sus clientes, Levison prefirió cerrar su servicio de correo electrónico cifrado, dejando a sus 410.000 usuarios incapaces de acceder a sus cuentas de correo electrónico. http://thehackernews.com/2017/01/encrypted-email-lavabit.htmlBoletín nº 73 Noticias Seguridad en Comunidad Movistar Empresas
Puerta trasera oculta en el paquete javascript NPM De acuerdo a investigadores, el equipo del Administrador de paquetes del nodo (npm) acaba de evitar un desastre cuando descubrió y bloqueó la distribución de un mecanismo de puerta trasera ingeniosamente escondido dentro de un paquete de JavaScript. Este mecanismo de puerta trasera fue encontrado por expertos en seguridad informática en “getcookies”, un paquete npm nuevo para trabajar con cookies del navegador. El equipo de profesionales de npm que analizó este paquete, comento que “getcookies” contiene un sistema complejo para recibir comandos de un atacante remoto, y que podría apuntar a cualquier aplicación de JavaScript que haya incorporado esta biblioteca. El equipo investigador de seguridad informática explica: “La puerta trasera funcionaba analizando las request.headers HTTP proporcionadas por el usuario, buscando datos específicamente formateados que proporcionan tres comandos diferentes a la puerta trasera…” Fuente: noticiasseguridad.com. Sitios web de Drupal incluídos sitios del gobierno, hackeados para extraer criptomonedas Vulnerabilidad en Drupal CMS convirtió sitios web populares en Monero Mining Platform. El criptockacking se está convirtiendo en una plaga que afecta a consumidores en todo el mundo, y lo que es aún peor, los expertos no saben cómo lidiar con la situación. De acuerdo con una investigación realizada por el profesional en seguridad informática Troo Mursch sobre los paquetes defectuosos, más de 400 sitios web han sido atacados por hackers con crypto-jacking el pasado fin de semana. Estos sitios son vulnerables ya que utilizan una versión obsoleta del Sistema de administración de contenido de Drupal. Las victimas principales se encontraron en los EE. UU. Ya que se identificaron 123 sitios web de EE. UU. Francia en el segundo lugar con 26 sitios infectados, Canadá 19, Alemania 18 y Rusia 17. Investigadores comentaron que dentro de las víctimas se incluyen algunos sitios web de gobierno, incluido el gobierno de Chihuahua; la Administración de Ingresos de Turquía, y el Proyecto de Mejoramiento de la Calidad de la Educación Superior de Perú, Lenovo, el Zoológico de San Diego y los sitios web de las instituciones educativas de EE. UU. Fuente: noticiasseguridad.com Cómo hacer un ataque de adquisición de subdominio Las vulnerabilidades de adquisición de subdominios suceden siempre que un subdominio apunta a un servicio que se ha eliminado o removido. Esto puede permitir a un atacante configurar una página en el servicio que se estaba utilizando y dirigir su página a ese subdominio. Como ejemplo, si subdomain.example.com estaba apuntando a una página de GitHub y el usuario decidió eliminar su página de GitHub, un atacante podría crear una página de GitHub, agregar un archivo CNAME que contenga el subdominio.testing .com y reclamar el subdominio.testing . com. Fuente: noticiasseguridad.com Cómo hackear cualquier smart-auto con esta herramienta Ataques de denegación de servicio, reproducción/inyección de tráfico, codificando tus propias herramientas CAN Socket en python, ataques dirigidos contra los componentes de tu automóvil y transicionando esto para atacar un auto real con hardware. Hay opciones que pueden comenzar a hackear coches siguiendo un tutorial. Para comenzar, los investigadores de seguridad informática dicen que necesitas configurarte una instalación Ubuntu VMware y cargarlo. De manera opcional, también podría usar VM Kali Linux, sin embargo, puede tener problemas de copia y se cree que Kayak estaba dando problemas de instalación. También es sabido que Kali funciona bien con el auto virtual OpenGarages. Fuente: noticiasseguridad.com. 90% de las implementaciones Sap son vulnerables a la nueva vulnerabilidad Esta vulnerabilidad afecta a SAP Netweaver y puede ser explotado por un atacante remoto no autenticado que tenga acceso a la red del sistema. Al atacar esta vulnerabilidad, se podría obtener acceso irrestricto al sistema, pudiendo comprometer la plataforma y toda la información que contiene, extraer datos o apagar el sistema. La vulnerabilidad afecta a todas las versiones de SAP Netweaver. Dado que SAP Netweaver es la base de las implementaciones de SAP, 378,000 clientes en todo el mundo se ven afectados, dicen los investigadores. La vulnerabilidad existe dentro de la configuración de seguridad predeterminada en cada producto SAP basado en Netweaver. Incluso la suite de negocios digitales de próxima generación S/4HANA se ve afectada. Fuente: noticiasseguridad.com. Cambie su contraseña de Twitter de inmediato, el error expone las contraseñas en texto sin formato Twitter insta a todos sus 330 millones de usuarios a cambiar sus contraseñas, después de identificar que un error de software haya expuesto involuntariamente las contraseñas de sus usuarios al almacenarlas en texto legible en su sistema informático interno. La red de medios sociales reveló el problema en una publicación oficial del blog y en una serie de tweets de Twitter Support. Según Twitter CTO Parag Agrawal, Twitter contraseñas hash utilizando una función popular conocida como bcrypt, que reemplaza una contraseña real con un conjunto aleatorio de números y letras y luego la almacena en sus sistemas. Esto permite a la empresa validar las credenciales de los usuarios sin revelar sus contraseñas reales, al tiempo que las enmascara de una manera que ni siquiera los empleados de Twitter pueden verlas. Fuente: thehackernews. Evitar los enlaces seguros de Microsoft Office 365 Los investigadores de seguridad revelaron una forma de evitar la seguridad y eludir una característica de seguridad de Microsoft Office 365, diseñada originalmente para proteger a los usuarios contra el malware y los ataques de phishing. Apodada Safe Links, la característica se ha incluido en el software Office 365 como parte de la solución Advanced Threat Protection (ATP) de Microsoft que funciona reemplazando todas las URL en un correo electrónico entrante con URL seguras propiedad de Microsoft. Por lo tanto, cada vez que un usuario hace clic en un enlace proporcionado en un correo electrónico, primero lo envía a un dominio propiedad de Microsoft, donde la empresa verifica de inmediato la URL original para detectar cualquier cosa sospechosa. Si los escáneres de Microsoft detectan cualquier elemento malicioso, entonces advierte a los usuarios al respecto, y si no, redirige al usuario al enlace original. Fuente: thehackernews. APT28 hackea lojack software y los antivirus no pueden detectarlo Recientemente investigadores encontraron versiones corruptas del software legítimo LoJack que parece haber sido modificado a escondidas para permitir hackers dentro de las empresas que usan el servicio. Expertos en seguridad informática comentaron que los dominios encontrados dentro de las instancias infectadas de LoJack han estado vinculados previamente a otras operaciones llevadas a cabo por APT28, un grupo de ciberespionaje con sede en Rusia, vinculado a la inteligencia militar de la compañía. El grupo APT28 parece haber estado difundiendo instancias LoJack contaminadas. El software LoJack, es una aplicación que las empresas o los usuarios instalan en sus dispositivos que funciona como un faro y permite a los propietarios rastrear y localizar dispositivos en caso de robo. Los profesionales en seguridad informática de Arbor Networks dijeron haber encontraron aplicaciones LoJack que contenían una pequeña modificación en el binario de la aplicación apuntando al agente LoJack a un servidor de comando y control deshonesto (C & C). Esto nos dice que en lugar de informar al servidor LoJack central, los agentes de LoJack informaron y recibieron instrucciones de los dominios bajo el control de APT28. Las versiones de LoJack contaminadas probablemente sean distribuidas a través de spear-phishing. Los investigadores aun no han podido identificar cómo APT28 distribuyó estos binarios LoJack contaminados a los objetivos, pero creen que los hackers usaron correos electrónicos de spear phishing para engañar a las víctimas y así instalar las versiones maliciosas de LoJack en sus sistemas. Fuente: noticiasseguridad.com. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín semanal nº 21 Noticias Seguridad
* Hackend – Se acabó el juego El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio de Energía, Turismo y Agenda Digital, ha puesto en marcha un nuevo servicio dirigido a microempresas y pymes. Se trata del videojuego ‘Hackend – Se acabó el juego’, una novedosa iniciativa para que los empresarios puedan conocer, de forma amena y divertida, cuáles son las principales vulnerabilidades que ponen en riesgo la seguridad de su empresa y qué medidas deben adoptar para solucionarlas. http://www.cyberhades.com/2016/12/22/hackend-se-acabo-el-juego/ * Las fábricas y los entornos industriales, el otro objetivo del cibercrimen Lo afirma Eugene Kaspersky, CEO de la empresa de seguridad rusa, al hablar del futuro de los ciberataques; afirma que con la masificación de la infraestructura conectada los ataques serán físicos, pudiendo provocar verdaderas catástrofes y hasta muertes humanas. pandillas sofisticadas continuarán desarrollando sus habilidades y técnicas para atacar blancos de alto perfil con el propósito de robar o extorsionar grandes cantidades de dinero. Ya hemos visto ataques bien avanzados a bancos y a otras instituciones financieras y hay una ola creciente de este tipo de ataques. Los ataques dirigidos, también conocidos como APTs, estaban confinados al espionaje de gobiernos y no un área de preocupación para empresas. Pero las técnicas utilizadas en estos ataques se han proliferado rápidamente y los criminales ya las están utilizando hoy en otros ámbitos. Segundo, los criminales aprenderán a atacar los nuevos dispositivos del Internet de las Cosas. http://www.lanacion.com.ar/1975633-las-fabricas-y-los-entornos-industriales-el-otro-objetivo-del-cibercrimen * APT28, el grupo de 'hackers' rusos que está sembrando el caos en el mundo El nombre APT28 se ha convertido en sinónimo de 'hacking' gubernamental de élite, con acciones cada vez más atrevidas como el robo y difusión de información de los ordenadores del Partido Demócrata de Estados Unidos. Según múltiples expertos, este grupo de 'hackers' están a sueldo de los servicios de inteligencia del gobierno ruso. Pero, ¿qué se sabe realmente de ellos? ¿Son también rusos? ¿Son muchos o pocos? Y, sobre todo, ¿cómo trabajan? http://www.elconfidencial.com/tecnologia/2017-01-14/apt28-hackers-rusia-eeuu-informatica_1316329/ * Oracle corrige 270 vulnerabilidades en su actualización de seguridad de enero Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica el primer boletín de seguridad del año. Contiene parches para 270 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL. Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa. http://unaaldia.hispasec.com/2017/01/oracle-corrige-270-vulnerabilidades-en.html * Google explica la seguridad de su infraestructura, que incluye hardware propio Google ha publicado un extenso documento donde explica las 6 capas de seguridad que protegen su infraestructura. Entre otras cosas, revela que sus servidores y otros componentes de hardware contienen microprocesadores de seguridad marca Google. Mientras que un gran número de empresas prefieren mantener en secreto la seguridad de sus sistemas, Google ha dado a conocer los procedimientos con que protege su infraestructura. Indudablemente, no revela detalles técnicos que podrían poner en riesgo sus sistemas o instalaciones, pero aporta una visión de conjunto sobre el nivel que deberían tener los sistemas corporativos que gestionan información. https://diarioti.com/google-explica-la-seguridad-de-su-infraestructura-que-incluye-hardware-propio/102721 * La extensión espía de Adobe Reader tiene, además, fallos de seguridad Adobe es una de las compañías que mayores vulnerabilidades instalan en los ordenadores de sus usuarios a través de su software, tanto Flash Player, el obsoleto complemento web, como Reader, el visor de documentos PDF. Mientras que es muy importante mantener todas las aplicaciones, especialmente las más vulnerables como estas, actualizadas a las últimas versiones, en ocasiones actualizar estas aplicaciones puede ser peor que no hacerlo, y eso es lo que ha pasado con las últimas actualizaciones de esta compañía. https://www.redeszone.net/2017/01/19/la-extension-espia-adobe-reader-ademas-fallos-seguridad/ * Un nuevo texto que provoca un DoS en tu iOS Si en los últimos días has recibido un mensaje el cual ha provocado la caída de tu dispositivo estarás al tanto de la noticia. Sin duda es una de las noticias de la semana, la cual puede sorprender a muchos por su sencillez de ejecución y las consecuencias del uso de una serie de emojis encadenados y lo que puede provocar en un terminal hoy en día. Lo más curioso es que no hace falta leerlo, simplemente con recibirlo el terminal puede quedar inestable. http://www.seguridadapple.com/2017/01/un-nuevo-texto-que-provoca-un-dos-en-tu.html
