BOTNET

7 Temas

Comunicación Protocolo Antibotnet. ¿Qué hacer?
Hola, Si, con motivo de la colaboración público-privada de Telefónica con Incibe en la lucha contra las redes zombies y botnes, has recibido una notificación como cliente de Movistar, debes tener en cuenta qué pasos debes seguir: Debes dirigirte a la página que se indica en el correo de la Oficina de Seguridad del Internauta http://www.osi.es/es/servicio-antibotnet donde te ofrecen información y herramientas para ayudarte a desinfectar tu equipo. En el correo se incluye un código de botnet que debes introducir después de pulsar la casilla “Consulta tu código” A partir de aquí te indicarán como debes actuar para realizar la desinfección de tu equipo. Para soporte y problemas con los Cleaners dirigirse a la OSI, ya que en el ámbito de dicha colaboración son los encargados de solucionar cualquier incidente que se produzca en el proceso. Puedes ponerte en contacto de la siguiente manera: Formulario de contacto (preferible) https://www.osi.es/es/contacto Teléfono: 017 Otros aspectos a tener en cuenta: Es una colaboración público-privada con INCIBE (Anteriormente INTECO), empresa estatal. En ningún caso Telefónica accede a la información de navegación de sus clientes, siempre es INCIBE que nos envía las direcciones IP infectadas y nosotros nos limitamos a identificar al cliente y notificar (estamos obligados por la LGT ). En ningún caso se cortará el servicio. El dispositivo afectado es alguno de los que están o estaban conectados a Internet en la red del cliente en el momento de la detección del incidente. La solución o Cleaner no es antivirus completo, es una solución para ese virus específico. Un usuario puede tener más de un malware en su PC/Dispositivo al mismo tiempo. Puede verse afectado tanto un PC como una Tablet, Smartphone, etc. Comprobaciones a realizar para verificar que no se trata de un Phishing: La dirección del remitente es exactamente nemesys@telefonica.es Comprobar que el Asunto del correo responde al patrón siguiente: - (e-mail#NXX-XXXXXXX-TTTTTTTTT-AntiBotnet) Notificación de Ciber-Seguridad en colaboración con INCIBE - TTTTTTTTT debe ser el número de teléfono del cliente - Además, el número de teléfono también debe aparecer en el cuerpo del mensaje El enlace a la página web de la OSI es http://www.osi.es/es/servicioantibotnet y no un enlace acortado. El correo no ha sido catalogado como SPAM/Correo no deseado. Más información: http://www.osi.es/es/servicio-antibotnet http://www.osi.es/es/servicio-antibotnet/informacion http://www.osi.es/actualidad/blog/2014/03/14/que-es-una-botnet-o-una-red-zombi-de-ordenadores El modelo del correo es el siguiente: De: nemesys@telefonica.es Enviado el: díaSemana, dd de mes de aaaa hh:mm Para: emailCliente Asunto: (e-mail#NAA-XXXXXXX-TTTTTTTTT-Código Botnet) Notificación de Ciber-Seguridad en colaboración con INCIBE. Estimado/a cliente: Dentro del marco de colaboración público-privada que Telefónica de España, S. A. U. mantiene con la Administración española y en el ánimo de velar por la seguridad de nuestros clientes y del resto de usuarios de Internet, y en cumplimiento con lo dispuesto en la Disposición adicional novena de la Ley 34/2002, de 11 de julio[1], nos dirigimos a usted para informarle que hemos recibido un aviso de seguridad por parte del Centro de Respuesta a Incidentes del Instituto Nacional de Ciberseguridad (INCIBE-CERT)[2]; a través del cual se nos comunica que alguno de los equipos conectados a su conexión a Internet asociada a la línea TTTTTTTTT podría estar afectado por un programa malicioso relacionado con redes de ordenadores zombie o botnets. Según este aviso, con fecha AAAA-MM-DD hh:mn:ss y con la dirección IP xxx. xxx. xxx. xxx, que en ese momento estaba utilizando su conexión a Internet, algún equipo o dispositivo habría tenido comunicación con la red de ordenadores zombie “Código Botnet”, y por lo tanto se pueden estar realizando actividades maliciosas sin su conocimiento, que podrían afectarle a usted mismo e incluso a terceros. ============================= Procedimiento de desinfección ============================= Para obtener más información sobre esta amenaza y ayudarle en el proceso de desinfección de sus dispositivos, puede acceder a la web de la Oficina de Seguridad del Internauta (OSI) perteneciente al Instituto Nacional de Ciberseguridad (INCIBE)[3]. http://www.osi.es/es/servicio-antibotnet e introducir el siguiente código en la casilla que figura “Consulta tu código”: “Código Botnet” ========================================== Información sobre la iniciativa AntiBotnet ========================================== La iniciativa AntiBotnet es un proyecto de colaboración público-privada puesto en marcha por los principales prestadores de servicios de la sociedad de la información, la Secretaría de Estado para el Avance Digital e INCIBE. Su finalidad es proporcionar la información y herramientas necesarias para la desinfección de dispositivos afectados por incidentes de ciberseguridad relacionados con redes de ordenadores zombie o botnets, contribuyendo así a un Internet más confiable y seguro para todos. Toda la información de los Servicios AntiBotnet en http://www.osi.es/es/servicio-antibotnet Para ayuda adicional o dudas relativas al servicio puede contactar con el servicio de soporte de la OSI a través de su página web: https://www.osi.es/contacto. Atentamente, Nemesys Abuse Team Telefónica de España S.A.U. C.I.F. A82018474 ===== Notas ===== [1] Disposición adicional novena de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, aprobada mediante la Disposición final undécima Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (BOE núm. 114, de 10 de mayo de 2014) [2]INCIBE-CERT pertenece al Instituto Nacional de Ciberseguridad (INCIBE – http://www.incibe.es ), empresa dependiente del Ministerio de Industria, Energía y Turismo y del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) del Ministerio del Interior. [3] INCIBE es la nueva denominación del antiguo INTECO, Instituto Nacional de Tecnologías de la Comunicación. Saludos.
Julia-Movistar
18-01-2022 Lugar Spam, Hacking. Centro Némesys
37 milVistas
0me gusta
0Comentarios
Boletín nº 90 Noticias Seguridad en Comunidad Movistar Empresas
GhostDNS: unos hackers han cambiado las DNS de 100.000 routers La empresa Netlab ha detallado que hay más de 100.000 routers afectados (un 87,8% en Brasil), habiendo más de 70 routers o versiones de firmware afectados. Las principales webs falsas a la que redirigían los atacantes eran páginas de bancos del país, e incluso Netflix. Este ataque estaba compuesto de cuatro módulos diferentes: DNSChanger, Web Amin, Phishing Web y Rogue DNS. DNSChanger, el primero de ellos, es el responsable de recopilar la información y llevar a cabo el ataque a través de tres submódulos en routers conectados a redes públicas o privadas. En total, es capaz de ejecutar más de 100 ataques a más de 70 routers. Uno de ellos realizaba 69 ataques a 47 routers o firmwares distintos, habiendo conseguido infectar 62.000 routers. El segundo, llamado Web Admin, contiene la página de login del Web Admin System. El tercero, el Rogue DNS, contiene la información de las webs que el malware suplanta y que el usuario termina viendo en su navegador. El cuarto y último, Phishing Web, se complementa con el tercero, y resuelve las páginas web falsas correspondientes al sitio que se quiere suplantar. ¡Mucho cuidado! Descubren que el 83% de los routers que tenemos en casa no son seguros. Revisa que tienes la última versión del firmare instalada, y que los DNS de tu router son los correctos. Más información en https://www.adslzone.net. TORII: nueva botnet IoT, aún sin objetivos claros Cada vez existen más dispositivos conectados a Internet, dispositivos de todo tipo que forman lo que conocemos como "Internet de las Cosas", o IoT. Desde cámaras de vigilancia hasta micro-servidores y electrodomésticos, cada vez son más los dispositivos conectados a la red, dispositivos que, por desgracia, no destacan precisamente por su seguridad, hecho que no han tardado los piratas informáticos en aprovechar para tomar el control de estos dispositivos y crear peligrosas botnets, como Mirai o la nueva botnet recién descubierta: Torii. Tal como se ha podido comprobar, el grupo de delincuentes informáticos ha creado binarios para una gran de arquitecturas diferentes, como MIPS, ARM, x86, x64, PowerPC y SuperH, adaptando los binarios a cada tipo de arquitectura para reducir la probabilidad de ser detectada y, además, poder implementar medidas de persistencia especiales para cada tipo de dispositivo. ¿Cómo funciona la botnet Torii?. Esta botnet busca nuevos dispositivos para infectar a través del puerto 23 Telnet, pero a diferencia de otras, el ataque llega directamente desde la red Tor. Más información en https://www.bleepingcomputer.com/. Puerto de San Diego golpeado por Ransomware La Oficina Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional (DHS) fueron convocados por el Puerto de San Diego en California después de que algunos de los sistemas de TI de la organización se infectaron con un ransomware. El Puerto de San Diego emitió su primera declaración sobre el incidente de ciberseguridad, que calificó de "grave", el 26 de septiembre, un día después de que comenzó a recibir informes de interrupciones en los sistemas de TI. El Puerto de Barcelona también informó haber sido golpeado por un ciberataque este mes, pero no está claro si los incidentes están relacionados. El puerto español no ha compartido ninguna información sobre el tipo de ataque, pero también afirmó que el incidente solo afectó a los sistemas internos, sin impacto en las operaciones terrestres o costeras. El Puerto de Barcelona dice que ha "iniciado las acciones legales apropiadas en represalia a este grave ataque".Más información en https://www.securityweek.com/. Exponen datos de 50 millones de usuarios de Facebook Un ataque a Facebook que se descubrió esta semana expuso información sobre casi 50 millones de usuarios de la red social, anunció la compañía el viernes. Los atacantes, que no fueron identificados, explotaron una característica que les permite a los usuarios ver su página de Facebook de la misma forma que lo haría otra persona (función "View As"). Facebook dice que ya ha solucionado el problema y ha informado a la policía. Según el New York Times, la compañía ha encontrado el agujero esta semana, y ya ha informado de ello a las autoridades estadounidenses. Los atacantes han explotado una vulnerabilidad en el código que les ha permitido hacerse con el control de las cuentas de los usuarios. Los atacantes se aprovecharon de un error en el código de la app y accedieron a la información privada de los usuarios. Este viernes por la mañana, más de 90 millones de personas fueron obligadas a salir de sus cuentas por la propia red social como medida de seguridad. Facebook no tiene pistas de la nacionalidad de los atacantes ni de dónde han podido provenir el hackeo. También reconocen que aún no saben la magnitud total del ataque, así que con el paso de las horas podrían ser más de 50 millones de cuentas comprometidas. Más información en https://newsroom.fb.com Cuidado con este nuevo malware; puede resistir un formateo e incluso un cambio de disco duro Formatear un ordenador, o restablecer los valores de fábrica de un dispositivo, suele ser la mejor forma de eliminar un malware que, por alguna razón, ha infectado nuestro sistema. Sin embargo, los piratas informáticos buscan constantemente nuevas formas de persistencia que les permitan, además de ser prácticamente indetectables, mantener un equipo o dispositivo infectado incluso después de formatear. Así nacieron los rootkits, y una de las últimas amenazas de este tipo, recién descubierta, es LoJax, un rootkit UEFI. Un rootkit UEFI es un tipo de malware que, en lugar de infectar el sistema operativo, infecta la UEFI (antigua BIOS) de los ordenadores. De esta manera, el malware pasa totalmente desapercibido en el sistema operativo (ya que los antivirus no suelen analizar la UEFI de los equipos) y, además, son capaces de resistir a un formateo del ordenador y a un cambio de disco duro. Recientemente, investigadores de seguridad han encontrado un nuevo rootkit UEFI, llamado LoJax, que está infectando ordenadores y sistemas por todo el mundo. Este nuevo rootkit ha sido desarrollado por el grupo de piratas informáticos APT28, uno de los grupos de piratas más peligrosos, responsable ya de varios ataques a grandes empresas. Más información https://www.redeszone.net/2 Vulnerabilidad de escalamiento de privilegios en Linux de más de 10 años Con relativa frecuencia se encuentran vulnerabilidades de escalamiento de privilegios en Linux. Estas permiten a un atacante con privilegios limitados el poder llegar hasta a manipular partes esenciales del sistema operativo o algún servicio en ejecución. Lo descrito en el párrafo anterior es lo descubierto por unos investigadores de Qualys, que han publicado los detalles de dos pruebas de concepto (1 y 2) mostrando una vulnerabilidad en el kernel Linux que abre la puerta a que un usuario sin privilegios consiga acceso a nivel de superusuario (root) en el sistema operativo. Llamada "Mutagen Astronomy", afecta a versiones del kernel Linux publicadas entre julio de 2007 y junio de 2017. Esto hace que las distribuciones más afectadas sean aquellas que ofrecen un soporte largo en el tiempo, como RHEL, CentOS, y Debian 8 Jessie , ya que otras muchas orientadas al escritorio suelen cambiar el componente que nos ocupa con más frecuencia. Más información https://thehackernews.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
Angeles_Telefonica Empresas
05-10-2018 Lugar Blog Te interesa
815Vistas
1me gusta
0Comentarios
Boletín nº 67 Noticias Seguridad en Comunidad Movistar Empresas
Any.Run, la herramienta interactiva de análisis de malware, abierta a todos de forma gratuita Esta semana la herramienta interactiva de análisis de programas maliciosos Any.Run ha anunciado que su versión gratuita de la comunidad está disponible y abierta a cualquiera. Quien lo desee puede registrarse en el servicio y emplear su cuenta para analizar interactivamente y sin coste, en un entorno aislado y seguro para su equipo, diferentes tipos de malware. Lo que hace especial a esta utilidad de análisis es que su funcionamiento es completamente interactivo. Esto permite la carga de un fichero potencialmente malicioso y la manipulación del mismo en tiempo real mientras la herramienta lleva a cabo su examen. En otros entornos aislados de pruebas hay que cargar el archivo y esperar a que el servicio proporcione el análisis, sin permitirse ningún tipo de interacción. Esta característica, su principal atractivo, permite un testeo más visual y revelador de todo aquel malware que requiere la interacción del usuario. Como por ejemplo, el que demanda el avance a través de varias ventanas en una instalación o juega con el usuario lanzándole ventanas con diferentes mensajes y opciones. Además de permitir el análisis en profundidad de objetos maliciosos no identificados, también facilita la investigación de otros tipos de ataque. Fuente: www.genbeta.com. Un niño bloquea el iPhone de su madre para los próximos 47 años Ocurrió en Shangái, China, el pasado mes de enero. Como si quisiera lograr un récord Guiness y entrar en la historia de las hazañas más imposibles, un niño ha conseguido algo totalmente inaudito: bloquear el iPhone de su madre para los próximos 47 años. Si normalmente se acostumbra a decir a los padres que mantengan los aparatos electrónicos fuera del alcance de los niños, esta noticia confirma la gran verdad de estas palabras. Y si no, que se lo pregunten a la madre que encargó a su hijo que cuidara de su smartphone. Al parecer el pequeño había introducido tantas veces el código de desbloqueo que el periodo de inhabilitación era inasumible. Según ha contado la protagonista a Kankanews.com, ella solía dejar el móvil al niño para ver vídeos educacionales pero cuando volvió un día a casa encontró escrito en la pantalla: “inhabilitado para los próximos 25 millones de minutos”. El rotativo chino se puso en contacto con un técnico de Apple para intentar dar con una solución a esta problemática. Los profesionales le plantearon dos opciones a la dueña del teléfono móvil: esperar 47 años o directamente resetear el dispositivo con la consiguiente pérdida de información del dispositivo. Fuente: www.lavanguardia.com. Aumento de ataques al sector salud, extracción de criptomonedas El aumento en el valor de Bitcoin llevó a los hackers a centrarse en el secuestro de criptomonedas a través de una variedad de métodos, incluidas las aplicaciones maliciosas de Android. Durante el cuarto trimestre de 2017, los profesionales de seguridad de la información vieron en promedio ocho nuevas muestras de amenazas por segundo y el uso creciente de ataques de malware sin archivos aprovechando Microsoft PowerShell. “El cuarto trimestre se definió como: malware sin archivos, extracción de criptomonedas y esteganografía. Incluso las tácticas probadas y verídicas, como las campañas de ransomware, se aprovecharon más allá de sus medios habituales para crear humo y espejos que distraigan a los defensores de los ataques reales“, dijo Raj Samani, experto en seguridad de la información de McAfee. “La colaboración y el intercambio de información liberalizada para mejorar las defensas de ataque siguen siendo críticamente importantes a medida que los defensores trabajan para combatir la escalada de la guerra cibernética asimétrica”. Fuente: noticiasseguridad.com. El ataque de MOSQUITO permite que las computadoras con espacios de aire intercambien datos de forma encubierta El equipo de investigadores de seguridad que el mes pasado demostró cómo los atacantes podrían robar datos de computadoras con protección contra el aire dentro de una jaula de Faraday, están de regreso con su nueva investigación que muestra cómo dos o más PCs ubicados en la misma habitación pueden encubrirse e intercambiar datos a través de ondas ultrasónicas. Se cree que los ordenadores con espacio de aire son la configuración más segura en la que los sistemas permanecen aislados de Internet y las redes locales, lo que requiere acceso físico para acceder a los datos a través de una unidad flash USB u otros medios extraíbles. Conocida como MOSQUITO, la nueva técnica, descubierta por un equipo de investigadores de la Universidad Ben Gurion de Israel, funciona invirtiendo los altavoces pasivos o auriculares conectados en micrófonos mediante la explotación de una función específica de chip de audio. Hace dos años, el mismo equipo de investigadores demostró cómo los atacantes podían escuchar de forma encubierta conversaciones privadas en su habitación simplemente invirtiendo sus auriculares conectados a la computadora infectada en un micrófono, como un dispositivo de detección de errores, usando malware. Fuente: thehackernew.scom. Los Hackers APT infectan Routers para implantar secretamente Malware para espiar Los investigadores de seguridad de Kaspersky han identificado un grupo de hacking APT sofisticado que ha estado operando desde por lo menos 2012 sin que hayan sido descubiertos por sus complejas e inteligentes técnicas de hacking. El grupo hacking utiliza una pieza de malware avanzado, denominado Honda para infectar cientos de miles de víctimas en el Oriente Medio y África por piratería en sus routers. Según indica un informe publicado por Kaspersky Labs, el grupo explota desconocidas vulnerabilidades en routers de un proveedor de hardware de red letona Mikrotik como su vector de infección de la primera etapa para plantar secretamente su spyware en computadoras de las víctimas. Aunque no está claro cómo el grupo logró comprometer los routers, en un primer momento, Kaspersky apuntó a WikiLeaks Vault 7 CIA Leaks, que reveló el exploit ChimayRed, ahora disponible en GitHub, para comprometer los enrutadores Mikrotik. Una vez que el router está comprometido, los atacantes sustituyen uno de sus archivos DDL (bibliotecas de vínculos dinámicos) por uno malicioso del sistema de archivos que se carga directamente en la memoria de la computadora de la víctima cuando el usuario ejecuta el software Winbox cargador. Fuente: thehackernews.com. Gozi Trojan usa Dark Cloud Botnet en nueva ola de ataques Gozi IFSB, un troyano bancario que ha estado rondando por Internet durante varios años, ha vuelto con nuevos objetivos, nuevas características y una nueva botnet para su distribución. Los cambios, detallados por Talos Intelligence el martes, sirven para que el troyano sea una amenaza más peligrosa para un grupo selecto de víctimas. Gozi IFSB ha comenzado a utilizar el botnet Dark Cloud en campañas recientes, un desarrollo que muestra que los atacantes se están moviendo a infraestructuras que están asociadas con actividades criminales y maliciosas generalizadas. Dark Cloud, que utiliza computadoras personales comprometidas como hosts para sitios web que cambian de dirección cada pocos minutos, se basa principalmente en Europa del Este y Rusia. La campaña más reciente usa mensajes de correo electrónico individualmente dirigidos con archivos maliciosos de Microsoft Word como el mecanismo de entrega de la carga de malware. Fuente: www.darkreading.com Ahora tus datos personales en la Dark Web van acompañados de tu selfie En la Dark Web se pueden comprar muchas cosas ilegales, como droga, identidades robadas, armas, herramientas de hackeo, y un largo etcétera. Ahora, algunas de las identidades robadas en la Dark Web están empezando a venir acompañadas de datos personales todavía más peligrosos, como selfies. Datos personales, por 70 dólares se puede suplantar a una persona. Eso es lo que ha descubierto la empresa de seguridad israelí Sixgill. En uno de los miles de volcados de datos en un foro ruso de la Dark Web encontraron uno que destacaba frente a los otros porque incluía fotografías de las personas a las que pertenecía cada identidad. Fuente: www.adslzone.net. Descubren 200 millones de cuentas en la Dark Web Especialistas en seguridad de Hacked-DB descubrieron datos que contienen las credenciales de inicio de sesión de millones de usuarios en la Dark Web. En total, descubrieron 3.000 bases de datos que contienen 200 millones de cuentas de usuario únicas que incluyen direcciones de correo electrónico, información personal, cuentas financieras, direcciones IP únicas, identificadores de cuenta únicos y otra información confidencial vinculada a organizaciones e individuos alrededor del mundo. La filtración incluye bases de datos desde 2011 hasta hoy en 2018, y la información incluye cuentas personales con contraseñas sin formato o hash que pueden revertirse fácilmente a la contraseña misma. La mayoría de estas bases de datos no se detectaron antes de esta fuga y el tamaño total de los archivos filtrados es de 9 GB. Fuente: www.cybersecurityintelligence.com Amazon, google y playstation sufrieron ataques DDos La vulnerabilidad en Memcached Servers ha estado expuesta a las masas desde que su código de prueba de concepto (PoC) fue publicado recientemente en línea. Esa exposición ahora permitiría a los script kiddies realizar ataques DDoS a gran escala como si el reciente ataque masivo DDoS contra Github y el mayor ataque de 1.7Tbps del mundo sobre una firma estadounidense no fueran suficientes. Según una lista proporcionada por una empresa de seguridad de la información, las siguientes empresas y sitios web han sido golpeados por ataques DDoS a través de servidores Memcached mal configurados. Fuente: noticiasseguridad.com. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
Angeles_Telefonica Empresas
14-03-2018 Lugar Blog Te interesa
1,3 milVistas
1me gusta
0Comentarios
Boletín nº 51 Noticias Seguridad en Comunidad Movistar Empresas
* La Generalitat deja al descubierto datos personales de todos los catalanes con derecho a voto Expone a fraude a cinco millones de personas al difundir en Internet los últimos 5 dígitos del DNI y la letra, la fecha de nacimiento, el código postal y el colegio donde votar. En su huida hacia adelante para organizar el referéndum suspendido por el Tribunal Constitucional, el Gobierno de Cataluña ha dejado al alcance de cualquiera con conocimientos de cifrado de datos todo el censo de esa comunidad autónoma. Los datos de más de cinco millones de ciudadanos mayores de 18 años que, por sí mismos o cruzados con otras bases de datos, pueden ser instrumentos para cometer fraudes y que han estado deambulando por el ciberespacio durante las últimas semanas. https://elpais.com/tecnologia/2017/10/05/actualidad/1507196018_140173.html * Amazon sufre hackeo a su plataforma con software parásito para minar bitcoins Los servidores de la nube de Amazon, uno de los portales de ventas en línea más grande del mundo, fueron hackeados por no estar protegidos con contraseña y han estado siendo usados por los hackers para minar monedas digitales. De acuerdo a un reporte RedLock Cloud Security Intelligence (CSI), un grupo de inteligencia y seguridad de la nube, publicó en su más reciente reporte que los servidores de Amazon Web Services fueron comprometidos por hackers que lograron acceder al sistema. Sin embargo, fuera de lo usual, los hackers black hat no buscaban robar información o secuestrarla, solo necesitaban acceder a la energía de los computadores para minar bitcoin. https://criptonoticias.com/seguridad/amazon-sufre-hackeo-plataforma-software-parasito-minar-bitcoin/#axzz4v6FM5Frs * Disqus hackeado, cambia tu contraseña El popular sistema de comentarios Disqus ha sido víctima de una violación masiva de seguridad. La compañía, que ofrece un plugin de comentarios para sitios web y blogs, ha admitido que sufrió el ciberataque hace 5 años, concretamente en julio de 2012, y los delincuentes robaron más de 17,5 millones de datos de usuarios. La compañía dijo que la información expuesta se remonta a 2007. Los datos robados incluyen direcciones de correo electrónico, nombres de usuario, fechas de inscripción y fechas de inicio de sesión, en texto plano. También se robaron las contraseñas de alrededor de un tercio de los usuarios afectados. https://www.infosecurity-magazine.com/news/disqus-breach-exposed-175m-emails/ * Kovter: campaña de Malvertisting a través de falsas actualizaciones de navegadores web Un grupo de malvertisting, a quienes los investigadores de Proofpoint, han bautizado KovCoreG, está empleando falsas actualizaciones de Flash y los navegadores web más conocidos para instalar el malware Kovter. Los atacantes han usado anuncios maliciosos sobre PornHub para redirigir a los usuarios hacia sitios falsos que anunciaba una actualización urgente del navegador web o Flash. Para que todo fuera más convincente, el mensaje variaba si se usaba Google Chrome, Mozilla Firefox, Internet Explorer o Microsoft Edge. En el caso de los dos primeros se notificada a los usuarios sobre una actualización de la aplicación, mientras que para los dos últimos se avisaba de una nueva versión de Flash, debido a que esos navegadores son puestos al día a través de Windows Update. https://www.bleepingcomputer.com/news/security/malvertising-group-spreading-kovter-malware-via-fake-browser-updates/ * One plus, no me robes mis datos La recopilación de datos sobre cómo alguien utiliza una pieza de hardware o software es importante si las empresas y los desarrolladores están tratando de averiguar qué funciona y qué no, como qué tipo de problemas los usuarios podrían estar ejecutando, si las cosas como la batería se ha optimizado y funcionando correctamente, y así sucesivamente. OnePlus ha recopilado datos de análisis de sus usuarios, como números IMEI, direcciones MAC, nombres de redes móviles , prefijos IMSI y números de serie, sólo por nombrar algunos. http://www.ubergizmo.com/2017/10/oneplus-collecting-user-data/ * Un botnet DDoS de 2015 aumenta su actividad en las últimas semanas Un botnet DDoS descubierto por primera vez en 2015 ha aumentado la actividad durante el verano y es responsable de más de 900 ataques DDoS durante los últimos cuatro meses, el mayor de los cuales alcanzó 45 Gbps. Se le conoce como Flusihoc. https://www.redeszone.net/2017/10/05/botnet-ddos-2015-aumenta-actividad-las-ultimas-semanas/ * Informe Semestral de Cyberseguridad de CISCO Durante casi una década, Cisco ha publicado reportes sobre ciberseguridad diseñados para mantener informado al mercado y a las empresas sobre la evolución de las amenazas, ataques y vulnerabilidades en sus entornos, para ayudarles a definir estrategias de ciberseguridad más sólidas y alineadas a sus objetivos de negocio. 1-.Principales obstáculos para implementar estrategias de seguridad y defensa. 2-.Liderazgo poco involucrado a las decisiones de seguridad. 3-.Los desafíos más relevantes. 4-.Las amenazas son mayores que la capacidad de monitorearlas. 5-.Nadie está a salvo. 6-.Business Email Compromise (BEC) mayor amenaza que el ransomware. 7-.El Spyware va en aumento. 8-.IoT, una puerta de entrada para los ataques. https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/cisco-reporte-semestral-2017-espanol.pdf * Grave ciberataque ruso a EEUU: roban documentos altamente secretos a la NSA La tensión entre Estados Unidos y Rusia vive, en el último año, uno de los peores momentos desde el fin de la Guerra Fría, y parece que puede ir a peor. Hoy se ha conocido que hackers rusos habrían atacado a la NSA (Agencia Nacional de Seguridad) estadounidense robándoles algunos documentos altamente sensibles y secretos sobre la ciberseguridad del país. Según publica el The Wall Street Journal, la violación, considerada la más grave de los últimos años, podría haber abierto una brecha en la ciberseguridad del país y permitido a los 'hackers' de Moscú adentrarse mucho más fácilmente en las redes estadounidenses. La información va más allá y apunta a que los piratas, que trabajaban para el gobierno de Putin, se habrían hecho con documentos que explican toda la estrategia de seguridad de la NSA. Todo apunta a que un nuevo 'ransomware' llamado Petya está extendiéndose de forma rápida y virulenta por países como España, Ucrania, India, Rusia y UK. https://www.elconfidencial.com/tecnologia/2017-10-06/nsa-hacker-ciberataque-kapersky-rusia_1456528/ * Phishing nigeriano apuntan ataques a compañías industriales Los atacantes responsables de una reciente oleada de ataques de phishing y de interceptación de pagos contra empresas industriales, también están robando los proyectos y planes operativos de sus víctimas, así como los diagramas de las redes eléctricas y de información, según un informe emitido por el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS CERT, por sus siglas en inglés) de Kaspersky Lab. Los ataques de Business Email Compromise (BEC, por sus siglas en inglés), a menudo vinculados con Nigeria, tratan de secuestrar cuentas empresariales legítimas que los atacantes pueden controlar para interceptar o redirigir transacciones financieras. En octubre de 2016, los investigadores de Kaspersky Lab notaron un aumento significativo en el número de intentos de infección de malware dirigidos a clientes industriales. http://www.ciberespacio.com.ve/2017/06/hardware/estafadores-de-correos-phishing-nigerianos-apuntan-ataques-a-companias-industriales/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
Angeles_Telefonica Empresas
19-10-2017 Lugar Blog Te interesa
1,5 milVistas
0me gusta
0Comentarios
Boletín nº 46 Noticias Seguridad en Comunidad Movistar Empresas
* WireX, botnet para ataques DDoS con móviles Android infectados en 100 países WireX es una de las primeras grandes redes de bots conocidas que emplean terminales móviles con Android para lanzar ataques de denegación de servicio, DDoS. Ha sido descubierta por varias firmas de seguridad y desde entonces firmas como Akamai, Flashpoint, Google, Oracle, Dyn, RiskIQ o Team Cymru, han colaborado para su desmantelamiento antes de que fuera imparable. No es para menos teniendo en cuenta que WireX había infectado más de 120.000 teléfonos inteligentes Android en su punto máximo a principios de este mes, y el 17 de agosto, los investigadores comprobaron un ataque DDoS masivo (principalmente peticiones HTTP GET) originadas desde 70.000 dispositivos móviles infectados de más de 100 países. Los dispositivos fueron infectados a través de aplicaciones maliciosas descargadas desde la misma tienda de aplicaciones oficial, Google Play Store, un gran problema que todavía no se ha atajado a pesar de los esfuerzos de Google para filtrar y descubrirlas. http://muyseguridad.net/2017/08/29/wirex-ddos-android/ * Millones de usuarios de Instagram comprometidos Las contraseñas de Instagram, a la venta por tan solo 10 dólares cada una. Apenas unas horas después que se produjera el hackeo masivo de cuentas de Instagram, fácilmente se podía encontrar la base de datos Doxagram[.]ws en la que se vendía cada una de ellas por 10 dólares. Esta base de datos no está ahora disponible, o al menos no con la visibilidad que tenía cuando se lanzó, y ahora Instagram ha tomado medidas para que este tipo de problemas no puedan volver a producirse. Como en ocasiones anteriores, con problemas de seguridad de esta escala para redes sociales y otros servicios de Internet, la situación se agravó por la disponibilidad de contraseñas coincidentes de servicios vulnerados anteriormente. http://www.techtimes.com/articles/213102/20170902/instagram-hack-bigger-than-initially-thought-hackers-are-selling-contact-information-of-6-million-accounts-at-10-per-query.htm * Creando ransomware sin escribir una línea de código Investigadores de seguridad de Symantec han detectado un incremento en la aparición de aplicaciones Android catalogadas como TDK (Trojan Development Kits, o kits de desarrollo de troyanos) que permiten a cualquier usuario crear malware para Android sin escribir una sola linea de código. http://unaaldia.hispasec.com/2017/08/creando-ransonware-sin-escribir-una.html * Publicadas miles de credenciales TELNET de dispositivos IOT Una lista de miles de credenciales TELNET completamente funcionales ha estado en línea en Pastebin desde el 11 de junio. Estas credenciales podrían ser utilizadas para realizar ataques de DDoS entre otra decenas de objetivos. La lista, compartida por el investigador Ankit Anubhav, incluye dirección IP, nombre de usuario del dispositivo y su contraseña, y se compone principalmente de credenciales de dispositivo por defecto: "admin: admin", "root: root", y otros formatos. La lista de Pastebin incluye 143 combinaciones de credenciales, incluyendo los 60 combinados de administración y contraseña de la botnet Mirai Telnet. https://www.bleepingcomputer.com/news/security/someone-published-a-list-of-telnet-credentials-for-thousands-of-iot-devices/ * Filtrados 28.7 millones de usuarios de Taringa La base de datos de Taringa ha sido hackeada y los datos de casi 29 millones de usuarios han sido comprometidos, incluyendo nombres de usuarios, direcciones de email y las contraseñas. El servicio de notificaciones de brechas de seguridad, LeakBase ha obtenido una copia de la base de datos. La filtración incluye los hash de las contraseñas de 28.722.877 cuentas, que además usaban el algoritmo MD5, uno de los más desactualizados y fáciles de romper. LeakBase compartió con Hacker News unos 4,5 millones de usuarios para ayudarles a comprobar la veracidad de la base de datos. Usando las direcciones de email encontradas, contactaron varios usuarios de Taringa monstrándoles sus contraseñas en texto plano y estos verificaron que se trataba de datos correctos. http://blog.segu-info.com.ar/2017/09/filtrados-287-millones-de-usuarios-de.html * Boxug: el primer bug bounty en habla hispana El colombiano José Pino (@jofpin) lanzó recientemente Boxug, el primer sistema de recompensas por reporte de vulnerabilidades en habla hispana. Su gran objetivo es la mejora de la seguridad de startups en Latinoamérica, incentivando a los programas de recompensa o bug bounties. Para empezar y mediante el programa Bug Bounty Latam, el equipo de Boxug proporciona recompensas a los reportes válidos de ciertas vulnerabilidades. La recompensa mínima en dicho programa va de $3 USD a $21 USD, pero no hay una recompensa máxima. Las recompensas se pagan una vez hayan sido validadas por el equipo el mismo día, al recibir el informe. http://www.hackplayers.com/2017/09/boxug-el-primer-bug-bounty-latino.html * Mini botnet logra lanzar ataque DDoS de 75 Gbps Informe de Akamai desglosa las estadísticas de ataques DDoS y contra aplicaciones web, junto con analizar el resurgimiento del malware PBot, los algoritmos de generación de dominios, la relación entre los nodos de mando y control de Mirai y los objetivos de ataque. Datos recientes muestran el aumento de los ataques DDoS y contra aplicaciones web, según se indica en el Informe sobre el estado de Internet en materia de seguridad del segundo trimestre de 2017 publicado por Akamai Technologies, Inc., (NASDAQ: AKAM). A este aumento ha contribuido el malware DDoS PBot que, una vez más, constituye la base de los mayores ataques DDoS detectados por Akamai este trimestre. https://diarioti.com/mini-botnet-logra-lanzar-ataque-ddos-de-75-gbps/105553 Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
Angeles_Telefonica Empresas
07-09-2017 Lugar Blog Te interesa
844Vistas
0me gusta
0Comentarios
Boletín semanal nº 22 Noticias Seguridad en Comunidad Empresas Movistar
* Botnet Star Wars con 350.000 cuentas en Twitter Dos investigadores del University College de Londres descubrieron una gran botnet de 350.000 cuentas de Twitter, y expresaron preocupación por los posibles riesgos de que el botmaster decidiera "despertar" las cuentas bajo su control. El estudiante de investigación Juan Echeverría Guzmán y su supervisor y conferencista en el colegio Shi Zhou le dijeron a Threatpost que los bots de la red Star Wars podrían ser utilizados para propagar spam o enlaces maliciosos, y también, para modificar el clima socia de los medios de comunicación. Se podrían crear falsos trending topics, intentar influir en la opinión pública, o iniciar campañas que pretenden propagar noticias falsas entre los usuarios de Twitter. https://threatpost.com/massive-twitter-botnet-dormant-since-2013/123246/ * APT28, el grupo de 'hackers' rusos que está sembrando el caos en el mundo El nombre APT28 se ha convertido en sinónimo de 'hacking' gubernamental de élite, con acciones cada vez más atrevidas como el robo y difusión de información de los ordenadores del Partido Demócrata de Estados Unidos. Según múltiples expertos, este grupo de 'hackers' están a sueldo de los servicios de inteligencia del gobierno ruso. Pero, ¿qué se sabe realmente de ellos? ¿Son también rusos? ¿Son muchos o pocos? Y, sobre todo, ¿cómo trabajan? http://www.elconfidencial.com/tecnologia/2017-01-14/apt28-hackers-rusia-eeuu-informatica_1316329/ * El latido del corazón podría ser tu próxima contraseña Un password seguro es una de las características más importantes que debes tener en tus cuentas para poder escapar a ataques de malware, virus o de que roben tu información. Para enfrentar ataques de hackers investigadores de Nueva York están probando una nueva forma de proteger historiales médicos usando el latido del corazón para acceder a ellos. http://www.minutouno.com/notas/1533134-el-latido-del-corazon-podria-ser-tu-proxima-contrasena * Juego Minecraft, ataques cibernéticos y el FBI? Un programa malicioso que lanzó el mayor ciberataque en la red el año pasado estaba vinculado a los servidores de Minecraft (un juego de computadora de Microsoft en el que los usuarios construyen cosas con bloques), según los expertos que investigaron el ataque. Brian Krebs, un bloguero que escribe sobre temas de seguridad, pasó meses investigando el ataque del malware que impedía el acceso a su blog. ¿Cómo un único ciberataque pudo dañar a varios sitios populares como Twitter, Spotify y Netflix al mismo tiempo? Según Krebs, el origen de la botnet (como se conoce a la red de robots informáticos) Mirai se remonta a las rivalidades dentro de la comunidad de Minecraft. http://www.bbc.com/mundo/noticias-38690902 * Go-cry: un ransomware de código abierto escrito en go En 2015 os hablábamos de Hidden Tear, el primer ransomware de código abierto. Pocos meses después crearon native-tear, un clon escrito en C++, y hoy os traemos go-cry otro port escrito en Go. Go-cry es un proyecto que fue escrito para mostrar lo fácil que es crear código extremadamente malicioso, de hecho si observáis el código veréis que es sumamente sencillo. Ya sabéis que el ransomware está diseñado para secuestrar los archivos más queridos de la víctima demandando grandes cantidades de dinero para desbloquearlos. Go-cry se compone de dos partes, un servidor web y el software cliente. Los archivos de salida se situarán en ./bin/ http://www.hackplayers.com/2017/01/go-cry-un-ransomware-de-codigo-abierto.html * QCrypt: sistema de cifrado "irrompible" creado por un adolescente Se ha construido un nuevo sistema de cifrado, que su creador afirme que es impermeable a los poderes de las computadoras cuánticas, y que el creador de dicho sistema es un estudiante Irlandes de 16 años de edad, es una noticia que vale la pena http://www.ibtimes.co.uk/unbreakable-encryption-technology-created-by-16-year-old-schoolboy-1603024 * Mail cifrado El servicio de correo electrónico cifrado "Lavabit", que se vio obligado a cerrar en 2013 después de no cumplir con una orden judicial que exigía acceso a las claves SSL para fisgonear en los correos electrónicos de Edward Snowden, será relanzando. El CEO de Lavabit, Ladar Levison, podría haber ayudado al gobierno y al FBI a obtener la contraseña de Snowden y las credenciales de otros usuarios. Pero, en lugar de cumplir con la solicitud federal que podría comprometer las comunicaciones de todos sus clientes, Levison prefirió cerrar su servicio de correo electrónico cifrado, dejando a sus 410.000 usuarios incapaces de acceder a sus cuentas de correo electrónico. http://thehackernews.com/2017/01/encrypted-email-lavabit.html
Angeles_Telefonica Empresas
31-01-2017 Lugar Blog Te interesa
1,4 milVistas
0me gusta
0Comentarios