Boletín nº 90 Noticias Seguridad en Comunidad Movistar Empresas
GhostDNS: unos hackers han cambiado las DNS de 100.000 routers La empresa Netlab ha detallado que hay más de 100.000 routers afectados (un 87,8% en Brasil), habiendo más de 70 routers o versiones de firmware afectados. Las principales webs falsas a la que redirigían los atacantes eran páginas de bancos del país, e incluso Netflix. Este ataque estaba compuesto de cuatro módulos diferentes: DNSChanger, Web Amin, Phishing Web y Rogue DNS. DNSChanger, el primero de ellos, es el responsable de recopilar la información y llevar a cabo el ataque a través de tres submódulos en routers conectados a redes públicas o privadas. En total, es capaz de ejecutar más de 100 ataques a más de 70 routers. Uno de ellos realizaba 69 ataques a 47 routers o firmwares distintos, habiendo conseguido infectar 62.000 routers. El segundo, llamado Web Admin, contiene la página de login del Web Admin System. El tercero, el Rogue DNS, contiene la información de las webs que el malware suplanta y que el usuario termina viendo en su navegador. El cuarto y último, Phishing Web, se complementa con el tercero, y resuelve las páginas web falsas correspondientes al sitio que se quiere suplantar. ¡Mucho cuidado! Descubren que el 83% de los routers que tenemos en casa no son seguros. Revisa que tienes la última versión del firmare instalada, y que los DNS de tu router son los correctos. Más información en https://www.adslzone.net. TORII: nueva botnet IoT, aún sin objetivos claros Cada vez existen más dispositivos conectados a Internet, dispositivos de todo tipo que forman lo que conocemos como "Internet de las Cosas", o IoT. Desde cámaras de vigilancia hasta micro-servidores y electrodomésticos, cada vez son más los dispositivos conectados a la red, dispositivos que, por desgracia, no destacan precisamente por su seguridad, hecho que no han tardado los piratas informáticos en aprovechar para tomar el control de estos dispositivos y crear peligrosas botnets, como Mirai o la nueva botnet recién descubierta: Torii. Tal como se ha podido comprobar, el grupo de delincuentes informáticos ha creado binarios para una gran de arquitecturas diferentes, como MIPS, ARM, x86, x64, PowerPC y SuperH, adaptando los binarios a cada tipo de arquitectura para reducir la probabilidad de ser detectada y, además, poder implementar medidas de persistencia especiales para cada tipo de dispositivo. ¿Cómo funciona la botnet Torii?. Esta botnet busca nuevos dispositivos para infectar a través del puerto 23 Telnet, pero a diferencia de otras, el ataque llega directamente desde la red Tor. Más información en https://www.bleepingcomputer.com/. Puerto de San Diego golpeado por Ransomware La Oficina Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional (DHS) fueron convocados por el Puerto de San Diego en California después de que algunos de los sistemas de TI de la organización se infectaron con un ransomware. El Puerto de San Diego emitió su primera declaración sobre el incidente de ciberseguridad, que calificó de "grave", el 26 de septiembre, un día después de que comenzó a recibir informes de interrupciones en los sistemas de TI. El Puerto de Barcelona también informó haber sido golpeado por un ciberataque este mes, pero no está claro si los incidentes están relacionados. El puerto español no ha compartido ninguna información sobre el tipo de ataque, pero también afirmó que el incidente solo afectó a los sistemas internos, sin impacto en las operaciones terrestres o costeras. El Puerto de Barcelona dice que ha "iniciado las acciones legales apropiadas en represalia a este grave ataque".Más información en https://www.securityweek.com/. Exponen datos de 50 millones de usuarios de Facebook Un ataque a Facebook que se descubrió esta semana expuso información sobre casi 50 millones de usuarios de la red social, anunció la compañía el viernes. Los atacantes, que no fueron identificados, explotaron una característica que les permite a los usuarios ver su página de Facebook de la misma forma que lo haría otra persona (función "View As"). Facebook dice que ya ha solucionado el problema y ha informado a la policía. Según el New York Times, la compañía ha encontrado el agujero esta semana, y ya ha informado de ello a las autoridades estadounidenses. Los atacantes han explotado una vulnerabilidad en el código que les ha permitido hacerse con el control de las cuentas de los usuarios. Los atacantes se aprovecharon de un error en el código de la app y accedieron a la información privada de los usuarios. Este viernes por la mañana, más de 90 millones de personas fueron obligadas a salir de sus cuentas por la propia red social como medida de seguridad. Facebook no tiene pistas de la nacionalidad de los atacantes ni de dónde han podido provenir el hackeo. También reconocen que aún no saben la magnitud total del ataque, así que con el paso de las horas podrían ser más de 50 millones de cuentas comprometidas. Más información en https://newsroom.fb.com Cuidado con este nuevo malware; puede resistir un formateo e incluso un cambio de disco duro Formatear un ordenador, o restablecer los valores de fábrica de un dispositivo, suele ser la mejor forma de eliminar un malware que, por alguna razón, ha infectado nuestro sistema. Sin embargo, los piratas informáticos buscan constantemente nuevas formas de persistencia que les permitan, además de ser prácticamente indetectables, mantener un equipo o dispositivo infectado incluso después de formatear. Así nacieron los rootkits, y una de las últimas amenazas de este tipo, recién descubierta, es LoJax, un rootkit UEFI. Un rootkit UEFI es un tipo de malware que, en lugar de infectar el sistema operativo, infecta la UEFI (antigua BIOS) de los ordenadores. De esta manera, el malware pasa totalmente desapercibido en el sistema operativo (ya que los antivirus no suelen analizar la UEFI de los equipos) y, además, son capaces de resistir a un formateo del ordenador y a un cambio de disco duro. Recientemente, investigadores de seguridad han encontrado un nuevo rootkit UEFI, llamado LoJax, que está infectando ordenadores y sistemas por todo el mundo. Este nuevo rootkit ha sido desarrollado por el grupo de piratas informáticos APT28, uno de los grupos de piratas más peligrosos, responsable ya de varios ataques a grandes empresas. Más información https://www.redeszone.net/2 Vulnerabilidad de escalamiento de privilegios en Linux de más de 10 años Con relativa frecuencia se encuentran vulnerabilidades de escalamiento de privilegios en Linux. Estas permiten a un atacante con privilegios limitados el poder llegar hasta a manipular partes esenciales del sistema operativo o algún servicio en ejecución. Lo descrito en el párrafo anterior es lo descubierto por unos investigadores de Qualys, que han publicado los detalles de dos pruebas de concepto (1 y 2) mostrando una vulnerabilidad en el kernel Linux que abre la puerta a que un usuario sin privilegios consiga acceso a nivel de superusuario (root) en el sistema operativo. Llamada "Mutagen Astronomy", afecta a versiones del kernel Linux publicadas entre julio de 2007 y junio de 2017. Esto hace que las distribuciones más afectadas sean aquellas que ofrecen un soporte largo en el tiempo, como RHEL, CentOS, y Debian 8 Jessie , ya que otras muchas orientadas al escritorio suelen cambiar el componente que nos ocupa con más frecuencia. Más información https://thehackernews.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 67 Noticias Seguridad en Comunidad Movistar Empresas
Any.Run, la herramienta interactiva de análisis de malware, abierta a todos de forma gratuita Esta semana la herramienta interactiva de análisis de programas maliciosos Any.Run ha anunciado que su versión gratuita de la comunidad está disponible y abierta a cualquiera. Quien lo desee puede registrarse en el servicio y emplear su cuenta para analizar interactivamente y sin coste, en un entorno aislado y seguro para su equipo, diferentes tipos de malware. Lo que hace especial a esta utilidad de análisis es que su funcionamiento es completamente interactivo. Esto permite la carga de un fichero potencialmente malicioso y la manipulación del mismo en tiempo real mientras la herramienta lleva a cabo su examen. En otros entornos aislados de pruebas hay que cargar el archivo y esperar a que el servicio proporcione el análisis, sin permitirse ningún tipo de interacción. Esta característica, su principal atractivo, permite un testeo más visual y revelador de todo aquel malware que requiere la interacción del usuario. Como por ejemplo, el que demanda el avance a través de varias ventanas en una instalación o juega con el usuario lanzándole ventanas con diferentes mensajes y opciones. Además de permitir el análisis en profundidad de objetos maliciosos no identificados, también facilita la investigación de otros tipos de ataque. Fuente: www.genbeta.com. Un niño bloquea el iPhone de su madre para los próximos 47 años Ocurrió en Shangái, China, el pasado mes de enero. Como si quisiera lograr un récord Guiness y entrar en la historia de las hazañas más imposibles, un niño ha conseguido algo totalmente inaudito: bloquear el iPhone de su madre para los próximos 47 años. Si normalmente se acostumbra a decir a los padres que mantengan los aparatos electrónicos fuera del alcance de los niños, esta noticia confirma la gran verdad de estas palabras. Y si no, que se lo pregunten a la madre que encargó a su hijo que cuidara de su smartphone. Al parecer el pequeño había introducido tantas veces el código de desbloqueo que el periodo de inhabilitación era inasumible. Según ha contado la protagonista a Kankanews.com, ella solía dejar el móvil al niño para ver vídeos educacionales pero cuando volvió un día a casa encontró escrito en la pantalla: “inhabilitado para los próximos 25 millones de minutos”. El rotativo chino se puso en contacto con un técnico de Apple para intentar dar con una solución a esta problemática. Los profesionales le plantearon dos opciones a la dueña del teléfono móvil: esperar 47 años o directamente resetear el dispositivo con la consiguiente pérdida de información del dispositivo. Fuente: www.lavanguardia.com. Aumento de ataques al sector salud, extracción de criptomonedas El aumento en el valor de Bitcoin llevó a los hackers a centrarse en el secuestro de criptomonedas a través de una variedad de métodos, incluidas las aplicaciones maliciosas de Android. Durante el cuarto trimestre de 2017, los profesionales de seguridad de la información vieron en promedio ocho nuevas muestras de amenazas por segundo y el uso creciente de ataques de malware sin archivos aprovechando Microsoft PowerShell. “El cuarto trimestre se definió como: malware sin archivos, extracción de criptomonedas y esteganografía. Incluso las tácticas probadas y verídicas, como las campañas de ransomware, se aprovecharon más allá de sus medios habituales para crear humo y espejos que distraigan a los defensores de los ataques reales“, dijo Raj Samani, experto en seguridad de la información de McAfee. “La colaboración y el intercambio de información liberalizada para mejorar las defensas de ataque siguen siendo críticamente importantes a medida que los defensores trabajan para combatir la escalada de la guerra cibernética asimétrica”. Fuente: noticiasseguridad.com. El ataque de MOSQUITO permite que las computadoras con espacios de aire intercambien datos de forma encubierta El equipo de investigadores de seguridad que el mes pasado demostró cómo los atacantes podrían robar datos de computadoras con protección contra el aire dentro de una jaula de Faraday, están de regreso con su nueva investigación que muestra cómo dos o más PCs ubicados en la misma habitación pueden encubrirse e intercambiar datos a través de ondas ultrasónicas. Se cree que los ordenadores con espacio de aire son la configuración más segura en la que los sistemas permanecen aislados de Internet y las redes locales, lo que requiere acceso físico para acceder a los datos a través de una unidad flash USB u otros medios extraíbles. Conocida como MOSQUITO, la nueva técnica, descubierta por un equipo de investigadores de la Universidad Ben Gurion de Israel, funciona invirtiendo los altavoces pasivos o auriculares conectados en micrófonos mediante la explotación de una función específica de chip de audio. Hace dos años, el mismo equipo de investigadores demostró cómo los atacantes podían escuchar de forma encubierta conversaciones privadas en su habitación simplemente invirtiendo sus auriculares conectados a la computadora infectada en un micrófono, como un dispositivo de detección de errores, usando malware. Fuente: thehackernew.scom. Los Hackers APT infectan Routers para implantar secretamente Malware para espiar Los investigadores de seguridad de Kaspersky han identificado un grupo de hacking APT sofisticado que ha estado operando desde por lo menos 2012 sin que hayan sido descubiertos por sus complejas e inteligentes técnicas de hacking. El grupo hacking utiliza una pieza de malware avanzado, denominado Honda para infectar cientos de miles de víctimas en el Oriente Medio y África por piratería en sus routers. Según indica un informe publicado por Kaspersky Labs, el grupo explota desconocidas vulnerabilidades en routers de un proveedor de hardware de red letona Mikrotik como su vector de infección de la primera etapa para plantar secretamente su spyware en computadoras de las víctimas. Aunque no está claro cómo el grupo logró comprometer los routers, en un primer momento, Kaspersky apuntó a WikiLeaks Vault 7 CIA Leaks, que reveló el exploit ChimayRed, ahora disponible en GitHub, para comprometer los enrutadores Mikrotik. Una vez que el router está comprometido, los atacantes sustituyen uno de sus archivos DDL (bibliotecas de vínculos dinámicos) por uno malicioso del sistema de archivos que se carga directamente en la memoria de la computadora de la víctima cuando el usuario ejecuta el software Winbox cargador. Fuente: thehackernews.com. Gozi Trojan usa Dark Cloud Botnet en nueva ola de ataques Gozi IFSB, un troyano bancario que ha estado rondando por Internet durante varios años, ha vuelto con nuevos objetivos, nuevas características y una nueva botnet para su distribución. Los cambios, detallados por Talos Intelligence el martes, sirven para que el troyano sea una amenaza más peligrosa para un grupo selecto de víctimas. Gozi IFSB ha comenzado a utilizar el botnet Dark Cloud en campañas recientes, un desarrollo que muestra que los atacantes se están moviendo a infraestructuras que están asociadas con actividades criminales y maliciosas generalizadas. Dark Cloud, que utiliza computadoras personales comprometidas como hosts para sitios web que cambian de dirección cada pocos minutos, se basa principalmente en Europa del Este y Rusia. La campaña más reciente usa mensajes de correo electrónico individualmente dirigidos con archivos maliciosos de Microsoft Word como el mecanismo de entrega de la carga de malware. Fuente: www.darkreading.com Ahora tus datos personales en la Dark Web van acompañados de tu selfie En la Dark Web se pueden comprar muchas cosas ilegales, como droga, identidades robadas, armas, herramientas de hackeo, y un largo etcétera. Ahora, algunas de las identidades robadas en la Dark Web están empezando a venir acompañadas de datos personales todavía más peligrosos, como selfies. Datos personales, por 70 dólares se puede suplantar a una persona. Eso es lo que ha descubierto la empresa de seguridad israelí Sixgill. En uno de los miles de volcados de datos en un foro ruso de la Dark Web encontraron uno que destacaba frente a los otros porque incluía fotografías de las personas a las que pertenecía cada identidad. Fuente: www.adslzone.net. Descubren 200 millones de cuentas en la Dark Web Especialistas en seguridad de Hacked-DB descubrieron datos que contienen las credenciales de inicio de sesión de millones de usuarios en la Dark Web. En total, descubrieron 3.000 bases de datos que contienen 200 millones de cuentas de usuario únicas que incluyen direcciones de correo electrónico, información personal, cuentas financieras, direcciones IP únicas, identificadores de cuenta únicos y otra información confidencial vinculada a organizaciones e individuos alrededor del mundo. La filtración incluye bases de datos desde 2011 hasta hoy en 2018, y la información incluye cuentas personales con contraseñas sin formato o hash que pueden revertirse fácilmente a la contraseña misma. La mayoría de estas bases de datos no se detectaron antes de esta fuga y el tamaño total de los archivos filtrados es de 9 GB. Fuente: www.cybersecurityintelligence.com Amazon, google y playstation sufrieron ataques DDos La vulnerabilidad en Memcached Servers ha estado expuesta a las masas desde que su código de prueba de concepto (PoC) fue publicado recientemente en línea. Esa exposición ahora permitiría a los script kiddies realizar ataques DDoS a gran escala como si el reciente ataque masivo DDoS contra Github y el mayor ataque de 1.7Tbps del mundo sobre una firma estadounidense no fueran suficientes. Según una lista proporcionada por una empresa de seguridad de la información, las siguientes empresas y sitios web han sido golpeados por ataques DDoS a través de servidores Memcached mal configurados. Fuente: noticiasseguridad.com. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
