Noticias de Seguridad a nivel mundial: boletín nº 134
Descubren cómo hacer hasta 153 veces más potentes los ataques DDoS Los ataques DDoS son cada vez más potentes. La culpa la encontramos en que cada vez hay más dispositivos conectados a Internet con credenciales de acceso inseguras, las cuales permiten a un atacante incluir ese dispositivo hackeado dentro de una botnet. Si a eso le sumas casi un millón de dispositivos, queda un ataque muy peligroso que puede tumbar casi cualquier web. WDS: el protocolo de descubrimiento inalámbrico que hará que los ataques DDoS sean más potentes. La clave del nuevo fallo que ha sido descubierto por investigadores se encuentra en una herramienta que está implementada incorrectamente en casi un millón de dispositivos conectados, tales como cámaras de seguridad u otros dispositivos del IoT. El protocolo afectado es WS-Discovery (WSD), utilizado por los dispositivos para conectarse entre sí. Esta función está incluida en Windows desde Windows Vista, y es uno de los métodos usados por el sistema operativo para encontrar automáticamente impresoras que estén conectadas en la misma red del ordenador. Continúa navegando en https://www.adslzone.net/ Liverpool FC pagará multa millonaria por hackeo y robo de datos de jugadores del Manchester City Según el periódico inglés The mirror, este fin de semana en la Premier League se acaba de revelar un secreto muy grande que tenía el Liverpool FC, los cuales habrían hackeado al Manchester City, para conocer los jugadores en los que estarían interesados. Los hechos tuvieron lugar en el año 2013 y Manchester se pudo percatar de este espionaje gracias a expertos en materia de ciberseguridad, los cuales pudieron rastrear que el Liverpool había consultado decenas de veces su base de datos en el Scout7 de OptaPro, este es un sistema de análisis y estadísticas de miles de jugadores alrededor del mundo. Al parecer todo se originó cuando el club del City se percató que Liverpool estaba tras los mismos jugadores que él. Ningún equipo se ha mencionado al respecto, ya que esto puede repercutir gravemente en la reputación del club. Aunque Pep Guardiola, actual DT del City habló sobre los secretos los cuales ya no existen en la actualidad y puso como ejemplo a los Gobiernos de Rusia y de Estados Unidos los cuales siempre se terminan enterando de todo.Continúa navegando en https://noticiasseguridad.com/. La policía de Londres sufre infección de ransomware. ¿Pagarán el rescate? Los incidentes de ciberseguridad siguen ocurriendo en organizaciones públicas. Especialistas en hacking ético reportan que David Creery, destacado funcionario de la ciudad de Woodstock, Reino Unido, ha confirmado que los sistemas públicos sufrieron una infección de una variante no identificada de malware que ha impedido el acceso a las redes de datos y servidor de correo electrónico. Las autoridades británicas ya se encuentran investigando las posibles causas del incidente. Sobre el malware, Creery declaró: “Este ataque parece ser un ransomware, no obstante, hasta el momento no hemos recibido una nota de rescate o algo similar”. Cabe recordar que el ransomware es una variante de malware que bloquea el acceso a los datos de la víctima hasta que los atacantes cobran un rescate. Para empeorar la situación, el Servicio de Policía de Woodstock detectó un ataque similar la madrugada del 24 de septiembre, aunque tampoco se ha confirmado que se trate de una infección de ransomware. El Servicio de Policía afirma que las operaciones no se han visto afectadas por este incidente. La ciudad también está trabajando con un grupo de especialistas en hacking ético, quienes han afirmado que hasta ahora no hay evidencia para demostrar que se haya extraído información confidencial ni de los sistemas públicos de Woodstock ni del cuerpo de policía local. Continúa navegando en https://noticiasseguridad.com/. Cambios en la política de privacidad de Google: Google Assistant y Home grabarán tus conversaciones y su equipo escuchará las grabaciones Google va a modificar las políticas respecto a las grabaciones de Google assistant, solo se van a poder escuchar audios si el usuario autoriza que así sea. En meses pasados gracias a expertos de ciberseguridad, sabemos que empresas como Google, Amazon y Facebook escuchaban y espiaban usuarios mediante bocinas y aplicaciones asistentes de voz. Dichas grabaciones supuestamente eran escuchadas por personas externas a las empresas, por lo que se suscitaron varios problemas al respecto. La primera declaración oficial de estas empresas como Facebook y Amazon fue que el análisis de las grabaciones se debía únicamente para la mejora de la tecnología de reconocimiento de voz y para mejorar el asistente, que se activaba en varias ocasiones por accidente. Gracias a declaraciones de un portavoz de Google, se sabe que la empresa quiere reafirmar sus prácticas de seguridad así como mejorar los protocolos de activación por parte del asistente de Google. Gracias a esto los usuarios estarán más involucrados en el proceso de confirmación sobre el uso de sus grabaciones. Estas prácticas se refieren a los permisos que los usuarios tendrán que aceptar para que sus grabaciones sean escuchadas, estando así más conscientes sobre su decisión en el proceso, ya que antes había muchos usuarios que desconocían totalmente si Google espiaba o utilizaba sus audios. El portavoz de Google también afirma que el porcentaje de grabaciones almacenadas se reducirá drásticamente, y que se eliminaran de sus bases de datos las grabaciones que ya tengan varios meses de antigüedad. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 126
Brecha de datos en Fieldwork expone información personal, números de tarjetas de pago y códigos de seguridad Los especialistas en servicios de ciberseguridad Noam Rotem y Ran Locar, de la firma de seguridad vpnMentor descubrieron recientemente una base de datos expuesta perteneciente a Fieldwork, una firma de software de gestión de operaciones para pequeñas y medianas empresas. Los expertos afirman que descubrieron una gran cantidad de datos expuestos almacenados en la base de datos. Entre la información comprometida se encontraban nombres completos, números de teléfono, dirección email, detalles de tarjetas de pago, entre otros datos de los clientes de Fieldwork. Lo más relevante del hallazgo es un enlace de inicio de sesión automático que permitía a cualquier usuario acceder al sistema backend de la compañía; los registros en el backend incluían detalles confidenciales de los clientes, así como múltiples datos sobre las actividades administrativas de la compañía. Continúa navegando en https://noticiasseguridad.com/. La UCO detiene al mayor ciber-estafador de España: ganaba 300.000 euros al mes La Unidad Central Operativa (UCO) de la Guardia Civil consigue otro éxito en su lucha contra la ciberdelincuencia al lograr la detención del mayor ciber-estafador en la historia de España, un joven español de 23 años -J.A.F- al que le constan más de 25 requisitorias judiciales de arresto. El investigado lograba ingresos de hasta 300.000 euros al mes con esta actividad delictiva, que podría venir desarrollando desde hace tres años. El Grupo de Delitos Telemáticos de la UCO ha arrestado a este hombre especializado en la creación de páginas falsas de internet en un céntrico hotel de Madrid en el curso de la bautizada como Operación Lupin, una de las más relevantes de las que ha llevado a cabo esta unidad desde su creación hace más de dos décadas. En el momento de la detención se le intervinieron medio centenar de teléfonos móviles y más de 100 tarjetas SIM prepago identificadas a nombre de terceros. Junto a J.A.F., los agentes han detenido a otros miembros de la organización: el informático que se encargaba de replicar las webs fraudulentas, la persona que se encargaba de captar a las mulas (los que abrían cuentas bancarias donde se hacían las transferencias de las estafas). El Juzgado de Primera Instancia e Instrucción 4 de Requena (Valencia), que instruye las diligencias, ha ordenado prisión provisional sin fianza para los tres. El líder de la organización, de 23 años, era uno de los delincuentes más buscados por la policía tras acumular 25 requisitorias judiciales. Continúa navegando en https://www.elindependiente.com/ Nuevo Ransomware infecta equipos Windows sin necesidad de interacción del usuario Especialistas en hacking ético de la firma de ciberseguridad Kaspersky reportan el hallazgo de una nueva variante de ransomware mucho más peligrosa que el malware de cifrado usado convencionalmente por los actores de amenazas. Este nuevo malware, conocido como Sodin, explota una falla día cero en el sistema operativo Windows identificada como CVE-2018-8453; en otras palabras, el usuario objetivo ni siquiera tiene que estar expuesto a una campaña de phishing para que los hackers obtengan acceso al sistema comprometido (el phishing es el principal vector de ataque para infectar un sistema con ransomware). Según reportan los especialistas en hacking ético, los actores de amenazas sólo deben encontrar un servidor vulnerable y ejecutar un comando que descarga el archivo malicioso llamado “radm.exe”. Este archivo almacena el ransomware de forma local y después lo ejecuta. Los investigadores de la firma de ciberseguridad añadieron que el ransomware Sodin también emplea una técnica conocida como “Heaven’s Gate”, que permite a los hackers ejecutar código de 64 bits desde un proceso de ejecución de 32 bits. “Esta es una conducta poco convencional en los ataques de ransomware, dificulta la detección y el análisis del software malicioso”, mencionaron los expertos. Continúa navegando en https://noticiasseguridad.com/. Los piratas informáticos están envenenando la red del servidor de claves PGP SKS Los contribuyentes al protocolo PGP GnuPG afirman que los actores de amenazas están "envenenando" sus certificados, lo que significa que los atacantes envían spam a su certificado con una gran cantidad de firmas. La intención es hacer que sea imposible para el software PGP verificar su autenticidad. Dos contribuyentes destacados a El proyecto PGP, los desarrolladores Robert ".rjh"Hansen y Daniel Kahn"dkg”Gillmor, confirmó que fueron atacados por piratas informáticos que enviaban correos electrónicos falsos a sus identidades criptográficas públicas. "En la última semana de junio de 2019, actores desconocidos desplegaron un certificado de spamming ataque contra dos contribuyentes de alto perfil en la comunidad OpenPGP (Robert J. Hansen y Daniel Kahn Gillmor, mejor conocido en la comunidad como" rjh "y" dkg "). ”Hansen escribió en un blog. "Este ataque explotó un defecto en el protocolo OpenPGP para" envenenar "rjh y dkg'sCertificados OpenPGP. Cualquier persona que intente importar un certificado envenenado en una instalación vulnerable de OpenPGP probablemente romperá su instalación en formas difíciles de depurar. Los certificados envenenados ya están en la red del servidor de claves SKS ". Continúa navegando en https://securityaffairs.co/. Ataques DDos contra compañías de videojuegos como Playstation Xbox... Esta semana, Austin Thompson, un joven de 23 años de edad originario de Utah, E.U., fue condenado a dos años y tres meses de prisión tras haber sido acusado de desplegar una serie de ataques de denegación de servicio (DDoS) contra los servidores de videojuegos en línea de Sony, Electronic Arts, Microsoft, Nintendo, entre otros, reportan expertos en forense digital. Thompson, también conocido con el alias de “DeepTrolling”, fue el primero de muchos hackers que lanzaron múltiples ciberataques contra las plataformas de videojuegos en el día de Navidad. Estos ataques no parecían tener un objetivo definido; “lo hicimos sólo por arruinarle el día a algunas personas”, mencionó Thompson en anteriores oportunidades. El primer ataque DDoS de DerpTrolling ocurrió en 2013 y fue realizado exitosamente debido a las pocas medidas de ciberseguridad con las que contaban en aquel entonces las compañías atacadas, mencionan los expertos en forense digital. Posteriormente, Thompson se adjudicó el ataque a través de Twitter, afirmando que más servicios en línea serían comprometidos en el futuro y que también recibiría solicitudes para atacar a otros usuarios y servicios. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 96
Five Guys sufre robo de datos de empleados Expertos en seguridad informática y forense digital informan que la cadena de restaurantes de comida rápida Five Guys, sufrió una violación de seguridad que derivó en un robo de datos pertenecientes a sus empleados. De acuerdo con una carta de notificación de la empresa, enviada a la Oficina del Fiscal General de California el pasado 2 de noviembre: “El 6 de agosto de 2018, la empresa descubrió que un empleado podría haber sido víctima de un correo electrónico de suplantación de identidad que resultó en el acceso no autorizado a la cuenta de email del empleado. Five Guys aseguró dicha cuenta de inmediato, realizó una investigación interna, y contrató a una empresa líder en ciberseguridad y forense digital para ayudar en la investigación, comenzando así una extensa búsqueda en la bandeja de entrada del empleado para identificar posible contenido malicioso”, menciona la carta de la empresa. “La investigación determinó que la bandeja de entrada del empleado contenía mensajes o archivos adjuntos con nombres, fechas de nacimiento, números de Seguro Social, direcciones, fechas de contratación, e información de contribuyente de diversos empleados”. La cantidad de empleados afectados tampoco ha sido revelada por los expertos en forense digital a cargo de la investigación. La empresa informó que ha ofrecido a los empleados afectados un año de protección contra robo de identidad y fraudes informáticos similares. Five Guys cuenta con más de mil franquicias distribuidas en países como Estados Unidos, Canadá, Reino Unido y Francia. Más información en http://noticiasseguridad.com/ Violación de seguridad en Statcounter Los hackers comprometieron esta herramienta para secuestrar transacciones de Bitcoin en la plataforma Gate.io. Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan una violación de seguridad en StatCounter, una de las plataformas de análisis web más grandes de Internet. Durante el ataque, los hackers inyectaron códigos maliciosos en el script de seguimiento del sitio principal de la compañía. Según Matthieu Faou, investigador en ciberseguridad, malware y forense digital, los códigos maliciosos utilizados en el ataque son capaces de secuestrar las transacciones de Bitcoin realizadas a través de la interfaz web de la plataforma de intercambio de criptomonedas Gate.io. Más información en http://noticiasseguridad.com/ Hack the Air Force 3.0 – nuevo programa de recompensas por reporte de vulnerabilidades Este es el tercer programa de recompensas por reporte de errores informáticos que lanzan las fuerzas armadas de EU. La Fuerza Aérea de los Estados Unidos lanzó a principios de esta semana su tercer programa de recompensas por reportes de vulnerabilidades, llamado Hack the Air Force 3.0, en colaboración con HackerOne, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. “La Fuerza Aérea agradece el interés de los profesionales de la ciberseguridad por participar en el programa de recompensas por reporte de bugs ‘Hack the Air Force 3.0’ del Departamento de Defensa (DoD) de los Estados Unidos”, se menciona en el anuncio publicado por la milicia estadounidense. El programa comenzó el 19 de octubre y durará poco más de un mes; su finalización está prevista para el 22 de noviembre. Más información en http://noticiasseguridad.com/ Encuentran vulnerabilidades críticas en el cifrado nativo de SSD Investigadores de seguridad holandeses han descubierto vulnerabilidades críticas en el cifrado nativo de SSD, las unidades de estado sólido que están dominando el mercado de consumo. En comparación con los discos duros, la lógica que hace funcionar a las SSD es mucho más compleja, e incluye un SoC más potente y un sofisticado firmware que le dice al controlador dónde está físicamente cada bit de datos del usuario almacenado a través de una serie de chips flash NAND. No es sorprendente que cuanto más sofisticado sea el firmware de una SSD, más vulnerabilidades de seguridad potenciales pueda tener. Es lo que han descubierto estos investigadores, básicamente que las tecnologías de cifrado nativo de SSD por hardware que incluyen la mayoría de unidades modernas son superables y permitirían a un atacante romper la seguridad y hacerse con los datos sin necesidad de la contraseña de acceso. Más información https://www.muyseguridad.net/ FireEye: el laboratorio de investigación ruso ayudó al desarrollo de Malware industrial TRITON La firma de ciberseguridad FireEye afirma haber descubierto pruebas que demuestran la participación de un instituto de investigación de propiedad rusa en el desarrollo del malware TRITON que provocó el cierre inesperado de algunos sistemas industriales el año pasado, incluida una planta petroquímica en Arabia Saudita. TRITON , también conocido como Trisis, es una pieza de software malicioso ICS diseñado para atacar los controladores del Sistema de Instrumentación de Seguridad (SIS) de Triconex fabricados por Schneider Electric, que a menudo se usan en instalaciones de petróleo y gas. El Sistema de seguridad instrumentado de Triconex es un sistema de control autónomo que controla de forma independiente el rendimiento de los sistemas críticos y realiza acciones inmediatas automáticamente si se detecta un estado peligroso. Más información en https://thehackernews.com/ Ataques DDoS dejan sin Internet a Camboya Varios de los proveedores de servicios de Internet (ISP) más grandes de Camboya se han visto afectados por ataques DDoS a gran escala en los últimos días, según ha podido saber ZDNet. Los usuarios de EZECOM, SINET, Telcotech y Digi han confirmado las dificultades para acceder a los servicios en línea durante toda la semana, y los mayores problemas se informaron el lunes y martes. Los medios locales han llamado a los ataques DDoS algunos de los más grandes en la historia del país. Según fuentes familiarizadas con el tema, los ataques DDoS que totalizaron casi 150Gbps golpearon a los ISP de Camboya. El tiempo de inactividad causado por los ataques ha durado hasta medio día, y las velocidades de acceso a Internet han sido lentas durante toda la semana, ya que los ataques DDoS de menor tamaño han seguido llegando. Con problemas tan evidentes que afectan la conectividad de Internet en todo el país. Los ataques DDoS en los ISP de Camboya también fueron claramente visibles en los gráficos de tráfico de Internet, con grandes caídas de conectividad y picos de latencia que se notaron de inmediato. Las razones y motivaciones de los ataques no están claras. Más información en https://www.zdnet.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 66 Noticias Seguridad en Comunidad Movistar Empresas
El mayor ataque DDoS (1.35 Tbs) alcanza el sitio web de Github El miércoles 28 de febrero de 2018, el sitio web de hospedaje de código de GitHub tocó con el ataque de denegación de servicio (DDoS) más grande jamás distribuido que alcanzó un récord de 1.35 Tbps. Curiosamente, los atacantes no usaron ninguna red de bots, sino servidores Memcached mal configurados para amplificar el ataque DDoS. A principios de esta semana publicamos un informe que detalla cómo los atacantes podrían abusar de Memcached, el popular sistema de caché distribuido de código abierto y fácil de implementar, para lanzar un ataque DDoS de más de 51,000 veces más potente que su fortaleza original. Fuente: thehackernews.com Una vulnerabilidad crítica afecta a la mitad de los servidores de correos electrónicos Hoy en día prácticamente todos los usuarios de Internet cuentan con un email. Es por ello que cuando hablamos de un problema que afecta a este tipo de servicios, podemos decir que se considera grave. Más aún cuando se trata de una vulnerabilidad crítica que afecta a la mitad de todos los servidores de correos electrónicos. Concretamente, se trata de un fallo en Exim, un software de transferencia de correo que se ejecuta en estos servidores.Cientos de miles de servidores de correos electrónicos están afectados. Esto significa que resolver esta vulnerabilidad puede suponer varias semanas o incluso meses. Si tiramos de datos, se estima que el 56% de todos los servidores de correos electrónicos ejecutan Exim. De ahí que se pueda afirmar que la mitad de todos ellos sean vulnerables a este problema. En cifras concretas, hay más de 560.000 servidores disponibles en Internet ahora mismo ejecutando Exim, según datos que maneja Bleeping Computer. Fuente: redeszone.net. Nuevos ataques de red 4G LTE permiten a los piratas espiar, rastrear, falsificar y enviar spam Los investigadores de seguridad han descubierto un conjunto de vulnerabilidades graves en el protocolo 4G LTE que podrían explotarse para espiar las llamadas telefónicas de los usuarios y los mensajes de texto, enviar falsas alertas de emergencia, falsificar la ubicación del dispositivo e incluso bloquear completamente los dispositivos. Un nuevo documento de investigación recientemente publicado por investigadores de la Universidad de Purdue y la Universidad de Iowa detalla 10 nuevos ciberataques contra la tecnología de comunicaciones inalámbricas de datos 4G LTE para dispositivos móviles y terminales de datos. Los ataques explotan las debilidades de diseño en tres procedimientos de protocolo clave de la red 4G LTE conocidos como adjuntar, separar y paginar. Fuente: thehackernews.com La nueva variante de spectre roba datos protegidos por sgx de intel Los datos confidenciales protegidos por Intel SGX podrían estar abiertos a un nuevo ataque de side-channel. De acuerdo con los expertos en seguridad cibernética, una nueva variante del ataque de Spectre en los dispositivos que usan Intel puede usarse para abrir los enclaves seguros de Intel para ver su memoria. El ataque side-channel de SgxPectre afecta a los programas con componentes sensibles, protegidos por los enclaves SGX (Extensiones de Guardia de Software) de Intel. SGX está disponible en los nuevos chips Intel Core y permite a los desarrolladores aislar selectivamente códigos e información de aplicaciones para que se ejecuten en su propio entorno de ejecución. Este enclave es creado por la CPU y permite que partes sensibles de una aplicación se ejecuten en su propia región de memoria dentro del enclave donde está protegido del software del sistema, incluidos los hipervisores y el sistema operativo. Fuente: http://noticiasseguridad.com Comercio ilegal de pasaportes españoles a cambio de bitcoins Para conseguir ilícitamente un pasaporte español hace falta dinero, un acceso a Internet y cruzar los dedos para no ser estafado. En la web se anuncian decenas de vendedores de estos documentos de viaje, carnés de identidad y permisos de conducir. La mayoría de los precios oscila entre los 1.000 y los 3.000 euros, aunque pueden llegar a alcanzar los 12.500 euros. Un análisis de EL PAÍS recoge los precios concretos para documentos de varios países. “Pasaporte auténtico español, recién salido de inmigración”, anuncia en inglés un usuario. Ha subido su oferta a Dream Market, un popular supermercado de productos y servicios ilegales en la Internet oscura, la favorita de los traficantes. Otro anunciante ofrece un DNI válido hasta 2026, pero desaconseja su uso en España porque “carece de microchip (que solo puede ser leído en España)”. Sugiere usarlo para alquilar un coche o abrir una cuenta en el banco. Fuente: https://elpais.com 600 potentes computadoras de minería de Bitcoin con un valor de $ 2 millones robadas en Islandia Alrededor de 600 potentes dispositivos diseñados específicamente para extraer Bitcoin y otras criptomonedas han sido robados de los centros de datos de Islandia en lo que se ha denominado el "Big Bitcoin Heist". Para obtener ganancias, hasta ahora los delincuentes han pirateado intercambios de criptomonedas, propagado malware de minería y ransomware, e incluso han secuestrado inversores de criptomonedas para pedir rescate y han intentado robar un intercambio de bitcoins, pero ahora la avaricia ha alcanzado otro nivel. Se estima que las poderosas computadoras valen alrededor de $ 2 millones, informa Associated Press, y se utilizan para generar criptomonedas que, al momento de escribir estas líneas, valen $ 11,500 cada una. El robo, que tuvo lugar entre finales de diciembre y principios de enero, es una de las mayores series de robos que Islandia haya experimentado jamás, de acuerdo con las autoridades. Fuente: thehackernews.com Vulnerabilidad en pivotal spring data rest permite hackear cualquier máquina basada en sus componentes La vulnerabilidad en Spring Data REST de Pivotal permite a los hackers remotos ejecutar comandos arbitrarios en cualquier máquina que ejecute una aplicación creada con sus componentes. La vulnerabilidad fue rastreada como CVE-2017-8046, que fue descubierta por expertos en seguridad de la información de Semmie / lgtm. Pivotal’s Spring Framework es una plataforma ampliamente utilizada por los equipos de desarrollo para crear aplicaciones web. Fuente: http://noticiasseguridad.com 23,000 certificados HTTPS eliminados después de que el CEO envíe correos electrónicos a las claves privadas Un gran revuelo en un foro de discusión en Internet está despertando preguntas preocupantes sobre la seguridad de algunos certificados HTTPS confiables para el navegador cuando reveló que el CEO de un revendedor de certificados le envió por correo electrónico a un socio las claves privadas sensibles para 23,000 certificados TLS. Google lleva a Symantec a la leñera por emitir incorrectamente 30,000 certificaciones HTTPS . El correo electrónico fue enviado el martes por el CEO de Trustico, un revendedor de certificados TLS con sede en el Reino Unido emitido por las autoridades certificadoras confiables de navegadores Comodo y, hasta hace poco, Symantec. Fuente: arstechnica.com. Hackean la votación de los agentes por la equiparación salarial Sindicatos de Policía Nacional y Guardia Civil han denunciado "un ataque brutal" al sondeo telemático en el que participaban desde este lunes policías nacionales y guardias civiles, sobre si respaldan el preacuerdo alcanzado por sus representantes con Interior para igualar sus sueldos al de mossos; por lo que la consulta ha sido suspendida temporalmente. El 83,5% de los cerca de 65.000 policías nacionales y en torno al 60% de los casi 78.000 guardias civiles estaban llamados a votar a partir de las nueve de la mañana del lunes hasta las 15.00 horas del miércoles a través de una plataforma ajena a los sindicatos y asociaciones, de modo que una consultora especializa se encargaba del proceso. Fuente: http://www.cope.es. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana! ÁngelesLa Campaña política de ciberataques del colectivo Anonymous contra objetivos nacionales
En los últimos días el conflicto político sobre Cataluña se ha extendido a Internet a través de la campaña política de ciberataques que el colectivo Anonymous ha perpetrado contra varias compañías y organizaciones españolas de distinta índole en defensa de la Independecia de Cataluña dentro de una operación denominada en Twitter como #FreeCatalonia y #OpCatalunya. Los tipos de ataques llevados a cabo han tenido el objetivo principal de “hackear” o tumbar los servicios Web de diferentes compañías. La lista de afectados ha sido numerosa y sus efectos han tenido una repercusión mediática importante, dejando en evidencia los posibles agujeros de seguridad de los afectados. Uno de los principales objetivos alcanzados con más repercusión mediática ha sido la web del periódico El País que durante el día del pasado jueves 26 de octubre, estuvo durante dos horas sin servicio disponible para sus lectores online. Además de este periódico, otros objetivos como la web de la Casa Real, el Tribunal Constitucional, la Comunidad de Madrid, algunas Webs de foros de la Policía y muchas otras más han sido víctima del ataque dejando sus servicios indisponibles durante tiempo o insertando imágenes reivindicativas en las páginas de las mismas. Además de estas, otras organizaciones como la Agencia Tributaria fueron amenazadas públicamente de ataques, pero sus objetivos no fueron finalmente perpetrados, no sabemos si debido a sus protecciones de seguridad o si finalmente los ataques no llegaron a producirse. Según informaciones, los tipos de ataques perpetrados han sido básicamente de dos tipos: Ataques volumétricos de Denegación de Servicio (DDoS) que tienen como objetivo saturar con tráfico masivo la capacidad de infraestructura de los servicios Web del cliente, y Ataques de Aplicación, los cuales con mucho menos cantidad de tráfico son capaces de vulnerar agujeros de seguridad de las propias páginas Web con el objetivo de dejar indisponible el servicio o bien modificar la programación del sitio Web (como sucedió en la página de la Comunidad de Madrid mostrada en la imagen de arriba) dejando una evidencia visual del hackeo del servicio. Sobre este tipo de ataques, hemos publicado varios post en los foros de la comunidad que citamos a continuación, 2016, el año de los ataques DDoS y ¿Sabes cómo proteger la web de tu empresa? Descúbrelo con la solución WAF, informando de la gravedad de estos ataques; también hemos recomendado la necesidad de que los negocios tomen medidas ante ellos por los riesgos de reputación, imagen o productividad que estos pueden provocar para las empresas u organizaciones. En Telefónica disponemos de un catálogo de servicios de seguridad muy completo que pueden ayudar a mejorar el perímetro de seguridad de los servicios Web de tu empresa u organización. Si necesitas ayuda o asesoramiento sobre estas amenazas, puedes consultar más detalles del servicio en nuestra web de servicios de Seguridad a Empresas. Si necesitas más información, no dudes en ponerte en contacto con nosotros y te ayudaremos!Boletín nº 53 Noticias Seguridad en Comunidad Movistar Empresas
* BadRabbit: nuevo Ransom semejante a NotPetya y con amplia propagación Los sistemas del metro de Kiev, el aeropuerto de Odessa y varias organizaciones en Rusia, han amanecido con un nuevo ransomware y confirmaban que sus sistemas informáticos se habían visto bloqueados debido a que los archivos del sistema operativo habían sido cifrados por un ransomware, esta vez el turno es del denominado BadRabbit. La amenaza se extiende a otros países de Europa del Este: Alemania, Turquía, Bulgaria, Montenegro. BadRabbit es un ransomware que es capaz de propagarse de forma local a través de SMB (rescate: 0.05 BTC). Hasta ahora, está dirigido principalmente a Rusia y Ucrania, aunque parece que no se autopropaga a nivel mundial, podría dirigirse a objetivos seleccionados a propósito. Las mitigaciones son similares a las de Petya / NotPetya. http://blog.segu-info.com.ar/2017/10/badrabbit-nuevo-ransom-semejante.html * Software genRSA: generación de claves RSA, cifra, firma y ataques Ya está disponible para su libre descarga el software de laboratorio genRSA v2.1, realizado por D. Rodrigo Díaz Arroyo como su Trabajo Fin de Grado en Ingeniería de Computadores en la Universidad Politécnica de Madrid, bajo la dirección del profesor Jorge Ramió Aguirre. Se trata de un software de prácticas desarrollado en Java y JavaFX, que implementa toda la lógica de la aplicación gracias al uso de la clase BigInteger. El software incluye manual de usuario y banco de pruebas, accesibles además desde la misma aplicación. Diseñado para prácticas de laboratorio de criptografía con el algoritmo RSA, corresponde a una actualización completa del antiguo programa genRSA v1.0 del año 2004, a partir de hoy obsoleto, realizado por D.Juan Carlos Pérez García y que en sus 13 años de existencia ha superado las 26.000 descargas en la red. http://www.criptored.upm.es * Oracle corrige 252 vulnerabilidades en su boletín de octubre Oracle publica su boletín de seguridad de octubre. Contiene parches para 252 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL, e incluso hardware, como las series M de los servidores Fujitsu. Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. http://unaaldia.hispasec.com/2017/10/oracle-corrige-252-vulnerabilidades-en.html * Macro-Less: ejecución de código en MSWord sin macro Windows proporciona varios métodos para transferir datos entre aplicaciones. Un método es usar el protocolo de Intercambio Dinámico de Datos (DDE). Este protocolo es un conjunto de mensajes que se intercambian entre aplicaciones que comparten datos y usan memoria compartida. Las aplicaciones pueden usar DDE para realizar transferencias de datos a medida que necesiten disponer de ellos. Los investigadores Etienne Stalmans, Saif El-Sherei de SensePost han encontrado que esta "funcionalidad" en Office permite ejecutar comandos y dicen haber tenido un gran éxito al utilizar esta técnica para eludir políticas de seguridad corporativas. DDE no solo se limita a Excel y Word y ha sido mencionado varias veces como una vía posible de ataques y bypass de seguridad. https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/ * Anonymous lanza una ataque DDoS a la web del Tribunal Constitucional de España en nombre de Cataluña El grupo de hackers Anonymous ha bloqueado la web del Tribunal Constitucional de España el pasado 21 de octubre, día en el que el Consejo de Ministros del gobierno se reúne para hablar sobre las medidas legales para tomar control de Cataluña como parte de su “Operación Cataluña”. Anonymous ha realizado esto, mediante ataques de DDoS, o denegación de servicios. Además de la web del Constitucional, el grupo también atacó a las webs de los proveedores de Internet en España, como Telitec y Internet4Spain, y también la empresa Banca March. http://es.gizmodo.com/anonymous-lanza-una-ataque-ddos-a-la-web-del-tribunal-c-1819735804 * Anonymous anuncia la segunda fase de la 'Operación Cataluña' La organización Anonymous ha anunciado a través de sus redes sociales la segunda fase de la que ha denominado 'Operación Cataluña'. En el marco de la primera fase de esta operación, este domingo hubo ataques cibernéticos contra páginas web como la de la Fundación Francisco Franco, la del Tribunal Constitucional o la del Partido Popular. También fueron atacadas las webs de los ministerios de Economía, Justicia y Fomento. Anonymous asegura que "habrá más ataques". Este lunes, a través de Twitter, Anonymous ha hecho saber que se ha puesto en marcha la segunda fase de la operación. "Todo para hacer justicia en el pueblo catalán. Vienen grandes ataques", ha tuiteado el activista Nama Tikure. http://www.20minutos.es/noticia/3168360/0/anonymous-operacion-cataluna/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.Boletín nº 51 Noticias Seguridad en Comunidad Movistar Empresas
* La Generalitat deja al descubierto datos personales de todos los catalanes con derecho a voto Expone a fraude a cinco millones de personas al difundir en Internet los últimos 5 dígitos del DNI y la letra, la fecha de nacimiento, el código postal y el colegio donde votar. En su huida hacia adelante para organizar el referéndum suspendido por el Tribunal Constitucional, el Gobierno de Cataluña ha dejado al alcance de cualquiera con conocimientos de cifrado de datos todo el censo de esa comunidad autónoma. Los datos de más de cinco millones de ciudadanos mayores de 18 años que, por sí mismos o cruzados con otras bases de datos, pueden ser instrumentos para cometer fraudes y que han estado deambulando por el ciberespacio durante las últimas semanas. https://elpais.com/tecnologia/2017/10/05/actualidad/1507196018_140173.html * Amazon sufre hackeo a su plataforma con software parásito para minar bitcoins Los servidores de la nube de Amazon, uno de los portales de ventas en línea más grande del mundo, fueron hackeados por no estar protegidos con contraseña y han estado siendo usados por los hackers para minar monedas digitales. De acuerdo a un reporte RedLock Cloud Security Intelligence (CSI), un grupo de inteligencia y seguridad de la nube, publicó en su más reciente reporte que los servidores de Amazon Web Services fueron comprometidos por hackers que lograron acceder al sistema. Sin embargo, fuera de lo usual, los hackers black hat no buscaban robar información o secuestrarla, solo necesitaban acceder a la energía de los computadores para minar bitcoin. https://criptonoticias.com/seguridad/amazon-sufre-hackeo-plataforma-software-parasito-minar-bitcoin/#axzz4v6FM5Frs * Disqus hackeado, cambia tu contraseña El popular sistema de comentarios Disqus ha sido víctima de una violación masiva de seguridad. La compañía, que ofrece un plugin de comentarios para sitios web y blogs, ha admitido que sufrió el ciberataque hace 5 años, concretamente en julio de 2012, y los delincuentes robaron más de 17,5 millones de datos de usuarios. La compañía dijo que la información expuesta se remonta a 2007. Los datos robados incluyen direcciones de correo electrónico, nombres de usuario, fechas de inscripción y fechas de inicio de sesión, en texto plano. También se robaron las contraseñas de alrededor de un tercio de los usuarios afectados. https://www.infosecurity-magazine.com/news/disqus-breach-exposed-175m-emails/ * Kovter: campaña de Malvertisting a través de falsas actualizaciones de navegadores web Un grupo de malvertisting, a quienes los investigadores de Proofpoint, han bautizado KovCoreG, está empleando falsas actualizaciones de Flash y los navegadores web más conocidos para instalar el malware Kovter. Los atacantes han usado anuncios maliciosos sobre PornHub para redirigir a los usuarios hacia sitios falsos que anunciaba una actualización urgente del navegador web o Flash. Para que todo fuera más convincente, el mensaje variaba si se usaba Google Chrome, Mozilla Firefox, Internet Explorer o Microsoft Edge. En el caso de los dos primeros se notificada a los usuarios sobre una actualización de la aplicación, mientras que para los dos últimos se avisaba de una nueva versión de Flash, debido a que esos navegadores son puestos al día a través de Windows Update. https://www.bleepingcomputer.com/news/security/malvertising-group-spreading-kovter-malware-via-fake-browser-updates/ * One plus, no me robes mis datos La recopilación de datos sobre cómo alguien utiliza una pieza de hardware o software es importante si las empresas y los desarrolladores están tratando de averiguar qué funciona y qué no, como qué tipo de problemas los usuarios podrían estar ejecutando, si las cosas como la batería se ha optimizado y funcionando correctamente, y así sucesivamente. OnePlus ha recopilado datos de análisis de sus usuarios, como números IMEI, direcciones MAC, nombres de redes móviles , prefijos IMSI y números de serie, sólo por nombrar algunos. http://www.ubergizmo.com/2017/10/oneplus-collecting-user-data/ * Un botnet DDoS de 2015 aumenta su actividad en las últimas semanas Un botnet DDoS descubierto por primera vez en 2015 ha aumentado la actividad durante el verano y es responsable de más de 900 ataques DDoS durante los últimos cuatro meses, el mayor de los cuales alcanzó 45 Gbps. Se le conoce como Flusihoc. https://www.redeszone.net/2017/10/05/botnet-ddos-2015-aumenta-actividad-las-ultimas-semanas/ * Informe Semestral de Cyberseguridad de CISCO Durante casi una década, Cisco ha publicado reportes sobre ciberseguridad diseñados para mantener informado al mercado y a las empresas sobre la evolución de las amenazas, ataques y vulnerabilidades en sus entornos, para ayudarles a definir estrategias de ciberseguridad más sólidas y alineadas a sus objetivos de negocio. 1-.Principales obstáculos para implementar estrategias de seguridad y defensa. 2-.Liderazgo poco involucrado a las decisiones de seguridad. 3-.Los desafíos más relevantes. 4-.Las amenazas son mayores que la capacidad de monitorearlas. 5-.Nadie está a salvo. 6-.Business Email Compromise (BEC) mayor amenaza que el ransomware. 7-.El Spyware va en aumento. 8-.IoT, una puerta de entrada para los ataques. https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/cisco-reporte-semestral-2017-espanol.pdf * Grave ciberataque ruso a EEUU: roban documentos altamente secretos a la NSA La tensión entre Estados Unidos y Rusia vive, en el último año, uno de los peores momentos desde el fin de la Guerra Fría, y parece que puede ir a peor. Hoy se ha conocido que hackers rusos habrían atacado a la NSA (Agencia Nacional de Seguridad) estadounidense robándoles algunos documentos altamente sensibles y secretos sobre la ciberseguridad del país. Según publica el The Wall Street Journal, la violación, considerada la más grave de los últimos años, podría haber abierto una brecha en la ciberseguridad del país y permitido a los 'hackers' de Moscú adentrarse mucho más fácilmente en las redes estadounidenses. La información va más allá y apunta a que los piratas, que trabajaban para el gobierno de Putin, se habrían hecho con documentos que explican toda la estrategia de seguridad de la NSA. Todo apunta a que un nuevo 'ransomware' llamado Petya está extendiéndose de forma rápida y virulenta por países como España, Ucrania, India, Rusia y UK. https://www.elconfidencial.com/tecnologia/2017-10-06/nsa-hacker-ciberataque-kapersky-rusia_1456528/ * Phishing nigeriano apuntan ataques a compañías industriales Los atacantes responsables de una reciente oleada de ataques de phishing y de interceptación de pagos contra empresas industriales, también están robando los proyectos y planes operativos de sus víctimas, así como los diagramas de las redes eléctricas y de información, según un informe emitido por el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS CERT, por sus siglas en inglés) de Kaspersky Lab. Los ataques de Business Email Compromise (BEC, por sus siglas en inglés), a menudo vinculados con Nigeria, tratan de secuestrar cuentas empresariales legítimas que los atacantes pueden controlar para interceptar o redirigir transacciones financieras. En octubre de 2016, los investigadores de Kaspersky Lab notaron un aumento significativo en el número de intentos de infección de malware dirigidos a clientes industriales. http://www.ciberespacio.com.ve/2017/06/hardware/estafadores-de-correos-phishing-nigerianos-apuntan-ataques-a-companias-industriales/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.¿Cómo debemos hacer frente a las amenazas de Ciberextorsión?
Cada día se va viendo más evidente el creciente número de ataques en los que se utiliza algún método de extorsión. Por tanto, es necesario tener claro cuáles son los principales ataques empleados con un mayor impacto de cara a poder adoptar soluciones en las empresas a fin de poder evitar este tipo de Ciberextorsión. Telefónica ha elaborado un detallado informe “La ciberextorsión, una industria en crecimiento” donde podrás conocer con todo detalle las principales técnicas empleadas con un mayor impacto en ataques de Denegación de Servicio (DDoS), robo de información confidencial mediante brechas de seguridad, extorsión sexual y ransomware, así como los puntos comunes entre los tipos de extorsión y las recomendaciones. Desde Telefónica disponemos de soluciones para prevenir y hacer frente a este tipo de ataques de Ciberextorsión, permitiendo proteger las comunicaciones y red de vuestras empresas, la información confidencial gestionada en vuestros negocios y los puestos de trabajo tanto fijos como móviles. Si necesitas más información, no dudes en ponerte en contacto con nosotros y te ayudaremos!Boletín nº 46 Noticias Seguridad en Comunidad Movistar Empresas
* WireX, botnet para ataques DDoS con móviles Android infectados en 100 países WireX es una de las primeras grandes redes de bots conocidas que emplean terminales móviles con Android para lanzar ataques de denegación de servicio, DDoS. Ha sido descubierta por varias firmas de seguridad y desde entonces firmas como Akamai, Flashpoint, Google, Oracle, Dyn, RiskIQ o Team Cymru, han colaborado para su desmantelamiento antes de que fuera imparable. No es para menos teniendo en cuenta que WireX había infectado más de 120.000 teléfonos inteligentes Android en su punto máximo a principios de este mes, y el 17 de agosto, los investigadores comprobaron un ataque DDoS masivo (principalmente peticiones HTTP GET) originadas desde 70.000 dispositivos móviles infectados de más de 100 países. Los dispositivos fueron infectados a través de aplicaciones maliciosas descargadas desde la misma tienda de aplicaciones oficial, Google Play Store, un gran problema que todavía no se ha atajado a pesar de los esfuerzos de Google para filtrar y descubrirlas. http://muyseguridad.net/2017/08/29/wirex-ddos-android/ * Millones de usuarios de Instagram comprometidos Las contraseñas de Instagram, a la venta por tan solo 10 dólares cada una. Apenas unas horas después que se produjera el hackeo masivo de cuentas de Instagram, fácilmente se podía encontrar la base de datos Doxagram[.]ws en la que se vendía cada una de ellas por 10 dólares. Esta base de datos no está ahora disponible, o al menos no con la visibilidad que tenía cuando se lanzó, y ahora Instagram ha tomado medidas para que este tipo de problemas no puedan volver a producirse. Como en ocasiones anteriores, con problemas de seguridad de esta escala para redes sociales y otros servicios de Internet, la situación se agravó por la disponibilidad de contraseñas coincidentes de servicios vulnerados anteriormente. http://www.techtimes.com/articles/213102/20170902/instagram-hack-bigger-than-initially-thought-hackers-are-selling-contact-information-of-6-million-accounts-at-10-per-query.htm * Creando ransomware sin escribir una línea de código Investigadores de seguridad de Symantec han detectado un incremento en la aparición de aplicaciones Android catalogadas como TDK (Trojan Development Kits, o kits de desarrollo de troyanos) que permiten a cualquier usuario crear malware para Android sin escribir una sola linea de código. http://unaaldia.hispasec.com/2017/08/creando-ransonware-sin-escribir-una.html * Publicadas miles de credenciales TELNET de dispositivos IOT Una lista de miles de credenciales TELNET completamente funcionales ha estado en línea en Pastebin desde el 11 de junio. Estas credenciales podrían ser utilizadas para realizar ataques de DDoS entre otra decenas de objetivos. La lista, compartida por el investigador Ankit Anubhav, incluye dirección IP, nombre de usuario del dispositivo y su contraseña, y se compone principalmente de credenciales de dispositivo por defecto: "admin: admin", "root: root", y otros formatos. La lista de Pastebin incluye 143 combinaciones de credenciales, incluyendo los 60 combinados de administración y contraseña de la botnet Mirai Telnet. https://www.bleepingcomputer.com/news/security/someone-published-a-list-of-telnet-credentials-for-thousands-of-iot-devices/ * Filtrados 28.7 millones de usuarios de Taringa La base de datos de Taringa ha sido hackeada y los datos de casi 29 millones de usuarios han sido comprometidos, incluyendo nombres de usuarios, direcciones de email y las contraseñas. El servicio de notificaciones de brechas de seguridad, LeakBase ha obtenido una copia de la base de datos. La filtración incluye los hash de las contraseñas de 28.722.877 cuentas, que además usaban el algoritmo MD5, uno de los más desactualizados y fáciles de romper. LeakBase compartió con Hacker News unos 4,5 millones de usuarios para ayudarles a comprobar la veracidad de la base de datos. Usando las direcciones de email encontradas, contactaron varios usuarios de Taringa monstrándoles sus contraseñas en texto plano y estos verificaron que se trataba de datos correctos. http://blog.segu-info.com.ar/2017/09/filtrados-287-millones-de-usuarios-de.html * Boxug: el primer bug bounty en habla hispana El colombiano José Pino (@jofpin) lanzó recientemente Boxug, el primer sistema de recompensas por reporte de vulnerabilidades en habla hispana. Su gran objetivo es la mejora de la seguridad de startups en Latinoamérica, incentivando a los programas de recompensa o bug bounties. Para empezar y mediante el programa Bug Bounty Latam, el equipo de Boxug proporciona recompensas a los reportes válidos de ciertas vulnerabilidades. La recompensa mínima en dicho programa va de $3 USD a $21 USD, pero no hay una recompensa máxima. Las recompensas se pagan una vez hayan sido validadas por el equipo el mismo día, al recibir el informe. http://www.hackplayers.com/2017/09/boxug-el-primer-bug-bounty-latino.html * Mini botnet logra lanzar ataque DDoS de 75 Gbps Informe de Akamai desglosa las estadísticas de ataques DDoS y contra aplicaciones web, junto con analizar el resurgimiento del malware PBot, los algoritmos de generación de dominios, la relación entre los nodos de mando y control de Mirai y los objetivos de ataque. Datos recientes muestran el aumento de los ataques DDoS y contra aplicaciones web, según se indica en el Informe sobre el estado de Internet en materia de seguridad del segundo trimestre de 2017 publicado por Akamai Technologies, Inc., (NASDAQ: AKAM). A este aumento ha contribuido el malware DDoS PBot que, una vez más, constituye la base de los mayores ataques DDoS detectados por Akamai este trimestre. https://diarioti.com/mini-botnet-logra-lanzar-ataque-ddos-de-75-gbps/105553 Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
