Los 10 peores ataques de Ransomware de 2017
Ransomware es uno de los términos que más se han utilizado y explicado en la sección de noticias y productos de Seguridad en la comunidad, lo ha sido durante todo 2017 y lo será, sin duda también, durante el 2018. Sin embargo, una vez finalizado el año, se puede hacer recuento y ya tenemos el top 10 de los peores ataques del año pasado. El protagonista indiscutible, desde luego, WannaCry, pero la lista completa es la siguiente: NotPetya WannaCry Locky CrySis Nemucod Jaff Spora Cerber Cryptomix Jigsaw Si queréis profundizar en estos ataques y obtener más información, os dejamos acceso a un webinar de ElevenPaths que habla de los orígenes y la evolución que ha sufrido el Ransomware hasta llegar a las versiones actuales, incluyendo recomendaciones de nuestros especialistas así como algunas investigaciones sobre casos curiosos. Recuerda que el principal vector de ataque del Ransomware sigue siendo el correo electrónico, y por ello, desde Telefónica te recomendamos el servicio Tráfico Limpio de Correo, con un módulo específico para repeler estos dañinos ataques. Si quieres estar informado sobre estos temas, te recomendamos que accedas a este foro de seguridad. Para más información sobre el servicio, contacta con nosotros y estaremos encantados de ayudarte.
Boletín semanal nº 38 Noticias Seguridad en Comunidad Movistar Empresas
* Ayer 30 de mayo, evento 'Security Day 2017' Ayer se celebró la IV jornada anual del Security Day de ElevenPaths, en torno al lema ‘Cybersecurity beats’, se presentaron las nuevas integraciones tecnológicas llevadas a cabo por los partners estratégicos, que suman fuerzas para combatir ciberataques contra las infraestructuras tecnológicas de los clientes de empresa. Durante la jornada, la unidad de ciberseguridad de Telefónica anunció que la plataforma SandaS, es la solución de inteligencia de seguridad global para impulsar tu negocio y ya ha incorporado un módulo RGPD de Privacidad como establece el nuevo Reglamento Europeo de Protección de Datos (GDPR) y se convierte en la primera compañía en asumir estas obligaciones un año antes de lo requerido por la Ley. * EsteemAudit, el nuevo exploit de la NSA que pone en peligro tu PC como WannaCry Parece que poco a poco va pasando la oleada de ataques a la que buena parte del globo se ha visto expuesta estas últimas semanas, pero ahora desde determinados sectores ya se empieza a hablar de una segunda oleada de de ataques cibernéticos a nivel global y masivo. Una de las principales razones de todo ello es que el ya desgraciadamente conocido por muchos, protocolo de Windows SMB (Server Message Block), parece ser que no era el único expuesto a las «hazañas» de “ataques día cero” creados por la NSA y que en su momento fueron expuestos en la filtración del grupo de hackers Shadow Brokers el mes pasado. Hay que tener en cuenta que aunque Microsoft ya lanzó en su momento parches para estas vulnerabilidades relacionadas con el SMB, tanto para versiones compatibles como para versiones no compatibles del sistema, todo ello inmediatamente después del estallido del ransomware WannaCry, la misma compañía ignoró el parche para otras tres herramientas de hacking de la NSA, denominadas EnglishmanDentist, EsteemAudit y ExplodingCan. https://www.softzone.es/2017/05/25/esteemaudit-nuevo-exploit-la-nsa-pone-peligro-pc-wannacry/ * Hackean el reconocimiento de Iris del Galaxy S8 La característica de reconocimiento de iris del nuevo smartphone Samsung Galaxy S8 ha sido superada por hackers alemanes de Chaos Computer Club (CCC), menos de un mes después de que comenzara su venta en todo el mundo. En un vídeo publicado por el CCC, el colectivo de hackers de larga trayectoria formado en Berlín en 1981, muestra cómo la seguridad del teléfono puede ser fácilmente salteada a través de la "creación" de un ojo falso. CCC es el mismo grupo que salteó los sensores de huellas dactilares TouchID de Apple, pocas semanas después de que el primer iPhone 5 llegara al mercado. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security * Crecen un 35% los ataques sobre aplicaciones web en el primer trimestre de 2017 Un amplio aumento de los ciberataques sobre aplicaciones web demostró el reciente reporte State of the Internet and Security, publicado cada trimestre por Akamai Technologies, que incluye análisis y tendencias acerca de los tipos de ataques y su distribución global. Akamai es representado en Latinoamérica por Exceda, quien además es el socio tecnológico de la Cámara de Comercio de Santiago en Cyber Day y Cyber Monday. Los ataques sobre aplicaciones web crecieron un 35% entre el primer trimestre 2016 y el de 2017, mientras que Estados Unidos fue la principal fuente, experimentando un alza del 57% respecto del mismo periodo en 2016. https://diarioti.com/crecen-un-35-los-ataques-sobre-aplicaciones-web-en-el-primer-trimestre-de-2017/104540 * Un 'malware' infecta 36 millones de móviles Android ¿Cómo evitarlo? Se llama Judy, viene de Corea del Sur, y en su haber tiene 36 millones de víctimas. Lo ha descubierto Check Point, firma de seguridad informática que ha destapado un ataque a gran escala con fines económicos cuyo objetivo es infectar teléfonos móviles y tabletas. Una vez atacadas, estas generan sin conocimiento del usuario clicks en 'banners' publicitarios cuyo importe llega a la caja fuerte de los creadores del 'malware'. http://www.elconfidencial.com/tecnologia/2017-05-30/smartphones-malware-android-seguridad-informatica_1390632/ * Los marcapasos son absurdamente fáciles de hackear Siempre que hablamos de un nuevo tipo de ataque hacker, las consecuencias suelen estar claras; podemos perder nuestros documentos, nuestra información privada puede ser publicada, o en el peor de los casos nos pueden chantajear. Pero en el caso de un marcapasos, o de cualquier otro dispositivo relacionado con nuestra salud, un ataque hacker puede suponer la muerte; lamentablemente, parece que estas duras consecuencias no han servido para que los fabricantes se pongan serios con la seguridad de sus productos. Hackear marcapasos es tan fácil que da miedo. Un estudio de la compañía de seguridad Whitescope ha puesto en evidencia la brutal inseguridad de la que “presumen” estos dispositivos; ninguno de los grandes fabricantes del sector se salvan. http://omicrono.elespanol.com/2017/05/hackear-marcapasos/ * Todos los dispositivos Android vulnerables a través de la manipulación de permisos Investigadores de Georgia Institute of Technology han descubierto un nuevo ataque, llamado "Cloak and Dagger" [PDF], que funciona contra todas las versiones de Android, hasta la versión 7.1.2. Este ataque permite a los delincuentes tomar el control total del dispositivo y robar datos privados, incluyendo pulsaciones de teclas, chats, PIN de dispositivo, contraseñas de cuenta en línea, contraseña de OTP y contactos. El ataque no explota ninguna vulnerabilidad en el ecosistema de Android; en su lugar, abusa de un par de permisos legítimos de aplicaciones populares para acceder a determinadas funciones en un dispositivo Android. http://www.dailymail.co.uk/sciencetech/article-4531620/Experts-warn-cloak-dagger-Android-attack.htmlBoletín semanal nº 39 Noticias Seguridad en Comunidad Movistar Empresas
* La asignatura pendiente del coche autónomo es la ciberseguridad La asignatura pendiente del coche autónomo es la ciberseguridad. Los vehículos se asemejan cada vez más a ordenadores con ruedas. Los más sencillos ya cuentan con un sinfín de dispositivos electrónicos y los autónomos son pura conectividad, lo que los convierte en presa fácil y golosa de los ciberdelincuentes. Todo dispositivo conectado es susceptible de ser atacado, y los coches autónomos no iban a ser una excepción. Sin embargo, parece que las compañías y fabricantes están enfocando más sus esfuerzos en diseñar modelos inteligentes capaces de moverse con la menor intervención humana que en protegerlos para resistir al malware. http://www.ticbeat.com/seguridad/la-asignatura-pendiente-del-coche-autonomo-es-la-ciberseguridad * SambaCry: Vulnerabilidad en Linux Ahora llega el turno de equipos Linux. Una vulnerabilidad descubierta recientemente en Samba, llamada SambaCry, hace que los equipos con Linux queden expuestos en Internet. De esta forma son vulnerables a un ataque de la misma intensidad que WannaCry. Investigadores ya han detectado malware que se está aprovechando de esta vulnerabilidad en los equipos Linux. En los casos detectados se ha visto que los equipos han sido infectados con software de minería de criptomonedas. No se sabe con exactitud el número de usuarios atacados, aunque los hackers ya han obtenido beneficios a través de estos ataques. https://www.profesionalreview.com/2017/06/11/equipos-linux-atacados-por-la-vulnerabilidad-sambacry/ * Fallo de verificación en Chrome permite grabar audio y vídeo Ran Bar-Zik, desarrollador web en AOL, ha descubierto y reportado un fallo de Google Chrome que permite a una página web grabar audio y vídeo sin que aparezca el correspondiente distintivo en la pestaña. A pesar de que incluso los sitios web maliciosos necesitan que el usuario les conceda permisos para poder acceder al micrófono y a la cámara, el bug hallado en Google Chrome abre la puerta a la creación de mecanismos para grabar audio y/o vídeo de forma malintencionada. Con el fin de saber qué página web está grabando audio o vídeo, Google Chrome muestra un distintivo con un círculo rojo en la pestaña correspondiente. Este círculo rojo es también un estándar utilizado para indicar que se está grabando, ya que lo podemos encontrar en muchas aplicaciones y dispositivos, incluido smartphones. https://www.bleepingcomputer.com/news/security/chrome-bug-allows-sites-to-record-audio-and-video-without-a-visual-indicator/ * Investigadores de seguridad consiguen portar uno de los exploits de WannaCry a Windows 10 WannaCry ya lleva un tiempo dando a medios de todo el mundo titulares sin parar. De su irrupción destacó lo rápido que logró extenderse por todas partes. Sin embargo, lo que más llamaba la atención era que hacía uso de dos exploits de la NSA, EternalBlue y DoublePulsar. Este hecho conectaba al ransomware directamente con Shadow Brokers. Ahora y según hemos podido saber gracias a Fossbytes, investigadores de seguridad de la empresa RiskSense han conseguido portar EternalBlue a Windows 10. La idea es que los hackers éticos puedan investigar cómo se comporta este malware en la última iteración del sistema operativo de Microsoft. https://www.genbeta.com/seguridad/investigadores-de-seguridad-consiguen-portar-uno-de-los-exploits-de-wannacry-a-windows-10 * Malware utiliza funciones ocultas de Intel Management Engine (ME) El equipo de seguridad de Microsoft ha descubierto una familia de malware [PDF] usada por un grupo de ciberespionaje llamado "Platinum", y que se aprovecha de una característica de los procesadores Intel para saltar las herramientas de seguridad y robar datos. Sí, de una característica, no de un fallo o de una vulnerabilidad, al menos no en el estricto sentido de la palabra. Esta familia de malware usa la función SOL (Serial-over-LAN) de la Tecnología de Gestión Activa de Intel (AMT) como una herramienta de transferencia de archivos. Y, gracias a la forma en la que esa tecnología funciona, es capaz de sobrepasar la interfaz de red del sistema local de forma que ninguna herramienta de seguridad instalado puedan detectarlo. https://www.bleepingcomputer.com/news/security/malware-uses-obscure-intel-cpu-feature-to-steal-data-and-avoid-firewalls/ * Google soluciona 101 vulnerabilidades en Android Google ha publicado el boletín de seguridad Android correspondiente al mes de junio en el que corrige un total de 101 vulnerabilidades, 28 de ellas calificadas como críticas. Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-06-01 ("2017-06-01 security patch level") se solucionan 21 vulnerabilidades, solo una de ellas se considera crítica y podrían permitir la ejecución remota de código al tratar archivos multimedia. Otras 14 de ellas son de gravedad alta y seis de importancia moderada. http://unaaldia.hispasec.com/2017/06/google-soluciona-101-vulnerabilidades.html * Impresoras utilizadas para identificación de documentos y personas Se habla de cómo las elecciones del año pasado en Estados Unidos sufrieron ciberataques por parte de la inteligencia militar rusa y ahora el FBI ha detenido a "Reality Leigh Winner" (25) por filtrar Secretos de Estado. Al parecer, esta persona hizo llegar a los medios datos que daban fuertes indicios de que Rusia intentó hackear las elecciones estadounidenses en las que Donald Trump fue elegido presidente. Para encontrarla la NSA ha estudiado (entre otras cosas) un rastro invisible que dejan las impresoras al imprimir documentos. El problema es que la mayoría de las nuevas impresoras imprimen casi de forma invisible unos puntos amarillos que rastrean exactamente cuándo y dónde se imprime cualquier documento: los "Tracking Dots". Esos puntos indican el número de serie y modelo de la impresora, además de la fecha y hora exacta de la impresión. Debido a que la NSA registra todos los trabajos de impresión, puede utilizar esto para hacer coincidir exactamente con quién imprimió el documento. http://blog.erratasec.com/2017/06/how-intercept-outed-reality-winner.html#.WUECFJLygQoBoletín nº 41 Noticias Seguridad en Comunidad Movistar Empresas
* Chema Alonso: ¿Cómo ves el virus Petya? ¿Es igual que WannaCry? Petya es un ransomware que ya existía antes, igual que WannaCry. Ambos utilizan una vulnerabilidad de Windows para viralizar mucho más el ransomware. En el caso de WannaCry, se trataba de una vulnerabilidad que hacía que los equipos que no estuviesen parcheados quedasen afectados. En este caso la vulnerabilidad de Microsoft era muy reciente y muchas compañías no habían finalizado todavía los procesos de Quality Assurance o Aseguramiento de la Calidad de los equipos, por eso tuvo un gran impacto. Ahora, como hay más equipos actualizados para protegerse de esta vulnerabilidad desde el ciberataque de WannaCry, el ámbito de posibles equipos afectados por Petya es menor. Es mucho más agresivo el ciberataque Petya que WannaCry. Si el ataque de Petya se hubiera producido hace un mes, habría sido más agresivo que WannaCry, ya que en este caso el ransomware cifra todo el disco duro del equipo, la tabla de particiones entera, por lo que recuperarlo es más complicado. WannaCry no encriptaba todo el disco duro, era más sencillo recuperar archivos. http://www.vozpopuli.com/altavoz/tecnologia/Chema-Alonso-entrevista-cuarta-plataforma-aura_0_1039997622.html * Wormhole: Envía archivos a otros usuarios de forma segura en Linux con esta utilidad Enviar archivos entre equipos siempre ha sido una necesidad. Servicios FTP, almacenamiento en la nube, o incluso servicios VPN han servido para satisfacer estas necesidades de los usuarios. Sin embargo, existen otras muchas alternativas que seguro desconoces, Wormhole es una de ellas. Se trata de una aplicación gratuita que está disponible tanto para equipos con distribución Linux como sistema operativo macOS. Si no estás conforme con el uso que hacen de tus archivos en los servicios de almacenamiento en la nube, ésta es sin lugar a dudas una de las mejores opciones, dejando de lado la utilización de dispositivos NAS. Su uso cada vez está más extendido y son muchos los usuarios domésticos y profesionales que optan por la utilización para el almacenamiento y la compartición de información. ¿Es una solución realmente segura? La respuesta es sí. Wormhole hace uso de PAKE (del inglés Password-Authenticated Key Exchange) utilizada para cifrar la información que se envía entre los extremos. https://www.redeszone.net/2017/07/03/wormhole-envia-archivos-otros-usuarios-forma-segura-linux-esta-utilidad/ * Bithumb, uno de los sitios más importantes para el intercambio de Bitcoin, ha sido hackeado Bithumb actualmente opera con un volumen de operaciones de 13.000 bitcoin diariamente, lo que representa el 10% del comercio mundial de bitcoin. Pero por otro lado, su volumen de operaciones bajo ether, la criptomoneda de la plataforma Ethereum, hace que sea la más importante del mundo con el 44% de las operaciones a nivel mundial. Durante el pasado ataque, los hackers se hicieron con la información personal de 31.800 usuarios, lo que resultó en la pérdida de miles de millones de won de las cuentas de muchos de estos clientes. Tal solo un usuario afirma haber perdido en bitcoin, lo equivalente a diez millones de won, una cantidad que desapareció al instante. https://m.xataka.com/seguridad/bithumb-uno-de-los-sitios-mas-importantes-para-el-intercambio-de-bitcoin-ha-sido-hackeado * Linux no se salva, la CIA también tiene un método para robar datos aunque usemos ese sistema Linux, el sistema preferido de los amantes de la privacidad y seguridad. Es precisamente por eso por lo que los usuarios más celosos de su privacidad y seguridad suelen usar otros sistemas, como Linux. También es por eso que, si sientes que puedes ser perseguido por gobiernos y agencias, puede que te interese aprender Linux; sin embargo, todo esto no implica que sea imposible romper su seguridad. OutlawCountry es una herramienta que permite interceptar todo el tráfico de datos que sale de un ordenador con Linux; este tráfico pasa por servidores de la CIA, que analizan y capturan la información que interesa al agente que está dirigiendo la operación. OutlawCountry, el malware para Linux de la CIA. Este malware consiste en un módulo para el kernel (núcleo) de la versión 2.6 de Linux; una vez instalado, el programa crea una nueva tabla de Netfilter, el framework de Linux dedicado a la gestión y manipulación de paquetes de red, con el que puede crear nuevas reglas para la gestión de red del sistema. http://omicrono.elespanol.com/2017/06/malware-para-linux-de-la-cia/ * Sistema de detección de tráfico malicioso Maltrail es un sistema de detección de tráfico malicioso, que utiliza listas públicas (listas negras) que contienen pistas maliciosas y generalmente sospechosas, junto con pistas estáticas compiladas a partir de varios informes AV y listas personalizadas definidas por el usuario, donde puede ser cualquier cosa, desde el nombre de dominio. http://www.gurudelainformatica.es/2017/06/sistema-de-deteccion-de-trafico.html * Crackean RSA 1024-bit en GnuPG por un error en LibgCrypt Un equipo de investigadores de la Universidad Técnica de Eindhoven, de la Universidad de Illinois, de la Universidad de Pennsylvania, de la Universidad de Maryland y de la Universidad de Adelaide han descubierto una vulnerabilidad crítica en una biblioteca criptográfica de GnuPG, lo cual les permitió romper completamente RSA-1024 y extraer con éxito la Clave Privada para descifrar datos. http://www.bbc.com/news/technology-40406542 * Disponible el kernel Linux 4.12 Se trata de uno de los mayores lanzamientos historicamente, y que solo la versión 4.9 llegó a tener más cambios, pero el 4.12 es simplemente muy grande. Nuevo soporte de hardware y nuevas características de seguridad. https://www.genbeta.com/linux/disponible-el-kernel-linux-4-12-linus-torvalds-lo-califica-como-uno-de-los-mayores-lanzamientos-de-su-historiaBoletín nº 69 Noticias Seguridad en Comunidad Movistar Empresas
¡Mucho cuidado! Detectan un nuevo virus que destruye los teléfonos Según los especialistas, el virus usa todos los recursos del dispositivo hasta agotar su batería, sobrecalentarlo y, potencialmente, destruirlo. El malware llega a los teléfonos inteligentes junto con las aplicaciones descargadas en las tiendas no oficiales para Android. Una vez instalado, el programa pone en marcha una aplicación para minar el monero sin que el usuario se dé cuenta de ello. El teléfono funcionará para los estafadores hasta que se agote. Actualmente, el HiddenMiner está detectado en China y la India. Los analistas descubrieron monederos de monero relacionados con este malware y observaron que uno de sus operadores había retirado 26 XMR (valorados en unos 5.360 dólares para el 26 de marzo de 2018) de uno de estos monederos. Según los expertos, esto indica que se trata de una campaña bastante activa para usar dispositivos infectados para extraer criptomonedas. Fuente:mundo.sputniknews.com Atlanta golpeada por un ataque de Ransomware La ciudad de Atlanta es la última en ser golpeada con un ataque de Ransomware por piratas informáticos, que demandan 51.000 $ en Bitcoins para eliminar el malware introducido en un sistema de ordenadores en las oficinas gubernamentales locales. El último ataque conocido de Ransomware fue contra un hospital en Indiana.El anonimato de las criptomonedas como Bitcoin ha estimulado a los hackers a exigir pagos usando ataques de Ransomware. Fuente: www.crypto-economy.net Bug en MacOS revela contraseñas para volúmenes cifrados APFS Se encuentra un fallo grave de programación en el sistema de archivos APFS para el SO MacOS High Sierra que expone las contraseñas de unidades encriptadas. Para quien no lo conozca, APFS (Apple File System) es un sistema de archivos optimizado para dispositivos de almacenamiento SSD y flash que ejecutan MacOS, iOS, TVOS y WatchOS. Este sistema aseguraba tener una fuerte encriptación. Sin embargo, la analista forense Sarah Edwards ha descubierto un fallo que deja la contraseña de cifrado de un volumen recién creado en los registros unificados en texto sin formato. Cabe destacar que si el volumen fue creado en una versión vulnerable a este fallo, es posible que lo siga siendo a pesar de actualizar. ¿Cuál es el mayor problema que presenta esto? Las contraseñas almacenadas en texto plano pueden ser descubiertas por cualquier persona que tenga acceso no autorizado a su máquina, y el malware también puede recopilar archivos de registro y enviarlos a alguien con intenciones maliciosas. MacOS High Sierra ha sido una montaña rusa para muchos usuarios debido a la gran cantidad de errores. Se rumorea por ello que la próxima versión (presumiblemente MacOS 10.14) se centrará en la corrección de errores y mejoras de la estabilidad. Fuente: http://unaaldia.hispasec.com Ataques por USB Desde hace algunos meses, se demostró que usar un USB público es uno de esos nuevos riesgos que ponen en juego nuestra privacidad y seguridad, los cuales pueden estar infectados con malware, microcontroladores u otro tipo de ataques discretos que casi siempre pasan desapercibidos por el usuario. Parece grave ¿verdad? Pues ahora se sabe que durante 2017 aparecieron un total de 29 distintos ataques basados en interfaces USB. Fuente: www.xataka.com Dispositivos protegidos con Blockchain: ¿Puede recuperarse la privacidad con seguridad por diseño? Independientemente de cuál sea tu dispositivo preferido o más odiado en base a cuestiones de seguridad, los técnicos detrás de ellos y el software que manejan deberían compartir una preocupación clave: Seguridad por diseño. La privacidad y seguridad por diseño aplica más allá de la información mandatoria y las prácticas de privacidad, procesos y provisiones que demanda el GDPR. También notifica a los proveedores de hardware y software para que fortalezcan su seguridad. Para nosotros aquí en WeLiveSecurity, incidentes como Meltdown y Spectre apartaron nuestro foco del malware y exploits de software, forzándonos en cambio a repensar lo que entendemos sobre aquello que hacen los proveedores de hardware para hacer de nuestro mundo digital uno más seguro. Fuente:www.welivesecurity.com Bugs críticos en Cisco IOS afecta al 8,5 millones de dispositivos Cisco ha publicado parches para 34 vulnerabilidades que afectan principalmente a su software de red IOS e IOS XE, incluidos tres errores críticos que permitirían ejecución de código. Tal vez el problema más serio es la vulnerabilidad identificada como CVE-2018-0171 que afecta a Smart Install, un cliente de Cisco que permite la instalación rápida de nuevos switches. Un atacante remoto no autenticado puede explotar esta falla en el cliente y causar una denegación de servicio o ejecutar código arbitrario. Durante un breve análisis de Internet, detectamos 250.000 dispositivos vulnerables y 8,5 millones de dispositivos que tienen un puerto vulnerable abierto. Smart Install es compatible con una amplia gama de ruters y switches Cisco. La gran cantidad de dispositivos con un puerto abierto probablemente se deba a que el puerto del cliente de instalación inteligente TCP 4786 está abierto de manera predeterminada. Fuente: www.zdnet.com La ciberseguridad de la banca a examen: 1 de cada 3 ataques tiene éxito La mayoría de los bancos confían en sus sistemas de seguridad. Un estudio elaborado por Accenture en 2016 revela que el 78 % de los responsables de seguridad de las grandes firmas confían en sus estrategias en esta materia. Hasta aquí, todo bien. Al fin y al cabo, se supone que la banca cuida la seguridad de sus sistemas informáticos, sobre todo ahora que la banca virtual juega un papel clave en el sector, hasta el punto de que hay bancos online que operan exclusivamente por este canal (los españoles tienen acceso al menos a una docena de bancos 100 % virtuales, afirma el comparador de bancos HelpMyCash.com). Sin embargo, el mismo estudio revela, también, un hecho preocupante: las mismas entidades encuestadas que aseguraban confiar tanto en sus sistemas de seguridad tuvieron que esquivar 85 ciberataques por año de media, de los cuales un tercio tuvieron éxito. Por muy segura que sea la banca, lo cierto es que sobre ella planea la amenaza de los “hackers”, que pueden actuar en cualquier momento. El pasado año, un ciberataque masivo asestó un golpe al sistema bancario ruso y mes y medio después del famoso WannaCry, un nuevo ataque afectó al banco central de Ucrania. La ciberseguridad se ha convertido en una obsesión para la banca. “Los bancos gastan más en la seguridad de las tecnologías de la información (TI) que cualquier otro sector, invirtiendo tres veces más en comparación con las entidades no financieras de tamaño comparable. De media, el presupuesto de un banco en TI alcanza los 253 millones de dólares, de los cuales una cuarta parte (23 %) se gasta en ciberseguridad” Fuente: www.gurusblog.com Las infraestructuras críticas sufren el doble de ciberataques en los dos primeros meses del año que en todo 2014 El Ministerio del Interior ha evitado hasta 125 ciberataques a infraestructuras críticas en los dos primeros meses de 2018 ,una cantidad cercana a doblar las cifras de ciberincidentes detectados en todo el año 2014, cuando se registraron 63 casos. Para poner freno a los ciberataques, Interior ha destacado la prevención del delito y la cooperación internacional a través de foros y bases de datos compartidas como Europol o Interpol. El Ministerio del Interior, la Policía Nacional y la Guardia Civil utilizan cuentas de Twitter para concienciar y dar a conocer posibles peligros y pautas de seguridad. La amenaza creciente del ciberterrorismo es una de las que más preocupan, especialmente tras la declaración en 2015 del nivel alto de alerta terrorista, a partir de la que se estableció un Dispositivo Extraordinario de Ciberseguridad (DEC) encargado de obtener y analizar información relacionada con acciones yihadistas en la red. Agentes con formación técnica de la Unidad Central de Ciberdelincuencia de la Policía y el Departamento de Delitos Telemáticos de la Guardia Civil gestionan además los delitos informáticos más graves como los relacionados con la pornografía infantil, el fraude en el comercio electrónico y la propiedad intelectual. También se encargan de la prevención de nuevas infracciones y de la vigilancia en las redes sociales. Fuente: www.europapress.es Boeing Wannacry En las primeras horas de la mañana del miércoles, las computadoras en la red del gigante aeroespacial fueron atacadas por el virus WannaCry. Un Boeing 737 MAX hace su debut en febrero. WannaCry no ha estado en los titulares durante bastante tiempo, al menos no debido a infecciones de alto perfil como esta. La mayoría de los incidentes de WannaCry que dieron la noticia ocurrieron el verano pasado. En diciembre, WannaCry volvió a aparecer en las noticias cuando las autoridades de EE. UU., Reino Unido y Australia impusieron formalmente los ataques contra Corea del Norte. Fuente: www.forbes.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 83 Noticias Seguridad en Comunidad Movistar Empresas
El Instituto Nacional de Ciberseguridad (INCIBE) confía en Telefónica para securizar sus Puestos Móviles MTP va a ser capaz de detectar vulnerabilidades en el dispositivo que MDM será capaz de mitigar gracias a las políticas configuradas. Al estar sincronizados ambos servicios y ser gestionados a través de la misma consola por parte de Telefónica, se garantiza una gestión y securización completa en el entorno móvil. La securización en el mundo móvil es importante no solo porque se trata de un elemento fundamental de nuestro puesto de trabajo sino por el RGPD que entró en vigor el 25 de mayo de 2018. Se trata de una ley más restrictiva que la antigua LOPD y cuyo incumplimiento puede conllevar sanciones de varios miles de euros. GandCrab v4.1: parecido a WannaCry WannaCry, como sabemos, ha sido uno de los ejemplos de ransomware más peligrosos y con más víctimas. Se calcula que esta variedad afectó a más de 300.000 organizaciones en todo el mundo. La similitud de la nueva versión de GandCrab con Wannacry es que utiliza también el protocolo SMB para atacar a usuarios de Windows. Ataca a la víctima a través de sitios web comprometidos. Según los investigadores, este nuevo ransomware se actualiza diariamente para atacar a víctimas de diferentes países. Los atacantes rastrean Internet en busca de páginas vulnerables donde poder llevar a cabo sus ataques. La nueva versión cuenta ya con una larga lista de páginas que se han visto comprometidas. Los atacantes han utilizado un algoritmo pseudoaleatorio para seleccionar una palabra predefinida para completar la URL de cada sitio. La URL final se genera en formato "www.{Nombre}.com/data/tmp/sokakeme.jpg". Como hemos mencionado, los expertos creen que esta nueva variante del ransomware 'GandCrab' logra propagarse a través de un exploit SMB. Este fue el mismo exploit que utilizó WannaCry y también Petya durante el año pasado. Fuente: fossbytes.com Nuevas variantes de Spectre Esto es así puesto que la ejecución especulativa permite, a grandes rasgos, aumentar el rendimiento del procesador. Ahora, Spectre 1.1 (CVE-2018-3693) llega como una vulnerabilidad similar a la primera y cuarta variante, permitiendo que un atacante pueda hacer uso de la ejecución especulativa creando un desbordamiento del buffer de la caché del almacenamiento del procesador. Con ello, podría tanto escribir como ejecutar código malicioso en direcciones de memoria que estaban reservadas. Spectre 1.2, en cambio, posibilita a un atacante escribir en ciertos sectores de la memoria que están marcados como solo lectura, pudiendo afectar a distintas funciones de seguridad del procesador y el sistema. Fuente: tecnoversia.com Ataque DoS en Blizzard afectó varios de sus juegos Un ataque de denegación de servicio (DoS) a Blizzard Entertainment que duró todo el fin de semana y causó un retraso severo para algunos jugadores e impidió que otros ingresaran, finalmente llegó a su fin el lunes por la mañana, informan expertos en borrado seguro de datos del Instituto Internacional de Seguridad Cibernética. Los creadores de Overwatch informaron problemas en sus servidores el día anterior y reconocieron que los ataques estaban afectando al juego, así como a otros juegos en sus plataformas. Heroes of the Storm y World of Warcraft también estuvieron bajo ataque. “Los ataques DoS contra los proveedores de red han terminado”, publicó Blizzard en Twitter, al tiempo que los desarrolladores de Overwatch confirmaron a través de Reddit el restablecimiento de los servicios, además ofreció disculpas por el incidente. Para los especialistas en borrado seguro de datos la mayoría de los servicios disponibles en Internet hoy son vulnerables a los ataques DDoS, especialmente los juegos en línea. Fuente: noticiasseguridad.com Restaurantes de B&B hospitality group infectados con malware El malware encontrado en los puntos de venta de B&B Hospitality Group (B&BHG) en el área de la ciudad de Nueva York pudo haber sido utilizado para acceder a los datos de pago con tarjeta. La violación de seguridad ocurrió en algún momento entre el 1 de marzo de 2017 y el 8 de mayo de 2018 afectando a Del Posto, Babbo, Casa Mono, Becco, Otto Enoteca e Pizzeria, Esca, Lupa, Tarry y Felidia. Especialistas en borrado seguro de datos estiman que es posible que los hackers se marcharan con números de tarjetas, nombres y fechas de vencimiento, códigos de verificación interna y otros datos de pago. En un comunicado posterior al ataque se afirma que “B&BHG ha eliminado el malware de todos sus restaurantes y está tomando medidas para mejorar las medidas de protección de datos de tarjetas de pago de sus clientes”. Además, B&BHG está trabajando en estrecha colaboración con las redes de tarjetas de pago para que los bancos emisores de las tarjetas se mantengan al pendiente de cualquier actividad sospechosa. Fuente: noticiasseguridad.com/ Rusia detiene millones de ataques informáticos durante el mundial Agencias de inteligencia rusas evitaron casi 25 millones de ciberataques y otros actos criminales durante la Copa Mundial de fútbol, según el Kremlin, asegurando que el evento transcurriera con normalidad, tal como reportan expertos en borrado seguro de datos del Instituto Internacional de Seguridad Cibernética. Reportes de prensa mencionan que el presidente Vladimir Putin dijo que espera que la interacción cercana y constructiva entre su gobierno y las agencias internacionales continúe y contribuya a “garantizar la seguridad de nuestros estados y nuestros ciudadanos en el futuro”. Antes de la Copa del Mundo, se abrió un centro de cooperación formado por agentes de la ley de 34 países para supervisar la posible violencia de los fanáticos. Facilitando la coordinación entre los oficiales de los 32 países calificados al torneo, el centro recibió al menos a seis oficiales de la policía británica, y los anfitriones de la próxima Copa Mundial 2022, Qatar. Una encuesta realizada por una consultora europea, encontró que el 72% de los profesionales de seguridad informática y borrado seguro de datos creían que era probable un ataque durante la Copa del Mundo, pues atacar durante eventos de tal relevancia es una conducta recurrente entre los hackers. Muchas organizaciones y especialistas en borrado seguro de datos se anticiparon advirtiendo sobre los riesgos potenciales para los fanáticos pendientes de la Copa del Mundo. Se advirtió a los fanáticos tener cuidado con las aplicaciones maliciosas y los correos electrónicos de phishing enviados específicamente para los fanáticos del fútbol. Según la alerta emitida la semana pasada, algunos fanáticos recurrieron a la aplicación “Golden Cup” para ver estadísticas y datos sobre el torneo, sin saber que los hackers también han utilizado la aplicación para instalar spyware en los dispositivos de los usuarios menos prevenidos. Esta amenaza, llamada Android/FoulGoal.A, parece una aplicación deportiva normal con información general y antecedentes sobre los juegos. Sin embargo, en segundo plano y sin el consentimiento del usuario, la aplicación transfiere información personal a los hackers, incluidos los números de teléfono de las víctimas, aplicaciones instaladas, modelo de dispositivo y fabricante, capacidad de almacenamiento interno disponible y más. Para los expertos en seguridad informática, el número de ataques reportados por el gobierno ruso es alto, pero no es inesperado. Fuente: noticiasseguridad.com Alto coste de cada brecha de seguridad U$S3,86 millones Las brechas de datos se han convertido en una de las principales preocupaciones para las empresas. El reto que suponen, además del gran daño que pueden ocasionar, no solo ha hecho que hayamos visto casos escandalosos como los de Yahoo y MySpace, sino que han servido de motivación para su regulación mediante el GDPR. Aunque las grandes compañías son las que acaparan los titulares, la realidad es que son las pymes las que peor lo llevan para defenderse de las brechas de datos. Según un estudio llevado a cabo por IBM Security y Ponemon Institute, el costo medio de cada brecha de seguridad es de 3,86 millones de dólares estadounidenses. Los datos plasmados en el informe derivan de realización de entrevistas a cerca de 500 empresas que padecieron brechas de datos, además de haber recolectado información sobre cientos de factores en torno a las brechas, abarcando investigaciones técnicas y recuperación, notificaciones, requerimientos legales y de regulación, la cantidad en pérdidas económicas y la pérdida de reputación. Sobre las “mega brechas”, estas se mostraron especialmente difíciles de gestionar y un tercio del coste que han supuesto derivó de una reducción de las oportunidades de negocio. Las brechas de datos son un problema que va a peor, ya que el coste medio de 3,86 millones de dólares ha supuesto un aumento del 6,4% frente a lo plasmado en el informe correspondiente al año 2017. Fuente: venturebeat.com. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 88 Noticias Seguridad en Comunidad Movistar Empresas
Si recibes un correo con tu contraseña en el asunto… Una nueva forma de extorsión empezó a circular en los últimos meses a través de los correos electrónicos. Se trata de un mensaje que en el "Asunto" del mismo señala que conoce alguna de las contraseñas de las cuentas de usuarios del destinatario, que en su mayoría, asustados, abrieron el correo y se encontraron con un mensaje. Fuente: https://www.welivesecurity.com/la-es/ Estados Unidos inculpa a norcoreano detrás de WannaCry y el hackeo a Sony El Departamento de Justicia de los Estados Unidos ha anunciado este jueves los cargos y las sanciones contra el pirata informático norcoreano detrás de la creación de WannaCry, el ataque de ransomware más dañino de la historia y que tuvo alcances globales en el 2017, el robo de 81 millones al Banco Central de Bangladesh en el 2016 y el hackeo a Sony Pictures en el 2014, entre otros numerosos ataques o intrusiones en las industrias del entretenimiento, los servicios financieros, la defensa, la tecnología y las divisas virtuales, la academia y los servicios eléctricos. Park Jin Hyok es inculpado de conspirar para cometer fraude electrónico e informático. Se trata de Park Jin Hyok, quien forma parte del grupo de hackers conocido como Lazarus, que ha sido vinculado con el Gobierno de Corea del Norte. Fuente: https://hipertextual.com/ Veeam expuso una base de datos con millones de correos Veeam, la compañía de respaldo y recuperación de datos, que se promociona como un gigante que entre otras cosas "puede anticiparse a las necesidades, satisfacer la demanda, y moverse de manera segura a través de múltiples infraestructuras de nubes", se cree que extravió su propia base de datos de registros de clientes. Después de que TechCrunch informara a la compañía de la exposición, el servidor se desconectó durante tres horas. El investigador de seguridad Bob Diachenko encontró una base de datos expuesta que contiene más de 200 GB de registros de clientes, en su mayoría nombres, direcciones de correo electrónico y, en algunos casos, direcciones IP. Puede que no parezca mucho, pero esos datos serían una mina de oro para los spammers y delincuentes que realizan ataques de phishing. Diachenko, dijo en su blog que la base de datos no tenía contraseñas y que nadie podía acceder a ella para saber dónde buscarla. La base de datos de 200 GB incluía dos colecciones que tenían 199,1 y 244,4 millones de direcciones de correo electrónico y registros respectivamente durante un período de cuatro años entre 2013 y 2017. Sin descargar en todo el conjunto de datos, no se sabe cuántos registros están duplicados.Fuente: ttps://techcrunch.com/ Cold Boot, el método que permite sustraer información de discos cifrados Una investigación de la firma de seguridad informática F-Secure ha revelado que una gran parte de los ordenadores modernos tienen un error que permite a los hackers robar claves de cifrado, entre otros datos confidenciales. En su informe, F-Secure asegura que logró revivir un ataque llamado Cold Boot, que apareció por primera vez hace una década y que implica el robo de datos de usuarios mientras se ejecuta el proceso de reinicio del ordenador. En este sentido, los expertos advierten que la mayoría de los ordenadores modernos y actuales son vulnerables a este fallo. Cold Boot Attack es un exploit conocido por los hackers desde el año 2008, y su activación consiste en reiniciar un ordenador sin aplicar un adecuado proceso de apagado del equipo, y posteriormente ejecutar un análisis de los datos residuales que están alojados en la RAM del ordenador. A pesar de que casi todas las portátiles de la actualidad fueron diseñadas para realizar el proceso de sobreescritura de estos datos de manera predeterminada, F-Secure afirma que ha logrado deshabilitar dicha función. Fuente: https://www.tekcrispy.com/ Tus metadatos hablan de ti más de lo que imaginas "Nos espían, nos escuchan...", como usuarios que utilizamos Internet a diario cada vez somos más conscientes del rastro que dejamos cuando navegamos y como nuestros movimientos generan información muy relevante para trazar un perfil impersonal de nuestros gustos y necesidades. Nuestras horas de conexión, búsquedas, número de perfiles en redes sociales, número de seguidores, retuits y un sinfín de parámetros más, son utilizados para encasillarnos en grupos y bases de datos que posteriormente tendrán (en muchos de sus casos), un uso comercial. Esta información, se obtiene de diferentes fuentes de las que el usuario medio no suele ser plenamente consciente, y los metadatos es una de las más utilizadas. En este blog, ya hemos analizado anteriormente su importancia y como su uso sin control puede constituir un riesgo para la seguridad de una organización. Al fin y al cabo, son datos que se asocian de forma automática a casi cualquier tipo de documento y que, sin el control y tratamiento adecuado, pueden acabar derivando en incidentes de seguridad cuando salen de su ámbito interno y afectar por igual a usuarios y organizaciones públicas y privadas. Fuente: https://blog.elevenpaths.com/ El sistema de acceso y arranque sin llave de Tesla y McLaren, hackeado Hallan un fallo de seguridad los sistemas de acceso y arranque sin llave de ambas marcas. McLaren enviará a sus clientes una bolsa de bloqueo de señal para la llave de los vehículos. Tesla ya ha lanzado una actualización para añadir una clave extra y reforzar la seguridad. En un mundo cada vez más informatizado, cada vez más elementos de nuestra vida cotidiana son susceptibles de ser hackeados. El vehículo no es una excepción y por ello los fabricantes cada vez invierten más en seguridad cibernética e incluso contratan hackers para de alguna forma tejer una red que proteja a sus coches. Sin embargo, no siempre funciona y así ha quedado patente gracias a un equipo de investigadores que han puesto en entredicho el sistema de acceso y arranque sin llave de Tesla y McLaren. Un equipo de investigadores de la Universidad de Lovaina, Bélgica, han desarrollado dentro de su programa de trabajo un pequeño aparato capaz de desencriptar los códigos que dan vida al sistema de acceso y arranque sin llave de los vehículos de Tesla y McLaren, clonando sus 'llaves' y consiguiendo así poder abrir casi todos varios modelos de ambas marcas. Aunque no han difundido detalles de su investigación, este equipo de expertos en seguridad informática y criptografía industrial han publicado un vídeo demostrando la teórica vulnerabilidad de estos sistemas. Fuente: https://soymotor.com Vulnerabilidades en VPNs permiten ejecución de código Un grupo de investigadores de Cisco Talos ha encontrado vulnerabilidades en algunas de las VPN más populares del mercado. Se trata de ProtonVPN y de NordVPN. Estos fallos podrían permitir la ejecución de código de forma arbitraria por parte de atacantes. Estos fallos de seguridad fueron nombrados como CVE-2018-3952 (NordVPN) y CVE-2018-4010 (ProntonVPN). Hay que mencionar que estas vulnerabilidades no son recientes y las compañías ya lanzaron parches de seguridad para mitigar el problema. Sin embargo los investigadores ahora indican que esos parches no lograron corregir por completo las vulnerabilidades. Es posible ejecutar código como administrador en el sistema, según informan. La vulnerabilidad es causada por problemas de diseño similares en ambos clientes. La interfaz para NordVPN y ProtonVPN ejecuta binarios con el permiso de un usuario conectado. Esto incluye la selección de una opción de configuración de VPN, como la ubicación de un servidor VPN elegido. Cuando le damos a conectar, esa información se envía a un servidor a través de un archivo de configuración de OpenVPN. Pero los investigadores pudieron crear un archivo OpenVPN elaborado que podría enviarse al servicio, cargarse y ejecutarse. La vulnerabilidad permite que un atacante pueda controlar la línea de comando OpenVPN. El contenido malicioso del archivo OpenVPN puede provocar la alteración del servicio VPN, la divulgación de información y el secuestro a través de comandos arbitrarios. Fuente: https://www.zdnet.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
