Boletín semanal nº 8 Noticias Seguridad
* Ripper, un nuevo malware para cajeros y el robo de 12 millones de baths La pasada semana los investigadores de FireEye detectaron una nueva muestra de malware para cajeros bancarios, que empleaba interesantes y novedosas técnicas. Por si fuera poco, todo parece indicar que fue empleado para robar 12 millones de baths de cajeros en Tailandia. La nueva muestra de malware, bautizada como Ripper (por el nombre del proyecto "ATMRIPPER" identificado en la muestra) se subió por primera vez a VirusTotal el pasado 23 de agosto, desde una dirección IP de Tailandia. Poco después el periódico Bangkok Post anunciaba el robo de 12 millones de baths (algo más de 310.000 euros) desde 21 cajeros bancarios en seis provincias de Tailandia. http://unaaldia.hispasec.com/2016/09/ripper-un-nuevo-malware-para-cajeros-y.html * Después de Dropbox es ahora Spotify quien solicita que se cambien las contraseñas Se filtran 43 millones de contraseñas de Last.fm: estaban cifradas con un algoritmo inseguro. ¿Cuándo fue la última vez que entraste en Last.fm? Deberías volver a hacerlo hoy mismo, para cambiar tus credenciales. En solo dos horas, LeakedSource consiguió descifrar el 96% de las contraseñas filtradas. El ataque viene de lejos: se produjo en 2012, unos meses antes de que Last.fm pidiera a sus usuarios cambiar la clave por precaución. Pero las dimensiones de la brecha se conocen desde ayer: hay 43.570.999 usuarios afectados. Todas las contraseñas estaban cifradas con el algoritmo MD5, obsoleto e inseguro. Spotify podría estar en el punto de mira para ser el siguiente en añadirse a la lista de los hackeados, aunque recordemos que el pasado mes de abril, aparecieron cientos de credenciales de cuentas del servicio de música en streaming en el sitio Pastebin. Y es que Spotify, ha decidido forzar el restablecimiento de las contraseñas a un buen número de usuarios, a los que les ha enviado un correo electrónico informándoles de la situación. http://www.adslzone.net/2016/09/01/p186750/ * Actualizaciones de seguridad de PHP, Moodle y WordPress La policía holandesa se ha apoderado de dos servidores que pertenecen a la red privada virtual (VPN) de los proveedores de servicio de su país, perfecto para su privacidad, pero pueden espiar las comunicaciones que pasen por esos servidores como parte de una investigación… o sin tener ninguna, esto genera convulsiones. http://blog.segu-info.com.ar/2016/05/actualizaciones-de-seguridad-de-php.html#actualizaciones-de-seguridad-de-php * Interceptación de llamadas de móviles Un catálogo desclasificado demuestra una amplia gama de dispositivos británicos de espionaje ofrecida a la Policía estadounidense. Los productos de la empresa británica Cobham ilustrados en el catálogo de 120 páginas de alto secreto, permiten interceptar las llamadas de operadores inalámbricos y el contenido de mensajes enviados a través del servicio de mensajes cortos, además de localizar a la gente por medio de sus celulares y bloquear las llamadas por teléfonos móviles en ciertas zonas. http://news.softpedia.com/news/catalog-of-surveillance-tech-used-by-us-police-leaks-online-507923.shtml * HACKED! El Portal más grande de Rusia. Casi 100 millones de contraseñas filtradas Rambler.ru , también conocido como Yahoo de Rusia, sufrió una fuga masiva de datos en el año 2012 en el que un hacker desconocido o un grupo de piratas informáticos lograron robar cerca de 100 millones de cuentas de usuario, incluyendo sus contraseñas de texto sin cifrar. http://thehackernews.com/2016/09/russias-largest-portal-hacked-nearly.htmlÚltimas noticias de Seguridad a nivel mundial: boletín nº 97
Hackeo en Amazon días antes del Black Friday La millonaria empresa desconoce las causas de la situación. Amazon ha sufrido un incidente de seguridad en sus sistemas de administración de datos, acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, se desconoce si la compañía ya ha notificado a las autoridades la situación, además se desconocen las causas del incidente o cualquier detalle técnico relacionado. Múltiples usuarios del sitio de ventas por Internet han reportado que el sitio ha divulgado inadvertidamente sus nombres y dirección de correo electrónico debido a un error técnico. El aviso de seguridad de Amazon, que al final incluía un enlace HTTP a su sitio web, menciona: “Hola: Nos comunicamos con usted para informarle que nuestro sitio web reveló inadvertidamente su nombre y dirección email debido a un error técnico. El problema ha sido solucionado. Esto no es el resultado de ninguna acción del usuario, y no es necesario que cambie su contraseña ni realice ninguna otra acción. Atentamente: Servicio al Cliente de Amazon.” Más información en http://noticiasseguridad.com/ Importante empresa en malasia es víctima de ataque de Ransomware Han demandado un rescate de 6.45 millones de dólares. Media Prima Berhad, la compañía de medios más importante de Malasia, ha sido atacada por una campaña de ransomware en la que los atacantes exigen a la empresa realizar un pago de 6.45 millones de dólares a cambio de las claves de encriptación, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. Fuentes anónimas de la empresa informaron a diversas plataformas de medios que el ataque se desarrolló durante cuatro días y que los operadores del ransomware exigieron que la compañía pagara mil Bitcoin en rescate, el equivalente 6.45 millones de dólares. “Los sistemas informáticos de Media Prima han sido completamente comprometidos e infectados con ransomware en los últimos cuatro días”, dijo la fuente. “Los atacantes exigieron un pago en Bitcoin a cambio de las claves para recuperar la información de la empresa”. Más información en http://noticiasseguridad.com/ iPhone X, S9 y Mi6 hackeados en Pwn2Own 2018 En la competencia de hacking móvil Pwn2Own 2018 celebrada en Tokio del 13 al 14 de noviembre, los hackers demostraron una vez más que incluso los teléfonos inteligentes totalmente parcheados, que ejecutan la última versión del software de los fabricantes, pueden ser hackeados. Tres de los principales teléfonos inteligentes emblemáticos, iPhone X, Samsung Galaxy S9 y Xiaomi Mi6, se encontraban entre los dispositivos que fueron hackeados con éxito en el concurso anual hacking móvil organizado por Zero Day Initiative (ZDI) de Trend Micro, lo que le dio a los hackers un total de U$S325.000. recompensa. Equipos de piratas informáticos participaron de diferentes países o representaron a diferentes compañías de seguridad cibernética que revelaron un total de 18 vulnerabilidades de día cero en dispositivos móviles creadas por Apple, Samsung y Xiaomi, así como también vulnerabilidades diseñadas que les permitieron controlar completamente los dispositivos específicos. Apple iPhone X con iOS 12.1 - ¡Hacked! Un equipo de dos investigadores, Richard Zhu y Amat Cama, que se llamaron a sí mismos Fluoroacetate, descubrieron y lograron explotar un par de vulnerabilidades en un iPhone X de Apple completamente parcheado a través de WiFi. Más información en https://www.muyseguridad.net/ El gobierno alemán emite recomendaciones sobre la seguridad de los Enrutadores Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, la BSI, oficina de seguridad informática en Alemania, mencionó que quería un “nivel de seguridad manejable” y definió las características de seguridad que creía que deberían estar “disponibles por diseño y por defecto” en los enrutadores. El gobierno alemán busca proteger a los enrutadores de ataques vía Internet mediante la adopción de medidas como: La configuración remota debe estar desactivada de forma predeterminada, y sólo se puede acceder a ella a través de una conexión cifrada y autenticada por el servidor. Actualizaciones de firmware controladas por el usuario, con opción para actualizaciones automáticas. Más información en http://noticiasseguridad.com/ Escalada de privilegios con WooCommerce en WordPress Un conjunto de vulnerabilidades en WordPress y WooCommerce permiten una escalada de privilegios que podría afectar a los más de 4 millones de usuarios de este plugin de WordPress. WooCommerce es un complemento de comercio electrónico muy popular para WordPress, instalado por alrededor de 4 millones de usuarios y desarrollado por Automattic. La vulnerabilidad está relacionada con el método en el que interactúa el plugin WooCommerce con WordPress, permitiendo a un atacante con acceso a una cuenta de administrador de la tienda (Shop Manager) hacerse con el control del sitio web completo. La primera alerta se dio a finales de octubre en las notas de la última versión de WooCommerce, informando de que las versiones 3.4.5 y anteriores permitían a un administrador de la tienda malintencionado realizar una escalada de privilegios y hacerse con el control del sitio web. Esta semana, la compañía de seguridad de RIPS-Tech publicó los resultados de la investigación realizada por Simon Scannell en la que se descubrió el modo en el que dichos administradores de WooCommerce podían aprovechar la vulnerabilidad del plugin para controlar el sitio WordPress completo. Más información en https://unaaldia.hispasec.com/ Violación de seguridad en Statcounter Los hackers comprometieron esta herramienta para secuestrar transacciones de Bitcoin en la plataforma Gate.io. Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan una violación de seguridad en StatCounter, una de las plataformas de análisis web más grandes de Internet. Durante el ataque, los hackers inyectaron códigos maliciosos en el script de seguimiento del sitio principal de la compañía. Según Matthieu Faou, investigador en ciberseguridad, malware y forense digital, los códigos maliciosos utilizados en el ataque son capaces de secuestrar las transacciones de Bitcoin realizadas a través de la interfaz web de la plataforma de intercambio de criptomonedas Gate.io. “Contactamos a los operadores de StatCounter pero aún no han respondido”, mencionó Faou en un aviso de seguridad. “El archivo JavaScript en http://www.statcounter[.]com/counter/counter.js aún se encuentra comprometido”. El investigador menciona que el código malicioso fue agregado por primera vez a este script de StatCounter en algún momento del fin de semana pasado, específicamente el sábado 3 de noviembre. El código aún está activo, como lo demuestra el investigador a través de capturas de pantalla realizadas en el sitio. Más información en http://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 93
Google elimina restricciones para fabricantes de dispositivos Android La empresa está eliminando las restricciones que impuso a los fabricantes de dispositivos Android, después de un alegato con la Unión Europea. Google está en proceso de eliminar una prohibición para los fabricantes de dispositivos inteligentes que cuentan con líneas de productos que incluyen tabletas y teléfonos que funcionan con versiones alternativas de Android, así como de aplicaciones propias de Google y Play Store. Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, Google también permitirá preinstalar algunos de sus servicios sin necesidad de incluir todo su contenido de fábrica. Actualmente, la empresa continúa apelando una multa de 4.3 mil millones de dólares en relación con esta prohibición. La Comisión Europea anunció la multa en julio pasado, luego del fallo que dictaba que la compañía estadounidense había estado usando Android para “cimentar una posición dominante en Internet de manera ilegítima”. Más información en http://noticiasseguridad.com/ GreyEnergy: APT con arsenal actualizado Una investigación de ESET revela la presencia del sucesor del grupo de APT de BlackEnergy apuntando a infraestructuras críticas; muy probablemente en la etapa previa a la realización de un ataque. Una reciente investigación de ESET reveló nuevos detalles del sucesor del grupo de APT de BlackEnergy, cuya principal herramienta fue vista por última vez en diciembre de 2015 cuando por primera vez en la historia un ciberataque fue el responsable de provocar un apagón. Cerca de la fecha del incidente, cuando cerca de 230.000 personas quedaron sin electricidad, comenzamos a detectar otra infraestructura de malware que llamamos GreyEnergy. Desde ese entonces ha sido utilizada para atacar compañías de energía, así como también otros blancos de ataque de gran valor en países como Ucrania y Polonia a lo largo de los últimos tres años. Más información en https://www.welivesecurity.com Vulnerabilidad en librería Live555 deja expuesto a VLC, MPlayer y otros reproductores multimedia Hoy en día, la mayoría de las aplicaciones, sobre todo de código abierto, utilizan librerías de terceros para implementar distintas funcionalidades en ellas. Esto es muy cómodo ya que las permiten crecer muy rápidamente y garantizar así la mejor compatibilidad posible con los estándares, sin embargo, esto también es un arma de doble filo, ya que en el momento que se encuentra un fallo de seguridad en una de estas librerías automáticamente afecta a todas las aplicaciones que las utilizan, como acaba de ocurrir con las librerías multimedia LIVE555 utilizadas por aplicaciones como VLC. El departamento de seguridad de Cisco, Talos, hacía eco de una vulnerabilidad bastante grave en LIVE555 Streaming Media, un conjunto de librerías de código abierto, escritas en C++, utilizadas por muchos reproductores multimedia para las funciones de streaming. Estas librerías de código abierto forman los estándares RTP, RTCP y RTSP utilizados para transmitir a través de la red por los puertos TCP 80, 8000 o 8080 contenido en formatos H.264, H.265, MPEG, VP8 y DV de vídeo y MPEG, AAC, AMR, AC3 y Vorbis de audio. Más información en https://blog.talosintelligence.com. 16000 sitios web que usan Wordpress han sido hackeados Worpress es un objetivo popular por que la mayoría de las webs lo usa para manejar y publicar su contenido. Esto de acuerdo a un informe por parte de Sucuri de sitios web comprometidos, hay un 78% de los 21.821 sitios estudiados que usan este gestor de contenidos. Wordpress, con el paso del tiempo, continua a la cabeza con un amplio porcentaje de sitios web comprometidos, con una tasa del 74%. El informe se centra en cuatro populares gestores de contenidos Open Source: se cubre también Joomla con un 14% de sitios comprometidos, Magento con un 5% y Drupal con un 2%. Más información en https://www.infosecurity-magazine.com/. iPhone: Un fallo de seguridad en la última versión de iOS permite a cualquiera acceder a tu álbum de fotos Un fallo de seguridad en la versión 12.0.1 de iOS permite, una vez se ha conseguido el acceso físico al dispositivo, acceder al álbum de fotografías y enviarlas a través de Apple Message. La compañía de ciberseguridad ESET ha alertado sobre un fallo en el sistema operativo de Apple. A partir de la publicación del investigador José Rodríguez, la compañía explica que el fallo se encuentra en la posibilidad de aprovecharse de Siri y VoiceOver para quebrantar la autenticación del dispositivo. La vulnerabilidad está presente en todos los modelos de iPhone, incluyendo iPhone X y XS, que estén funcionando con la última versión del sistema operativo iOS (v.12.0.1). Por ello, un tercero con acceso físico al dispositivo podrá saltarse la clave de acceso, acceder al álbum de fotografías y enviarlas a través de Apple Message. Más información https://www.elmundo.es/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
