Mostrando las entradas con la etiqueta Spam. Mostrar todas las entradas
Mostrando las entradas con la etiqueta Spam. Mostrar todas las entradas

martes, 19 de diciembre de 2017

Estados Unidos acusó a Corea del Norte por el ataque WannaCry

Estados Unidos ha acusado, de forma oficial, a Corea del Norte del ciberataque "WannCry", que afectó a cientos de miles de ordenadores en todo el mundo el pasado mes de mayo. Lo ha anticipado Thomas P. Bossert, asesor de seguridad de la Administración estadounidense, en un artículo publicado en el Wall Street Journal.

Según se ha informado, "desde el principio las primeras sospechas empezaron a recaer sobre Corea del Norte, ya que el ataque compartía código con el malware desarrollado por un grupo de crackers norcoreanos llamado Lazarus Group. El pasado octubre, desde el Gobierno Británico también se apuntó al país norcoreano como posible responsable del ataque".

Visto en YouTube, vía Euronews

EEUU dice que Facebook y Microsoft detuvieron ciberataques norcoreanos.
Por Dustin Volz, publicado por Reuters.

WASHINGTON (Reuters) - Facebook Inc y Microsoft Corp actuaron la semana pasada para detener una serie de posibles ciberataques de Corea del Norte, dijo un alto funcionario de la Casa Blanca, mientras Estados Unidos culpaba públicamente a Pyongyang por un ataque informático en mayo que paralizó hospitales, bancos y otras empresas.

“Facebook eliminó cuentas y detuvo la ejecución operativa de ataques informáticos en curso y Microsoft actuó para corregir ataques existentes, no sólo el ataque WannaCry”, dijo el asesor de seguridad nacional de la Casa Blanca Tom Bossert el martes.

Bossert no proporcionó detalles sobre los hechos, pero dijo que el Gobierno de Estados Unidos instaba a otras compañías a cooperar en la defensa de la seguridad informática.

Bossert afirmó en una rueda de prensa en la Casa Blanca que Pyongyang era responsable del ataque informático WannaCry que infectó a cientos de miles de computadores en más de 150 países y sostuvo que Estados Unidos tiene evidencia clara de que Corea del Norte fue responsable, aunque no divulgó esa evidencia.

miércoles, 9 de agosto de 2017

El nuevo malware, realiza su actividad desde la memoria

JS_POWMET: Malware sin malware. "El pasado 24 de julio el equipo de Trend Micro anunciaba la detección de JS_POWMET, un malware completamente "fileless" que realiza toda su actividad desde la memoria, sin escribir ni dejar rastro en el disco duro de la víctima..." Lea el artículo completo en Hispasec UAD.-
Se trata de una nueva capacidad permite al malware infectar un sistema sin dejar ningún archivo en el disco. Ataca desde la memoria, y al no escribir archivos en el sistema de archivos, los atacantes pueden evadir pasos de respuesta a incidentes. En este caso, la respuesta al incidente tiene que recuperar el malware desde la memoria o el tráfico de la red, algo que puede ser mucho más difícil.

Entre los procedimientos con que se puede detener el malware sin archivos está el parchando el software con prontitud y regularidad en el punto final, para que no pueda ser explotado en primer lugar.

Es de suma importancia bloquear el tráfico de red malicioso, por lo que usar software antimalware que puede detectar este tipo de malware es vital. Si se descubre el malware sin archivos, los encargados de la respuesta a incidentes deben ver los registros de tráfico de la red e identificar los procesos utilizados para enviar el tráfico de red malicioso para identificar los procesos maliciosos.

Otras técnicas de endurecimiento basadas en host, como implementar cuentas menos privilegiadas, listas blancas, etc., también deberían estar instaladas para detener los ataques de éste tipo de malware.

Pero volvemos a lo mismo que siempre se destaca, el gran tema es el "factor humano", se hace muy necesario tener y agudizar el sentido puesto en la ciberseguridad.

___________________
NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.
IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.

lunes, 17 de julio de 2017

Europa ¿en camino de convertirse en el primer campo de batalla cibernética regional?

Menos cazas, más antivirus.
Por Carlos Yárnoz, publicado por EL PAÍS.

Europa se enfrenta a una ciberguerra que se ensaya a diario en el patio trasero de Ucrania.

El tándem francoalemán se enfrasca en el desarrollo de un nuevo caza y España en la compra de 60 F-35 estadounidenses —120 millones de euros por unidad—, pero la principal amenaza contra los europeos no puede ser combatida con aviones. Hace 20 años sonaba a ciencia ficción. Hace diez, Estonia sufrió el primer ciberataque de Estado de la nueva era. Hoy, vemos uno de envergadura mundial por trimestre. Sin embargo, la ciberguerra no ha hecho más que empezar.

AP Photo / Ted S. Warren
Foto de AP Photo por Ted S. Warren
Visto en SPUTNIK. La foto no pertenece a la nota del ELPAÍS
Europa tiene muchas posibilidades de convertirse en el primer campo de batalla cibernética regional, pero los responsables de seguridad no ponen medios de defensa adecuados —véase el éxito de los ataques— ni informan de los peligros a los ciudadanos. La prueba del riesgo está hoy en Ucrania. Allí, y desde hace cuatro años, hackers de Estado —Occidente señala a Rusia— tumban la red eléctrica, interrumpen el acceso a Internet o bloquean webs oficiales y redes de telefonía.

Ataques mundiales recientes con los virus WannaCry y Petya son vistos como ensayos para una ofensiva a gran escala contra Occidente. Analistas del Cooperative Cyber Defence Centre of Excellence, ligado a la OTAN, se preguntan en un reciente estudio si Rusia prepara ataques cibernéticos contra infraestructuras críticas.

Grupos rusos de ciberespionaje, como los denominados Fancy Bear y Cozy Bear, han logrado objetivos de alto nivel. En 2015, Francia adjudicó a uno de ellos el ataque a la cadena TV5, que vio interrumpida su emisión dos días mientras en sus hackeadas cuentas aparecía la bandera del ISIS. Hace unas semanas, el presidente Emmanuel Macron acusó a Moscú de ataques cibernéticos contra su campaña.

martes, 4 de julio de 2017

El objetivo del último gran ciberataque fue para destruir información

Nuevas evidencias estudiadas por los expertos apuntan a que lo que se definió como un ransomware sea probablemente un malware conocido como del tipo "wiper", algunos señalaron que es un wiper disfrazado de ransomware. Un malware que tiene antecedentes desde 2012 con los ataques contra las compañías petroleras iraníes.

Ciberseguros (cyber insurance)
Imagen de archivo
En su momento, los expertos observaron el registro de los de ordenadores infectados, con este malware, pudiendo encontrar que podría existir un nexo de unión entre los virus Stuxnet y Duqu con el malware Wiper. Tanto Stuxnet como Duqu son considerados armas cibernéticas.

Recordemos que Stuxnet captó la atención mundial en materia de ciberseguridad en septiembre de 2010. El gusano tenía como blancos los sistemas que no estaban vinculados a internet por razones de seguridad. El malware infecta a computadoras con el sistema operativo Windows a través de memorias USB (Pendrives) que portan el código. De hecho los pendrives son un problema.

Un malware tipo wiper fue el utilizado en el ciberataque a Sony Pictures. El ataque ha sido considerado en su momento, en 2014, como uno de los peores sufridos por una empresa. Desde entonces los "Wipers" suponen un nuevo nivel de amenaza para empresas y gobiernos, según las empresas de seguridad informática, y no son detectados por los antivirus convencionales, por lo que se convierten en una amenaza mayor.

El malware tipo Wiper está diseñado a llevar a cabo el borrado de información del ordenador infectado, llegando a borrar decenas de gigabytes en un corto periodo de tiempo y sin que el usuario pueda sospechar lo que está pasando en su equipo. La intención es hacer el mayor daño posible a los equipos infectados, y anula toda posibilidad de restauración.

El ultimo gran ciberataque que desde el lunes afectó a miles de computadoras de empresas, entidades y organizaciones en varios países, incluida Argentina, pone en la lista de posibles victimas a los equipos ligados a redes tipo LAN, con equipos que tienen instaladas versiones "viejas" de Sistemas Operativos Windows. El más atacado es Windows 7.

sábado, 1 de julio de 2017

La importancia del backup, más aún hoy

El único backup inútil es el que nunca hacemos.
Por Ariel Torres, publicado por La Nación - Tecnología.

Los ciberataques que secuestran archivos pueden contrarrestarse con copias de respaldo en disco externos; pero hecha la ley, hecha la trampa.

Otro mes, otro ransomware. Previsible, hay que decirlo, por mucho que, en ocasión del WannaCry, me hayan calificado de paranoico (por enésima vez) cuando anticipé que lo peor estaba por venir.

La seguridad de nuestros datos ha sido un juego del gato y el ratón desde siempre, desde que empezamos a disponer de computadoras de propósito general en nuestros hogares y oficinas. Hubo una época en la que había que cuidarse de no meter cualquier diskette en la PC. Después llegó Internet y sus links y adjuntos infectados. Uno debe ser cauteloso con los pendrives y, por si esto no fuera bastante, con las apps non sanctas. Todo cambia, ya se sabe, y más con estas tecnologías.

Ahora bien, ¿qué se ha mantenido inmutable durante estos 30 años de computación personal (y desde mucho antes, en rigor)? Exacto, el backup. Una copia de respaldo de esos archivos que no queremos perder (que, eventualmente, no debemos perder) es algo tan elemental como que un buque tenga botes salvavidas. Cierto, los barcos zarpan y llegan a buen puerto todo el tiempo, pero en un naufragio nadie aceptará como excusa para la falta de botes el hecho de que los hundimientos son excepcionales.

Con el backup ocurre lo mismo. Cada tanto le damos clic a algo que no debíamos, nos olvidamos de actualizar el sistema operativo, el disco duro falla de forma catastrófica o nos arrebatan el celular. En tales casos, el bote salvavidas que nos va a permitir volver a la civilización digital con unas pocas magulladuras es una copia de respaldo de nuestros archivos (típicamente, textos, imágenes, videos, planillas de cálculo, planos, cualquier cosa que no podemos ir a comprar en una tienda o bajar de Internet).

Hay un solo backup que no sirve: el que nos olvidamos de hacer.

Sin embargo, los ciberataques que encriptan parte o todo el contenido del disco duro, llamados ransomware, han dado una vuelta de tuerca a la forma en que producimos y mantenemos nuestras copias de respaldo. La razón es prístina. Para tener un backup regularmente actualizado hay que automatizar el proceso. Un programa gratis como SyncBack Free resuelve fácilmente esto en una computadora con Windows; hay aplicaciones de este tipo para todos los sistemas operativos (que, por su parte, vienen con un accesorio para este fin), y con más o menos opciones. En SyncBack se crea un perfil para el trabajo de backup y se lo puede programar para que se ejecute de forma automática; por ejemplo, todos los días a las 3 de la mañana. De hecho, unas pocas líneas en un archivo de ejecución por lotes podría resolver la cuestión; luego, es sólo cuestión de agregarlo a las Tareas Programadas de Windows (o equivalente en los otros sistemas).

Las aplicaciones para administrar discos en la nube -Dropbox, Google Drive y OneDrive, de Microsoft, entre otros- también actualizarán sus contenidos cuando cambien en nuestra computadora. No hay que hacer nada y si ocurre un accidente allí estarán nuestros archivos. Mejor imposible. Hasta que aparecieron los ransomware. Puesto que al cifrar los ficheros en nuestra máquina éstos aparecen como cambiados, la aplicación pisará los archivos que todavía tenemos a salvo en la nube con los encriptados. Lo mismo hará, ciegamente, el programa de backup que se ejecuta automáticamente (todos los días, a las 3 de la mañana).

Dicho más simple: esos mecanismos bien aceitados que creaban todos los días copias de respaldo para nosotros son los mismos que, cuando ataca un ransomware, propagan el desastre. Tenemos todo respaldado en la nube y tal vez en un servidor interno; con tal meticulosidad que tanto los originales como las copias se encuentran cifrados. Por supuesto, se puede desactivar la sincronización automática de los discos en la nube, pero resulta que ésta es toda la gracia de estos servicios.

Por añadidura, existen ataques, como el sonado WannaCry, que buscan activamente discos de red -donde quizás tenemos uno de nuestros backup- y también los encriptan. Lindísimo.

Cada escenario es diferente. En mi caso, se hacen varias copias cada noche de forma automática en varias ubicaciones (léase computadoras). Es un lujo que los que todavía usamos computadoras personales de escritorio nos podemos dar: siempre encendidas, siempre en red (aunque falle Internet) y con procesos que hacen cosas por nosotros, estemos presentes o no, son un poco más aparatosas, pero extraordinariamente prácticas y versátiles.

Pero en general, hoy, el setup tiende a ser una notebook más un smartphone o una tablet, y el backup se mantiene en la nube y en uno o más discos externos. Esta última es una buena noticia. Excepto porque solemos postergar eso de ir al cajón donde tenemos los discos externos, conectar uno y ejecutar el respaldo. Confiamos, pues, en Dropbox (o cualquiera de los otros), con las consecuencias antedichas, en el caso de que entre un ransomware.

Sin embargo, ese backup en un disco externo, desconectado de la computadora, guardado en aquél cajón, es vital. Si el primero es nuestro bote, el segundo servirá como un último recurso: el salvavidas. Es probable que, haciendo copias semanales o quincenales en un disco externo, no tengamos las últimas versiones de todo. Pero hay un axioma de la informática personal: nadie hace backup a mano todos los días. Nadie. Por un millón de motivos. La mejor receta para perder todo a manos de los piratas es ponerse metas demasiado ambiciosas. Un backup semanal o quincenal es mejor que uno diario, porque a éste no lo vamos a poder sostener en el tiempo. Semanal, quincenal y cuando volvemos de un viaje con 3000 fotos en el teléfono.

Hacer un backup manual suena mucho más complicado de lo que parece. En realidad, si nos tomamos un rato, podemos configurar un perfil en SyncBack Free o el programa que hayamos elegido, y luego es cuestión de enchufar el disco externo, activar el perfil (es un doble clic) y esperar a que termine el proceso. Por lo general lleva unos pocos minutos. En la versión comercial de SyncBack es posible ejecutar el backup con sólo enchufar una unidad externa; no he probado la vasta oferta de software para backup, pero es posible que haya aplicaciones sin cargo que hacen esto mismo.

Pero tampoco alcanza

La epidemia de ransomware ha dejado una lección: hay que tener una copia de respaldo offline. Los piratas todavía no han podido conectarse con ese disco externo que tenemos guardado en un cajón (aunque podrían mañana ensayar otras maldades).

miércoles, 28 de junio de 2017

Ciberataque: Redes LAN con bajo nivel de ciberseguridad, con alto riesgo

El ciberataque, “más desafiante” que WannaCry, que desde el lunes afecta a miles de computadoras de empresas, entidades y organizaciones en varios países, incluida Argentina, continúa dando que hablar y está en la atención de los equipos que velan por la ciberseguridad de sus redes y equipos.

Según los expertos, esta versión intenta propagarse dentro de la red en la que está el equipo afectado y no hacia afuera, lo que puede haber limitado un contagio mayor. Éste es, además, uno de los motivos por los que los infectados suelen ser empresas, organizaciones, entidades públicas y no tanto individuos, salvo éstos estén conectados a través de una de esas redes.

Son más susceptibles redes tipo LAN, con equipos que tienen instaladas versiones "viejas" de Sistemas Operativos Windows. El más atacado es Windows 7.

El ransomware encripta el sector de arranque de la computadora. Y al actuar como un gusano, una vez que infecta una máquina se expande por los demás equipos conectados a la red, aprovechando una vulnerabilidad de Windows, conocida como "EternalBlue", y "otras deficiencias del sistema operativo de Microsoft" para expandirse que ya está parcheada, pero sólo disponible para sistemas operativos instalados legalmente.

Ésto pone en la lista de posibles victimas a los equipos de administraciones públicas con escaso control de lo técnico y legal en materia de adquisición e instalaciones de software.

Los expertos en ciberseguridad han señalado que el ataque, que "pareciera tener una motivación más allá de lo financiero", podría terminar "cuando acabe de contaminar todos los sistemas a los que pueda entrar" y recomiendan utilizar algún sistema anti-malware robusto con protección anti-ransomware. Asimismo, utilizar una versión actualizada de Windows y de cualquier programa de terceros. También resaltan de manera importante desarrollar la concientización de los usuarios en materia ciberseguridad. (ver otras recomendaciones)

Se considera muy posible que éstos ciberataques con alcance global se repitan, por lo que hay que estar atentos e informados y resguardados convenientemente.

Noticias en desarrollo

Post relacionados:


Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas


___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

Los efectos del ciberataque continúan

Ciberataque afecta al brazo inmobiliario del banco francés BNP Paribas.
Por Maya Nikolaeva, publicado por Reuters.

PARÍS - Un ataque informático de escala global afectó al brazo inmobiliario del mayor banco de Francia, BNP Paribas, una de las instituciones financieras más grandes que se sabe ha sido afectada por una campaña de extorsión que comenzó en Rusia y Ucrania antes de extenderse.

El ataque mundial sacó de servicio el martes a computadoras de la mayor petrolera rusa, de prestamistas en Ucrania y de firmas multinacionales a través de un virus similar al que infectó el mes pasado a más de 300.000 ordenadores.

Los efectos del ataque continuaban el miércoles, y el gigante naviero danés A.P. Moller-Maersk, que traslada uno de cada siete contenedores en el mundo, dijo a Reuters que no podía procesar nuevos pedidos después de ser golpeado por el virus.

Entre otras empresas galas, la minorista Auchan dijo que el ciberataque del martes afectó las terminales de pagos en sus tiendas de Ucrania, pero dijo que el incidente había terminado.

El grupo francés de construcción St Gobain dijo que sus sistemas están volviendo poco a poco a la normalidad después de que la compañía fuera víctima del ataque informático del martes.

El ataque golpeó a la filial de BNP, dijo un portavoz del banco a Reuters, después de que una persona familiarizada con el asunto dijo que algunas computadoras del personal fueron bloqueadas el martes debido al incidente.

"Se han tomado las medidas necesarias para contener rápidamente el ataque", dijo el portavoz. BNP Paribas Real Estate presta servicios de asesoramiento, gestión inmobiliaria y de inversión y desarrollo principalmente en Europa.

Muchas de las empresas afectadas a nivel global por el ciberataque tenían vínculos con Ucrania, aunque no hay indicios de que éste fuera el caso de BNP, que posee un banco en el país, UkrSibbank. / Por Maya Nikolaeva, publicado por Reuters. (Editado en español por Carlos Aliaga).--

Noticias en desarrollo

Post relacionados:


Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas


___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

martes, 27 de junio de 2017

Ciberataque global: GoldenEye y Petya apuntan al SO Windows

Al igual que WannaCry, GoldenEye y Petya atacan sólo las computadoras que ejecutan el sistema operativo Windows. Este es el segundo ataque global de ransomware en los últimos dos meses, después de que la propagación de WannaCry infectó a más de 200,000 computadoras con Windows.

Nuevo ciberataque global de ransomware
Imagen: foto de gráfico publicado por Avast blog
Microsoft ha lanzado parches para todos los sistemas operativos de Windows después del brote global, pero los usuarios que han actualizado sus computadoras aún son vulnerables, según Anomali, una compañía de inteligencia sobre estas amenazas. Se señala que es porque Petya también puede "propagarse" por los documentos Office, aprovechando otra vulnerabilidad y combinándola con otras debilidades similares a WannaCry.

Según se ha informado, "investigadores para Symantec confirmaron que el ransomware GoldenEye utilizó EternalBlue, la misma herramienta de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) que impulsó la distribución del ransomware WannaCry. Hasta el momento, más de US$2,500 en nueve pagos se le ha pagado en Bitcoin a los atacantes" (c|net).

Los investigadores han informado que el ransomware identificado como GoldenEye, por Bitdefender, tiene dos capas de código cifrado que bloquean los archivos y el sistema de carpetas del equipo infectado. Igual que Petya, es particularmente peligroso porque no sólo cifra los archivos, sino también el disco duro.

Los expertos recomiendan enfáticamente a todos los usuarios de Windows (domésticos y corporativos) actualicen sus sistemas operativos lo más rápido posible y se aseguren que sus sistemas de seguridad y antivirus también estén actualizados. Los más afectados serían los usuarios de Windows 7.

Son especialmente susceptibles todos los equipos con sistemas ilegales, sin soporte o parche por tal condición. También son vulnerables los equipos sin una suite de seguridad, sistemas de protección integral.

sábado, 13 de mayo de 2017

La ciberseguridad un tema, máxima importancia

Cualquiera puede transformarse sin querer y por su ignorancia en un problema que afecte, con pérdidas importantes, desde a sus contactos hasta la organización o empresa en que trabaja.

Es de público conocimiento el masivo ciberataque que ayer afectó a usuarios, entidades y empresas en casi un centenar de Países. Aún se desconoce quién puede estar detrás de los ataques y si fueron ejecutados de forma coordinada. Se destaca que evidenció las vulnerabilidades de todas las redes de sistemas de computación inconexas que existen alrededor del mundo.

Lo que se está señalando de manera importante es que "el malware fue circulado por correo electrónico con un archivo cifrado y comprimido que, al ser descargado por algún empleado de las organizaciones que fueron blanco, permitía la infiltración de los archivos de todos los sistemas" (TNYT).

Se evidencia la ausencia de criterios de seguridad tras esa equivocada sensación de seguridad que relaja hasta los sentidos de autoprotección.

Los expertos coinciden en que habrá muchos más de estos ataques.-

Post relacionado:

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas


___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

miércoles, 21 de diciembre de 2016

La botnet Mirai usa dispositivos hogareños para ejecutar ciberataques

El ejército zombie de dispositivos conectados que puso en jaque a Internet.
Por Martiniano Nemirovsci publicado por Télam.

Millones de afectados en Estados Unidos y Europa, un país entero sin conexión a Internet y la caída de varios de los principales sitios y servicios online del mundo fueron la carta de presentación de la "botnet" Mirai, un malware que encuentra, infecta y domina a dispositivos hogareños para usarlos en ataques, que marcó un antes y un después en estos incidentes y obliga a fabricantes y gobiernos a elevar las medidas de seguridad.

IMAG0609
Visto en Flickr
La imagen no pertenece a la nota de Télam
"Alguien está aprendiendo cómo derribar Internet", alertó a comienzos de septiembre, en su blog, Bruce Schneier, uno de los principales referentes a nivel global sobre seguridad informática. El experto se refería a un incremento en los ataques distribuidos de denegación de servicios (DDoS) contra compañías encargadas de proveer "la infraestructura básica que hace que Internet funcione".

No daba cuenta de un nuevo tipo de ataque, ya que los DDoS se utilizan desde hace años para dar de baja servidores provocándoles la pérdida de conectividad, al saturarlos mediante una enorme cantidad de accesos que consumen su ancho de banda, los sobrecargan y los voltean. La alarma de Schneier, en cambio, alertaba sobre la magnitud de los mismos.

Su advertencia comenzó a tomar cuerpo ese mismo mes. El proveedor de hosting francés OVH quedó fuera de la red después de que a sus servidores ingresara un tráfico de casi 1,5 Tb por segundo; una semana después, el blog del periodista especializado en seguridad informática Brian Krebs fue blanco de otro enorme ataque de 665 Gb por segundo.

En ambos casos, la novedad residió en que los ataques no provinieron de PCs infectadas, sino de "Mirai", una botnet -una red de cámaras y otros aparatos hogareños conectados a la Internet de las Cosas- compuesta por más de 100.000 dispositivos, en la que los hackers aprovecharon vulnerabilidades de seguridad de esos equipos para dirigir su tráfico contra las víctimas.

Después de estos incidentes, un hacker conocido como "Anna-senpai" abrió el código de esta botnet y lo subió a Internet para que cualquier persona que quisiera pudiera usarlo.

Mirai aprovecha "una vulnerabilidad de dispositivos de Linux conectados a Internet", en referencia al sistema operativo que tienen muchos de los aparatos de la Internet de las cosas; primero "escanea todo, prueba y entra en todos los (dispositivos) que son accesibles", a los que infecta y domina, explicó a Télam Alfredo Adrián Ortega, desarrollador de software que trabaja para la empresa de antivirus Avast.

Así, esta botnet crea lo que especialistas denominaron un "ejército zombie de dispositivos conectados", que permanece latente hasta que se usa para lanzar un ataque.

Como sucedió el 21 de octubre, cuando Mirai se empleó contra los servidores de Dyn, un proveedor de direcciones DNS, y volteó durante casi un día entero no solo un gran número de conexiones en Estados Unidos -primero en la costa este, aunque luego se esparció hacia el otro extremo-, sino que afectó a sitios y servicios como Twitter, Netflix, Spotify, Reddit, The Guardian, The New York Times, CNN, Guardian.co.uk, HBO Now, PayPal, Pinterest, Playstation Network, Storify.com, The Verge, Fox News, Soundcloud, WSJ.com, time.com, xbox.com, dailynews.com, BBC, y CNBC.com, entre otros.

Ortega relativizó la advertencia de Schneier al señalar que Mirai "no puede tirar toda Internet", aunque afirmó que "sí puede tirar partes. Y por ahí son partes fundamentales. Partecitas que te joroban la vida". Como hacker, "vos detectás cuál es la parte crítica, tres o cuatro servidores. Rompés esos y afectás un montón de usuarios, por ejemplo de telecomunicaciones, servicio de energía, etcétera. Servidores críticos", remarcó.

viernes, 14 de noviembre de 2014

Grupo de ciberespionaje ataca redes de equipos físicamente aislados

El grupo de espionaje Sednit ataca redes seguras aisladas.- "El grupo de espionaje Sednit, también conocido como Sofacy, APT28 o “Fancy Bear”, estuvo atacando a diversas instituciones durante muchos años. Hace poco descubrimos un componente utilizado que utiliza para alcanzar redes de equipos físicamente aislados (entre “air gaps”) y robar archivos confidenciales a través de unidades extraíbles. Un “air gap” es una medida de seguridad de redes que consiste en procurar que una red segura de computadoras esté físicamente aislada de redes inseguras, como Internet público o una red de área local no asegurada debidamente". Por Joan Calvet para ESET / welivesecurity.com.

martes, 10 de septiembre de 2013

Correos con información falsa de un bombardeo por parte de Estados Unidos a Siria, distribuyen malware

Spam sobre un falso bombardeo a Siria difunde malware
Publicado por Rubén Velasco en REDESZONES

Visto en REDESZONE
Los piratas informáticos han utilizado siempre los correos electrónicos como un medio para difundir spam. Por lo general, suelen establecer asuntos a los correos que traten temas de actualidad que inciten a la gente a acceder a ellos para así infectarse más fácilmente. El último tema tratado por los piratas informáticos para difundir spam y malware es un falso bombardeo por parte de Estados Unidos a Siria.

2 campañas diferentes sobre este mismo asunto están teniendo lugar actualmente. La primera de ellas consta de un mensaje simple indicando al usuario que ejecute un falso documento de Word con información sobre el ataque químico sirio. El archivo en cuestión incluye una copia de un fragmento del diario “Washington Post” pero, a su vez, ejecuta código remoto y hace uso de una vulnerabilidad existente en Internet Explorer para instalar un troyano en el sistema de la víctima, llamado Korplug, que abre una puerta trasera a los piratas para que puedan robar información sin problemas.

La segunda campaña de spam es más peligrosa ya que ha copiado la apariencia de un correo verídico de la CNN e informa sobre un bombardeo a Siria por parte de Estados Unidos. Al hacer click sobre el enlace de correo se descargarán varios exploits que se encargarán de buscar una vulnerabilidad en el sistema que no esté solucionada con la que instalar un troyano del tipo “downloader” con el que se descargará más malware e infectará el sistema por completo.

La mejor forma de protegerse frente a estos ataques es sospechar e ignorar siempre de los correos electrónicos que traten temas de actualidad y vengan con enlaces acortados y archivos adjuntos. También, tener un antivirus actualizado puede ayudar a detectar este malware en caso de que sea descargado en el sistema evitando que llegue a ser ejecutado y, por tanto, infectando el ordenador. / Rubén Velasco en REDESZONES.

jueves, 28 de marzo de 2013

Más detalles del mayor ciberataque de la historia

El "bunker" de CyberBunker, visto en Wikipedia
CyberBunker, una compañía holandesa que según su sitio web brinda servicios de hosts "a cualquier sitio Web 'excepto la pornografía infantil y cualquier cosa relacionada con el terrorismo', está señalada como la responsable del mayor ciberataque, por denegación de servicio distribuido (DDoS), de la historia de Internet.

Se señala que el ciberataque habría alcanzando en un momento álgido un máximo de 300 Gigabytes por segundo, normalmente los ataques importantes tienen un promedio que podría llegar a 50 Gbps, y el ataque DDoS más grande que se había visto antes de este ocurrió en 2010, con 100 Gbps.

El blanco inicial, como lo comentamos ayer, fue la empresa SpamHaus, que desde octubre de 2011 tiene identificada a CyberBunker como quien proporciona alojamiento para spammers y otras actividades no santas. Tras el ataque SpamHaus alegó que Cyberbunker, en cooperación con "bandas criminales" de Europa del Este y Rusia, estaba detrás del ataque.

El golpe contra SpanHaus, que tiene sede en Londres, en Ginebra, y tiene más de 80 servidores en todo el mundo, fue sólo el principio, la técnica de ataque utilizada generó "efectos" por la infraestructura de Internet, haciendo que el acceso al Web funcionara muy lentamente, en muchas regiones en espacial en Europa, afectado un servicio esencial para Internet, el Servicio de Nombres de Dominio (DNS). Los atacantes emplearon una técnica llamada reflexión por DNS, utilizaron los servidores DNS para amplificar el tráfico contra SpamHaus. Éstos tipos de ataques son un medio para ampliar el tamaño de ancho de banda con que se puede "apuntar" un blanco, aprovechándose de una vulnerabilidad, que no es nueva.

Según se informa, el ciberataque está siendo investigado por cinco diferentes fuerzas nacionales, tipo ciber-policía, y varias empresas, como Google, habían puesto sus medios a disposición para ayudar a resolver la cascadas de problemas. Entre los más afectados, por el daño colateral, están sitios de streaming, servicios de correo electrónico y sistemas bancarios. Por ahí hay algunas fuentes que señalan que el ataque se inició hace unos diez días, y aún ¿continúa?.

Post relacionado:
El mayor ciberataque de la historia. 27/03/2013.

miércoles, 27 de marzo de 2013

El mayor ciberataque de la historia

Los expertos en seguridad están llamando el “mayor ciberataque de la historia” a un masivo ataque DDoS que hiso más lenta navegar en Internet en el mundo.

Según informan "el asunto comenzó con las acciones de una organización sin fines de lucro llamada SpamHaus, dedicada a ayudar a los proveedores de correo electrónico a filtrar spam y correos no deseados (actualmente filtra alrededor de 80% del spam). Para hacer esto, mantiene una lista de bloqueo, es decir, una base de datos de servidores que se sabe que están siendo usados para enviar correo basura. Recientemente, SpamHaus agregó a su lista a servidores mantenidos por Cyberbunker, un proveedor de hosting holandés que asegura que almacena lo que sea, excepto pornografía infantil o material terrorista" (FayerWayer).

El masivo ataque de "denegación de servicio" tenía como objetivo el Proyecto SpamHaus, Matthe Prince, CEO de CloudFlare dijo que "aunque no sabemos quién está detrás de este ataque, Spamhaus se ha ganado suficientes enemigos en los últimos años". "Los spammers no son muy amistosos y Spamhaus ha sido amenazado, demandado y atacado con regularidad".

Básicamente en un ataque de denegación de servicio, una serie de computadoras inundan de solicitudes un sitio de Internet hasta que saturan el servidor y lo "tumban", quedando inaccesible. Los expertos señalaron que éste ataque utiliza técnicas más sofisticadas que otros ciberataques similares, y va directamente contra la infraestructura de la web, lo que causó que el acceso fuese más lento. "Estas cosas son como bombas nucleares", explicó Matthe Prince, CEO de CloudFlare, a The New York Times. "Es muy fácil causar mucho daño", agregó.

Steve Linford, CEO de SpamHaus, informó a la BBC, “hemos estado bajo ataque por más de una semana, pero seguimos funcionando – no han logrado hacernos caer. Nuestros ingenieros están haciendo un inmenso trabajo para seguir adelante – este tipo de ataque habría derribado prácticamente cualquier otra cosa”. Spamhaus asegura que el ataque, que lleva una semana y no ha terminado aún, y proviene de Cyberbunker.

"Por su parte, CyberBunker no reivindicó el ataque, pero esta compañía holandesa, alojada en un antiguo búnker nuclear de la OTAN, tampoco se distanció" (CNN).

Están informando que para realizar semejante ataque se están usando "varias redes criminales actuando al unísono, ocupando un ancho de banda cada vez mayor; esto afecta a los servidores de SpamHaus, a su servicio (es decir, las firmas que proveen correo electrónico no pueden consultar sus listas negras) y al resto de Internet, ya que están saturando las conexiones generales y -según los expertos- están atacando también los servidores DNS raíz (los que mantienen una tabla que traduce un dominio inteligible para un ser humano con el número IP que lo identifica en Internet). Ocupados en evitar estos ataques, se reduce su disponibilidad para el resto de los usuarios" (La Nación).

La situación es delicada y algunos expertos están llamando a la unión de esfuerzos internacionales para luchar contra este tipo de actividad.

Actualización:

jueves, 24 de enero de 2013

El "spear phishing", una modalidad de estafa cibernética vía e-mail que se impone

Hacker - Crackers
Imagen por Jorge S. King ©Todos los derechos reservados
El "spear phishing" es una modalidad de phishing cada vez más común, cuyo objetivos son gobiernos y empresas. Se trata de ataques dirigidos, vía correos electrónicos (e-mails), para que las víctimas abran un archivo adjunto (no solicitado) que posee un código malicioso, o hagan clic en un enlace que los lleve a un website con exploits. Éstos ataques son cada vez más específicos y "personalizados".

Los correos suelen referirse o dirigirse a sus objetivos por su nombre específico, rango o posición, en lugar de utilizar títulos genéricos en el asunto del email como ocurre en las campañas de phishing más amplias. Más del 90% de los correos electrónicos dirigidos, con ésta modalidad delictiva, estarían utilizando archivos maliciosos adjuntos como fuente de infección, en su mayoría de formato .DOC, .PPS .RTF, .XLS y .ZIP

Los intentos más recientes, de ésta modalidad de phishing, han tomado como objetivo a clientes de bancos y servicios de pago en línea, como así también a esquemas gubernamentales. La acción delictiva se complementa con el robo de identidad de la víctima, el delito de más rápido crecimiento en el mundo.

El atacante conoce el nombre de la víctima, su dirección de correo electrónico, y tiene un mínimo de información acerca de la misma. Por lo general, el saludo del mensaje de correo es personalizado: "Hola, Bob", en lugar de "Estimado señor". Es posible que el correo haga referencia a un "amigo en común", y/o también puede referirse a alguna compra online reciente. Dado que el correo electrónico parece provenir de alguien conocido, es posible que la víctima esté menos atento y proporcione la información que le solicitan. Y cuando se trata de una empresa que conoce y le solicita que actúe con urgencia, seguramente lo hará sin pensarlo, en la mayoría de las veces.
¿Cómo se convierte en el blanco de ataques de spear phishing? A partir de la información que publica en Internet desde su PC o su smartphone. Por ejemplo, puede que analicen sitios de redes sociales, encuentren su página, su dirección de correo electrónico, su lista de amigos y una publicación reciente en la que comenta a sus amigos lo estupenda que es la nueva cámara que se compró en un sitio de ventas online. Con esa información, un atacante de spear phishing puede simular ser amigo suyo, enviarle un correo electrónico y solicitarle la contraseña de su página de fotos. Si usted le da la contraseña, el atacante la usará, junto con otras variantes, para intentar acceder a su cuenta de ese sitio de ventas online del que habló. Si la descubren, la usarán y le dejarán una buena deuda. También es posible que el atacante utilice esa misma información para hacerse pasar por alguien del sitio de ventas online y solicitarle que restablezca su contraseña o que vuelva a verificar su número de tarjeta de crédito. Si usted le responde, el atacante le hará un gran daño financiero.

Mantenga en secreto sus secretos

Su nivel que seguridad y el de su información depende, en parte, de ser cuidadoso. Analice su presencia online. ¿Cuánta información acerca de usted hay publicada que podría combinarse para estafarle? ¿Su nombre? ¿Su dirección de correo electrónico? ¿Nombres de amigos? ¿Sus direcciones de correo electrónico? ¿Usted tiene un perfil, por ejemplo, en algún sitio conocido de redes sociales? Examine sus publicaciones. ¿Hay algo allí que no desea que caiga en manos de un estafador? ¿Publicó algún dato en la página de un amigo que podría resultar revelador? / Norton.
La descubierta red de espionaje Octubre Rojo, que pone en jaque datos gubernamentales, envía malware vía ésta modalidad. Se aprovecha de víctimas, cuidadosamente seleccionados dentro de una organización, cuyos equipos contienen al menos tres vulnerabilidades diferentes en Microsoft Excel y Word. Les enván mensajes de correo electrónicos con archivos infectados adjuntos, que una vez descargado en el equipo de la víctima, deja caer un troyano que escanea la red local para detectar si hay otros dispositivos vulnerables a la falla de seguridad similar.

La industria informática también tiene su mercado negro, algo conocido y sufrido por muchos desde hace ya mucho tiempo, a la góndola de discos, vídeos y programas pirateados, se le sumó un nuevo producto: los códigos para robar mediante la suplantación de identidad.

Fuentes:

martes, 15 de enero de 2013

La oportunidad del ciberdelincuente

La manipulación o la creación de webpages para poder infectar a los visitantes con malware a través de ellas, es una tendencia en alza. La mayoría de las víctimas llegan a ellas vía un buscador, el "enganche" es algún tema que trasciende en el momento, o alguna información de alguna personalidad del momento.

Hay asuntos que llaman la atención de fuerte manera al público en general, esa información es rápidamente difundida, de manera viral, en las redes sociales. El tema tiene cierto impacto en la gente y es "buscado", allí comienza la oportunidad del ciberdelincuente, manipulan o crean una página que se refiere a ese tema y que tiene códigos, lo infectan con exploits que generan lo que se conoce un campo de ataque, que consiste en buscar vulnerabilidades en el equipo del visitante engañado, aprovecha alguna debilidad, facilita el acceso de forma no autorizada y toma de control del sistema.

El punto más delicado y que resulta lo más importante de la oportunidad del ciberdelincuente es el usuario. Éste causa del mayor problema ligado a la seguridad de un sistema informático, porque no le importa, o no se da cuenta, en general por desconocimiento o por una valoración incorrecta de las medidas de seguridad que debe implementar.

El menosprecio de lo que implica navegar seguro en internet en general es provocado por la ignorancia del usuario, y ésto siempre tiene consecuencias desagradables. Un usuario ignorante es chismoso y peligroso, no lo dude.

martes, 4 de diciembre de 2012

¿Es suficiente el sentido común? contra el malware (II)

El sentido común contra el malware (y II).- "Todo el mundo tiene claro que es necesario evitar el malware. Pero los consejos que se brindan al respecto vienen siendo los mismos desde hace muchos años. ¿Realmente tenemos claro cómo debemos prevenir infecciones y contra qué nos estamos intentando defender? ¿Basta con el sentido común?". Por Sergio de los Santos para Hispasec.

viernes, 30 de noviembre de 2012

¿Es suficiente el sentido común? contra el malware

El sentido común contra el malware (I).- "Todo el mundo tiene claro que es necesario evitar el malware. Pero los consejos que se brindan al respecto vienen siendo los mismos desde hace muchos años. ¿Realmente tenemos claro cómo debemos prevenir infecciones y contra qué nos estamos intentando defender? ¿Basta con el sentido común?". Por Sergio de los Santos para Hispasec.

miércoles, 17 de octubre de 2012

Spammer of Realtors - Spammer de inmobiliarias

Por favor absténganse de publicar comentarios aquí - Please refrain from posting comments here.

Antes de colocar un comentario tenga en cuenta que no se permitirán comentarios que:
  • sean anónimos y/o posean sólo un nickname.
  • no estén vinculados a una cuenta.
  • posean links promocionando páginas y/o sitios
  • puedan resultar ofensivos o injuriosos
  • incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
  • apoyen la pedofilia, el terrorismo o la xenofobia.
Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.

jueves, 20 de septiembre de 2012

Hay una Cyberwar allá afuera ¿o aquí adentro?

Lucha contra ciberataques en la red.- "La guerra virtual en el ciberespacio ya es una realidad, con ataques de piratas a organizaciones estatales y a empresas. En la Conferencia sobre Ciberseguridad, en Bonn, se tratan de hallar soluciones. Hace tiempo que comenzó la guerra virtual en el ciberespacio, como lo demuestran los ciberataques a sistemas de comunicación y de espionaje, así como los ataques de piratas informáticos a servicios de inteligencia militares. Además, la ciberdelincuencia es un negocio millonario. En Alemania se llevó a cabo en Bonn la Cumbre sobre Ciberseguridad". Por Fabian Schmidt / Cristina Papaleo para Deutsche Welle: DW-WORLD.DE - Ciencia y Tecnologia.

Estados Unidos: El Pentágono sigue siendo vulnerable a ataques cibernéticos.- "En los últimos años han aumentado los ataques contra la infraestructura informática estadounidense por parte de otros países y bandas criminales, de acuerdo a funcionarios del Gobierno. Las redes informáticas estadounidenses de propiedad privada continúan siendo vulnerables a los ataques cibernéticos y muchas compañías de Estados Unidos no están haciendo lo suficiente para protegerlas, dijo el miércoles el subsecretario de Defensa Ashton Carter". Por Ae tecno - AméricaEconomía / Reuters.

Sin dudas, son tiempos peligrosos.