¿Seguro que proteges a tu empresa?

En los últimos días, Wannacry ha acaparado multitud de titulares, conversaciones y, especialmente, preocupaciones. Y es que este patógeno del tipo ransomware ha alcanzado un nivel de difusión nunca visto hasta ahora en otros ataques de este tipo, y eso que como ya indicaba Kaspersky Lab en Secure List, en enero del año pasado, su ritmo de crecimiento ya era más que acusado. Y, de esta manera, ha devuelto a esta modalidad delictiva a la primera línea de las amenazas de las que hay que defenderse lo antes posible, con todas las medidas que están a nuestro alcance. Para esto es imprescindible saber en qué consiste y cómo funciona el ransomware. Y ese es precisamente el objetivo de este artículo, en el que hablaremos de la amenaza en sí misma, su funcionamiento, las medidas preventivas, y las posibles soluciones si ya hemos sufrido un ataque.
¿Qué es el ransomware?

Hablamos de un tipo de patógeno cuyo principal objetivo es bloquear el sistema o determinados archivos del mismo pidiendo un rescate (económico) a su propietario. Este tipo de ataque se cierne sobre todo tipo de dispositivos… incluso los móviles, puesto que hace ya dos años se detectaron los primeros en Android.
¿Cómo funciona?

Un ataque de ransomware de divide en dos fases. La primera es la infección de un sistema y la segunda, el secuestro del mismo y / o sus archivos. ¿Cómo lo hace? Sencillo, simplemente procede a cifrarlos, de manera que sea imposible volver a acceder a ellos si no se cuenta con la clave necesaria. Una clave que, claro, solo está en manos de los delincuentes.

Y entonces es cuando llega el susto: el usuario al intentar acceder a sus
documentos, se encuentra con un mensaje como este:

Hackers están introduciendo exploits en los ficheros de subtítulos

Investigadores de CheckPoint han descubierto ficheros de subtítulos específicamente diseñados para actuar como exploits, los cuales además pueden terminar teniendo consecuencias catastróficas para el usuario.

Dichos exploits entran en acción cuando el usuario abre un fichero de subtítulos malicioso con reproductores de vídeo tan populares como Popcorn Time y VLC. Evidentemente, el material pirata tiene mucho que ver aquí, al igual que pasa con los cracks para activar copias ilegales de aplicaciones y sistemas operativos. Debido a que los usuarios y los reproductores de vídeo confían en los ficheros de subtítulos sin ninguna comprobación adicional, se abre la puerta a que los exploits incluidos en esos ficheros específicamente diseñados entren en acción, pudiendo funcionar como descargadores de otros malware que podrían hasta otorgar el control de las computadoras afectadas a los hackers.

Esta es la explicación de CheckPoint sobre este asunto:

Nuestros investigadores desvelan un posible nuevo vector de ataque, utilizando una técnica que ha pasado totalmente desapercibida en el que un ciberataque es ejecutado cuando los subtítulos de una película son cargados por el usuario mediante un reproductor multimedia. Esos repositorios de subtítulos son, en la práctica, como una fuente de confianza para el usuario y el reproductor multimedia. Nuestra investigación también revela que esos repositorios pueden ser manipulados para otorgar a los subtítulos maliciosos de los atacantes una puntuación alta, lo que deriva en el hecho de que esos subtítulos específicos son los utilizados al final por el usuario. Este método requiere de una pequeña o no deliberada acción por parte del usuario, volviéndolo todo mucho más peligroso.

A diferencia de otros ataques de vectores, de los cuales tanto las firmas de seguridad como los usuarios son muy conscientes, los subtítulos de las películas son percibidos como poco más que ficheros de texto benignos.

 

Filtraciones de WikiLeaks muestran una herramienta de man-in-the-middle de la CIA

WikiLeaks sigue publicando documentos relacionados con la serie de documentos Vault 7. Hace pocos días dieron a conocer a Archimedes, una herramienta de la CIA para hacer ataques man-in-the-middle que anteriormente fue conocida como Fulcrum.

Lo más inquietante de este asunto es no poder saber si Archimedes sigue siendo utilizado o no. Básicamente se trata de un malware que se instala en uno de los ordenadores pertenecientes a una LAN (red de área local) para redireccionar la navegación web de todos los ordenadores objetivo hacia un servidor controlado por la CIA, mientras que los afectados perciben que todo funciona con normalidad, como si no estuviesen siendo atacados mediante man-in-the-middle.

El propio manual explica de forma clara el funcionamiento de esta herramienta:

Archimedes es usado para redireccionar el tráfico de una LAN procedente un computador objetivo a través de una computadora controlada por el atacante antes de pasar por la pasarela. Esto permite a la herramienta inyectar una respuesta de servidor web falsificada que será redireccionada al navegador web objetivo en una localización arbitraria. Esta técnica es usada generalmente para redireccionar el objetivo hacia un servidor de explotación mientras ofrece la apariencia de una sesión de navegación normal.

Quizá este documento no tenga el interés ni el impacto de los primeros, pero es igualmente interesante y valioso para que la gente conozca cómo los servicios de inteligencia más poderosos han estado jugando con la privacidad en Internet a nivel mundial, además de forma aparentemente indiscriminada.

IBM avisa a sus clientes de que algunas de sus unidades USB contienen malware

Las unidades USB a las que se está refiriendo la multinacional son para almacenar la Herramienta Inicialización (Initialization Tool) de IBM Storwize, un sistema de almacenamiento de big data (sistemas de discos puestos en disposición de rack) utilizado en datacenters. El número perteneciente a los dispositivos USB infectados es 01AC585 e IBM dice que fueron suministrados a través de los siguientes productos:

• IBM Storwize V3500 – 2071 modelos 02A y 10A.
• IBM Storwize V3700 – 2072 modelos 12C, 24C y 2DC.
• IBM Storwize V5000 – 2077 modelos 12C y 24C.
• IBM Storwize V5000 – 2078 modelos 12C y 24C.

 

 

La compañía ha dicho que el código malicioso es copiado en los ordenadores de los usuarios pero no ejecutado. Por otro lado, no ha ofrecido detalles sobre la naturaleza de este código malicioso o cómo ha podido llegar a las unidades USB afectadas, aunque según los motores de detección de malware actuales, parece que se trata de un descargador de malware básico.

El hash MD5 del fichero del código malicioso es 0178a69c43d4c57d401bf9596299ea57 y ya es detectado por la mayoría de los antimalware conocidos en el mercado:

 

 

Malware Hunter es una herramienta para encontrar servidores de mando y control

Shodan y Recorded Future lanzaron ayer un motor de búsqueda para descubrir servidores de mando y control que están detrás del malware para crear botnets. Llamado Malware Hunter, esta nueva herramienta está integrada en Shodan, un motor de búsqueda para descubrir dispositivos conectados en Internet.

El funcionamiento de Malware Hunter se basa en bots de búsqueda que rastrean Internet para hallar computadoras que hagan la función de servidor de mando y control de una botnet. En su intención de engañar al servidor de mando y control para que muestre su ubicación, el bot de búsqueda utiliza varias peticiones predefinidas que pretenden hacerse pasar por una computadora infectada para reportar al servidor de mando y control. Si la computadora escaneada responde, Malware Hunter registra la IP y hace que esté disponible desde la interfaz de Shodan.

 

 

 

 

 

 

Aparece el primer troyano a gran escala contra Mac

Desde hace tiempo se viene diciendo que el malware contra Mac iría en aumento, gracias sobre todo a la cada vez mayor popularidad de estos ordenadores. Que el malware se haya centrado en Windows ha sido sobre todo porque hasta no hace mucho ese sistema tenía casi un monopolio en la computación doméstica.

Check Point ha descubierto recientemente a Dok, que se está distribuyendo sobre todo a través de phishing por email y se trata del primer troyano a gran escala contra macOS (el sistema operativo para los ordenadores Mac). Los mensajes maliciosos van dirigidos sobre todo a usuarios europeos y tienen adjuntado un fichero comprimido ZIP con un malware que toma el control del sistema y permite a los atacantes interceptar el tráfico de Internet de la víctima para espiarla o suplantar sitios web. Obviamente, nada de esto pasa si el usuario no abre el fichero ZIP correspondiente al ataque de phishing.

¡Cuidado! Halladas 10 vulnerabilidades graves en routers de Linksys

Investigadores en seguridad han descubierto la existencia de una decena de vulnerabilidades que afectan a 25 modelos de routers Linksys Smart Wi-Fi, los cuales están muy extendidos actualmente.Tao Sauvage, de IOActive, y el investigador independiente Antide Petit, han publicado en el blog corporativo de IOActive el descubrimiento de 10 bugs de seguridad hallados en 25 modelos de routers Linksys a finales del año pasado. De esos diez problemas, seis pueden ser de explotados de forma remota por atacantes no autenticados.

 

Según los investigadores, los fallos de seguridad permiten a los atacantes sobrecargar un router, forzar el reinicio del dispositivo a través de la creación de denegaciones de servicio (DoS), denegar el acceso para los usuarios legítimos, filtrar datos sensibles, cambiar configuraciones restringidas e instalar puertas traseras.

El phishing es cada vez más sofisticado y difícil de esquivar

El phishing, ataque informático llevado a cabo mediante la suplantación de otra cosa (la página web de una empresa conocida, el currículum de un falso candidato, etc), es cada vez más sofisticado y difícil de detectar. De hecho hay casos que solo podrían ser detectados por los usuarios más atentos, ya que las imitaciones empiezan a estar realmente conseguidas.

 

 

 

Con el fin de esquivar algo mejor este tipo de ataques, el equipo de Google Chrome ha decidido recientemente restringir ciertos dominios con caracteres no romanos a la hora de ser mostrados en el navegador web. Este cambio viene después de revelarse una técnica que permite la creación de sitios web de phishing muy conseguidas.

 

 

 

 

 

 

 

Hallada una vulnerabilidad en Microsoft Edge que permite robar cookies y contraseñas

Una vulnerabilidad hallada en Microsoft Edge puede ser explotada por un atacante para obtener las contraseñas y los ficheros de cookies de servicios online. Fue descubierta por el investigador Manuel Caballero, quien es experto en el descubrimiento de fallos de seguridad en los navegadores propios de Microsoft, Edge e Internet Explorer.

A través de variaciones de la técnica de explotación, Caballero ha mostrado cómo un atacante podría ejecutar código en un sitio de perfil alto solo engañando a la víctima para que haga clic sobre una URL maliciosa. En las tres pruebas de concepto (1, 2 y 3) que ha publicado, el investigador consiguió ejecutar código en la página de inicio del buscador Bing, publicó tweets con el nombre de otro usuario y luego robó contraseñas y cookies desde la misma cuenta de Twitter.

Malware hallado en la Play Store ha infectado a 2 millones de dispositivos Android

Los investigadores en seguridad de Check Point han descubierto que un malware presente en la Play Store de Google ha infectado a más de 2 millones de dispositivos Android en todo el mundo, cuando en un principio se pensaba que eran solo 600.000.
El malware descubierto por Check Point ha recibido el nombre de FalseGuide y ha sido distribuido de forma silenciosa a través de 40 aplicaciones falsas de guías para juegos populares como FIFA Mobile y Pokémon Go. Una vez infectados los dispositivos, FalseGuide se dedicaba a desplegar publicidad fraudulenta en los dispositivos móviles que generaba ingresos para los cibercriminales.

 

En un principio Check Point creyó que había 600.000 dispositivos infectados, estimando que FalseGuide apareció en el mes de febrero de 2017. Sin embargo, en una investigación más exhaustiva descubrió dispositivos que fueron infectados en novimebre de 2016, lo que amplió el número de infectados hasta los dos millones actuales.