Category Archive Noticias

Byaci

WPA2 – si alguna vez pensaste que era seguro….

Una grave vulnerabilidad encontrada en el sistema de cifrado WPA2 ha puesto en peligro todas las conexiones inalámbricas. Mientras se espera más información, vamos a resolver las dudas más frecuentes para la mayoría de usuarios. ¿Qué ha ocurrido con las redes wifi y cómo te afecta?

¿Por qué es tan importante?

Lo más probable es que tu principal método de conexión a internet sea a través de una red wifi la mayor parte del día. Ahora suma los millones de personas que hacen lo mismo diariamente. Y, por último, piensa que alguien cerca de tu señal pueda acceder a tus datos, historial o información privada. Este es el riesgo que corren las redes tras el fallo detectado.

¿Qué demonios ha ocurrido?

Desde el año 2004, momento en el que apareció el protocolo de seguridad wifi WPA2 (wifi Protected Access 2), se vivía con el temor a un fallo que expusiera las redes inalámbricas a nivel mundial. A partir de entonces, los fabricantes comenzaron a producir una nueva generación de puntos de accesos apoyados en el protocolo, el cual utilizaba el algoritmo de cifrado AES (Advanced Encryption Standard). AES a su vez es un sistema de algoritmos que se convirtió en estándar de cifrado. Dicho de forma sencilla, con la llegada del sistema WPA2 las redes wifi han estado seguras, hasta ahora. 13 años de tranquilidad que pueden haber llegado a su fin por culpa de un nombre: KRACK. Significa Key Reinstallation Attack, y a esta hora sabemos que es el conjunto de técnicas responsables de conseguir la vulnerabilidad en WPA2. Además, la principal gravedad reside en el hecho de que no hay posibilidad de cambiar a otro protocolo que proteja las redes inalámbricas en el planeta.

¿Cómo funciona un ataque KRACK?

El experto en seguridad Mathy Vanhoef ha publicado los resultados de su investigación en la Computer and Communications Security (CCS) que se ha celebrado hoy, y en él expone cómo la seguridad del protocolo WPA2 se ve comprometida por estos ataques, llamados Key Reinstallation Attacks (KRACKs).

El objetivo del ataque es el proceso de negociación del protocolo WPA2, conocido como 4-way handshake, que se realiza cuando un cliente se quiere conectar a una red inalámbrica y se usa para confirmar que tanto el cliente como el punto de acceso tienen las credenciales correctas (la contraseña de la red WiFi). En ese proceso de negociación se genera una nueva clave con la que se cifrará todo el tráfico de esa sesión.

En un ataque de este tipo, el atacante engaña a la víctima haciendo que reutilice una clave que ya se estaba utilizando, y para ello se manipulan y sustituyen los mensajes con el handshake cifrado. Una clave solo debería ser usada una vez, pero el protocolo WPA2 no lo garantiza, lo que permite que un atacante logre acceder a esos paquetes y así tenga acceso a la información que conforman.

En el estudio detallado del ataque, titulado “Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2” (PDF), escrito por Mathy Vanhoef y Frank Piessens, se puede consultar con más detalle cómo funciona todo el proceso.

Fuente https://www.xataka.com

Byaci

¿Por qué crear una Estrategia de Seguridad?

Espionaje, hactivismo, ciberataques; son algunas de las palabras más sonadas durante el primer semestre de 2017. Ataques a nivel mundial que nos hacen replantear la idea de una estrategia de seguridad a nivel empresa, nacional y a nivel mundial.

México, el país más afectado  de América Latina por el cibercrimen, desde 2014 ha comenzado a trabajar en la creación de una Estrategia Nacional de Ciberseguridad, sin embargo, hasta el 2017 se ha iniciado el diseño de esta política. Los días 19 y 20 de abril se realizó el taller “Hacia la Estrategia Nacional de Ciberseguridad”;  donde se manifestó la importancia de los derechos humanos dentro del ciberespacio; añadiendo a esto, la OEA reafirmó su compromiso de apoyar al gobierno de México en el desarrollo de su Estrategia.

Desde nuestro punto de vista, una estrategia a nivel nacional no será eficaz, si no partimos de lo menos a lo más; si dentro de nuestras organizaciones o empresas, no contamos con una estrategia de seguridad en la información, seguiremos vulnerables a los ciberataques, que día a día aumentan en nivel de riesgo.

Por mencionar algunos incidentes recientes, el pasado 21 de julio de 2017 se dio a conocer la peor fuga gubernamental de Suecia, el error: trasladar toda su información secreta de la nación a la nube (cloud), entre la información sensible que vio la luz tenemos, nombres de pilotos, todos los carnets de conducir de Suecia, datos de protección de testigos, información personal sobre las Unidades de Fuerza, detalles de vehículos militares, entre otra información. Tras toda esta información filtrada se destaca la actitud generalmente descuidad y negligente; la sentencia a este incidente ha sido dar el salario de medio mes, debido a que fue el propio gobierno quien expuso dicha información.

Un segundo incidente que salió a la luz el pasado 8 de agosto de 2017 fue la filtración de 11,000 documentos internos sobre LexNet y Orfila (Organizaciones de España). Este incidente ha sido totalmente un descuido, la información filtrada se encontraba en un servidor con acceso desde Internet completamente abierto (sin contraseña).

“Cuando vi lo que ocurrió con LexNet la semana pasada me puse a buscar información. No sabía cómo funcionaba. Me metí en Shodan y encontré una IP de Justicia no securizada. Entré y te daba acceso a un directorio, estaba abierto y sin contraseña. Otro fallo de configuración hacía que pudieras acceder con permisos de administrador al panel de monitorización de LexNet y a carpetas con miles de documentos sobre esta plataforma y sobre Orfila. Todo eso no debería estar ahí”, explica a Teknautas una de las personas que accedió al material, un estudiante de ingeniería de 20 años. “Si yo lo he encontrado, cualquiera podría haberlo hecho”.

El 87% de las empresas en México ha tenido incidentes de seguridad de la información, el costo promedio de un incidente de seguridad es de 1 millón 581,641 dólares;  algunas de las empresas solo destinan el 3.87% del presupuesto a ciberseguridad, presupuesto reducido para proteger el activo más valioso de las Organizaciones.

De acuerdo con la experiencia, pocas empresas cuentan con una estrategia en seguridad de la información claramente definida acorde a su negocio. Una estrategia debe verse como un proceso más dentro de la Organización. Es importante que todas las áreas sean partícipes, ya que la seguridad no es un problema específico de un área. Se deben crear políticas, procesos y lo más importante implementarlas, mismas que deben ser auditadas para obtener una mejora continua en el proceso. Es importante dejar en claro que las herramientas tecnológicas son un complemento de la seguridad, contar con un firewall o un detector de intrusos minimizara el riesgo de algunos ataques, sin embargo para estas herramientas deben de existir políticas de actualización de parches, procesos de configuración, añadiendo a esto, es recomendable realizar pruebas de penetración (pentest), con la finalidad de validar y verificar la existencia de huecos de seguridad dentro de la infraestructura tecnológica. Las empresas deben evitar ser juez y parte de las validaciones o auditorias de seguridad, por lo que se recomienda contar con un proveedor, con experiencia que pueda ofrecer asesoramiento personalizado.

 

Referencias

Hacia la Estrategia Nacional de Ciberseguridad

Incidentes de Seguridad en México

LexNet y Orfila

Incidente Suecia

 

Byaci

SHELLBIND es un malware descubierto este mes que explota SambaCry

La compañía de ciberseguridad Trend Micro ha alertado de la existencia de un nuevo malware que explota la vulnerabilidad SambaCry, que afectó sobre todo a sistemas operativos Linux.

Para los que anden despistados, SambaCry fue una vulnerabilidad presente desde hace 7 años descubierta y parcheada hace dos meses y que tenía como principal objetivo a servidores NAS con el fin de realizar minado de criptodivisas. Su nombre recuerda a WannaCry, y no es para menos, ya que afectaba a Samba, una implementación software libre del protocolo SMB/CIFS utilizado por Windows para compartir archivos y otros recursos a través de red, facilitando así la convivencia de Windows con otros sistemas operativos Unix y Unix-like.

A pesar de que se lanzó un parche de forma rápida, parece que a día de hoy sigue habiendo muchos dispositivos con una instalación de Samba sin actualizar, lo que ha motivado el desarrollo de malware por parte de actores malintencionados.

Llamado SHELLBIND, el malware recientemente descubierto por Trend Micro es capaz de funcionar en varias arquitecturas además de x86 (Intel y AMD), abarcando también PowerPC, MIPS y ARM. Se distribuye a través de un fichero de Objeto Compartido (.so) que acaba en carpetas públicas compartidas, siendo después cargado a través de la vulnerabilidad SambaCry.

Una vez implementado en la máquina objetivo, SHELLBIND establece una comunicación con el servidor de mando y control del atacante, que ha sido localizado en el este de África. Además de órdenes procedentes del servidor, también permite a un atacante tomar el control de la máquina infectada.

Para empeorar la situación, encontrar máquinas expuestas al público que hacen uso de Samba es relativamente sencillo, ya que solo hay que buscar el puerto 445, uno de los dos utilizados por Samba, a través del buscador Shodan para obtener una lista de IP de potenciales víctimas para SHELLBIND. Por otro lado, se desconocen los motivos de los actores maliciosos tras este malware.

El peligro está en los dispositivos IoT

Las distribuciones Linux más conocidas suelen ser diligentes a la hora de suministrar actualizaciones que parchean vulnerabilidades críticas, por lo que el impacto de SHELLBIND tendría que ser limitado.

Sin embargo, el verdadero problema no está en las distribuciones Linux “tradicionales”, sino en el IoT, ya que los dispositivos que abarcan esta área son casi siempre actualizados por el fabricante, dejando al usuario sin margen de maniobra y desprotegido en caso de no ser diligentes a la hora de suministrar actualizaciones de seguridad.

De hecho, la desidia de muchos fabricantes ha terminado por convertir al IoT en un área poco fiable en términos de seguridad.

Aun así, prescindir de Samba sería una buena idea

¿Eres usuario de Linux o de otro sistema operativo Unix o Unix-like? En caso de no necesitar Samba, sería buena idea desinstalar el correspondiente servidor para evitar su exposición.

En caso de necesitar Samba para compartir recursos, se recomienda encarecidamente tener el servidor actualizado con los últimos parches a nivel de seguridad y los puertos 139 y 445 cerrados en el router.

Source link

Byaci

Un ciberataque a nivel mundial podría causar pérdidas de 53.100 millones de dólares

Casos como los de WannaCry y NotPetya han despertado la preocupación de muchas empresas e instituciones en torno a la ciberseguridad. Cada vez estamos más interconectados a través de Internet, y eso supone más posibilidades de recibir un cibertaque o bien dar medios para realizar uno, como por ejemplo los necesarios para la creación de una botnet.

Con la ciberseguridad en primer plano debido a la cada vez mayor capacidad de los cibercriminales y hackers para lanzar potentes ataques, el mercado de seguros británico Lloyd’s of London ha publicado un informe que intenta predecir las pérdidas máximas que puede ocasionar un potente ciberataque.

El mercado de seguros ha estimado que las pérdidas que podría causar un ciberataque a nivel mundial estarían entre los 53.100 millones y los 121.400 millones de dólares. Este daño, debido a que está totalmente basado en software, sería puramente económico, a pesar de que las cuantías parecen más bien propias de un desastre natural.

Para estimar esas cuantías tan elevadas, Lloyd’s ha planteado dos posibles escenarios de ataques:

Ataque hacker contra un proveedor de servicios en la nube: La nube está concentrando cada vez más secciones y departamentos de las empresas. Un ataque contra un proveedor de servicios en la nube podría ser llevado por activistas que podrían realizar una modificación maliciosa de un hypervisor que controla la infraestructura cloud. En caso de realizarse contra servidores cloud utilizados por empresas, el servicio acabaría interrumpido y se forzaría a detener la actividad, generando así pérdidas.

El segundo escenario sería algo muy parecido a lo visto a través de WannaCry. Windows es un sistema operativo muy utilizado, por lo que una vulnerabilidad grave que le afecte podría causar grandes daños a las empresas en caso de ser explotada. Los informes sobre las vulnerabilidades que afectan a los sistemas operativos podrían ser vendidos a través de la dark web y acabar en menos de ciberdelincuentes que crearían exploits y diseñarían ataques específicos contra empresas vulnerables para obtener un beneficio económico.
Lloyd’s ha calculado las posibles pérdidas para cada uno de los posibles escenarios. Para el primero ha estimado unas cuantías que van desde los 4.600 millones hasta los 53.100 millones de dólares, mientras que para el segundo ha estimado unas posibles pérdidas de entre 9.700 millones y 28.700 millones de dólares.

Los expertos de Lloyd’s dejan entrever en su informe que es muy difícil estimar las posibles pérdidas económicas causadas por un ciberataque de grandes dimensiones, ya que por un lado dicen que las cuantías podrían ser mucho menores si se toman todas las precauciones necesarias, sin embargo, por otro dicen que en un caso extremo de interrupción de los servicios cloud las pérdidas podrían ascender hasta los 121.400 millones de dólares.

Sobre ataques que ya se han producido, Cyence ha estimado que WannayCry ha podido provocar unos 8.000 millones de dólares en total, mientras que NotPetya habría causado daños que ascenderían a 850 millones.

Fuentes: BleepingComputer y Reuters

Byaci

HIGHRISE: ASÍ ROBABA LA CIA DATOS DE MÓVILES SIN CONEXIÓN A INTERNET

Cada semana, Wikileaks desvela con cuentagotas las diversas herramientas de hackeo de la CIA que obtuvieron a través de una fuente anónima que se las entregó. En estas podemos ver hasta dónde llegan los intentos deciberespionaje y robo de datos en beneficio propio. La última de estas herramientas, Highrise, permite robar datos de un móvil sin conexión a Internet.

HIGHRISE: LA HERRAMIENTA DE LA CIA PARA ROBAR DATOS EN ANDROID 4.0 A 4.3

Highrise, englobada dentro del programa Vault 7, es una herramienta que puede ser calificada de malware o de herramienta de hackeo. La duda existe porque ni Wikileaks ni el manual de la CIA detallan esta vez cómo funciona exactamente la herramienta, ni cómo la usaban los operativos de la CIA. A pesar de ello, con la información publicada, se puede intentar entender cuál era el funcionamiento y el objetivo de la herramienta.

cia-smartphone-highrise

En cuanto a qué móviles estaba destinada, Highrise funcionaba en su versión 2.0(fechada en el 16 de diciembre de 2013) en móviles Android 4.0 a 4.3, lo cual tiene mérito, pues Android 4.3 llevaba lanzado en el mercado apenas 5 meses, y la última versión Android 4.4 KitKat había visto la luz justo un mes y medio antes.

Una semana antes de la fecha del manual fue lanzada Android 4.4.2, por lo que esta herramienta se encontraba bastante actualizada. Es como si ahora mismo se encontrara actualizada por tiempo de lanzamiento a Android 7.1.2 Nougat, con fecha del 4 de abril. Por tanto, podemos suponer que es muy probable que tenganversiones actualizadas para las últimas versiones de Android.

LOS DATOS SE ENVIABAN A TRAVÉS DE LOS SMS

Normalmente, los malware usan la conexión a Internet para enviar los datos robados de un dispositivo hackeado a un servidor controlado por ellos. En el caso de los móviles, también existe una vía alternativa para hacer esto: los SMS.Analizar y ordenar los datos de muchos SMS conteniendo información del móvil infectado es una tarea tediosa, y aún más cuando hay que analizar varios móviles.

smartphone-hacking-tool

Con esto en mente, la CIA creó TideCheck, una simple aplicación para Androidque hace las veces un proxy SMS entre el dispositivo infectado y el servidor que recibe la información. Según se desprende del manual, los operativos tenían que instalar la aplicación en sus móviles Android para recibir la información que estaban robando de los dispositivos infectados.

HighRise-2_0-Users_Guide

El procedimiento de uso era bastante sencillo. Una vez instalada la aplicación, solicitaba una contraseña antes de ejecutarse (la contraseña era “inshallah”, que en árabe significa “Si Alá/Dios quiere”). Una vez dentro, daba tres opciones:

  • Iniciar, para ejecutar el servicio.
  • Mostrar/Editar configuración, para configurar ajustes básicos como la URL del servidor de escucha, que debía ser HTTPS. También permitía conocer la ubicación o el estado de batería del móvil infectado.
  • Enviar mensaje, que permite a un operativo de la CIA mandar manualmente mensajes cortos al servidor de escucha para cerciorarse de que la comunicación funcionaba.

Fuente:https://www.adslzone.net/2017/07/13/highrise-asi-robaba-la-cia-datos-de-moviles-sin-conexion-internet/

Byaci

OUTLAWCOUNTRY, EL MALWARE DE LA CIA PARA HACKEAR EQUIPOS LINUX

Tan solo 24 horas han pasado desde la última filtración de Wikileaks sobre las herramientas de hacking de la CIA, y el portal ya ha publicado una nueva oleada de documentos. En esta ocasión se trata del proyecto OutlawCountry y se diferencia del resto en que este malware está dirigido contra los equipos Linux. Aunque este sistema operativo es mucho más seguro que Windows, no es invulnerable y también presenta algunos problemas de seguridad.

Según explica el portal de filtraciones en un comunicado, este software malicioso permite la redirección de todo el tráfico de red saliente en el equipo de destino para dirigirlo a máquinas controladas por la Agencia Central de Inteligencia estadounidense. Linux es un sistema operativo muy utilizado en los servidores, lo que permitiría a los atacantes infiltrarse en las redes de organizaciones y empresas.

OutlawCountry está compuesto por un módulo de kernel que es capaz de crear tablas netfilter invisibles en el ordenador, lo que le permite interceptar y manipular paquetes de red a espaldas tanto del usuario como del administrador del sistema.

Los documentos que ha hecho públicos hoy Wikileaks, que se corresponden con el manual de usuario y el plan de pruebas de este software malicioso, no describen con detalle el método de instalación o la persistencia del malware. La versión OutlawCountry v1.0 contiene un módulo de kernel CentOS/RHEL 6.x de 64 bits y solo funciona con kernels determinados.

Según explican desde WikiLeaks en su entrada:

“OutlawCountry permite redireccionar todo el tráfico de red de salida en el dispositivo objetivo a ordenadores que son controlados por la CIA para propósitos de infiltración y exfiltración. El malware consta de un módulo para el kernel que crea una tabla netfilter en el sistema Linux objetivo; con el conocimiento del nombre de esa tabla, un operador puede crear reglas que tienen precedencia sobre las reglas netfilter/iptables existentes y están ocultas del usuario e incluso del administrador.”

Con esta nueva oleada de filtraciones enmarcadas en la serie #Vault7, Wikileaks ya ha sacado a la luz supuestas herramientas empleadas por la CIA para espiar todo tipo de dispositivos: televisores Samsung, ordenadores Windows, dispositivos de Apple, routers WiFi y ahora también equipos Linux. Es importante recordar que la Agencia Central de Inteligencia no se ha pronunciado sobre la veracidad de estas filtraciones, por lo que no se puede saber si son ciertas o no.

Esta nueva filtración, sería la segunda expuesta por WikiLeaks en una semana. Tan solo ayer se dio a conocer sobre ELSA, el método que la CIA utiliza para geolocalizar equipos con Windows y la semana pasada conocimos sobre BrutalKangaroo, el malware que usa la CIA para infiltrarse en ordenadores desconectados de Internet. WikiLeaks asegura que aún tiene documentación sobre otros 14 exploits utilizados por la CIA y que detallan otros métodos que la agencia utiliza para el ciberespionaje.

Fuente www.tekcrispy.com / http://computerhoy.com

ByDrok3r

Ransomware NotPetya

Un nuevo ataque de ransomware afecta de nuevo a los sistemas Windows, provocando grandes perdidas a muchas empresas, victimas de este ataque. Despues del ataque de ransomware WannaCry se espera que muchas empresas asi mismo como usuarios crearan conciencia de la importancia de la seguridad, lo cual al parecer no sucedio.
De acuerdo a diversos reportes son mas de 80 empresas afectadas por este ransomware, mientras que los países afectados como Reino Unido, Estados Unidos, Francia, Rusia, España, India y Ucrania,
Petya infecta de manera distinta a los sistemas, pues este ransomware, no cifra todos los archivos del sistema, lo que este ransomware hace es reiniciar el sistema y cifrar la tabla maestra de arranque haciendo imposible el acceso al sistema Windows. De igual manera que WannaCry infecta todos los sistemas conectados en la misma red.
Petya se propago por medio de una campaña de SPAM dirigida a organizaciones de recursos humanos por medio de correos electrónicos con solicitudes de empleo. Los correos maliciosos contenían un link a un archivo en DropBox el cual era un Dropper, el cual descargaba el ransomware petya.

Actualmente este ransomware fue descubierto en el 2016 bajo el nombre de petya, sin embargo en este nuevo ataque los investigadores lo han bautizado como NotPetya

Una vez instalado, el ransomware sobrescribe los primeros sectores del disco, incluyendo el MBR (Master Boot Record), y realiza un respaldo cifrado con XOR. A continuación fuerza el reinicio de Windows y muestra una falsa pantalla de chequeo del disco (CHKDSK) mientras que, en segundo plano, cifra la MFT (Master File Table). Sin acceso a la MFT, el sistema operativo no tendrá la información de los archivos de su volumen (nombre, tamaño y el mapeo de sectores del disco duro) y al arrancar la víctima se encontrará con una desagradable sorpresa:
@MaerskLine en sus terminales @APMTerminals.
No hay texto alternativo automático disponible.
Archivos cifrados por PETYA

Crackean Ransomware PETYA

Un investigador de Malwarebytes descubrió que el malware cifraba el MBR simplemente con XOR y el carácter ASCII 7 (0x37 en hexadecimal). Posteriormente publico una herramienta la cual permite recuperar la clave en la fase 1, es decir antes de que el sistema se reinicie.

Puedes descargar el binario y código Fuente:
binario / código fuente.

Hace no mucho, un anonimo bajo el nickname de leostone logro crackear la segunda fase, siendo capaz de encontrar la clave usada por Petya para cifrar la MBR en sólo unos segundos. A grandes rasgos el código de su herramienta re-implementa el algoritmo de hashing usado para generar la clave, un algoritmo Salsa pero que opera en 16 bits en lugar de 32 y sólo aleatoriza la matriz 10 veces.
Codigo en Github

https://github.com/leo-stone/hack-petya

Para el funcionamiento de la herramienta es necesario extraer del disco infecta lo siguiente:
  • Sector de verificación de cifrado: 512-bytes (sector 55 [0x37] offset: 0 [0x0])
  • Nonce: 8-bytes (sector 54 [0x36] offset: 33 [0x21])
Y convertirlos a base64. Para extrar lo anterior podemos usar el software “Petya Sector Extractor”  creado por Fabian Wosar.
Petya Sector Extractor
Petya Sector Extractor [ DESCARGAR ]
Posteriormente ya con la informacion obtenida, se ejecuta el script en go, pegando los datos en src.txt y nonce.txt respectivamente. Tambien se pueden usar los siguientes sitios web, para generar la clave:

https://petya-pay-no-ransom.herokuapp.com/

Vacunar Windows contra PETYA

Para poder vacunar nuestro sistema windows contra el ransomware PETYA debemos de crear un archivo de solo lectura, en C:\Windows.

Lo que hacemos es copiar y pegar el archivo notepad.exe

Ahora al archivo notepad – copia.exe le cambiamos el nombre por perfc

Posteriormente hacemos que el archivo, sea de solo lectura, al dar clic derecho sobre este…  y damos clic en aplicar.

Y eliminamos la extension .exe

FUENTES
https://blog.malwarebytes.org/threat-analysis/2016/04/petya-ransomware/
https://threatpost.com/researchers-learning-more-about-petya-ransomware/117068/
https://hshrzd.wordpress.com/2016/03/31/petya-key-decoder/
https://en.wikipedia.org/wiki/SALSA_algorithm
https://www.grahamcluley.com/2016/04/petya-ransomware-unlock-tool/
http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
http://www.hackplayers.com/2016/04/crackean-petya-herramientas-descifrar-mbr.html#more
http://computerhoy.com/noticias/software/como-vacunar-tu-ordenador-ransomware-petya-64270
https://r3dbird.blogspot.mx/2017/06/ransomware-notpetya-no-petya.html
Byaci

PETYA, ahora hace temblar al mundo

Hoy en día está ocurriendo un ataque de Ransomware de alcance masivo con mecanismos de auto-propagación similares a los observados durante el ataque de WannaCry. Según las primeras informaciones, una vez que este Ransomware esta en los dispositivos, genera un reinicio de sistema, el cual ocupa para encriptar los archivos. Este ataque ha afectado a muchas empresas alrededor del mundo y se han recibido los primeros reportes de empresas afectadas en Latinoamérica. El ataque utiliza una variante de Ransomware denominada “PETYA” – detectada como Ransom_PETYA.TH627.

El virus ha afectado a computadoras de empresas de varios países; Ucrania, Rusia, Reino Unido e India son las más afectados, según el diario español El País. El malware ataca a equipos con Windows, en los cuales aparece un mensaje que pide un pago de 300 dólares –en la moneda virtual bitcoin– para liberarlos.

En Ucrania, donde al parecer inició el ataque, fueron afectados el Banco Central, el metro de Kiev, la compañía estatal de energía y la red informática del gobierno ucranio, informó el viceprimer ministro de Ucrania, Pavlo Rozenkoe.

Como en el ataque anterior, los equipos infectados con Petya Ransomware han sufrido un cifrado de sus archivos y resulta imposible acceder al sistema operativo, puesto que lo único que se muestra es un mensaje, tal como adelantan en Teknautas:“Si puedes leer este texto, tus archivos ya no están disponibles, ya que han sido encriptados. Quizá estás ocupado buscando la forma de recuperarlos, pero no pierdas el tiempo: nadie podrá hacerlo sin nuestro servicio de desencriptación”.

Ver imagen en Twitter

De momento lo único que se conoce es que, según AFP, el origen del ataque parece estar en Rusia y Ucrania, aunque no hay evidencias físicas que apunten a una autoría real dentro de sus fronteras. Se espera que en la próximas horas el ataque de la vuelta al mundo y afecte a más países y empresas, tal como sucedió con el WannaCry.

En estos instantes, INCIBE apunta un nivel de alerta en España sobre el 49%, un indice que se establece sobre los eventos registrados en el Modelo de Inteligencia en Ciberseguridad de INCIBE atendiendo al número y tipo de activos o recursos comprometidos y a la tipología de los ataques para las últimas 24 horas:

La nueva versión del ransomware fue compilada al parecer el pasado 18 de junio, y solicita un rescate, para recuperar acceso al ordenador. En el anterior ataque de WannaCry de mayo, los atacantes no desbloquearon ninguno de los ordenadores infectados, aunque de momento hay seis personas que han ingresado el dinero correspondiente a la dirección del atacante. ( ya son 13 pagos los realizados, equivalentes a casi 4.000 dólares).

Petya, a diferencia de WannaCry, lo que hace es cifrar el MFT (Master File Table) del disco duro, dejando el MBR (Master Boot Record) inoperable, e impidiendo el acceso al sistema a través de cifrar información sobre los nombres de archivos, tamaños y localización de los mismos en el disco duro. Además, Petya reempalza el MBR con su propio código malicioso con la nota del rescate.

 

Fuente forbes.com.mx; theguardian.com

Byaci

Filtrado masivo de Windows 10 builds y de código fuente

Microsoft está poniendo un especial cuidado en todo lo relacionado con el trabajo que está llevando a cabo en la última versión de su sistema operativo por excelencia, Windows 10, ya que lo quiere convertir en una plataforma universal, aunque podría haber recibido un duro revés estas últimas horas.

Y es que, por lo que se acaba de saber, la firma con sede en Redmond ha sido víctima de una filtración masiva a Internet desde uno de sus propios servidores por medio de la cual se han hecho públicos un total de 32 TB de datos correspondientes al código fuente, compilaciones y herramientas internas de la propia compañía referentes al mencionado Windows 10, todo ello descargable on-line por cualquiera; vamos, todo un tesoro para algunos.

Todo hace indicar que todo ello ha salido directamente de uno de los servidores internos de Microsoft, hecho que por lo que se está comenzando a saber, se produjo en el pasado mes de marzo de este año. Entre la enorme cantidad de datos filtrados se incluye el código fuente de los controladores de hardware básicos de Windows 10, además del código PnP, USB y WiFi de los sistemas de los de Redmond, o incluso código de kernel OneCore específico para dispositivos ARM.

Cabe mencionar que también se incluyen nuevas versiones aún en periodo de desarrollo para el mismo sistema operativo y Windows Server 2016, versiones de ARM de 64 bits sin lanzar por el momento y versiones múltiples de Microsoft Windows 10 Mobile Adaptation Kit.

Se filtran 32 TB de Builds y demás datos de Windows 10

Seguridad en Windows 10

Con todo y con ello esta filtración podría convertirse en un duro contratiempo para la propia Microsoft, ya que todo ello podría dar pie a que determinados ciberatacantes se pusiesen en marcha de manera mucho más efectiva a buscar posibles exploits y vulnerabilidades de acceso en el código fuente del sistema, todo ello de primera mano y así acceder a Windows 10 de diferentes maneras.

Uno de los mayores inconvenientes ante los que se enfrenta la firma con sede en Redmond es la actual situación que aún está patente con lo sucedido relativo a la seguridad de Windows tras las filtraciones que propiciaron el ataque masivo a nivel mundial por medio del ransomware WannaCry. Sin embargo ahora ya solo queda esperar el impacto a nivel de seguridad y privacidad por si el malware para el sistema operativo se ve incrementado de manera importante en los próximos meses, esperemos que no sea así.

Además entre el material filtrado también encontramos el Microsoft Shared Source Kit, que incluye código fuente para drivers a nivel de hardware para Windows 10 como el sistema plug-and play, drivers de almacenamiento, controladoras de usb y Wi-Fi..

microsoft leak32tb windows 10 builds

Según la propia Microsoft, este Kit solo está disponible para clientes cualificados, empresas, gobiernos y partners por motivos de referencia y depuración. Esto sumado a los comentarios y símbolos en el código hacen pensar que el robo de información pudiera no ser a la propia Microsoft sino a uno de sus partners.

Por último también podemos encontrar entre los archivos el Windows 10 Mobile Adaptation Kit que como su propio nombre indica es el kit de desarrolladores para la ejecución de Windows 10 en dispositivos móviles. Vamos toda una colección de software variado para investigar.

microsoft leak32tb windows10 mobile adaptation kit

Sin embargo de todo esto se ha eliminado el “Archivo Beta”, el cual está diseñado para estar disponible tan solo para clientes cualificados, empresas, gobiernos y socios dedicados a la depuración del software.

 

 

Fuente > MSPowerUser

Byaci

Pegasus en México

Empieza con un SMS y puede llegar a infectar el teléfono para espiar al usuario hasta el punto de usar la cámara y el micrófono para vigilarlo. Se llama Pegasus y es un ‘software’ malicioso diseñado por una compañía de Israel para recabar información de teléfonos móviles. El programa se vende únicamente a gobiernos y su propósito central es vigilar a organizaciones criminales y terroristas.

Pero ahora Pegasus, creado por la empresa NSO Group, se encuentra en medio de un escándalo en México. Organizaciones civiles denuncian que el malware fue utilizado por el gobierno de ese país para espiar a periodistas y defensores de derechos humanos.

Las autoridades niegan el espionaje. Un vocero de la presidencia de México dice a BBC Mundo que, con base en la ley, el gobierno realiza actividades de inteligencia para combatir el crimen organizado y amenazas a la seguridad nacional. Pero eso no incluye a comunicadores y activistas, afirma.

“El gobierno de la República rechaza categóricamente que alguna de sus dependencias realice acciones de vigilancia o intervención de comunicaciones de defensores de derechos humanos, periodistas, activistas anticorrupción o de cualquier otra persona sin previa autorización judicial”, añade el vocero.

¿Cómo funciona?

La persona afectada recibe mensajes SMS con un texto y un enlace malicioso hacia alguna nota periodística o reporte especializado, sin embargo esto es un engaño. Pegasus se basa en la ingeniería social, es decir un “método para engañar o persuadir a alguien a través de canales tecnológicos o bien en persona, y que se utiliza para obtener información significativa o lograr que la víctima realice un determinado acto”, se lee en el reporte de R3D. Al hacer clic en el enlace que acompaña el texto del mensaje, se redirige a un sitio de NSO Group al mismo tiempo que se instala el  malware en el dispositivo. Éste facilitará el acceso a los archivos guardados en el teléfono como contactos, mensajes y correos electrónicos, además de que permitirá al atacante activar el micrófono o la cámara del dispositivo sin que la víctima se dé cuenta. De acuerdo con la investigación de Citizen Lab, Pegasus utiliza enlaces muy parecidos a los de sitios de noticias, redes sociales o telecomunicaciones para engañar a la persona que recibió el mensaje. Además de ser México el país en el que más dominios se encontraron, los más utilizados fueron: unonoticias.net, y0utube.com.mx, fb-accounts.com y whatsapp-app.com. Todos, enlaces que no corresponden al del sitio oficial de la red social o medio de comunicación. El director de R3D, Luis Fernando García, dijo en conferencia que los mensajes que reciben las víctimas son personalizados, es decir incluyen información de interés de la persona y muchas veces incluyen su nombre o nombre de algunos de sus familiares.

Los primeros casos en México

En 2015, el periodista mexicano Rafael Cabrera reportó a través de su cuenta de Twitter los mensajes que le había llegado y los cuales tenían todas las características que distinguen a Pegasus.

Casi un año después, dos activistas y un científico que habían impulsado el impuesto a bebidas azucaradas en México reportaron haber sido víctimas de un ataque a través de Pegasus. Según R3D, “se han documentado diversos indicios de la adquisición de equipo de NSO Group para parte de distintas instancias del gobierno de México, tales como la Secretaría de la Defensa Nacional, la Procuraduría General de la República y el Centro de Investigación y Seguridad Nacional”.

Y en el más reciente reporte hecho por la organización se señalan a periodistas como Carmen Aristegui, Carlos Loret de Mola o Salvador Camarena como algunos de los afectados.

¿Es legal?

De acuerdo con el reporte publicado hoy, en México “no existe regulación específica de herramientas altamente intrusivas de vigilancia como el software malicioso Pegasus” y señala que la intervención de comunicaciones privadas se puede dar sólo con la autorización de un juez federal siempre y cuando el caso sea una amenaza a la seguridad nacional, según el artículo 5 de la Ley de Seguridad Nacional.

Por si fuera poco, la Constitución marca la prohibición de la intervención de comunicaciones “cuando se trate de cuestiones de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, así como en el caso de las comunicaciones del detenido con su defensor”

Fuente: milenio.com