Publicaciones de la categoría: Ciberseguridad

CryptoBit, ransomware con doble engaño.

El problema del ransomware no es nuevo. El pasado año se publicó en varias fuentes información acerca de Cryptolocker (variantes: Prison Locker, Copycat y Locker). El ransomware consiste en pescar el malware de alguna página infectada, enlace en un correo electrónico o luego de pulsar un popup típicamente de spam. Acto seguido el disco duro de la víctima es encriptado de forma que el usuario pierde el acceso a sus datos, siendo la única forma de recuperar dicho acceso pagar un rescate (en ocasiones oneroso). Para presionar la víctima a pagar con prontitud, se despliega un mensaje advirtiéndole que si no paga en cierto tiempo, toda la información en su disco duro será borrada. Recientemente fue descubierto otro malware similar: CryptoBit. El principio sigue siendo el mismo, una vez infectada la computadora, el disco duro es encriptado y el mensaje de extorsión exigiendo un pago a cambio de la clave para liberar el disco es mostrado. El malware afecta archivos de Word, Excel, PDF’s, imágenes y películas, entre otros, haciendo el acceso al contenido del disco duro nulo. La víctima recibe instrucciones de instalar el navegador Tor para acceder a un sitio oculto dentro del Onion Network donde efectuará el pago del rescate en un término de 24 horas; de no hacerlo, perderá toda su información. La novedad de CryptoBit es que, después de pagar el rescate, el usuario recibe claves falsas que no liberan su disco duro. Sin embargo, el malware puede ser removido utilizando un antivirus que escanee el archivo %AppData%, lugar donde se oculta CryptoBit. Para decriptar el disco duro, basta con utilizar el System Restore de Windows. Ojo, el enlace al malware puede llegar en un correo electrónico que aparenta haber sido enviado por un conocido de la víctima. Las recomendaciones para protegerse siguen siendo las acostumbradas: No acceda a lugares de contenido dudoso o cuestionable, siempre tenga una copia de respaldo actualizada de sus archivos y no dé click en ventanas o popups.

Fuente: The Hacker News

Descubierto troyano multifuncional dirigido a Android.

A pesar de que el esfuerzo de Google por mantener controlada la presencia de malware dirigido  al sistema operativo Android ha sido bastante efectivo (como evidencia el hecho de que en las últimas semanas no se haya escuchado de algún programa malicioso nuevo para el sistema operativo del robot verde), siempre habrá alguno que logre evadir la cerca. Ese es el caso de un troyano multi-funcional que puede enviar mensajes de texto a servicios de pago y descargar e instalar otros malware de forma autónoma, para luego compartirlos vía Blue-tooth y hasta ejeutar comandos a nivel de consola.  Se trata de troyano Backdoor.AndroidOS.Obad.a, que posee un código único de encripción y funciona gracias aun error de tipo DEX2JAR y dos vulnerabilidades de Android: El procesamiento del archivo AndroidManifest.xml y otra vulnerablidad que permite al troyano obtener privilegios de administrador sin que el usuario lo sepa. Por el momento no se ha diseminado forma amplia y como siempre, para que este tipo de malware tenga éxito, depende del eslabón más débil en la cadena de seguridad: El usuario. Las recomendaciones siguen siendo las usuales: No descargue aplicaciones de fuentes fuera de Google Play si no está seguro de lo que hace, ni aplicaciones de contenido cuestionable o con promesas muy buenas para ser verdad.

Fuente: Pocketnow

Share

¿Qué ocurrió con el dominio .su de la extinta Unión Soviética?

Entre el inmenso y vasto espacio del Internet, existe un dominio de alto nivel (TLD) del que posiblemente muy pocos se acuerdan o ni siquiera saben que existe: El dominio .su, asignado a la extinta Unión Soviética hace 23 años. Curiosamente, mientras los dominios de otros países como Alemania Oriental o Yugoslavia desaparecieron junto a sus antiguos dueños, el de la Unión Soviética sigue activo, sirviendo de refugio a hackers y “scammers” que han tenido que abandonar el dominio .ru de Rusia a raíz de regulaciones más estrictas impuestas por sus administradores. Entre 2011 y 2012 la cantidad de sitios que utilizan el dominio .su se había duplicado, destacándose sitios como Exposed.su (que supuestamente publicaba los expedientes crediticios de figuras políticas y artistas, actualmente extinto) y  la presencia de botnets. El dominio es administrado por la organización sin fines de lucro Foundation for Internet Development, con sede en Moscú desde el 2007 y cuenta con unos 120,000 sitios adscritos al dominio, la mayoría de éstos legítimos (por ejemplo, chronicle.su, un sitio que parodia noticias y está en inglés). Por esta razón los administradores planifican establecer políticas más estrictas a partir de este verano con las que se espera controlar su uso por sitios de reputación dudosa.

Fuentes: Gizmodo, The Guardian

Share

Spyware dirigido a OS X que trata de evadir el Gatekeeper.

Cuando se menciona la palabra spyware generalmente en el último sistema en que se piensa es en OS X. Existe el mito de que las Mac son invulnerables al malware, algo que ha quedado desmentido por la aparición reciente de troyanos y otros malwares dirigidos al sistema operativo de la manzana. Y si bien es cierto que todavía Windows sigue siendo el blanco preferido de los programadores de malware, la reciente popularidad de OS X le está convirtiendo en un blanco atractivo para los hackers. Tan reciente como esta semana se descubrió un spyware (programa que accede a nuestro sistema de forma sigilosa, casi siempre oculto detrás de otra aplicación) en una computadora en la conferencia Oslo Freedom Forum. Al programa en cuestión se le ha dado el nombre OSX/KitM.A y su descubridor fue Jacob Applebaum; el objetivo de OSX/KitM.A es espiar activistas y su forma de contagio es la táctica de phishing mediante correos electrónicos.  Una vez instalado en la computadora, actúa como un backdoor que resulta es fácil de  identificar (al menos para el observador) en las carpetas de aplicaciones, descargas o la de Home con el nombre macs.app. Una vez identificado,  podemos eliminarlo borrándolo. Lo interesante de este spyware es que su codigo tiene la firma de un Apple Developer ID asociado a un tal Rajender Kumar y con esto lo que se pretende es que el malware pueda evadir el método que utiliza OS X para evitar la ejecución de aplicaciones que no provengan del Appstore: Gatekeeper. Esto puede abrir la puerta a un sinnúmero de posibilidades en nuevas formas de vulnerar al sistema que tradicionalmente ha sido visto como la alternativa segura a Windows, algo que de por sí considero una vulnerabilidad indirecta: Pensar que nuestro sistema operativo es impenetrable y que podemos navegar por el Internet sin tomar ninguna precaución. Ante todo, mucho cuidado con los correos electrónicos que recibamos y los sitios web que visitemos.

Fuente:  The Hacker News

Share

Visualización de un ataque DDoS.

Un ataque DDoS consiste en enviar una cantidad masiva de peticiones (de servicios o recursos), que pueden rondar en los millones por segundo, a un servidor de manera intencional, teniendo como resultado la sobrecarga de éste y su consecuente caída o colapso. Es una práctica que ha tomado mucho auge en los últimos años y que en muchos casos se vale de un botnet, una red compuesta de computadoras alrededor del mundo que han sido comprometidas mediante algún malware (generalmente un troyano), otorgándole el control de las mismas a un ente externo (el borherder) que las utiliza para enviar spam o como trampolín para un ataque DDoS. Utilizando el software Logstalgia, diseñado para visualizar tráfico de datos en una red, podemos observar un ataque DDoS de forma gráfica, algo que nos de una idea más clara de esta operación y sus efectos. En este ejemplo el ataque se produjo hacia los servidores de donde es descargada la aplicación VideoLAN.

Fuentes: Gizmodo, Puntogeek

 

 

Share

Se produce uno de lo ataques cibernéticos más grandes en la historia del Internet.

Lo que comenzó como una ataque hacia la compañía Spamhaus, dedicada a crear listas de correos electrónicos de potenciales spammers para venderlas a proveedores de servicios de Internet (ISP’s), se convirtió en lo que  expertos consideran uno de los más grandes ataques en Internet. Según Alex Fitzpatrick de Mashable, el ataque en cuestión provocó que se experimentara lentitud en la velocidad del Internet en todo el mundo, pero en especial en Europa. El ataque del tipo DDoS (Distributed Denial of Service) se produce cuando Spamhaus incluyó en sus listas de potenciales spammers a la empresa Cyberbunker; una vez Spamhaus detecta el ataque, contrata a la compañía CloudFlare  para mitigar el ataque. CloudFlare responde esparciendo los ataques, que típicamente tienen un límite en tamaño de 100 gigabits por segundo, a través de múltiples Data Centers. Pero en este caso, el tamaño de los ataques creció hasta 300 gigabits por segundo y comenzó a dirigirse a diferentes blancos, esto al percatarse los atacantes de la acción de CloudFlare. La red de CloudFlare cayó víctima de los ataques gracias a una vulnerabilidad del Domain Name System o DNS (que traduce direcciones de páginas web en direcciones IP). Los atacantes falsifican una dirección IP (spoofing), envían un pedido a lo que se conoce como un DNS Resolver, que tiene acceso a grandes cantidades de ancho de banda y como consecuencia la respuesta se envía de forma amplificada, creciendo el tamaño del ataque. De los Resolvers disponibles se estima que 21.7 millones son abiertos, detectables y manipulables (los administradores de redes pueden verificar en openresolverproject.org si su red utiliza un Resolver abierto. De obtener una respuesta positiva, su red pudiera estar siendo utilizada para lanzar ataques. Este incidente ha encendido una luz roja para que las empresas de seguridad atiendan con más premura el asunto de los DNS abiertos que pueden ser utilizados para este tipo de ataques.

Fuente:  Mashable-Inside the Biggest Cyberattack in History

Share

La “Deep Web”: Manéjese con cuidado.

El tema de la “Deep Web” no es nuevo, hay bastante información por el Internet y hasta un excelente libro que habla del tema. Sin embargo, existen también desconocimiento acerca de esta zona del Internet y los internautas debemos aprender acerca de qué hay allí. El “Deep Web” es un área del Internet que, según los expertos, comprende el 90% de la red, dejando un 10% a lo que se conoce como la “Surface Web” que es donde todos navegamos. Los buscadores como Google y Yahoo! trabajan en este 10% y aquí residen las redes sociales conocidas, como Facebook y Twitter. Las páginas que se encuentran en esta área son indexadas e identificadas por los buscadores, además de estar en formatos conocidos, como HTML. ¿Qué ocurre en el otro 90% y por qué no podemos acceder de igual forma? En esta otra zona hay páginas privadas, páginas en formatos diferentes que no son identificados por los buscadores, páginas protegidas por contraseñas o que están configuradas para evadir la indexación.  Otro detalle es que estas páginas utilizan el dominio .onion, en lugar de dominios de alto nivel, como .com, .edu, .net, etc. Este sistema diferente fue concebido hace años por la Marina de los EU como una red que garantizara el anonimato de los que navegaran en ella y a la vez brindar un entorno protegido para el almacenamiento y acceso a documentos sensitivos, así como la comunicación segura. La marina abandonó el proyecto, pero éste fue rescatado y mantenido por una organización sin fines de lucro que busca proveer un medio que garantice la privacidad mientras se navega en Internet. Como parte del proyecto se desarrolló Tor (“The Onion Router”), una aplicación gratuita que nos conecta de forma anónima a esta red utilizando enredadores de forma aleatoria (“onions”) que encriptan los datos y dificultan identificar la dirección IP del que navega utilizando Tor (Pero ojo, no hay garantía absoluta de anonimidad). ¿Qué podemos entonces encontrar en la “Deep Web” utilizando Tor? De todo, desde blogs de activistas políticos, hasta páginas de experimentos, bases de datos, bibliotecas en línea, hasta toda suerte de páginas de contenido cuestionable. Siendo un área que se navega de forma anónima y que carece de controles, se presta para ser usada para toda clase de actividades delictivas imaginables. Al que se aventure a navegar esas aguas virtuales se le recomienda usar Tor (preferiblemente en OS X o Linux), un VPN o TAILS (una distribución de Linux con Tor integrado y que puede ejecutarse desde una memoria USB sin dejar rastro). También se recomienda tener mucha precaución dónde se da click; las autoridades están atentas a quienes navegan el área en busca de material objetable o productos ilegales. Las páginas en su mayoría carecen de imágenes o multimedios como ocurre en el “Surface Web”, es como navegar el web en los 90’s, así que no son visualmente atractivas. La navegación usando Tor es más lenta como resultado de cómo éste funciona para proteger al usuario. Otra cosa, no se recomienda suscribirse a nada ni mucho menos descargar archivos por el peligro de que estén infectados con algún “malware”. Dicho esto, se puede navegar esta zona con las precauciones que se toman cuando se hace por el “Surface Web”, pero con más cautela y siempre mirando hacia dónde nos dirigimos para no girar a algún callejón virtual peligroso.

Proyecto Tor

TAILS

Libro recomendado: The Deep Dark Web: The Hidden World (Volume 1) por Richard Amores y Pierluigi Paganini

Identifican primer troyano tipo “installer” dirigido a OS X.

Un troyano llamado Trojan.SMSSend.3666 descubierto por la compañía Doctor Web, es el primero del tipo fake installer dirigido al sistema operativo Mac OS X. Este tipo de troyano es común en Windows, pero es la primera vez que se identifica uno que afecte las Macs. El instalador insta a la víctima a entrar su número de teléfono móvil para enviarle un código de activación de la supuesta aplicación, lo que a su vez activa una cuota de subscripción en la cuenta del servicio celular del usuario que se le cobrará cada mes. El instalador quizá ni siquiera instale la aplicación que el usuario espera recibir, pero habrá logrado su objetivo de engañar la víctima. Una forma de disminuir la probabilidad de  caer en este tipo de trampa es asegurarse de tener activada la opción de Mac App Store and Identified Developers en la configuración de Security and Privacy. Este tipo de ataques depende del permiso que otorgue el usuario para que se instale, por lo tanto utiliza la prudencia y el sentido común antes de descargar una aplicación para tu Mac.

Fuente: iphonehacks

 

Share

¿Es su PIN seguro?

El número de PIN es el método utilizado en las ATM y para las transacciones que se realizan con tarjetas de débito. Por tal razón, al momento de emitir una tarjeta de débito, los bancos le recomiendan al cliente no utilizar como número de PIN cosas como:  La fecha de nacimiento, dígitos que pertenezcan al seguro social del cliente, números de cuentas de banco, etc. Sin embargo, personas temerosos de que se les pueda olvidar el número o por simple pereza, insisten en utilizar números que puede ser descubiertos usando simple lógica o llegan al extremo de utilizar como PIN números como “1234” ó  “0000”. La gente de BackGroundCheck publicaron esta infografía donde analizan la mecánica del PIN, estadísticas de su uso que dan lástima o hasta risa y recomendaciones para asegurar nuestro PIN. Otra vez se pone de manifiesto que el eslabón más débil en la cadena de la seguridad sigue siendo el usuario.

Fuentes: BackGroundCheck, MakeUseOf

 

 

Share

Descubren malware multi-plataforma que afecta OS X y Linux.

La empresa de anti-virus rusa Doctor Web informó del descubrimiento del que se considera el primer malware tipo backdoor multi-plataforma, diseñado para afectar los sistemas operativos OS X y Linux. Se trata de Backdoor.Wirenet.1, diseñado para robar contraseñas entradas en los navegadores Opera, Firefox, Chroem y Cromium, así como por las aplicaciones Thunderbird, SeaMonkey y  Pidgin.  Al ejecutarse, el malware crea una copia del directorio home del usuario y para interactuar con un servidor de comandos localizado en la dirección 212.7.208.65, Backdoor.Wirenet.1 utiliza el algoritmo de cifrado AES. En este momento los especialistas se encuentran investigando el malware.

Fuente: The Hacker News

Share

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 53 seguidores