Publicaciones de la categoría: Malware

5 millones de contraseñas son reveladas.

De acuerdo a varios sitios de noticias en Internet, unos 5 millones de nombres de cuentas de usuario de Gmail y la misma cantidad de contraseñas fueron divulgadas en un foro ruso de Bitcoins. Al principio se pensaba que las contraseñas correspondían a las cuentas de Gmail publicadas, pero posterior investigación reveló que las contraseñas parecen provenir de otras cuentas donde los usuarios se inscribieron utilizando su correo electrónico de Gmail. Según expertos muchas de las contraseñas son viejas y no funcionan y  los datos provienen de actividades de “phishing” en diferentes páginas web donde se utilizó la cuenta de Gmail para suscribirse.  Google por su parte, ha indicado que sus servidores no han sido víctima de intrusiones. Las recomendaciones siguen siendo las de siempre:  Utilizar una contraseña fuerte, no usar la misma para varias cuentas, usar la autenticación de dos factores donde esté disponible y, por si las moscas, cambiar la contraseña de la cuenta de Google. Para verificar si tu cuenta de Gmail está entre las filtradas, puedes visitar este link: IsLeak Tool.

Fuente: Lifehacker

Cientos de fotos comprometedoras de celebridades al descubierto.

El pasado domingo cientos de fotos al desnudo de varias celebridades fueron expuestas en Internet en lo que aparenta ser un acceso no autorizado al servicio iCloud de Apple. En lo que debe ser el acceso más grande a fotos privadas de celebridades,  un hacker que se hace llamar Tristan, publicó en el sito de fotos en línea 4Chan unas 423 fotos de por lo menos 100 conocidas celebridades. Algunas de estas, como la conocida Jennifer Lawrence (Hunger Games y X-Men) y Elizabeth Winstead (Final Destination 3) han admitido que las fotos son auténticas y, como era de esperase, se encuentran sumamente molestas por esta violación a su privacidad. El FBI ya está investigando el caso de lo que se cree pudo haber sido un acceso ilegal al servicio iCloud de Apple, sitio que cuenta con un fuerte cifrado, pero, como todo sitio web, pudiera ser accedido mediante ingeniería social o un ataque de fuerza bruta. En el caso de un ataque de fuerza bruta, lo que se teoriza pudo haber sido utilizado en este caso, se utiliza un script para tratar de adivinar la contraseña (password guessing). Usualmente es efectivo cuando hay presencia de contraseñas débiles, cuyo uso lamentablemente es algo bastante común. De hecho, un hacker publicó en el sitio GitHub un scritp codificado en Python llamado iBrute, diseñado específicamente para ataques de fuerza bruta dirigidos a iCloud; no hay evidencia de que este haya sido utilizado en el caso reseñado, pero al parecer existía una vulnerabilidad en la aplicación Find My Phone que permitiría el uso efectivo de iBrute. Se supone que cuando se intenta acceder una cuenta sin éxito en varias ocasiones, la cuenta queda bloqueada y se le pide al usuario crear una nueva contraseña, algo que aparentemente no ocurría en Find My Phone.  Apple de inmediato corrigió la falla y en estos momentos el acceso a la aplicación queda bloqueado después de 5 intentos fallidos.  Algunos expertos plantean la teoría de que el acceso pudo haberse estado llevando a cabo por un periodo extenso de tiempo ya que las fotos tienen fechas que van desde diciembre del 2011 hasta agosto de 2014. Apple declaró se encuentra investigando el caso.

Fuentes: The Hacker News, iPhone Hacks

Las ocho grietas de seguridad más grandes en la historia.

Los accesos no autorizados a sistemas son cada día más comunes, convirtiéndose en un serio dolor de cabeza para la banca, empresas privadas, instituciones educativas  y gobiernos, así como para el usuario de servicios en línea. Sin embargo, hay ocho sucesos que se destacan por haber sido las intrusiones más grandes en términos de información robada y pérdidas generadas. La página WhoIsHostingThis ha resumido en una infografía estos ocho eventos que hicieron historia y a la vez dieron la alarma de que un acceso ilegal puede ocurrir a cualquiera, en cualquier momento y con consecuencias devastadoras.

Fuente: WhoIsHostingThis

Cuidado con el nuevo “ramsomware”: Cryptowall.

Del creador de CryptoDefense y Cryptolocker, llega Cryptowall, una variante de Cryptolocker que corrige un detalle que se le había escapado a su autor. En Cryptolocker las llaves para decriptar los archivos secuestrados eran guardadas en una carpeta en la computadora de la víctima donde podían ser recuperadas.; con Cryptowall los archivos infectados son imposibles de descifrar. El programa malicioso se instala en la computadora de la víctima a través de anuncios en sitios conocidos como: Facebook, Disney y el periódico The Guardian. Basta con que la víctima pulse sobre el anuncio para ser dirigido a un dominio donde  el programa malicioso se descargará e infectará la computadora. Investigadores de la empresa Cisco descubrieron  el uso de RIF Exploit Kits, programas que detectan versiones vulnerables de Internet Explorer, Java, Flash y Silverlight. Una vez instalado, Cryptowall escanea la computadora de la víctima, procede a encriptar los archivos del disco duro y coloca en cada archivo una carpeta con instrucciones de cómo enviar un pago de $500 dólares para recibir la cave que descifrará los archivos secuestrados. El servicio de pago es uno oculto con dominio .onion. Hasta el momento la mayor cantidad de víctimas están en los EU, con un 42% de las infecciones.

Fuente: The Hacker News

Avast y Spotify, víctimas de intrusiones en sus respectivos servidores.

En estos días se han varias intrusiones a diferentes sitios en Internet. Las víctimas más recientes son el servicios de streaming Spotify e, irónicamente, el antivirus Avast. Oskar Stäl, CTO se Spotify, anunció que se detectó una intrusión no autorizada a la red y datos de su empresa. Hasta el momento solamente se había identificado un usuario cuyos datos había sido accedidos, sin afectar su información personal ni financiera. La falla que permitió el acceso parece afectar solamente la versión de Spotify para Android y ya se está enviando a los usuarios una actualización así como el aviso de remoción de versiones anteriores. Ojo que al actualizar se borrará la música que tengas seleccionada para escuchar offline. En cuanto a Avast, los atacantes pudieron  acceder a nombres de usuario, contraseñas  y direcciones de correo electrónico de unos 400,000 usuarios. Información de tarjetas de crédito e información personal no parece haber sido afectada. Se le recomienda a usuarios de ambos servicios estar pendientes a correos electrónicos de phishing y, como siempre, cambiar la contraseña.

Fuente: Arstechnica

¿Qué es Blackshades?

Esta semana se ha estado reseñado la intervención y arresto por parte del FBI de personas sospechosas de cometer delitos cibernéticos utilizando una herramienta llamada Blackshades (W32.Shaderat). Blackshades es lo que se conoce como un RAT (Remote Access Tool), una aplicación tipo troyano que permite controlar computadoras remotamente. Esta herramienta era vendida por unos $40 ó $50 dólares en una página que recientemente fue cerrada por el FBI a hackers de todo nivel, desde aprendices hasta expertos. Lo interesante es que por ese precio se obtenía una aplicación fácil de usar y al mismo tiempo versátil que permitía al usuario tomar control de otras computadoras con la posibilidad de poder robar datos, contraseñas, navegar por los archivos, tomar capturas de pantalla y vídeos, así como interactuar con aplicaciones de mensajería instantánea y redes sociales de la víctima. Ideada originalmente como una aplicación para que los padres pudieran monitorear las actividades computacionales de sus hijos, Blackshades se convirtió en una poderosa arma para robar y extorsionar a sus víctimas. Symantec ha identificado varias versiones del malware: W32.Shadesrat, W32.Shadesrat.B y W32.Shadesrat.C y provee una herramienta gratuita para removerlo llamada Norton Power Eraser. Precaución: Aunque la página web donde se vendía Blackshades fue cerrada por el FBI, se sospecha que copias de éste, así como su código fuente, continúen presentes en el Internet.

Fuente: Symantec

Alerta: Ransomware dirigido a Android.

El ransomeware no es algo nuevo. Hace unos meses se reseñó en varias páginas de seguridad el caso de Cryptolocker, un malware que encripta el disco duro de forma que para acceder al mismo se necesita una contraseña. La única forma de obtener dicha contraseña es pagando una suma de dinero que puede alcanzar los cientos de dólares. Hasta ahora Cryptolocker  era un problema exclusivo de las PC, pero resulta que se ha aparecido una versión para el sistema operativo Android, con el mismo desagradable propósito. En esta ocasión, el malware se instala al navegar por páginas de contenido pornográfico. Una vez infectado el teléfono, éste quedará bloqueado y se le anunciará al usuario en la pantalla que ha violado leyes relacionadas a la posesión de material cuestionable, como pornografía infantil y zoofilia, y que por tal razón ha sido bloqueado. Para desbloquearlo se exige el pago de una “multa” de $200 dólares, acompañada la exigencia de que incumplir con la multa conllevaría a un arresto. ¿Qué hacer para prevenir ser víctimas? Para empezar, no visitar páginas de contenido cuestionable, sospechoso o dudoso. De caer víctima del ramsomware, acceder al recovery del móvil y proceder con un reset que borrará todo el contenido (aplicaciones, contactos y datos) e incluirá la eliminación del malware.

 

Fuente: Androidsis

Heartbleed Bug: Momento de cambiar contraseñas

En días recientes se ha reportado la noticia del hallazgo de una seria vulnerabilidad que afecta páginas web que utilizan cifrado SSL, a la que se la ha llamado Heartbleed Bug. El hallazgo fue hecho por un miembro del equipo de seguridad de Google y una firma de seguridad llamada Codenomicon. La vulnerabilidad afecta servidores que utilizan software de Apache y Nginx con el potencial peligro de que información personal de usuarios entrada a páginas web, correos electrónicos o aplicaciones, pueda ser divulgada. Esta vulnerabilidad permite a un atacante burlar el cifrado SSL y capturar contraseñas, así como falsificar la autenticación. A pesar de que se publicó un parcho se seguridad para corregir el problema, se está advirtiendo de la posibilidad de que la vulnerabilidad haya sido descubierta por delincuentes antes de la publicación de la medida correctiva. Las recomendaciones para protegerse son las siguientes:

  • Estar atento a los anuncios oficiales de servicios o páginas web que utilices donde notifiquen la aplicación del parcho correctivo.
  • Cambiar la contraseña en cada una de esas páginas una vez sus administradores hayan corregido la vulnerabilidad. Algunos sitios para los que se recomienda cambiar la contraseña son: Google, Facebook, GoDaddy y Yahoo!, entre otros
  • Estar atentos a cualquier actividad sospechosa en alguna de tus cuentas.

Aquí varios enlaces de utilidad:

Heartbleed Checker-Verifica aquí si una página en particular es vulnerable

Lista de lugares cuyas contraseñas es recomendable cambiar.

Fuente: Mashable

 

Llegó el día: Adiós Windows XP.

Llegó el día, hoy finalizan las actualizaciones y parchos de seguridad para Windows XP. Las últimas actualizaciones que estarán disponibles hoy resuelven vulnerabilidades de Internet Explorer 6, 7 y 8 que permitirían a un atacante ejecutar código de forma remota a la PC. Sin embargo esto no significa que dejaremos de ver a XP; todavía hay muchas empresas y usuarios que no han hecho la migración a una versión actualizada (se estiman en un 30%) que eventualmente tendrán que hacerlo si no quieren exponerse a potenciales intrusiones o ser víctimas de malware. Un detalle importante a considerar es que, de todos los sistemas operativos de Microsoft que están activos, Windows XP es el blanco preferido de los ciber-criminales. Si conoces alguien que insiste en continuar usando Windows XP, comparte estas advertencias de rigor y si no tiene posibilidad de actualizar a otra versión de Windows, está la alternativa de utilizar alguna distribución de Linux, que es gratuito.

Fuente:  SeguInfo, Make Use Of

 

¿Quién o qué domina el tráfico del Internet?

La mayor parte del tráfico que circula por el Internet no es de origen humanos, sino de los programas, en particular los bots. Estos programas constantemente patrullan las páginas cibernéticas para recopilar y organizar información de forma que para nosotros sea más fácil encontrarla. Según el infograma que se muestra a continuación, el 61.5% del tráfico del web es dominado por programas y solamente un 38.5% es humano. Pero ojo, en ese 61.5% están incluidos bots cuyo propósito es robar información personal, diseminar malware o capturar “adeptos” para formar parte de algún botnet, redes con propósitos nebulosos formadas por computadoras comprometidas alrededor del mundo. Resulta por demás interesante ver las cuatro categorías de bots maliciosos  mencionados en el infograma, destacando las que, seguramente son las más conocidas: Spammers y herramientas de hack.

Fuente: Links DV, Punto Geek