Press "Enter" to skip to content

Noticias de Ciberseguridad Posts

16 de Enero de 2019

Riesgos críticos en la Red: Shodan y otros inventos

El artículo se centra principalmente en Shodan, un buscador que indexa contenidos en los puertos 21 (FTP), 22 (SSH), 23 (Telnet), 25 (SMTP), 80, 443, 3389 (RDP) y 5900 (VNC).

Shodan puede localizar cualquier dispositivo, vía, router, firewall, sistema de circuito cerrado, sistema de control industrial, redes eléctricas y bastante más.

BackSwap, el malware bancario, llega a España

Los troyanos bancarios no son un malware muy frecuente en España, sin embargo, Checkpoint acaba de alertar la llegada de BackSwap al país.

BackSwap roba dinero al inyectar código a la memoria del navegador e intercepta funciones de comunicación del navegador y cualquier información bancaria privada.

1 Comment

15 de Enero de 2019

Tendencias en ciberseguridad que veremos en 2019

En 2018 hemos visto cómo aumentó la ciberdelincuencia en todo el mundo y estrategias más efectivas de empresas contra peligros de distintas proporciones.

Este artículo resume las tendencias para no ser víctimas de los ataques de quinta generación.

Podéis participar en el Bug Bounty aquí

La Comisión Europea financiará un programa de recompensa de vulnerabilidades para varios proyectos de código abierto utilizados en instituciones y administraciones de los estados miembros de la Unión Europea.

En concreto la lista de programas es la siguiente:

7-zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, Filezilla, FLUX TL, la GNU C Library (glibc), KeePass, Notepad++, PuTTY, PHP Symfony, VLC Media Player y WSO2. A partir de marzo se unirá otra, midPoint.

Leave a Comment

11 de Enero de 2019

Problema de privacidad con las cámaras de seguridad Ring de Amazon

Ring ha proporcionado acceso a algunos de sus empleados a las retransmisiones en vivo que graban algunas cámaras, vigilando no sólo a intrusos, si no, también a sus dueños.

Ring proporcionó acceso ilimitado a su equipo de investigación y desarrollo a la carpeta del servicio de mantenimiento en la nube S3 de Amazon con todos los vídeos creados por las cámaras de vigilancia.

Enchufes inteligentes: ¿Una ventana para hackers?

Los enchufes inteligentes se pueden controlar desde asistentes de voz como Alexa, Movistar Home o Google Home, siendo imprescindible que estén conectados a otros dispositivos.

No todos estos enchufes son seguros y tenemos que asegurarnos previamente de sus funcionalidades. Un enchufe inteligente es un aparato más conectado al Wi-Fi, vulnerandolo consigue sentrar en la red de la casa.

Atacar a varias redes de hospitales con un DDoS le lleva a este hacktivista a pasar unos 10 años en prisión

Un simple ataque DDoS puede dejarte unos 10 años en la cárcel o incluso más

Un hombre de Massachusetts ha sido sentenciado a 10 años de prisión por lanzar ataques DDoS contra la red de varias empresas del sector sanitario en 2014 para protestar por el trato dado a un adolescente en sus centros.

Además de pasar 121 meses en prisión, Martin Gottesfeld, de 34 años de edad, también fue sentenciado por el juez del distrito Nathaniel Gorton, a pagar cerca de 443 mil dólares por los daños causados a las instituciones objetivo de sus ataques.

Gottesfeld llevo a cabo los ataques DDoS por parte del colectivo Anonymous contra el Boston Children Hospital y Wayside Youth & Family Support Network-una organización sin ánimo de lucro que provee de tratamiento hospitalario en casa de enfermedades mentales en niños, adultos, jóvenes y familias en Massachusetts.

En abril de 2014, el cracker usó una botnet de más de 40 mil routers que infectó con un malware prediseñado para llevar a cabo los ataques DDoS que no solo lograron dejar fuera de internet al BCH, si no a otros hospitales del área médica de Longwood, causando daños colaterales.

Los ataques DDoS dejaron incapacitada la red de Wayside Youth and Family Support Network por más de una semana, causando a la entidad un coste de unos 18 mil dólares en esfuerzos para mitigar el ataque.

Sin embargo, los ataques al BCH fueron terribles, los cuales interrumpieron el servicio en la red de BCH por al menos dos semanas, dejando incapacitadas las operaciones rutinarias del hospital y sus facultades de investigación, las cuales costaron al hospital un total de más de 600 mil dólares en daños.

Gottesfeld está bajo custodia desde febrero del 2016, cuando fue arrestado en Miami después de que su mujer y él, intentaran dejar Massachusetts en un pequeño barco, el cual fue rescatado después de que se averiara cerca de la costa de Cuba por un crucero de Disney cercano.

Gottesfeld entró en prisión en agosto del año pasado cuando un juez federal lo condenó culpable de dos delitos, incluyendo conspirar para dañar intencionadamente ordenadores protegidos y conspirar para dañar ordenadores protegidos.

Gottesfeld se representó a sí mismo en la vista oral del martes en el juzgado del distrito en Boston y dijo que planeaba recurrir pero que no sentía remordimiento alguno.

Gottesfeld testificó que él había llevado a cabo los ataques para protestar por el trato abusivo de la paciente adolescente Justina Pelletier, la cual era la razón de una batalla legal por su custodia entre sus padres y la Commonwealth de Massachussets.

BCH y los padres de la chica tuvieron una discusión sobre el diagnostico de su hija y un juez le dio la custodia de la misma al estado de Massachussets. Despúes de su diagnóstico, Pelletier fue luego transladada al Wayside Youth & Family Support Network y 16 meses después, fue devuelta a sus padres por orden judicial.

Leave a Comment

10 de Enero de 2019

Actualización de seguridad de SAP

SAP ha publicado varias actualizaciones de seguridad de distintos productos en su comunicado mensual.

Dentro del enlace tenemos la lista de ellos. Recomendamos actualizar todos los programas inmediatamente.

Hackeado el sistema de emergencias de Australia para enviar posible phising

Algunos ciudadanos australianos recibieron un mensaje vía email y SMS con un enlace sospechoso por parte del servicio de emergencias del gobierno (EWN).

A pesar de que en el mensaje diga que la información de los ciudadanos ha sido expuesta, la institución ha negado esto.

Leave a Comment

9 de Enero de 2019

Google elimina 85 aplicaciones Adware que han logrado infectar en total a 9 millones de usuarios de Android

Google ha eliminado recientemente de su Play Store 85 aplicaciones despues de encontrar que estaban realizando, de forma agresiva, adware a los usuarios de Android.

Con el auge en el sector del smartphone, el adware se ha convertido en una de las amenazas mas prevalentes del mundo. El adware ha sido usado de forma tradicional para enviar de forma agresiva anuncios como banners o pop-ups en dispositivos mobiles para generar dinero a sus desarrolladores.

Las 85 apps ahora eliminadas de la Google Play Store se hacian pasar por juegos, television en streaming y simuladores de mandos de television, que colectivamente han sido instaladas por nueve millones de usuarios en todo el mundo.

Investigadores de Trend Micro descubrieron estas apps que poseian la habilidad de bombardear los dispositivos de los usuarios con anuncios a pantalla completa en intervalos de tiempo regulares o cuando los usuarios desbloqueaban su dispositivo monitorizando esta misma funcion.

Las apps podian mostrar anuncios incluso cuando no estabas navegando por internet. se escondian por si mismas y se ejecutaban en segundo plano en dispositivos infectados.

La aplicacion falsa mas popular fue Easy Universal TV Remote, que fue descargada nada mas ni nada menos que cinco millones de veces antes de que fuera eliminada, tenia una valoracion de cuatro estrellas de unos cien mil usuarios con reviews negativas.

Otras apps eran Police Chase Extreme City 3D Game, Prado Parking City 3D Game, Moto Racing, Parking Game, TV WORLD, SPORT TV, A/C Air Conditioner Remote, Garage Door Remote Control y muchas mas.

Los investigadores de Trend Micro probaron cada app y descubrieron que a pesar de que las apps venian de diferentes desarrolladores, muchas de ellas compartian codigo o se llamaban igual.

Los anuncions se mostraban sin control alguno, como en cada movimiento o toque, mostrando un banner que generaba dinero a su creador.

Incluso despues de unos segundos, la aplicacion desaparecia de la pantalla del usuario y escondia su icono en el menu del dispositivo, pero seguia ejecutandose en segundo plano. Asi, el adware pasaba a mostrar un anuncio a pantalla completa cada 15 o 30 minutos en el dispositivo.

Trend Micro reporto esto a Google, los cuales quitaron las aplicaciones despues de recibir el reporte. Los usuarios que ya han sido infectados, pueden eliminar el adware manualmente pero no es tan sencillo como parece.

Microsoft Patch Tuesday – Actualizaciones de seguridad de junio de 2019 ya disponibles

Microsoft ha lanzado ya su primer Patch Tuesday del nuevo año para parchear 49 vulnerabilidades listadas con identificador CVE en sus sistemas operativos Windows y otros productos, 7 de las cuales son criticas, 40 importantes y 2 moderadas en severidad.

Solo una de las vulnerabilidades parcheadas por el gigante tecnologico este mes ha sido reportado por ser conocida de forma publica en el momento del lanzamiento del parche, pero ninguna de ellas estaba siendo explotada.

Las siete vulnerabilidades criticas llevaban a una ejecucion de codigo remoto y afectaban de forma primaria a Windows 10 y Server.

Dos de las siete vulnerabilidades criticas afectan a Hyper-V que falla en validar de forma correcta la entrada de datos de un usuario autenticado en un sistema operativo invitado, tres afectaban al motor de scripting ChakraCore que falla al tratar objetos en memoria en el navegador Edge, una que afecta a Edge de forma directa que ocurre cuando el navegador no maneja de forma correcta objetos en memoria, y otra que afecta al cliente DHCP de Windows que falla al intentar interpretar ciertas respuestas de los servidores DHCP.

Otras vulnerabilidades importantes estan en .NET Framework, MS Exchange Server, Edge, Internet Explorer, SharePoint, la suite Office, Windows Data Sharing Service, Visual Studio, Outlook y el subsistema de Linux para Windows.

Tambien se ha parcheado una vulnerabilidad de bypass en el cliente de Skype para Android.

1 Comment

8 de Enero de 2019

Director de privacidad y director de seguridad de la información: ¿Deben fusionarse sus funciones?

Ante el inicio de GDPR, CCPA, las leyes de seguridad y ciberseguridad de China y las leyes de notificación de incumplimiento no sorprende ver la fusión de estos dos roles.

El artículo comenta la necesidad que los dos equipos estén estrechamente alineados aunque los roles no puedan ser combinados.

Resumen de normas ISO 2018

El artículo tiene como objetivo recoger algunas de las normas (estándares, correcciones o modificaciones) que fueron publicadas el año anterior.

Debemos entender que aunque una norma se publique, el trabajo continúa con nuevas normas relacionadas o investigaciones para siguientes ediciones.

Medidas de seguridad implementadas para cables de puertos USB tipo C

La norma USB C logró imponerse en la industria tecnológica ofreciendo más velocidad de transferencia de datos, soporte de vídeo y más capacidad de carga.

Aunque aporte todos estos beneficios, puede ser utilizado igualmente como herramienta maliciosa.

Leave a Comment

5 de Enero de 2019

Detectado un nuevo tipo de ransomware utilizado para infectar a servidores Linux a través de IPMI.

Este nuevo ransomware, que recibe el nombre de ‘JungleSec‘, fue detectado en Noviembre y esta diseñado para infectar servidores Linux con IPMI (Intelligent Platform Management Interface) no securizado.

IPMI es un conjunto de especificaciones de interfaces que proporcionan capacidades de administración y monitorización en un ordenador independientemente de la CPU, firmware y sistema operativo. Esta incluido en las placa base de los servidores, aunque también puede instalarse como una tarjeta adicional si no la incluye la placa base.

Una interfaz IPMI no configurada, puede dar acceso remoto al sistema a los atacantes, lo que les daría control total sobre el servidor.

Investigadores de BleepingComputer que detectaron este malware, afirman que descubrieron que los atacantes habían usado una interfaz IPMI para acceder a los servidores y posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba configurada con la contraseña por defecto. En otros casos, las víctimas afirman que el usuario ‘Admin’ de la interfaz estaba desactivado, por lo que se sospecha que los atacantes pudiesen acceder usando alguna vulnerabilidad en el sistema IPMI.

Los atacantes, una vez accedían al sistema a través de la interfaz IPMI, descargaban y compilaban ccrypt, que finalmente usaban para cifrar todos los ficheros del servidor. Una vez cifrados los archivos, los atacantes dejaban un fichero llamado ‘ENCRYPTED.md’ con las instrucciones para realizar el pago del rescate.

Exobot (aka Marcher), un troyano bancario para Android en alza

Este pasado mes muchos troyanos bancarios para Android han recibido atención por parte de los medios. Uno de estos, cuyo nombre es Exobot (aka Marcher), parece estar especialmente activo, ya que aparecen samples diferentes de forma diaria.

Esta variante del malware bancario parece ser técnicamente superior a las otras, ya que puede usar su ataque de Overlay incluso en Android 6, donde se tomaron medidas para evitar este tipo de ataques.

El vector inicial de infección es mediante phishing vía SMS/MMS. El mensaje incluye un link de descarga de una presunta actualización de una aplicación popular (Whatsapp, Netflix o Runtastic). Cuando se instala, esta pide permisos de superusuario y de envío de mensajes SMS.

Este malware usa dos métodos de ataque distintos. Uno de ellos se basa en comprometer la autenticación en dos factores mediante SMS de los distintos bancos afectados, reenviando este SMS al atacante.

La otra, se realiza mediante Overlay, y muestra un phishing cuando una aplicación objetivo se ejecuta en el Smartphone. La ventana de Overlay resulta indistinguible a veces de la pantalla de login a la aplicación bancaria legitima, y es usada para robar las credenciales de banca electrónica de los usuarios.

La lista de aplicaciones y bancos objetivos pueden actualizarse de forma dinámica desde su panel de control, el cual aumenta significativamente la adaptabilidad y escalabilidad de este ataque.

Los muchos cambios que vemos en las formas en las que los ataques se llevan a cabo nos muestran que los atacantes están experimentando de forma agresiva con ellos para encontrar la mejor forma de infectar un dispositivo y abusar de funcionalidades ya existentes en el sistema para realizar ataques de phishing de forma satisfactoria.

La próxima etapa en esto puede llevar al uso de exploit kits y malvertising, los cuales serían muy efectivos dado a las muchas vulnerabilidades que presenta Android y de las cuales, muchas de las personas llevan un dispositivo sin parchear. También, como añadido, puede que los futuros troyanos hagan uso de exploits de root para evitar que se puedan eliminar y dar a los atacantes la habilidad de usar APIs a bajo nivel que son usadas por todas las aplicaciones bancarias, como en los vectores de ataque que se han usado en los dispositivos de escritorio durante años.

Leave a Comment

4 de Enero de 2019

Activación remota vía GPRS

La red GPRS, Servicio General de Paquetes vía Radio, puede sernos útil para enviar órdenes remotas a actuado res mediante mensajes de texto o SMS.

Sabiendo esto, podemos ver que tiene múltiples aplicaciones, por ejemplo en activación de alarmas o domótica, control remoto de sistemas que no pueden conectarse a WiFi o por ocultación.

Python 3.7 ya disponible en la tienda de aplicaciones de Windows 10

El mes pasado, publicaron silenciosamente Python 3.7 en la tienda de Microsoft para dispositivos con Windows 10.

Python 3.7 es un instalador simple para ejecutar paquetes y scripts. Hay que tener en cuenta que no trae el instalador completo con todos los componentes y que todas las características no son estables en este lanzamiento.

Los desarrolladores afirman que dentro de poco tendrán una versión con todo próximamente en la tienda. De momento, podemos bajarnos el software con la garantía de que no corrompe otros programas.

Con esto, podemos usar herramientas de desarrollo como IDLE, teniendo teniendo también comandos para ejecutar Python y sus herramientas además de su propia Shell.

Mapa de Ciberguerra

Este mapa es una guía visual de los participantes más prominentes y los eventos conflictivos entre estados, creado como parte del archivo de seguridad nacional del proyecto Cyber Vault.

El mapa está centrado principalmente en ciberataques promovidos por estados. Al hacer click sobre los elementos podremos ver enlaces y descripciones de documentos relevantes a la temática.

Los documentos irán actualizándose y añadiéndose diariamente, con lo cual nos debemos esperar una evolución constante del mapa.

Advertencia: Cada edición tendrá una nueva URL así que al marcar la página no veremos sus actualizaciones. Tendremos que acceder al recurso desde la página web de Cyber Vault Project.

Cyber Vault Project:
https://nsarchive.gwu.edu/news/cybervault/2018-06-06/cyberwar-map

Mapa actual (con el tiempo desactualizado):
https://embed.kumu.io/0b023bf1a971ba32510e86e8f1a38c38#apt-index

Leave a Comment

3 de Enero de 2019

Yandex: El mejor buscador de imágenes

Normalmente, para encontrar la procedencia de imágenes solemos utilizar Google Imágenes aunque Yandex es un buscador con mayor precisión.

Yandex es un gigante ruso que cuenta con un buscador muy parecido al de Google pero su buscador de imágenes sería lo interesante.

Crackers buscan Chromecasts, Google Home y televisiones Samsung para reproducir vídeos

Unos crackers están aprovechando Chromecasts, Google Home y televisiones Samsung expuestos para reproducir vídeos sin permiso y renombrarlos. Están escaneando Internet en sí para realizar esta broma.

En la página web puesta en el tuit está el total de dispositivos hackeados aunque actualmente, según la web, sólo está haciendo testing de dispositivos expuestos.

Aparentemente, es el mismo grupo que se dedicó hace un tiempo a imprimir spam del youtuber pewdiepie en impresoras aleatorias. Es importante aclarar que el propio youtuber no ha participado en los hackeos.

Hilo en inglés:
https://twitter.com/GossiTheDog/status/1080475266303041537

Número de Chromecasts conectados a Internet según shodan:
https://twitter.com/shodanhq/status/1080629939945254912

Leave a Comment