Etiqueta: ataque

La administración de Donald Trump suprime al coordinador en ciberseguridad

La Casa Blanca decidi√≥ eliminar el rol que ven√≠a desempe√Īando el hasta ahora coordinador de la ciberseguridad del Consejo de Seguridad Nacional del pa√≠s, en lo que algunos ciudadanos estadounidenses ven como un paso atr√°s en la lucha contra el cibercrimen. Las tareas que ven√≠a desempe√Īando el hasta ahora coordinador ser√°n asumidas por los otros dos directores principales del equipo cibern√©tico del NSC.

Rob Joyce, quien dejó su puesto el pasado viernes, era jefe de un grupo de hacking de la NSA (Tailored Access Operations) en marzo pasado. John Bolton, asesor de seguridad nacional de Trump, finalizó el papel con la partida de Joyce; una nota enviada a los empleados de NSC explicó que los motivos de la eliminación del cargo son las de simplificar la autoridad en el propio Consejo. Los otros directores tomarán el relevo.

El papel del ciber coordinador fue creado por primera vez por el presidente Obama en el a√Īo 2009. Ten√≠a la tarea de coordinar la pol√≠tica nacional de seguridad cibern√©tica en todos los lugares del pa√≠s desempe√Īando una labor de unificaci√≥n de las fuerzas y cuerpos de acci√≥n. En un momento en el que la ciberseguridad est√° aumentando su importancia y las ciberamenazas son claras para los gobiernos y para sus infraestructuras cr√≠ticas, parece una decisi√≥n extra√Īa “simplificar” en lugar de reforzar la labor relacionada con la ciberseguridad.

Durante el mandato del nuevo presidente Trump, la administraci√≥n ha hecho mucho ruido acerca de tomar en serio la ciberseguridad, como es el hecho de elevar el Comando Cibern√©tico Militar y darle m√°s independencia. Esto agrega nuevos roles, en lugar de restarlos. Es por ello que extra√Īa el movimiento ahora anunciado. Algunos expertos apuntan a que podr√≠a tratarse de un plan m√°s amplio que resultar√≠a por ofrecer nuevas capacidades de toma de decisiones y un √≥rgano mejorado en pol√≠tica cibern√©tica.

Bad Rabbit, el ransomware que ya se volvió un problema global

Compa√Ī√≠as especializadas en ciberseguridad, como Kaspersky Labs, ESET o Proofpoint, han identificado el ransomware Bad Rabbit, que se propaga a trav√©s de una¬†actualizaci√≥n falsa de Adobe Flash.

Este ataque se comporta de la misma forma que lo hicieron Petya o WannaCry. Se despliega una pantalla en forma de mensaje que advierte al usuario de que su computadora ha sido infectada, solicitándole un monto que inicia en 285 dólares, representados en bitcoins, para que el equipo cifrado pueda ser recuperado. El usuario tendrá en la pantalla una cuenta regresiva, haciéndole saber que, una vez transcurrido ese período, el precio del rescate se incrementará.

Interfax, un medio de comunicación de origen ruso, fue el primero en anunciar el descubrimiento de esta nueva amenaza ransomware, al ser ellos uno de sus primeras víctimas y comunicar que sus servidores estaban offline debido a un ciberataque.

La agencia de noticias utilizaba Facebook para emitir el comunicado mientras trataba de recuperarse del golpe. A su vez, otra firma de seguridad rusa, conocida como Group-IB, publicaba una captura de pantalla del nuevo ransomware al que ya se le conoce como Bad Rabbit.

Desde su descubrimiento, más de 200 organizaciones han sido afectadas entre las que se encuentran el aeropuerto Odessa de Ucrania, el ministerio de infraestructuras de Ucrania, o el metro de Kiev.

Todo lo que sabemos hasta ahora de BadRabbit

La nueva modalidad de ransomware se está extendiendo por todo el mundo, siendo Europa el continente más afectado hasta ahora más de 200 grandes organizaciones en la región, principalmente con sede en Rusia, Ucrania, Turquía y Alemania.

Big Rabbit afecta principalmente a las redes corporativas y exige como rescate la cifra de 285 dólares en moneda bitcoin para proceder con el desbloqueo de los sistemas afectados.

ESET destacó que el malware Bad Rabbit podría ser una variante de Petya, también conocida como Petrwrap, NotPetya, exPetr y GoldenEye, debido a que aparece como Win32 / Diskcoder.D.

Se vale de DiskCryptor, un software de código abierto para el cifrado de unidades completas, para cifrar los archivos mediante claves RSA 2048. Se cree que la nueva oleada de ataques de ransomware no está utilizando el exploit EternalBlue, la vulnerabilidad SMB filtrada que fue utilizada por los ransomware WannaCry y Petya para propagarse a través de las redes.

Bad Rabbit escanea la red interna de la organización en busca de recursos compartidos SMB abiertos.

Posteriormente prueba una lista codificada de credenciales utilizadas com√ļnmente para descartar el malware y utiliza una herramienta adicional para extraer las credenciales de los sistemas afectados.

Los investigadores todavía están analizando Bad Rabbit para comprobar si hay una forma de descifrar los equipos sin pagar el rescate exigido.

SophosLab alerta de que las versiones de antivirus detectarán esta variación como Troj / Ransom-ERK. Sophos Sandstorm ha detectado de forma proactiva esta amenaza a través de su programa de detección de machine learning, así como de Sophos Intercept X que ha bloqueado esta amenaza haciendo uso de la tecnología de Sophos CryptoGuard. Las soluciones de protección web de Sophos afirman también bloquean las páginas web que puedan albergarlo.

 

IDG.es

Hackers roban información de tarjetas de crédito en sitio web de Pizza Hut

Pizza Hut ha sufrido un ciberataque en su sitios web de Estados Unidos que ha dejado al descubierto datos de tarjetas de crédito de sus clientes.

El acceso no autorizado al sitio se produjo durante el pasado 1 y 2 de octubre; fueron un total de 28 las horas. Así, tal y como informa Security Week, los usuarios afectados son aquellos que accedieron a la web en este período de tiempo.

La compa√Ī√≠a ha dicho que la brecha fue descubierta y arreglada en seguida y cree que el impacto del ataque es muy peque√Īo. No obstante, un diario de Kentuky dice que ha afectado a los datos bancarios de 600,000 usuarios.

Los datos que se han expuesto son, seg√ļn Pizza Hut, las direcciones, los c√≥digos postales, los nombres, direcciones de correo electr√≥nico y datos de pago (incluyendo n√ļmero de tarjeta, fecha de expiraci√≥n y c√≥digo CVV).

No es la √ļnica noticia de este corte que est√° llenando los titulares de los medios de comunicaci√≥n especializados en las √ļltimas semanas.

Hace apenas unos d√≠as la cadena hotelera Hyatt anunci√≥ que hab√≠a sufrido un ciberataque a su sistema de pagos que puso al descubierto los datos bancarios de los clientes que hab√≠an hecho uso de los servicios de la compa√Ī√≠a entre el 18 de marzo y el 2 de julio de 2017.

Ya en septiembre Equifax desveló haber sido víctima de un ciberataque masivo que, aprovechando una vulnerabilidad en la aplicación, robó los datos de más de 145 millones de usuarios.

Redacción

 

HBO confirma haber sufrido un ciberataque

El canal de televisión HBO fue víctima de un ciberataque en el que se vieron afectados unos 1.5 terabytes de datos que fueron robados, y en los que había información relativa a guiones y episodios inéditos de sus series más populares, además de información personal, legal y financiera de la Vicepresidenta Ejecutiva de Asuntos Jurídicos de HBO, así como las credenciales de acceso a sus redes sociales y otros servicios online.

HBO, a través de un comunicado, indicó que ya se está llevando a cabo una investigación y que trabajan tanto con la policía como con empresas de ciberseguridad.

“La protecci√≥n de datos es una prioridad en HBO y tomamos muy seriamente nuestra responsabilidad para proteger la informaci√≥n que poseemos”.¬†Tanto el FBI, como la empresa de seguridad Mandiant y HBO trabajan juntos en la investigaci√≥n del incidente.

Seg√ļn afirma el sitio web¬†HackRead, como consecuencia de este ataque los hackers responsables del ataque han creado una web llamada¬†WinterLeak¬†donde han alojado toda la informaci√≥n sustra√≠da permitiendo as√≠ que cualquiera pueda descargarla.

Seg√ļn Entertainment Weekly¬†los episodios filtrados pertenecen a las series Ballers y Room 104, adem√°s de material que supuestamente corresponde al cuarto episodio de la s√©ptima temporada de¬†Game Of Thrones.

Este ataque se suma a los sufridos por plataformas como¬†Netflix¬†en abril, cuando se filtraron episodios de ‘Orange is the New Black’, o¬†Disney, cuando en mayo un hacker asegur√≥ haber robado la nueva entrega de Piratas del Caribe de Disney, aunque la compa√Ī√≠a asegur√≥ que se trat√≥ de una farsa. El mayor hackeo en este √°mbito lo sufri√≥¬†Sony¬†en 2014.

 

IDG.es

Diez medidas para evitar ataques disruptivos

FireEye informó que desde 2013, el grupo FIN10 tenía como principal objetivo extorsionar financieramente casinos y organizaciones de minería en América del Norte, siendo Canadá el principal foco. De acuerdo con los investigadores de FireEye, estas operaciones de intrusión pretenden el robo de datos corporativos, archivos, registros, correspondencia y claves de seguridad. En algunos casos ha solicitado el rescate en Bitcoins por un equivalente desde alrededor de $125,000 y hasta $600,000 dólares.

Responder a los incidentes como los observados del FIN10, es un reto para las empresas de todo el mundo, ya que no se puede prever cu√°l ser√° el plano de contenci√≥n para detener a este atacante, ya que no se sabe cu√°l es la motivaci√≥n o el da√Īo ya causado por √©l. Para ayudar a las organizaciones con estos incidentes, FireEye dio a conocer diez lecciones aprendidas a partir de la observaci√≥n del FIN10:

 

1. Aseg√ļrese de que exista una brecha: Aseg√ļrese del que el sistema fue realmente hackeado. Las tentativas de extorsi√≥n son comunes, por eso, examine el ambiente antes de considerar el pago de rescate. El FIN10, por ejemplo, acostumbra proporcionar datos como prueba de que hubo una invasi√≥n y ayuda a determinar que sean suyos.

 

2. Su adversario es un humano: Recuerde que los seres humanos son imprevisibles y pueden actuar con emociones. Considere, con cuidado, cómo un atacante puede reaccionar sobre su acción o inacción (puede ser más agresivo en caso de que se sienta amenazado) o puede conceder más tiempo si cree en usted.

 

3. El tiempo es crítico: Es preciso validar la violación rápidamente, lo que exigirá esfuerzo de todo el equipo, incluyendo periodos fuera del horario normal, como noches o fines de semana, lo cual puede generar cansancio y fatiga. Además de la aprobación de cambios de emergencia en cortos periodos de tiempo.

 

4. Permanezca enfocado: Las distracciones est√°n latentes y usted est√° contra reloj. Por eso eval√ļe las tareas que ayuden a mitigar, detectar y responder para contener un ataque. Conc√©ntrese no en lo que deba tener (los llamados ‚Äúmust-have‚ÄĚ) sino a la inversa, en lo que ser√≠a bueno tener (los ‚Äúnice-to-have‚ÄĚ) y considere la implementaci√≥n de soluciones temporales para detener esta invasi√≥n.

 

5. Eval√ļe a los atacantes cuidadosamente: Un ciberatacante no espera respuestas, as√≠ que considere sus respuestas, limite sus interacciones y sea cauteloso con sus palabras. Tenga un apoyo jur√≠dico en todas sus comunicaciones.

 

6. Involucre a especialistas antes de la violaci√≥n: Ser√°n necesarios especialistas de tres √°reas a priori: forense, jur√≠dico y relaciones p√ļblicas, al obtener confirmaci√≥n de una violaci√≥n disruptiva. Por eso es importante ya tenerlos y mantenerlos sobre aviso.

 

7. Considere todas las opciones cuando el rescate sea pedido: Sea consciente de que el pago de rescate no garantiza que su atacante le devolverá todos los datos robados, de ahí la importancia de incluir especialistas para evaluación de escenarios y toma de decisiones.

 

8. Asegure la segmentaci√≥n y controle sus respaldos: La mayor parte de las empresas no cuenta con pol√≠ticas cautelosas de respaldos, para recuperarlos r√°pidamente en caso de una falla del sistema. Por lo tanto, es com√ļn que el respaldo est√© en el mismo ambiente invadido y comprometido por el atacante. De esa forma se tendr√° el riesgo de la destrucci√≥n de los mismos.

 

9. Despu√©s del incidente enf√≥quese en mejoras de seguridad: Sea cual sea el resultado, debe garantizar que los atacantes no regresen y da√Īen m√°s su ambiente. Usted no querr√° que un segundo invasor lo visite porque est√° dispuesto a pagar un rescate. Aseg√ļrese que ha entendido c√≥mo funciona una extensi√≥n de brechas de seguridad e implemente t√°cticas y acciones estrat√©gicas para prevenir accesos de futuros atacantes.

 

10. Si usted piensa que est√°n fuera, pueden volver de una manera diferente: No olvide el funcionamiento y la mejora del tiempo de implementaci√≥n de soluciones inmediatamente despu√©s de contener el ataque. Garantice pruebas de conducta del ‚Äúred team‚ÄĚ con evaluaciones para validar los controles de seguridad e identificaci√≥n de vulnerabilidades, con el fin de arreglarlos r√°pidamente.

 

N. de P.

Un 50% de los correos que reciben las grandes empresas son maliciosos

Las empresas multinacionales reciben millones de correos electr√≥nicos al d√≠a, pero en el √ļltimo a√Īo se ha observado una mayor incidencia de email basura o malware, al grado que ya representan alrededor del 50% del total, al menos as√≠ lo advirti√≥ Alejandro Canela, CIO de Siemens M√©xico y Centroam√©rica.

El ejecutivo Siemens precis√≥ que, ante los √ļltimos ciberataques a nivel mundial, las medidas de seguridad se han vuelto una prioridad para todo tipo de empresas.

‚ÄúM√©xico es el segundo pa√≠s con mayor cantidad de ataques cibern√©ticos en Am√©rica Latina, lo que representa un punto de inflexi√≥n sobre la necesidad de que las empresas cuenten con sistemas de protecci√≥n de red robustas, y mayores inversiones en ciberseguridad‚ÄĚ.

Canela detall√≥ que Siemens cuenta con centros de defensa dedicados al monitoreo y reacci√≥n ante incidentes, procesos para la administraci√≥n de vulnerabilidades y actualizaci√≥n de software y aislamiento de la informaci√≥n cr√≠tica de la compa√Ī√≠a.

No obstante, sostuvo que la inversi√≥n en infraestructura y sistemas de protecci√≥n resulta in√ļtil, si no se tiene una cultura de seguridad en la compa√Ī√≠a. ‚ÄúEs importante invertir tambi√©n en entrenamiento y comunicaci√≥n para que todos los colaboradores integren en su d√≠a a d√≠a una cultura de seguridad‚ÄĚ.

Es necesario que los colaboradores de una empresa tomen conciencia antes de abrir un correo sospechoso, insertar una memoria externa, descargar un archivo, visitar una página o incluso intercambiar información informalmente con personas.

Por su parte, Nicolás Rodríguez Guevara, Information Security Officer para México y Centroamérica, explicó que es importante hacer énfasis en entrenar al personal sobre las posibilidades de un robo de identidad o de información financiera a través de su correo electrónico.

Se√Īal√≥ que tambi√©n es importante solicitar que los proveedores o socios de negocio tengan sistemas de seguridad robustos, porque forman parte de la cadena de valor de la compa√Ī√≠a. ‚ÄúLa seguridad hoy en d√≠a no es un lujo, debe estar inserta en el capital humano, en su tecnolog√≠a y forma parte de sus procesos‚ÄĚ, explic√≥ a su vez Alejandro Canela.

N. de P.

México, de los países más atacados por Ransomware

El ransomware se ha convertido en una de las mayores amenazas que enfrentan los usuarios, desde PC, hasta dispositivos m√≥viles e, incluso, Mac se ven afectados por este ciberataque que va a√Īo con a√Īo en crecimiento. N

El ransomware es un malware que bloquea un dispositivo o cifra los archivos, haciéndolos inaccesibles. Aquí es donde los ciberdelincuentes exigen el pago de un rescate para desbloquear el dispositivo o los archivos.

Los montos var√≠an, pero en promedio, el a√Īo pasado rondaban en un bitcoin (aproximadamente, 500 d√≥lares en ese momento). Habitualmente se disemina por medio del phishing en el correo electr√≥nico o exploits, y se dirige tanto a usuarios individuales como a empresas.

Avast afirm√≥ estar monitoreado el crecimiento masivo de los ataques de ransomware dirigidos a sus usuarios en M√©xico durante 2016. El crecimiento a√Īo con a√Īo fue 10 veces mayor comparado con el 2015, y cinco veces mayor en comparaci√≥n con el total mundial a√Īo tras a√Īo. Se observaron picos en Q2 y Q4 de 2016. La compa√Ī√≠a de seguridad afirm√≥ detener m√°s de dos ataques de ransomware cada minuto en M√©xico el a√Īo pasado.

Hablando de ransomware, México fue el quinto país más atacado en 2016, después de Estados Unidos, Brasil, Rusia y Reino Unido, basado en nuestras estadísticas.

Seg√ļn Avast, ahorraron a sus clientes hasta 64 mil MDD al evitar pagos por rescate. Tan s√≥lo en 2016, se identificaron 60 millones de incidencias del ransomware Locky, uno de los m√°s peligrosos en el a√Īo pasado y el inicio de este.

Los equipos de TI se enfrentan a hasta 4 ataques por semana.

Las industrias m√°s vulnerables a ataques de ransomware, seg√ļn la firma de seguridad son educaci√≥n con 13% del riesgo, seguido del sector p√ļblico con 5.9%, sanidad con 3.5%, energ√≠a y servicios p√ļblicos con 3.4%, sector minirosta con 3.2% y finanzas con 1.5& del riesgo ante el ransomware.

‚ÄúEl ransomware se ha convertido en un negocio rentable para los ciberdelincuentes. Hubo un incremento de 105% de estos ataques de 2015 a 2016‚ÄĚ, afirm√≥ Jakub Kroustek, que dirige el equipo del laboratorio de amenazas y es el cocreador de las herramientas de descifrado de ransomware de Avast.

Si bien las herramientas de descifrado pueden ayudar a desbloquear archivos, deben considerarse la √ļltima opci√≥n.

El ransomware se ha vuelto tan lucrativo que hasta se promociona y se vende en la dark web, haciendo que casi cualquiera, con pocos o nulos conocimientos técnicos pueden comprar, modificar y diseminar ransomware.

Esto significa que todos los días aparecen versiones nuevas y un dispositivo se puede infectar con una variedad para la que no existe una herramienta de descifrado. Por lo tanto, Avast extiende la recomendación de instalar un antivirus, que funcione como una red de seguridad y proteja contra el ransomware, si llegara a aparecer; y que, periódicamente, se haga una copia de resguardo o backup de los archivos en un disco duro externo, que no esté conectado a la computadora o a internet.

Desde 2013, los investigadores de Avast Threat Labs han visto un aumento enorme en la cantidad de amenazas de ransomware. Solo el a√Īo pasado, monitorearon m√°s de 150 variedades nuevas, y Avast cre√≥ herramientas gratuitas de descifrado de ransomware para ayudar a las v√≠ctimas a desbloquear archivos cifrados.

Los sistemas de Windows son los blancos habituales, pero tambi√©n los usuarios de Mac sufren ¬†estos ataques. La forma m√°s com√ļn para que el ransomware entre en un sistema es a trav√©s de enlaces maliciosos y archivos adjuntos de correo electr√≥nico. Seg√ļn una encuesta de Osterman Research, efectuada de junio de 2016, en¬† los Estados Unidos y Alemania, casi la mitad de los ataques se debieron a que alg√ļn empleado puls√≥ un enlace que no deb√≠a en un correo electr√≥nico.

Avast anunció que se sumó al proyecto No More Ransom, una iniciativa que ayuda a las víctimas del ransomware a recuperar sus archivos cifrados, sin pagar el rescate a los ciberdelincuentes. No More Ransom tiene cuatro socios principales y cuenta con el apoyo de organismos de seguridad de países de todo el mundo.

El proyecto No More Ransom comenzó a mediados de 2016 y ahora tiene 40 herramientas de descifrado gratuitas, seis de las cuales son provistas por Avast.

 

N. de P.

Los ataques denominados ‚Äúno maliciosos‚ÄĚ se multiplican

Estos ciberataques se caracterizan por presentar rasgos de malware sin descargar archivos infectados y suponen una gran amenaza a la que no pueden hacer frente las técnicas más tradicionales de defensa.

Cada vez m√°s atacantes est√°n llevando a cabo sus actividades sin la necesidad de utilizar malware para traspasar los tradicionales mecanismos de seguridad basados en archivos. Casi dos tercios de los investigadores de seguridad encuestados por la compa√Ī√≠a Carbon Black dice que han notado un crecimiento exponencial en estas t√©cnicas desde principios de a√Īo. Adem√°s, he aqu√≠ el problema, no est√°n seguros de que los antivirus puedan hacerles frente. Y, otro informe anterior revela que estos ataques denominados ‚Äúno maliciosos‚ÄĚ o ‚Äúsin archivos‚ÄĚ, han aumentado del 3% al 13% en 2016.

Aunque no haya una t√©cnica definitiva para acabar con el problema no significa que no se pueda atajar. ‚ÄúPara protegerse, las empresas deben consultar los pasos a seguir con sus vendedores de la Plataforma de Protecci√≥n de Terminales, recomienda el analista Gartner. Tambi√©n aconseja utilizar plataformas como el Enhanced Mitigation Experience Toolkit de Microsoft que impone restricciones a las aplicaciones para protegerlas. Por ejemplo, admite la prevenci√≥n de ejecuci√≥n de datos que supervisa el uso de la memoria por las aplicaciones y puede apagarlas si ocurre alguna situaci√≥n extra√Īa. Adem√°s, la consultora cree que productos como Chrome, Firefox, Internet Explorer, Microsoft Office, Java VM y Adobe ofrecen una base de aplicaciones cubiertas.

Este tipo de ataque compromete los procesos leg√≠timos y las aplicaciones para llevar a cabo actividades maliciosas. Sin embargo, no descargan archivos da√Īados, por lo que no hay malware que detectar. El estudio de Carbon Black asegura que los tipos de ataques no maliciosos reportados por las investigaciones fueron las conexiones remotas (55%), seguido de ataques basados en WMI (41%), ataques en memoria (39%), ataques basados en PowerShell (34%), y ataques que aprovechan los marcos de Office (31%).

Del estudio se desprende la importancia de monitorizar el comportamiento inusual, comprobar la línea de comandos en PowerShell y la segmentación de la red.

Tim Greene

 

El FBI investiga a Trump por ciberataque ruso lanzado en las elecciones

El FBI se encuentra realizando investigaciones sobre el ataque ruso lanzado durante las pasadas elecciones presidenciales de Estados Unidos y la posible cooperación del actual presidente del país, Donald Trump, tal como ha afirmado James Comey, director del FBI.

Esta investigaci√≥n no ha causado sorpresa, pero es la primera vez que la agencia ha comunicado estar realizando una investigaci√≥n activa. Normalmente el FBI no lanza comunicados sobre estas investigaciones, pero este ciberataque representa un ‚Äúcaso inusual‚ÄĚ, explic√≥ ayer Comey a los miembros del Comit√© de Inteligencia de la C√°mara de Representantes de Estados Unidos.

El director del FBI ha asegurado que la agencia est√° investigando los posibles contactos y la cooperaci√≥n entre el Gobierno ruso y la campa√Īa de Trump, ‚Äúla naturaleza de cualquier v√≠nculo‚ÄĚ entre ambos.

Las agencias de inteligencia estadounidenses est√°n seguras de que Rusia dirigi√≥ un ciberataque contra el Comit√© Nacional Dem√≥crata y contra el jefe de campa√Īa de Hilary Clinton, John Podesta, con el que consiguieron filtrar miles de correos electr√≥nicos, publicados m√°s tarde por WikiLeaks y otras plataformas web.

Mike Rogers, director de la Agencia de Seguridad Nacional (NSA), sostuvo ayer que el Comit√© de Inteligencia permanece seguro de que los rusos coordinaron el ataque durante la campa√Īa presidencial. El Gobierno ruso ha negado reiteradamente haber interferido en dicha campa√Īa.

Por su parte, los miembros del partido republicano se√Īalaron que no hay pruebas que conecten la campa√Īa de Trump con el Gobierno ruso, pero los miembros dem√≥cratas del Comit√© trataron de conectar los puntos.

En una ins√≥lita exposici√≥n de 17 minutos de duraci√≥n, el representante Adam Schiff traz√≥ un cronograma de reuniones llevadas a cabo entre los miembros de la campa√Īa de Trump y el Gobierno ruso durante la temporada electoral. De acuerdo con Schiff, Carter Page, exasesor de seguridad nacional de Trump, visit√≥ Mosc√ļ a mediados de 2016, y otros miembros de su partido tambi√©n se reunieron con funcionarios rusos durante la Convenci√≥n Nacional Republicana.

‚Äú¬ŅEs posible que estos eventos e informes no tengan nada que ver y no sean m√°s que una coincidencia totalmente infeliz? S√≠, es posible, pero tambi√©n lo es, quiz√° m√°s que posible, que no sean coincidencias, no est√©n desconectadas y no sean ajenas‚ÄĚ, declar√≥ Schiff.

Grant Gross

 

Comienzan los ataques a bases de datos CouchDB y Hadoop

El grupo de hackers que se encargaron de atacar con ransomware las bases de datos de MongoDB y de Elasticsearch, culminando el el borrado definitivo de miles de datos, han comenzado a apuntar a otras tecnologías de almacenamiento. Los investigadores ahora están observando ataques destructivos similares en accesos de Hadoop y de CouchDB.

Los investigadores de seguridad Victor Gevers y Niall Merrigan, que supervisaron los ataques de MongoDB y Elasticsearch , también comenzaron a dar seguimiento de las nuevas víctimas de Hadoop y CouchDB. Ambos han reunido hojas de cálculo en documentos de Google donde documentan las diferentes firmas de ataque y los mensajes que quedan después de que los datos se eliminen de las bases de datos.

En el caso de Hadoop, un marco utilizado para el almacenamiento distribuido y el procesamiento de grandes conjuntos de datos, los ataques observados hasta ahora pueden ser descritos como vandalismo, debido a que los atacantes no piden que se realicen pagos a cambio de devolver los datos eliminados. En su lugar, su mensaje indica a los administradores de Hadoop que aseguren sus despliegues en el futuro.

hadoop-big-data

Seg√ļn el √ļltimo recuento de Merrigan, 126 casos de Hadoop han sido borrados hasta ahora.¬†El n√ļmero de v√≠ctimas es probable que aumente por los¬†miles de despliegues de Hadoop accesibles desde Internet, aunque es dif√≠cil decir cu√°ntos son vulnerables.

Los ataques contra MongoDB y Elasticsearch siguieron un patr√≥n similar.¬†El n√ļmero de v√≠ctimas de MongoDB salt√≥ de cientos a miles en cuesti√≥n de horas.¬†El √ļltimo recuento pone el n√ļmero de bases de datos borradas de MongoDB en m√°s de 34.000 y el de Elasticsearch en m√°s de 4.600.

Un grupo llamado Kraken0, responsable de la mayoría de los ataques de ransomware contra bases de datos, está tratando de vender su kit de herramientas de ataque y una lista de instalaciones vulnerables MongoDB y Elasticsearch por el equivalente a 500 dólares en bitcoins.

En el caso de CouchDB ‚Äďplataforma de bases de datos esimilar a MongoDB-, el n√ļmero de bases de datos borradas est√° creciendo r√°pidamente llegando a m√°s de 400 hasta ahora. A diferencia del vandalismo de Hadoop, los ataques de CouchDB se acompa√Īan de mensajes de rescate a los atacantes pidiendo 0.1 bitcoins (alrededor de 100 d√≥lares)para devolver los datos.¬†Se aconseja a las v√≠ctimas no pagar porque, en muchos de los ataques de MongoDB, no hab√≠a pruebas de que los atacantes hubieran copiado los datos antes de eliminarlos.

Tras haber observado los ataques, los investigadores de Fidelis Cybersecurity han publicado una entrada en su blog con más detalles y recomendaciones sobre cómo asegurar dichos despliegues.

IDG.es