Etiqueta: ESET

Se identifica vulnerabilidad en cámaras web que permite espiar a su dueño

Eset presentó una investigación donde revela que la cámara en la nube D-Link DCS-2132L, un dispositivo pensado como una herramienta de seguridad para hogares y oficinas, sufre de múltiples vulnerabilidades de seguridad. Las mismas permiten a un atacante no solo interceptar y ver los registros de video, sino también manipular el firmware de los dispositivos. Sobre la base de la información divulgada, el fabricante mitigó algunas de las vulnerabilidades informadas, pero otras aún no están resueltas.

“El problema más grave con la cámara inteligente D-Link DCS-2132L es la transmisión sin cifrar de video. En ambas conexiones, entre la cámara y la nube, y entre la nube y la aplicación de visualización del lado del cliente, la transmisión se ejecuta sin cifrar, proporcionando un terreno fértil para los ataques de hombre en el medio (MitM) y permitiendo a los intrusos espiar las secuencias de video de las víctimas.”, explica Milan Fránik, investigador con sede en el laboratorio de ESET en Bratislava.

Imagen ilustra la vulnerabilidad en la transmisión de datos y posible vector de ataque “Man in the Middle”

Otro problema que se encontró en la cámara estaba oculto en el complemento del navegador web “servicios myDlink”. Esta es una de las formas de la aplicación de visor disponible para el usuario, otros incluyen aplicaciones móviles, que no formaron parte de la investigación de ESET.

El complemento del navegador web administra la creación del túnel TCP y la reproducción de video en vivo en el navegador del cliente, pero también es responsable de reenviar las solicitudes de los flujos de datos de audio y video a través de un túnel, que escucha en un puerto generado dinámicamente en el host local.

“La vulnerabilidad de los complementos podría haber tenido graves consecuencias para la seguridad de la cámara, ya que hizo posible que los atacantes reemplazaran el firmware legítimo con su propia versión falsificada”, mencionó Fránik.

Otro problema que se encontró en la cámara estaba oculto en el complemento del navegador web “servicios myDlink”. Esta es una de las formas de la aplicación de visor disponible para el usuario, otros incluyen aplicaciones móviles, que no formaron parte de la investigación de ESET.

El complemento del navegador web administra la creación del túnel TCP y la reproducción de video en vivo en el navegador del cliente, pero también es responsable de reenviar las solicitudes de los flujos de datos de audio y video a través de un túnel, que escucha en un puerto generado dinámicamente en el host local.

“La vulnerabilidad de los complementos podría haber tenido graves consecuencias para la seguridad de la cámara, ya que hizo posible que los atacantes reemplazaran el firmware legítimo con su propia versión falsificada”, mencionó Fránik.

Edificios inteligentes, en el blanco de los cibercriminales

Los edificios inteligentes utilizan tecnología para controlar distintas dinámicas con el objetivo de brindar mayor confort, contribuir a la salud y a la productividad de quienes habitan en ellos. Para realizar esto, utilizan Sistemas de Automatización de Edificios (en inglés como BAS). Con la llegada del Internet de las cosas (IoT) los edificios inteligentes se redefinieron y el equipamiento tecnológico permite analizar, predecir, diagnosticar y mantener los distintos ambientes, así como automatizar procesos y monitorear en tiempo real variables como la temperatura de los ambientes, la iluminación, las cámaras de seguridad, los ascensores, el estacionamiento, la gestión del agua, entre otras.

Tony Anscombe, el Global Security Evangelist de ESET, mencionó que en Estados Unidos, el crecimiento de los edificios inteligentes se estima será del 16.6% para el 2020 con respecto al 2014; y que esta realidad de expansión está ocurriendo a nivel global. Este crecimiento se debe a que la tecnología atraviesa la automatización de procesos y la búsqueda de la eficiencia energética,representando un aporte hacia la sustentabilidad ya una reducción de costos, el objetivo de cualquier industria.

En términos de seguridad, el riesgo en los edificios inteligentes se encuentra en que toda la red inteligente puede estar conectada a una única base de datos. Los dispositivos IoT son fabricados por distintos proveedores y es probable no tengan en consideración aspectos de seguridad durante su proceso de fabricación.

Anscombe opinó que “potencialmente es probable que muchos de los que hoy no habitan en un edificio de estas características en algún tiempo sí lo hagan”, dado el crecimiento de la construcción de edificios inteligentes que utilizan IoT viene en aumento.

El riesgo de sufrir un incidente de seguridad en este tipo de infraestructura está asociado a las motivaciones de los cibercriminales, quienes principalmente buscan obtener un beneficio económico a partir de sus actos, pero también generar impacto y transmitir miedo. Según explicó Anscombe, si uno busca por BAS de manera específica, podrá encontrar miles de sistemas de automatización de edificios en estas listas con información que podría ser utilizada por un atacante para comprometer un dispositivo. En febrero de 2019 figuraban en Shodan, herramienta que permite encontrar sistemas vulnerables conectados a Internet incluyendo dispositivos IoT, unos 35,000 sistemas BAS al alcance público en Internet a nivel global.

Un tipo de ataque que se observó en varias oportunidades es el denominado Siegeware, mediante el cual un actor malintencionado tiene la capacidad mediante código de realizar una demanda extorsiva a partir de tomar el control de las funcionalidades digitales de un edificio.

“El bajo costo de los dispositivos IoT para edificios y el avance de las tecnologías para sistemas de automatización de edificios está generando cambios que afectan a la seguridad. Esta búsqueda de automatización y el uso de dispositivos inteligentes que recopilan datos para ofrecer confort a sus ocupantes, así como hacer un uso más eficiente de los recursos, como el energético, dependiendo de su implementación también podrían aumentar el riesgo para la seguridad. En este sentido, la posibilidad de que un cibercriminal ejecute un ataque del tipo ransomware que afecte a un edificio inteligente ya forma parte de la realidad.”, mencionó Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET nos comparte las siguientes consideraciones y requerimientos de seguridad que deberían estar presentes:

  • Revisar las especificaciones de seguridad de los dispositivos y trabajar alineado al concepto de seguridad por diseño
  • Destinar un presupuesto acorde a la seguridad
  • Seleccionar socios que tengan conocimientos en el campo de la seguridad
  • Contar con un programa de manejo de vulnerabilidades
  • Cooperación entre las distintas áreas y/o departamentos

En cuanto a las recomendaciones desde el punto de vista operacional:

  • Actualizar los dispositivos de manera regular
  • Establecer un plan de reemplazo si el ciclo de vida de un dispositivo finalizó
  • Prevención acerca de lo que está conectado
  • Monitorear los dispositivos que estén conectados

Más de 8 mil ciberataques contra gobiernos y empresas de México: ESET

ESET dio a conocer su Security Report 2018, el dato destacado es que se han detectado más de 8,000 ciberataques a Gobierno y empresas del sector Retail, Financiero e Industrial. La cifra representa sólo la mitad de lo reportado el año pasado.

Para Cecilia Pastorino, Security research de ESET Latinoamérica, dijo que la cifra superará la del año pasado, esto se da ya que los grupos de cibertacantes hacen más complejos sus ataques y que están al día encontrando nuevas vulnerabilidades que puedan burlar su seguridad.

También destacó que los ataques son cada vez más continuos, “antes eran esporádicos, después intermitentes y ahora son continuos”, además los hackers saben que las empresas usan diferentes soluciones de seguridad, se ayudan de terceros y son asesorados por otra entidad extra a la organización principal, esto ha facilitado las cosas para los grupos ciberatacantes.

En cuestión de ataques a los servicios financieros, destacó Pastorino que las fallas vienen de los proveedores de servicios de seguridad, las cuales son aprovechadas por los hackers para vulnerar esos sistemas y poder acceder a cualquier tipo de información, esto contrasta con las inversiones que hacen en este sector en materia de seguridad.

México como nación puntera en ciberataques.

Sobre el caso sucedido recientemente sobre el Sistema de Pagos Electrónicos Interbancarios del Banco de México (SPEI) el cual vio comprometida su seguridad por medio de un watering hole, dicha ataque de seguridad viene de proveedores de algunas instituciones financieras y no del propio sistema de SPEI.

El watering hole son ciberataques que se dan desde sitios de confianza de proveedores o intermediarios para atacar a otra entidad, esto ocurre muy a menudo, el 60% de todos los ciberataques en gobierno o empresas privadas ocurre por medio de esta táctica.

El Security Research de ESET Latinoamérica, Miguel Ángel Mendoza señaló, “el watering hole y otras formas de operar del cibercrimen en el ecosistema digital, como es el phishing o engaño en la red, irán al alza ante la sofisticación de los delincuentes digitales”. Además, en América Latina el 45% de las empresas fueron víctimas de malware y el 20% de las empresas sufrieron de Ransomware.

Finalmente, el estudio destaca que la obtención de datos por medio de ingeniería social son una práctica muy popular por los cibercriminales, por poner un ejemplo, en el mercado negro se cotizan en 10 dólares obtener todos los datos de una tarjeta bancaria.

Chrome ofrece herramienta para detectar y eliminar software no deseado

Google ha anunciado una nueva herramienta para “ayudar a los usuarios de Windows a recuperarse de infecciones software no deseado”. Ya está disponible y la firma espera que se utilicen por “decenas de millones” de usuarios en los próximos días.

Las extensiones publicadas mejorarán el navegador, prometen desde Mountain View, gracias por ejemplo a la posibilidad de personalizar la gestión de pestañas.

Google ha actualizado la tecnología para detectar y eliminar software no deseado gracias a la colaboración con ESET y su motor de detección.

Chrome también detectará las modificaciones que ocurran cuando algunas extensiones cambien los ajustes sin consentimiento del usuario y mostrará un mensaje con la alerta. Otra de las novedades es la limpieza automática de software no deseado.

“A veces, cuando descargas software u otro contenido, se instala software no deseado como parte del paquete sin que te des cuenta”, explica Google en el comunicado oficial publicado en el blog. La herramienta Chrome Cleanup alerta al usuario cuando esto ocurra y le da la posibilidad de eliminar esas piezas no deseadas.

La compañía ha especificado que Cleanup no es un antivirus per se, sino que sólo elimina el software no deseado de acuerdo a la política de software no deseado de la propia Google, accesible aquí.

Redacción

 

ESET construye la oficina de ciberseguridad más grande del mundo

ESET anunció sus planes de construir la nueva sede de la empresa. El campus ocupará nueve hectáreas en Bratislava, y albergará 25 mil metros cuadrados de espacio de oficinas para aproximadamente 1,400 empleados, donde su arquitectura futurista y minimalista se fusionará con el entorno, una de las zonas más verdes de la capital de Eslovaquia.

Richard Marko, CEO de ESET, “nuestro objetivo es construir un punto global que nos sitúe en una posición fuerte para los próximos 30 años y más. Estamos inmensamente orgullosos de nuestros colaboradores y sus logros, y estamos seguros de que nuestro nuevo campus en Bratislava traerá mucho más a ESET, a la industria de la ciberseguridad y a Eslovaquia”.

La sede global contará con apartamentos para quienes viajen desde otras oficinas, un auditorio y salón multifuncional, múltiples instalaciones de educación para estudiantes, un comedor privado, laboratorios de investigación y un centro de salud y fitness.

Las nuevas oficinas también incluirán un centro de investigación de seguridad de TI que permitirá a ESET mantenerse a la vanguardia de la seguridad digital. Asimismo, la compañía planea crear 800 nuevos empleos de manera de atraer a profesionales de todo el mundo para trabajen juntos en el nuevo centro de la industria de la ciberseguridad en el corazón de Europa. Se espera que la construcción de la nueva sede global de ESET esté terminada en 2022.

N. de P. ESET

Stantinko, un nuevo malware que ya afectó a medio millón de usuarios

ESET analizó este malware, nombrado Stantinko, que atrapa a sus víctimas al descargar software pirata de sitios falsos de torrent y que durante los últimos cinco años se ha ido transformado para evitar ser detectado.

Stantinko es una red de bots que se monetiza instalando extensiones a los navegadores e inyectando anuncios falsos mientras se está conectado a Internet. Cuando se instala en una máquina, puede realizar búsquedas masivas de Google de forma anónima y crear cuentas falsas en Facebook con la capacidad de darle me gusta a imágenes, páginas y agregar amigos.

En la máquina infectada se instalan dos servicios de Windows maliciosos que se ejecutan cada vez que se inicia el sistema. “Es difícil deshacerse de Stantinko, ya que cada servicio de componentes tiene la capacidad de reinstalar el otro en caso de que uno sea eliminado del sistema. Para borrar completamente el problema, el usuario tiene que eliminar ambos servicios de su máquina al mismo tiempo”, explica Frédéric Vachon, Investigador de Malware en ESET.

Stantinko instala dos complementos de navegador, ambos disponibles en la tienda web de Google Chrome: ‘Safe Surfing’ y ‘Teddy Protection’. Cuando el malware se ha infiltrado, los operadores de Stantinko pueden usar los complementos flexibles para realizar diferentes acciones maliciosas dentro del sistema comprometido. Esto incluye la realización de búsquedas anónimas masivas para encontrar sitios de Joomla y WordPress, realizar ataques de fuerza bruta en estos sitios, encontrar y robar datos o crear cuentas falsas en Facebook.

Además, la información robada de los sitios víctimas también la pueden vender en el mercado negro. Al realizar ataques de fuerza bruta logran probar miles de contraseñas diferentes hasta adivinar las credenciales de acceso. ESET identificó que los operadores de Stantinko tienen una herramienta que les permite realizar fraudes en Facebook, vendiendo ‘Me gusta’ para capturar ilegítimamente la atención de consumidores desprevenidos.

“Los operadores de Stantinko pueden obtener ganancias por el tráfico que proporcionan a distintos anuncios. Incluso encontramos que los usuarios llegarían al sitio web del anunciante directamente a través de anuncios propiedad de Stantinko”, concluyó Matthieu Faou, investigador de malware en ESET.

N de P. ESET

 

ESET lanza Threat Intelligence, para prevenir y detectar aques dirigidos

ESET lanza Threat Intelligence, un servicio que ayuda a prevenir y detectar posibles ataques dirigidos. Este servicio ofrece facilitar la predicción y notificar proactivamente a los usuarios de las amenazas dirigidas en tiempo real, permitiendo una mayor flexibilidad para adaptarse al panorama de amenazas actual.

“Los beneficios que presenta esta solución de ESET para las empresas implican la utilización de la información de miles de muestras recolectadas para obtener datos de amenazas o ataques a las empresas. La disponibilidad de toda la información en un solo lugar, ahorra tiempo y permite minimizar el impacto de los posibles ataques, evitando la interrupción del servicio así como posibles perdidas de información y monetarias.”, aseguró Federico Perez Acquisto, CEO de ESET Latinoamérica.

Este servicio permite contar con información organizada, analizada y refinada sobre amenazas o potenciales ataques que podrían impactar en las distintas organizaciones. Aplica “inteligencia tradicional” a las ciberamenazas, a la vez que incrementa el conocimiento sobre las mismas y mejora la respuesta ante potenciales ataques.

Los ataques dirigidos, las amenazas persistentes avanzadas (APTs), zerodays y actividades de botnets son parte del análisis de Threat Intelligence.

El servicio está disponible para los equipos de seguridad empresariales, así como los Centros de Operaciones de Seguridad para analizar campañas de propagación de códigos maliciosos específicos y proporcionar inteligencia sobre su forma de ejecutarse y el impacto de los mismos.

Además, realiza un análisis automático de muestras, desarrollando reportes de actividad de Botnets (Objetivos, amenazas detectadas, servidores de comando y control conocidos y nuevos, etc.) y de Malware dirigido (fuente del código malicioso, servidores de C&C relacionados, información detallada sobre la detección y sobre la reputación).

 

N. de P.

Herramientas gratuitas para recuperar información y buscar vulnerabilidades del sistema

ESET anunció el lanzamiento de dos herramientas gratuitas que ayudan a combatir los recientes brotes de ransomware, incluyendo WannaCryptor (WannaCry) y algunas variantes de la familia de ransomware Crysis, que agrega extensiones .wallet y .onion a los archivos afectados y que es una de las más propagadas en países de Latinoamérica.

La primera herramienta es EthernalBlue Vulnerability Checker, que verifica si el sistema operativo Windows cuenta con el parche de actualización que previene la ejecución del exploit EthernalBlue, que estaba detrás en la reciente epidemia de ransomware de WannaCryptor y además puede ser utilizado para propagar otras amenazas como los BitCoinMiner, entre otras aplicaciones maliciosas.

La segunda herramienta lanzada por ESET es un descifrador de ransomware. La misma ayuda a las víctimas de una variante del ransomware Crysis, una de las más propagadas en países de Latinoamérica, que utiliza una extensión para agregar los archivos cifrados .wallet y .onion. Las llaves fueron publicadas el 18 de mayo por los foros de BleepingComputer.com.

Ambas herramientas están disponibles para descargar desde la página web de ESET:

 

Verifique si está protegido ante el ransomware WannaCry

La firma de ciberseguridad ESET, pone a disposición una herramienta que verifica si su PC está parcheada contra la vulnerabilidad que explota WannaCryptor. Este ransomware que está atacando a miles de computadoras de todo el mundo, se vale de un exploit que se aprovecha de una vulnerabilidad en Windows; y si bien el parche para la misma está disponible desde marzo, no todos lo han instalado.

EternalBlue es el nombre del exploit que le permite a WannaCryptor autoreplicarse y propagarse rápidamente por la red infectada. Este exploit pertenece a la lista de archivos filtrados de la NSA por el grupo Shadow Brokers, y ya se había tratado de subastar el año pasado. Sin embargo, cambió de opinión ante la poca perspectiva de ganancia, y decidió vender las herramientas de la NSA en forma individual.

El 14 de marzo, Microsoft lanzó el boletín de seguridad MS17-010 que corregía vulnerabilidades críticas en el protocolo SMB. En ese entonces, no era evidente que el parche estaba relacionado de alguna manera con las herramientas de la NSA; recién se supo un mes después, el 14 de abril, cuando Shadow Brokers reveló lo que había robado.

El período entre que se publicó la actualización y se hizo público el exploit dio lugar a especulaciones, pero la situación era esta: la vulnerabilidad explotada por EternalBlue tenía una corrección disponible en Windows Update, mientras que el exploit en sí mismo también estaba público. Así, comenzó la carrera entre parchear y explotar, y no fue casual que EternalBlue se usara de manera creciente a partir de ese momento.

El 12 mayo, EternalBlue se convirtió en un componente importante del incidente de infección masiva. Los cibercriminales tenían todos los elementos en sus manos: el ransomware, WannaCryptor, que estaba activo desde principios de abril, y el exploit EternalBlue.

“A pesar del panorama planteado, tanto los usuarios hogareños como las empresas podrían haber evadido el ataque de este ransomware con características de gusano informático. Primero, dos meses antes del ataque masivo ya estaba disponible el parche contra la vulnerabilidad que explota EternalBlue. Si bien no está relacionado a las rutinas de cifrado del ransomware, bloquea el daño que un equipo pueda sufrir a causa de otro equipo de la misma red que se haya infectado. Además, la protección proactiva instalada en el equipo, como una funcionalidad de exploit blocker o una solución antimalware actualizada, podría haber bloqueado la infección y detener el ataque en casos en que el malware hubiese logrado infiltrarse en la red”, comenta Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica.

“Finalmente, algún grado de control sobre los datos que entran y salen de los equipos de una red podría haber sido de utilidad. Muchas compañías decidieron apagar sus computadoras y enviar a los empleados a sus casas, por miedo a que se vieran comprometidas. Sin embargo, si hubiesen logrado aislar los equipos de su red e implementar funcionalidades de detección, esa medida extrema (y contraproducente a los objetivos de una empresa) podría haber sido evitada”, agregó el ejecutivo.

En la noche del viernes salió la noticia del “kill switch” que podía poner fin a la propagación del ransomware. El blog Malware Tech descubrió que el malware hacía una petición HTTP que debía fallar antes de comenzar su rutina de cifrado. Dado que el dominio no estaba registrado, todas las peticiones fallaban y permitían al ransomware seguir su tarea maliciosa; sin embargo, tras analizar el código en busca de este dominio, el investigador británico pudo comprarlo por 10.69 dólares y redirigió las solicitudes a servidores que enviaban una respuesta. Así, se detuvo la propagación de la primera variante de esta amenaza.

Pero no tardaron en aparecer otras variantes. Primero, aparecieron nuevas versiones que evitaban usar ese dominio sobrescribiendo los datos binarios de la primera versión, usando herramientas como HEXEdit. Luego, se publicaron también versiones sin el kill switch.

Hasta ahora, las ganancias de este ataque están apenas por encima de los 50 mil dólares, pero ese monto no es nada comparado con el daño causado por la infección masiva. Nuevamente, se hizo evidente que la explotación de vulnerabilidades (no necesariamente eran de día 0) podría tener un impacto enorme en la operativa de una compañía.

Para comprobar si una computadora está protegida, ESET desarrolló un script que revisa los archivos de actualización en el sistema y busca aquellos correspondientes al parche de EternalBlue. Si no los encuentra, indicará que el equipo es vulnerable; si los encuentra, informará que el sistema está parcheado.

Usted puede hacer uso del script en GitHub, es muy fácil de usar: el usuario debe ejecutarlo, esperar alrededor de un minuto mientras usa WMCI para revisar la lista y finalmente obtiene el resultado.

N. de P. ESET

 

El 70% de empresas mexicanas sufrió un incidente de seguridad en 2016

El 50% de las empresas en la región ha sido objeto de malware en el último año, lo que ubica a los códigos maliciosos como la principal causa de incidentes en Latinoamérica. Mientras que un 70% de empresas en México sufrieron algún tipo de incidente relacionado con seguridad informática y de manera específica, el 45% padeció algún caso de malware, reveló este jueves el ESET Security Report 2017.

El estudio publicado por ESET, compañía líder en detección proactiva de amenazas, se basó en datos obtenidos de una encuesta realizada a más de 4,000 profesionales de distintas organizaciones, cifras que muestran el estado de la seguridad informática en Latinoamérica.

Uno de los datos más relevantes del estudio señala que el ransomware, código malicioso que se dedica a secuestrar información digital, se posicionó en el segundo lugar de incidentes, con un 16% desplazando al phishing hacia la tercera posición con un 15%. El siguiente gráfico muestra los porcentajes de infecciones por malware en cada país en el cual se llevó a cabo el estudio.

Una de las posibles razones por las cuales las categorías de incidentes han reducido sus porcentajes (a excepción del malware) es que los ciberdelincuentes han encontrado en los códigos maliciosos y especialmente en el ransomware, un negocio muy lucrativo que genera réditos económicos con mayor rapidez.

“En lo que refiere a ransomware, el último recurso que encuentran las empresas es el pago, y cuando se paga, se promueve la industria del secuestro en el ámbito digital”, señaló Miguel Ángel Mendoza, Especialista en seguridad informática de ESET Latinoamérica.

Los datos del reporte muestran que para el 56% de los entrevistados la mayor preocupación en materia de seguridad son precisamente códigos maliciosos, seguido por el 52% que dijo estar preocupado por las vulnerabilidades de software y de sistemas y el tercer puesto, con el 27% lo ocupa el phishing. El ransomware se abre paso como una nueva preocupación, para el 32% de los consultados.

Otro de los datos de interés es que los teléfonos inteligentes son cada vez más afectados por estas amenazas, e incluso se pronostica que más dispositivos puedan verse comprometidos con el denominado Ransomware de las Cosas (RoT).

Finalmente, además de la aplicación de controles tecnológicos de seguridad, otra práctica que destaca es la realización de actividades de educación y concientización en materia de Seguridad de la Información, aunque el porcentaje de empresas que promueve actividades de concientización periódicamente sigue siendo menor que en 2014, una mayor cantidad de organizaciones lo hace ocasionalmente o planea hacerlo, lo cual proyecta un mejor escenario para este año.

N. de P. ESET