Amenazas, Aplicaciones, Aplicaciones, Del dia, Desarrollo, Destacado, Industria TIC, Movilidad, Noticias, Noticias, Privacidad, Redes, Seguridad, Seguridad

Bad Rabbit, el ransomware que ya se volvió un problema global

Compañías especializadas en ciberseguridad, como Kaspersky Labs, ESET o Proofpoint, han identificado el ransomware Bad Rabbit, que se propaga a través de una actualización falsa de Adobe Flash.

Este ataque se comporta de la misma forma que lo hicieron Petya o WannaCry. Se despliega una pantalla en forma de mensaje que advierte al usuario de que su computadora ha sido infectada, solicitándole un monto que inicia en 285 dólares, representados en bitcoins, para que el equipo cifrado pueda ser recuperado. El usuario tendrá en la pantalla una cuenta regresiva, haciéndole saber que, una vez transcurrido ese período, el precio del rescate se incrementará.

Interfax, un medio de comunicación de origen ruso, fue el primero en anunciar el descubrimiento de esta nueva amenaza ransomware, al ser ellos uno de sus primeras víctimas y comunicar que sus servidores estaban offline debido a un ciberataque.

La agencia de noticias utilizaba Facebook para emitir el comunicado mientras trataba de recuperarse del golpe. A su vez, otra firma de seguridad rusa, conocida como Group-IB, publicaba una captura de pantalla del nuevo ransomware al que ya se le conoce como Bad Rabbit.

Desde su descubrimiento, más de 200 organizaciones han sido afectadas entre las que se encuentran el aeropuerto Odessa de Ucrania, el ministerio de infraestructuras de Ucrania, o el metro de Kiev.

Todo lo que sabemos hasta ahora de BadRabbit

La nueva modalidad de ransomware se está extendiendo por todo el mundo, siendo Europa el continente más afectado hasta ahora más de 200 grandes organizaciones en la región, principalmente con sede en Rusia, Ucrania, Turquía y Alemania.

Big Rabbit afecta principalmente a las redes corporativas y exige como rescate la cifra de 285 dólares en moneda bitcoin para proceder con el desbloqueo de los sistemas afectados.

ESET destacó que el malware Bad Rabbit podría ser una variante de Petya, también conocida como Petrwrap, NotPetya, exPetr y GoldenEye, debido a que aparece como Win32 / Diskcoder.D.

Se vale de DiskCryptor, un software de código abierto para el cifrado de unidades completas, para cifrar los archivos mediante claves RSA 2048. Se cree que la nueva oleada de ataques de ransomware no está utilizando el exploit EternalBlue, la vulnerabilidad SMB filtrada que fue utilizada por los ransomware WannaCry y Petya para propagarse a través de las redes.

Bad Rabbit escanea la red interna de la organización en busca de recursos compartidos SMB abiertos.

Posteriormente prueba una lista codificada de credenciales utilizadas comúnmente para descartar el malware y utiliza una herramienta adicional para extraer las credenciales de los sistemas afectados.

Los investigadores todavía están analizando Bad Rabbit para comprobar si hay una forma de descifrar los equipos sin pagar el rescate exigido.

SophosLab alerta de que las versiones de antivirus detectarán esta variación como Troj / Ransom-ERK. Sophos Sandstorm ha detectado de forma proactiva esta amenaza a través de su programa de detección de machine learning, así como de Sophos Intercept X que ha bloqueado esta amenaza haciendo uso de la tecnología de Sophos CryptoGuard. Las soluciones de protección web de Sophos afirman también bloquean las páginas web que puedan albergarlo.

 

IDG.es

Leer más...

Aplicaciones, Del dia, Desarrollo, Destacado, Industria, News, Noticias, Seguridad, Tendencias

Chrome ofrece herramienta para detectar y eliminar software no deseado

Google ha anunciado una nueva herramienta para “ayudar a los usuarios de Windows a recuperarse de infecciones software no deseado”. Ya está disponible y la firma espera que se utilicen por “decenas de millones” de usuarios en los próximos días.

Las extensiones publicadas mejorarán el navegador, prometen desde Mountain View, gracias por ejemplo a la posibilidad de personalizar la gestión de pestañas.

Google ha actualizado la tecnología para detectar y eliminar software no deseado gracias a la colaboración con ESET y su motor de detección.

Chrome también detectará las modificaciones que ocurran cuando algunas extensiones cambien los ajustes sin consentimiento del usuario y mostrará un mensaje con la alerta. Otra de las novedades es la limpieza automática de software no deseado.

“A veces, cuando descargas software u otro contenido, se instala software no deseado como parte del paquete sin que te des cuenta”, explica Google en el comunicado oficial publicado en el blog. La herramienta Chrome Cleanup alerta al usuario cuando esto ocurra y le da la posibilidad de eliminar esas piezas no deseadas.

La compañía ha especificado que Cleanup no es un antivirus per se, sino que sólo elimina el software no deseado de acuerdo a la política de software no deseado de la propia Google, accesible aquí.

Redacción

 

Leer más...

Aplicaciones, Del dia, Desarrollo, Destacado, Movilidad, News, Noticias, Seguridad

La IA podrá detener las amenazas de malware en el futuro

El enfoque tradicional de la lucha contra el malware ha sido siempre reactivo. Se libera un nuevo ataque, infecta a unas pocas empresas y los vendedores de antivirus corren para publicar una actualización. Algunas organizaciones pueden obtener la actualización antes de que el malware haga su camino, pero muchas no. Obviamente, esto no es una situación ideal, ya que los buenos están siempre persiguiendo a los malos.

Si usted fuera Marty McFly, podría encender el viejo condensador de flujo con 1.2 Gigavatios de potencia, saltar adelante en el tiempo y traer nuevas actualizaciones y estar así preparado para por ejemplo WannaCry, Qakbot o, mi favorito, Zeus. Afortunadamente, y dado que esa opción la consideramos algo improbable, hay otra forma de detener los ataques antes de que afecten a nadie, y eso es usar sistemas basados en inteligencia artificial (IA).

Cylance ha comenzado recientemente a mostrar el hecho de que sus clientes están protegidos contra las amenazas actuales incluso con modelos más antiguos. Ellos están llamando a esto “Cylance Predictive Advantage”. Aunque Cylance ha marcado este enfoque, todos los proveedores de seguridad basados en IA operarían de manera similar.

Hoy en día, la IA y el aprendizaje automático están siendo utilizados para alimentar más cosas de nuestras vidas de las que somos conscientes.

Amazon sabe lo que la gente quiere comprar, los vehículos autónomos pueden distinguir la diferencia entre un árbol y una persona, y la analítica de video puede escoger a un terrorista de la multitud, aprovechando el aprendizaje automático. La razón por la que necesitamos confiar en una IA en lugar de personas es debido a las enormes cantidades de datos que necesitan ser procesados y la velocidad a la que las máquinas pueden analizar datos y conectar los puntos.

La lucha contra el malware no es diferente. Permanecer delante de los malos ya no se puede hacer manualmente. Requiere buscar petabytes de datos conocidos buenos y malos. Por ejemplo, Cylance ha analizado millones de características en más de miles de millones de archivos. Esto es posible hoy porque la nube proporciona potencia de cálculo casi infinita. Cylance aprovecha más de 40,000 núcleos en AWS para ejecutar su modelo masivo y complejo y su algoritmo que puede reducir el modelo para funcionar de forma autónoma en un PC o portátil.

Uno de los hechos menos conocidos de malware es que normalmente se deriva del código existente y se modifica un poco para evadir la mayoría de las soluciones AV basadas en firma. Cada tipo de malware deja una firma identificable por lo que si se recopilan y analizan suficientes datos se pueden descubrir los buenos y los malos conocidos. Más importante aún, los sistemas basados en IA pueden proteger a las empresas de amenazas futuras ejecutando un número casi infinito de simulaciones sobre malware conocido, lo que le permite predecir con eficacia el malware antes de que se haya creado.

Para probar esto, Cylance ejecutó su código contra WannaCry y encontró que la versión que se utilizó en noviembre de 2015 habría bloqueado el ataque, casi 18 meses antes de que el malware fue lanzado. Esto evita que una compañía tenga que ser el sacrificado “paciente cero” que primero reporta un problema. Otro ejemplo: el modelo de octubre de 2015 de Cylance habría detenido el rescate de Zcryptor, siete meses antes del lanzamiento del ataque.

Este gráfico muestra cómo CPA se enfrentó a una serie de las campañas de malware más conocidas en la historia reciente. Los sistemas basados en la IA predijeron que éstos pasaran de siete a 18 meses antes de ser descubiertos.
Es hora de que las empresas peleen contra los atacantes y cambien a un modelo de seguridad basado en la IA que pueda proteger a la organización sin requerir que un puñado de compañías sean comprendidas antes de que el proceso de remediación pueda comenzar.

Redacción.

Leer más...

Aplicaciones, Del dia, Desarrollo, Destacado, Industria, Movilidad, News, Noticias, Seguridad

Un ataque de malware compromete el código Coin Hive

Los atacantes han utilizado un malware conocido como Crypto coin mint, un ataque que ejecutan el famoso código Coin Hive, según recoge la BBC.

Un grupo de hackers ha logrado infectar cientos de equipos de escuelas, centros de caridad y sitios web de intercambio de archivos. El objetivo, según recoge la BBC, es generar dinero en efectivo rápidamente. “Se trata de un juego de números”, ha señalado Rik Ferguson, vicepresidente de investigación de seguridad de Trend Micro. “Al atacar una gran cantidad de equipos, pueden obtener criptomonedas de una manera sencilla”.

Para conseguir efecto, los atacantes han utilizado un malware conocido como ‘Crypto- coin mint’, un ataque que ejecutan el famoso código Coin Hive por el que un sitio que recibe un millón de visitantes al mes podría generar alrededor de 116 dólares en la moneda criptográfica llamada Monero. Muchas de las organizaciones afectadas ya han eliminado el código, han actualizado sus políticas de seguridad y están investigando cómo se implantó.

Por su parte, los desarrolladores de Coin Hive ya han declarado que han tomado medidas contra el uso malicioso del código. “Hubo algunos usuarios que implementaron el script en sitios que previamente habían hackeado, sin el conocimiento del propietario, aunque ya hemos prohibido varias de estas cuentas”.

Redacción

 

Leer más...

Aplicaciones, Del dia, Desarrollo, Destacado, Industria, Movilidad, News, Principal, Seguridad

El usuario final, el eslabón más débil en la cadena del cibercrimen

Easy Solutions, la compañía de la protección contra el fraude, presentó la segunda edición de su reporte “El Pulso del Cibercrimen en 2017”.

En este informe los expertos de Easy Solutions investigaron los ataques más sofisticados y recientes que afectan a empresas, instituciones financieras y consumidores alrededor del mundo y entregaron su visión sobre cómo evolucionará el fraude en los próximos meses.

Uno de los puntos más destacados del reporte es donde se concluye que gracias a la curiosidad humana y a cierta cantidad de investigación es posible manipular casi a cualquier persona para que acceda a determinado sitio o contenido. “El usuario final sigue siendo el eslabón más débil de la cadena de seguridad. En vista de que no se puede esperar que los usuarios se protejan a sí mismos, es responsabilidad de las compañías e instituciones suministrar esa protección”, destacó Maria Lobato, Directora de Marketing de Easy Solutions para Latinoamérica. Y agregó, “no proteger a los usuarios finales no solo conlleva a pérdidas financieras, también puede dañar la imagen de una marca, corroer la confianza en los canales de comunicación y ahuyentar a los clientes de la organización”.

5 puntos Clave del Reporte:

De acuerdo al reporte de Easy Solutions el phishing (técnica a través de la cual se suplanta una identidad de una organización para robar información sensible) se ha convertido en el método número uno para diseminar ransomware, troyanos bancarios u otros tipos de ataques.

  • El 97% de las personas no saben cómo reconocer un email de phishing.
  • El 30% de los mensajes de phishing son abiertos por sus víctimas. Pese a todas las campañas de concientización que se están realizando la compañía asegura sigue siendo un porcentaje muy alto para garantizar la seguridad de las organizaciones.
  • El 30% de todas las infecciones de malware en compañías provienen de enlaces a sitios web fraudulentos, según dos estudios de 2016 publicados en Infomatika en Alemania.
  • Los ataques de phishing se incrementaron un 65% en 2016.

N. de P. Easy Solutions

 

Leer más...

Amenazas, Aplicaciones, Cloud Computing, Del dia, Desarrollo, Destacado, Movilidad, Redes sociales, Seguridad, Seguridad

Redes sociales y Sector Salud, los más afectados atacados

El reciente informe sobre ciberseguridad y amenazas hecho público por parte de McAfee Labs desvela como la industria de la salud ha superado al sector público en cuanto a número de incidentes en el segundo trimestre del año, representando un total del 26% de las brechas registradas.

Si bien la mayoría de los robos de datos sanitarios se deben a errores humanos o revelaciones accidentales, la realidad es que los ciberataques continúan aumentando.

Se trata de una tendencia que se inició en el primer trimestre de 2016, cuando numerosos hospitales de todo el mundo se vieron afectados por ataques de ransomware.

Resulta además destacable el hecho de que los ciberataques comiencen a dirigirse hacia entornos de redes sociales. De hecho, Facebook ha emergido como un notable vector de ataque, con Faceliker representando hasta un 8,9% de los 52 millones de muestras de malware detectadas a lo largo del trimestre. Este troyano infecta el navegador de un usuario cuando visita sitios web maliciosos y comprometidos, hackeando los “Me gusta” de Facebook con el objetivo de promocionar el contenido sin que el usuario tenga ningún conocimiento o permiso. Al final, los clics hackeados pueden hacer que un sitio web o una aplicación determinada cuenten con mayor popularidad de los que realmente sea.

Vincent Weafer, vicepresidente de McAfee Labs alerta de que “estas prácticas hacen que las aplicaciones o noticias sean más populares, confiables y legítimas entre los usuarios, de manera que los cibercriminales puedan influir de manera encubierta en la forma en que percibimos el valor y la veracidad de estos contenidos”.

Por último, la industria de la salud, el sector público y la educación representan más del 50% del total de incidentes de todo el mundo entre los años 2016 y 2017. El secuestro de cuentas ha sido uno de los principales ataques, seguido por los de tipo DDoS, filtraciones, ataques dirigidos, malware e inyecciones de SQL.

IDG.es

Leer más...

Aplicaciones, Desarrollo, Industria, Movilidad, News, Noticias, Principal, Seguridad

Los ataques DDoS más peligrosos de los últimos 20 años  

Los ataques de denegación de servicio (DDoS) han sido parte del arsenal de los cibercriminales durante 20 años, y estos ataques son utilizados para su diversión, o para obtener ganancias de algún tipo (extorsión), como desvío para otro ataque, o como actos de protesta. Sea por la razón que sea, los ataques siguen evolucionando a medida que los criminales utilizan nuevas tecnologías y perfeccionan sus tácticas para causar daños cada vez mayores. Aquí están seis de los ataques DDoS más históricos hasta ahora.

Mafiaboy

Se produjo el 7 de febrero de 2000 cuando un atacante de 16 años que se llamó Mafiaboy, lanzó uno de los mayores -si no el más grande- ataques de negación de servicio de la época.

El ataque de Mafiaboy interrumpió e incluso derribó grandes páginas web, como CNN.com, Amazon.com, Yahoo y eBay. El ataque duró alrededor de una semana y durante gran parte de ese tiempo las víctimas no pudieron hacerle frente. Según informes, Mafiaboy había penetrado 50 redes para instalar un software llamado Sinkhole.

Después del ataque, la policía de Canadá y el FBI de Estados Unidos investigaron y fue arrestado en abril de 2000. En septiembre de 2001, Michael Calce (alias Mafiaboy) fue sentenciado en el tribunal de menores canadiense a 8 meses de “custodia abierta”, pasando un tiempo en un centro de detención, acceso limitado a Internet y un año de libertad condicional.

Root DNS server

El 21 de octubre de 2002 se impuso un ataque contra todos los 13 servidores de nombres para la zona raíz del Sistema de nombres de dominio de Internet (DNS).

El ataque -el primero de su tipo- no tuvo éxito en causar estragos en Internet, pero sí que provocó que algunos de los servidores raíz fueran inaccesibles. Los atacantes usaron una botnet para lanzar tráfico falso, pero gracias a una configuración adecuada y a un considerable exceso de aprovisionamiento de recursos, el ataque no fue tan grave como ciertamente podría haber sido.

Algunos lo han llamado la primera ciberguerra. En abril de 2007, la nación de Estonia encontró que sus servicios gubernamentales, financieros y de medios de comunicación en línea estaban desconectados.

Estonia cyberattack

El ataque masivo de DDoS ocurrió simultáneamente con las protestas políticas de ciudadanos rusos que estaban disgustados por la reubicación de un monumento de la Segunda Guerra Mundial. Este virus coincidió no sólo con las protestas ya en curso, sino también con los desafíos políticos y gubernamentales de páginas web.

Los ataques cobraron un peaje extraordinario a Estonia, que en ese momento estaba a la vanguardia del gobierno electrónico, y operaba básicamente sin papel, con la ciudadanía llevando la mayor parte de su banca, e incluso votando, de manera online en ese momento.

Proyecto Chanology

En enero de 2008, un colectivo llamado Anonymous lanzó lo que llamó Chanology en respuesta a los intentos por parte de la Iglesia de la Cienciología de retirar de Internet un vídeo promocional de exclusivo uso interno donde aparece Tom Cruise, un conocido cienciólogo.

Para esta ofensiva, Anonymous empleó numerosos ataques como compartir documentos de Scientology de forma online, hacer bromas, piquetes, etc. El colectivo ciertamente se hizo creativo, llegando incluso a enviar faxes de páginas negras en bucles continuos a la Iglesia. Este ataque a principios de 2008 fue el primer acto espontáneo de activismo social online, que hoy en día es más común.

Operación Ababil

En el otoño y el invierno de 2012 y 2013, 26 o más bancos de los Estados Unidos fueron golpeados con tormentas abrumadoras de tráfico de Internet. Un grupo que se autodenominaba el Izz ad-Din al-Qassam Cyber Fighters se atribuyó la responsabilidad de los ataques DDoS y dijo que se llevaron a cabo en represalia por un video anti-islam. Por su parte, las agencias de inteligencia del gobierno estadounidense dijeron que creían que los ataques eran impulsados por las represalias estadounidenses en Irán.

Los ataques golpearon a sitios como Bank of America, Capital One, Chase, Citibank, PNC Bank, y Wells Fargo, entre otros. Con un tráfico de 65 gigabits por segundo, estos ataques lograron interrumpir las operaciones de muchos bancos durante aproximadamente seis meses.

Miranet IoT botnet

Mirai es un malware que alimenta una red de internet de las cosas y que ha logrado causar estragos en el último año, incluyendo el lanzamiento de uno de los ataques DDoS más poderosos de todos los tiempos.

Esencialmente, Mirai funciona explorando Internet para dispositivos IoT conectados y vulnerables y se infiltrará usando credenciales comunes de fábrica, después de lo cual infectará aquellos dispositivos con el malware Mirai.

Descubierto en agosto de 2016 por la firma de investigación de seguridad MalwareMustDie, las botnets de Mirai han estado detrás de ataques como el Dyn de octubre de 2016, afectando a Airbnb, GitHub, Netflix, Reddit, y Twitter; entre otros.

George V. Hulme

 

Leer más...