CyberSecurity Pulse 2017-05-15

CyberSecurity Pulse 2017-05-15

“You never fail until you stop trying.”
Albert Einstein

Visión del analista

El ciberataque que hizo temblar el mundo

El viernes 12 de mayo se recordará como el día de la propagación de WannaCry, que asoló a empresas de todo el planeta obligándolas en muchos a casos a cesar sus actividades. En el caso de WannaCry, la carga maliciosa detonada estaba compuesta por un ransomware encargado de cifrar los documentos de un gran número de extensiones en diferentes formatos ofimáticos a cambio de un rescate que oscilaba entre los 300 y 600 dólares y que el usuario habría de abonar tan pronto como fuera posible. El equipo comprometido intentaría propagarse aprovechando las funcionalidades de EternalBlue, uno de los exploits filtrados por ShadowBrokers en abril presuntamente vinculados a la NSA y que afectaba a sistemas Windows que no habían parcheado la vulnerabilidad CVE-2017-0144. Para ocultar su rastro, los cibercriminales también hicieron uso de otras tecnologías como Bitcoin para cobrar el rescate y la red Tor para que el malware efectuara ciertas comunicaciones de Command and Control dificultando la labor de los investigadores a la hora de concretar la atribución del incidente.

CyberSecurity Pulse 2017-05-15 Las herramientas y frameworks que se han ido publicando estas últimas semanas nos han venido a recordar que incidentes de estas características podían ocurrir realmente. De hecho, si nos remontamos a julio de 2015, muchos recordarán el incidente de la filtración de Hacking Team que dejó sobre la mesa los proyectos iniciados por países de todo el mundo en materia de vigilancia en internet. Más recientemente, tanto las filtraciones de ShadowBrokers de abril como las que desde hace unos meses lleva haciendo Wikileaks semanalmente nos han venido advirtiendo de que existen utilidades creadas con el objetivo de difuminar el rastro y confundir a los investigadores como Marble y otras como AfterMidnight y Assasin destinadas a la creación de redes de equipos controlados remotamente; Grasshopper, pensada para la configuración de muestras maliciosas o Weeping Angel, diseñada para la recopilación de información sonora de una Smart TV.

Estas filtraciones e incidentes tan mediáticos como el de estos días ponen sobre la mesa un escenario real: las posibilidades de bloquear una empresa o incluso un país no necesariamente son propias de un guion de ciencia ficción. No se puede obviar que el impacto ha sido enorme, como tampoco esa sensación de que esto podría ser una especie de prueba de concepto que nos advierte de que cuando no somos capaces de corregir las vulnerabilidades a tiempo, quedamos más expuestos que nunca. Para muchos aún queda una pregunta en el aire: si la carga maliciosa no se hubiera manifestado tan claramente como hizo con el famoso aviso, ¿cuánto habríamos tardado en darnos cuenta de que habíamos sido comprometidos? ¿De verdad estamos preparados para lo que se avecina?


Noticias destacadas

Microsoft prohíbe finalmente los certificados SHA-1 en IE y Edge

CyberSecurity Pulse 2017-05-15 Las actualizaciones del pasado martes para Internet Explorer y Microsoft Edge obligan a estos navegadores a señalar como inseguros los certificados SSL/TLS firmados con la función de hashing SHA-1. La medida sigue acciones similares a las de Google Chrome y Mozilla Firefox de principios de este año. Los navegadores y las autoridades de certificados han participado en un esfuerzo coordinado para eliminar gradualmente el uso de los certificados SHA-1 en la web durante los últimos años, ya que la función de hashing ya no proporciona seguridad suficiente contra la suplantación. En febrero, los investigadores de Google y CWI demostraron el primer ataque de colisión práctica contra SHA-1, produciendo dos archivos PDF con el mismo SHA-1.

» Más información en Computerworld
 

Microsoft ofrecerá distros de Ubuntu, Suse y Fedora Linux en la tienda de Windows

CyberSecurity Pulse 2017-05-15 Los usuarios podrán instalar sistemas operativos Linux anteriores en su máquina Windows, la novedad es representada por Fedora y SUSE porque Ubuntu ya está disponible en la tienda de Windows para su descarga. La decisión de Microsoft está alineada con su política de apoyar también a la comunidad de código abierto. De esta manera parece que la operación tiene una intención de marketing específica junto con el interés de la última audiencia de usuarios de Ubuntu, Suse y Fedora que cada día también tienen que trabajar con sistemas Windows. En 2016, Microsoft también eligió a Ubuntu como el sistema operativo para sus servicios Big Data basados en la nube y también se ha unido a la Fundación Linux como miembro platino.

» Más información en Security Affairs


Noticias del resto de la semana

Botnet que envía cinco millones de correos por hora para difundir el ransomware Jaff

Una gran campaña de correos electrónicos maliciosos que se deriva de la botnet Necurs está difundiendo un nuevo ransomware mediante cinco millones de correos electrónicos por hora para atacar equipos en todo el mundo. El nuevo ransomware llamado Jaff cifra archivos de forma muy similar al ransomware de Locky, sin embargo, éste solicita 1.79 bitcoins (aproximadamente 3 150 dólares), una cantidad mucho más elevada para desbloquear los archivos cifrados de un equipo infectado.

» Más información en The Hacker News
 

Vanilla Forums se encuentra todavía afectado por un 0-day reportado el pasado diciembre

El popular software de foros de código abierto sufre de vulnerabilidades que podrían permitir a un atacante acceder a cuentas de usuario, llevar a cabo ataques de envenenamiento de la caché y, en algunos casos, ejecutar código arbitrario. Dawid Golunski fue el investigador que identificó dichos fallos de seguridad asegurando que todavía existen en la versión más reciente de Vanilla Forums.

» Más información en Security Affairs
 

Un keylogger descubierto en algunos modelos de HP

Investigadores de la empresa de seguridad Modzero han descubierto un keylogger incorporado en un controlador de audio de HP que almacena las pulsaciones del teclado. Dependiendo del modelo, HP también incorpora código dentro de los controladores de audio suministrados por Conexant que controla las teclas especiales, así como las teclas multimedia presentes en algunos teclados.

» Más información en The Hacker News


Otras noticias

La botnet Bondnet que mina criptodivisas

» Más información en Dark Reading
 

El malware Persirai que en su último ataque infecta cámaras

» Más información en Security Affairs
 

El malware Baijiu abusa de un servicio de hosting japonés para atacar a Corea del Norte

» Más información en Security Affairs


facebooktwitterlinkedinmail