Archivos de etiquetas: amenaza

Vulnerabilidad de WinRAR explotada en varias campañas

WinRAR es un gestor de archivos comprimidos lanzado en 1995, utilizado por más de 500 millones de usuarios a nivel global. Recientemente fue hallada una vulnerabilidad en este aplicación que permite especificar el destino de los archivos extraídos al utilizar el formato ACE, independiente de la ubicación que defina el usuario.
Los atacantes pueden obtener fácilmente persistencia y ejecución remota de código al implantar cargas maliciosas y extraerlas en ubicaciones críticas como “Inicio” de Windows.
Esta vulnerabilidad ya se encuentra solucionada en la última actualización de WinRAR (5.70), pero debido a que este aplicación no cuenta con actualizaciones automáticas, aún existe una gran cantidad de usuarios expuestos a esta vulnerabilidad.
Según FireEye, se han detectado una variedad de campañas con malware escondido en archivos RAR que explotan esta vulnerabilidad. También los métodos de engaño al usuario e infección.
Aclaración: Estos casos son los detallados por FireEye, existe evidencia de la utilización de este método en al menos una campaña que apunta a la banca chilena, lo cual se encuentra detallado en este link: https://www.makros.cl/single-post/2018/11/29/Aumento-de-SPAM-relacionado-al-malware-EMOTET
Caso 1: Suplantación de identidad de Consejo de Acreditación Educacional (USA)
El vector consuste en una carta de aprobación que contiene un ACE dentro de un archivo RAR (Scan_Letter_of_Approval.rar), crea un script de VB en la carpeta de inicio de Windows para que se autoejecute la próxima vez que se inicie este sistema operativo.
Para evitar las sospechas del usuario, el archivo ACE contiene un documento que sirve como señuelo, llamado “Letter of Approval.pdf”, el cual aduce provenir de una organización de educación establecida.
Luego el archivo VBS que viene en el .ACE se instala en el inicio de Windows para ser ejecutado por wscript.exe. Este script define un ID para la víctima basándose en las variables de entorno de Windows. Luego este backdoor se comunica con un servidor de comando y control, en el cual ingresa los datos recopilados de la víctima. La comunicación con este C2 se efectúa mediante cabeceras de autorización HTTP. De esta forma los atacantes pueden ejecutar diversas acciones en el activo infectado como eliminarse, descargar archivos, obtener información del hardware y revisar la presencia de antivirus.

Caso 2: Ataque a la industria militar israelí
De acuerdo a un email enviado a proceso en Virus Total, el atacante aparentemente envía un correo simulado a la víctima, el cual contiene adjunto un archivo ACE dentro de un RAR llamado SysAid-Documentation.rar, Según Virus Total y luego de analizar los encabezados del correo esto se trataría de un ataque a una empresa militar israelí.
La supuesta documentación del adjunto es para un sistema de help desk llamado SysAid, de Israel. En la carpeta descomprimida se encuentra un archivo llamado Thumbs.db.lnk, el cual sirve para las vistas previas de los archivos, sin embargo éste apunta a otro archivo con extensión .BAT el cual descarga su carga útil maliciosa, con la cual puede obtener los hashes NTLM.
Después el malware adjunto utiliza diversos métodos para descargar otra carga útil más, la cual se presume que contiene código específico para extracción de datos.

Caso 3: Ataque potencial en Ucrania con backdoor Empire
En este escenario, el archivo ACE dentro del RAR contiene un PDF que simula ser un mensaje del ex presidente ucraniano, el cual contiene supuesta información de alianzas público-privadas.
Cuando el archivo es extraído, un .BAT es ubicado en la carpeta de inicio, esta contiene los comandos que llaman comandos de PowerShell, los cuales a su vez constituyen el backdoor conocido como Empire, el cual es conocido por su baja detección y altos mecanismos de persistencia.

Caso 4: Más señuelos
Estas campañas ocupan distintos señuelos para distribuir varios tipos de RAT y spyware, uno de estos señuelos aduce ser archivos “filtrados” con números de tarjetas de crédito y contraseñas. Una vez abierto efectivamente muestra un listado de documentos de texto supuestamente con estos datos. A la vez que descarga e instala QuasarRAT, utilizado por sus capacidades como keylogger.
Recomendaciones
Debido a la amplia explotación de esta vulnerabilidad, por los factores indicados al comienzo de este artículo, la primera recomendación y más urgente es actualizar WinRAR a la última versión disponible (5.70 o superior). Esta recomendación de mantener nuestras aplicaciones actualizadas es válida para todo programa que utilicemos.
Además es conveniente contar con un antivirus NextGen como Sophos InterceptX, ya que éste analiza el comportamiento de los procesos en curso para detectar patrones inusualmente maliciosos.
IoC:

Nuevo ransomware se propaga rápidamente en China, infectando sobre 100.000 computadores

Un nuevo ransomware se está propagando rápidamente en China. Este ya ha infectado más de 100.000 computadores en los últimos cuatro días como resultado de un ataque de cadena de producción, y el número de afectados crece cada hora.
Algo interesante en este malware es que no demanda un pago en Bitcoins, en vez de eso los atacantes solicitan el pago de 100 yuanes (cerca de 16 dólares) como rescate mediante WeChat Pay (el sistema de pagos ofrecido por la aplicación de mensajería más usada en China).
Al contrario de las epidemias de WannaCry y NotPetya que ocasionaron caos a nivel mundial el año pasado, este ransomware sólo está afectando a usuarios de China.
Además, incluye una habilidad adicional de robar las contraseñas de los usuarios de Alipay, NetEase, Baidu Cloud Disk, Jingdong, Taobao, Tmall, AliWangWang y QQ.
De acuerdo a lo informado por la empresa china de ciberseguridad Velvet Security, los atacantes agregaron un código malicioso en el software de programación “EasyLanguage”, utilizado por un gran número de desarrolladores.
El programa modificado maliciosamente está diseñado para inyectar este ransomware en cada aplicación y software compilado por esta plataforma, en otro ejemplo de un ataque en cadena de producción para distribuir el malware rápidamente.
Este malware encripta todos los archivos en el sistema infectado, exceptuando aquellos con extensión .gif, .exe, y .tmp.
Para defenderse de los antivirus tradicionales, los atacantes firmaron el código de su malware con una firma digital de confianza de Tencent Technologies, esto además evita que se encripten datos de algunos directorios específicos como “Tencent Games”, “League Of Legends”, entre otros.
Si el rescate no es pagado en el tiempo indicado, el malware amenaza con borrar la llave de desencriptación de sus servidores de comando y control.
Junto con la encriptación de archivos y el robo de credenciales, este ransomware ademas colecta información del equipo infectado: modelo de CPU, resolución de pantalla, información de la red y un listado del software instalado.
Los investigadores de ciberseguridad encontraron que el ransomware fue programado de manera simple y los atacantes mienten acerca del proceso de encriptación, ya que la nota de rescate indica que los archivos fueron encriptados utilizando el algoritmo DES, pero en realidad están encriptados con un algoritmo mucho menos seguro llamado Xor y además almacena una copia de la llave de desencriptación localmente en %user%AppDataRoamingunname_1989dataFileappCfg.cfg
Usando esta información, Velvet Security creó una herramienta de desencriptación gratuita que puede desencriptar los archivos fácilmente sin la necesidad de pagar por algún rescate.
Debido a la innovación en la forma que se están produciendo las amenazas, de forma cambiante continuamente, es recomendado contar con alguna herramienta de protección avanzada de amenazas y análisis de comportamiento como Sophos Intercept X
Fuente: https://thehackernews.com/2018/12/china-ransomware-wechat.html

[Actualizado 08/04/19]Aumento de SPAM relacionado al malware EMOTET

Actualización: 8 de abril de 2019:
Nuevamente nos encontramos frente a otra campaña basada en Emotet, ésta utiliza el correo electrónico para enviar archivos .ZIP con contraseña, la cual es posible encontrar en el mismo correo. Con esta técnica se evitan filtros de antimalware en gateways de correo hasta llegar al endpoint.
Una vez descomprimido, aparece un archivo de JavaScript, el cual al intentar ser ejecutado directamente libera el malware escondido. En esta oportunidad además se trata de un malware que roba credenciales del usuario, las cuales pueden ser de cualquier tipo de servicio (correo, banca, rrss, etc).
Como señuelo, esta variante arroja un mensaje de error (falso) al ejecutarse, éste indica “Formato de archivo no compatible. Hubo un error al abrir este documento. El archivo está dañado y no se pudo reparar…”. De cualquier forma el malware ya se encuentra instalado y ejecutándose.
Es recomendable alertar a los usuarios de esta amenaza para que estén conscientes de ésta en caso de recibir un correo con adjunto.ZIP y contraseña. Monitorear o bloquear la ejecución/descarga directa de archivos JS en las plataformas firewall, antispam y/o endpoint.
IoC:
Sitios web
http://pontoacessoweb[.]com.br/x6o5aq7/pW_t/
http://192.186.96[.]125/mult/health/nsip/merge/
http://afkar[.]today/cgi-sys/suspendedpage.cgi
http://192.186.96[.]125/iplk/dma/nsip/
http://www.liyuemachinery[.]com/config.replace/W_dK/
http://192.186.96[.]125/xian/merge/nsip/
http://192.186.96[.]125/json/sess/
Dominios
www.liyuemachinery[.]com
pontoacessoweb.com[.]br
entasystem[.]online
afkar[.]today
Hashes
3fef1791f40149036f14b13c38a559c7b9b44571
aa4ae06286b7932529389721446012ec1a68a3ed83c13ebe197d91e60b1a59f4
2c6be4fb920ab3ae5ded5be2936ec767
ffbe73591031973cb52f6950ed61b168a0f0bda69f004db08846dfc1bd1d1920
99d671ee30cb4a19558f5ae273698ec2
f55dc41ab2314e9252673aa5dcbaf6a54f96c2ce
a186a24cdd085c6b4f3bb2136f1c11a3ca7475fa08e91703723797ba8cf7778b
Actualización: 25 de marzo de 2019:
Durante los últimos 3 dias, el aumento de ataques mediante este malware ha incrementado de forma tal que el gobierno de Chile emitió una alerta desde su CSIRT, el cual indica:
“En base a informaciones recibidas de fuentes internas se ha establecido un estado situacional de alerta de ciberseguridad por incidente que se encuentra afectado a sectores relevantes de la economía.
Como producto de la coordinación intersectorial la información preliminar que se ha logrado recabar permite establecer que se debe bloquear, hasta que no se indique lo contrario mediante comunicado de igual o superior naturaleza, el siguiente sitio web y dirección IP:
Sitio web: triosalud[.]cl Dirección IP: 190[.]107[.]177[.]246
El bloqueo debe efectuarse tanto para flujos que provengan desde esos orígenes como flujos cuyo destino sean estos.
A nivel de RCE se están aplicando las protecciones respectivas y se ha elevado el nivel de alerta para estos patrones maliciosos.
Se notificará a los encargados de ciberseguridad en la medida que se detecte algún patrón que los involucre directamente para que se tomen las medidas del caso.
Otro comunicado, de no mediar una variación sustantiva de la situación, se emitirá para el restablecimiento del estado de normalidad en la RCE.”
Posteriormente se emitió un boletín nº2 el cual contiene una actualización de IP a bloquear, éste documento se encuentra en https://www.csirt.gob.cl/media/2019/03/comunicado-ciberseguridad-2.pdf
La vulnerabilidad de WinRAR presente desde hace 19 años.
Hace poco mas de un mes fue publicada una vulnerabilidad en el ampliamente utilizado gestor de archivos comprimidos WinRAR, vulnerabilidad que se indica que existe hace 19 años (!!!). Esta vulnerabilidad consiste en renombrar un archivo .ace (otro formato comprimido) a .rar de forma que al abrirlo con WinRAR éste se instale en el inicio del sistema. La técnica de incrustar malware en archivos .ace no es nueva, y se ha utilizado previamente debido a la rareza de uso de este formato, por lo que muchos sistemas de revisión de malware en correo electrónico no solían analizar este tipo de archivos.
El investigador de seguridad Germán Fernández Bacian, detectó al analizar algunos dominios .cl que tienen la vulnerabilidad Directory Listing, mediante OSINT, que uno de estos alojaba un archivo llamado “denuncias.rar”, el cual había sido subido en el mismo dia del análisis al servidor. Al analizar este archivo mediante Hybrid Analysis indica que explota la vulnerabilidad de WinRAR, instalando un troyano bancario identificado como Integrity.exe. Este troyano se comunica al servidor .cl originalmente indicado para actualizar la tabla de activos infectados.
Otro archivo posteriormente encontrado “__Denuncia_Activa-CL.pdf.bat”, contiene un malware el cual sería el KL-Banker, el cual apunta a bancos chilenos. En su panel de administración se encontraron activos de distintos bancos en Chile.
Esto daría paso al comunicado de ciberseguridad emitido por el CSIRT del gobierno de Chile este viernes 22 de marzo de 2019.
Paralelamente la SBIF emite un comunicado con alerta de seguridad por presencia de malware en sistemas empresariales.
Spear phishing
Hubo una campaña de spear phishing (phishing dirigido a objetivos con un perfil definido previamente), en el cual se apuntaba a robar credenciales utilizando la botnet de Emotet. El objetivo específico son cuentas de empresas proveedoras a empresas más grandes, con el objetivo final de llegar a instituciones financieras, principalmente bancos. Este método se conoce como supply chain attack (ataque a la cadena de suministro).
Para esconder esta operación los atacantes utilizaron los sitios de GoDaddy para evitar ser detectados en dominios potencialmente peligrosos.

Algunos bancos bajaron sus portales de segmento empresas como precaución para evitar transacciones fraudulentas e infecciones.
Una muestra de correo de phishing para esta amenaza:

Más troyanos
Otro troyano detectado en estas campañas es el conocido como Zonidel. El cual tiene funciones de spyware y control remoto, lo que permitiría el robo de credenciales, manipulación de archivos, cargar otros malware en el sistema, participar en DDoS, finalización de procesos, etc.
Un listado de activos infectados se puede hallar en https://pastebin.com/ERs3xkia
Una recomendación de seguridad inmediata es actualizar WinRAR a la ultima versión.
Indicadores de compromiso:
Dominios:
5.39.218.210185.29.8.45190[.]107[.]177[.]246190[.]107[.]177[.]91triosalud[.]cl
URL:
hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://5.39.218[.]210/dns/dns.php?dns=<random>”hxxp://5.39.218[.]210/dns/logs/logpc.phphxxp://185.29.8[.]45/1.exehxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/
Hash:
421448d92a6d871b218673025d4e4e121e263262f0cb5cd51e30853e2f8f04d7
Originalmente publicado el 29 de noviembre de 2018:
Un aumento de correos Spam, Phishing y Spoofing relacionados al malware Emotet, es esperado en los siguientes dias; debido a la naturaleza polimórfica de este virus, la detección es variable para todos los antivirus.
Técnicamente Emotet es un troyano bancario, aunque es mayormente usado como un “descargador” para una variedad de otras amenazas (TrickBot, Zeus Panda Banker, IcedID y otros), utiliza robo de credenciales, propagación por red, recolección de información sensible, redireccionamiento de puertos, entre otras características. Esto lo convierte en una amenaza considerable.
El US-CERT emitió en el mes de julio un aviso de seguridad acerca de Emotet, indicando que “se encuentra entre los malwares más destructivos y costosos”. En casos de infección dentro de Estados Unidos, el costo de remediación asciende hasta USD$1 millón por cada incidente.
Según ESET el modo de infección comienza con un Spam bien diseñado, el cual puede contener hipervínculos maliciosos como adjuntos de Microsoft Word o PDF que aparentan ser facturas, mensajes de seguridad del banco o avisos de “actualización de Word”.
Siguiendo las instrucciones en el documento, la víctima habilita los macros en Word o hace clic en el enlace dentro del PDF. Paso seguido, el payload de Emotet es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios descargar.
Agregaron que las nuevas variantes de Emotet se generan en promedio cada dos horas, de esta forma las firmas de este malware van cambiando constantemente, dificultando así la protección completa para las posibles víctimas.
“Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia y autopropagación similar a la de los gusanos. Es distribuido a través de campañas de spam utilizando una variedad de disfraces para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos.” indica ESET.
Se estima que esta nueva campaña tiene su auge el 5 de noviembre de 2018, luego de un periodo de baja actividad. Siendo sus principales víctimas entidades bancarias en Norte y Sudamérica.
Descripción de la Amenaza
Técnica:PDF, PowerShell, Office VBA Macro
Malware:Emotet
Actor:TA542
Familia:Downloader, Botnet, Stealer, Spambot
Sophos:CXmail/OleDl-AU,CXmail/OleDl-J,Troj/DocDl-QJO, Troj/DocDl-QLX
Asuntos:
Procedimiento de pago para sus servicios de John Lange – IN TimeCambion de su tarifa de Seguel, RodrigoWells Fargo statementProcedimiento de pago para su trabajo de Ehrlich | KolorprintValuation Invoice from 11/07/18
Adjuntos:
untitled-3st974835.docv1/9-27/4719.doccontrato.docnuevo-contrato.docnuevo-acuerdo.docacuerdo.docfa_num_xnx90393.docInvoice_No_96608.doc
Análisis de la infección
La infección inicial se distribuye a través de correo electrónico no deseado, con la siguiente secuencia de eventos: Un correo electrónico no deseado que contiene un enlace de descarga o un archivo adjunto que llega a la bandeja de entrada de la víctima.
El enlace de descarga apunta a un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica e inicia una secuencia de comandos Powershell. El script de Powershell intenta descargar y ejecutar Emotet desde múltiples fuentes de URL. Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble que incluiye un gran diccionario de contraseñas débiles y de uso común.
El diccionario de contraseñas se utiliza para obtener acceso a los sistemas en red. Una vez que obtiene acceso, se copia a sí mismo en acciones ocultas de C$ o Admin$. La copia recibe a menudo el nombre de archivo my.exe, pero se han usado otros nombres de archivo.
Emotet contiene una lista incrustada de cadenas entre las que elige dos palabras para fusionarlas en el nombre de archivo que utilizará en el momento de la infección inicial. Las cadenas elegidas se agrupan utilizando el ID de volumen del disco duro. Como resultado, el mismo disco duro siempre dará como resultado el mismo nombre de archivo para cada sistema infectado. También descarga un componente de actualización automática capaz de descargar la última copia de sí mismo y de otros módulos. Este componente se guarda como %windows%<filename>.exe, donde el nombre del archivo se compone de 8 dígitos hexadecimales.
Algunos de los otros módulos que este componente descarga se utilizan para recopilar credenciales de otras aplicaciones conocidas o para recopilar direcciones de correo electrónico de los archivos PST de Outlook para su uso con correo no deseado dirigido. Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. Luego instala y ejecuta el .exe actualizado como un servicio de Windows.
Fases de la infección

Ejemplo de SPAM

Análisis de causa raíz por Sophos

Análisis de la muestra
MALICIOSO
Nombre: Contrato.doc
Nombre Amenaza: Troj/DocDl-QKJ
Tamaño: 80KiB
Score Amenaza: 100/100
Tipo: DOC
AV Detección: 55%
Mime: application/msword
Tipo Virus: Troyano
SHA256: 98888c43345a90cfb2336a916e091eccf59d9cab4ff647585c9e170e9e5481df
Fuente:Información extraída de https://www.hybrid-analysis.com
Resultado de Análisis con diferentes antivirus
Se comprobó la amenaza en la página https://www.virustotal.com, dicha página permite el análisis de amenazas por medio de la verificación con 57 marcas diferentes de antivirus, de las cuales 35 marcas detectaron como positivo la detección de malware dando un 61% de coincidencia de peligrosidad y fue catalogado como troyano.

Link del análisis:
Top 10 Antivirus

Reinicie su router doméstico, hasta el FBI se lo recomienda

Existe un nuevo malware que rápidamente ha infectado mas de medio millón de dispositivos, por tanto dentro de las medidas mitigadoras, el FBI (agencia de seguridad interna de Estados Unidos) y empresas de seguridad aconsejan reiniciar los routers de internet domésticos junto con varios dispositivos de red que puedan estar conectados a éstos.
La amenaza fue nombrada como “VPNFilter” y ataca a dispositivos de red para uso en hogar y oficina de las marcas Linksys, MikroTik, NETGEAR y TP-Link, como también a los dispositivos de almacenamiento en red (NAS) de la marca QNAP. Todo esto de acuerdo a una investigación de Cisco.
Los expertos aún están investigando todo lo que VPNFilter es capaz de hacer, por mientras ellos saben que puede hacer dos cosas realmente bien: Robar credenciales web, y auto-destruirse. Además de dejar el dispositivo infectado inutilizable para la mayoría de los consumidores.
Los investigadores de Cisco indicaron que ellos aun no están seguros de como estos 500.000 dispositivos fueron infectados con VPNFilter, pero que la mayoría de los dispositivos blanco de este ataque tienen exploits públicos o credenciales codificadas “en duro”, lo que los vuelve un objetivo bastante asequible.
El departamento de justicia de EEUU indicó que VPNFilter es un trabajo realizado por “APT28”, el código dentro de la industria de seguridad para un grupo de hackers auspiciado por el estado ruso también conocido como “Fancy Bear” y el “Sofacy Group”. Este grupo es el mismo apuntado como responsable de la intervención en las elecciones presienciales norteamericanas de 2016.
En una publicación que el FBI envió al Internet Crime Complaint Center indica: “Actores extranjeros han comprometidos cientos de miles de routers y otros dispositivos de red en hogares y oficinas al rededor del mundo”, también que “Los atacantes usaron el malware VPNFilter para apuntar a routers pequeños de hogar y oficina. Este malware es capaz de ejecutar múltiples funciones, incluyendo la posible colecta de información, uso no autorizado del dispositivo infectado y bloqueo de tráfico de red.
Esta sería la lista, de acuerdo a Cisco, de los dispositivos afectados:
Linksys:
E1200
E2500
WRVS4400N
MikroTik routeros
1016
1036
1072
Netgear
DGN2200
R6400
R7000
R8000
WNR1000
WNR2000
Qnap
TS251
TS439 Pro
y otros NAS que ejecuten el software QTS
TP-Link
R600VPN
Desafortunadamente, no existe alguna forma simple de saber si su dispositivo está infectado. Si usted posee uno de estos dispositivos conectado a internet, debería reiniciarlo o mejor aún, desconectarle la electricidad por unos segundos para luego volver a conectar. Eso debería eliminar parte de la infección, si es que posee alguna. Claro que esto no es una solución definitiva.
Parte del código que VPNFilter utiliza puede persistir hasta el que dispositivo afectado se resetee a los valores de fábrica. Mucos módems y camaras digitales web tienen un pequeño botón algo oculto que puede ser presionado solo por algún objeto pequeño y puntudo (como un lapiz o un clip). Al mantener este botón presionado por al menos 10 segundos (o mas en algunos dispositivos) mientras esté encendido, y eso debería ser suficiente para resetear el dispositivo de vuelta a su configuración por defecto (o de fábrica). En el manual de cada dispositivo debiesen estar las intrucciones para realizar el “reset to factory settings”.
Luego de resetear el dispositivo, necesitará acceder a la configuración de éste mediante un navegador web, la interfaz de administrador de la mayoría de los routers comerciales puede que se encuentre ingresando a la dirección 192.168.1.1 o 192.168.0.1 en la barra de direcciones del navegador web. Si no puede ingresar consulte con la documentación de su dispositivo o pruebe con el comando “ipconfig” en windows, la dirección que aparece como “puerta de enlace predeterminada” (dafault gateway) en la conexión de área local debiese ser la dirección de su router.
Una vez dentro de las configuraciones modifique la clave de administrador por defecto que permite ingresar al dispositivo (algo que pueda recordar o guardar de forma segura para su utilización a futuro).
Luego es momento de encriptar la conexión si está utilizando un router inalámbrico (WiFi). La mejor opción actualmente es WPA2, la cual está disponible en la mayoría de los routers domésticos, luego de esta está WPA, y finalmente WEP; esta última no se recomienda en absoluto debido a la facilidad de intrusión mediante herramientas de libre acceso, no la utilice.
También es recomendable deshabilitar cualquier tipo de asistente de configuración o de configuración remota debido a la propensión de ser objetivo de ataques y agujeros de seguridad.
Fuente: https://krebsonsecurity.com/2018/05/fbi-kindly-reboot-your-router-now-please/

Oferta única!!! trabajo, dinero y phishing

La Oficina de Seguridad de Internauta alerta sobre la existencia de una gran cantidad de correos electrónicos fraudulentos con falsos mensajes con asuntos como: “Gana $13.000 desde casa hoy”, “Comienza a maximizar tus ganancias”, “El email que has estado esperando” o “Portabilidad a mitad de precio. Consúltanos” con el fin de recopilar datos personales de los usuarios y hacerles descargar un software en su equipo.
Los correos electrónicos contienen el siguiente texto:
Hola,
Quería que fueras el PRIMERO en conocer este nuevo software que es simplemente una REVOLUCIÓN.
Esto podría ser tu máquina de efectivo personal que te otorga $ 13.000 en beneficios cada día y todo gracias a The Bitcoin Code.
Y lo mejor de todo, no te costará un centavo.
ACCEDE A TU LINK PRIVADO AQUÍ
Si nunca has ganado un dólar, este sistema es exactamente lo que has estado buscando.

El asunto de los correos puede variar, pero el contenido del mismo es igual, todos ellos redirigen al usuario a una página web facilitando un enlace.
Si el usuario confía en el email, accede al enlace y facilita la información solicitada, ésta acabará almacenada en servidores controlados por ciberdelincuentes. Así mismo, probablemente sea utilizada para cometer cualquier otro fraude.

Nuestros consejos sobre cómo actuar en estos casos son similares a los de la OSI:
Nunca contestes a este tipo de mensajes.

No abras archivos ni sigas enlaces que aparezcan en ellos.Bajo ningún concepto facilites datos bancarios o realices ningún ingreso económico a cuentas que se nos puedan solicitar (transferencia).Si dudas sobre la veracidad de un correo, realiza búsquedas en Google con frases “claves” que contenga el mensaje, los resultados te pueden dar alguna pista. A veces, tras realizar una pequeña búsqueda en Internet, puedes encontrar usuarios que han sido víctimas de un determinado fraude.También puedes consultar directamente con la empresa o servicio implicado o con terceras partes de confianza como puede ser – En Chile – PDI.

2017: El año en que se demostró la necesidad de seguridad en TI

Existe una pregunta que suele ser cada vez mas frecuente: ¿Que debo hacer en caso de ser víctima de ransomware?, la respuesta es un poco más compleja de lo que quisiéramos. Los ataques de ransomware son cada vez mas frecuentes y complejos, afectando a organizaciones de cualquier tipo y tamaño a escala global. De hecho debemos plantearnos que los ciberataques están mas presentes que nunca y que afectan nuestra vida profesional y privada… a menos de que nos preparemos, lo cual es la clave para alejarnos de estos problemas.
Existen varios ejemplos en distintas industrias que han sido afectadas: Educación, salud, banca, infraestructura y más. Estas organizaciones son atractivas para los criminales ya que las vulnerabilidades que estas presentan son la puerta de entrada para que ellos encuentren lo que buscan: ganancia. Mediante el robo de información sensible (correos, números de RUT, tarjetas de crédito, contraseñas) además del secuestro de datos y equipos, y la inyección de malware que convierte nuestros equipos en recursos malignos para propagación, control y ataque. Por consiguiente la ganancia para los ciber criminales es alta junto con los daños para nuestros negocios.
La pérdida de datos médicos de un paciente hospitalario puede tener consecuencias fatales, análogamente en una institución financiera una intrusión y robo de datos puede provocar la quiebra financiera de clientes e inclusive existen casos de extorsión industrial con amenazas de sabotaje mediante malware, en los cuales es la producción de una compañía es la amenazada, junto con todo lo que esto conlleva.
Una encuesta del instituto SANS indica que el mayor tipo de ataque a instituciones financieras es el ransomware, seguido del phishing.
Esto nos lleva a la pregunta inicial: ¿Que debo hacer en caso de ser víctima de ransomware?. Primero debemos modificar esta pregunta por: ¿Que debo hacer para evitar ser víctima de ransomware?, y no solo de ransomware, sino de cualquier tipo de ciberataque. Aquí la respuesta viene con un prefacio: Somos blanco de ciberataques de forma permanente, la prevención es la mejor defensa. La prevención consiste en disminuir nuestra superficie de ataque, y eso se logra de la siguiente manera:
Gestión de vulnerabilidades: Es el proceso de identificar brechas de seguridad en nuestros sistemas y gestionar la mitigación de tales brechas. Como ejemplo: El ransomware WannaCry utiliza una brecha de seguridad del stack SMB en Windows para su propagación, existe un parche por parte de Microsoft desde 1 mes antes de que empezaran los ataques masivos; gran parte de la propagación de este ransomware se pudo haber evitado si tal actualización se hubiese aplicado oportunamente, (artículo recomendado: http://www.corporateit.cl/index.php/2017/09/08/gestion-de-vulnerabilidades-lecciones-para-prevenir-y-para-no-lamentar/)
Antivirus: Base de la protección de sistemas, el antivirus es una herramienta que debe estar presente en todos los dispositivos finales que se encuentren conectados a alguna red y/o que contengan información valiosa. Aunque su nombre ya debiese ser “antiMALWARE”, consiste en la detección oportuna de código malicioso, para su eliminación. Además de sus actualizaciones constantes y frecuentes, brinda una protección primaria siempre disponible. En Makros recomendamos Sophos Endpoint Protection, para usuarios particulares existe una opción gratuita en Sophos Home
Protección por análisis de comportamiento: Se trata de un símil a un antivirus pero que no se basa en “firmas” para la detección de amenazas, sino en el comportamiento de las aplicaciones en ejecución. Mediante este análisis se puede detener y frenar exitosamente problemas tan graves como el ransomware, pues cuando detecta un cifrado de archivos que no es solicitado por el usuario, lo detecta, detiene y reporta. Un excelente ejemplo es Sophos Intercept X
(Next Generation) Firewall: Un cortafuegos es otra medida base en un sistema de seguridad, el filtro de acceso a ciertos sitios y el bloqueo de puertos de entrada locales reduce aún mas las posibilidades de que un atacante pueda tener éxito en ciertos tipos de intrusión. Esto sumado a una reportabilidad incluida “out-of-the-box” y la posibilidad de enlazarse con la consola de antivirus (Sophos Endpoint Protection) crean una potente herramienta en pos de aumentar la seguridad perimetral e interna de nuestra organización.
Anti Phishing: Sin duda la puerta de entrada principal para el malware y otros cibercrimenes es el usuario final, los correos de suplantación de identidad y sitios falsos son el factor que presenta la mayor amenaza en contra de la seguridad organizacional. El entrenamiento de nuestros usuarios debiese ser parte central de una campaña de “prevención de riesgos informáticos”. En Makros ya contamos con una plataforma de medición y entrenamiento para la prevención de phishing, la cual se encontrará a disposición en diciembre de 2017 completamente en español. De todas formas es una gran ayuda para medir cuán seguros estamos frente a la ingeniería social.
Resumiendo: Según los eventos mas relevantes de este año en materia de seguridad, debemos tener siempre en consideración estos aspectos de defensa (y otros a detallar en próximas entregas) para la protección de nuestros activos mas valiosos, la información y las personas.
Ah, y finalmente… nunca pagar el “rescate” de un ransomware, ya que no existe la seguridad de que el pago de tal rescate nos permita recuperar los datos secuestrados. Además de que al pagar estaremos validando esta actividad criminal. Una buena política de respaldos de información y la aplicación de las medidas indicadas en este artículo disminuyen en gran medida la posibilidad de un ataque y su eventual impacto.