Ransomware WannaCry marca el inicio de más ciberataques: expertos

Categorías relacionadas:
Administración, Administración del riesgo, Amenazas, Cómo hacerlo, Cloud / Nube, Continuidad, Continuidad de negocios, CSO, Del día, Estrategias, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Políticas y normas, Principal, Productos de seguridad, Protección, Protección de datos, Reportes e investigaciones, Seguridad, Seguridad, Seguridad, Seguridad, Tecnologías, Tendencias, Tips

WannaCry-inicio

Miles de organizaciones en todo el mundo fueron sorprendidas por el ataque al ransomware de WannaCry lanzado el pasado viernes. La diferencia entre los ataques anteriores y este último es un componente tipo gusano que infecta a otros equipos al explotar una vulnerabilidad de ejecución remota de código crítico en la implementación de Windows del protocolo Server Message Block 1.0 (SMBv1).

Un investigador, quien utiliza el alias en línea de “MalwareTech”, se dio cuenta de que esto podría ser aniquilador y registró el propio dominio para frenar la propagación del ransomware.

Los atacantes de WannaCry adaptaron una vulnerabilidad existente filtrada en abril por un grupo llamado Shadow Brokers. El nombre de código EternalBlue se supone que forma parte de un grupo de ciberespionaje vinculado con la Agencia de Seguridad Nacional de Estados Unidos.

Desde entonces, los investigadores han descubierto un par de versiones más y han logrado registrar una de ellas. Según los expertos, los ataques de WannaCry continuarán, ya que a pesar de que los parches están disponibles, muchos sistemas probablemente seguirán siendo vulnerables por algún tiempo.

“Probablemente va a empeorar antes de que mejore, ya que será una de las amenazas más graves para los próximos 12 meses”, aseguró Catalin Cosoi, estratega jefe de seguridad de Bitdefender. “Los grupos de ciberespionaje patrocinados por el estado puede que aprovechen el defecto SMB para plantar puertas traseras en las computadoras, mientras que los defensores están ocupados con el ataque de ransomware mucho más visible.

El éxito de WannaCry demostró que un gran número de organizaciones se están quedando atrás en los parches, ya que tienen sistemas heredados que ejecutan versiones antiguas de Windows. Uno de los problemas principales es que muchas organizaciones no disponen de recursos financieros para actualizar o reemplazar estos sistemas.

Sin embargo, existen medidas que se pueden tomar para proteger esos sistemas, como aislarlos en segmentos de red donde el acceso está estrictamente controlado o desactivando protocolos y servicios innecesarios.

“Hay ciertas organizaciones o sectores donde el parche no es una cuestión sencilla”, dijo Carsten Eiram, director de investigación de la firma de inteligencia de vulnerabilidad Risk Based Security. “En esos casos, es imperativo que entiendan correctamente los riesgos y miren soluciones alternativas para limitar la amenaza”.

El éxito de WannaCry ha demostrado a los ciberdelincuentes que hay muchos sistemas vulnerables en las redes empresariales que pueden ser objeto de antiguas explotaciones.

“La hazaña de EternalBlue es parte de una filtración más grande llamada ‘Lost In Translation’ que reúne múltiples vulnerabilidades que van desde molestias simples hasta severas”, aseveró Bogdan Botezatu, analista senior de e-threat de Bitdefender. “Esperamos que la mayoría de estas hazañas de ‘grado gubernamental’ lo hagan al dominio público y se fusionen con malware de grado comercial”.

Leer más...



Responsabilizan al gobierno de EUA del alcance del ransomware WannaCrypt

Categorías relacionadas:
Administración, Administración del riesgo, Amenazas, Cómo hacerlo, Cloud / Nube, Continuidad, Continuidad de negocios, CSO, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Políticas y normas, Principal, Productos de seguridad, Protección, Protección de datos, Recuperación, Seguridad, Seguridad, Seguridad, Seguridad, Tips

ransomware-wannacrypt-cio

Microsoft afirmó ayer domingo que una vulnerabilidad había sido extraída de la Agencia de Seguridad Nacional de Estados Unidos (NSA), ocasionando un efecto en cadena que alcanzó a computadoras de todo el mundo.

La compañía de Redmond describió el alcance del ransomware WannaCrypt del viernes pasado en varios países como otro ejemplo de los problemas causados por la acumulación de vulnerabilidades en los sistemas informáticos gubernamentales.

Al calificar el ataque como “una llamada de atención”, el presidente y responsable legal de Microsoft, Brad Smith, escribió en un post que “los gobiernos han de tomar en consideración el grave perjuicio que causa a los ciudadanos la desidia a la hora de subsanar las vulnerabilidades que presentaban sus sistemas”.

El ransomware, denominado también como WannaCry o Wana Decryptor, actúa enganchándose a una vulnerabilidad presente en alguna versión antigua de Windows. Se sospecha que el malware procede de herramientas de hackeo situadas en cache que fue robado por el grupo de hacking llamado Shadow Brokers de la NSA, quienes la filtraron a Internet. Trascendió también que WannaCry lleva una ventaja incorporada, llamada EternalBlue, que facilita el secuestro de las máquinas más antiguas que no han sido parcheadas.

Microsoft confirma ahora que el ransomware utilizado en el ataque del viernes pasado se inició a partir del cúmulo de exploits robados a la NSA.

Ayer, la compañía ponía a disposición de los usuarios una actualización de seguridad para subsanar la vulnerabilidad. “Mientras las empresas instalan el parche de protección en las versiones de Windows de plataformas más nuevas, otras muchas empresas seguirán estando desprotegidas a nivel global y, como resultado de ello, organizaciones de todo tipo como hospitales, negocios, administraciones gubernamentales y computadoras de muchos hogares se seguirán viendo afectados”, puntualizaba Smith.

El viernes pasado, un gran número de organizaciones y empresas de todo tipo sufrieron un ataque global sin precedentes, incluyendo hospitales de Reino Unido. Se estima que el alcance del ransomware ha afectado a cerca de 100.000 empresas de 150 países.

Leer más...



Nueva herramienta detecta si un equipo fue investigado por la NSA

Categorías relacionadas:
Administración, Administración del riesgo, Amenazas, Cómo hacerlo, Continuidad, Continuidad de negocios, CSO, Del día, Destacado, Estrategias, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Políticas y normas, Productos de seguridad, Protección, Protección de datos, Seguridad, Seguridad, Seguridad, Tecnologías, Tips

nueva-herramienta-nsa

Una herramienta gratuita puede comprobar si un equipo fue investigado por la Agencia de Seguridad Nacional (NSA) de Estados Unidos, tras conocerse los últimos casos de espionaje del país publicados por WikiLeaks.

Luke Jennings, experto en seguridad de Countercept, escribió un guión diseñado para detectar un implante que es entregado por muchas de las vulnerabilidades basadas en Windows y que puede utilizarse para detectar las máquinas infectadas por la NSA.

Below0Day, una empresa de pruebas de penetración, publicó gráficas para mostrar qué países son los más afectados. Este ranking lo lidera Estados Unidos con 11,000 dispositivos. Otros, como Reino Unido, Taiwán y Alemania han reportado más de 1,500 máquinas infectadas cada uno.

“No está claro cuándo fueron atacados los equipos”, dijo Jennings. Los expertos en seguridad están preocupados porque los ciberdelincuentes o los gobiernos extranjeros podrían utilizar este código para atacar a los equipos que ya han demostrado ser vulnerables. Los dispositivos con los sistemas Windows más antiguos o sin parches están particularmente en riesgo. Reiniciar un sistema eliminará el implante, pero no necesariamente cualquier malware asociado a él.

Algunos se preguntan si el script es incorrecto por el número de sistemas infectados, pero no hay ninguna evidencia de que el guión esté equivocado, aseveró Jennings.

Leer más...



Vulnerabilidades de la NSA no afectarán a usuarios actualizados, asegura Microsoft

Categorías relacionadas:
Administración, Administración del riesgo, Amenazas, Cómo hacerlo, Cloud / Nube, Continuidad de negocios, CSO, Del día, Destacado, Estrategias, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Protección, Protección de datos, Seguridad, Seguridad, Seguridad, Seguridad

vulnerabilidades-nsa

Microsoft dio a conocer el sábado que ya arregló las vulnerabilidades de la reciente divulgación de supuestas técnicas de espionaje de la Agencia de Seguridad Nacional (NSA), lo cual significa que los clientes deben estar protegidos si han mantenido su software actualizado. Y es que la fuga del viernes pasado causó preocupación en la comunidad de seguridad. 

Las herramientas de espionaje incluyen cerca de 20 exploits diseñados para hackear versiones antiguas de Windows, como Windows XP y Windows Server 2008.

“Nuestros ingenieros investigaron los exploits revelados, y la mayoría de los exploits ya están reparados”, informó la compañía en un blog a última hora del viernes. Sin embargo, tres de los exploits encontrados en la fuga no han sido parcheados, aunque no funcionan en plataformas que Microsoft soporta actualmente. Por ello, a los clientes que siguen ejecutando versiones anteriores de productos –como Windows 7 o Exchange 2010– la compañía les anima a utilizar la oferta actual.

Matthew Hickey, director de la firma de seguridad Hacker House, examinó las filtraciones y estuvo de acuerdo con la evaluación de Microsoft. El directivo aconsejó que las empresas –que a menudo retrasan los parches para propósitos operativos– se muevan rápidamente para instalar los arreglos de Microsoft a los servidores que estén en estado crítico.

La filtración del viernes fue la última revelación de un misterioso grupo conocido como The Shadow Brokers. Este grupo ha publicado archivos que hacen sospechosa a la NSA. Los expertos en seguridad dicen que la divulgación del viernes es probablemente otro golpe para la agencia estadounidense. De hecho, The Shadow Brokers también ha advertido que tienen más archivos para lanzar.

Leer más...



Aseguran saber cómo hackear cámaras de las Mac

Categorías relacionadas:
Amenazas, CSO, Del día, Lo más reciente, Lo más reciente, Malware y Amenazas, Movilidad, Seguridad, Seguridad, Sistemas operativos, Tablets, Ultrabooks

ataques-mac

logo-15-anos-CIO-MexicoA pesar de gozar de gran popularidad como dispositivos ultra seguros, las computadoras Mac son especialmente vulnerables a ciertos peligros informáticos, como el malware o software malicioso. Y ahora, según asegura un ex empleado de la NASA, tendrán que enfrentarse a un nuevo problema de seguridad que afectará directamente a sus cámaras web.

Patrick Wardle, director de la firma de seguridad informática Synack, y antiguo empleado de la Agencia de Seguridad Nacional (NSA) y la NASA, comunicó que hará público un método que podría vulnerar el Mac OS.

Mediante un malware sería posible el acceso a las cámaras de cualquier computadora de Apple, brindando a los ciberdelicuentes la posibilidad de realizar grabaciones a través de éstas, sin que los usuarios de los dispositivos fueran conscientes de ello.

Wardle difundió en su cuenta personal de twitter que comunicará dicha información en la Virus Bulletin International Conference – VB2016. 

También aseguró que el método para intervenir las webcams no es infalible, ya que el malware sólo podría operar mientras la cámara web de la computadora está en uso.

También anunció que está desarrollando una herramienta con la que podrá detectarse si la cámara de las Mac está siendo utilizada sin autorización del usuario. Mientras tanto, quizá sea mejor prevenir y mantenerla tapada si no estamos haciendo uso de ella.

Leer más...