Sep 23

Campaña de extorsión activa envía correo que simula ser desde la cuenta de la víctima

Ojito con los correos!!!

https://www.welivesecurity.com/la-es/2018/09/21/campana-extorsion-activa-correo-simula-ser-desde-cuenta-victima/

Transcripción:

Está circulando una campaña de extorsión a través del correo con un mensaje que tiene como asunto “su cuenta ha sido pirateada” y que hace creer a la víctima que el correo fue enviado desde su propia cuenta.

Hacia fines de julio publicamos un artículo sobre una campaña de sextorsión que se propagaba a través del correo electrónico, en la que llegaba un correo de un remitente desconocido con la contraseña del usuario en el asunto del mensaje, y con la clara intención de captar rápidamente la atención de la víctima y hacerle creer que el atacante poseía su información.

De manera similar, en los últimos días hemos detectado una campaña a través del correo, que aún está activa, y que tiene la particularidad de que el mensaje que llega al usuario fue enviado desde su propia cuenta, lo que lleva a la víctima a suponer que el atacante tiene acceso a su cuenta.

A través de un mensaje intimidatorio como el que se muestra a continuación, se le hace creer al usuario que su computadora ha sido infectada con un troyano y que ahora el atacante posee su información confidencial. El objetivo final del correo es una estafa, donde se solicita un pago a la potencial víctima.

Imagen 1: Correo electrónico recibido por los usuarios

Recogimos diversos reportes de usuarios que recibieron este mensaje, por lo que decidimos realizar esta publicación y explicar de una manera sencilla la manera en que se llevan a cabo este engaño.

Suplantación de cuentas de correo mediante spoofing

La clave de la campaña se encuentra en la dirección desde la cual está siendo enviado el correo. Mediante una técnica conocida como spoofing, el atacante hace creer a la víctima que el correo ha sido enviado desde su propia cuenta de correo, buscando que este realmente crea que la misma ha sido comprometida y se encuentra en poder del atacante.

Imagen 2: El receptor y el remitente parecen ser la misma cuenta

La técnica de suplantación es utilizada en el protocolo de correo SMTP, dado que éste no incluye un mecanismo de autenticación. Por lo tanto, si no se toman las medidas de precaución adecuadas a la hora de configurar los servicios de correo electrónico, cualquiera puede enviar correos falsificados, que a simple vista parecieran provenir de una dirección o un dominio legítimo, pero que en realidad no corresponden con el emisor.

Para analizar esta problemática se revisan los registros SPF (Sender Policy Framework), ya que sirven para identificar uno o varios servidores autorizados para el envío de correos de un determinado dominio; dado que el objetivo de este registro es identificar correos electrónicos que han sido enviados desde servidores de correo no autorizados.

En el caso de estos correos fraudulentos recibidos por los usuarios, el análisis de la cabecera de los mensajes recibidos muestra que el correo fue enviado desde un servidor no autorizado para enviar correos del dominio de la víctima. Es decir, que se trata de un claro caso de suplantación.

Imagen 3: Cabecera del mensaje fraudulento

Si bien hoy en día la mayoría de los servicios de correo utilizan los registros SPF para identificar correos fraudulentos, de spam o para marcarlos como peligrosos o no deseados, lo cierto es que una buena práctica consiste en verificar las cabeceras de los correos para corroborar que la dirección del remitente es legítima.

Monetización de la campaña de extorsión

Detrás de este tipo de campañas existe un propósito económico. A cambio de borrar la información confidencial supuestamente obtenida por el atacante, se solicita un pago mediante el envío de Bitcoins.

Al revisar los movimientos de la billetera virtual detectamos que algunas víctimas han caído en el engaño, ya que se registran transacciones realizadas en los últimos días, como se puede apreciar en la siguiente imagen.

Imagen 4: Transacciones en la billetera virtual de los atacantes

Hasta el momento de escribir esta publicación, la billetera contaba con 0.35644122 Bitcoins, equivalente a poco más de 2.400 dólares, con un par de transacciones realizadas durante los días que la campaña ha estado activa, lo que hace suponer que algunas personas han caído en el engaño.

Este tipo de campañas pueden arrastrar a muchas víctimas si no están atentas. En el caso de la campaña de sextorsión que estuvo activa en el mes de julio y que mencionamos al comienzo de este artículo, los cibercriminales lograron recaudar cerca de medio millón de dólares de víctimas de distintas partes del mundo.

Campañas de extorsión utilizando Ingeniería Social

Después de revisar el modo de operación de la campaña de extorsión, corroboramos que se trata de una campaña de Ingeniería Social mediante la cual se busca engañar a los usuarios para que realicen un pago. Desde el Laboratorio de Investigación de ESET, recomendamos no responder los correos de este estilo y entender que se trata de un engaño; por supuesto, tampoco se debe pagar a los atacantes.

Además, es conveniente hacer caso omiso de este tipo de mensajes y aplicar las buenas prácticas en el uso del correo electrónico junto a otras recomendaciones, como cambiar las contraseñas de manera regular, utilizar soluciones de seguridad en los equipos, así como habilitar las opciones de doble autenticación disponibles en los diferentes servicios de Internet.

Sep 23

Laboratorio: Laboratorio de inyecciones SQL (más de 60 ejercicios/lecciones)

Laboratorio para practicar. Empecemos…

http://blog.segu-info.com.ar/2018/09/laboratorio-de-inyecciones-sql-mas-de.html

Transcripción:

El holandés Audi-1 tiene un repositorio en Github muy interesante llamado SQLI-LABS que nos permitirá montar rápidamente una plataforma para aprender y practicar inyecciones SQL de diferentes tipos:

  • Inyecciones basadas en error (Union Select): 1. String 2. Integer
  • Inyecciones basadas en error (Double Injection Based)
  • Inyecciones ciegas: 1. booleanas 2.basadas en tiempo
  • Inyecciones de peticiones update
  • Inyecciones de peticiones insert
  • Inyecciones en la cabecera HTTP 1. basadas en referer. 2. basadas en user-agent. 3. basadas en la cookie
  • Inyecciones de segundo órden
  • Evasión de WAF
  • Bypass de filtros de Blacklist: Stripping comentarios, OR & AND, espacios y UNION & SELECT
  • Impidence mismatch
  • Bypass de addslashes()
  • Bypass de mysql_real_escape_string. (bajo ciertas condiciones especiales)
  • Inyecciones SQL de tipo stacked
  • Extracción Secondary channel

Instrucciones

  • Descomprime los contenidos dentro de la carpeta de apache, por ejemplo en /var/www. Esto creará el directorio sql-labs.
  • Como alternativa, se puede usar el comando git directamente desde la carpeta /var/www: git clone https://github.com/Audi-1/sqli-labs.git sqli-labs
  • Abre el archivo “db-creds.inc” que se encuentra debajo del dir sql-labs/sql-connections.
  • Actualiza el nombre de usuario y la contraseña de la base de datos MYSQL. (Por defecto root:toor)
  • Desde el navegador accede a la url con path sql-labs para cargar index.html.
  • Haz clic en la configuración del enlace setup/resetDB para crear una base de datos, las tablas y completar los datos.
  • Los labs ya estarían listos para usar, haz clic en el número de la lección para abrir la página correspondiente.
  • Disfruta de los laboratorios!

Tienes videotutoriales, walkthroughts y explicaciones en distintos sites del autor:

También tiene un libro pero todavía está en desarrollo: https://leanpub.com/SQLI-LABS

Repo: https://github.com/Audi-1/sqli-labs

Fuente: HackPlayers

Sep 21

Artículo: Cloudflare pone fin a los desafíos de CAPTCHA para los usuarios de Tor – EnHacke Ciberseguridad

Transcripción:

Cloudflare lanzó hoy un nuevo servicio llamado “Cloudflare Onion Service” que puede distinguir entre bots y tráfico legítimo de Tor. La principal ventaja de este nuevo servicio es que los usuarios de Tor verán mucho menos, o incluso ningún CAPTCHA cuando accedan a un sitio web protegido por Cloudflare a través del navegador Tor.

El nuevo Cloudflare Onion Service necesitaba que el equipo Tor realizara “una pequeña modificación en el binario Tor”, por lo que solo funcionará con las versiones más recientes del navegador Tor: Tor Browser 8.0 y el nuevo navegador Tor para Android, ambos lanzados antes este mes.

A los usuarios de Tor que están hartos de ver un flujo interminable de reCAPTCHA de Google cuando acceden a un sitio protegido con Cloudflare se les recomienda actualizar a una de estas dos versiones.

El nuevo Cloudflare Onion Service también es gratuito para todos los clientes de Cloudflare y puede habilitarse activando la opción “Cifrado oportunista” en la pestaña Crypto del panel Cloudflare.

Los usuarios de Tor se han quejado de ver demasiados CAPTCHA cuando acceden a un sitio de Cloudflare-protect durante años. En febrero de 2016, los administradores del Proyecto Tor llegaron a acusar a Cloudflare de ” sabotear el tráfico de Tor ” forzando a los usuarios de Tor a resolver campos de CAPTCHA diez veces o más, en algunos casos.

Cloudflare respondió a las acusaciones un mes después, alegando que la compañía solo mostraba CAPTCHA porque el 94 por ciento de todo el tráfico de Tor eran robots automáticos o se originaban de actores maliciosos.

Medio año más tarde, en octubre de 2016, Cloudflare comenzó a buscar métodos para eliminar CAPTCHAS para los usuarios de Tor. Su primera incursión fue la especificación Challenge Bypass y una extensión del navegador Tor, pero ese proyecto no fue demasiado lejos.

Los ingenieros de la compañía eligieron otra ruta, basándose en una característica denominada Cifrado oportunista , que presentaron en septiembre de 2016.

En una publicación de blog de hoy, el equipo de Cloudflare explicó cómo usaron esta función, junto con un encabezado Proxy Protocol personalizado, HTTP / 2 y algunas otras herramientas para crear Cloudflare Onion Service, un sistema capaz de distinguir entre Tor bueno y malo. usuarios, y permitiendo que el buen tráfico Tor fluya a los sitios protegidos por Cloudflare sin molestar a los usuarios con los molestos “signos de las calles” de los desafíos de CAPTCHA.

Origen: Cloudflare pone fin a los desafíos de CAPTCHA para los usuarios de Tor – EnHacke Ciberseguridad

Sep 21

Artículo: Nuevo Juego Viral “Olivia” – Protegerse. Blog del laboratorio de Ontinet.com

Transcripción:

Olivia es el nuevo juego viral que circula por WhatsApp. Se puede considerar más peligroso que Momo, debido a que solo basta con que la víctima haga clic en el enlace para cumplir su cometido.         ¿En qué consiste “Olivia”? Según informa la policía de Halton Brook, Reino Unido, han sido advertidos sobre preocupantes mensajes por WhatsApp sobre una supuesta Olivia. Estos mensajes intentan que las víctimas accedan a sitios pornográficos o a virus. Se presenta a sí misma como una amiga, y para probar su identidad envía un enlace donde supuestamente hay una foto junto al usuario que contactó.   ¿Cuál es su funcionamiento paso a paso?   La víctima recibe un mensaje por WhatsApp diciendo que es “amiga de un amigo” y que ha cambiado de número de teléfono móvil, y que por eso no lo tienes en la agenda de contactos. Ya agregada, te manda un link donde supuestamente hay una foto suya para probar su identidad. Pero en realidad este enlace te lleva a un contenido pornográfico, al que los menores pueden acceder de forma rápida.     ¿Cómo podemos evitar que nuestros hijos participen en este tipo de juegos y desafíos tan peligrosos? Lo primero de todo, tenemos que dar importancia a que los niños y adolescentes son vulnerables, ya que no tienen la madurez emocional para enfrentarse a este tipo de juegos y a los diferentes riesgos que se pueden encontrar en Internet (acoso, grooming, extorsión, manipulación, etc…). Como padres, es muy importante que eduquemos a nuestros hijos sobre el uso adecuado de la tecnología y de los peligros que se pueden encontrar. Los consejos que les podemos dar a nuestros hijos son principalmente: Precaución con las personas nuevas que contactas en la Red. Pedir siempre ayuda a una persona adulta ante cualquier problema. No compartir el número de teléfono en Internet, así como cualquier dato personal. Informarles de los distintos bulos, juegos o desafíos que se pueden encontrar en Internet e insistir sobre la importancia de no compartir y no participar en ellos. Podéis encontrar en los siguientes enlaces más información acerca de cómo proteger y educar sobre el uso correcto de Internet. El blog de Angelucho x1Red+segura IS4K – Internet Segura For Kids Lecturas recomendadas ¡No lo dudéis! Si necesitas ayuda o asesoramiento profesional y especializado puedes llamar a la siguiente línea gratuita y confidencial de IS4K, 900116117, donde recibirás atención psicosocial. Llegado el momento de denunciar, puedes ponerte en contacto con la Brigada de Investigación tecnológica de la Policía Nacional y con el Grupo de Delitos Informáticos de la Guardia Civil.

Origen: Nuevo Juego Viral “Olivia” – Protegerse. Blog del laboratorio de Ontinet.com

Sep 21

Artículo: Los títulos de correos electrónicos más usados en ataques de phishing

Transcripción:

Las pequeñas y medianas empresas se enfrentan principalmente al phishing, acorde a una reciente investigación A pesar de las crecientes amenazas de phishing, ransomware y otros tipos de malware más, muchas pequeñas empresas no cuentan con un programa de capacitación en ciberseguridad de empleados, según un informe realizado por especialistas en hacking ético. Gracias a una encuesta realizada a cerca de 500 pequeñas y medianas empresas (PYMES) en Estados Unidos, investigadores descubrieron que el 66% de las empresas con menos de 19 trabajadores no cuentan con ningún tipo de capacitación sobre ciberseguridad para sus empleados. Para las empresas con entre 20 y 99 empleados, el porcentaje es de 29%, y para aquellas con entre 100 y 500 empleados fue del 13%. Los programas de capacitación que las empresas no están aplicando presentan una alta tasa de eficacia. Un informe adicional reporta que cuando a los empleados se les muestran simulaciones de phishing en combinación con capacitación continua, su tasa de clics en estos enlaces de phishing disminuía en más de la mitad, del 26% al 12%. En general, el phishing es considerado como la mayor amenaza contra las PYMES en la actualidad, más de la mitad de los especialistas en hacking ético lo consideran de esta manera. Aún así, otro 24% de los encuestados dijo que no lo consideraban su mayor amenaza, según el informe. Por su parte, los empleados de empresas con menos de 19 trabajadores eran los menos propensos a conocer cualquier tipo de amenaza cibernética. En cuanto a los correos de phishing, hay tendencias muy claras sobre sus características, se explica en el informe. Los títulos de correo electrónico más comúnmente asociados a las campañas de phishing son: Revisión/Revisión rápida Banco de ; Nueva notificación Donación para usted Para su información: Acción requerida: pague el saldo de su cuenta Intento de inicio de sesión no autorizado Aviso de pago a Importante: (1) NUEVO mensaje de AMAZON: Su pedido no # 812-4623 PODRÍA LLEGAR Transferencia bancaria Asistir urgentemente La principal amenaza para las empresas con entre 20 y 99 empleados es la ingenuidad de sus trabajadores, con el phishing llegando al 22% de intentos satisfactorios, por lo que especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética recomiendan que las PYMES se enfoquen en capacitar a sus empleados para administrar el correo electrónico que reciben de manera segura. Sin embargo, muchas PYMES no cuentan con los recursos necesarios para manejar la seguridad a nivel de expertos, encontró el informe. Cerca del 41% de los encuestados dijeron que no tenían disponían de presupuesto para la seguridad de TI, y solo el 12% dijo que contaban con personal de seguridad interno dedicado. Una porción más reducida de los encuestados dijo haber recurrido a terceros para revisiones periódicas de ciberseguridad.

Origen: Los títulos de correos electrónicos más usados en ataques de phishing

Sep 20

Artículo: Nueva campaña de ransomware encripta archivos aún si se paga el rescate

Transcripción:

Casi 50 servidores de Linux y Windows se han visto afectados por estos ataques

Los ataques de ransomware se volvieron terriblemente populares de un momento a otro. Noticias de ataques como WannaCryPetya y NotPetya precedieron a un aumento sustancial en el número de pequeñas campañas usando técnicas similares para extorsionar a usuarios de Internet desprevenidos. Recientemente, investigadores en hacking ético han revelado la existencia de un nuevo malware que continúa con el legado de NotPetya, combinando varios tipos de amenazas en un solo ataque.

Este equipo de hacking ético, apodado Unidad 42, nombró a este nuevo malware Xbash. Se dice que combina el uso de una botnet, ransomware y minería de criptomoneda, y se dirige a servidores que ejecutan Linux o Windows. Los investigadores culpan a una entidad llamada Iron Group por la creación de Xbash, pues ya se les ha relacionado anteriormente con otras campañas de ransomware. Se cree que el malware fue visto por primera vez en mayo de 2018.

Como informan los especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, el ransomware es una forma de malware que encripta los archivos en el sistema de la víctima, exigiendo un rescate a cambio de su restauración. Estas tarifas generalmente se pagan en Bitcoin, para que la transacción sea difícil de rastrear, para que posteriormente el atacante proporcione a la víctima la forma de restaurar sus archivos.

El problema es que no siempre se obtiene un resultado satisfactorio. Unidad 42 dijo que Xbash, al igual que NotPetya, en realidad no cuentan con mecanismos para la restauración de archivos. Aún así se exige el rescate, y 48 víctimas han pagado aproximadamente 6 mil dólares en Bitcoin a los atacantes hasta el momento, pero sus archivos permanecieron encriptados. Esto ha llevado a pensar que el verdadero objetivo del ataque Xbash es la destrucción de archivos.

Unidad 42 mencionó también que las funciones de Xbash varían según el sistema operativo en cuestión. Los dispositivos Linux están sujetos a las características de ransomware, y también se utilizan para crear las botnets del malware. Los dispositivos de Windows, por otro lado, se usan para la minería de criptomoneda y la auto propagación del ataque. Atacar a ambos sistemas operativos, los operadores de Xbash se aseguran de generar tanto disturbio como sea posible, sin importar el sistema operativo que se esté atacando.

Xbash también tiene una función que le permitiría examinar y comprometer la intranet de una organización. Esta función no se encuentra habilitada, pero Unidad 42 advirtió que, de ser así, esta funcionalidad de intranet “podría hacer que Xbash sea aún más devastador de lo que es ahora”. Las redes internas a menudo presentan menos seguridad que las externas, y comprometer esas redes podría permitir a Xbash interferir con los servicios vitales de una organización.

Cuatro versiones de Xbash han sido descubiertas hasta el momento; los investigadores comentan que es muy posible que la campaña se mantenga activa a la fecha, pues las versiones muestran que Xbash sigue en desarrollo activo. Ese desarrollo podría utilizarse para introducir nuevas funcionalidades, habilitar la función de orientación de intranet ya presente en el malware o ayudar a Xbash a evadir mejor la detección. El desarrollo activo significa que la amenaza del malware evoluciona constantemente, por lo que se recomienda a las organizaciones mantener actualizadas sus defensas, así como realizar respaldos de información sensible ante el peor escenario posible.

Origen: Nueva campaña de ransomware encripta archivos aún si se paga el rescate

Sep 20

Artículo: Vulnerabilidad en dispositivo My Cloud expone información sensible

Transcripción:

Una vulnerabilidad de omisión de autenticación en Western Digital My Cloud permitiría a los hackers acceder al contenido almacenado

Investigadores de una empresa de hacking ético descubrieron una vulnerabilidad de escalada de privilegios en la plataforma de My Cloud, de Western Digital, que los hackers podrían aprovechar para obtener acceso de nivel administrativo al dispositivo a través de una solicitud HTTP. La falla, identificada como CVE-2018-17153, permitiría a un atacante no autenticado con acceso de red al dispositivo autenticarse como administrador sin proporcionar una contraseña.

Los hackers podrían aprovechar la falla para ejecutar comandos, acceder a los datos almacenados en el dispositivo, modificarlos y copiarlos, así como borrar el NAS.

“Descubrimos que el dispositivo My Cloud se ve afectado por una vulnerabilidad de omisión de autenticación que permite a un usuario no autenticado crear una sesión de administrador vinculada a su dirección IP”, menciona el reporte publicado por los especialistas en hacking ético. “Al explotar esta vulnerabilidad, el atacante no autenticado puede ejecutar comandos que normalmente requerirían privilegios de administrador y obtendría el control completo del dispositivo de Western Digital”.

La vulnerabilidad radica en el proceso de creación de sesiones administrativas implementadas por los dispositivos My Cloud que se vinculan a la dirección IP del usuario. Una vez que se crea la sesión, es posible llamar a los módulos CGI autenticados enviando el nombre de usuario cookie = admin en la solicitud HTTP. El CGI verificará si hay una sesión válida y está vinculada a la dirección IP del usuario.

Un atacante puede enviar una llamada CGI al dispositivo, incluida una cookie que contiene la cookie username = admin. Los investigadores incluso publicaron el código para explotar la vulnerabilidad:

POST /cgi-bin/network_mgr.cgi HTTP/1.1

Host: wdmycloud.local

Content-Type: application/x-www-form-urlencoded

Cookie: username=admin

Content-Length: 23

 cmd=cgi_get_ipv6&flag=1

“Se descubrió que es posible que un atacante no autenticado cree una sesión válida sin necesidad de autenticarse”, continúa el informe.

La vulnerabilidad fue reportada a la empresa desde el mes de abril, pero aún no existe pronunciamiento oficial por parte de Western Digital.

Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, en febrero pasado fueron reveladas dos vulnerabilidades en los dispositivos de almacenamiento de red Western Digital My Cloud que podrían ser explotados por un atacante local para obtener acceso raíz a los dispositivos NAS. De igual forma, en abril fue descubierto que los dispositivos de almacenamiento Western Digital My Cloud EX2 estaban filtrando archivos en una red local de manera predeterminada.

Origen: Vulnerabilidad en dispositivo My Cloud expone información sensible

Sep 20

Vulnerabilidad día cero permite acceso a cámaras de circuito cerrado

Origen: Vulnerabilidad día cero permite acceso a cámaras de circuito cerrado

Transcripción:

Vulnerabilidad día cero permite acceso a cámaras de circuito cerrado

Firmware utilizado en hasta 800 mil cámaras es vulnerable a ataques gracias a una vulnerabilidad de desbordamiento de búfer

Entre 180 mil y 800 mil cámaras de televisión de circuito cerrado basadas en IP (CCTV) son vulnerables a un bug de día cero que permitiría a los atacantes acceder a las cámaras de vigilancia, espiar y manipular transmisiones de video o instalar malware, reportan especialistas en hacking ético.

De acuerdo con un reporte de seguridad emitido el lunes, la vulnerabilidad ha sido calificada como crítica y está vinculada al firmware utilizado posiblemente en una de cada 100 cámaras diferentes que ejecutan el software afectado. Se espera que NUUO, la empresa con sede en Taiwán que fabrica el firmware, emita un parche de actualización para el error en las próximas horas. La compañía trabaja con más de 100 socios diferentes, incluidos Sony, Cisco Systems, D-Link y Panasonic. No está claro cuántos socios de NUUO podrían haber estado trabajando con el firmware vulnerable.

Las vulnerabilidades (CVE-2018-1149–CVE-2018-1150), denominadas Peekaboo por los expertos en hacking ético encargados de la investigación, están vinculadas al software del servidor web de los dispositivos NUUO NVRMini2.

Acorde a los investigadores, “Una vez que se explota, Peekaboo les daría acceso a los ciberdelincuentes al sistema de gestión de control, exponiendo las credenciales de todas las cámaras de vigilancia conectadas. Usando el acceso raíz en el dispositivo NVRMini2, los ciberdelincuentes podrían desconectar las transmisiones en vivo y alterar las grabaciones de seguridad”.

El año pasado, Reaper Botnet, una variante de la botnet Mirai, también atacó a los dispositivos NUUO NVR. Estas vulnerabilidades recientemente reveladas también dejan las cámaras abiertas a ataques de botnets similares.

CVE-2018-1149 es la vulnerabilidad día cero en cuestión. Usando herramientas como Shodan, el atacante puede encontrar un dispositivo comprometido, a continuación, se comienza a desencadenar un ataque de desbordamiento de búfer que permite a los hackers acceder a la CGI del servidor web de la cámara, que actúa como puerta de enlace entre un usuario remoto y el servidor web. Según los investigadores, el ataque implica entregar un archivo de cookies demasiado grande para el identificador CGI. El CGI no valida la entrada del usuario correctamente, lo que les permite acceder a la porción del servidor web de la cámara.

La segunda falla encontrada (CVE-2018-1150) aprovecha una funcionalidad de backdoor en el servidor web del dispositivo NUUO NVRMini2, lo que permitiría que un atacante no autenticado cambie una contraseña para cualquier usuario registrado, excepto del administrador del sistema.

El parche emitido por NUUO abarca las versiones de software 3.9.1 y posteriores, especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética señalan que los dispositivos comprometidos deberán ser actualizados de forma manual para garantizar el funcionamiento correcto de la actualización.

 

Sep 20

Artículo: Así puedes evitar la pérdida de datos ligada a ataques de ransomware – Globb Security

Transcripción:

Desde la entrada en vigor del RGPD, se han multiplicado los debates sobre el riesgo de brechas de datos”, afirma Eran Brown, Chief Technology Officer de INFINIDAT EMEA. Y no es de extrañar. La nueva ley de protección de datos pone énfasis en el usuario y sus derechos lo que afecta directamente a las empresas que, más que nunca, están obligadas a proteger los datos personales de manera proactiva.

Ante un escenario “de alto riesgo” en el que las empresas deben proteger sus activos de constantes ataques, INFINIDAT ha querido compartir un listado de tres desafíos críticos que, a juicio de sus expertos, deben tener en cuenta las empresas para evitar la pérdida de datos debido a ataques de ransomwarey cumplir con las estrictas regulaciones que establece el RGPD.

Se considera que se produce una brecha de datos cuando un tercero no autorizado accede a datos 
personales de clientes manejados por una empresa; una pérdida de datos, por su parte, supone que es 
la propia empresa la que ve interrumpido su acceso a los datos personales de sus clientes.

 

En los últimos años, la causa más común de la pérdida de datos personales han sido los ataques de ransomware, con nombres como WannaCry, Petya, o CryptoLock. Tanto que en 2017 las campañas de ransomware fueron los ataques de malware más comunes. En algunos sectores, como el sanitario, este porcentaje superó el 70%.

Dada esta situación, y con muchos retos a los que enfrentarse, existen algunos aspectos que deben ser considerados por los responsables de las organizaciones a fin de desarrollar una estrategia sólida:

1.       Detección de los ataques

Los ataques de ransomware modernos pueden permanecen ocultos durante largos periodos de tiempo antes de ser detectados, con el objetivo de cifrar el mayor número de datos. Luego el malware bloquea al usuario y solicita un “rescate” utilizando como divisa una criptomoneda. Este comportamiento es muy eficiente, pero también es el talón de Aquiles del ataque: dado que los cambios se acumulan con el tiempo, es posible detectar el malware si se utiliza un mecanismo de rastreo.

Los snapshots, que generalmente consumen porcentajes muy reducidos del volumen total de los datos, comenzarán a “inflarse”, al consumir más capacidad. Si el sistema de almacenamiento proporciona algún tipo de monitorización y alarmas sobre consumo de capacidad, la organización podrá detectar fácilmente este aumento y reaccionar antes de que los atacantes puedan bloquear a los usuarios.

2.       Respuesta a los ataques

Si, por ejemplo, el ataque de ransomware ha sido capaz de cifrar 100 Terabytes de datos durante una semana, los backups ejecutados durante esa semana también se verán comprometidos, y no podrán utilizarse para recuperar los datos. Por tanto, los administradores se verán obligados a recuperar 100 TB de información a través de la red desde un sistemas de backup, lo que probablemente llevará horas, y sin garantías de que la recuperación no contenga archivos corruptos.

Pero, al mismo tiempo, el tamaño del snapshot sugerirá inmediatamente si contiene datos cifrados. Por tanto, si una organización utiliza snapshots, podrá acceder a ellos, testarlos en sus propias instalaciones y recuperar el snapshot correcto, reduciendo así el tiempo de recuperación de días a minutos.

3.       Prevención ante la explosión en el volumen de almacenamiento

Un vector de riesgo que a veces no se considera en el contexto del ransomware es que la capacidad adicional que consume durante su tiempo “silencioso” aumenta la carga sobre los arrays de almacenamiento existentes, en promedios de entre un 80% y un 100%, lo que, obviamente, bloqueará las aplicaciones corporativas.

Disponer de un array de mayor capacidad ofrecerá a los administradores un mayor tiempo para identificar y responder ante los ataques de ransomware. Pero, al mismo tiempo, también conllevará un mayor nivel de consolidación de datos y, por tanto, requerirá una mayor fiabilidad. La arquitectura de doble controlador, diseñada en la década de los 90 del siglo pasado para entornos de unos pocos terabytes, no puede proporcionar este nuevo nivel de fiabilidad que se requiere en la era del Petabyte.

Almacenamiento y protección de datos: un nuevo modelo para combatir el ransomware

Si bien en los sistemas InfiniBox de INFINIDAD el hardware se comparte entre los usuarios, estos sistemas ofrecen también capacidad bajo demanda basada en pools de capacidad que permiten a los clientes separar las diferentes aplicaciones críticas, lo cual garantiza que el aumento en los requerimientos de capacidad en un área corrompida por el ransomware no afectará al rendimiento de otras aplicaciones. “Es algo similar a lo que hacemos cuando segmentamos una red para evitar que los ataques se muevan entre hosts”, explica Eran Brown.

Además de esta segmentación, InfiniBox brinda protección a nivel del sistema, ya que la capacidad disponible está centralizada, en lugar de distribuirse entre múltiples arrays, lo cual reduce el tiempo necesario para detectar y reaccionar a ataques de ransomware.

Origen: Así puedes evitar la pérdida de datos ligada a ataques de ransomware – Globb Security

Sep 20

Una vulnerabilidad pone en peligro a los usuarios de Adobe Reader y Acrobat – Globb Security

Artículo publicado por nuestros compañeros de globbsecurity.

https://globbsecurity.com/una-vulnerabilidad-pone-en-peligro-a-los-usuarios-de-adobe-reader-y-acrobat-43730/

Literal:

Adobe vuelve a ser víctima de los cibercriminales. Todos los meses, Adobe lanza actualizaciones de seguridad para corregir los problemas de seguridad encontrados en sus herramientas, sin embargo, parece que Adobe se ha dejado una vulnerabilidad crítica en el tintero este mes. Una vulnerabilidad que está poniendo en peligro a los usuarios de Adobe Reader y Acrobat.

Así lo afirman varias compañías de ciberseguridad como Trend Micro o Check Point que, en las últimas horas han hecho público el fallo de seguridad en PDF. Las vulnerabilidades CVE encontradas pueden permitir a ciberdelincuentes recuperar información personal del usuario e incluso llegar a ejecutar código remoto en el equipo.

Por el momento el fallo de seguridad no ha sido explotado por piratas informáticos y no parece haber exploits por la red para aprovecharse de ella, aunque no se descarta que en breve vean la luz y se empiecen a explotar. Para evitar que los datos y equipos de sus usuarios estén en peligro, la compañía ya ha publicado hace unas horas un nuevo boletín de seguridad de emergencia.

El parche afecta a versiones de Acrobat DC y Acrobat Reader DC para Windows y macOS (versiones 2018.011.20058 y anteriores, Acrobat 2017 y Acrobat Reader 2017 para Windows y macOS (versiones 2017.011.30099 y anteriores), y Acrobat DC y Acrobat Reader DC para Windows y macOS (2015.006.30448 y versiones anteriores).

Así puedes protegerte de la vulnerabilidad que afecta a Adobe Reader y Acrobat

Según apuntan desde la empresa, todas las versiones PDF con soporte de Adobe, desde Acrobat DC 2015 hasta la versión de 2018, estarían afectadas. Por ello, para protegerte de este fallo de seguridad debes actualizar cuanto antes a la última versión.

Además, se aconseja tener activada la descarga automática de las actualizaciones ya que en caso de encontrar algún fallo, el problema se resolvería en cuanto el parche estuviese disponible. Para activarlas, debes acceder al apartado “Ayuda”, “Buscar actualizaciones” y descargarlas manualmente.

Entradas más antiguas «