La botnet Mirai usa dispositivos hogareños para ejecutar ciberataques

El ejército zombie de dispositivos conectados que puso en jaque a Internet.
Por Martiniano Nemirovsci publicado por Télam.

Millones de afectados en Estados Unidos y Europa, un país entero sin conexión a Internet y la caída de varios de los principales sitios y servicios online del mundo fueron la carta de presentación de la "botnet" Mirai, un malware que encuentra, infecta y domina a dispositivos hogareños para usarlos en ataques, que marcó un antes y un después en estos incidentes y obliga a fabricantes y gobiernos a elevar las medidas de seguridad.

Visto en Flickr
La imagen no pertenece a la nota de Télam

"Alguien está aprendiendo cómo derribar Internet", alertó a comienzos de septiembre, en su blog, Bruce Schneier, uno de los principales referentes a nivel global sobre seguridad informática. El experto se refería a un incremento en los ataques distribuidos de denegación de servicios (DDoS) contra compañías encargadas de proveer "la infraestructura básica que hace que Internet funcione".

No daba cuenta de un nuevo tipo de ataque, ya que los DDoS se utilizan desde hace años para dar de baja servidores provocándoles la pérdida de conectividad, al saturarlos mediante una enorme cantidad de accesos que consumen su ancho de banda, los sobrecargan y los voltean. La alarma de Schneier, en cambio, alertaba sobre la magnitud de los mismos.

Su advertencia comenzó a tomar cuerpo ese mismo mes. El proveedor de hosting francés OVH quedó fuera de la red después de que a sus servidores ingresara un tráfico de casi 1,5 Tb por segundo; una semana después, el blog del periodista especializado en seguridad informática Brian Krebs fue blanco de otro enorme ataque de 665 Gb por segundo.

En ambos casos, la novedad residió en que los ataques no provinieron de PCs infectadas, sino de "Mirai", una botnet -una red de cámaras y otros aparatos hogareños conectados a la Internet de las Cosas- compuesta por más de 100.000 dispositivos, en la que los hackers aprovecharon vulnerabilidades de seguridad de esos equipos para dirigir su tráfico contra las víctimas.

Después de estos incidentes, un hacker conocido como "Anna-senpai" abrió el código de esta botnet y lo subió a Internet para que cualquier persona que quisiera pudiera usarlo.

Mirai aprovecha "una vulnerabilidad de dispositivos de Linux conectados a Internet", en referencia al sistema operativo que tienen muchos de los aparatos de la Internet de las cosas; primero "escanea todo, prueba y entra en todos los (dispositivos) que son accesibles", a los que infecta y domina, explicó a Télam Alfredo Adrián Ortega, desarrollador de software que trabaja para la empresa de antivirus Avast.

Así, esta botnet crea lo que especialistas denominaron un "ejército zombie de dispositivos conectados", que permanece latente hasta que se usa para lanzar un ataque.

Como sucedió el 21 de octubre, cuando Mirai se empleó contra los servidores de Dyn, un proveedor de direcciones DNS, y volteó durante casi un día entero no solo un gran número de conexiones en Estados Unidos -primero en la costa este, aunque luego se esparció hacia el otro extremo-, sino que afectó a sitios y servicios como Twitter, Netflix, Spotify, Reddit, The Guardian, The New York Times, CNN, Guardian.co.uk, HBO Now, PayPal, Pinterest, Playstation Network, Storify.com, The Verge, Fox News, Soundcloud, WSJ.com, time.com, xbox.com, dailynews.com, BBC, y CNBC.com, entre otros.

Ortega relativizó la advertencia de Schneier al señalar que Mirai "no puede tirar toda Internet", aunque afirmó que "sí puede tirar partes. Y por ahí son partes fundamentales. Partecitas que te joroban la vida". Como hacker, "vos detectás cuál es la parte crítica, tres o cuatro servidores. Rompés esos y afectás un montón de usuarios, por ejemplo de telecomunicaciones, servicio de energía, etcétera. Servidores críticos", remarcó.

Reactivación del gusano Conficker

Preocupación por la reactivación del gusano Conficker
Publicado por iProfesional.com

Sus creadores, que no fueron identificados, empezaron a utilizar las máquinas con fines delictivos en las últimas semanas, según reportes de Symantec.

El mediático virus Conficker, cuya activación levantó una enorme expectativa el 1 de abril, puede crear problemas, alertan compañías de seguridad informática.

Conocido también por los nombres Downadup o Kido, este virus se dedica a convertir miles de computadoras personales en emisores de correo basura, además de instalar software espía.

El gusano comenzó a difundirse a finales del año pasado e infectó millones de computadoras, potenciales "esclavos" que pueden responder a órdenes remotas (botnet).

Sus creadores, que no han sido identificados, empezaron a utilizar las máquinas con fines delictivos en las últimas semanas, al cargar más software malicioso en un pequeño porcentaje de las computadoras bajo su control, informó Vicente Weafer, vicepresidente de Symantec Security Response, el brazo de investigación del fabricante de 'software' de seguridad.

"Se espera que esto sea a largo plazo, que vaya cambiando poco a poco", estimó el experto, citado por la agencia Reuters, sobre el gusano. "No va a ser rápido y agresivo".

Conficker instala un segundo virus, conocido como Waledac, que envía spam sin el conocimiento del propietario de la PC, junto con un falso programa anti-spyware, informó Weafer.

Waledac recluta a la PC en una segunda botnet, existente durante varios años y especializada a su vez en la distribución de spam.

"Esta es probablemente una de las 'botnets' más sofisticadas del planeta. Los chicos que lo diseñaron son muy profesionales. Definitivamente, saben lo que están haciendo", señaló Paul Ferguson, un investigador de la compañía de seguridad Trend Micro.

Ferguson comentó que los autores de Conficker probablemente hayan estado instalando un motor de spam y otros programas maliciosos en decenas de miles de computadoras desde el 7 de abril. Además, el virus dejará de distribuir software en PC infectados el próximo 3 de mayo, aunque los ataques probablemente seguirán.

"Estamos esperando ver un componente diferente o un nuevo giro en la forma en que esta 'botnet' hace su trabajo", informó Ferguson, miembro de 'The Conficker Working Group', una alianza internacional de compañías que luchan contra el gusano.

Los investigadores temían la red controlada por el gusano Conficker fuera desplegada el 1 de abril, dado que estaba programado para aumentar los intentos de comunicación a partir de esa fecha.

La botnet creada por Conficker es una de las muchas redes controladas por organizaciones que están localizadas en el este de Europa, Sudeste de Asia, China y Latinoamérica. iProfesional.com.

Kneber botnet afectó a miles de equipos en más de 190 países

Una botnet generó un ataque informático de gran escala permitió acceder a 75.000 computadoras en 196 países, principalmente en Estados Unidos, México, Arabia Saudí, Egipto y Turquía, según reveló la firma de seguridad en Internet NetWitness.

Según las noticias, "NetWitness identificó más de 2.400 organizaciones afectadas por estos ataques a lo largo de un año, entre las que se encuentran administraciones públicas, grandes empresas de sectores como la banca, la tecnología o la energía, y centros educativos".

Mediante el código malicioso, conocido como ZeuS botnet, los ciberdelincuentes pueden acceder a información corporativa y gubernamental, tomar el control de las cuentas de correo corporativas y de sitios externos como Facebook, Yahoo o Hotmail. La información apunta que código (malware) aprovecha vulnerabilidades en los sistemas operativos Windows XP y Vista para lograr contraseñas y el acceso a cuentas de correo y redes sociales.

Fuente: NetWitness Discovers Massive ZeuS Compromise.

Nota relacionada: 'Hackers' atacan a miles de empresas y agencias gubernamentales en 196 países. The Wal Street Journal - Americas

Otros post sobre botnets en este blog, ingrese aquí: Botnets.

Crean botnet formada por Smartphones

Dos expertos en seguridad crean botnet formada por 8.000 dispositivos móviles.- "Con la explosión del mercado de los teléfonos inteligentes estos se están convirtiendo poco a poco en el nuevo objetivo de los chicos malos, varios casos hemos visto ya de códigos maliciosos especialmente diseñados para este tipo de terminal y según diversos expertos en seguridad esta tendencia será cada vez más fuerte con el paso del tiempo". Bitelia.

Sorprende la sorpresa del ciberataque a DynDNS

En la mañana del viernes amanecían caídos t/o con importantes dificultades multiples servicios como WhatsApp, Twitter, Spotify, Netflix, Airbnb, GitHub, PayPal, Reddit, SoundCloud, Etsy, Okta, y websites como The New York Times, The Verge, Fox Nes, WSJ, Wired.com o Time. Se estaba produciendo un ataque DDoS que tenía como objetivo "tumbar" DynDNS (Dynamic Network Services, Inc.), una compañía de Internet de los Estados Unidos, dedicada a soluciones de DNS en direcciones IP dinámicas.

El ataque fue exitoso, sobrepasó la capacidad operativa de Dyn y lo llevó a suspender su servicio en varias oportunidades ese día. Algunos titulares de noticias señalaron que fue mayor ataque ciberterrorista en una década. Recordemos un dato importante, en 2007 Estonia sufrió lo que se ha señalado la primera ciberguerra. Y desde entonces, en cada conflicto ese tipo de enfrentamiento vino escalando.

Captura de pantalla del mapa de NORSE. La firma de seguridad informática con sede en EE.UU. NORSE, lanzo el año pasado un mapa animado en tiempo real que ilustra los ataques cibernéticos en curso en todo el mundo

Tras el ciberataque a Dyn, expertos en seguridad informática opinaron que ésta acción no fue producto de improvisados, se está considerando la posibilidad que detrás del "sabotaje" podría haber reunido un ejército de ciberterroristas.

Según las primeras investigaciones de Dyn, se apunta a que el ataque provino de dispositivos conocidos como 'Internet of Things' (interconexión digital de objetos cotidianos con Internet), tales como DVR, impresoras y otros aparatos conectados a la Red.

Los datos de Dyn señalan que el ataque se libró desde dispositivos infectados con un código malicioso (malware) que se publicó en la web en las últimas semanas.

De momento, el grupo New World Hackers, distribuidos en Rusia y China, y el grupo Anonymous se han atribuido la responsabilidad del ciberataque. Sin embargo, el Gobierno estadounidense asegura que sigue investigando lo sucedido.

Los expertos señalan hoy que lo único claro es que se trató de un ataque masivo dirigido a una de las infraestructuras críticas que sustentan a Internet, y fue llevado a cabo gracias a las vulnerabilidades de dispositivos del IoT, como afirmaba la propia Dyn.

Las contraseñas de Hotmail y Gmail se obtuvieron con una botnet

La reciente sustracción de contraseñas a más de 30.000 correos de Hotmail, Gmail, Yahoo, AOL y otras, sorprendió a muchos, en especial a la gente de Microsoft, que empezaron a buscar una explicación a este ataque a gran escala: phishing.

Pero según se publica en ComputerWorld - Security, Mary Landesman, un investigador senior de seguridad de la empresa ScanSafe, con base en San Francisco, piensa que se trata de algo mucho peor. Asegura que las contraseñas subidas a Pastebin, está relacionado con una red de bots que tendría el control sobre varios terminales infectados con troyanos. Se estima que haya más contraseñas comprometidas.

En relación a las botnets, Enrique Dans ha publicado un interesante post en su blog, con noticias acerca del tema:

Las botnets buscan negocios más rentables.- "Dos noticias con un mismo tema, “The evolution of clickfraud: massive chinese Operation DormRing1 uncovered“ y “Botnet caught red handed stealing from Google“ permiten hacerse una idea de la evolución de las actividades fraudulentas en la web. Inicialmente dedicadas al envío de mensajes de spam, las botnets parecen estar especializándose en negocios más rentables, fundamentalmente alquiler para ataques DDoS y para click fraud". El Blog de Enrique Dans.

Vale el tiempo de lectura, y es muy recomendable hacerlo para avanzar en el conocimiento del este ya problemático tema.

Si su equipo está infectado con el troyano DNSChanger, desde el 8 de mayo no accede a Internet

El próximo 8 de marzo, la Agencia Federal de Investigaciones estadounidense (FBI) procederá a la desactivación de una "botnet" creada utilizando el troyano DNSChanger. El FBI desmanteló en el mes de noviembre de 2011 una organización criminal que había logrado secuestrar varios millones de ordenadores en todo el mundo.

El 8 marzo sus servidores serán definitivamente eliminados y los ordenadores infectados no podrán acceder a Internet. Este troyano manipulaba la configuración de la conexión a Internet y el propio router de sus víctimas para controlar su navegación en función de los intereses de sus creadores.

En buena medida la peligrosidad del troyano DNSChanger, es que aunque se consiga desinstalar, los cambios en la conexión de los usuarios que haya realizado se mantienen. Aunque las soluciones antivirus anulen al DNSChanger del equipo, y el FBI desactive la botnet, el problema persistirá hasta que se vuelva a configurar correctamente la conexión.

Para ayudar a identificar los equipos infectados, la Asociación de la Industria de Internet Alemana y el Instituto Nacional de Tecnologías de la Comunicación de España (INTECO) han creado una web desde la que realizar la comprobación.

INTECO también ofrece información a través de la Oficina de Seguridad del Internauta en http://www.osi.es/es/actualidad/avisos/2012/02/virus-dns-changer-redirige-paginas-maliciosas y métodos de desinfección en función del sistema operativo.

Se recomienda comprobar de forma manual la configuración de su red y asegurarse de que no ha sido manipulada, y realizar las modificaciones manualmente en caso positivo. Se asegura que sólo así tendrán garantizado el acceso sin problemas a Internet después de la eliminación definitiva de los servidores.

Es conveniente modificar las contraseñas que por defecto protegen los routers tan pronto como estos empiezan a funcionar. En caso de determinar la "infección", todas las contraseñas, incluidas las de cuentas de correo electrónico, banca online y redes sociales deberían ser modificadas inmediatamente. 

(CC)Creative Commons

SpyEye un troyano bancario 2.0 que "se vende"

Les sugiero leer dos interesantes notas publicadas por Hispasec, sobre SpyEye, "el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se vende en los entornos "underground" y que permite a un atacante crear de forma muy sencilla una botnet y recopilar datos sensibles de sus víctimas".

Son dos notas: Así funciona SpyEye (I), que tiene incluido un vídeo, y Así funciona SpyEye (y II), donde explican sus funciones más llamativas.

Para quienes no lo conocen, Hispasec Sistemas es un laboratorio especializado en Seguridad y Tecnologías de la Información. Muy interesante a la hora de estar atentos a información útil a nuestra seguridad informática.

Post relacionados al tema troyanos bancarios:

• Kneber botnet afectó a miles de equipos en más de 190 países.
• El troyano bancario Zeus ataca Firefox de Mozilla.

Expertos advierten sobre la ciberseguridad de EE.UU

EE.UU. no está preparado para un ciberataque.
Por Christopher Mims, publicado por The Wall Street Journal.

El reciente ciberataque que noqueó más de 1.200 sitios web fue una advertencia. Los expertos dicen que si un ataque similar, o incluso más grande, fuera lanzado mañana, el país sería impotente para prevenirlo.

Foto de AP Photo por Ted S. Warren
Visto en SPUTNIK. La foto no pertenece a la nota del WSJ

Nadie parece saber quien estuvo detrás del ataque, que fue lanzado por un “botnet” de miles de aparatos conectados a internet. El Departmento de Seguridad Nacional de EE.UU. no cree que el culpable fuera otro país.

Esto parece un alivio, pero en realidad es una noticia aún más terrible: ya no hace falta un gobierno o un hábil hacker para que internet se vuelva inaccesible para millones de personas. Cualquiera puede comprar la capacidad para hacer tal daño por menos de US$1.000.

Las países o los hackers más sofisticados son capaces de hacer cosas peores, según los expertos en cibersecuridad. Y el poder disuasorio de la amenaza de un contraatque cibernético o físico parece no ser suficiente.

Se cree que Estados Unidos empleó armas cibernéticas para paralizar el programa de enriquecimiento de combustible nuclear de Irán y que lanzó un dron para matar a un hacker que se cree que está trabajando con el Estado islámico. Más recientemente, el gobierno de Obama prometió tomar represalias contra Rusia por hackear cuentas de correo electrónico de estadounidenses prominentes.

El Pentágono tiene un cibercomando con capacidades defensivas y cada vez más ofensivas. Pero el almirante retirado James Stavridis, ex comandante supremo aliado de la OTAN, dice que es un equipo de “rejunte” de personal de otras ramas militares.

“Fundamentalmente [lo cibernético] no es diferente de aire, mar o tierra”, dice Stavridis, ahora decano de la Facultad de Derecho y Diplomacia Fletcher de la Universidad Tufts. “Es un lugar. Y allí vamos a tener preocupaciones de seguridad nacional”.

Eso significa que el país debería crear una “fuerza cibernética” y nombrar un director de ciberseguridad, tal como nombró un director de inteligencia nacional luego del 11 de septiembre, dice Stavridis. Tal fuerza sería capaz de responder no sólo a los ataques contra el gobierno y fuerzas armadas de Estados Unidos, sino también contra ciudadanos de ese país, sus empresas e infraestructura.

Un portavoz del Departamento de Defensa dice que las respuestas a los ataques cibernéticos necesitan abarcar “los sectores público y privado en todos los niveles”, como describe en una directiva reciente de la Casa Blanca. En la mayoría de los casos, dice el portavoz, el Pentágono no debería estar involucrado, a menos que un ataque represente un “daño demostrable a la seguridad nacional o intereses fundamentales” de Estados Unidos, como la economía, las relaciones exteriores o la salud pública.

Al mismo tiempo, los organismos estadounidenses de seguridad están a punto de expandir su autoridad para ingresar a computadoras sospechosas de estar involucradas en un ciberataque u otro crimen. Los cambios propuestos a la poco conocida Regla 41 de las Reglas Federales de Procedimiento Penal entrarán en vigencia el 1 de diciembre, a menos que el Congreso las bloquee. Las nuevas reglas permitirán a un juez emitir una orden que permita a los agentes bloquear o inhabilitar cualquier computadora, ya sea un servidor web de una empresa privada o un televisor inteligente en su sala de estar.

Las líneas entre el ejército y los organismos locales de seguridad pueden difuminarse, porque los ataques pueden tomar muchas formas. Consideremos el caso de un ataque contra computadoras estadounidenses lanzado por terroristas que operan en el extranjero.

Si le asusta la idea de cibercomandos financiados por el Pentágono que empleen armas desarrolladas por la NSA, o agentes del FBI infiltrándose y atacando computadoras, usted no está solo. El jueves, un grupo bipartidista de legisladores escribió a la Fiscal General Loretta Lynch para expresar su preocupación por el cambio a la Regla 41.

El troyano bancario Zeus ataca Firefox de Mozilla

El troyano bancario Zeus, ha comenzado a atacar a usuarios de Mozilla Firefox, por primera vez en su historia, según ha informado la compañía de seguridad Trusteer.

También conocido como Zbot, Zeus está diseñado para robar los datos de entrada en banking de sus víctimas, utilizando para ello un sofisticado método de usurpación, además de keylogging. Hasta el momento, el principal objetivo del malware, había sido el navegador de Microsoft, Internet Explorer, pero se ha descubierto que la versión 2.0 del troyano Zeus ha logrado romper la seguridad de Firefox.

Fuente: IDG Communications S.A..

El tema está en la atención de todos los equipos informáticos dedicados a seguridad. En gran medida la posibilidad de tener los llamados "juegos de herramientas de ataque", como Zeus (Zbot), que pueden ser comprados por cualquier miembro del público por unos $ 700, lo que es muy barato en comparación con el retorno a cualquier usuario puede hacer mediante el empleo de la caja de herramientas para crear software malicioso con la intención de robar información personal frente a cualquier destinatario.

Hace unos días, Symantec publicó un informe donde señala "El Crecimiento financiero y geográfico del cibercrimen muestra que la recesión no afectó a las actividades maliciosas durante la Crisis Económica Global". Uno de los puntos que destaca entre las principales tendencias que se destacaron en el informe, señala justamente "los toolkits de ataques del cibercrimen han logrado que entren nuevos delincuentes cibernéticos, los cuales facilitan a los atacantes no calificados la manera de comprometer las computadoras y robar la información".

Relacionado:
Kneber botnet afectó a miles de equipos en más de 190 países.

Ejecutan con éxito un millón de kernels Linux

Científicos en computación de los laboratorios Sandia en Livermore, California, ejecutan con éxito un millón de kernels Linux como máquinas virtuales.

El logro permitirá a los investigadores de seguridad cibernética observar con más eficacia el comportamiento de los botnets maliciosos, o redes de máquinas infectadas que pueden operar en la escala de un millón de nodos. Botnets, dijo Ron Sandia Minnich, a menudo son difíciles de analizar, ya que se encuentran geográficamente distribuidos por todo el mundo.

La ejecución de un alto volumen de máquinas virtuales en un superordenador - a una escala similar a una botnet - permite a los investigadores observar cómo trabajan las ciber botnets y estudiar la forma de detenerlas en sus pistas. "Podemos conseguir el control en un nivel que no había antes", dijo Minnich.

En la foto del Sandia National Laboratories computer, Ron Minnich (primer plano) y Don Rudish (fondo) han logrado ejecutar más de un millón de kernels Linux como máquinas virtuales, un logro que permitirá a los investigadores de seguridad cibernética observar con más eficacia el comportamiento de los botnets maliciosos. (Foto de Randy Wong).

Via: Tecnología.org. Visto en Sandia National Laboratories - News Room.

Ciberataque: Redes LAN con bajo nivel de ciberseguridad, con alto riesgo

El ciberataque, “más desafiante” que WannaCry, que desde el lunes afecta a miles de computadoras de empresas, entidades y organizaciones en varios países, incluida Argentina, continúa dando que hablar y está en la atención de los equipos que velan por la ciberseguridad de sus redes y equipos.

Según los expertos, esta versión intenta propagarse dentro de la red en la que está el equipo afectado y no hacia afuera, lo que puede haber limitado un contagio mayor. Éste es, además, uno de los motivos por los que los infectados suelen ser empresas, organizaciones, entidades públicas y no tanto individuos, salvo éstos estén conectados a través de una de esas redes.

Son más susceptibles redes tipo LAN, con equipos que tienen instaladas versiones "viejas" de Sistemas Operativos Windows. El más atacado es Windows 7.

El ransomware encripta el sector de arranque de la computadora. Y al actuar como un gusano, una vez que infecta una máquina se expande por los demás equipos conectados a la red, aprovechando una vulnerabilidad de Windows, conocida como "EternalBlue", y "otras deficiencias del sistema operativo de Microsoft" para expandirse que ya está parcheada, pero sólo disponible para sistemas operativos instalados legalmente.

Ésto pone en la lista de posibles victimas a los equipos de administraciones públicas con escaso control de lo técnico y legal en materia de adquisición e instalaciones de software.

Los expertos en ciberseguridad han señalado que el ataque, que "pareciera tener una motivación más allá de lo financiero", podría terminar "cuando acabe de contaminar todos los sistemas a los que pueda entrar" y recomiendan utilizar algún sistema anti-malware robusto con protección anti-ransomware. Asimismo, utilizar una versión actualizada de Windows y de cualquier programa de terceros. También resaltan de manera importante desarrollar la concientización de los usuarios en materia ciberseguridad. (ver otras recomendaciones)

Se considera muy posible que éstos ciberataques con alcance global se repitan, por lo que hay que estar atentos e informados y resguardados convenientemente.

Noticias en desarrollo

Post relacionados:

• El objetivo del último gran ciberataque fue para destruir información. 04/07/2017.
• La importancia del backup, más aún hoy. 01/07/2017.
• Los efectos del ciberataque continúan. 28/06/2017.
• Ciberataque global: GoldenEye y Petya apuntan al SO Windows. 27/06/2017.
• Un nuevo ciberataque con ransomware afecta a empresas europeas y Argentina. 27/06/2017.
• Hay que entender que esto es, en realidad, una ciberguerra. 26/06/2017.
• La ciberseguridad un tema, máxima importancia. 13/05/2017
• Ciberataque masivo afecta a entidades y empresas en más de 90 Países. 12/05/2017.
• Cuando la seguridad es un espejismo. 10/05/2017.
• La ingeniería social y la actividad criminal siguen en auge. 03/05/2017.
• Ciberseguridad - Muy peligrosa tendencia. 14/04/2017.
• Brechas de seguridad producen cuantiosas pérdidas a empresas. 12/04/2017.
• El poder de las ciberarmas está en utilizarlas, advierten. 06/03/2017.
• Argentina - Proteger los datos del Estado, debe ser una prioridad. 01/03/2017.
• La botnet Mirai usa dispositivos hogareños para ejecutar ciberataques. 21/12/2016.

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

La citrícola argentina San Miguel afectada por ciberataque a Maersk

Por hackeo masivo mundial, la cítrica San Miguel evalúa pérdidas por u$s 15 millones.
Publicado por El Cronista.

La compañía se vio afectada por el impacto que el ciberataque de junio tuvo en Maersk, la transportista marítima de sus contenedores. Las acciones de San Miguel cayeron 5% ayer.

El último ciberataque masivo que sufrieron multinacionales impactó de lleno en las finanzas de la citrícola argentina San Miguel. La principal procesadora y exportadora de cítricos frescos del país recibió un golpe como consecuencia de la parálisis a la que llevó el hackeo que afectó a la gigante del transporte marítimo Maersk, que reconoció una caída de sus sistemas.

Esa situación produjo pérdidas de mercadería (de hasta 70 días con contenedores perdidos) y cancelaciones de ventas, tal como reconoció San Miguel en un comunicado enviado a la Bolsa de Buenos Aires. "La Sociedad se encuentra actualmente concluyendo el proceso de cuantificación de los daños", informó y agregó que las estimaciones preliminares indican que el impacto en resultados ya superaría los u$s 15 millones.

En síntesis, la compañía que en julio de este año adquirió la frutícola peruana Agrícola Hoja Redonda, productora principal de mandarinas de aquel país, en una operación por u$s 64 millones, reconoció que el incumplimiento de Maersk "en sus obligaciones contraidas con la sociedad" afectó el normal desarrollo operativo y comercial durante la campaña 2017, "ocasionando daños considerables de distinta índole, incluyendo pérdidas de mercadería y cancelaciones de ventas, y generando daño reputacional aparejado a dichos incumplimientos".

Ayer, el índice Merval manifestó una baja que cortó una racha de cuatro subas en fila, al descender un 1,6%, afectado por un alza en la tasa de política monetaria. En dicha rueda sobresalió principalmente la merma de las acciones de San Miguel, que tuvieron un retroceso de 4,7%. Le siguieron los papeles de TGN (-3,1%); Pampa (-2,9%); y Transener (-2,9%).

En el primer trimestre del año, la compañía presentó una pérdida total de $ 91 millones, lo que hizo caer la cotización de las acciones (SAMI) de 118 a 111,90, un descenso del 4,42%. Sin embargo, más allá de la cuestión financiera, la citrícola festejó también meses atrás la apertura del mercado de limones de los Estados Unidos, país al que prevé llegar con sus productos desde la Argentina, el año que viene (ya llega desde Uruguay y Sudáfrica). Este año también llegó a México con sus limones. En total, la compañía produjo en 2016 unas 213.000 toneladas de frutas procesadas, con cerca de 135.000 toneladas de fruta fresca exportada, segmento en el que registró un crecimiento del 47% respecto del año previo. Dicho año tuvo ventas por u$s 268 millones. / Publicado por El Cronista.--

Post relacionados:

• Los efectos del ciberataque continúan. 28/06/2017.
• El objetivo del último gran ciberataque fue para destruir información. 04/07/2017.
• La importancia del backup, más aún hoy. 01/07/2017.
• Ciberataque: Redes LAN con bajo nivel de ciberseguridad, con alto riesgo. 28/06/2017.
• Ciberataque global: GoldenEye y Petya apuntan al SO Windows. 27/06/2017.
• Un nuevo ciberataque con ransomware afecta a empresas europeas y Argentina. 27/06/2017.
• Hay que entender que esto es, en realidad, una ciberguerra. 26/06/2017.
• La ciberseguridad un tema, máxima importancia. 13/05/2017
• Ciberataque masivo afecta a entidades y empresas en más de 90 Países. 12/05/2017.
• Cuando la seguridad es un espejismo. 10/05/2017.
• La ingeniería social y la actividad criminal siguen en auge. 03/05/2017.
• Ciberseguridad - Muy peligrosa tendencia. 14/04/2017.
• Brechas de seguridad producen cuantiosas pérdidas a empresas. 12/04/2017.
• El poder de las ciberarmas está en utilizarlas, advierten. 06/03/2017.
• Argentina - Proteger los datos del Estado, debe ser una prioridad. 01/03/2017.
• La botnet Mirai usa dispositivos hogareños para ejecutar ciberataques. 21/12/2016.

___________________

NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.

Más sobre el ataque a Twitter

A medida que se "avanza" en el conocimiento sobre el ataque, se ha develado que se trató de un ataque a gran escala que afectó a múltiples servicios de internet de manera simultánea.

Se afirma la idea que el objetivo perseguido era acallar la voz de un blogger de Georgia en todos los sitios donde tuviera una cuenta.

Lo sorprendente y peligroso es el método utilizado, para realizar el ataque se usó una botnet.

Se trata de una red de computadores de cualquier parte del mundo con aplicaciones que los atacantes manejan remotamente y en forma coordinada. Estas aplicaciones se instalan sin que el usuario se de cuenta, aprovechando alguna falla de seguridad. Esto quiere decir que si tu computador está infectado con uno de estos agentes, puede ser utilizado por otras personas para realizar estos ataques coordinados. Incluso se sabe que los controladores de estas botnets las arriendan por unos 5 a 10 centavos de dolar por bot.

Post relacionados:

• Twitter, Facebook attack targeted one user (CNET News)
• Si quieres callar a un disidente, tumba internet (soitu.es)
• Ataques ¿en simultáneo?
• Twitter en problemas
• Los usuarios más activos de Twitter son bots (ALT1040)
• ¡Prohibido twittear! (ALT1040)

España - Capturan ruso acusado de ataques informáticos a EEUU

Detienen en Barcelona al presunto hacker ruso buscado por EEUU
Publicado por EL MUNDO.ES/ EFE.

EFE | Madrid.

La policía española ha detenido en Barcelona al programador ruso Piotr Levashov, buscado por la Justicia de Estados Unidos por su presunta implicación en el ciberespionaje durante la campaña electoral estadounidense de noviembre pasado, confirmaron hoy fuentes diplomáticas rusas.

La detención de Levashov, que según la televisión internacional rusa RT se produjo ayer, fue confirmada por el consulado ruso en Barcelona, que aseguró a la agencia RIA Nóvosti estar prestando toda la ayuda legal al detenido.

El delito de fraude informático es uno de los que la justicia estadounidense atribuye al programador ruso, uno de los "hackers" más buscados.

Según han informado a Efe fuentes jurídicas, ese es uno de los cargos que figuran en la Orden Internacional de Detención (OID) cursada por Estados Unidos contra Levashov y que ha servido de base para el arresto del "hacker" en España, que está ahora a la espera de que la justicia española se pronuncie sobre su posible entrega a ese país.

Levashov declaró ante la juez de guardia de la Audiencia Nacional Carmen Lamela el pasado viernes por la tarde por videoconferencia desde Barcelona y se negó a ser extraditado a Estados Unidos, tras la que la magistrada dictó su ingreso en prisión en espera de que el país norteamericano formalice su petición de entrega ante el tribunal español.

Las autoridades estadounidenses tienen ahora 40 días para facilitar a España los documentos en los que sustentan sus cargos contra el ciudadano ruso, tras lo que se celebrara una vista de extradición ante un tribunal de la Audiencia Nacional, que decidirá si concurren los requisitos para que sea juzgado en Estados Unidos.

El detenido, de 36 años, creó una infraestructura cibernética en forma de 'botnet' o red a través de la que controlaba cientos de miles de ordenadores distribuidos internacionalmente, según ha informado la Dirección General de la Policía.

No sólo sustraía credenciales personales de los ordenadores, sino que también distribuía 'spam' o contenido no deseado y los infectaba con un 'software' malicioso o 'malware' a través del que bloqueaba el acceso a la información y pedía después un rescate económico para descifrarlo.

Más de 10 años creen los investigadores que Levashov ha estado 'hackeando' los ordenadores a nivel mundial, obteniendo con ello importantes beneficios económicos. Gracias a su detención, los agentes han podido liberar de manera masiva ordenadores infectados de las víctimas.

Su mujer, María Levashova, explicó a la televisión internacional rusa RT que su marido fue detenido en cumplimiento de una orden de busca y captura de Estados Unidos que acusa al programador de haber participado en el presunto ciberespionaje orquestado por el Kremlin para favorecer la victoria del republicano Donald Trump.

"Hablé con mi marido en comisaría por teléfono. Dijeron algo de un virus que supuestamente creó mi marido, relacionado con la victoria de Trump", dijo María Levashova a RT.

Las autoridades estadounidenses, con el FBI y los servicios secretos a la cabeza, investigan la presunta relación entre el Kremlin y la campaña electoral de Trump, quien tomó posesión en enero pasado de la presidencia.

La investigación sostiene que Rusia organizó el "hackeo" de los ordenadores del Partido Demócrata para perjudicar la candidatura de Hillary Clinton y allanar el camino a la victoria de Trump en las elecciones presidenciales. / Publicado por EL MUNDO.ES/ EFE.--

Notas relacionadas:

• El espionaje de EEUU acusa a Vladimir Putin de chantajear a Donald Trump. EL MUNDO.ES. 11/01/2017.
• La campaña de Trump estuvo en contacto permanente con el espionaje ruso. EL MUNDO.ES. 12/02/2017.

Post relacionados:

• El jefe del FBI confirma investigación sobre lazos entre el equipo de Trump y Rusia. 20/03/2017.
• Trump acusó a su antecesor de pinchar sus teléfonos. 05/03/2017.
• Más sobre la saga del Trump–Russia dossier. 31/01/2017.
• Acciones del gobierno de EE.UU. por los ataques cibernéticos rusos. 29/12/2016.
• La respuesta de rusa. 20/12/2016.
• El "Phishing" tras uno de los mayores golpes a la campaña de Hillary Clinton. 17/12/2016.
• Relacionan al Presidente de Rusia con ciberactividades contra elección presidencial estadounidense. 15/12/2016.
• Rusia intervino en elecciones para ayudar a Donald Trump, señalan. 10/12/2016.

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

Cracking the home banking

Desde ayer la noticia del robo de más de $500.000, a un empresario rosarino, luego que crackers (ciberdelincuentes) le crackearon la cuenta bancaria y le quitaran el dinero por Internet, es materia de conversación entre los que usan habitualmente sistemas de home-banking.

Prácticamente todo el mundo se puso en alerta "super colorado" y anda averiguando detalles de como proteger su acceso online a sus cuentas.

Surgió hace un rato, en una charla que tuvimos, que no pocas veces a los que solemos transmitir información respecto de lo que está pasando en materia de seguridad informática, no siempre se nos trata gentilmente cuando sugerimos normas de conducta en el uso de un equipo con el cual se accede al home-banking (banca electrónica). Casi siempre está la respuesta "yo siempre hago y no pasa nada" o similar, en un tono hasta despreciativo.

Entre la modalidad más utilizada por los ciberdelincuentes para robar una cuenta está el phishing, donde el estafador, conocido como phisher, engaña y se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea, utilizando también llamadas telefónicas o mediante un código, enviado al equipo de la víctima, conocidos como troyanos.

Comparto con los que señalan la modalidad del troyano como la más usada. La victima recibe correos reenvíados y recontra enviados desde direcciones electrónicas de amigos, tal vez desde su más confiable amigo. 

Estos correos tienen adjuntos, como esas hermosas, risueñas o impresionantes presentaciones, o fotografías, o interesantes notas, o hipervínculos. Estos correos son de esos que todo el mundo recibe y lo reenvía, sin saber que es en realidad lo que está haciendo.

El tema es que un adjunto de uno de esos correos es abierto, justo la "victima" no tiene actualizados ni el sistema operativo, o el sistema de seguridad, o cuantos no tienen un sistema operativo trucho y un antivirus de esos gratis o crackeado, o usa uno equipo del trabajo (casi público). El asunto es que el malware en el adjunto se activa, comienza a buscar todo tipo de claves de acceso, a servicios web, a redes sociales, a álbum de fotografías, a intranets, a home-banking, etc., etc., a todo lo que se puede acceder desde ese equipo mediante un password (contraseña). 

Luego el malware remite por la misma vía la información a sus creadores u operadores, que hasta pueden tener una botnet con un sinnúmero de equipos zombie, entre los que puede estar el de la "víctima".

Para hacerla corta, la modalidad del uso que la "victima" tenga del equipo, la puso en el listado "target" de los delincuentes. Esta "víctima", normalmente se molesta cuando alguien le sugiere mejore su modalidad de uso y sus protocolos de seguridad.


"La mayoría de los eventos delictivos, donde se roba algo, tienen un participante interno". Recuérdelo. Vea de no ser Ud..

Artículos relacionados

• Le hackearon la cuenta de homebanking y le robaron $500.000. iProfesional.com
• Phishing. Wikipedia.
• Cracker. Wikipedia.
• Home Banking o Banca Electrónica. Wikipedia.

Sobre ciberdelincuentes en este blog.

Los efectos del ciberataque continúan

Ciberataque afecta al brazo inmobiliario del banco francés BNP Paribas.
Por Maya Nikolaeva, publicado por Reuters.

PARÍS - Un ataque informático de escala global afectó al brazo inmobiliario del mayor banco de Francia, BNP Paribas, una de las instituciones financieras más grandes que se sabe ha sido afectada por una campaña de extorsión que comenzó en Rusia y Ucrania antes de extenderse.

El ataque mundial sacó de servicio el martes a computadoras de la mayor petrolera rusa, de prestamistas en Ucrania y de firmas multinacionales a través de un virus similar al que infectó el mes pasado a más de 300.000 ordenadores.

Los efectos del ataque continuaban el miércoles, y el gigante naviero danés A.P. Moller-Maersk, que traslada uno de cada siete contenedores en el mundo, dijo a Reuters que no podía procesar nuevos pedidos después de ser golpeado por el virus.

Entre otras empresas galas, la minorista Auchan dijo que el ciberataque del martes afectó las terminales de pagos en sus tiendas de Ucrania, pero dijo que el incidente había terminado.

El grupo francés de construcción St Gobain dijo que sus sistemas están volviendo poco a poco a la normalidad después de que la compañía fuera víctima del ataque informático del martes.

El ataque golpeó a la filial de BNP, dijo un portavoz del banco a Reuters, después de que una persona familiarizada con el asunto dijo que algunas computadoras del personal fueron bloqueadas el martes debido al incidente.

"Se han tomado las medidas necesarias para contener rápidamente el ataque", dijo el portavoz. BNP Paribas Real Estate presta servicios de asesoramiento, gestión inmobiliaria y de inversión y desarrollo principalmente en Europa.

Muchas de las empresas afectadas a nivel global por el ciberataque tenían vínculos con Ucrania, aunque no hay indicios de que éste fuera el caso de BNP, que posee un banco en el país, UkrSibbank. / Por Maya Nikolaeva, publicado por Reuters. (Editado en español por Carlos Aliaga).--

Noticias en desarrollo

Post relacionados:

• El objetivo del último gran ciberataque fue para destruir información. 04/07/2017.
• La importancia del backup, más aún hoy. 01/07/2017.
• Ciberataque: Redes LAN con bajo nivel de ciberseguridad, con alto riesgo. 28/06/2017.
• Ciberataque global: GoldenEye y Petya apuntan al SO Windows. 27/06/2017.
• Un nuevo ciberataque con ransomware afecta a empresas europeas y Argentina. 27/06/2017.
• Hay que entender que esto es, en realidad, una ciberguerra. 26/06/2017.
• La ciberseguridad un tema, máxima importancia. 13/05/2017
• Ciberataque masivo afecta a entidades y empresas en más de 90 Países. 12/05/2017.
• Cuando la seguridad es un espejismo. 10/05/2017.
• La ingeniería social y la actividad criminal siguen en auge. 03/05/2017.
• Ciberseguridad - Muy peligrosa tendencia. 14/04/2017.
• Brechas de seguridad producen cuantiosas pérdidas a empresas. 12/04/2017.
• El poder de las ciberarmas está en utilizarlas, advierten. 06/03/2017.
• Argentina - Proteger los datos del Estado, debe ser una prioridad. 01/03/2017.
• La botnet Mirai usa dispositivos hogareños para ejecutar ciberataques. 21/12/2016.

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

Estudiante santiagueña se destaca en seguridad informática

Una buena noticia, que me interesó especialmente. El Diario Panorama reproduce una nota del diario La Voz del Interior (de Córdoba), sobre el importante premio internacional que Eset entregó a la mejor investigación en seguridad antivirus de Latinoamérica.

Flavia Gramajo, oriunda de Frías (Santiago del Estero), alumna de cuarto año de Ingeniería en Sistemas de Información de la Facultad Córdoba de la UTN, presentó su trabajo "Conflictos en red: botnets".

Eset, la empresa de software que desarrolla sistemas de seguridad informática, como los antivirus NOD 32 y Smart Security, consideró importante y merecedor del premio al trabajo de Flavia Gramajo, que apunta a informar sobre las "botnets". En su trabajo, Flavia hace hincapié en la necesidad de informar y educar al usuario para que este tenga una actitud proactiva "para no caer en la trampa" de los ciberdelincuentes.

En este blog, hemos tocado en reiteradas oportunidades el tema botnets, sobre todo asociado al spam, como aquellas que están diseñadas para encontrar y/o producir vulnerabilidades en los sistemas de los usuarios de sistemas bancarios, home banking especialmente. En Abril próximo pasado comentamos sobre el troyano bancario Zeus, y el informe de Symantec, donde señala el crecimiento financiero y geográfico del cibercrimen, y la importancia que han adquirido los "juegos de herramientas de ataque" que se venden vía Internet.

En estos días se conoció que ciberdelincuentes han asaltado las cuentas de miles de clientes de banca por internet en un importante banco de Reino Unido, utilizando precisamente al troyano bancario Zeus, que fue introducido en miles de computadoras hogareñas, "robando contraseñas confidenciales y datos de las cuentas de aproximadamente 3000 personas; robando un monto que asciende a cerca de € 675.000 los cuales han sido transferidos ilegalmente desde el banco de Reino Unido entre el 5 de julio al 4 de agosto de este año" (LaFlecha.net).

¿como se logran introducir el troyano en los equipos?, simplemente mediante el spam, el correo "basura", o "no deseado", ese correo que la gran mayoría abre sin saber cual es su verdadero origen y se reenvía y recontra envía a los amigos sin saber realmente lo que se está haciendo, siendo útil a los delincuentes. ¿Vio esas bonitas presentaciones que vienen en un archivo adjunto cuyo nombre finaliza con .pps? Esas son presentaciones realizadas con PowerPoint, en general todas muy interesantes, con lindas e impresionantes fotos, etc., etc., la gran mayoría de ellas se reenvían masivamente, y son en realidad uno de los caballos de troya favoritos de los ciberdelincuentes para enviar "troyanos" como Zeus o Zbot, Zeus, el bot más peligroso por estos días.

Si Ud. tiene un antivirus gratuito, o uno de esos "crackeados", probablemente su sistema de seguridad jamas le informe que está "infectado" y su equipo es parte de alguna botnet.

Por esto es muy importante el trabajo de Flavia Gramajo y su objetivo de impulsar una actitud proactiva "para no caer en la trampa" de los ciberdelincuentes.

Ya sabe, si recibe esos correos reenviados, esas cadenas que abundan, esas presentaciones .pps, ni las abra, mucho menos las reenvíe. Infórmese correctamente.

Puede leer algunos post en este blog, referido o relacionados a las botnets.

Nota relacionada:

Estudiante santiagueña lucha contra los hackers. Diario Panorama.

Detalles y evolución de la vulnerabilidad RPC/DNS de Microsoft Windows

Publicado por Sergio de los Santos
Hispasec - una al día

La vulnerabilidad RPC/DNS en Microsoft Windows está dando que hablar por su gravedad y rápida evolución. El pasado día 13 de abril emitíamos un boletín con carácter de urgencia previendo el potencial alcance del problema. Las sospechas se han confirmado y hoy esta vulnerabilidad supone una seria amenaza en muchos entornos.

Microsoft confirmaba a través de una notificación oficial el día 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes "de forma muy limitada" según la propia compañía. El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Esto afectaría a un sistema sólo si mantiene un DNS (típicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos específicos. El ataque no sería posible exclusivamente a través de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administración remota de DNS (a través de RPC) para explotar la vulnerabilidad y ejecutar código.
Microsoft proporcionó un método para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.

Aun así, varios factores se han añadido a la ecuación para convertir esta vulnerabilidad en un verdadero peligro. Típicamente un controlador de dominio en red interna es también el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar más relajadas. En ese caso, aunque no expuesto al exterior, el servidor
podría quedar fácilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habría llegado al corazón de una red interna controlada por el directorio activo.

El día 15, metasploit descubrió un exploit público capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la función extractQuotedChar. Los ataques dejan de ser "limitados".

Además, aparece al poco tiempo un nuevo exploit (programado por Andrés Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitiría ejecutar código a través del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez más, este puerto no suele estar expuesto al exterior,
pero mantiene e incluso agrava el problema en redes internas, donde estará abierto con casi toda seguridad. Este código también afecta a Windows 2003 con SP2.

Para colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar código, se conecta al dominio x.rofflewaffles.us y convierte a su víctima en zombie (parte de una botnet). La detección específica por parte de los antivirus es escasa todavía. Según el SANS, que ha usado VirusTotal para el análisis:

AhnLab-V3 2007.4.14.0 04.16.2007 Win32/IRCBot.worm.199680.I
AntiVir 7.3.1.52 04.16.2007 HEUR/Crypted
AVG 7.5.0.447 04.16.2007 Win32/CryptExe
DrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299
eSafe 7.0.15.0 04.16.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 04.16.2007 suspicious
Kaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
Prevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen
Symantec 10 04.16.2007 W32.Rinbot.A
Webwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted

Sospechamos que esta vulnerabilidad provocará un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habría solución oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"

se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3097/comentar

Más información:

Monday update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/16/monday-update-on-microsoft-security-advisory-935964.aspx

Situation update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/15/situation-update-on-microsoft-security-advisory.aspx

Vulnerability in RPC on Windows DNS Server Could Allow Remote CodeExecution.
http://www.microsoft.com/technet/security/advisory/935964.mspx

New Rinbot scanning for port 1025 DNS/RPC
http://isc.sans.org/diary.php?storyid=2643&rss

DNS Vulnerability being Exploited in the Wild
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dns_exploit_time_is_upon_us.html

Enlaces maliciosos

Por estos días se difundió la noticia que los enlaces maliciosos aumentan un 500% en lo que va del año. Según se ha informado desde principios de este año se aprecia una sofisticación en las vulnerabilidades para ganar la confianza del usuario a través de links. También se indica que el phishing comienza a descender.

Lo que no se está mencionando mucho es el problema de los bots (diminutivo de robot), esos programas informáticos que realizan diversas funciones, entre ellas las de conformar botnets que se ejecutan de manera autónoma corriendo en un servidor infectado con la capacidad de infectar a otros servidores.

Las botnets pueden transformar un equipo poco seguro en un equipo zombi, que fácilmente pueden ser usadas por una tercera persona para ejecutar actividades hostiles, sin el control ni el conocimiento del propietario de es equipo. Recordemos un suceso reciente, una botnet volteó el sistema Twitter. De hecho, se conocen informes que apuntan a señalar que crackers utilizan Twitter para controlar redes de bots (en las notas los llaman hackers).

Los entendidos en seguridad, a la vista de estos sucesos e informes están advirtiendo que "el uso de las redes sociales puede ser el próximo objetivo" (ALT1040). Estas advertencias se pueden asociar a las medidas anunciadas a principio del mes de Agosto próximo pasado, por parte del United States Marine Corps, cuando prohibió a su personal el uso de Twitter, facebook, MySpace y otros por “problemas de seguridad”.

Esto no se limita al ámbito militar, según una encuesta realizada por la compañía de seguridad informática Sophos, "el 63% de las empresas se muestran preocupadas por la posibilidad de que sus trabajadores revelen demasiada información en las redes sociales de internet y que esto las ponga en peligro".

Pero volviendo al tema específicamente informático, el malware está presente en Internet, esto es un hecho. Y es por ello que las herramientas de seguridad no sólo están apuntadas a los virus y el spyware, están atentas a estos bots y rootkits, y especialmente a brindar protección en tiempo real contra amenazas en línea como páginas web objeto de piratería o infectadas.

Bueno es asegurarse que sus sistema de seguridad posea un scanner de links que lo proteja antes de visitar una página web infectada, que analice páginas, no sitios, de tal manera que no le bloquee el sitio entero por una página infectada o considerada peligrosa. Que también brinde la posibilidad de señalar el nivel de seguridad que tenga un link, en el listado resultante al realizar una búsqueda desde un buscador.

Podría seguir sugiriendo unas cuantas características más, pero no pretendo hacerle propaganda a ningún sistema, la idea es que de alguna manera contribuya a una toma de conciencia en materia de seguridad, para evitarse problemas.