Ciberataque global: GoldenEye y Petya apuntan al SO Windows

Al igual que WannaCry, GoldenEye y Petya atacan sólo las computadoras que ejecutan el sistema operativo Windows. Este es el segundo ataque global de ransomware en los últimos dos meses, después de que la propagación de WannaCry infectó a más de 200,000 computadoras con Windows.

Imagen: foto de gráfico publicado por Avast blog

Microsoft ha lanzado parches para todos los sistemas operativos de Windows después del brote global, pero los usuarios que han actualizado sus computadoras aún son vulnerables, según Anomali, una compañía de inteligencia sobre estas amenazas. Se señala que es porque Petya también puede "propagarse" por los documentos Office, aprovechando otra vulnerabilidad y combinándola con otras debilidades similares a WannaCry.

Según se ha informado, "investigadores para Symantec confirmaron que el ransomware GoldenEye utilizó EternalBlue, la misma herramienta de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) que impulsó la distribución del ransomware WannaCry. Hasta el momento, más de US$2,500 en nueve pagos se le ha pagado en Bitcoin a los atacantes" (c|net).

Los investigadores han informado que el ransomware identificado como GoldenEye, por Bitdefender, tiene dos capas de código cifrado que bloquean los archivos y el sistema de carpetas del equipo infectado. Igual que Petya, es particularmente peligroso porque no sólo cifra los archivos, sino también el disco duro.

Los expertos recomiendan enfáticamente a todos los usuarios de Windows (domésticos y corporativos) actualicen sus sistemas operativos lo más rápido posible y se aseguren que sus sistemas de seguridad y antivirus también estén actualizados. Los más afectados serían los usuarios de Windows 7.

Son especialmente susceptibles todos los equipos con sistemas ilegales, sin soporte o parche por tal condición. También son vulnerables los equipos sin una suite de seguridad, sistemas de protección integral.

Un nuevo ciberataque con ransomware afecta a empresas europeas y Argentina

Ciberataque golpea a gigante del petróleo y bancos en Rusia y Ucrania.
Por Jack Stubbs y Pavel Polityuk, publicado por Reuters.

MOSCÚ/KIEV (Reuters) - El principal productor de petróleo de Rusia, Rosneft, dijo que un ataque cibernético a gran escala golpeó sus servidores el martes, mientras que los sistemas informáticos de algunos bancos y del principal aeropuerto de la vecina Ucrania sufrieron también interrupciones.

Group-IB, una empresa de seguridad cibernética con sede en Moscú, dijo que parece ser un ataque coordinado dirigido simultáneamente a objetivos en Rusia y Ucrania.

En Copenhague, la empresa de transporte marítimo global A.P. Moller-Maersk dijo que un ataque cibernético provocó la interrupción de su sistema informático, aunque no quedó claro de inmediato si tenía alguna vinculación con los otros incidentes.

Estos casos se conocen tras una serie de intentos de piratería informática en contra de sitios web estatales en Ucrania a fines de 2016 y los repetidos ataques a su red de energía, lo que llevó a los jefes de seguridad del país a pedir una mejora de las defensas cibernéticas.

Rosneft, uno de los mayores productores mundiales de crudo por volumen, dijo que su producción de petróleo no se ha visto afectada por los incidentes.

"Los servidores de la compañía sufrieron un fuerte ataque de piratería informática", dijo la compañía en Twitter. "El ataque de piratería informática podría tener graves consecuencias, pero (...) ni la producción de petróleo ni el refinado se han detenido", agregó.

Por su parte, el gigante ruso del sector de metales Evraz dijo que sus sistemas informáticos también se habían visto afectados, informó la agencia de noticias rusa RIA.

En Ucrania, Yevhen Dykhne, director del aeropuerto de Boryspyl, dijo que la terminal había sido golpeada por un ataque cibernético. "En relación con la situación irregular, son posibles algunos retrasos en los vuelos", dijo Dykhne en Facebook.

En tanto, el viceprimer ministro ucraniano, Pavlo Rozenko, dijo que la red informática del gobierno también fue atacada y publicó una foto en Twitter de una pantalla de una computadora con un mensaje que decía error. / Por Jack Stubbs y Pavel Polityuk, publicado por Reuters. (Editado en español por Rodrigo Charme).--

Visto en YouTube, vía Euronews

Según informa la Agencia Télam, "este ransomware ya cruzó el océano y llegó hasta Latinoamérica, en particular a Argentina, Chile, Colombia y México, aseguró Gutiérrez Amaya, aunque no brindó detalles sobre la identidad de las víctimas".

"Por lo que hemos estado viendo, (las infecciones en los distintos países) están relacionados con la misma familia de ransomware, "Discounter", una familia muy similar a "Petya", que cifra el sector de arranque de la máquina y después cifra los archivos", explicó en diálogo con Télam el jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya (Télam).

Nota relacionada:

• Otro ataque informático con ransomware pone en jaque a los sistemas privados y públicos a nivel global. "Al igual que en el reciente incidente WannaCry, el virus Petya impide el ingreso al equipo infectado y solicita el pago de 300 dólares para restaurar el acceso; los primeros casos comenzaron en Europa y rápidamente se extendió a todo el mundo, hasta llegar a Argentina". Por Guillermo Tomoyose, publicado por La Nación.

Post relacionado

• Hay que entender que esto es, en realidad, una ciberguerra. 26/06/2017.

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

Hay que entender que esto es, en realidad, una ciberguerra

El ciberataque para el que nadie está protegido.
Por Nicole Perlroth, publicado por The New York Times.

NEWARK, Nueva Jersey — En los últimos meses, Golan Ben-Oni ha sentido que grita hacia el vacío. El 29 de abril alguien atacó a su empleador, IDT Corporation, con dos ciberarmas que le fueron robadas a la Agencia de Seguridad Nacional (NSA, por su sigla en inglés).

Imagen de Archivo: ataques cibernéticos en curso en todo el mundo
Captura de pantalla del mapa de NORSE

Ben-Oni, el director de información global del IDT, pudo repelerlas pero el ataque lo dejó consternado. En 22 años de lidiar con hackers de todo tipo, nunca había visto nada parecido. ¿Quién estaba detrás de eso? ¿Cómo pudieron evadir todas sus defensas? ¿Cuántos más habían sido atacados pero no estaban conscientes de eso?

Desde entonces, Ben-Oni ha expresado su preocupación llamando a cualquiera que lo escuche en la Casa Blanca, el Buró Federal de Investigación (FBI, por su sigla en inglés) y las compañías más importantes de ciberseguridad para advertirles sobre un ataque que aún podría estar dañando invisiblemente a víctimas por todo el mundo.

Dos semanas después de lo sucedido en IDT, el ciberataque conocido como WannaCry causó estragos en hospitales de Inglaterra, universidades de China, sistemas ferroviarios de Alemania e incluso plantas automotrices de Japón. Sin duda fue muy destructivo.

Sin embargo, lo que Ben-Oni atestiguó fue mucho peor y, con todas las miradas puestas en la destrucción causada por WannaCry, pocas personas se han fijado en el ataque contra los sistemas de IDT… y otros similares que seguramente se han producido en otros lugares.

El ataque a IDT, un conglomerado cuyas oficinas centrales tienen una gran vista del horizonte de Manhattan, fue similar a WannaCry en un sentido: los hackers encriptaron los datos de IDT y exigieron un rescate para desbloquearlos. No obstante, la exigencia del rescate solo fue una cortina de humo para ocultar un ataque mucho más invasivo que se robó las credenciales de los empleados.

Con esas credenciales, los hackers podrían haber circulado libremente por la red informática de la empresa, llevándose información confidencial o destruyendo los equipos.

Lo peor es que el ataque, que nunca antes se había reportado, no fue detectado por algunos de los productos de ciberseguridad líderes en Estados Unidos ni por los principales ingenieros de seguridad de las compañías tecnológicas más grandes ni por los analistas gubernamentales de inteligencia.

Si no hubiera sido por una caja negra digital que grabó todo lo que sucedió en la red de IDT, y por la tenacidad de Ben-Oni, el ataque pudo haber pasado inadvertido. Los escaneos realizados a las dos herramientas usadas en contra de IDT indican que la empresa no está sola. De hecho, las mismas armas de la NSA tuvieron acceso ilegal a decenas de miles de sistemas de cómputo en todo el mundo.

Ben-Obi y otros investigadores de seguridad temen que muchas de esas computadoras infectadas estén conectadas a redes de transporte, hospitales, plantas de tratamiento de agua y otros servicios. Un ataque a esas redes, advierte el experto en informática, podría poner en riesgo muchas vidas.

“El mundo está escandalizado con WannaCry, pero esto es una bomba nuclear en comparación con WannaCry”, dijo Ben-Oni. “Esto es distinto. Es mucho peor. Se roba las credenciales. No puedes atraparlo y está sucediendo frente a nuestros ojos”. Y añadió: “El mundo no está preparado para esto”.

Ataque al centro neural

En IDT, Ben-Oni se ha topado con cientos de miles de hackers de todo tipo de causas y niveles de habilidad. Según calcula, los negocios que trabajan con IDT experimentan cientos de ataques al día, pero quizá solo cuatro incidentes le preocupan cada año.

Sin embargo, ninguno se compara con el ataque sufrido en abril. Al igual que el ataque WannaCry de mayo, el realizado contra IDT fue hecho con ciberarmas desarrolladas por la NSA que fueron filtradas en línea por un misterioso grupo que se hace llamar Shadow Brokers, que se piensa que está integrado por ciberdelincuentes respaldados por Rusia, un infiltrado en la NSA o por ambos.

El ataque con WannaCry —que tanto la NSA como los investigadores de seguridad han vinculado a Corea del Norte— usó una ciberarma de la NSA; el ataque a IDT usó dos.

Tanto en WannaCry, como en el incidente de IDT utilizaron una herramienta de hackeo que la agencia llamó EternalBlue. Esa aplicación se aprovechó de los servidores de Microsoft que no tenían las actualizaciones de seguridad para propagar automáticamente el programa malicioso de un servidor a otro, de tal manera que en 24 horas los hackers ya habían contagiado su ransomware a más de 200.000 servidores en todo el planeta.

El ataque a IDT fue un paso más allá: usó otra ciberarma robada a la NSA llamada DoublePulsar. La NSA la desarrolló para infiltrarse en sistemas informáticos sin activar las alarmas de seguridad. Eso permitió que los espías de la NSA pudieran inyectar sus herramientas al centro neural del sistema informático de un objetivo, llamado kernel o núcleo, que gestiona la comunicación entre el hardware y el software de una computadora.

En el orden jerárquico de un sistema de cómputo, el núcleo está en la cima, por lo que permite que cualquiera que tenga acceso secreto a él pueda tomar el control total de un equipo. También es un peligroso punto ciego para la mayor parte del software de seguridad, pues permite a los atacantes hacer lo que quieran sin ser detectados.

Luego los hackers activaron el programa de secuestro (ransomware) como una pantalla para cubrir su motivo real: un acceso más amplio a los negocios de IDT. Ben-Oni se enteró del ataque cuando una contratista, que trabajaba desde casa, prendió su computadora y se dio cuenta de que todos sus datos estaban encriptados y los atacantes exigían un rescate para desbloquearlos. Ben-Oni pudo haber supuesto que se trataba de un simple caso de programa de secuestro.

La ciberseguridad un tema, máxima importancia

Cualquiera puede transformarse sin querer y por su ignorancia en un problema que afecte, con pérdidas importantes, desde a sus contactos hasta la organización o empresa en que trabaja.

Es de público conocimiento el masivo ciberataque que ayer afectó a usuarios, entidades y empresas en casi un centenar de Países. Aún se desconoce quién puede estar detrás de los ataques y si fueron ejecutados de forma coordinada. Se destaca que evidenció las vulnerabilidades de todas las redes de sistemas de computación inconexas que existen alrededor del mundo.

Lo que se está señalando de manera importante es que "el malware fue circulado por correo electrónico con un archivo cifrado y comprimido que, al ser descargado por algún empleado de las organizaciones que fueron blanco, permitía la infiltración de los archivos de todos los sistemas" (TNYT).

Se evidencia la ausencia de criterios de seguridad tras esa equivocada sensación de seguridad que relaja hasta los sentidos de autoprotección.

Los expertos coinciden en que habrá muchos más de estos ataques.-

Post relacionado:

• Cuando la seguridad es un espejismo. 10/05/2017.
• La ingeniería social y la actividad criminal siguen en auge. 03/05/2017.
• Brechas de seguridad producen cuantiosas pérdidas a empresas. 12/04/2017.
• El poder de las ciberarmas está en utilizarlas, advierten. 06/03/2017.
• Argentina - Proteger los datos del Estado, debe ser una prioridad. 01/03/2017.

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

Ciberataque masivo afecta a entidades y empresas en más de 90 Países

Se viene informando de un pico muy elevado de ataques del ransomware WanaCrypt0r 2.0, con decenas de miles de detecciones en lo que lleva del día. Avast señala que "el ataque muestra, una vez más, que el ransomware es una herramienta poderosa que puede utilizarse tanto para usuarios como para empresas".

"WanaCrypt0r 2.0 se suele distribuir en los PC gracias a un exploit que Equation Group, un grupo sospechoso de estar vinculado a la NSA, utilizó para sus sucios negocios. Un grupo de hackers llamado ShadowBrokers ha robado las herramientas de hacking de Equation Group y las ha publicado. Tal y como ha confirmado el analista de seguridad Kafeine, el exploit, conocido como ETERNALBLUE o MS17-010, probablemente fue utilizado por los cibercriminales que andan detrás de WanaCrypt0r y se trata de una vulnerabilidad Windows SMB (Server Message Block, un protocolo de transmisión de archivos)" (Avast).

Mensaje del ransomware

En el ataque los perpetradores piden dinero a cambio de liberar el acceso, cerró los sistemas informáticos en instituciones de Reino Unido, EE.UU., China, Rusia, España, Italia, Vietnam y Taiwán, entre otros, inicialmente.

Según ha informado Reuters, "el desarrollador ruso de software para ciberseguridad Kaspersky Lab dijo que sus equipos habían contabilizado más de 45.000 ataques en 74 países en las primeras horas del viernes. Más tarde, su rival Avast llevó el recuento a 57.000 infecciones en 99 países, con Rusia, Ucrania y Taiwán entre los principales objetivos".

"Hospitales y clínicas británicos se vieron obligados a rechazar pacientes y cancelar consultas porque sus computadoras fueron infectadas por una nueva y perniciosa versión de "ransomware" que se propagó rápidamente por todo el mundo, exigiendo pagos de hasta 6.000 dólares para restablecer el acceso a las redes".

"FedEx Corp, el servicio líder de entrega de paquetes a nivel mundial, dijo que fue una de las compañías cuyo sistema Windows fue infectado con el malware, que según firmas de ciberseguridad fue distribuido a través de correos electrónicos masivos".

"Solo una pequeña cantidad de compañías con sede central en Estados Unidos fue infectada porque los piratas informáticos parecen haber empezado su campaña de infección en organizaciones en Europa, dijo Vikram Thakur, gerente de investigación en el fabricante de software de seguridad Symantec".

"Para cuando dirigieron su atención a organizaciones en Estados Unidos, los filtros de seguridad ya habían identificado a la nueva amenaza marcando como maliciosos a los correos electrónicos que la transportaban, dijo Thakur".

La botnet Mirai usa dispositivos hogareños para ejecutar ciberataques

El ejército zombie de dispositivos conectados que puso en jaque a Internet.
Por Martiniano Nemirovsci publicado por Télam.

Millones de afectados en Estados Unidos y Europa, un país entero sin conexión a Internet y la caída de varios de los principales sitios y servicios online del mundo fueron la carta de presentación de la "botnet" Mirai, un malware que encuentra, infecta y domina a dispositivos hogareños para usarlos en ataques, que marcó un antes y un después en estos incidentes y obliga a fabricantes y gobiernos a elevar las medidas de seguridad.

Visto en Flickr
La imagen no pertenece a la nota de Télam

"Alguien está aprendiendo cómo derribar Internet", alertó a comienzos de septiembre, en su blog, Bruce Schneier, uno de los principales referentes a nivel global sobre seguridad informática. El experto se refería a un incremento en los ataques distribuidos de denegación de servicios (DDoS) contra compañías encargadas de proveer "la infraestructura básica que hace que Internet funcione".

No daba cuenta de un nuevo tipo de ataque, ya que los DDoS se utilizan desde hace años para dar de baja servidores provocándoles la pérdida de conectividad, al saturarlos mediante una enorme cantidad de accesos que consumen su ancho de banda, los sobrecargan y los voltean. La alarma de Schneier, en cambio, alertaba sobre la magnitud de los mismos.

Su advertencia comenzó a tomar cuerpo ese mismo mes. El proveedor de hosting francés OVH quedó fuera de la red después de que a sus servidores ingresara un tráfico de casi 1,5 Tb por segundo; una semana después, el blog del periodista especializado en seguridad informática Brian Krebs fue blanco de otro enorme ataque de 665 Gb por segundo.

En ambos casos, la novedad residió en que los ataques no provinieron de PCs infectadas, sino de "Mirai", una botnet -una red de cámaras y otros aparatos hogareños conectados a la Internet de las Cosas- compuesta por más de 100.000 dispositivos, en la que los hackers aprovecharon vulnerabilidades de seguridad de esos equipos para dirigir su tráfico contra las víctimas.

Después de estos incidentes, un hacker conocido como "Anna-senpai" abrió el código de esta botnet y lo subió a Internet para que cualquier persona que quisiera pudiera usarlo.

Mirai aprovecha "una vulnerabilidad de dispositivos de Linux conectados a Internet", en referencia al sistema operativo que tienen muchos de los aparatos de la Internet de las cosas; primero "escanea todo, prueba y entra en todos los (dispositivos) que son accesibles", a los que infecta y domina, explicó a Télam Alfredo Adrián Ortega, desarrollador de software que trabaja para la empresa de antivirus Avast.

Así, esta botnet crea lo que especialistas denominaron un "ejército zombie de dispositivos conectados", que permanece latente hasta que se usa para lanzar un ataque.

Como sucedió el 21 de octubre, cuando Mirai se empleó contra los servidores de Dyn, un proveedor de direcciones DNS, y volteó durante casi un día entero no solo un gran número de conexiones en Estados Unidos -primero en la costa este, aunque luego se esparció hacia el otro extremo-, sino que afectó a sitios y servicios como Twitter, Netflix, Spotify, Reddit, The Guardian, The New York Times, CNN, Guardian.co.uk, HBO Now, PayPal, Pinterest, Playstation Network, Storify.com, The Verge, Fox News, Soundcloud, WSJ.com, time.com, xbox.com, dailynews.com, BBC, y CNBC.com, entre otros.

Ortega relativizó la advertencia de Schneier al señalar que Mirai "no puede tirar toda Internet", aunque afirmó que "sí puede tirar partes. Y por ahí son partes fundamentales. Partecitas que te joroban la vida". Como hacker, "vos detectás cuál es la parte crítica, tres o cuatro servidores. Rompés esos y afectás un montón de usuarios, por ejemplo de telecomunicaciones, servicio de energía, etcétera. Servidores críticos", remarcó.

Apuntan a la falta de reglamentación de la Internet de las cosas IoT

Los expertos siempre han advertido de los inminentes problemas de seguridad con la llamada Internet de las cosas. Pero no estimaban que tornarían en un gran problema tan rápido y tan dramáticamente como lo hizo el 21 de octubre, cuando los dispositivos conectados a la IoT como cámaras de vigilancia en casas fueron secuestrados y se transformaron en armas que interrumpieron vastas extensiones de internet durante horas.

The internet of things is totally unregulated, and that might have to change. "Experts have long warned of the imminent security problems with the so-called internet of things. They didn’t reckon it would take shape as quickly and as dramatically as it did Oct. 21, when IoT-connected devices like home surveillance cameras were hijacked and fashioned into weapons that disrupted vast swaths of the internet for hours". Publicado por Nextgov.

La privacidad y seguridad legal de los datos generados por los diferentes dispositivos desde hace un tiempo es materia de estudio de riesgos y oportunidades emergentes en Seguros. Desde el Instituto de Auditores Internos de Argentina (IAIA), hacen notar que:

"El vacío legal es un riesgo colateral a todos estos avances digitales y tecnológicos, porque ni los gobiernos ni entes reguladores van al paso de los cambios. Esto afectará a individuos, compañías de seguros, empresas y comunidades enteras hasta que se planteen regulaciones acordes que tutelen y brinden equilibrio a toda la sociedad global" (Marta Monacci, Directora del Comité de Seguros)

Las redes creadas por IoT serán algunas de las más grandes que en el mundo se hayan visto jamás, haciéndolas enormemente atractivas para los ciberdlincuentes. Los expertos en ciberseguridad están reclamando que el objetivo principal del IoT sea diseñar todos los dispositivos teniendo en cuenta la seguridad desde el principio.

El Internet de las cosas ofrece ventajas extraordinarias, casi infinitas, pero la sociedad necesita reaccionar con rapidez. Se hace muy necesario establecer las prioridades en materia de seguridad.

"Las amenazas de denegación de servicio (DoS), se plantean desde el punto de vista de la informática en la nube y se ha desarrollado `malware’ que infecta toda clase de sistemas.  Las motivaciones de estas amenazas no han variado demasiado, sino que más bien se han intensificado y diversificado. Los piratas informáticos continuarán estando motivados por razones económicas e ideológicas, y la ciberguerra seguirá afectando a los dispositivos presentes en nuestras vidas" ("Alcance, escala y riesgos sin precedentes: asegurar el Internet de las cosas” PDF / Telefónica).

Actualización:

Latinoamérica carece de marcos jurídicos para enfrentar amenazas de Internet. "Los países de Latinoamérica carecen de marcos jurídicos para hacer frente a las amenazas de internet debido al gran desconocimiento de sus Gobiernos sobre cómo protegerse, afirmaron en Sao Paulo expertos en ciberseguridad". Publicado por Infolatam / Efe.-

Notas relacionadas:

• Can we secure the internet of things in time to prevent another cyber-attack?. The Guardian.
• Los límites de la red. PabloYglesias | internet + móvil + actualidad.
• Why Twitter, Spotify and other major sites may be inaccessible. The Washington Post.
• Estados Unidos investiga corte masivo de internet. CNN.

Post relacionados

• Apuntan a la falta de reglamentación de la Internet de las cosas IoT. 25/10/2016.
• Sorprende la sorpresa del ciberataque a DynDNS. 24/10/2016.
• Ciberataques masivos que bloquearon una parte fundamental de la infraestructura de Internet. 21/10/2016.
• Llegó una revolución que modificará la forma en que vivimos. 14/10/2016.
• Noticias que ponen el acento en la ciberseguridad. 22/09/2016.
• Alertan sobre un posible ataque contra Internet. 21/09/2016.
• Apuntan a mayor énfasis en desarrollo de ciberarmas en el Pentágono. 07/08/2016.
• Establecen guía para responder a ciberamenazas contra Estados Unidos. 26/07/2016.
• Cuidado con sus comunicaciones, estamos en ciberguerra. 25/11/2015.
• Rumor de ciberguerra. 05/09/2013.

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

Sorprende la sorpresa del ciberataque a DynDNS

En la mañana del viernes amanecían caídos t/o con importantes dificultades multiples servicios como WhatsApp, Twitter, Spotify, Netflix, Airbnb, GitHub, PayPal, Reddit, SoundCloud, Etsy, Okta, y websites como The New York Times, The Verge, Fox Nes, WSJ, Wired.com o Time. Se estaba produciendo un ataque DDoS que tenía como objetivo "tumbar" DynDNS (Dynamic Network Services, Inc.), una compañía de Internet de los Estados Unidos, dedicada a soluciones de DNS en direcciones IP dinámicas.

El ataque fue exitoso, sobrepasó la capacidad operativa de Dyn y lo llevó a suspender su servicio en varias oportunidades ese día. Algunos titulares de noticias señalaron que fue mayor ataque ciberterrorista en una década. Recordemos un dato importante, en 2007 Estonia sufrió lo que se ha señalado la primera ciberguerra. Y desde entonces, en cada conflicto ese tipo de enfrentamiento vino escalando.

Captura de pantalla del mapa de NORSE. La firma de seguridad informática con sede en EE.UU. NORSE, lanzo el año pasado un mapa animado en tiempo real que ilustra los ataques cibernéticos en curso en todo el mundo

Tras el ciberataque a Dyn, expertos en seguridad informática opinaron que ésta acción no fue producto de improvisados, se está considerando la posibilidad que detrás del "sabotaje" podría haber reunido un ejército de ciberterroristas.

Según las primeras investigaciones de Dyn, se apunta a que el ataque provino de dispositivos conocidos como 'Internet of Things' (interconexión digital de objetos cotidianos con Internet), tales como DVR, impresoras y otros aparatos conectados a la Red.

Los datos de Dyn señalan que el ataque se libró desde dispositivos infectados con un código malicioso (malware) que se publicó en la web en las últimas semanas.

De momento, el grupo New World Hackers, distribuidos en Rusia y China, y el grupo Anonymous se han atribuido la responsabilidad del ciberataque. Sin embargo, el Gobierno estadounidense asegura que sigue investigando lo sucedido.

Los expertos señalan hoy que lo único claro es que se trató de un ataque masivo dirigido a una de las infraestructuras críticas que sustentan a Internet, y fue llevado a cabo gracias a las vulnerabilidades de dispositivos del IoT, como afirmaba la propia Dyn.

Sobre el apagón en Paraguay

Falla en central Itaipú causa apagón en Paraguay.
Publicado por Reuters.

ASUNCIÓN (Reuters) - Una falla en la subestación que suministra la energía de la hidroeléctrica Itaipú a Paraguay provocó un apagón en gran parte del país durante la madrugada del miércoles, informó el director de la central.

Paraguay es copropietario junto con Brasil de la central, la más potente del mundo y que es la fuente de alrededor del 75 por ciento de la energía eléctrica que consume el país.

Sala de control de Itaipú, vista en ABC Color
La foto no corresponde a la nota de Reuters 

El corte duró cerca de una hora y dejó a oscuras a gran parte del país, incluyendo la capital y ciudades vecinas, además del centro y el norte del país.

El director paraguayo de la central, James Spalding, dijo que una barra de transmisión se desconectó debido a la activación de un mecanismo de seguridad en la subestación. Técnicos de la central se encuentran revisando el sistema para determinar la causa.

"No tenemos motivo para pensar que fue un error humano, son equipos que tienen sus sistemas de protección, así como saltan los fusibles en nuestras casas. Es algo que está ahí para proteger", dijo Spalding a la emisora local ABC Cardinal.

El servicio fue restituido por completo, informó la central. / Publicado por Reuters.--

--.--

No hay mucha información aún de las causas, el diario local, de Asunción, ABC, informó que "aún no saben causas de falla". El medio publicó ésta mañana, antes del medio día, que "técnicos de la Itaipú trabajan para determinar el motivo de la falla en un cuadro de control y comando de un equipo en la subestación de la margen derecha de la binacional".

Ciberseguros, un negocio en auge

Hace ya 9 años la póliza Dataguard, de la aseguradora británica ACE Group, fue el primer ciberseguro que apareció en España. En ese momento ACE Group ya contaba con 630 clientes en Europa y en Estados Unidos los ciberseguros (Cyberinsurance) llevaban casi una década funcionando.

En los últimos meses, entre otros casos de ataques cibernéticos de gran impacto mediático, el escándalo de Ashley Madison y la publicación de los datos de 39 millones de sus clientes en todo el mundo, han motivado un creciente interés en los resguardos legales y económicos ante los ciberataques.

La problemática existente entorno a los riesgos y amenazas de ciberseguridad a las que están expuestas las empresas es enorme, al igual que las pérdidas. El daño que se le inflige a la credibilidad de una empresa víctima de un ciberataque podría ser irreversible

Foto: Ciberseguros (cyber insurance). Captura de pantalla de vídeo de Reuters "As hackers go wild, cyber insurance gets expensive"

"Las corporaciones son conscientes del riesgo y están buscando soluciones. Por eso están en auge los ciberseguros, cuya tasa de adopción en los Estados Unidos pasó del 10% en 2013 al 26% un año después. Se estima que entre 50 y 60 firmas aseguradoras ofrecen ya este tipo de póliza" (Pandasecurity.com).

Android más seguro, según informe de Google

Google ha publicado el informe “Android Security 2014 Year in Review”, señalando importantes avances de seguridad en Android.

Logo de Android. Visto en Wikipedia

El informe recoge un año de correcciones y mejoras del sistema operativo móvil en materia de seguridad. Implementación de nuevos mecanismos y parches que cierran agujeros de seguridad conocidos. Según el informe, en 2014, Android ha implementó importantes mejoras de seguridad, que incluyen avances como la implementación del cifrado de disco completo y herramientas avanzadas de detección de vulnerabilidades para los desarrolladores.

El dato destacado es que la compañía ha mostrado que menos del 1% de los dispositivos Android (entiéndase, con Verify Apps activo) contiene una PHA (Potentially Harmful Application) instalada. Es más, reduce ese porcentaje al 0,15% si se trata de dispositivos que instalan aplicaciones exclusivamente desde Google Play. tiene cualquier tipo de malware.

Google escanea los dispositivos Android activados con un producto denominado “Verificar Aplicaciones” que busca los virus, ransomware y otras aplicaciones potencialmente dañinas (PHA). También ha destacado que hay más de 1.000 millones de dispositivos protegidos por Google Play.

Para bajara el informe “Android Security 2014 Year in Review”, en formato PDF, acceda la siguiente link:

https://static.googleusercontent.com/media/source.android.com/en/us/devices/tech/security/reports/Google_Android_Security_2014_Report_Final.pdf

Dos ciberataques notables

Para no pocos, no hay dudas, se viven tiempos peligrosos. Todos los días leemos sobre las evidencias de lo que pasa en materia de ciberseguridad. Pensar que a uno no le va a pasar es un mal negocio, lo dicen los expertos.

Hackers atacan firma de salud Premera Blue Cross y exponen datos de 11 millones clientes EEUU: TV.

BOSTON (Reuters) - La aseguradora de salud estadounidense Premera Blue Cross dijo el martes que fue víctima de un ciberataque que podría haber expuesto los números de cuentas bancarias y datos personales de 11 millones de clientes, reportó el canal local King 5 en su sitio web.

La compañía dijo que detectó la intromisión el 29 de enero de este año pero que el ataque ocurrió el 5 de mayo del 2014. Los datos que pudieron quedar comprometidos incluyen nombres, fechas de nacimiento, números de seguridad social e información de cuentas corrientes que se remontan hasta el 2002, reportó el canal.

Un portavoz del FBI Joshua Campbell dijo a Reuters que la agencia está investigando el ataque. Publicado por Reuters. (Reporte de Jim Finkle. Editado en español por Marion Giraldo).--

Un hacker toma de rehén una planta nuclear de Corea del Sur.

(ESET). Según informa el International Business Times, un hacker que dice haber robado datos sensibles pertenecientes a una planta nuclear de Corea del Sur está exigiendo dinero a cambio de mantener la información alejada del ojo público.

Durante el jueves, el hacker eligió la red social Twitter para publicar documentos relacionados a un reactor de potencia, desde una cuenta creada bajo el nombre del presidente de un grupo antinuclear en Hawaii. La Compañía Estatal de Energía Hidro Nuclear (en inglés Korea Hydro Nuclear Power Co. ó KHNC) aún no fue capaz de identificar qué tan sensible es la información de los documentos secuestrados, pero aseguran que no podría ser información clasificada, ya que la misma está siendo almacenada en un servidor aislado desde el año pasado.

El hacker no ha puesto precio al rescate, pero asegura que muchos países están interesados en comprar información relacionada a reactores nucleares.

“Necesito dinero. Sólo necesitan cumplir con algunas exigencias… Muchos países del norte de Europa, el Sudeste de Asia y América del Sur dicen que comprarán información sobre reactores nucleares. Teman, porque al vender toda la información, los esfuerzos de la presidente Park (Geun-hye) por exportar reactores nucleares quedarán fútiles,” dijo el hacker en una de sus publicaciones.

Esta es la quinta publicación que se envía desde el 15 de diciembre, según reporta el Korea Times, incluyendo una publicación que amenazaba con “traer destrucción” a menos que los reactores nucleares del país fueran dados de baja antes de la Navidad del año pasado.

“Desde que el supuesto grupo antinuclear hizo su quinta publicación de información el 23 de diciembre, no han habido ni nuevos ataques, ni fugas de información, lo que nos lleva a suponer que los documentos publicados habrían sido obtenidos mucho tiempo antes,” dijo KHNP en un comunicado de prensa, según Yonhap.

En la publicación más reciente, el hacker amenazó con atacar a la compañía con 9.000 virus, luego de que se reportara que unos 7.000 habían sido encontrados. Por  Kyle Ellison para ESET.--

Amenazas como Regin y Stuxnet ¿nos podrían afectar?

¿Deberías preocuparte por amenazas como Regin?

Desde que se descubrió a Stuxnet varios años atrás, ha habido un desfile de malware dirigido -como Flame, Duqu, Gauss y ahora Regin- que puede haber sido creado o sustentado por estados nacionales. Estas complejas amenazas tienen una gran parte de sus funcionalidades diseñadas para espiar a sus víctimas. Naturalmente, amenazas tan excepcionales y polémicas ganan mucha cobertura en los medios, pero, como una persona o compañía promedio, tú, ¿deberías prepocuparte por este asunto?

Por Lysa Myers para Welivesecurity - ESET

Post relacionados:

• El malware Regin una herramienta de ciberespionaje apuntada a la Unión Europea. 26/11/2014.
• El malware llamado "Regin", o Backdoor.Regin espía con características "invisibles". 24/11/2014.

El malware Regin una herramienta de ciberespionaje apuntada a la Unión Europea

Tras descubrirse ésta avanzada aplicación de ciberespionaje "que fue utilizada desde el 2008 para espiar a compañías privadas, gobiernos, institutos de investigación y personas de 10 países", nuevas fuentes, como The Intercept, están publicado los resultados de las investigaciones, que apuntan a Estados Unidos y el Reino Unido como los gobiernos involucrados en su desarrollo, con el objetivo de espiar a países de la Unión Europea.

El malware Regin, cuya existencia fue reportado por primera vez por la empresa de seguridad Symantec el domingo, está señalado como uno de los más sofisticados jamás descubierto por los investigadores. Los especialistas de Symantec han comparado Regin a Stuxnet, una famosa arma cibernética y lo califican como "altamente preciso".

Desde Symantec se ha informado que "Regin es un troyano de tipo puerta trasera, personalizable, con una amplia gama de capacidades en función de la meta". El malware es una amenaza de múltiples etapas, con cada etapa oculto y encriptado, a excepción de la primera etapa, la ejecución de lo que inicia una cadena de descifrado dominó y cargas de cada etapa posterior.

Fuente: Symantec

Sian John, estratega de seguridad de Symantec, informó a la BBC: "Parece ser que se trata (de una herramienta para) recolectar inteligencia, parece haber sido desarrollada por una agencia de inteligencia para recolectar información".

"Sian John le explicó a la BBC que las personas detrás de Regin pueden ejecutar diferentes módulos en función de lo que requieran, capaces de espiar diferentes aspectos de la computadora infectada.
Ese enfoque modular es semejante a otro software maligno, como Flame y Weevil, explica la empresa de ciberseguridad" (BBC).

Según The Intercept, Regin es la herramienta empleada por la Agencia de Seguridad Nacional (NSA) de Estados Unidos y el Cuartel General de Comunicaciones del Gobierno (GCHQ) de Reino Unido para vigilar a la Unión Europea.

Se ha informado que Regin lleva poco más de una década siendo desarrollado, y se han mostrado piezas de código que datan del año 2003.

The Intercept realizó un estudio sobre el código que da forma a Regin, y se "descubrió" que para infiltrarlo en los equipos belgas fue necesario engañar a los empleados de la empresa Belgacom para hacerlos caer en un website falso, que imitaba el portal de LinkedIn. El falso website conseguía infectar al equipo objetivo.

La fuente informa que en una misión de hacking con nombre en código "Operation Socialist", el GCHQ tuvo acceso a los sistemas internos de Belgacom en 2010, al dirigirse a ingenieros de la empresa. La agencia secretamente había instalado los llamados "implantes" de malware en los ordenadores de los empleados mediante el envío de su conexión a Internet a un website falso de LinkedIn . Éste website malicioso lanzó un ataque de malware, infectando los ordenadores de los empleados y dio a los espías de control total de sus sistemas, lo que permitió ahondar en las redes de Belgacom para robar datos.

En una entrevista concedida a la revista belga MondiaalNiews, Fabrice Clément, jefe de seguridad de Belgacom, dijo que la compañía identificó por primera vez el ataque el 21 de junio de 2013.

Según nuevas publicaciones el Equipo Global de Investigación y Análisis de Kaspersky Lab ha publicado su investigación sobre Regin, donde se indica que es "la primera plataforma de ataque cibernético conocida para penetrar y controlar las redes GSM, además de otras tareas “estándar” de ciberespionaje. Los atacantes detrás de esta plataforma han puesto en peligro las redes informáticas en al menos 14 países alrededor del mundo, incluyendo Brasil".

Post relacionados

• El malware llamado "Regin", o Backdoor.Regin espía con características "invisibles". 24/11/2014.

Grupo de ciberespionaje ataca redes de equipos físicamente aislados

El grupo de espionaje Sednit ataca redes seguras aisladas.- "El grupo de espionaje Sednit, también conocido como Sofacy, APT28 o “Fancy Bear”, estuvo atacando a diversas instituciones durante muchos años. Hace poco descubrimos un componente utilizado que utiliza para alcanzar redes de equipos físicamente aislados (entre “air gaps”) y robar archivos confidenciales a través de unidades extraíbles. Un “air gap” es una medida de seguridad de redes que consiste en procurar que una red segura de computadoras esté físicamente aislada de redes inseguras, como Internet público o una red de área local no asegurada debidamente". Por Joan Calvet para ESET / welivesecurity.com.

El tremendo peligro de los pendrives y puertos USB

¿Por qué los USB son tan inseguros?
Por BBC Mundo - Tecnología.

Cuando la humanidad estaba luchando con los discos compactos y diskettes,la llegada de la unidad USB fue un alivio para el mundo digital. Gracias a ésta, se podían almacenar y transferir datos de manera rápida y sencilla.

La unidad USB (Universal Serial Bus, en inglés) es un dispositivo de almacenamiento que se utiliza para guardar información una memoria tipo flash, una memoria no volátil y reescribible. Se conoce también, entre otros nombres, como pendrive o memoria externa.

Pero como toda moneda tiene dos caras, estos pequeños dispositivos, además de ser altamente útiles, también son potenciales portadores del llamado malware o software infeccioso, generalmente utilizados para interrumpir el funcionamiento de la computadora, robar información sensible, o tener acceso a los sistemas informáticos privados. Y la vulnerabilidad va más allá, según un estudio que acaba de ver la luz. "Un USB puede contener malware incluso cuando está formateado", acaban de concluir Karsten Nohl y Jakob Lell, dos expertos en seguridad cibernética con base en Berlín. Por tanto, incluso si los datos almacenados en él han sido borrados.

La resolución es tajante. Según el dúo de investigadores, dicha tecnología es "críticamente deficiente" y, por lo tanto, "no hay forma práctica de defenderse contra esa vulnerabilidad".

Sabotaje internacional

Los USBs se han empleado en casos de sabotaje internacional. El ejemplo más notable es el de Irán. Este país mantuvo sus instalaciones de enriquecimiento de uranio aisladas por espacio de aire, pero en 2010 el virus Stuxnet fue capaz de paralizar las centrifugadoras principales después de unos trabajadores distraídos conectaran dispositivos USB infectados que habían sido desechados por espías. El investigador que identificó el virus, Ralph Langer, especuló publicamente sobre el origen israelí del software infectado, en septiembre de ese año.

Menos de un año después, en febrero de 2011, en una conferencia ofrecida para TED Talk dijo: "Mi opinión es que el Mossad estuvo involucrado, pero la fuerza líder de la operación no fue Israel. Esa fuerza líder es la superpotencia cibernética, la única que existe: Estados Unidos".

Pero esa amenaza también afecta a otros usuarios, los de a pie. Quien no lo sufrió en carne propia conoce a alguien que infectó su computadora con un virus al usar un pendrive con software "malicioso".

En una demostración llevada a cabo las pasada semana en la conferencia de hackers Black Hat, de Las Vegas (EE.UU.), Nohl y Lell mostraron lo que puede ocurrir cuando un USB con software infectado se inserta en una computadora.

Amenaza del día a día

El código "maligno" implantado en la máquina hizo a ésta pensar que se le había enchufado un teclado. En pocos minutos el teclado fantasma comenzó a escribir comandos y ordenó a la computadora descargar un programa de Internet. Nohl conectó un teléfono inteligente a una computadora, para que éste se cargara. Lo hizo por medio de una conexión USB. Con ello, consiguió engañar a la máquina y le hizo pensar que lo que le fue insertado era una tarjeta en red.

Así, cuando el usuario accedió a Internet, su navegación fue "secretamente secuestrada", explicó el investigador a Dave Lee, reportero de tecnología de BBC. Y como consecuencia, pudo crear una copia falsa de la página web de PayPal, una compañía de comercio electrónico internacional que permite pagar y transferir dinero a través de Internet. Gracias a ello, robó las claves de acceso del usuario a ese sistema, dejando así patente la facilidad con la que podría robarle dinero de su cuenta en PayPal y hacer trasferencias en su nombre.

"Básicamente, no se puede confiar en una computadora una vez que se haya conectado a ella una memoria USB", concluyó Nohl.

Consejos para aumentar la seguridad

Mike McLaughlin, un investigador de seguridad de First Base Technologies consultado por BBC, dijo que la amenaza debe ser tomada en serio. "Y es que el USB es ubicuo en todos los dispositivos", señaló. "Cualquier empresa siempre debe tener políticas establecidas respecto a los dispositivos USB y unidades USB. Y si fuera necesario, deberían dejar de usarlos", cree McLaughlin.

Amichai Shulman, experto en protección de datos de Imperva, está de acuerdo. Sin embargo, explicó a BBC Mundo que el usuario común poco puede hacer ante esa vulnerabilidad. "Uno no puede andar pensando que todos los dispositivos USB, cada memoria externa que se compra, contienen software infeccioso", dijo por teléfono desde Israel. Y aconseja lo obvio: "Si encuentra un USB en la calle, no lo inserte en su computadora".

Rajib Singha, bloguero experto en seguridad tecnológica, matiza esa sugerencia: "Incluso si va a usar el pendrive de un amigo, verifique antes que no tiene un virus". Además, amplía la lista de consejos para hacer un uso lo más seguro posible de las unidades USB en el blog de Quick Heal Technologies. Alguno es tan evidente como el de no usar un USB encontrado en la calle: "No almacene en esos dispositivos información como el número de la seguridad social, la clave de la tarjeta de crédito ni otros datos similares".

Y termina con otra recomendación sencilla: "Nunca utilice la misma memoria USB para el trabajo y en casa", apunta Singha.

En manos de fabricantes

El grupo responsable del estándar USB, USB Working Party, se negó a comentar sobre la seriedad de la amenaza vertida por los investigadores. Pero en términos generales, dijo a BBC: "Las especificaciones de USB son compatibles con capacidades adicionales para la seguridad, pero los fabricantes de los equipos originales deben decidir implementar o no estas capacidades en sus productos".

La primera consecuencia de hacer que estos dispositivos fueran más seguros sería, según USB Working Party, el aumento del precio de los mismos. Y frente a ello, quien tiene la última palabra es el usuario: "Los consumidores decidirán en el día a día cuánto quieren pagar por ese beneficio (de la seguridad añadida)".

"En el caso de que exista una demanda de mayor seguridad, esperamos que los fabricantes le den respuesta", añadió.

Mientras eso ocurra, los expertos en seguridad lo tienen claro: "El único consejo posible es ser muy cuidadosos al conectar dispositivos USB a nuestras máquinas". Por lo tanto, "hay que cambiar costumbres", dijeron a BBC. / Por BBC Mundo - Tecnología.--

---.---

Símbolo del Universal Serial Bus USB. Visto en Wikipedia.

Post relacionado:

• La seguridad de los conectores USB comprometida por fallo de alto riesgo. 31/07/2014.

Nota relacionada:

• Why the Security of USB Is Fundamentally Broken. Wired: Threat Level.

Un ataque DDoS conjunto está dejando sin servicio, además de a Feedly a varios otros

Ups!! parece que la cosa vino al por mayor, un ataque DDoS (de denegación de servicio) conjunto está dejando sin servicio, además de a Feedly, a Basecamp, Vimeo, Bit.ly, NameCheap, Moz o Meetup entre otros. 

Hoy en un post anterior, al comentar lo de Feedly, comentamos que el día de ayer la aplicación Evernote informó de que había sido objeto de un ataque similar, aunque su sistema fue restablecido rápidamente. Señalamos que por el momento se desconoce si estos ataques están relacionados, pero ante ésta nueva información asumimos que no se puede descartar una posible relación.

En TechCrunch informan que se trata de ataques extorsivos, tal como lo sucedido con Feedly. En ALT1040 indican que los ataques se están produciendo explotando protocolos inseguros sin precedentes en los últimos años, como el protocolo NTP (Network Time Protocol) a través del cual se sincronizan los relojes de los sistemas informáticos.

En el mapa de Digital Attack Map se informa en tiempo real los ataques DDoS a nivel mundial, así como un histórico del impacto alcanzado.

Actualización 18:58 hs.

#Feedly is back. Feedly ha vuelto. Estamos revisando nuestro historial de suscripciones. Que bueno que solucionaran lo del ataque DDoS.

Post relacionado:

• Feedly, y sus usuarios, sufren un ciberataque de denegación de servicios DDoS. 11/06/2014.

La economía mundial pierde unos US$ 445 mil millones anuales por ciberdelitos

Ciberdelito cuesta a la economía mundial 445.000 mlns dlrs por año: informe
Por Reuters.

LONDRES (Reuters) - El ciberdelito cuesta a la economía mundial unos 445.000 millones de dólares anuales y el daño por el robo de propiedad intelectual excede los 160.000 millones de dólares, según una investigación publicada el lunes.

El informe del Centro de Estudios Internacionales y Estratégicos (CSIS) indicó que el ciberdelito es una industria en crecimiento que perjudica el comercio, la competitividad y la innovación.

Una estimación conservadora sería 375.000 millones de dólares en pérdidas, mientras que el máximo podría llegar a 575.000 millones de dólares, señala el estudio, patrocinado por la firma de software de seguridad McAfee.

"El ciberdelito es una carga para la innovación y ralentiza el ritmo de la innovación mundial al reducir la proporción que vuelve a innovadores e inversores", dijo Jim Lewis, de CSIS, en un comunicado.

"Para los países desarrollados, el ciberdelito tiene implicaciones graves para el empleo", añadió.

Las grandes economías mundiales llevan el grueso de las pérdidas, según la investigación, y la cifra para Estados Unidos, China, Japón y Alemania alcanza los 200.000 millones de dólares al año en total.

Las pérdidas relacionadas con la información personal, como datos de tarjetas de crédito robados, se calcularon en hasta 150.000 millones de dólares.

Unos 40 millones de personas en Estados Unidos, aproximadamente el 15 por ciento de la población, han sufrido robos de información personal a manos de hackers, indicó el informe, mientras que el problema afectó a 54 millones de personas en Turquía, 16 millones en Alemania y más de 20 millones en China.

McAfee, propiedad de Intel, dijo que la colaboración internacional mejorada estaba empezando a mostrar resultados en la reducción del ciberdelito, por ejemplo en el desmantelamiento de una red delictiva que infectó a cientos de miles de ordenadores conocidos por el nombre de su licencia maestra de software, Gameover Zeus. / Por Reuters. (Reporte de Paul Sandle; Traducido en la Redacción de Madrid; Editado en español por Ana Laura Mitidieri).--

Post relacionados

• Empresas en todo el mundo fortalecen su seguridad informática tras robo de información personal a sus clientes. 09/06/2014.
• Nuestros datos tienen precio. El creciente problema del robo de identidad. 04/06/2014.
• En operación internacional contra el cibercrimen detienen a 80 personas tras 359 allanamientos en 16 países. 19/05/2014.

Un agresivo malware de una red de ciberdelincuentes amenaza Internet

En éstos días se informó que la Agencia Nacional del Crimen (National Crime Agency) del Reino Unido advirtió a los internautas que dispone sólo de dos semanas para proteger sus computadoras de un masivo ciberataque de ciberdelincuentes, que robarían datos sensibles mediante la utilización de una serie de códigos maliciosos (malware) que fueron esparcidos en las últimas semanas en a través del web. 

La advertencia llegó después de que el pasado fin de semana esta Agencia en cooperación con el FBI y la Oficina Europea de Policía (Europol) lograran desmantelar una red internacional de fraude cibernético, que robó millones de dólares de los usuarios.

Los virus Gameover Zeus (conocido también como GOZeus y P2PZeus)
que robaba de los ordenadores la información bancaria y otros datos confidenciales,
y Cryptolocker: un virus que bloqueaba los ordenadores y exigía a las víctimas
un pago a cambio de la contraseña

Los ciberdelincuentes mediante una red que difundía los virus Gameover Zeus (conocido también como GOZeus y P2PZeus) que robaba de los ordenadores la información bancaria y otros datos confidenciales, y Cryptolocker: un virus que bloqueaba los ordenadores y exigía a las víctimas un pago a cambio de la contraseña para acceder a la máquina. El 'rescate' podía alcanzar unos 700 dólares por víctima.

Se ha informado que el malware se difundía mediante el correo electrónico, y podría haber infectado a entre 500.000 y un millón de ordenadores en todo el mundo, según una estimación del FBI, que supone que en los primeros meses de su actuación la red de los ciberdelincuentes se hizo con unos 27 millones de dólares.

La Agencia Nacional contra el Crimen del Reino Unido advirtió que quienes están detrás del virus, podrían reactivarlo en unas dos semanas.

¿Qué pueden hacer los usuarios para protegerse de esta amenaza? Como buena medida se señala tener permanentemente actualizado y activo: el sistema de seguridad (antivirus, firewall, etc.); el Sistema Operativo (SO), con todas sus actualizaciones; todos los programas y aplicaciones; realizar copias de seguridad de los archivos, incluyendo documentos, fotos, música, y de documentos favoritos en internet; no guardar contraseñas en el equipo (computador, notebook, tablet, etc.).

"En Reino Unido también se estaba recomendando a los usuarios que bajaran herramientas gratuitas contra el virus GameOver Zeus del sitio oficial británico de internet clic Get Safe Online. Empresas como Symantec, F-Secure, Kaspersky, Sophos, Heimdal Security, entre otras, están ofreciendo temporalmente herramientas libre de cargos para protegerse de esta última amenaza" (BBC Mundo).

En la página del US-CERT se pueden informar también sobre las soluciones que se han implementado: GameOver Zeus P2P Malware (http://www.us-cert.gov/ncas/alerts/TA14-150A).

Finalmente, un detalle importante para tener muy en cuenta, un correo electrónico que llega de alguien conocido y confiable, e inclusive de un organismo oficial, puede ser un portador de éstos malware. Es importante no abrir archivos adjuntos sin confirmación de la fuente, de idéntica manera proceder con los links a direcciones no conocidas. 

Fuentes:

• Global police operation disrupts aggressive Cryptolocker virus. "Internet users have two-week window to protect themselves, says UK's National Crime Agency after working with Europol and FBI". Por Tom Brewster en London y Dominic Rushe en New York para The Guardian.
• Cómo defenderse del mayor ataque cibernético jamás visto. "¿Cómo pueden protegerse de crímenes cibernéticos los usuarios? La pregunta ha salido nuevamente a colación luego de que el Buró Federal de Investigaciones estadounidense, (FBI, por sus siglas en inglés), descubriera que más de un millón de computadores fueron afectados en todo el mundo por lo que se considera el mayor y más peligroso virus jamás detectado". Por BBC Mundo.

Un kit exploit ataca a miles de usuarios de Yahoo

Un ataque de malware afecta a miles de usuarios de Yahoo
Por  Faith Karimi y Joe Sutton para CNN.

(CNN) – Un ataque de malware (software malicioso) contra el servidor de publicidad de Yahoo en los últimos días afectó a miles de usuarios en varios países, dijo una firma de seguridad en internet.

En un entrada de blog, Fox-IT dijo que los servidores de Yahoo estaban liberando un “kit exploit” que explotó las vulnerabiliades en Java e instalaba malware.

“Los clientes que visitaron yahoo.com recibieron publicidades de ads.yahoo.com", dijo la firma. “Algunos avisos publicitarios eran maliciosos”.

Fox-IT, una compañía de Países Bajos, se enfoca en cíberdefensa.

La firma estima que decenas de miles de usuarios fueron afectados cada hora.

“Teniendo en cuenta la tasa típica de infección de 9 %, esto resultaría en alrededor de 27.000 infecciones cada hora”, dijo la compañía. “Con base en la misma muestra, los países más afectados por el kit de exploit son Rumania, Reino Unido y Francia. En este momento no es claro por qué esos países son los más afectados, pero probablemente se debe a la configuración de las publicidades maliciosas en Yahoo”.

Si una computadora infectada con malware es conectada a una red, los atacantes con frecuencia pueden acceder a otros sistemas y servidores conectados.

Yahoo dijo que estaba al tanto de los problemas de seguridad.

“En Yahoo, nos tomamos muy seriamente los temas de seguridad y privacidad”, dijo en un comunicado la empresa el sábado en la noche. “Recientemente identificamos una publicidad diseñada para difundir malware a algunos de nuestros usuarios. Inmediatamente la retiramos y seguiremos monitoreando y bloqueando cualquier aviso usado para esa actividad”.

La firma de seguridad dijo que no se sabe con certeza quién está detrás del ataque, pero parece que fue “con motivos financieros”. No proporcionó más detalles.

La investigación reveló que la primera señal de infección fue el 30 de diciembre. / Por  Faith Karimi y Joe Sutton para CNN.