Security
73 views | +0 today
Your new post is loading...
Your new post is loading...
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

El último agujero de seguridad de Android no lo puede arreglar ni la propia Google

El último agujero de seguridad de Android no lo puede arreglar ni la propia Google | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/el-ultimo-agujero-de-seguridad-de-android-no-lo-puede-arreglar-ni-la-propia-google/ TAGS: DRAM, Ram, Rowhammer

Los fallos de seguridad están a la orden del día, y en principio no hay nada de lo que preocuparse. No existe el sistema cien por cien seguro, lo importante es que el fabricante lance una actualización rápido que acabe con el problema de raíz. Pero la cosa no es tan sencilla cuando el fallo está en cómo funciona tu ordenador, no en cómo está escrito el código que usa tu ordenador.

Puede que hayáis escuchado hablar de Rowhamer.js, un agujero de seguridad que muchos describen como irreparable. Se trata de un fallo encontrado en la forma de trabajar en la memoria. Es decir, es el primer ataque que, con software, es capaz de explotar un fallo en el hardware.

Esto significa que no existe un código que reparar, porque el problema está en las piezas. Es un ataque muy listo y aterrador, pero también complicado de lanzar. Y es, en parte, culpa de nuestro deseo por conseguir dispositivos más rápidos.

Rowhammer, un fallo inteligente y aterrador


Antes de empezar a hablar de Rowhammer, tenemos que hablar de la DRAM, RAM dinámica para los amigos. DRAM es el tipo de memoria temporal -basada en condensadores- que usan nuestros móviles y ordenadores. Estos condensadores tienen dos estados: sin energía es un 0, y con carga de energía es un 1.

Lo genial de la DRAM es que tenemos la tecnología para poner millones de condensadores en un sólo chip. Cuantos más condensadores tengamos en estas filas y columnas, nuestro procesador podrá procesar operaciones más rápido. Pero los condensadores tan juntos tienen un problema: pueden “filtrarse” y transmitir su carga a los condensadores que tiene alrededor, cambiando su estado y corrompiendo la memoria por el camino.


Rowhammer se dedica a inundar la memoria con datos para corromperla y conseguir acceso completo

En base a este fallo existe una técnica, llamada ‘row hammer’, que se dedica a inundar una fila con datos, una y otra y otra vez. Esto hace que la memoria se corrompa, y permite al atacante acceder a partes de la memoria a las que un programa normal y corriente no tiene acceso.

La cosa se pone aún más interesante cuando, con el trabajo de investigadores de seguridad de Google, se descubrió que esta corrupción podía servir para acceder a toda la memoria. Leer lo que haya, e incluso reescribir archivos del sistema, empezó a ser una posibilidad. La única pega es que el código tenía que estar en local, el ordenador ya tendría que estar infectado.

Como bien describe Alex Jean-Pharuns para Motherboard, esta técnica sería como dar portazos en la puerta de un vecino, hasta que la puerta que quieres se abre con las vibraciones. Se trata de un ataque muy bien pensado y complicado, con la desventaja de que resulta complicado de lanzar en el ordenador de una víctima.

El fallo se hace más peligroso aún con JavaScript


¿Recordáis que el fallo descubierto por Google sólo funcionará si el código está en el ordenador? Pues,gracias a JavaScript, este peligro se extiende a todo Internet. Esto es gracias al trabajo de tres investigadores con Rowhammer.js, una prueba de concepto en la que el ataque es capaz de escapar del ‘sandbox’ del navegador para hacerse con la memoria de nuestro ordenador.

Podéis leer muchos más detalles sobre el ataque en el estudio que han publicado, pero las conclusiones son claras. Ya no es necesario que el código de Rowhammer esté en el ordenador atacado, puede estar en un servidor. JavaScript es utilizado por el 94.1% de páginas web según W3Techs. Y cualquiera de estas páginas podría aprovechar esta nueva amenaza para cargar contra nuestra memoria.

Drammer: así afecta Rowhammer a Android https://youtu.be/x6hL-obNhAw

Pero todo esto se pone aún más interesante cuando aparece Drammer. Hasta ahora, los smartphones no se preocupaban demasiado por esto de Rowhammer: el ataque requiere la presencia de componentes de memoria avanzados, los cuales no están todavía presentes en nuestro móvil. Pero sorpresa, alguien ha encontrado la forma de hacer funcionar Rowhammer en Android.

El video que tenéis encabezando esta sección es una prueba de concepto, y nos muestra cómo se usa Drammer para conseguir acceso root a un Nexus 5 actualizado. Muchos lo celebrarán pensando que es una buena noticia, pero no lo es: conseguir acceso de administrador es un riesgo de seguridad. En el segundo 0:15 empieza a bombardear la memoria, en el 0:30 comienza a escribir en la memoria, y en el 0:50 consigue el acceso root.

https://youtu.be/0pV-Q9Q5s4Q

No todos los teléfonos son vulnerables, y esto puede deberse a que no todos los teléfonos están hechos con los mismos chips

Este código puede ser combinado con otras vulnerabilidades conocidas -como Stagefright- para conseguir objetivos más ambiciosos. Por suerte -o por desgracia-, no es tan sencillo. El equipo ha conseguido ejecutar esta vulnerabilidad con éxito en diferentes teléfonos, pero no todas las remesas de un mismo teléfono son siquiera vulnerables. Por ejemplo, respecto al Nexus 5, y como podemos leer en Ars Technica, 12 de 15 cayeron ante el ataque. Sólo 1 de 2 Galaxy S5 fueron vulnerables. Estas “excepciones” pueden deberse a que no todos los teléfonos de una misma marca están hechos con los mismos chips: algunas remesas pueden cambiar de proveedores en su fabricación, y algunos de estos fabricantes podrían haber construído chips más resistentes a estos ataques. Los investigadores esperan publicar una aplicación en Google Play que, instalada, averigue si nuestro dispositivo está afectado. Todos los datos serán recogidos de forma anónima para construir una base de dispositivos afectados. ¿Y por qué no debería preocuparme? Antes de nada, confirmamos lo que habéis leído en el principio del artículo. Al ser un fallo en las piezas,no se puede lanzar un parche que lo arregle sin más. No se puede sacar un parche de seguridad mensual y decir “problema solucionado”, no es tan sencillo. Google ha respondido, aunque no tiene una solución permanente Google, por la parte de escritorio, actualizó Chrome en 2015 con muchos cambios que evitaban la posibilidad de explotar esto. Por la parte de Android es más complicado. La actualización de seguridad de noviembre incluirá mejoras para mitigarlo, pero Google sigue trabajando en una solución definitiva a largo plazo. Además, los investigadores del estudio de Drammer confían en que su trabajo ayude a solucionar este problema más rápido, “a pesar de la respuesta relativamente lenta de los fabricantentes”. En cualquier caso, Drammer no es un fallo que debería preocuparte. No está claro ni qué dispositivos están afectados, ya es difícil de por sí explotarlo con éxito. Y si tienes el teléfono actualizado con los últimos parches de seguridad, mejor que mejor.
Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/el-ultimo-agujero-de-seguridad-de-android-no-lo-puede-arreglar-ni-la-propia-google/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

A German nuclear plant suffered a disruptive cyber attack, the news was publicly confirmed by the IAEA Director Yukiya Amano.

A German nuclear plant suffered a disruptive cyber attack, the news was publicly confirmed by the IAEA Director Yukiya Amano. | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2016/10/11/german-nuclear-plant-suffered-disruptive-cyber-attack-news-publicly-confirmed-iaea-director-yukiya-amano/ TAGS:

According to the head of the United Nations nuclear watchdog, the International Atomic Energy Agency (IAEA) Director Yukiya Amano, a nuclear power plant in Germany was hit by a “disruptive” cyber attack two to three years ago.

“This issue of cyber attacks on nuclear-related facilities or activities should be taken very seriously. We never know if we know everything or if it’s the tip of the iceberg.” Amano told Reuters Agency.

“This is not an imaginary risk,” added Amano who also participated in a meeting with Foreign Minister Frank-Walter Steinmeier.

Amano confirmed that cyber attacks on nuclear plants are a serious threat, he did not provide further details of either incident.

Fortunately, the damages caused by the cyber attack on the German nuclear plant did not force the operators to shut down its processes but urged the adoption of additional precautionary measures.

“This actually happened and it caused some problems,” he said. “[the Germant plant] needed to take some precautionary measures.”

Amano added that is is the first time that the attack is discussed in public, he also reported a case in which an individual tried to smuggle a small amount of highly enriched uranium with the intent to build a so-called “dirty bomb.”

Be careful the attack was disruptive, not destructive, and believe me there is a substantial difference. The term disruptive refer a category cyber attacks that are able to destroy internal computer systems without causing the complete destruction of the plant. Examples of disruptive attacks are the attacks against Sony Pictures Entertainment and Stuxnet.

This isn’t the first time that we receive the news of cyber attacks on nuclear plants  There are three publically known attacks against nuclear plants:

Monju NPP (Japan 2014) Korea Hydro and Nuclear Power plant (S.Korea 2014) Gundremmingen NPP (Germany 2016).

It is likely that Amano was referring the cyber attack against the  Gundremmingen nuclear plant that occurred earlier this year. Security experts in that case, detected Conficker and Ramnit malware.

Security experts are aware of the possibility that hackers could cause serious problems to nuclear plants worldwide.

According to a report released in March, Germany is not adequately equipped to prevent terrorist attacks in its nuclear plants.

The report was presented by Oda Becker, an independent expert on nuclear plants.

This is of course extremely distressing, especially in the light of the recent tragic events in Belgium with substantial casualties.

The report was brought to public attention at the German Federation for the Environment and Nature Conservation (BUND) Congress, where concerns were expressed towards protecting citizens from catastrophic consequences of another terrorist attack.



Amano explained that the UN agency was supporting countries to improve the resilience of their infrastructure to cyber attacks with a series of measures.

“Amano said the U.N. agency was helping countries increase cyber and overall nuclear security through training and a detailed database that included information from 131 countries, and by providing them with radiation detection devices.” reported the Reuters.

“Since 2010, the IAEA said it had trained over 10,000 people in nuclear security, including police and border guards, and has given countries more than 3,000 mobile phone-sized instruments for detecting nuclear and other radioactive material.”

Source: securityaffairs.co

Information Security Newspaper http://www.securitynewspaper.com/2016/10/11/german-nuclear-plant-suffered-disruptive-cyber-attack-news-publicly-confirmed-iaea-director-yukiya-amano/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Exploit Generator Shows Links Between Chinese APT Malware

Exploit Generator Shows Links Between Chinese APT Malware | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2016/07/01/exploit-generator-shows-links-chinese-apt-malware/ TAGS: exploit generator, remote access Trojan (RAT), XOR

An analysis of malicious documents created with a Microsoft Office exploit generator has allowed researchers to find connections between several malware families known to be used by different threat groups supposedly located in China.

MNKit is one of the several document exploit generators used over the past years by threat actors. The exploit generator is known to leverage an Office vulnerability tracked as CVE-2012-0158 to deliver malware to users who have not installed the patch released by Microsoft back in 2012.

Palo Alto Networks researchers have monitored a series of recent attacks where malicious actors used MNKit to create weaponized documents set up to deliver pieces of malware such as Lurk0, NetTraveler and Saker. The attackers sent the documents to NGOs, universities, and political and human rights groups related to Islam and South Asia.



Lurk0, a remote access Trojan (RAT) derived from Gh0stRAT, has been used for several years. Citizen Lab published a detailed report in 2012 on the use of this malware in attackstargeting Tibetan organizations.

Another piece of malware distributed with MNKit-generated documents is NetTraveler, a backdoor used by malicious actors to steal information and install other threats. NetTravelerhas been leveraged by a China-linked threat group in cyber espionage attacks targeting tens of countries around the world.

Palo Alto Networks also observed malicious documents delivering a piece of malware known as Saker, Xbox and Mongall. Saker has been leveraged by Chinese attack groups identified by FireEye as Moafee and DragonOK, and researchers say it has also been used by actors who have deployed Gh0stRAT and NetTraveler in their campaigns.

Experts have found evidence that links these attacks to previous operations and which shows a connection between the different payloads. The list of clues includes the use of the same MNKit variant, email addresses and subject lines, attachment file names, XOR keys, command and control (C&C) domains, IP addresses and targets.

For instance, some of the C&C domains contacted by the Saker malware were previously documented in reports covering Korplug (PlugX), and NetTraveler attacks. Furthermore, some of the C&C domains used in the latest Lurk0 attacks have also been recently contacted by Saker.

“While attribution is a challenging art, it’s likely whoever is behind these recent attacks is, through infrastructure, malware families and delivery techniques, somehow related to the previously reported attacks. The attackers have been active for years, will likely continue to be active, and seem to prefer to change tactics only subtly,” Palo Alto Networks researchers said in a blog post.

Source:http://www.securityweek.com/

Information Security Newspaper http://www.securitynewspaper.com/2016/07/01/exploit-generator-shows-links-chinese-apt-malware/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Bolek Banking Trojan, a Carberp Successor is spreading in the wild

Bolek Banking Trojan, a Carberp Successor is spreading in the wild | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2016/06/11/bolek-banking-trojan-carberp-successor-spreading-wild/ TAGS: 32-bit and 64-bit, Bolek Banking Trojan, Carberp Trojan

The Bolek banking Trojan is one of the successors of the notorious Carberp Trojan that targets both 32-bit and 64-bit Windows systems.

When the source code of the Carberp Trojan was leaked online, numerous threat actors developed their own variants. This process allowed a significant evolution of the malware that increased its sophistication across the time.

One of its successors recently spotted is the Bolek banking Trojan, a polymorphic threat that targets both 32-bit and 64-bit Windows systems.

The Bolek banking Trojan implements advanced features of banking malware, it is able to steal login credentials, perform web injections, it can grab the screen and execute keylogging functions, and intercept the traffic.

It intercepts traffic in such browsers as Microsoft Internet Explorer, Chrome, Opera, and Mozilla Firefox by intercepting function calls.

“It is designed to perform web injections, intercept traffic, take screenshots, to execute keylogging functions, and to steal login credentials for online banking applications. It can also establish reverse RDP connections (back connect) and launch a local SOCKS5 proxy server and HTTP server in order to perform CMD commands.” reported an analysis published by the Doctor Web firm.

The Bolek banking Trojan inherits a number of features from the Trojan.PWS.Panda (Zeus), it can launch a local SOCKS5 proxy server and HTTP server to perform CMD commands.

The malware abuses svchost.exe or winlogon.exe processes to perform its activities.

The Bolek banking trojan borrowed the presence of a virtual file system from Carberp, meanwhile, it uses an evolution of the JUPITER web injection mechanism implemented in the Zeus Trojan. The malware uses JSON for data sharing.

The malware communicates with the C&C server over HTTP POST requests encrypted with AES CBC 128. All transmitted data  is encrypted with a special algorithm and is then compressed using the zlib library.

According to the experts from the Phishme security firm, every time the malware infects a PC it creates a randomly-named file folder in the Windows System32 directory and places the following files in it:

A randomly named .exe (a system app copied from system32). A .dll (imported by the exe at first runtime). A file with a random


“The .exe executable is actually a copy of a Windows system application pulled from C:\windows\system32 directory and moved to this random directory. The .dll is one imported by the first .exe file at runtime and retains its original file name when copied from System32. This pairing of legitimate executable and its imported .dll provides the underpinning for this malware’s novel persistence capabilities. The malware relies on the “known good” nature of these executables to evade detection. In fact, many of the executables selected and copied by this malware are identified in VirusTotal as benign and listed as “safe software”. So everything is good to go and we can move on, right?” reports the analysis published by Phishme.

Another interesting feature implemented by the Bolek banking trojan is its ability to self-propagate from machine to another with a worm-like mechanism.

Source:http://securityaffairs.co/

Information Security Newspaper http://www.securitynewspaper.com/2016/06/11/bolek-banking-trojan-carberp-successor-spreading-wild/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Malware en pendrives: todo lo que necesitas saber

Malware en pendrives: todo lo que necesitas saber | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/malware-en-pendrives-todo-lo-que-necesitas-saber/ TAGS: Malware, USB

El malware en pendrives es un problema mucho má habitual de lo que imaginamos. Así es como puedes prevenirlo.

Casi todo el mundo es consciente del riesgo de encontrar malware en un adjunto de un mail cuyo emisario no conocemos, o de las posibilidades de descargar malware o adware al bajarnos el primer programa que encontramos buscando en Google.

Sin embargo, lo que no todo el mundo sabe es que un pendrive también es un canal potencial de transimisión de malware bastante explotado.

Malware en pendrives: un peligro desconocido por la mayoría


En realidad, el correo electrónico, por ejemplo, es un canal cada vez menos explotado por aquellos que quieren propagar un virus, ya que la gente es muy consciente del riesgo y cada vez menos gente cae en esos engaños. Por eso, todo aquel que quiere difundir un malware busca los canales en los que la gente no espera encontrarlo.

Los pendrives son precisamente ese medio en el que la gente no espera encontrar malware y por eso los utiliza, erróneamente, sin prudencia. Y no es que lo digamos nosotros, es que en un experimento de la Universidad de Illinois, la Univesidad de Michigan y Google desperdigaron en distintas áreas urbanas 300 pendrives y un 45% de ellos fueron recogidos por personas que al llegar a casa los conectaron a su ordenador. Es decir, que la gente conecta USB desconocidos sin ningún tipo de miedo.

¿Cuál es el riesgo?


El principal problema de conectar una unidad de memoria desconocida es que puede haber un programa instalado que introduzca el malware en tu ordenador. Es cierto que las versiones modernas de cualquier sistema operativo de escritorio ya no ejecutan por defecto un programa instalado en un pendrive al conectarlo, pero un sistema antiguo siempre es vulnerable.

Además, software como BadUSB hace creer al ordenador que la unidad de almacenamiento es un teclado, y como tal controla el ordenador para descargar el malware. Y contra ese tipo de ataques ningún sistema tiene solución, al menos de momento.

¿Cómo puedo mantener mi ordenador a salvo?


Evitar que el malware llegue a tu ordenador a través de un pendrive es tan fácil como no conectar unidades desconocidas. No aceptes pendrives gratis porque no sabes qué pueden llevar dentro: algunas empresas regalan pendrives para colocar publicidad propia en tu ordenador.

Por supuesto jamás cojas un pendrive que encuentres el suelo y lo conectes a tu ordenador y, a ser posible, tampoco utilices unidades de otras personas aunque te fíes de ellas, ya que ellos mismos podrían tener malware sin saberlo. Tal y como dice Chris Novak, del departamento de seguridad de Verizon, lo mejor que podemos hacer es utilizar las memorias USB como cepillos de dientes: ten uno para ti y para nadie más que para ti.

Si quieres un extra de seguridad, puedes comprar un USB con cifrado que protege los datos y evita también que se produzcan ataques a través del firmware como BadUSB.

En cualquier caso, recuerda siempre que lo más importante es no compartir pendrives y comprar tú mismo los tuyos. Si sigues esa regla y tienes un poco de cuidado con lo que metes en tu unidad, el riesgo se reduce casi a cero.

Fuente:http://www.omicrono.com/

Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/malware-en-pendrives-todo-lo-que-necesitas-saber/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

El ransomware Cerber muta cada 15 segundos para evitar las herramientas de seguridad

El ransomware Cerber muta cada 15 segundos para evitar las herramientas de seguridad | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/el-ransomware-cerber-muta-cada-15-segundos-para-evitar-las-herramientas-de-seguridad/ TAGS: ransomware Cerber

El malware evoluciona y podría decirse que casi más deprisa que las herramientas de seguridad. Expertos del sector han descubierto que el ransomware Cerber es capaz de mutar su código cada 15 segundos para evitar que los software antivirus que estén instalados en el equipo pueda detectar la amenaza.

No es una novedad en lo que se refiere a amenaza, ya que esta se ha distribuido en el pasado. Lo que sí que es verdad es que desde hace unos días se ha mostrado muy activa y se está distribuyendo sobre todo haciendo uso de correos electrónicos. Pero esto no es lo verdaderamente destacable, sino que el su código es capaz de mutar cada 15 segundos para evitar que las herramientas de seguridad existentes en el equipo sean capaz de detectar su actividad.

Conocidos también como virus polimórficos, no es la única vez que hemos hablado de una práctica como esta. Se trata de algo frecuente desde hace varios meses y los ciberdelincuentes utilizan esta técnica para complicar la labor de los software antivirus, siendo en muchos casos imposible de detectar la amenaza, o al menos no se consigue antes de que ya se haya producido el daño, en este caso el cifrado de los archivos almacenados en el equipo.

Pero todo lo que tiene de sofisticado lo tiene de imperfecto, ya que la amenaza necesita de una conexión a Internet para que esto suceda. Esto quiere decir que si detectamos que nuestro equipo está infectado bastaría con desconectar el equipo para que el ransomware no pueda mutar a una nueva versión que se genera en el servidor remoto.


Cerber apareció en septiembre de 2015

Para encontrar los inicios de esta amenaza es necesario remontarse al mes de septiembre del pasado año, teniendo muy poca presencia en un principio, aunque en oleadas posteriores sí que es verdad que logró alcanzar mejores resultados, aunque no a la altura de otros ransomware.

En esta ocasión, parece el ataque más potente de todos, centrando la difusión de la amenaza en correos electrónicos spam y confiando su funcionamiento en el servidor remoto.

Una vez en el equipo, la amenaza se ayuda de la línea de comandos para poner en funcionamiento cada nueva versión y eliminar la anterior para no dejar rastro en el equipo y que pueda convertirse en pistas para las herramientas de seguridad.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática http://noticiasseguridad.com/importantes/el-ransomware-cerber-muta-cada-15-segundos-para-evitar-las-herramientas-de-seguridad/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

New Jigsaw Ransomware variant with the .PAYMS Extension

New Jigsaw Ransomware variant with the .PAYMS Extension | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2016/06/07/new-jigsaw-ransomware-variant-payms-extension/ TAGS: Jigsaw Ransomware, PAYMS Extension

A new Jigsaw Ransomware variant was discovered today by security researcher Michael Gillespie that encrypts a victim's data and then appends the.payms extension to them. The ransomware then requires a ransom payment of $150 USD in the form of bitcoins to decrypt your files. Thankfully, Michael was able to update his Jigsaw decryptor to handle this variant.


With Jigsaw being sold on dark web markets for $139 USD, we are seeing a constant stream of variants being released. For those who become affected by this ransomware, you can use the instructions in this article get your files decrypted for free.

Source:http://www.bleepingcomputer.com/

Information Security Newspaper http://www.securitynewspaper.com/2016/06/07/new-jigsaw-ransomware-variant-payms-extension/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Un nuevo malware en Android ataca robándote el dinero

Un nuevo malware en Android ataca robándote el dinero | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/un-nuevo-malware-en-android-ataca-robandote-el-dinero/ TAGS: android, Google, Malware

Siempre hemos hablado de la vulnerabilidad de muchos de los sistemas operativos actuales y de las técnicas que estos tienen para evitar ser infectados, pero como muchos de nosotros sabemos, Android es uno de los sistemas que más ataques sufre en este ámbito. Hoy hemos conocido que el sistema operativo de Google ha sido presa de otro ataque mediante la ejecución de un emulador.


  Se trata de un emulador de la NES, algo que aparentemente no deberia de levantar ninguna sospecha puesto que es un tipo de aplicación fiable. A pesar de ello, una vez hayamos instalado dicha aplicación, esta empezará, de forma incontrolada, a mandar nuestra información personal de nuestro dispositivo a diferentes servidores, algo totalmente ilegal. Además, si nos encontramos fuera de China, algo muy probable, se nos aceptará una suscripción a SMS de pago que si no la cancelamos nos cobrará por cada SMS que recibamos.

  En todo esto hay que destacar que la aplicación superó en su día los controles que Google aplica a sus aplicaciones para evitar que estas entren en Google Play con acciones presuntamente maliciosas. Esta “burla” al control de Google se debe a que todo lo que anteriormente hemos mencionado se encuentra dentro de la librería de publicidad AirPush, de manera que los filtros anti-malware de Google no son capaces de detectarloy por lo tanto la aplicación se puede descargar sin apenas limitaciones.


  En TuTecnoMundo hemos hablado muchas veces sobre como prevenir un posible ataque en Android y si realmente los antivirus que encontramos en Google Play son realmente eficaces contra los mismos. En el caso de que podáis estar bajo la influencia de un malware o virus os recomendamos que visitéis nuestro artículo dedicado a desinfectar un terminal y nuestro análisis para saber si estáis infectados por un malware.

Fuente:http://www.tutecnomundo.com/

Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/un-nuevo-malware-en-android-ataca-robandote-el-dinero/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

El troyano BPlug se dedica a molestar a tus amigos de Facebook

El troyano BPlug se dedica a molestar a tus amigos de Facebook | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/el-troyano-bplug-se-dedica-molestar-tus-amigos-de-facebook/ TAGS: BPlug, facebook, Malware, troyano

¿Alguna vez tus amigos te han dicho el por qué les has enviado un enlace que no reconoces? Quizás se trate a que tu ordenador esté infectado con algún tipo de malware que se dedique a recopilar información de tus contactos para molestarles, y precisamente este es el caso del troyano BPlug que, en esta ocasión, ataca directamente a tus amigos de Facebook.

Ya ni tus amigos están a salvo del malware. Hace unos días se ha descubierto un troyano llamado BPlug que se dedica a mandar mensajes con enlaces infectados a tus amigos de Facebook.  BPlug es un troyano presente en una extensión de Chrome que espera a que entres en Facebook para comenzar con su función maliciosa.

Una vez que tienes este troyano en tu ordenador, y accedes con tus credenciales a Facebook, éste se queda con el UID (user identifier) y con el token CSRF para hacer travesuras en tu panel de control de la red social, entre las que figuran esconder alguna de tus funciones más populares o, la más seria, consigue crear un nuevo grupo de Facebook a tu nombre donde se dedica a postear enlaces infectados mientras menciona a todos tus amigos.


De esta manera, los amigos mencionados recibirán una notificación, entrarán al grupo, y pincharán en el enlace, siendo redirigidos a una página clónica de Facebook para visualizar un vídeo. Al pinchar sobre este supuesto vídeo que no lo es en sí, al usuario se le aparecerá una pantalla emergente que le instará a descargarse e instalar una nueva extensión para Chrome que incluye este mismo troyano junto a otro malware.De esta manera, los amigos mencionados recibirán una notificación, entrarán al grupo, y pincharán en el enlace, siendo redirigidos a una página clónica de Facebook para visualizar un vídeo. Al pinchar sobre este supuesto vídeo que no lo es en sí, al usuario se le aparecerá una pantalla emergente que le instará a descargarse e instalar una nueva extensión para Chrome que incluye este mismo troyano junto a otro malware.

Los investigadores de DrWeb han contabilizado que hasta 12.000 usuarios se han instalado ya este troyano en sus ordenadores. Ante este tipo de peligros que están presentes en las extensiones de Google Chrome, el usuario debe ser siempre consciente de las extensiones que se instala, estando totalmente seguro de que éstas tienen un recorrido mayúsculo e impecable durante los últimos meses.

Fuente:http://computerhoy.com/

Noticias de seguridad informática http://noticiasseguridad.com/importantes/el-troyano-bplug-se-dedica-molestar-tus-amigos-de-facebook/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Avoid Internet Scams and ripoffs
Scoop.it!

LinkedIn Whaling scams land big 'phish'

LinkedIn Whaling scams land big 'phish' | Security | Scoop.it
Scammers increasingly targeting businesses and LinkedIn is useful source of ammunition, experts say.

Via Peter Mellow
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Recupera los datos secuestrados por el ransomware con este kit de herramientas

Recupera los datos secuestrados por el ransomware con este kit de herramientas | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/recupera-los-datos-secuestrados-por-el-ransomware-con-este-kit-de-herramientas/ TAGS: ransomware

Es cierto que el ransomware es actualmente el tipo de malware más peligroso y que, por desgracia, mayor crecimiento está teniendo en la red. Este tipo de malware, para quienes no lo conozcan, cifra todos los datos personales de los discos duros de los ordenadores de sus víctimas y pide el pago de un rescate a cambio de la clave privada para descifrarlos y recuperarlos, clave que, incluso, en muchas ocasiones no se llega a recibir.

Por suerte, a pesar de los intentos de los piratas informáticos por crear aplicaciones maliciosas imposibles de crackear, prácticamente en todos los casos, investigadores de seguridad han sido capaces de encontrar debilidades en los algoritmos de cifrado que, de una forma u otra, han permitido la creación de herramientas de recuperación con las que recuperar el acceso a los datos. Cada ransomware tiene su propia herramienta de recuperación, sin embargo, este este artículo queremos hablar de Ransomware Removal Kit, un kit de herramientas que recopila las principales herramientas necesarias para hacer frente a las amenazas más comunes.

Este kit de herramientas de recuperación tiene un tamaño de 570 MB (270 MB comprimido) y nos ofrece herramientas para las siguientes piezas de malware:

BitCryptor. CoinVault. CryptoDefense. CryptoLocker. FBIRansomWare. Locker. LosPollos. OperationGlobal. PCLock. TeslaCrypt. TorrentLocker.

Esta herramienta también nos ofrece una serie de capturas que nos ayudan a identificar de qué ransomware se trata según el mensaje de advertencia y aplicaciones de protección y mitigación genéricas. Cada herramienta también viene con una documentación con la que facilitar el proceso de desinfección.


Podemos descargar este kit de forma totalmente gratuita desde Bitbucket.

Qué debemos hacer en caso de infectarnos por un ransomware

Los propios desarrolladores de este kit de herramientas recomiendan no pagar nunca para recuperar los archivos ya que, además de correr el riesgo de quedarnos sin datos y sin dinero, solo ayudaremos a reforzar este tipo de ataques informáticos.

En caso de infección, los pasos que debemos seguir son:

Desconectar el ordenador afectado de Internet. Intentar identificar la variante de ransomware que nos ha infectado. Si identificamos el binario, debemos crear una copia para poder enviarla a analizar. Si es posible, debemos utilizar los puntos de restauración para volver a un punto donde nuestro sistema no estaba infectado. Por último, si hemos identificado la variante que nos ha infectado, podemos utilizar la correspondiente herramienta de este kit para recuperar nuestros datos.

Como podemos ver, sin duda esta es una buena colección de aplicaciones que sin duda nos van a ayudar a recuperarnos de una posible infección de ransomware. Existen en la red muchas más variantes a las que cubre este kit de herramientas, sin embargo, en los próximos días es posible que aumente el número de ransomware compatible añadiendo, por ejemplo, las herramientas para recuperarnos de Petya, Surprise o Jigsaw, entre otros.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/recupera-los-datos-secuestrados-por-el-ransomware-con-este-kit-de-herramientas/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security and Defense
Scoop.it!

5 things you need to know about ransomware, the scary malware that locks away data

5 things you need to know about ransomware, the scary malware that locks away data | Security | Scoop.it
Ransomware has become a real scourge for consumers, businesses and even government institutions. Unfortunately, there's no end in sight, so here's what you should know.
Via Fang Feng
more...
No comment yet.
Scooped by Juan Carlos Ruiloba
Scoop.it!

Scam & Seglog: 10 consejos de seguridad ante un ataque a tu dispositivo móvil

Scam & Seglog: 10 consejos de seguridad ante un ataque a tu dispositivo móvil | Security | Scoop.it
Juan Carlos Ruiloba's insight:

Scam & Seglog: 10 consejos de #seguridad ante un ataque a tu dispositivo móvil 

more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security & Digital Forensics
Scoop.it!

Thermostats and webcams used in Cyber-Attack

Thermostats and webcams used in Cyber-Attack | Security | Scoop.it
A shadowy group called New World Hackers has claimed responsibility for the raid, which affected Twitter, Spotify and Netflix.

Via TechinBiz, Constantin Ionel Milos / Milos Constantin
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Hackers Steal Nearly 100 Million User Records from Rambler.ru

Hackers Steal Nearly 100 Million User Records from Rambler.ru | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2016/09/06/hackers-steal-nearly-100-million-user-records-rambler-ru/ TAGS: Rambler.ru, Russia, Yahoo

Rambler.ru, Russia's Yahoo, suffered a data breach in 2012. Rambler.ru, a website nicknamed Russia's Yahoo, suffered a data breach in 2012 at the hands of unknown hackers, who managed to steal nearly 100 million user records, data breach index service LeakedSource reports.

According to data found inside the Rambler.ru data dump files, the incident took place around February 17, 2012, and included the details of 98,167,935 Rambler.ru users.

LeakedSource claims it received the data from a hacker using the daykalif@xmpp.jp Jabber ID. This is the same person who provided LeakedSource with the data dump from another 2012 hack, the Last.fm music streaming service.

Password data stored in plaintext

An analysis of the data shows that, for each user entry, there is a Rambler.ru username, which also doubles as a username@rambler.ru email address, an ICQ number (IM chat service), a password string, and some internal data. A screenshot of the Rambler.ru database schema is attached to this article below.

LeakedSource says that none of the password strings were hashed, being stored in plaintext in the database. This is similar to the VK.com data breach, where passwords were also stored in plaintext, without hashing or salting.

As you'd expect, the most common passwords were extremely easy to brute-force, including terms such as "asdasd," "123456," "000000," "654321," "123321," or "123123."

Leaked Rambler.ru data is valid

LeakedSource asked several journalists, including Softpedia, to assist in verifying the data. The data verification process took several days due to language barriers, so LeakedSource asked for help from local Russian media.

Journalist Maria Nefedova from Xakep.ru was able to verify the data's authenticity. Softpedia's requests for comment from Rambler's management have remained unanswered at the time of writing.

LeakedSource touted more mega breaches in the upcoming weeks. Prior to Rambler.ru, the company received datasets from many other services. These are some of the hacks that came to light in the past month alone, thanks to LeakedSource: BTC-E, BitcoinTalk, Last.fm, Dropbox, Mail.ru, Leet.cc, and Social Blade.

Rambler.ru database schema
Information Security Newspaper http://www.securitynewspaper.com/2016/09/06/hackers-steal-nearly-100-million-user-records-rambler-ru/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Firefox Security Toolkit, una herramienta para convertir Firefox en una suite de pentesting

Firefox Security Toolkit, una herramienta para convertir Firefox en una suite de pentesting | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/firefox-security-toolkit-una-herramienta-para-convertir-firefox-en-una-suite-de-pentesting/ TAGS: Firefox Security Toolkit

En la red existen muchas aplicaciones y suites de seguridad pensadas para realizar auditorías de seguridad y pruebas de pentest para comprobar si un servidor es realmente o seguro o puede verse comprometido por algún fallo. Mientras que la mayoría de estas suites se distribuyen como sistemas Linux preparados para este fin, existen otras alternativas como Firefox Security Toolkit que buscan aprovechar una aplicación del sistema, como puede ser Firefox, para convertirla en una completa suite de pentesting.

Firefox Security Toolkit es un script que descarga las extensiones de Firefox más importantes y votadas por los usuarios como mejores para llevar a cabo auditorías de seguridad y pruebas de pentesting y las instala en el navegador. Esta herramienta solo se encarga de descargar las extensiones y, por si misma, no hace nada más.

Aunque existen soluciones como OWASP Mantra y Hcon STF, estas no se actualizan muy a menudo y, en muchas ocasiones, las herramientas que forman parte de ellas están ya totalmente obsoletas. Firefox Security Toolkit, sin embargo, no requiere de ningún tipo de mantenimiento ya que estas extensiones se descargan directamente desde la Mozilla Addons Store en sus versiones más recientes para garantizar la mejor experiencia como auditor de seguridad.

Las diferentes extensiones que descarga e instala en nuestro navegador web esta herramienta son:

Cookie Export/Import Cookie Manager Copy as Plain Text Crypto Fox CSRF-Finder Disable WebRTC FireBug Fireforce FlagFox Foxy Proxy HackBar Live HTTP Headers Multi Fox PassiveRecon Right-Click XSS Tamper Data User Agent Switcher Wappalyzer Web Developer

Otras características de esta herramienta son:

Descarga Burp Suite Certificate Descarga una larga lista por defecto para el User-Agent Switcher

El creador de la herramienta también ha grabado un vídeo donde enseña a los usuarios cómo instalar Firefox Security Toolkit y cómo funciona sobre nuestro navegador web.

https://www.youtube.com/watch?feature=player_embedded&v=0pD-tNrxrzY Cómo funciona Firefox Security Toolkit

Este proyecto, por el momento, solo funciona sobre sistemas Linux. Para utilizar la herramienta, lo primero que debemos hacer es descargar el script de forma totalmente gratuita desde la web de su proyecto, en GitHub.

Una vez descargado el script, en nuestro sistema Linux (por ejemplo, Ubuntu) simplemente lo ejecutamos en el terminal tecleando:

bash ./firefox_security_toolkit.sh run


Pulsamos Enter para continuar y el script nos realizará unas sencillas preguntas de configuración como si queremos descargar la suite de certificados Burp o la extensión User Agent Switcher.

Una vez finalice la descarga e instalación de todos los complementos se nos abrirá una nueva instancia de Firefox desde donde tendremos que confirmar la instalación de todas las extensiones. Una vez finalice, nuestro Firefox Security Toolkit ya estará listo para utilizar.


Fuente:http://www.redeszone.net

Noticias de seguridad informática http://noticiasseguridad.com/importantes/firefox-security-toolkit-una-herramienta-para-convertir-firefox-en-una-suite-de-pentesting/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

El foro de uTorrent ha sido hackeado exponiendo los datos de los usuarios

El foro de uTorrent ha sido hackeado exponiendo los datos de los usuarios | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/el-foro-de-utorrent-ha-sido-hackeado-exponiendo-los-datos-de-los-usuarios/ TAGS: UTorrent

Todos aquellos que descarguen habitualmente archivos torrent seguro que conocenuTorrent, ya que es uno de los clientes más populares de BitTorrent. Tanto es así que cuenta con más de 150 millones de usuarios activos al mes. Además, el foro de la comunidad uTorrent está formado por casi 400.000 usuarios registrados y es visitado diariamente por decenas de miles de usuarios.

Pues bien, si eres miembro de la comunidad, es importante que sepas que el propio equipo de uTorrent ha anunciado de forma oficial que su foro ha sido hackeado y por lo tanto, los datos de todos los usuarios han estado expuestos, incluyendo sus datos personales y contraseñas hash.


Si eres miembro del foro uTorrent deberías cambiar la contraseña

El ataque parece haberse producido hace un par de días y podría haber sido realizado a través del proveedor de los foros de uTorrent. De cualquier forma, los atacantes han conseguido llegar a la información de las cuentas de los usuarios de la comunidad de uTorrent y de ahí que ya se esté recomendando a los usuarios que procedan con el cambio de la contraseña de acceso al foro. Además, si usan la misma clave para el acceso a otros servicios, es aconsejable realizar el cambio de contraseña en todos los sitios donde se use esa misma clave de acceso.

De momento, se sigue investigando sobre dicha violación de la seguridad del foro para saber los métodos y puertas utilizadas por los ciberdelincuentes para llegar hasta la información de los usuarios y conocer el número exacto de datos expuestos. Lo que parece claro es que los hackers han explotado una vulnerabilidad en alguno de los clientes del proveedor del foro que les ha permitido descargar una lista que contiene los datos de todos los usuarios de la comunidad de uTorrent.


Además, dado que el software utilizado en el foro de uTorrent es el mismo que el de otros foros de servicios de descarga de torrents, es muy probable que cientos de foros hayan podido ser afectados o lo pudieran ser próximamente, por lo tanto se aconseja tener precaución y tomar las medidas oportunas para mantener nuestros datos personales y cuentas a salvo si somos miembros de estos foros.

Fuente:http://www.softzone.es/

Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/el-foro-de-utorrent-ha-sido-hackeado-exponiendo-los-datos-de-los-usuarios/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

100 million credentials from the Russian Facebook VK.com go on sale

100 million credentials from the Russian Facebook VK.com go on sale | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2016/06/06/100-million-credentials-russian-facebook-vk-com-go-sale/ TAGS: 100 million, Russian Facebook, VK.com

100 million login credentials belonging to the users of the Russian social networking platform VK.com (VKontakte) are available for sale on the Dark Web.

Another day another data breach, this time 100 million login credentials belonging to the users of the Russian social networking platform VK.com (VKontakte) are available for sale. Some experts estimate that the number of hacked records could be higher, reaching 170 million accounts.

VK.com is the Russian version of the most popular Facebook, it was created by Pavel Durov, who later left the company to launch the messaging app Telegram. It has been estimated that VK had 100 million users in 2014.

The popular social network was breached by hackers who offered 100 million records for a US$580, of course, the payment is in Bitcoins.

LeakedSource accredits a hacker that called itself “Tessa88” as the seller, the archive is available on The Real Deal black market.

The vast majority of email addresses use Russian services, the “@mail.ru” domain accounts for 41,132,524 followed by @yandex.ru (11,604,169) and @rambler.ru (7,416,993).

Data related to the data breach were analyzed by LeakedSource which received portions of the breached database. The leaked database contains at least 100 million records of VK.com users, each record includes name, user login, and phone number.

“VK.com was hacked. LeakedSource has obtained and added a copy of this data to its ever-growing searchable repository of leaked data. This database was provided to us by a user who goes by the alias “Tessa88@exploit.im”, and has given us permission to name them in this blog.” reported LeakedSource “This data set contains 100,544,934 records. Each record may contain an email address, a first and last name, a location (usually city), a phone number, a visible password, and sometimes a second email address. “

The same data were provided to MotherBoard by the hackers known as Peace, the same that offered for sale the databases of LinkedIn and MySpace.

“Peace provided Motherboard with a dataset containing a total of 100,544,934 records, and LeakedSource provided a smaller sample for verification purposes. The data contains first and last names, email address, phone numbers and passwords.” states Joseph Cox from MotherBoard.

According to Peace, the passwords were not encrypted when VK.com was breached, the login credentials appear to have stolen in in 2012 or 2013.

It is clear that the availability of so large archive allows hackers to target other platforms searching for users that share same credentials among multiple web services.

Let me close with a rapid mention to the most popular passwords in the dataset analyzed by LeakedSource, I share with you a portion of the table published on its web site.

The password “123456” is the most popular with 709,067 instances, followed by “123456789” and “qwerty,” this is the evidence that users still have no idea of the risks related to the use of weak passwords.


Source:http://securityaffairs.co/

Information Security Newspaper http://www.securitynewspaper.com/2016/06/06/100-million-credentials-russian-facebook-vk-com-go-sale/

Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Las nuevas medidas de seguridad de TeamViewer

Las nuevas medidas de seguridad de TeamViewer | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/las-nuevas-medidas-de-seguridad-de-teamviewer/ TAGS: TeamViewer

TeamViewer es una de las aplicaciones más completas, seguras y sencillas de utilizar para conectarnos de forma remota a cualquier ordenador para tener control completo sobre él. En los últimos días, y sin saber por qué, un gran número de ordenadores con TeamViewer instalado están viéndose comprometidos por piratas informáticos que, mediante técnicas que se desconocen, están tomando el control de los mismos para instalar malware de forma remota en ellos. Mientras la compañía investiga los hechos, también ha aprovechado la ocasión para mejorar la seguridad de la plataforma, algo vital para todos los usuarios de la misma.

A lo largo de este fin de semana, los responsables de TeamViewer han hecho públicas dos nuevas medidas de seguridad para la plataforma de manera que los usuarios puedan proteger aún más sus sesiones y eviten así que, por ejemplo, un pirata informático pueda hacerse con el control del ordenador sin nuestro permiso.

La primera de estas nuevas medidas de seguridad es Trusted Devices, o Dispositivos de Confianza. Gracias a ella, la primera vez que un ordenador nuevo, no registrado hasta entonces, intente tomar el control del ordenador remoto, se mostrará al usuario una notificación y, hasta que no la acepte, no podrá conectarse.

La segunda de las medidas de seguridad es Protecting Data Integrity, un nuevo sistema por el cual el propio TeamViewer analizará las conexiones y determinará si, según el origen y los intentos de conexiones de una determinada IP, esta pueda ser maliciosa. De ser así, el propio programa reiniciará todas las contraseñas de la cuenta para evitar accesos no autorizados.

Además de estas nuevas medidas de seguridad no debemos olvidarnos de las medidas ya existentes y que debemos activar y utilizar para evitar que, de una forma u otra, nuestras sesiones remotas puedan verse comprometidas.


Otros consejos para mantener nuestras sesiones de TeamViewer seguras

Lo primero que debemos hacer con nuestro programa de control remoto es mantenerlo siempre actualizado a la última versión ya que, con ello, evitaremos que posibles vulnerabilidades o fallos de seguridad puedan abrir una puerta trasera a piratas informáticos. Además, para evitar que nadie controle nuestro equipo mientras no estamos, es recomendable ejecutar TeamViewer solo si vamos a utilizarlo, manteniéndolo cerrado cuando no.

En cuanto a las contraseñas, debemos asegurarnos de utilizar claves seguras y únicas para la plataforma, difíciles de adivinar mediante, por ejemplo, ataques de fuerza bruta. Además, la doble autenticación es también un sistema de seguridad imprescindible.

Por último, el uso de la Lista Negra / Lista Blanca nos ayudará a bloquear todas las sesiones no autorizadas de forma automática.

De esta forma, podremos hacer uso de toda la plataforma TeamViewer de forma segura y privada, evitando que usuarios no autorizados puedan tomar el control de nuestro ordenador y comprometerlo.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/las-nuevas-medidas-de-seguridad-de-teamviewer/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Analysing Cybercrime.
Scoop.it!

Los ataques DDoS en el PRIMER trimestre de 2016

Los ataques DDoS en el PRIMER trimestre de 2016 | Security | Scoop.it
En el tercer trimestre de 2016 se lanzaron ataques DDoS contra blancos ubicados en 74 países del mundo. Por la cantidad de ataques y la cantidad de blancos de
Via Jesús Cózar
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

El FBI podría tener autorización para hackear dispositivos en casi cualquier parte del mundo

El FBI podría tener autorización para hackear dispositivos en casi cualquier parte del mundo | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/el-fbi-podria-tener-autorizacion-para-hackear-dispositivos-en-casi-cualquier-parte-del-mundo/ TAGS: FBI

El tema del iPhone de San Bernardino fue sólo el inicio, sabíamos bien que la batalla iniciada por el FBI en contra de Apple no se trataba solamente de algo que se olvidaría a los pocos días, ya lo hemos visto con otros casos que han salido a la luz pública, pero hoy se ha dado un nuevo y preocupante paso que afectará la privacidad de las personas no sólo en los Estados Unidos, sino también en otras regiones del mundo.

La Corte Suprema de los Estados Unidos ha aprobadomodificaciones a la llamada 'Regla 41', la cual otorga autoridad a los jueces para emitir órdenes de registro en ordenadores, smartphones, redes y cualquier otro dispositivo electrónico, algo que sólo aplicaba para la jurisdicción de cada juez, pero con estas nuevas modificaciones, cualquier juez en los Estados Unidos podrá emitir órdenes de registro para que el FBI pueda hackear dispositivos o redes prácticamente en cualquier lugar del mundo.


Un nuevo ataque a la privacidad

Anteriormente esta regla permitía que un juez, por ejemplo, en California, sólo emitiera órdenes de registro en dispositivos dentro de California, es decir, ningún juez podía autorizar hackeos de forma remota a dispositivos fuera de su jurisdicción, pero con este cambio las cosas cambian, porque ahora cualquier juez puede emitir órdenes de hackeo fuera de su autoridadsi la ubicación del dispositivo se desconoce o está usando algún tipo de software de anonimato tipo TOR.

Según la Corte Suprema de los Estados Unidos, estas modificaciones obedecen a una modernización en el código penal para adaptarse a esta nueva era digital, ya que se han encontrado con que más de un millón de usuarios usan software que oculta su identidad, como el caso de TOR, esto hace que los delincuentes puedan navegar sin que se conozca su ubicación.

Por supuesto esto ha levantado polémica donde la mayoría de las compañías tecnológicas, así como grupos por las libertades civiles, se oponen a tal medida, ya que en el fondo es un cambio que va en contra de las protecciones civiles que se declaran en la Constitución. Por su parte, el senador demócrata Ron Wyden ha enviado un comunicado:

"Estas modificaciones tendrán consecuencias significativas en la privacidad de los estadounidenses y dentro del alcance de los poderes del gobierno para llevar a cabo vigilancia remota y búsquedas en dispositivos electrónicos. Bajo las reglas propuestas, el gobierno ahora sería capaz de obtener una sola orden para acceder y buscar en miles o millones de ordenadores a la vez, donde en la mayoría de los casos se trata de dispositivos que pertenecen a las víctimas, no los autores, los 'ciberdelincuentes'."

El Congreso de los Estados Unidos tiene hasta el 1 de diciembre de 2016 para rechazar los cambios o hacer modificaciones adicionales, si después de esta fecha nadie se opone, los cambios a la Regla 41 entrarán en vigor desde ese día.

Fuente:http://www.xataka.com/

Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/el-fbi-podria-tener-autorizacion-para-hackear-dispositivos-en-casi-cualquier-parte-del-mundo/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Tick cyberespionage group zeros in on Japan

Tick cyberespionage group zeros in on Japan | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2016/04/30/tick-cyberespionage-group-zeros-japan/ TAGS: Japan., Trojan

Compromised websites and spear-phishing emails used to infect targets with Daserf Trojan. A longstanding cyberespionage campaign has been targeting mainly Japanese organizations with its own custom-developed malware (Backdoor.Daserf). The group, known to Symantec as Tick, has maintained a low profile, appearing to be active for at least 10 years prior to discovery.

In its most recent campaign, Tick employed spear-phishing emails and compromised a number of Japanese websites in order to infect a new wave of victims. The group is highly selective in its approach and only appears to deploy its full range of tools once it establishes that the compromised organization is an intended target. Tick also uses a range of hacktools to map the victim’s network and attempt to escalate privileges further.

Daserf’s main purpose is information stealing and the Trojan is capable of gathering information from infected computers and relaying it back to attacker-controlled servers. Tick’s most recent attacks have concentrated on the technology, aquatic engineering, and broadcasting sectors in Japan.

Recent attacks Symantec discovered the most recent wave of Tick attacks in July 2015, when the group compromised three different Japanese websites with a Flash (.swf) exploit to mount watering hole attacks. Visitors to these websites were infected with a downloader known as Gofarer (Downloader.Gofarer). Gofarer collects information about the compromised computer and then downloads and installs Daserf.

Tick also used spear-phishing emails in these recent attacks. While Symantec did not find the emails themselves, it did identify the use of an exploit designed to take advantage of a vulnerability in Microsoft Office documents (CVE-2014-4114). This was used to distribute malware in addition to the watering hole activity.

Tick under the microscope Daserf appears to be custom-developed for use in Tick’s cyberespionage campaigns. Once installed, it establishes a remote connection to Tick’s command and control server, providing the attacker with access to the compromised computer.

Figure 1. Chain of infection seen in recent Japanese attacks

Once the malware is installed on a targeted computer, the attackers attempt to enumerate the network and escalate their privilege level. To do this, Tick uses a number of publicly available hacktools such as Mimikatz, GSecdump, and Windows Credential Editor. The tools are downloaded and deployed to the original install directory previously created by the malware.

Tick’s primary objective appears to be the theft of sensitive information from targeted Japanese organizations. To date, Symantec has observed the group attempting to steal emails and documents such as PowerPoint presentations.

Low-profile threat The Daserf Trojan employs a number of tactics to avoid detection. Once collected, the stolen data is hidden in password-protected .rar archives.

Daserf also uses file and folder names related to legitimate programs often found in Windows environments in order to blend in. Observed folder names include HP, Intel, Adobe, and perflogs and folders are generally created in either the root drive or the Application Data or Program Files folders. File names used in recent attacks include adobe.exe, adobe_sl.exe, intel.exe, and intellog.exe.

Command and control servers Tick uses compromised web servers to distribute malware and, in some instances, for its command and control (C&C) infrastructure. However, in most cases, it relies on its own infrastructure for C&C purposes.

In its most recent campaigns, the group registered the domains used for C&C servers days after the malware was compiled. For example, one of the variants of Daserf used was compiled on July 8, 2015. This sample was seen contacting the C&C domain www[.]dreamsig[.]com, which was first registered on July 13, 2015, five days after the compilation date. This pattern occurred in multiple Daserf samples.

Another interesting aspect of the communication between the malware and the C&C infrastructure is how the malware changes the URL from a randomly chosen variable selected from a predefined list.

Predefined list from Daserf MD5: 765017E16842C9EB6860A7E9F711B0DB rjdyw.asp xszgj.asp dheyf.asp ejdhf.asp gxbne.asp swetf.asp qgfhr.asp whjdh.asp zgfer.asp cshyr.asp fxkle.asp tmwry.asp viksr.asp ycghw.asp

Table 1. An example of how a Daserf sample uses a predefined list of URLs embedded in the malware

Symantec identified multiple C&C domains used by Tick. Unfortunately, Tick frequently used either privacy protection services or domain brokers to mask registration information. These tactics are used to make discovery and attribution more difficult.

C&C domain Parent hash charlie-harada[.]com 122652ca6ef719f8ba2d8d412ea184fe isozaki.sakura.ne[.]jp 4601e75267d0dcfe4256c43f45ec470a www.aucsellers[.]com 7ec173d469c2aa7a3a15acb03214256c www.lunwe[.]com 8d5bf506e55ab736f4c018d15739e352 c-saika[.]jp 3fa5965a1de2c095de38f22f0645af3e b33f4b8e776b94dc48c234ce9897cf74 kcm-store[.]com 63fe9f06068823b02b925e4a74a57db0 htpc[.]jp a629926313ee12163e1bdd2bb633e0e2 d3031438d80913f21ec6d3078dc77068 rlsolar[.]jp d3031438d80913f21ec6d3078dc77068

Table 2. Examples of Tick C&C domains and associated MD5 hashes

Stolen digital certificates used in selected cases The majority of the malware analyzed was not digitally signed. However, a small percentage was signed with a stolen digital certificate. It is unclear why the certificate was used so sparingly, since signed malware would receive a greater level of trust and reduce the risk of detection.

It is possible that the certificate was used against a target that had a secure environment which may have required binaries to be signed in order to interact with the operating system.

The issuer of the certificate has been informed of its misuse and confirmed that it would be revoked.

Figure 2. The stolen digital certificate used to sign Tick malware

Targets The use of compromised websites to infect victims results in unintentional infections, making it difficult to identify the motives of the attacker. By searching for evidence of post-infection activity, Symantec identified seven organizations where Tick had mounted persistent post-compromise attacks. These organizations were primarily large Japanese technology, engineering, and media firms.

Figure 3. Daserf infections by region

The seven organizations therefore appear to be Tick’s intended targets. In addition to seeing post-compromise tools used in these attacks, the length of time the attackers were active on the networks provided additional evidence that these were high-value targets. The longest time Tick was active in a victim’s environment was 18 months. The average timeframe was five months and the number of infected hosts in a victim’s network ranged from 3 to 15 systems.

Conclusion Tick has left a trail of evidence indicating that its activity began as early as 2006. In earlier attacks, the group used malicious Microsoft Word documents to infect victims, with compromised websites being added to the mix as a more recent attack vector.

Tick appears to be a well-organized group, with the funding and capability to develop and update its malware. It has the ability to compromise legitimate infrastructure to use for malware distribution and has access to stolen digital certificates to sign its malware when needed. Tick primarily uses purchased infrastructure for its C&C servers and has been able to stay off the radar since 2006.

Tick exhibits all the hallmarks of an advanced cyberespionage group. The long lifespan of the group, as well as the consistent targeted attacks against specific industries, support this theory. The individuals or organization behind Tick’s operations has an interest in Japanese technology along with Japanese media and broadcasting organizations. While Tick’s tactics may change over time, the group’s history indicates that its focus will continue to be a narrow range of targets, mainly in Japan.

Source:http://www.symantec.com/


Information Security Newspaper http://www.securitynewspaper.com/2016/04/30/tick-cyberespionage-group-zeros-japan/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Petya: el personal de RRHH, otra vez blanco de ransomware

Petya: el personal de RRHH, otra vez blanco de ransomware | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/petya-el-personal-de-rrhh-otra-vez-blanco-de-ransomware/ TAGS: Petya Ransomware

Como anticipábamos en nuestro reporte de tendencias, 2016 parece ser el año del ransomware. Continuamente surgen nuevas variantes de troyanos como Locky o TeslaCryptpara sacar provecho de usuarios no precavidos. Aún peor, las nuevas versiones de ransomware utilizan algoritmos de cifrado asimétrico para que los archivos no puedan ser descifrados sin la clave correcta, mientras logran ocultar su actividad delictiva a través de TOR y del pago en bitcoins.

En este contexto apareció Petya. Esta amenaza dirigida especialmente a personal de recursos humanos de empresas alemanas continúa causando preocupación entre los usuarios, quienes, de verse afectados, se ven impedidos de iniciar sus ordenadores mientras sus discos duros son cifrados.

RECIBIR ADJUNTOS DE ORÍGENES DESCONOCIDOS ES COTIDIANO E INEVITABLE PARA PERSONAL DE RRHH

¿Cómo se propaga Petya?

Uno de los aspectos verdaderamente interesantes respecto a Petya es que su difusión se da principalmente a través de equipos con Windows presentes en los departamentos derecursos humanos de empresas de Alemania.

El escenario de infección comienza con un correo electrónico de un presunto aspirante, quien se postula para un puesto laboral en una compañía. La propuesta está correctamente escrita, lo cual dificulta que el personal de recursos humanos reconozca la falsedad del mensaje. La supuesta documentación necesaria era compartida a través de Dropbox, lo cual impedía la detección del malware mediante el escaneo de archivos adjuntos. Oportunamente, el nombre de la carpeta era “solicitud de empleo”.

El ransomware en sí se escondía en el ejecutable “Bewerbungsmappe-gepackt.exe”, que podríamos traducir como algo similar a “carpeta de la solicitud-empaquetada.exe”, camuflado con un icono de un programa de empaquetado ampliamente conocido.

¿Cómo funciona?

En un comienzo, Petya cifra el Master Boot Record (MBR) con una simple función XOR con un valor prestablecido. En esta etapa, salvaguardar los datos es aún posible, pero para ello se debiese estar al tanto de la infección al momento exacto en que esta ocurre. También, algunos usuarios informaron que fueron capaces de reparar el MBR usando la herramienta de recuperación de Windows.

LAS PERSONAS DELEGAN LA SEGURIDAD A LOS COMPONENTES INFORMÁTICOS

En la segunda fase, el ransomware despliega una BSoD(Blue Screen of Death) que obliga al usuario a reiniciar el equipo. La próxima vez que se ejecuta, el malware realiza una simulación de “comprobación de disco” (chkdsk) mientras cifra gran parte del sistema de archivos. A partir de este momento, las particiones en el disco ya no pueden ser accedidas.

Sin embargo, el cifrado parece no afectar al volumen de manera completa. Con un editor hexadecimal aún podrán leerse ciertas partes y, probablemente, aún puedan recuperarse los datos con la ayuda de herramientas forenses.

¡Buenas noticias para las víctimas de Petya!

Dropbox ha conseguido eliminar los archivos infecciosos con Petya de su sistema. Además, un usuario con el pseudónimo leostone aparentemente es capaz de romper el cifrado de Petya. Una herramienta gratuita genera en pocos segundos una clave con la cual los archivos cifrados pueden ser recuperados. La herramienta puede encontrarse en GitHub.

Para comenzar la recuperación, las víctimas deben conectar el disco duro con los datos cifrados a un sistema libre de infecciones. Luego, se necesita obtener la herramienta PetyaExtractor, la cual extrae ciertos valores desde el disco duro comprometido. Estos valores deben introducirse en el cuadro de texto que se observa en la página web de leostone.

A continuación, un algoritmo genera en un lapso de 30 segundos una contraseña para conseguir sobrepasar la pantalla de bloqueo de Petya. Después de arrancar el disco comprometido y de introducir la clave, el descifrado debiese comenzar automáticamente.

Ingeniería Social dirigida al personal de contratación


Sabemos que uno de los consejos para evitar infecciones de ransomware es evadir cualquier archivo de origen desconocido, pero ¿qué ocurre cuando la apertura de archivos extraños es inevitable? En Petya vemos cómo la Ingeniería Social utilizada para propagarse se encuentra puntualmente dirigida al staff de contratación de personal, forma de engaño que ya ha sido utilizada en el pasado y que nos lleva a repensar el rol de los RRHH en la seguridad de la información.

La recepción de correos adjuntos desde orígenes desconocidos representa una situación cotidiana e inevitable para los departamentos de RRHH: gran parte de su trabajo consiste en examinar currículos de postulantes externos, por lo que acostumbran abrir archivos aunque no conozcan a sus remitentes. Más aún, ante una búsqueda abierta están esperando recibir documentos, por lo cual podrían abrirlos sin hacerse demasiadas preguntas.

CAPACITAR A LOS EMPLEADOS ENCARGADOS DE RECLUTAR PERSONAL RESULTA CRUCIAL

Allí radica la importancia de la capacitación de los empleados encargados de reclutar personal, que resulta crucial, como así el brindarles las herramientas de seguridad necesarias para el escaneo de archivos sospechosos.

El hecho de que se fuerce una BSoD para luego enmascarar el cifrado del disco con un falso escaneo del mismo nos demuestra que se trata de un engaño muy bien orquestado, pues esta es una situación común que todo usuario de Windows conoce y que puede despistar incluso a personas con algunos conocimientos de informática.

Hacia la seguridad orientada a personas

Los procesos de seguridad deben estar orientados a la usabilidad. Muchas organizaciones ostentan un único programa de capacitación en seguridad de la información, cuando existe un universo de usuarios con diferentes aptitudes técnicas. En consecuencia, el principal problema en la capacitación suele ser la falta de motivación por parte de los usuarios.

Se deben diseñar planes para audiencias específicas, construirlos sobre los resultados esperados y pensarlos para ganar la atención de su público buscando mantener a los distintos actores interesados en actualizarse.

Las personas, por su parte, no asumen que también son parte del sistema y delegan la seguridad a los componentes informáticos. Desestiman su propio valor o el valor de la información que manejan. Del mismo modo en que usamos un enfoque multicapa para hacer frente a la seguridad técnica, podemos educar a los usuarios sobre los riesgos y vulnerabilidades, proveyendo las herramientas que minimicen su impacto.

Finalmente, con el paso del tiempo y la evolución del entorno (leyes, tecnologías, regulaciones), es necesario estipular mecanismos para mantener a los usuarios al tanto de los cambios.

Entonces, ¿cómo controlamos el factor humano? No se trata de una tecnología, proceso o programa, sino de una propiedad metafísica emergente del sistema humano que se desprende de una compleja interacción de relaciones e incentivos. Un abordaje práctico del problema requerirá un extenso conocimiento de la organización, una estrategia a largo plazo, las correctas herramientas y mucha paciencia.

Para ello debemos evaluar, capacitar y controlar nuestros recursos humanos. Si alguna de las tres actividades se ve comprometida, también lo hará la seguridad general.

Fuente:http://www.welivesecurity.com/

Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/petya-el-personal-de-rrhh-otra-vez-blanco-de-ransomware/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Hackers can spy on your smartphone with just your phone number

Hackers can spy on your smartphone with just your phone number | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2016/04/19/hackers-can-spy-smartphone-just-phone-number/ TAGS: Spy

Hackers can track your every call and movement, using just your phone number. Imagine your every move being spied upon by prying cyber criminals using just your telephone number. Is this possible? Yes, say German security experts!

German security experts from Berlin based  Research Labs say it is very easy to spy on anybody by hacking into their smartphone using just their number. To demonstrate their findings, a team of experts spied on a phone used by US Congressman Ted Lieu from California, a member of the House Oversight and Reform Subcommittee on Information Technology, who agreed to use an off-the-shelf iPhone.

The researchers proved their point in an interview with “60 Minutes” correspondent Sharyn Alfonsi. In the show, Karsten Nohl of Security Research Labs and a team of hackers explained how cyber criminals can use a flaw in global mobile network called Signalling System Seven (SS7) to hack into virtually any smartphone.

In the show, Nohl used the congressman’s phone number and the SS7 flaw to hack into his smartphone. Once inside, the hackers were able to intercept and record calls, view his contacts, read his texts and even track his movements. They also automatically logged the number of every phone that called Congressman Lieu which included other members of Congress and elected officials, offering real hackers further targets.

Karsten Nohl of Security Research Labs with a team of hackers explain SS7 hacking on CBS

“Any choices that a congressman could’ve made, choosing a phone, choosing a pin number, installing or not installing certain apps, have no influence over what we are showing because this is targeting the mobile network,” said Nohl.

“First, it’s really creepy. And second, it makes me angry,” said Lieu. “They could hear any call of pretty much anyone who has a smartphone. It could be stock trades you want someone to execute. It could be calls with a bank. Last year, the president of the United States called me on my cellphone. And we discussed some issues. So if the hackers were listening in, they would know that phone conversation. And that’s immensely troubling.”

The SS7 flaw is not new, we had reported it back in August 2015. An imperfection in the architecture known as SS7, which is a signaling system that is used by more than 800 telecommunication companies across the world. Hackers can listen in to mobile phone conversations, steal information stored on mobile phones, and track the location of the phone’s user.

How does SS7 flaw work?

How does this work? The hacker forwards all calls to an online recording device and then re-routes the call back to its intended recipient, a so-called man-in-the-middle attack. It also allows the movements of a mobile phone user to be tracked through other hacking tools. The victim’s location can be tracked through Google maps.

Nohl says the SS7 flaw is actually an open secret among the world’s intelligence agencies. He also notes that the key flaw lies in the mobile network itself.

“Mobile networks are the only place in which the problem can be solved,” said Nohl. “There is no global policing of SS7. Each mobile network has to move — to protect their customers on their networks. And that is hard.” According to Nohl, all phones are the same and no one phone is more secure than the other.

Information Security Newspaper http://www.securitynewspaper.com/2016/04/19/hackers-can-spy-smartphone-just-phone-number/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Analysing Cybercrime.
Scoop.it!

¿Cuánto dinero cuesta recuperar un dispositivo tras un ciberataque?

¿Cuánto dinero cuesta recuperar un dispositivo tras un ciberataque? | Security | Scoop.it
En general, para el 33% de los usuarios que sufrieron un ataque en 2015, la infección informática ha originado pérdidas económicas, segú
Via Jesús Cózar
more...
No comment yet.