25 de marzo de 2016

TERRORISMO. Consternación y solidaridad a nivel mundial por los atentados de Bruselas

 En primer lugar quiero enviar mis condolencias a nuestros hermanos belgas, por los crímenes execrables y sin justificación posible, perpetrados por terroristas de ISIS, que han atacado el corazón de Bélgica, pretendiendo perturbar la paz y libertad de una sociedad demócrata como la belga y por extensión a toda Europa.
Solidaridad desde España

 Los reyes Felipe VI y Letizia han expresado su consternación por los atentados cometidos este martes en Bruselas y han expresado su solidaridad y apoyo al pueblo belga y a sus instituciones.
"Consternados por los atentados en la capital de Europa #Bruselas Nuestra solidaridad y apoyo a Bélgica, sus instituciones y el pueblo belga", han escrito don Felipe y doña Letizia en un tuit enviado desde la cuenta oficial de la Casa Real en Twitter.
Consternados por los atentados en la capital de Europa #Bruselas Nuestra solidaridad y apoyo a Bélgica, sus instituciones y el pueblo belga
— Casa de S.M. el Rey (@CasaReal) 22 de marzo de 2016
Posteriormente, en un segundo tuit, el rey Felipe VI ha querido trasnmitir al rey Felipe de Bélgica sus condolencias por las víctimas de los atentados de Bruselas. 
Por su parte, el presidente del gobierno en funciones, Mariano Rajoy, ha manifestado vía esta red social que  "el terrorismo no conseguirá derrotarnos". 
En  este sentido, ha defendido "la unidad de los demócratas en la Unión Europea" y ha calificado el atentado de "barbarie" y "sinrazón". Rajoy ha anunciado la convocatoria de una reunión del pacto antiterrorista para esta misma tarde.
El terrorismo no conseguirá derrotarnos. La unidad de los demócratas en #EU está y estará siempre por encima de la barbarie y la sinrazón MR
— Mariano Rajoy Brey (@marianorajoy) 22 de marzo de 2016
El presidente del Congreso, Patxi López, ha convocado para este miércoles un minuto de silencio a las 12 del mediodía como repulsa a los atentados de Bruselas.
#JeSuisBruxelles El Congreso guarda mañana a las 12h un minuto de silencio como repulsa a los atentados de #Bruselas https://t.co/Wqm48NmNt3
— Congreso (@Congreso_Es) 22 de marzo de 2016
El Senado ha anunciado poco después que se suma al minuto de silencio, que también será a las doce del mediodía, pero en la Plaza de la Marina.
El líder socialista, Pedro Sánchez, ha tuiteado que siente "conmoción y dolor por los atentados de Bruselas" y ha expresado su "solidaridad con las víctimas, el pueblo belga y las instituciones europeas".
Conmoción y dolor por los atentados de Bruselas. Nuestra solidaridad con las víctimas, con el pueblo belga y con las instituciones europeas.
— Pedro Sánchez (@sanchezcastejon) 22 de marzo de 2016
El presidente de Ciudadanos, Albert Rivera, ha manifestado a través de esta misma red social que su partido está siguiendo la información de los ataques en la capital belga y ha querido transmitir su "apoyo a las víctimas y a las autoridades para que detengan a los autores".
Estamos siguiendo la información de los atentados en Bruselas. Apoyo a las víctimas, y a las autoridades para que detengan a los autores.
— Albert Rivera (@Albert_Rivera) 22 de marzo de 2016
El líder de Podemos, Pablo Iglesias, ha tuiteado que también está pendiente de estos atentados que han causado grans consternación en la mañana de este martes.
Siguiendo con preocupación las noticias sobre las explosiones en el aeropuerto de Bruselas.
— Pablo Iglesias (@Pablo_Iglesias_) 22 de marzo de 2016
El cabeza de Izquierda Unida, Alberto Garzón, también se ha pronunciado a través de Twitter.
Mi solidaridad con las familias de las víctimas de los atentados en Bruselas. Estamos atentos a la información que va llegando.
— Alberto Garzón (@agarzon) 22 de marzo de 2016
Desde la Comunidad de Madrid, la presidenta Cristina Cifuentes ha comunicado que ha colgado una bandera belga con crespón negro en el balcón de la sede del Gobierno autonómico.
Banderas de #Bélgica con crespón negro, en la sede del Gobierno de la @ComunidadMadrid #NoAlTerrorismo 🇧🇪🇪🇸 pic.twitter.com/CniXMlr16Z
— Cristina Cifuentes (@ccifuentes) 22 de marzo de 2016
"Solidaridad, rechazo y estupor ante los terribles atentados que sufre el corazón de la Unión Europea", ha manifestado en otro tuit. Cifuentes ha convocado a las doce del mediodía de este martes un minuto de silencio en la puerta de la Real Casa de Correos de Madrid en apoyo a las víctimas.
La alcaldesa de Madrid, Manuela Carmena, ha expresado asimismo su preocupación por las noticias de los atentados.
Siguiendo con preocupación las noticias sobre los atentados en #Bruselas. Toda la solidaridad de Madrid con el pueblo belga.
— Manuela Carmena (@ManuelaCarmena) 22 de marzo de 2016
Del mismo modo, la alcaldesa de Barcelona, Ada Colau, ha querido transmitir su solidaridad con el pueblo belga. "Siguiendo con preocupación las noticias de los atentados en Bruselas. Desde Barcelona toda nuestra solidaridad con el pueblo belga", ha tuiteado la alcaldesa.
Seguint amb preocupació les notícies dels atemptats a Brussel.les. Des de Barcelona tota la nostra solidaritat amb el poble de Bèlgica
— Ada Colau (@AdaColau) 22 de marzo de 2016

Reacciones internacionales

El primer ministro belga, Charles Michel, afirmó que "este es un momento negro" para el país, tras confirmar que hay numerosos muertos y heridos, algunos graves. "Hay numerosos muertos y heridos, algunos graves", señaló en una rueda de prensa Michel, en la que no dio cifras concretas de víctimas pero pidió a la población que "en estos momentos más que nunca" mantengan "la calma".
I strongly condemn these hateful attacks. Our thoughts go out to the victims and their families. We stand united against terrorism.
— Charles Michel (@CharlesMichel) 22 de marzo de 2016
El presidente francés François Hollande, ha declarado en rueda de prensa que "debemos actuar a nivel internacional. Cada uno de los países tiene que tomar medidas para reforzar la seguridad del territorio, especialmente de las fronteras y de todos los medios de transporte".
"Hablo de unidad europea y de unidad mundial para aquellos países que quieren actuar contra el terrorismo. En un periodo como este todos debemos mantener cohesión y solidaridad, hoy con Bélgica y ayer con Francia. Todos somos conscientes de que esto nos afecta a todos", ha advertido.
"Le Gouvernement a pris des mesures pour renforcer la sécurité sur le territoire, en particulier dans les infrastructures de transports"
— Élysée (@Elysee) 22 de marzo de 2016
Hollande ha añadido que "no habrá desarrollo económico ni de las inversiones duraderas si no tenemos seguridad" y en este sentido ha alegado que "debemos asegurarnos de que se toman todas las medidas, en Francia y toda Europea, para que se pueda invertir con toda seguridad".
"Estamos en guerra. Europa sufre desde hace varios meses actos de guerra. Y ante esta guerra se requiere una movilización de todas las instancias", indicó, por su parte, el primer ministro francés, Manuel Valls, al término de una reunión del gabinete de crisis creado en el Elíseo.
13 novembre à Paris, 22 mars à Bruxelles, la France et la Belgique ensemble face au terrorisme. pic.twitter.com/OlunclTWRa
— Manuel Valls (@manuelvalls) 22 de marzo de 2016
También desde el Elíseo se ha comunicado vía Twitter a primera hora de este martes la convocatoria de una reunión urgente con los ministros franceses con el presidente galo François Hollande a la cabeza.
Une réunion d'urgence avec les ministres concernés est en cours à l'Élysée à la demande de @fhollande #Bruxelles pic.twitter.com/p1OjCkYnHS
— Élysée (@Elysee) 22 de marzo de 2016
También el primer ministro británico, David Cameron, ha convocado para última hora de esta mañana una reunión 'Cobra' (gabinete de crisis del Gobierno del Reino Unido para dar respuesta a situaciones de emergencia con esta). Asimismo, Cameron se ha mostrado consternado y se ha comprometido a hacer todo aquello que pueda ser de ayuda.
I am shocked and concerned by the events in Brussels. We will do everything we can to help.
— David Cameron (@David_Cameron) 22 de marzo de 2016
El presidente del Consejo Europeo, Donald Tusk, también ha mostrado su solidaridad y ha adelantado que la UE ayudará a Bélgica a contener la amenaza terrorista.
EU returns Brussels solidarity now & will help Brussels, Belgium & Europe counter terror threat https://t.co/khlX0qUvqb
— Donald Tusk (@eucopresident) 22 de marzo de 2016
Desde el Parlamento Europeo, los eurodiputados se han concentrado de forma espontánea para guardar un minuto de silencio para condenar los ataques terroristas de Bruselas. Así lo ha recogido en su cuenta de Twitter el parlamentario europeo del PP, Esteban González Pons.
Los diputados que estamos en el @Europarl_ES nos unimos espontáneamente para condenar los atentados #JeSuisBruxelles pic.twitter.com/oQREgHKrQ8
— González Pons (@gonzalezpons) 22 de marzo de 2016
El primer ministro italiano, Matteo Renzi, ha sido otro de los mandatarios europeos que han compartido su solidaridad y apoyo con las víctimas. "Con el corazón y la mente en Bruselas, Europa" era su mensaje.
Con il cuore e con la mente a Bruxelles, Europa
— Matteo Renzi (@matteorenzi) 22 de marzo de 2016
También, el ministro alemán de Justicia, Heiko Haas, calificó de "actos abominables" los atentados que representan "un día negro para Europa". 
"Nos afecta a todos" lo ocurrido en la capital belga, afirmó el titular de Justicia del Gobierno de la canciller Angela Merkel, en un mensaje difundido por su cuenta en twitter.
El presidente de Rusia, Vladímir Putin, calificó de "salvaje" la serie de atentados y llamó a estrechar la cooperación internacional para hacer frente al terrorismo internacional.
 "El presidente ha condenado estos crímenes salvajes, expresó sus condolencias al pueblo belga, al rey de los belgas Felipe, y mostró su más absoluta solidaridad con los belgas en estas horas difíciles", dijo a los periodistas el portavoz del Kremlin, Dmitri Peskov.
Igualmente, el primer ministro de Portugal, António Costa, expresó su solidaridad con el Gobierno belga, con las autoridades de Bruselas y sus ciudadanos.
"Expresamos la solidaridad de Grecia con el pueblo belga. El miedo, el odio religioso y el racismo no deben vencer en Europa", dijo el primer ministro griego, Alexis Tsipras, a través de la red social Twitter, desde donde expresó su solidaridad con Bélgica.
Greece stands in solidarity with the citizens of Belgium and EU. We can't allow fear, religious hatred and racism to prevail in Europe. #BXL
— Alexis Tsipras (@tsipras_eu) 22 de marzo de 2016
"Las noticias desde Bruselas son perturbadoras. Los ataques son condenables", indicó en su cuenta de Twitter el primer ministro de la India, Marendra Modi.

 Y desde Australia, el primer ministro, Malcolm Turnbull, se mostró "extremadamente preocupado por los ataques en Bruselas. Los pensamientos, oraciones y solidaridad de los australianos están con el pueblo belga", dijo en un tuit.
Deeply concerned by the attacks in Brussels. Australians' thoughts, prayers & solidarity are with the people of Belgium.
— Malcolm Turnbull (@TurnbullMalcolm) 22 de marzo de 2016
Desde la Comisión Suprema para las Negociaciones (CSN) de Siria, en Ginebra, la principal alianza opositora en ese país, también condenó los ataques y expresó sus condolencias a las víctimas. "El mundo debe unirse para poder derrotar al terrorismo. La CSN y los sirios ofrecen su solidaridad a los belgas", afirmó el portavoz de la CSN, Salem al-Maslet, en un comunicado.
Por su parte, también Barack Obama se refirió al atentado durante su visita a Cuba. El presidente de EEUU ha urgido a la comunidad internacional a permanecer "unida" ante el terrorismo y promete que su país hará "lo necesario" para llevar ante la justicia a los responsables.
De todas las reacciones llegadas de otras países, la más discordante y visceral ha sido la plasmada por el precandidato a la Casa Blanca, Donald Trump.
"Si yo soy presidente, vamos a ser muy duros y muy fuertes y vigilantes. No dejaremos que eso pase en nuestro país y, si pasa, los encontraremos (a los terroristas) y los haremos sufrir muchísimo", aseguró el magnate en una entrevista telefónica en la cadena NBC.
Trump defendió además una de sus propuestas más controvertidas, la de someter a los terroristas detenidos a tortura por ahogamiento simulado para "extraer toda la información y extraerla rápido".
"El ahogamiento simulado estaría bien, nosotros trabajamos con leyes y ellos (los terroristas) no, y si pudieran ampliarse las leyes yo haría más que ahogamiento simulado", afirmó.
Do you all remember how beautiful and safe a place Brussels was. Not anymore, it is from a different world! U.S. must be vigilant and smart!
— Donald J. Trump (@realDonaldTrump) 22 de marzo de 2016

 Fuente: 20minutos.es
Publicado por en
Etiquetas:

24 de marzo de 2016

ALIADOS. Firma israelí ayuda al FBI a desbloquear iPhone encriptado

Si Cellebrite tiene éxito, entonces el FBI ya no necesitará la ayuda de Apple Inc, dijo el diario israelí, citando fuentes anónimas del sector.
La empresa israelí Cellebrite, un proveedor de software forense móvil, está ayudando a la Oficina Federal de Investigaciones de Estados Unidos (FBI) en su intento para desbloquear un iPhone usado por uno de los atacantes de San Bernardino, California, informó el miércoles el diario Yedioth Ahronoth.
Autoridades de Cellebrite se abstuvieron de comentar sobre el tema.
Apple está en una batalla legal con el Departamento de Justicia de Estados Unidos por la orden de un juez que dice que debe hacer un software nuevo para desactivar la protección de las claves en el iPhone usado por el tirador.
Ambas partes iban a verse cara a cara en una corte el martes pero el lunes un juez federal aceptó el pedido del gobierno, de que se posponga la audiencia después de que los fiscales federales de Estados Unidos dijeron que una "tercera parte" había presentado un posible método para abrir un iPhone encriptado.
El acontecimiento podría poner fin al choque legal que quedó en el centro de un debate más amplio sobre la privacidad de datos en Estados Unidos.
Cellebrite, una subsidiaria de la japonesa Sun Corp, tiene su fuente de ingresos dividida entre dos negocios: un sistema forense usado por la policía, el ejército y la inteligencia, que recupera datos escondidos dentro de aparatos móviles, y tecnología para minoristas de móviles.
Fuente:Reuters
Publicado por en
Etiquetas: ,

INJUSTICIA. Lucha de Apple por privacidad no aporta ventajas frente a competidores

La mayoría de los estadounidenses confían en Apple para que proteja su información personal del ataque de piratas informáticos, según una encuesta realizada por Reuters, pero sin considerarlo superior a sus rivales Google, Amazon y Microsoft.
Los resultados de la encuesta se dieron a conocer el lunes, al tiempo que Apple libra una batalla legal contra el Departamento de Justicia de Estados Unidos por la orden de un juez para que Apple diseñe un software con el que desactivar la protección por contraseña de un iPhone utilizado por uno de los responsables del tiroteo de San Bernardino, California.
Ambas partes se dieron cita el martes en el tribunal, pero en la noche del lunes un juez federal de Riverside, California, admitió la petición del gobierno de posponer la vista después de que varios fiscales dijeran que un "tercero" había presentado un posible método para desbloquear un iPhone.
El desarrollo del caso podría traer un brusco final debido al enfrentamiento legal que ha propiciado la apertura de un gran debate sobre la privacidad de datos en Estados Unidos, que ya comenzó tras las revelaciones en 2013 del ex consultor de la Agencia Nacional de Seguridad estadounidense, Edward Snowden, sobre los programas de vigilancia masiva del gobierno.
Entre los encuestados, preguntados si confían en Apple para proteger los datos de los piratas informáticos, el 60 por ciento contestaron que están muy de acuerdo o de acuerdo en parte, según la encuesta realizada del 11 al 16 de marzo.
Las respuestas coinciden con las mismas preguntas acerca de Alphabet, de Google, Amazon.com y Microsoft.
La encuesta también reveló que sólo una de cada 10 personas considera que las opciones de seguridad, como la protección de información cifrada y el uso de clave son las características más importantes para comprar un teléfono nuevo. Mientras que el rendimiento y el precio se situaban muy por delante, considerándose estos dos factores los más importantes para un tercio de los encuestados.

Fuente: Reuters
Publicado por en
Etiquetas: , ,

DEAD DROPS. Miles de memorias USB escondidas por todo el mundo.

Si un día caminando por ahí,  te encuentras una memoria USB incrustada en una pared, no pienses en espías, sino en el juego 'dead drop', es decir en una de las miles de memorias USB que están escondidas alrededor del mundo y en los sitios más comunes, donde nunca nos hubiéramos imaginado.
La idea de colocar unidades USB en espacios públicos de todo el mundo se le ocurrió al artista alemán Aram Bartholl. ¿Con qué intención? Con la de crear una red P2P (de persona a persona) anónima, que permitiese el intercambio físico de archivos sin necesidad de conectarse a Internet. Un proyecto original, sin duda, que nació hace seis años, en 2010, en Nueva York, cuando Bartholl escondió las primeras cinco memorias USB. Actualmente hay miles por todo el mundo.
¿En qué consiste?
  • Se hace un agujero en un muro, se incrusta el 'pendrive' dejando la parte del conector a la vista, se sella con masa o cemento y ¡listo! Estas memorias externas tienen que estar vacías en el momento de la colocación -solo deben incluir el archivo que explica el proyecto- y siempre deben situarse en la pared exterior de un edificio que esté en un lugar público, o en algún otro lugar que se os ocurra, pero siempre público.
Previa YoutubeCargando el vídeo....
  • El paso siguiente es comunicar a la web deaddrops.com el lugar exacto donde se ha colocado la memoria USB para que otros usuarios puedan encontrarla. A partir de ahí cualquiera puede conectar su ordenador e iniciar el intercambio de archivos.
¿Son legales?
  • Este “juego” está pensando para que cada uno deje en los lápices USB los archivos que desee -música, películas, fotos, etc.- para que otra persona pueda descargarlos. Al no tratarse de un sistema que esté conectado a Internet no deja huella, como ocurre con otros programas de descarga de archivos como, por ejemplo, uTorrent. Las autoridades no pueden intervenir, dado que no se está vulnerando la ley de descargas.
  • Eso sí, si te decides a participar, ten cuidado, porque puedes encontrarte con unidades USB con código malicioso. “Las ‘dead drops’ pueden usarse indebidamente en beneficio del software malicioso”, advierte su creador. Es, dice, parte del juego.
  • En la actualidad, hay miles de 'pendrives' instalados en muros de todo el mundo, y, por supuesto, España es uno de los países en los que podemos tropezar con ellos. En el momento de escribir este artículo la página deaddrops.com contabiliza un total de 1.625 unidades USB en todo el mundo y la capacidad de almacenamiento está a punto de llegar a los 12.000 gigas (12 terabytes).
Fuente: Europa Press
Publicado por en
Etiquetas:

GIT. Corregidas dos graves vulnerabilidades

Se ha informado de dos vulnerabilidades que posibilitan la ejecución de código remoto y que afectan a todas las versiones de Git, tanto cliente como servidor, anteriores a la 2.7.1. También se ven afectadas las versiones compatibles, como GitHub, Bitbucket o Gitlab.
Git es un software de control de versiones diseñado por Linus Torvalds, diseñado para la confiabilidad del mantenimiento de versiones de aplicaciones cuando estas tienen un gran número de archivos de código fuente. En la actualidad proyectos de relevancia usan Git para el mantenimiento de sus versiones, como el grupo de programación del núcleo Linux.
Detalle e Impacto de las vulnerabilidades
  • El primer problema, con CVE-2016-2315, podría permitir a un usuario remoto autenticado enviar un repositorio específicamente manipulado para provocar un desbordamiento de búfer y ejecutar código arbitrario en los sistemas afectados. De forma similar, y relacionado con el anterior, un desbordamiento de entero (con CVE-2016-2324) por el que un usuario autenticado que envíe o clone un repositorio específicamente manipulado podría ejecutar código arbitrario en los sistemas afectados.
  • Para hacer un push a un repositorio Git remoto es necesario tener permiso de escritura, para lo que en general se requiere de algún tipo de autenticación o autorización. Sin embargo, en servicios tipo Bitbucket o Github en los que se puede crear o clonar un repositorio sin la aprobación del administrador, estos problemas pueden ser mayores ya que cualquiera podría intentar explotar la vulnerabilidad. Hay que señalar que en dichos servicios el problema ya está corregido, pero en otros de similares características (especialmente los auto-hospedados) podrían ser vulnerables.
Recomendación
  • Estos problemas fueron corregidos en la versión 2.7.1 de Git, publicada en febrero, si bien no se han conocido hasta ahora (ni los desarrolladores de Git informaron de ello en su momento).
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas:

PWN2OWN 2016. Safari, Edge, Flash y Chrome caen

Los días 16 y 17 de marzo se ha celebrado una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Como en ediciones anteriores en esta ocasión las víctimas han sido Apple Safari, Microsoft Edge, Adobe Flash y Google Chrome.
Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares en diferentes sistemas operativos, así como en los plugins más atacados: en esta ocasión Flash ha sido el centro de los ataques. Pwn2Own 2016 se ha celebrado en la ciudad canadiense de Vancouver, organizado por Hewlett Packard Enterprise, Zero Day Initiative (ZDI) y Trend Micro.
Los resultados finales de este Pwn2Own son impresionantes:
  • 21 nuevas vulnerabilidades en total
  • 6 vulnerabilidades en Windows
  • 5 vulnerabilidades en Apple OS X
  • 4 vulnerabilidades en Adobe Flash
  • 3 vulnerabilidades en Apple Safari
  • 2 vulnerabilidades en Microsoft Edge
  • 1 vulnerabilidad en Google Chrome
  • 460.000 dólares en premios.
Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas. Sin duda en breve empezaremos a ver las actualizaciones para corregir estos problemas.
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas:

iOS. Nuevo malware para la plataforma puede infectar dispositivos sin jailbreak

Palo Alto Networks ha anunciado el descubrimiento de una nueva familia de malware capaz de infectar dispositivos iOS sin jailbreak, a la que han bautizado como "AceDeceiver".
La novedad de AceDeceiver reside en que para lograr su ejecución reside en que en vez de aprovechar el uso de certificados corporativos como otras muestras de malware para iOS de los últimos años, aprovecha un fallo en el diseño del DRM de Apple. Incluso aunque Apple haya eliminado AceDeceiver de la App Store este sigue reproduciéndose gracias a un nuevo vector de ataque.
Según los investigadores de Palo Alto Networks es el primero que abusa de un fallo de diseño en FairPlay, el sistema DRM de protección de Apple. Fairplay es la tecnología de gestión de derechos digitales creada por Apple, para evitar que las pistas de audio protegidas sean reproducidas en sistemas sin autorización.
El fallo descubierto permite instalar aplicaciones maliciosas en dispositivos iOS independientemente de si tienen o no tienen jailbreak. La técnica, conocida desde 2013 como "FairPlay Man-In-The-Middle (MITM)", se ha aprovechado para instalar aplicaciones iOS "pirateadas", pero esta es la primera vez en que se detecta su uso para propagar malware.
Según el informe publicado por Palo Alto Networks hasta el momento han encontrado tres aplicaciones iOS diferentes de la familia AceDeceiver en la App Store oficial entre julio de 2015 y febrero de 2016; todas ellas decían ser aplicaciones de fondos de pantalla (wallpaper). Igualmente, según señalan por el momento AceDeceiver solo muestra comportamientos maliciosos cuando el usuario se localiza en China. Si bien el atacante podría cambiar esto en cualquier momento de una forma sencilla.
A finales de febrero, tras el aviso de Palo Alto Networks, Apple eliminó estas aplicaciones de la App Store. Sin embargo, el ataque sigue siendo viable ya que FairPlay MITM solo require que estas aplicaciones hayan estado disponibles una vez en la tienda. Mientras que el atacante haya podido obtener una copia de la autorización de Apple, el ataque no requiere la disponibilidad actual en la tienda de aplicaciones para su propagación.
AceDeceiver muestra otra nueva forma en que los atacantes intentan evitar las medidas de seguridad de los sistemas iOS para instalas aplicaciones maliciosas, especialmente en dispositivos sin jailbroken. Por el momento parece que estamos libres de este malware, aunque todo puede cambiar de un día para otro.
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas:

MOZILLA. Corrige vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado la nueva versión de Thunderbird 38.7, su popular cliente de correo, en la que corrigen 24 vulnerabilidades. Se agrupan en 10 boletines (seis de nivel crítico, tres clasificados de gravedad alta y uno de baja).
Dado que Thunderbird 38 contiene código subyacente que se basa en el de Firefox 38 ESR (versión de soporte extendido), los problemas corregidos también fueron solucionados en Firefox 38.7 ESR (publicado la semana pasada).
Detalle de la actualización
  • Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1952 y CVE-2016-1953) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Por usos después de liberar en el tratamiento de cadenas HTML5 (CVE-2016-1960), en SetBody (CVE-2016-1961), y durante transformaciones XML (CVE-2016-1964). También por un desbordamiento de búfer al decodificar ASN.1 en NSS (CVE-2016-1950). Por último, 14 vulnerabilidades en el tratamiento de fuentes en la librería Graphite 2 en la versión 1.3.5 (CVE-2016-1977 y CVE-2016-2790 al CVE-2016-2802).
  • Además, también se han corregido otras vulnerabilidades de gravedad alta como una sobreescritura local de archivos y escalada de privilegios a través de informes CSP, corrupción de memoria con plugins NPAPI maliciosos y un uso después de liberar mientras se procesan llaves codificadas DER en las librerías Network Security Services (NSS).
Recomendación
La nueva versión está disponible a través de:
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas:

VMWARE VREALIZE. Cross-site scripting en algunos de sus productos

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en VMware vRealize Automation y vRealize Business Advanced y Enterprise, que podrían permitir realizar ataques de cross-site scripting almacenados.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.
Recursos afectados
  • Los problemas afectan a VMware vRealize Automation 6.x anteriores a 6.2.4 (CVE-2015-2344) y a VMware vRealize Business Advanced y Enterprise 8.x anteriores a 8.2.5 (CVE-2016-2075). 
Detalle e Impacto de la vulnerabilidad
  • En ambos casos se trata de la modalidad más grave de ataques cross-site scripting y la explotación podría dar lugar al compromiso de la estación de trabajo cliente de usuario vRA o vRB.
  • Los cross-site scripting almacenados o persistentes sin duda resultan la modalidad más peligrosa de estos ataques. Igualmente  se producen al no comprobar los datos de entrada en  una web, normalmente formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la web legítima).
Recomendación
Se han publicado las siguientes actualizaciones para corregir el problema en todas las versiones afectadas:
  1. VMware vRealize Automation 6.2.4 https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_automation/6_2
  2. VMware vRealize Business Advanced and Enterprise 8.2.5 https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_business/8_2
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas:

APPLE. Publica actualizaciones para: OS X Server, OS X El Capitan, Safari, iOS …

Apple ha publicado actualizaciones para sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.4) y Security Update 2016-002, Safari 9.1, iOS 9.3, OS X Server 5.1, Xcode 7.3, tvOS 9.2 y watchOS 2.2. En total se solucionan 173 nuevas vulnerabilidades.
Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados:
  1. Se ha publicado OS X El Capitan v10.11.4 y Security Update 2016-002 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 a v10.11.3; destinado a corregir 59 vulnerabilidades, la mayoría de ellas podrían llegar a permitir la ejecución de código arbitrario. Afectan a componentes importantes como AppleRAID, Bluetooth, FontParser, HTTPProtocol, Graphics Driver, IOGraphics, IOUSBFamily, Kernel, libxml2, OpenSSH, OpenSSL, QuickTime, Security, o Wi-Fi.
  2. También ha publicado la versión OS X Server v5.1 (para OS X Yosemite 10.10.5 y posteriores). Se han solucionado cuatro vulnerabilidades que afectan a los componentes Server App, Web Server y Wiki Server. Con identificadores CVE-2016-1774, CVE-2016-1776, CVE-2016-1777 y CVE-2016-1787.
  3. Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.1 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.x. Se solucionan 12 vulnerabilidades relacionadas principalmente con problemas en WebKit (el motor de navegador de código abierto que es la base de Safari). Otros componentes afectados son libxml2, Safari Downloads, Safari Top Sites. Con identificadores CVE-2009-2197, CVE-2016-1762, CVE-2016-1771, CVE-2016-1772, CVE-2016-1778, CVE-2016-1779 , CVE-2016-1781 al CVE-2016-1786.
  4. Por otra parte, iOS se actualiza a la versión 9.3 que incluye mejoras no relacionadas directamente con la seguridad y soluciona 38 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes AppleUSBNetworking, FontParser, HTTPProtocol, IOHIDFamily, Kernel, libxml2, Messages, Profiles, Security, TrueTypeScaler, WebKit, WebKit History y WebKit Page Loading.
  5. De forma similar, Apple publica WatchOS 2.2, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 34 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario.
  6. Apple también ha publicado Xcode 7.3, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en otool y dos vulnerabilidades en subversión (que se actualiza a la versión 1.7.22).
  7. Por último, también ha publicado tvOS 9.2, el sistema operativo para Apple TV (de cuarta generación), que no solo incluye novedades y mejoras sino que además soluciona un total de 23 vulnerabilidades.
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas:

HP. Múltiples vulnerabilidades en System Management Homepage

Identificadas múltiples vulnerabilidades que afectan al software HP System Management Homepage tanto en Windows como en Linux, catalogadas de Importancia: 4 - Alta
Recursos afectados
  • HP System Management Homepage Software, versiones anteriores a la 7.5.4
Detalle e Impacto de las vulnerabilidades
  • La explotación de las mismas puede permitir a un atacante remoto ejecutar código en el sistema afectado, provocar una denegación de servicio, acceder de manera no autorizada a recursos, divulgar información confidencial o realizar una elevación de privilegios.
Recomendación
Más información
Fuente: INCIBE
Publicado por en
Etiquetas:

STARTSSL. Fallo permite a un atacante conseguir certificados para cualquier dominio

Un fallo de seguridad reciente en la  plataforma StartSSL., podía permitir a un pirata informático hacerse con el certificado de una web de la que él no es propietario
Los certificados digitales tienen varias finalidades. Además de permitirnos establecer conexiones cifradas con el protocolo HTTPS para evitar que usuarios intermedios puedan hacerse con la información que transferimos, también nos permiten saber si una web es fiable y por quién está siendo controlada, algo que, por ejemplo, en el caso de las webs HTTP sin certificado digital, es imposible.
StartSSL utiliza una técnica de validación con la que poder demostrar que somos los dueños del dominio. Para ello, nos pide enviar a su servidor correos de verificación desde diferentes cuentas de correo (por ejemplo, Webmaster, Postmaster y Hostmaster) creadas en el mismo dominio para el que queremos crear el certificado.
Si durante el proceso de verificación aprovechamos la vulnerabilidad del servidor, del tipo “Unvalidated Input“, es posible cambiar las direcciones de verificación por cuentas de correo convencionales, por ejemplo, creadas en Gmail. De esta manera, aunque StartSSL nos envía mensajes un mensaje de verificación a una supuesta cuenta dentro del dominio que queremos certificar, es posible recibir dicho correo en una cuenta cualquiera y, con él, proceder a la generación del correspondiente certificado.
Si esta técnica la aplicamos a un dominio de prestigio como Google, Outlook, Skype o Facebook, fácilmente se pueden generar certificados totalmente válidos con los que engañar a posibles víctimas potenciales de ataques informáticos.
Los responsables de seguridad de StartSSL solucionaron la vulnerabilidad apenas unas horas después de ser reportada.

  Fuente: oalmanna
Publicado por en
Etiquetas:

XORIST. Los archivos afectados por el ransomware se pueden recuperar gratis

Expertos en seguridad han encontrado un fallo de seguridad en Xorist  que permite recuperar los archivos cifrados y de forma totalmente gratuita para las víctimas del ransomware.
Los pagos por el rescate de los archivos afectados por Xorist se realizan vía SMS
  • Aunque no se encuentra a la altura de otros virus informáticos que cifran los archivos, podrían considerarse dos peculiaridades. 
  • La primera de ellas es la utilización de los mensajes de texto para confirmar el pago y obtener el código que permite sobre el papel el desbloqueo de los archivos. 
  • La otra diferencia es que mientras el resto de amenazas ofrecen una herramienta de desbloqueo independiente del ransomware, en este caso todo se encuentra empaquetado.
Existe una solución aunque no es aplicable a todas las infecciones
  • Por suerte algunos usuarios disponen de la oportunidad de recuperar el acceso a los archivos de forma totalmente gratuita. 
  • Sin embargo, el “pero” es que no siempre se puede aplicar y existen una serie de condiciones que permiten recuperar los datos cifrados. 
  • Desde Emisoft han puesto a disposición de los usuarios un foro donde pueden dejar sus comentarios y saber si su caso es uno de los que permite la recuperación de los archivos.
Fuente: Softpedia
Publicado por en
Etiquetas:

USB THIEF. Nuevo troyano USB capaz de evitar su detección

Este troyano ha sido detectado por la empresa de seguridad ESET y ha recibido el nombre de USB Thief debido a que su finalidad es la de robar datos desde una memoria USB maliciosa. 
Mientras que el malware convencional utiliza prácticas tradicionales para llevar a cabo la infección, este nuevo troyano hace uso de aplicaciones portables para llevar a cabo su tarea. Cuando el usuario lleva en la memoria USB una aplicación portable, por ejemplo, Firefox o Notepad++, el troyano se configura automáticamente para que, al abrirla, este se inserte en la cadena de ejecución como un plugin o una librería, quedando así funcionando en segundo plano.
Cómo se protege y oculta USB Thief de los motores antivirus
Además de la ingeniosa forma de ejecutarse, este troyano es capaz de evadir los análisis de los principales motores antivirus. Para ello hace uso de dos técnicas diferentes:
  1. La primera de ellas es que los binarios están cifrados con un algoritmo AES de 128 bits.
  2. La segunda de ellas es que el nombre de los archivos se genera aleatoriamente a partir de elementos criptográficos, por lo que no pueden “deducirse”.
La clave de cifrado se calcula a partir del identificador “ID” único de la memoria USB donde se aloja, por lo que el código de cada troyano es único, aunque eso conlleva a que este también solo podrá ser ejecutado desde esa única memoria, y no infectar otras memorias USB ni otras plataformas. De esta manera, los motores antivirus no pueden detectar el malware analizándolo ni por comportamiento ni por nombre de archivo. Además, este también queda protegido de la ingeniería inversa.
El malware está formado por 4 ejecutables y dos archivos de configuración, los cuales se ejecutan de la siguiente manera:
  1. Primer binario -loader: Este primer loader busca engañar al usuario para que lo ejecute (haciéndose pasar por una aplicación portable). También comprueba que se está ejecutando en una memoria USB y que esta no está protegida contra escritura, ya que los datos se almacenan en ella.
  2. Segundo binario -loader: Este segundo loader utiliza el hash generado con el primer loader para ejecutarse y cargar el primer archivo de configuración. A su vez controla que el malware no se ejecuta sobre un depurador, finalizando en caso de que el proceso padre no sea el original.
  3. Tercer binario -loader: Este tercer loader, cargado a partir de los datos del segundo, se encarga de comprobar si hay un antivirus en el sistema. De ser así se detiene automáticamente. Si todo es correcto, este loader carga el segundo fichero de configuración y hace la llamada al troyano en sí.
  4. Cuarto binario – Troyano: Este cuarto binario es el troyano en sí. Cuando el tercer loader hace la llamada, este inyecta la función de robo de datos en el proceso “%windir%\system32\svchost.exe -k netsvcs” y comienza ya a recopilarlos todos, guardándolos en la memoria USB desde la que se está ejecutando bajo un identificador único calculado según los datos del ordenador de la víctima.ejecución usb thief
Como podemos ver, USB Thief está especialmente enfocado a ordenadores que no están conectados a Internet, ya que se requiere acceso físico al equipo o servidor. Además, al ser totalmente portable, no deja ni una sola evidencia de que ha estado ahí, es totalmente invisible.
Mientras que este troyano se centra principalmente en el robo de datos personales, los expertos de seguridad aseguran que sería muy sencillo implementar otras finalidades, por ejemplo, habilitar una puerta trasera o la instalación de un segundo troyano mucho más agresivo y peligroso que el primero.
Fuente: We Live Security
Publicado por en
Etiquetas:

MICROSOFT. Añade una nueva función a Office 2016 para acabar con las macro maliciosas

Microsoft ha anunciado una nueva característica de Office 2016, concretamente para Word, Excel y PowerPoint, con la que en teoría, se por fin a este tipo de infecciones. 
Esta nueva característica, enfocada principalmente a administradores de redes corporativas, permite bloquear la ejecución de todo tipo de macro que provenga de una fuente no fiable (Internet) para evitar que esta pueda recuperar contenido.
El bloqueo de las macro debe activarse desde las directivas de grupo
  • Para activar esta nueva función, debemos ser administradores de una red corporativa y, desde las directivas de grupo, debemos buscar la ruta “Plantillas administrativas / Microsoft Word 2016 / Opciones de Word / Seguridad / Centro de confianza” para, allí, activar la opción de bloqueo de macros que descargan ficheros desde Internet.
  • Una vez activada dicha directiva, todas las macros que se intenten conectar a Internet se bloquearán automáticamente, evitando así que estas puedan comprometer la seguridad de nuestro equipo. Las macros que descarguen archivos desde dentro de la red corporativa funcionarán sin problemas, aunque se recomienda siempre verificar que los archivos que se recuperan son de confianza.
  • Por el momento esta función solo llegará a entornos corporativos, sin embargo, es probable que en un futuro cercano esta también llegue a todos los usuarios de una forma más sencilla, acabando así, de una vez por todas, con el malware macro.
Fuente: Redeszone.net
Publicado por en
Etiquetas:

SURPRISE. El ransomware que se instala a través de TeamViewer

Surprise, nombre que ha recibido este ransomware por la extensión que añade a todos los archivos infectados, es un nuevo ransomware detectado por primera vez el día 10 de marzo por unas pocas firmas antivirus, desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto que se publicó con fines educativos pero que, como tantas veces ocurre, está siendo utilizado para estafarl.
Modus operandi de Surprise
  • Las víctimas de este ransomware, de repente se enuentran con que todos sus ficheros habían sido codificados añadiendo la extensión “.surprise” en todas las fotos, documentos y archivos personales del sistema. 
  • Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint.
  • Este ransomware utiliza un algoritmo AES-256 para cifrar los archivos con una clave maestra RSA-2048, la cual se almacena en un servidor remoto de control. 
  • Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.
  • Para recuperar los archivos, el pirata informático pide un pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.
Se desconoce cómo el hacker se infiltro en los servidores de TeamViewer 
  • El ransomware sigue un patrón, y es que todas ellas tenían instalada la herramienta de control remoto TeamViewer en sus sistemas. Analizando los registros de esta herramienta, todas las víctimas han podido ver cómo un usuario no autorizado se había conectado a sus equipos, había descargado un fichero llamado “surprise.exe” (el ransomware) y lo había ejecutado manualmente, dando lugar así a la infección.
  • Por el momento no se sabe cómo ha conseguido el pirata informático conectarse de forma remota a los equipos de las víctimas, aunque hay dos posibles opciones:
  1. La primera de ellas, aunque un poco complicada, es que el pirata tenga en su poder una vulnerabilidad zero-day que le permita conectarse de forma remota a cualquier servidor TeamViewer. Los responsables de seguridad de TeamViewer han auditado su herramienta tras las primeras infecciones y aseguran que esto no es posible, lo que nos lleva a la segunda opción.
  2. La segunda de ellas, y probablemente más probable, es que utiliza una herramienta de escaneo de red para detectar cualquier servidor TeamViewer conectado y, posteriormente, consigue acceder a los sistemas de sus víctimas mediante ataques de fuerza bruta.

  • Tanto las empresas de seguridad como Bleeping Computer y los responsables de seguridad de TeamViewer están estudiando el caso para poder arrojar luz sobre cómo ha sido posible que un pirata informático haya podido distribuir este nuevo ransomware a través de esta herramienta de control remoto.
  • Tal como recomienda directamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer con una contraseña compleja, activar la doble autenticación, mantener el servidor actualizado a la última versión (y descargado siempre de la web oficial) y, por último, asegurarnos de que el ataque informático no viene por ninguna otra rama (por ejemplo, otro malware instalado en el sistema).
  • Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.
  • También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos.
Fuente: Redeszone.net
Publicado por en
Etiquetas:

ALIANZA. Google, Microsoft y Yahoo! Unidos por un nuevo protocolo para correo electrónico

Desde 1982 SMTP ha sido uno de los protocolos más utilizados por los usuarios de Internet pero las grandes empresas del sector creen que es el momento de “jubilar” este y crear un nuevo protocolo que garantice la seguridad de los datos de los usuarios.
El proyecto en cuestión a unido a grandes empresas del sector, como lo son Microsoft, Yahoo! o Google, contando además con la colaboración de Comcast o la propia LinkedIn. Por este motivo, las empresas mencionadas con anterioridad se centran en desarrollar el conocido como SMTP STS (del inglés Strict Transport Protocol). 
El nuevo protocolo ofrecerá una mayor seguridad en las comunicaciones
  • Es bastante habitual que hablemos de degradaciones en el protocolo SSL/TLS, permitiendo la realización de ataques MitM con el consiguiente robo de datos. Los expertos y responsables de estas compañías buscan un extra de confidencialidad a los contenidos de los mensajes y mejorar las comunicaciones entre los extremos, evitando que bajo ningún concepto se pueda suplantar la identidad del servidor y que el usuario se comunique con un extremo no legítimo.
  • Esto supone que los servidores utilizados en la actualidad se puedan validar de forma mutua y tomar decisiones de seguridad adecuadas para cada situación, como por ejemplo, qué cifrado es el soportado y qué acción tomar en el caso de que exista un problema de seguridad.
La especificación estará disponible muy pronto
  • Contar con el apoyo de empresas tan conocidas como Google, Microsoft o Yahoo! ayudará a crear un estándar y que este se encuentre disponible en un plazo corto de tiempo. Sin ir más lejos, los responsables de alguna de las empresas que participan creen que antes de finales de verano estará disponible, permitiendo realizar las implementaciones en los servicios a partir de ese mismo momento.
Fuente: Softpedia
Publicado por en
Etiquetas: ,

LINUX. Lynis 2.2.0 llega con importantes mejoras, novedades y nuevos tests

Recientemente, los responsables de Lynis han liberado una nueva versión, la 2.2.0, con la que pretenden seguir adelante con el desarrollo, mejorando la herramienta y permitiendo a los usuarios realizar auditorías de seguridad de sus sistemas Linux mucho más rápidas y precisas que antes.
Lynis es una de las herramientas para Linux más completas con las que poder realizar auditorías completas de prácticamente con cualquier distribución Linux, como Ubuntu, Arch, Debian, Fedora y OpenSUSE.
Principales novedades de Lynis 2.2.0

  1. La primera mejora sería la optimización de prácticamente todas las funciones. Gracias a ella, todos los tests pueden funcionar de una forma mucho más rápida y estable, devolviendo al usuario resultados mucho más fiables que antes, así como detectar muchas más vulnerabilidades potenciales en el software. También se han solucionado la mayoría de razones por las que la herramiente devolvía mensajes “unexcepted” en lugar del binario o host responsable de una vulnerabilidad.
  2. Esta nueva versión de la herramienta también incluye varias nuevas funciones para la detección de vulnerabilidades específicas. Algunas de las funciones ya existentes se han cambiado de nombre para dar un enfoque más específico de estas. También se han eliminado tests obsoletos para reducir la carga de los análisis.
  3. También se han mejorado los tests de firewall y configuración de red, especialmente para prepararlos para el nuevo protocolo IPv6.
  4. Por último, en esta nueva versión se han empezado a incluir varios ajustes para realizar pruebas más en profundidad, algo ideal para empresas que tienen la necesidad de cumplir con niveles de seguridad más estrictos.
El futuro de Lynis
  • Tal como aseguran los responsables de la herramienta, el futuro de esta herramienta, además de seguir mejorando los tests y la fiabilidad de los mismos, pasa por una mejora global de la documentación. Mientras que ahora toda la información de la herramienta se distribuye en un gran documento de texto, en un futuro cercano se podrá consultar toda ella desde una web con un índice y toda la información separada por categorías.
  • Con esta actualización, esta herramienta sigue siendo una de las mejores y más completas plataformas de análisis de vulnerabilidades, gracias a la cual, vamos a poder tener la certeza de que nuestro equipo o servidor Linux no está expuesto a ataques, tanto a nivel de configuración como a nivel de binarios potencialmente vulnerables.
Más información
Fuente : Help Net Security
Publicado por en
Etiquetas: ,

SAMAS. El nuevo ransomware que más preocupa a Microsoft

Desde el FBI y Microsoft están alertando de la presencia de un nuevo ransomware en la red, conocido con el nombre de Samas.
Conocido también con el nombre de Kadi, este malware se activó hace tres meses en Europa y Asia, aunque ha sido en Estados Unidos donde más repercusión ha tenido. Tampoco está muy claro cuáles son los objetivos reales de esta amenaza, ya que desde Redmond informan de que tanto usuarios domésticos como administradores de servidores deben extremar las precauciones y en el caso del FBI sostiene que son los servidores con vulnerabilidad lo principales objetivos de esta amenaza.
Algunos investigadores apuntan a que el ransomnware aprovecha fallos de seguridad en instalaciones JBOSS y aplicaciones Java para llegar al sistema de ficheros de los servidores de forma que podía considerarse más o menos sigilosa.
Una vez ha conseguido asentarse en el sistema, la amenaza hace uso de la herramienta reGeorg para crear un mapa de red y así ver qué opciones de expansión posee.
Samas, al igual que otras amenazas, cifra los archivos
  • Aunque pueda parecer distinto del resto, la realidad es que no es así y sigue el mismo procedimiento que otros ransomware. Una vez ha realizado todo lo citado con anterioridad procede a la búsqueda de los archivos y el cifrado ayudándose de RSA de 2048 bits. Tal y como es de imaginar, una vez realizado este proceso la amenaza solicita el pago de una cantidad para recuperar el acceso a los datos, concretamente 1 Bitcoin que equivale aproximadamente a 400 dólares.
Un blog de WordPress para gestionar los pagos
  • Lo que sí dista y mucho de otras amenazas es la forma de gestionar e informar sobre el proceso para realizar los pagos, ya que la amenaza cuenta con un blog que utiliza este gestor de contenidos en el que se puede encontrar información sobre cómo realizar el proceso de pago y el de descifrado una vez realizado este.
  • Tal y como era de esperar, pronto la web dejó de estar operativa, por lo que los ciberdelincuentes han tomado la decisión de alojar una página en la conocida como Dark Web para gestionar todo lo mencionado con anterioridad.
vssadmin.exe o cómo perder las copias de seguridad
  • Hace poco hemos mencionado que pronto este tipo de amenazas afectarían a los copias de seguridad, lo que no esperábamos es que todo esto sucediese tan pronto. La amenaza crea un proceso que es el encargado de buscar las carpetas ocultas y aquellas que posean copias de seguridad para llevar a cabo su borrado. Por lo tanto, conviene tener mucho cuidado y comenzar a cambiar los hábitos en lo referido a copias de seguridad, evitando almacenarlas en el mismo equipo.
Fuente: Softpedia
Publicado por en
Etiquetas:
Suscribirse a: Entradas (Atom)