Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

jueves, 28 de abril de 2016

Alemania reconoce que su planta nuclear más potente ha sido hackeada.



 piscina-nuclear-gundremmingen-700420.jpg
Azul nuclear: la piscina de la planta de Gundremmingen, cuyo sistema de control fue hackeado. REUTERS
La eléctrica RWE ha reconocido hoy que la planta nuclear de Gundremmingen, que con 1,3 gigavatios de potencia es la más potente de todo el sistema energético alemán, ha sido hackeada. La propia empresa ha sido la encargada de confirmar que en sus sistemas, supuestamente impenetrables, se han detectado varios virus informáticos y diferentes sistemas instalados sin conocimiento de la empresa que abrían la puerta a ataques informáticos.
Una exhaustiva revisión de seguridad de esta instalación, situada a 120 km al noroeste de la poblada ciudad de Múnich y en servicio desde hace 40 años, ha localizado los virus "W32.Ramnit" y "Conficker" en un ordenador utilizado para visualizar datos relativos al movimiento de las barras de combustible, una de las maniobras más peligrosas en la operación de cualquier central nuclear.
También se encontraron diferentes ejemplares de malware en 18 unidades externas, la mayor parte de ellas memorias USB, aunque en este caso en equipos teóricamente aislados de la actividad operativa.
W32.Ramnit es un programa diseñado para robar ficheros de ordenadores que ejecuten los sistemas operativos de Microsoft, como señala Symantec. Fue descubierto en 2010 y una de sus vías de contagio son las unidades USB, aunque también puede entrar a través de internet. Una vez en el sistema, el programa permite al atacante controlar de forma remota el PC.
Por su parte, Conficker fue descubierto en 2008 y se distribuye mediante redes pero también copíandose a sí mismo en unidades de disco extraíbles, no sólo USB.

Peligro atómico

La revelación, que ha desatado una investigación por parte de la oficina federal de seguridad informática (BSI) y de la que está al corriente el consejo de seguridad nuclear, se produce justo cuando Alemania presiona a otros países vecinos para que incrementen la seguridad en sus reactores y cierren los más antiguos.
No se trata del primer ataque informático a una infraestructura crítica, y de hecho Irán tuvo que retrasar su programa nuclear varios años después de una infección que se atribuye al servicio secreto de Israel.
La pasada semana la compañía española S2 Grupo, especializada en ciberseguridad, revelaba que el 47% de las vulnerabilidades en Infraestructuras Críticas pueden ser utilizadas por hackers con un bajo conocimiento especializado.
En su IV Informe sobre la protección de infraestructuras críticas la firma revelaba además que sólo un 20% de los posibles ataques a infraestructuras críticas requiere un nivel de conocimiento especializado alto.
__________________________________________________________________________
Se Respetan Derechos de Autor.

Un investigador de seguridad descubre un backdoor en uno de los servidores de Facebook



Una de las preguntas que más se hacen después de la llegada de Facebook es cómo se puede hacker Facebook. El sueño de cualquier investigador de seguridad es encontrar una vulnerabilidad en Facebook y reportarla a la compañía para entrar en su programa de recompensas. Sin embargo, el sueño de cualquier ciberdelincuente es aprovechar esta vulnerabilidad para propósitos ilegales, algo que podría hacer que ganase más dinero que el programa de recompensas de Facebook.

Recientemente, un investigador de seguridad llamado Orange Tsai de la compañía de seguridad taiwanesa DEVCORE, estaba estudiando a fondo diferentes servidores de Facebook con el objetivo de encontrar vulnerabilidades de seguridad o fallos para ganar dinero gracias al programa de recompensas de la compañía. Accidentalmente se topó con un backdoor en uno de los servidores corporativos de Facebook.

Así descubrió el backdoor en un servidor corporativo de Facebook
Este investigador estaba escaneando todo el espacio de direcciones de Facebook, hasta que dio con un dominio que estaba utilizando una versión vulnerable de una aplicación, esta aplicación se encarga de la transferencia segura de archivos y es usada por los empleados de Facebook para compartir archivos y también para colaborar en nuevos desarrollos.

Tsai analizó esta aplicación vulnerable y descubrió 7 fallos de seguridad (3 fallos de seguridad de tipo Cross-site scripting, 2 fallos de seguridad de ejecución de código remoto y otros 2 fallos de escalada local de privilegios de usuario). Entonces este investigador aprovechó dichas vulnerabilidades para acceder al servidor de Facebook y empezar a analizar la información que allí había para posteriormente realizar un documento con toda la información recogida y comunicárselo a la compañía para que solucionaran dicho fallo.
backdoor
Tsai se encontró que había instalado un backdoor que había sido puesto por un ciberdelincuente para obtener información de los credenciales de los trabajadores de Facebook. Tsai reportó estas vulnerabilidades y también que se encontró un backdoor en su interior, Facebook revisó su investigación y le recompensó con 10.000 dólares por su gran trabajo.

Los credenciales de los usuarios no se han visto comprometidos
Un detalle muy importante de este problema que encontró Tsai, es que el backdoor estaba en un servidor corporativo de la compañía, y los credenciales de los millones de usuarios están almacenados en un servidor central, que no está conectado a este servidor que han comprometido.

Os recomendamos visitar el blog de Orange Tsai donde cuenta en detalle cómo fue capaz de hackear Facebook.

_______________________________________________________________
Se Respetan Derechos de Autor.

viernes, 8 de abril de 2016

Complementos de Firefox se exponen a la ejecución de código malicioso.

En la que sería la explotación de vulnerabilidades más confusa conocida, se ven involucrados de manera indirecta al menos 9 de los 10 complementos más populares para Firefox, tales como NoScript, Video DownloadHelper, Greasemonkey, entre otras, todas ellas similares porque trabajan con lenguaje JavaScript.
Expertos en seguridad dieron a conocer durante una conferencia en el Black Hat, celebrado en Singapur, que algunos de los complementos más populares para el navegador de Mozilla, firmados por la compañía, exponen a millones de usuarios ante un comportamiento malicioso que difícilmente podría ser detectado, de acuerdo con el reporte de ArsTechnica.
Los investigadores describen una técnica confusa para explotar vulnerabilidades en complementos como Firebug y FlashGot Mass Down, además de los ya mencionados. Cualquiera con los conocimiento suficientes puede desarrollar un complemento capaz de explotar y reusar vulnerabilidades en otros para ejecutar código malicioso a través de ellos.
En otras palabras, algún complemento que sea desarrollado con fines maliciosos podrá manipular al resto explotando sus vulnerabilidades. Quizá a uno de ellos para abrir páginas web sin permiso, otro para descargar malware y uno más para acceder al sistema de archivos, gracias a que Firefox comparte su espacio JavaScript con los complementos.
Complementos vulnerables, falsos positivos y tipos de ataques. (c) ArsTechnica Complementos vulnerables, falsos positivos y tipos de ataques. (c) ArsTechnica
Obviamente, para que el atacante tenga éxito, el usuario deberá tener instalado el complemento que explota las vulnerabilidades, más uno de los complementos comprometidos. Cabe mencionar que si el usuario no cuenta con alguno de ellos, el complemento malicioso evita cualquier intento de explotación y con ello ser detectado.
Mozilla está consciente de este problema y asegura que las siguientes versiones de Firefox lo resolverán aislando el espacio JavaScript del usado por las extensiones, esto con la introducción del funcionamiento multiproceso al que ha bautizado como electrolysis, el cual conjugará con la tecnología WebExtensions.
Por su parte, los investigadores aseguran que apoyarán a Mozilla y su equipo de investigación para redoblar su esfuerzo contra la explotación de vulnerabilidades en los complementos. Mientras tanto, los usuarios del navegador tendrán que decidir si conservarlos o no, viendo cuan vulnerables pueden estar ante un escenario tan particular como este.

________________________________________________________________________
Se Respetan Derechos de Autor.

Nuevo 0-day en Adobe Flash Player.

Adobe ha confirmado la existencia de una vulnerabilidad en Flash Player que está explotándose en la actualidad y que podría permitir a un atacante tomar el control de los sistemas afectados.
La vulnerabilidad, considerada crítica, afecta a las versiones de Adobe Flash Player 21.0.0.197 y anteriores para Windows, Macintosh, Linux y Chrome OS. En el aviso publicado, Adobe confirma que existen informes de que se está explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash Player versión 20.0.0.306 y anteriores.
La compañía asegura la publicación de una actualización esta misma semana (seguramente el 7 de abril). Por otra parte, también indica que en Flash Player 21.0.0.182 se introdujo una contramedida que en la actualidad impide que se aproveche la vulnerabilidad. Por ello, se recomienda a los usuarios la instalación de Flash Player 21.0.0.182 (o posterior).
 
_________________________________________________________________
Se Respetan Derechos de Autor.

miércoles, 6 de abril de 2016

Surprise, el ransomware que se instala a través de TeamViewer.




 Secuestro de ransomware
El ransomware es el tipo de malware más peligroso de los últimos años. Cuando un usuario se infecta por él, todos sus archivos personales se cifran con un algoritmo prácticamente imposible de romper y, posteriormente, se le pide el pago de un “rescate” para poder recuperar los archivos o, de lo contrario, estos se perderán para siempre. Las formas más comunes de distribuir ransomware es a través de campañas publicitarias maliciosas, kits de exploits o correo electrónico, aunque la forma de distribución de nuevo ransomware, conocido como Surprise, ha pillado por sorpresa tanto a usuarios como a investigadores de seguridad.

Surprise, nombre que ha recibido este ransomware por la extensión que añade a todos los archivos infectados, es un nuevo ransomware detectado por primera vez el día 10 de marzo por unas pocas firmas antivirus, desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto que se publicó con fines educativos pero que, como ocurre siempre, está siendo utilizado para hacer el mal.

Este ransomware ha llegado, como su nombre indica, por sorpresa a todos los usuarios. Las víctimas del mismo se han encontrado con que, de repente, de un día para otro todos sus ficheros habían sido codificados añadiendo la extensión “.surprise” en todas las fotos, documentos y archivos personales del sistema. Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint.

Este ransomware utiliza un algoritmo AES-256 para cifrar los archivos con una clave maestra RSA-2048, la cual se almacena en un servidor remoto de control. Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.

Para recuperar los archivos, el pirata informático pide un pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.
No se sabe cómo el pirata informático logró conectarse a los servidores TeamViewer para distribuir Surprise

El ransomware en sí no es ninguna sorpresa, ya que a grandes rasgos es como cualquier otro. Lo realmente curioso de él es la forma de infectar a los usuarios. Aunque al principio no había nada claro, según aumentó el número de víctimas se pudo observar un patrón, y es que todas ellas tenían instalada la herramienta de control remoto TeamViewer en sus sistemas. Analizando los registros de esta herramienta, todas las víctimas han podido ver cómo un usuario no autorizado se había conectado a sus equipos, había descargado un fichero llamado “surprise.exe” (el ransomware) y lo había ejecutado manualmente, dando lugar así a la infección.

Infección del ransomware Surprise a través de TeamViewer

Por el momento no se sabe cómo ha conseguido el pirata informático conectarse de forma remota a los equipos de las víctimas, aunque hay dos posibles opciones:

La primera de ellas, aunque un poco complicada, es que el pirata tenga en su poder una vulnerabilidad zero-day que le permita conectarse de forma remota a cualquier servidor TeamViewer. Los responsables de seguridad de TeamViewer han auditado su herramienta tras las primeras infecciones y aseguran que esto no es posible, lo que nos lleva a la segunda opción.

La segunda de ellas, y probablemente más probable, es que utiliza una herramienta de escaneo de red para detectar cualquier servidor TeamViewer conectado y, posteriormente, consigue acceder a los sistemas de sus víctimas mediante ataques de fuerza bruta.

Tanto las empresas de seguridad como Bleeping Computer y los responsables de seguridad de TeamViewer están estudiando el caso para poder arrojar luz sobre cómo ha sido posible que un pirata informático haya podido distribuir este nuevo ransomware a través de esta herramienta de control remoto.

Tal como recomienda directamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer con una contraseña compleja, activar la doble autenticación, mantener el servidor actualizado a la última versión (y descargado siempre de la web oficial) y, por último, asegurarnos de que el ataque informático no viene por ninguna otra rama (por ejemplo, otro malware instalado en el sistema).

Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.

También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos, especialmente cuando los últimos pings contra el servidor C&C no han devuelto respuesta.

___________________________________________________________________________
Tomado de: http://www.redeszone.net/2016/03/22/surprise-el-ransomware-que-se-instala-a-traves-de-teamviewer/ 
Se Respetan Derechos de Autor.