Category Noticias

WhatsApp tiene más de 1.500 millones de usuarios a nivel global.

El WhatsApp instalado en celulares Android tiene un error grave: una puerta abierta a que cualquier hacker se haga con el control del teléfono.

Así lo alertó esta semana el Instituto Nacional de Ciberseguridad (INCIBE) español en un comunicado, en el que menciona que la vulnerabilidad se esconde en imágenes con extensión GIF «manipuladas de forma maliciosa» que llegan o son utilizadas en la aplicación.

Estos gif o imágenes en movimiento instalan un código malicioso con el que el atacante podría conseguir tener acceso a información personal de la víctima.

El hacker, avisa el organismo, podría incluso ejecutar funcionalidades como grabar video o audio, leer nuestros mensajes o robar archivos de nuestro celular.

El fallo fue descubierto por un analista de seguridad conocido como Awakened que demostró en su blog cómo funcionaba el error.

«El fallo de seguridad funciona bien para Android 8.1 y 9.0, pero no funciona para Android 8.0 o sus versiones inferiores», dijo.

Cómo solucionarlo

Se recomienda actualizar la aplicación a versiones posteriores a la 2.19.244.

Para ello, accede a través de Play Store o la página oficial de WhatsApp, para descargar la última versión disponible.

1.- Desde la app de Play Store, busca la aplicación ya instalada y a continuación, pulsa sobre el botón «Actualizar».

Esta es la opción más sencilla.

Así se actualiza la app desde la tienda de Google.

2.- Desde la web, debes acceder a la opción «Descargar» que encontrarás en el menú principal de la página web.

Una vez allí selecciona tu dispositivo, en este caso Android.

A continuación, pulsa en el botón «Descargar Ahora» y ejecuta el archivo .apk, para iniciar la instalación.

Whatsapp también se puede actualizar desde la web.

Facebook, propietario de WhatsApp desde 2016, contestó en una nota que «no tenemos razones para creer que usuarios fueron afectados por este fallo. Siempre estamos trabajando en mejores formas para ofrecer actualizaciones de seguridad».

La red social ha lanzado un parche de seguridad que soluciona el error.

A pesar de que los mensajes en WhatsApp están cifrados de extremo a extremo, lo que significa que solo deben aparecer en el dispositivo del remitente o del destinatario, la app sigue siendo vulnerable.

Por eso es buena idea mantenerse al día con todas las actualizaciones de la aplicación, ya que a menudo incluyen ajustes de seguridad, recomiendan los expertos.

Fuente: www.bbc.com

El ingeniero de Facebook Roman Gushchin, parte del equipo de la compañía que trabaja en el kernel Linux, ha encontrado un fallo grave en la forma en que gestiona la memoria el controlar actual, debido a la cual el consumo es muy superior al que potencialmente podría ser. Y ha propuesto un nuevo controlador que resolvería el problema, permitiendo ahorra cantidades importantes de RAM.

La información la publican en The New Stack a partir de la propuesta de Gushchin en las listas de correo de Linux hace unas semanas y como es evidente, es de carácter netamente técnico, pero se refiere básicamente al uso que haría el kernel de slab, una denominación que se le da a la memoria ligada al incremento de la caché para evitar la pérdida de rendimiento.

La asignación de slab en el kernel Linux es parte de un sistema de administración de memoria que se reparte entre diferentes objetos dentro de cgroup (Control Group), una característica que organiza los procesos de manera jerárquica y que según Gushchin no funcionaría del modo para el que fue diseñada, por lo que su eficacia no sería tal.

Como digo, la información es compleja y me es imposible ofreceros una explicación más detallada y comprensible que no se reduzca a traducir la documentación del kernel, cuya lectura os recomiendo a quienes estéis interesados en saber más. Aquí podéis leer sobre ello de manera simplificada. Lo importante del asunto es que el nuevo controlador desarrollado por Gushchin promete mejoras destacadas de ser aceptada su inclusión en Linux.

De acuerdo a los resultados de las pruebas que ha realizado, el ahorro de memoria alcanza el 42% en interfaces web, el 36% en servidores DNS y el 35% en bases de datos, hablando siempre por el uso de la memoria RAM ligada a la asignación de slab. Habrá que ver en qué queda este tema, pero las previsiones apuntan a su integración en el kernel a partir de 2020.

Fuente: www.muylinux.com

PayPal era uno de los fundadores de la Asociación Libra, destinada a controlar la criptomoneda Libra.

Facebook acaba de perder uno de sus aliados más poderosos en el proyecto de Libra, la criptomoneda que la red social quiere poner en marcha a nivel global.

Pese a ser uno de los fundadores de la Asociación Libra, destinada a controlar la criptomoneda desde Ginebra, en Suiza, Paypal decidió que no formará parte del proyecto.

El conglomerado del que sale está formado por 27 poderosas multinacionales como Visa, Mastercard, eBay, Spotify, Uber o Vodafone.

Con esta criptomoneda, que pretende ser como el bitcoinpero sin su volatilidad, se podrán hacer pagos a través de su propia app, del servicio de mensajería WhatsApp y entre las empresas fundadoras.

Pagar con ella será «tan fácil como enviar mensajes de texto», dijeron los responsables del proyecto.

Y es que Libra está especialmente dirigida a los 1.700 millones de personas que no tienen una cuenta bancaria, por lo costoso que es para ellas transferir dinero a sus familiares.

Facebook afirma que se trata de una coalición global, no el nuevo plan de Mark Zuckerberg para gobernar el mundo.

La retirada de la multinacional estadounidense de pagos por internet coincide con un reporte del diario financiero The Wall Street Journal que apunta a que los gigantes financieros Visa y Mastercard, así como otras firmas, estaban «reconsiderando» su implicación en Libra.

La razón principal es el fuerte rechazo que ha generado entre reguladores de todo el mundo.

Desde entonces han sido legisladores y organismos reguladores de todo el planeta, especialmente en Europa y EE.UU., quienes han expresado dudas o directamente rechazo a esta iniciativa como es el caso de Francia y Alemania.

Serias amenazas

Los reguladores y los bancos centrales han señalado las posibles amenazas en torno a la privacidad de los datos y la estabilidad financiera e incluso la política monetaria, dado el tamaño y el alcance de la empresa.

Las trabas a nivel mundial han hecho que la recompensa para las empresas que participan en el proyecto ya no valga tanto la pena.

Las 27 compañías tendrán acceso a los datos que fluyen a través del sistema de Facebook.

Eso debería darles información valiosa sobre en qué se está gastando y dónde.

Según la red social, a partir del próximo año los usuarios podrán comprar la moneda a través de sus plataformas y almacenarlo en una billetera digital llamada Calibra.

El Congreso de EE.UU. se ha mostrado preocupado por el poder que ya acumula Facebook en forma de datos de sus 2.380 millones de usuarios en todo el mundo.

¿Qué significa para el proyecto esta retirada?

En respuesta a la retirada de PayPal, la Asociación Libra dijo que era consciente de que los intentos de «reconfigurar el sistema financiero» serían difíciles.

«El compromiso con esa misión es más importante para nosotros que cualquier otra cosa», dijo en un comunicado.

«Es mejor saber ahora sobre esta falta de compromiso».

Según un informe publicado por el Financial Times, PayPal cree que Facebook no había hecho lo suficiente para aliviar las preocupaciones de los reguladores sobre la seguridad de Libra y los controles para evitar el lavado de dinero a través de la criptomoneda.

El movimiento es un gran golpe para Facebook y algunos analistas ya apuntan a que el proyecto sufrirá retrasos.

A partir de 2020 los usuarios podrán almacenar la moneda en una billetera digital llamada Calibra.

«Facebook tiene la capacidad de rivalizar con todo el sistema bancario global desde el primer día, pero, debido a ese hecho, está lejos de estar claro cuándo será ese primer día», dijo Mark Lamb, director ejecutivo de CoinFLEX en Hong Kong.

«La reacción política ha sido brutal, y nadie sabe si Facebook lo superará», añadió.

La Asociación Libra celebrará la primera reunión de su órgano rector, el Consejo Libra, el 14 de octubre.

El grupo dijo en un tuit que planeaba compartir actualizaciones poco después sobre las «1.500 entidades que han mostrado un entusiasta interés por participar».

Fuente: www.bbc.com

La plataforma de billetera móvil BIMO empezó a funcionar el jueves 3 de octubre del 2019. Se trata de una herramienta con la que se puede utilizar servicios bancarios desde el celular. En el 2017, la banca privada se comprometió con el Gobierno a implementar esta aplicación para reemplazar al dinero electrónico que desde el 2014 había puesto en marcha el Banco Central. La meta de la billetera móvil es reducir el uso de efectivo en el país y contribuir a incrementar los niveles de bancarización. Si le interesa usar esta herramienta, estas son las 10 cosas que debe saber:

Descarga

La billetera móvil, operada por BanRed, está disponible para los sistemas Android y iOS (Iphone) y permitirá a las personas hacer pagos las 24 horas del día a través de su celular.

Cuentas

Cada persona natural puede tener hasta dos cuentas activas BIMO con dos números celulares diferentes. Es decir, por cada número de cédula se podrán registrar dos cuentas de BIMO.

Entidades

En total 29 entidades forman parte de la plataforma. De ellas, 16 son bancos y el resto son cooperativas y redes de cooperativas.

Tarifas

La Junta de Política y Regulación Monetaria determinó que la tarifa para el envío de dinero de una cuenta a otra sea de USD 0,09 más IVA, el valor lo paga quien realiza el envío, no quien lo recibe. En total, pagará USD 0,10. El retiro en cajero automático está establecido en USD 0,45 más IVA, para desincentivar el uso de dinero físico.

Uso

Una vez que se descargue la plataforma, necesitará registrar su número de celular, datos personales, correo electrónico y crear una contraseña de seis dígitos. Tiene la opción de generar una cuenta nueva en la entidad que prefiera o vincular su cuenta bancaria de ahorros o corriente que ya esté funcionando al sistema BIMO. La aplicación solo está disponible para personas naturales, no jurídicas.

Movimientos

Se pueden realizar pagos y cobros desde USD 1 hasta USD 50 por cada transacción y retiros de efectivo desde USD 10 hasta USD 100. Recuerde que el cupo diario máximo por pagos, cobros y retiros es de USD 100. El cupo máximo mensual de movimientos es de USD 300.

Tiempos

Si recibe una solicitud de cobro en su cuenta tiene 24 horas para aprobar o rechazar la solicitud, una vez transcurrido este tiempo, la solicitud de cobro se anula. Si quiere hacer un retiro en cajero, recibirá un código que tiene ocho horas de duración para poder usarlo.

Limitaciones

La herramienta solo puede usarse en teléfonos inteligentes y con acceso a Internet. El registro no se puede hacer 100% en línea, pues se requiere que el usuario valide el registro llamando por teléfono o acercándose a las oficinas del banco o cooperativa.

Ayuda

En caso de fallas o inconvenientes con el sistema, robos de celular y otros percances, las personas se pueden comunicar al 1 800 BIMO24, que es un call center operado por Banred. También puede dirigirse a los canales electrónicos como www.bimo.ec y las redes sociales de la plataforma en Facebook, Instagram y Twitter.

Seguridad

Cree una clave que le resulte fácil de recordar, pero no la apunte en papeles ni la comparta con terceros. Evite utilizar datos como su fecha de cumpleaños o combinaciones sencillas como “1234”. Se recomienda alternar letras, números y caracteres y memorícelos.
Fuente: www.elcomercio.com

En esta oportunidad, analizaremos la dinámica maliciosa presente en una campaña detectada recientemente en Latinoamérica por los laboratorios de ESET (presente a nivel mundial desde hace ya un tiempo), que será utilizada como ejemplo para explicar cómo funcionan las amenazas distribuidas en distintas etapas. En este caso en particular, el objetivo principal de la misma es infectar con un ransomware el sistema de sus víctimas, y además hacer uso del mismo para el minado de criptomonedas. A partir del análisis de la campaña descubrimos algunos aspectos interesantes que compartimos a continuación.

Estructura de la campaña 

Esta campaña está compuesta por dos malware con finalidades muy marcadas: un downloader y un ransomware.

• JS/TrojanDownloader.Nemucod.EGZ: script malicioso programado en javascript, este troyano se encarga de descargar y ejecutar otro malware. Cabe destacar que Nemucod es una familia que al menos desde el 2015 viene siendo utilizada para propagar diferentes tipos de malware.
• Win32/Kryptik.GJFG: también conocido como Troldesh, se trata de un ransomware para sistemas Windows de 32bits, encargado de cifrar los archivos del usuario, pedir un rescate a cambio de ellos y minar criptomonedas simultáneamente.

Dinámica de la campaña

Mediante técnicas de ingeniería social combinadas con el envío de spam, los operadores detrás de esta campaña buscan que la víctima ejecute el código javascript. Una vez ejecutado, el script descargará y lanzará el ransomware, que posteriormente realizará su actividad maliciosa. Por lo tanto, el proceso de infección está conformado por esos dos pasos bien definidos.

Al buscar información sobre estas amenazas encontramos algunos de los sitios web desde los cuales se intenta descargar el ransomware y corroboramos que la estructura de la mayoría de estas URLs es similar a la de los sitios detectados durante el análisis de la muestra maliciosa:

• http://xxxxxmedia.nl/wp-content/themes/startright/css/font-awesome/1c.jpg
• http://xxxkans.dk/blogs/media/1c.jpg
• http://www.xxxtan.at/templates/siteground-j15-55/admin/1c.jpg
• https://f.xxxke99.website/wp-content/cache/1c.jpg
• https://xxxxertech.hu/templates/szibertech012/images/1c.jpg
• http://xxxion.nl/ag2017/1c.jpg
• http://xxxdmin.convshop.com/Application/Runtime/Cache/Home/1c.jpg
• http://www.xxxion.nl/wp-content/themes/dt-the7/css/compatibility/woo-fonts/1c.jpg
• http://xxxxximerden.de/wp-content/themes/dreamy/loop/1c.jpg
• http://www.xxxlas.sk/wp-content/themes/Corsa/fonts/1c.jpg
• https://xxxsa.cl/wp-content/themes/my-religion/cmsmasters-c-c/filters/1c.jpg
• http://xxxxxxeducations.org/wp-content/themes/poseidon/css/genericons/1c.jpg

Un factor común entre todas las URLs es que el objeto apuntado se llama 1c.jpg. Lo interesante de esto es el formato con el cual se almacenó el ransomware, ya que en lugar de ser un .exe, fue guardado como .jpg. Esto, en consistencia con las carpetas donde se lo aloja, es una clara estrategia por parte de los operadores detrás de esta campaña para que este archivo pase desapercibido a los ojos de los administradores de los sitios comprometidos y, a su vez, también puede servir para evadir otros controles de seguridad, ya que los archivos .exe suelen ser sospechosos.

Al analizar el contenido de los sitios puede apreciarse que estos no son maliciosos, sino que son sitios legítimos que fueron comprometidos. También puede observarse que todos ellos fueron desarrollados utilizando algún CMS, siendo WordPress el más utilizado. Tiene sentido que se apunte a comprometer este tipo de sitios ya que los CMS no siempre son actualizados por sus administradores y, al ser estos sometidos a muchos análisis de vulnerabilidades dado su uso masivo, suelen existir muchos exploits disponibles para versiones antiguas de los mismos. A partir de esto puede llegarse a la conclusión de que los cibercriminales detrás de esta amenaza están apuntando a comprometer sitios web legítimos con el fin de alojar allí su ransomware y utilizarlos como una pieza más en la mecánica de sus campañas maliciosas.

Imagen 1: esquema de la dinámica general de la amenaza analizada

Con el fin de comprender en mayor profundidad los detalles y comportamientos de los códigos maliciosos involucrados en esta campaña (Nemucod y Troldesh), a continuación se presentará un análisis particular para cada una de ellas.

Análisis del downloader Nemucod (variante EGZ)

Como se explicó anteriormente, este downloader está escrito en javascript y su objetivo es descargar y ejecutar otro malware, en este caso, el ransomware Troldesh. Por lo tanto, dado que nuestro interés es conocer cómo se realiza dicha actividad maliciosa, será necesario analizar el código de la misma.

Al abrir el archivo .js se observa un código difícil de leer, con strings codificadas en números hexadecimales, strings partidas almacenadas en múltiples variables y funciones que únicamente devuelven un string y tienen código inútil para confundir, en otras cosas.

Imagen 2: Código javascript levemente ofuscado

Si bien el código no se encuentra muy ofuscado, es necesario reacomodarlo un poco para facilitar su comprensión y pasar a formato ASCII todos los strings del mismo, ya que estos revelan información sobre su comportamiento. Por ejemplo, algunas de las strings encontradas que resultan importantes para el análisis son: “Scripting.FileSystemObject”, “SaveToFile”, “Write”, “cmd.exe /c”, “Wscript.Shell”, “run”.

Una vez teniendo el código en un formato más legible encontramos lo siguiente:

Nemucod comienza enviando un request HTML con un GET a la URL donde se encuentra alojado el ransomware con el fin de descargarlo. Como puede observarse en la imagen a continuación, en caso de que esta descarga fallara por algún motivo, el código cuenta con una URL de respaldo desde la cual intentará descargarlo:

Un detalle interesante es que el ransomware que se intenta descargar está alojado en los servidores comprometidos en formato .jpg, es decir, su descarga pasará desapercibida como si fuese un GET a un recurso ordinario.

Luego de que el request es respondido y se recibe el ransomware, el mismo se encuentra alojado en la memoria. Por lo tanto, el siguiente paso que realiza Nemucod es escribirlo en el sistema de la víctima mediante las siguientes instrucciones:

Aquí puede observarse que la primera acción que realiza es verificar si efectivamente el resultado del GET fue exitoso. Luego, el resto de la función se encarga de escribir el contenido recibido en un archivo. Algunas instrucciones particularmente importantes en esta función son:

Estas escriben el contenido recibido en el GET (“ResponseBody”) en un archivo que tendrá el nombre y ruta pasado como parámetro en “y1”. En este punto se cambia el formato de .jpg a .exe para que este pueda ser ejecutado fácilmente.

En este punto, Nemucod logró descargar el ransomware y escribirlo en el sistema de la víctima, por lo cual solo resta un paso: ejecutarlo. Para realizar esto utiliza el siguiente código:

Una parte fundamental de este malware es el componente ActiveXObject, el cual permite ejecutar diferentes aplicaciones en el sistema que está ejecutando el código javascript. En este caso, se lo utiliza para obtener una Shell de WScript, la cual permite ejecutar comandos directamente en el sistema. Como se puede observar en la segunda línea de la Imagen 7, se ejecuta en la Shell un comando que abre cmd.exe y hace que este ejecute el ransomware escrito previamente en la ruta contenida en la variable “y1”.

A partir de este punto el script finaliza y el ransomware comienza a ejecutar.

Es importante destacar que en todos los navegadores modernos ActiveXObject se encuentra deshabilitado por defecto dado su gran potencial malicioso. Esto quiere decir que Nemucod solo será efectivo en navegadores muy desactualizados o con parámetros de seguridad mal configurados.

Por último, hay que tener en cuenta que la muestra analizada solo contenía dos URLs desde las cuales descargaba el ransomware; sin embargo, tal como vimos al principio de este artículo, otros análisis han detectado este  ransomware alojado en al menos diez servidores más. Por lo tanto, es altamente probable que existan otras variantes de este mismo downloader que descarguen el ransomware desde las otras URLs que mencionamos anteriormente.

Análisis del ransomware Troldesh (variante detectada como Win32/Kryptik.GJFG)

Al tratarse de un ransomware, este código malicioso tiene como finalidad cifrar todos o gran parte de los archivos del sistema infectado y luego pedir un rescate a cambio de descifrarlos.

Imagen 3: fondo de pantalla de sistema infectado por el ransomware Win32/Kryptik.GJFG en el que se despliega el mensaje del atacante

Como se puede observar en la imagen, luego de cifrar los archivos en el equipo de la víctima, este ransomware cambia el fondo de pantalla y le indica al usuario que lea las instrucciones que debe seguir para recuperarlos, las cuales se encuentran en los archivos README.txt.

Como se puede apreciar en la imagen que sigue, las instrucciones que debe seguir la víctima están en ruso y en inglés:

Imagen 4: Contenido del archivo README.txt que contiene instrucciones que debe seguir la víctima del ransomware

Este mensaje contiene tres detalles interesantes: el primero es que le indica al usuario que envíe un código, el cual supuestamente es utilizado por el atacante para identificar a la víctima. El segundo es que no se pide directamente un rescate en bitcoins u otra criptomoneda, sino que se pide que el usuario se identifique a sí mismo mediante el código para poder recibir las instrucciones de rescate. El tercero es que, en caso de que la comunicación vía email fallara, se provee un método de respaldo para poder comunicarse con el atacante a través de un sitio web en la red Tor:

Imagen 5: sitio web Tor utilizado como un medio de comunicación de respaldo entre la víctima y el atacante

Es posible que la intención detrás de esta dinámica sea que el atacante tenga tiempo para analizar quien es la víctima y ajustar el monto del rescate en base a esto, cobrando mayores montos a empresas u organizaciones.

Análisis técnico de Troldesh

A continuación, se describen algunos aspectos interesantes sobre el comportamiento o las características de este ransomware.

Análisis del ejecutable 

Al analizar el ejecutable con diversas herramientas puede advertirse que el mismo fue compilado con Microsoft Visual C++ y que utiliza la API isDebuggerPresent para establecer mecanismos de protección anti debugging con el fin de dificultar su análisis. Sin embargo, no cuenta con protección anti-VM. También puede advertirse que está firmado con un certificado digital gratuito, con el objetivo de intentar esquivar controles de seguridad dando la impresión de que es un ejecutable confiable.

Las bibliotecas que importa son:

• KERNEL32.dll
• USER32.dll
• GDI32.dll
• ADVAPI32.dll
• SHLWAPI.dll

En este punto el código malicioso presenta una particularidad, ya que dentro de los recursos del ejecutable está presente una biblioteca llamada madExcept, la cual sirve para capturar excepciones y, cuando estas ocurren, permite al usuario enviar reportes de error con información sobre las mismas al desarrollador. Por lo tanto, es muy probable que esté utilizando esta biblioteca para capturar excepciones producidas por incompatibilidades de dependencias o versiones y, en lugar de que el usuario vea estas excepciones, ocultarlas para pasar desapercibido.

Cómo logra la persistencia

El mecanismo utilizado para lograr la persistencia en el sistema no es particularmente sofisticado y consta de dos pasos:

1. Copiarse a sí mismo a la dirección: “C:\ProgramData\Windows\” con el nombre csrss.exe
2. Agregar una entrada al registro para que su copia se ejecute al iniciar el sistema: “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem” con el valor: “C:\ProgramData\Windows\csrss.exe“

Actividades en el registro

Se lee el contenido de muchas entradas, especialmente las relacionadas a configuración de red del sistema operativo. Por otro lado, algunas de las entradas modificadas más interesantes son las siguientes:

• HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\xi

Donde el malware escribe el código hexadecimal de 20 caracteres que el atacante le pide al usuario para que se identifique.

• HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\xpk

Donde el malware escribe la clave pública RSA con la cual cifró los datos del sistema infectado. Esto es consistente con el mensaje encontrado en el sitio web Tor, tal como se puede observar en la siguiente imagen, donde se advierte al usuario que sus datos fueron cifrados con RSA-3072 y que la única forma de descifrarlos es con la clave privada que solo el atacante posee:

Imagen 6: explicación del atacante sobre el método utilizado para cifrar los archivos

• HKCU\Control Panel\Desktop\Wallpaper

Aquí se escribe la ruta a la imagen que el malware escribe en el sistema y que posteriormente configura como fondo de pantalla: C:\Users\userName\AppData\Roaming\B06A677FB06A677F.bmp

Actividades de red

Minado de criptomonedas

Al analizar el tráfico de red generado por este malware descubrimos un paquete sin cifrar cuyo contenido tenía una estructura consistente con Stratum Mining Protocol, un protocolo para realizar pooled mining de criptomonedas. Este paquete era parte de una comunicación con la ip 172.65.200.16, la cual es reconocida como una ip relacionada a estas actividades y está presente en algunas blacklists.

Conexiones Tor

La mayoría de sus comunicaciones son realizadas a través de la red Tor y las mismas son cifradas utilizando TLSv1.2. Las direcciones IP a las que se conecta son consistentes con consultas DNS realizadas y, al buscar información sobre ellas, pudimos observar que efectivamente se trata de nodos de la red Tor y que algunas están relacionadas a actividades maliciosas.

Siguiendo este análisis, también observamos que se escriben los siguientes archivos:

• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-certs.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs-concensus.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs.new
• C:\Users\userName\AppData\Local\Temp\6893A5D897\state.tmp

Estos son archivos de cache de Tor, utilizados para acelerar operaciones de conexión y otras configuraciones y los mismos revelan que la versión de Tor utilizada por este ransomware es la 0.2.5.10.

Requests HTTP

Se realizan dos request HTTP GET a los siguientes sitios:

• whatsmyip.net
• whatismyipaddress.com

Estos son sitios legítimos que proveen un servicio que permite al usuario conocer su IP pública, por lo que este dato podría resultar de interés para el atacante o para el desarrollo de las funciones maliciosas del ransomware, por ejemplo, para geolocalizar el ataque y así saber qué tan fuerte es la moneda del país de la víctima y cobrar un rescate acorde a ello.

Indicadores de compromiso (IoCs)

Técnicas de MITRE ATT&CK

JS/TrojanDownloader.Nemucod.EGZ

Win32/Kryptik.GJFG

Fuente: www.welivesecurity.com

Desde el arranque del proyecto Sputnik, que nació prácticamente como un experimento de uno de los directivos de Dell, el catálogo de ordenadores de la compañía estadounidense con Linux preinstalado no ha parado de crecer hasta el extremo de que en la actualidad es relativamente amplio, si bien está excesivamente centrado en las soluciones para el sector profesional.

Aunque Dell ofrece bastantes ordenadores con Linux (Ubuntu y RHEL) preinstalado, la verdad es que encontrarlos puede terminar siendo algo complicado debido a que no estaban claramente distinguidos de los modelos que solo se venden con Windows, forzando a utilizar los filtros de la tienda.

Posiblemente con el fin de facilitar la disposición de su línea de productos ofertados con el sistema Open Source preinstalado, la compañía ha decidido que estos estén en una página web de reciente creación a la que se puede acceder mediante la URL dell.com/linux.

Ahora se puede encontrar de una tacada todo el catálogo de Dell con Linux preinstalado, por lo que los usuarios interesados en estos productos ya no tienen por qué lidiar más con filtros de la tienda del conocido fabricante estadounidense.

¿La URL dell.com/linux resulta difícil de recordar? Esta situación puede sonar un poco ridícula, ya que la dirección a poner en el navegador resulta bastante lógica. Sin embargo, también se puede recurrir a alguna de las siguientes URL como alternativa:

• • dell.com/sputnik
  • dell.com/developer
  • dell.com/developers

Si bien este movimiento no es de por sí una revolución, sí es un gesto a tener en cuenta por parte de los usuarios de Linux interesados en comprar unos ordenadores Dell que ya no son un experimento, sino que forman un catálogo consolidado dentro de la compañía.

Fuente: www.muylinux.com

En los mercados ilegales, la información personal es ofertada desde USD 500. Empresas sufren robos de sus bases de datos. Foto referencial: Flickr/Christoph Scholz.

La oferta circula en Internet. ‘Hackers’ y hasta empresas legalmente constituidas ofrecen información de familias enteras. Dicen que los interesados pueden acceder a los nombres de los padres, de los hijos, cédulas, direcciones, correos electrónicos, números telefónicos, remuneración mensual y que solo necesita pagar de USD 500 a USD 1 000 al mes.

Investigaciones ejecutadas al respecto muestran que esas empresas y ‘hackers’ compran las bases de datos en el mercado ilegal, las almacenan y revenden a través de otras compañías, que también están legalmente constituidas.

En el último mes, la Fiscalía investiga dos casos, en los que hay información de millones de ecuatorianos. En el último operativo, realizado la semana pasada, se descubrió que estos archivos se ofertaban a través de suscripciones mensuales.

Quienes contrataban este “servicio” eran empresas, que accedían a información sobre el estado civil de la gente, situación sociodemográfica, árboles genealógicos, números de cédula, profesiones, información laboral, de actividades económicas, salarios que iban entre el 2016 y el 2019.

Para Diego Yépez, gerente de Seguridad y Data Center de CenturyLink, estos datos pueden obtenerse por dos vías.

La primera es legal y consiste en recopilar información que se encuentra almacenada en la base de cualquier institución pública. Por ejemplo, en la Red se puede consultar valores sobre los tributos. Lo único que exige el sitio web es el número de cédula, RUC o nombres de la persona.

Pero la gente también entrega información cuando llena formularios, por ejemplo, para sorteos, cuando publican sus datos en redes sociales o al divulgar sus hojas de vida. Pero las bases también son robadas a través de virus informáticos o la información es comprada ilegalmente. De hecho, los archivos personales descubiertos en el último operativo “evidencian que el origen no es legal”. Esto fue confirmado por un investigador que lleva la causa.

La Agencia de Regulación y Control de las Telecomunicaciones monitorea estos casos.

La semana pasada, la entidad presentó una denuncia en la Fiscalía, para que se investigue a un grupo de “empresas que estarían usando de forma ilegal indicadores personales”.

La transacción web

La compra-venta de las bases de datos se concreta en la denominada Web profunda o Deep Web. A ese espacio solo pueden acceder quienes tienen un cierto grado de especialización en informática. Las transacciones son, por lo general, a través de monedas electrónicas como bitcoins, que por su naturaleza digital son difíciles de rastrear.

Después de concretada la compra, para que la información no pierda vigencia, pues muchos se cambian de casas, adquieren nuevos carros o se divorcian, las firmas pagan por las actualizaciones mensuales.

Quienes están detrás de las actualizaciones son las mismas personas que tienen acceso a las bases de datos de una empresa privada o institución pública de donde se originó la información personal. Este Diario conoció dos casos de empresas que sufrieron el robo de sus bases. Los directivos contaron que las fugas fueron internas. En una compañía, por ejemplo, un empleado se sustrajo la información de la cartera de clientes.

Sin embargo, los directivos no denunciaron. “Eso era más perjudicial. Significa que uno dice: miren nos robaron, porque no pudimos cuidar”, cuenta una ejecutiva. Para evitar este tipo de hechos, el Ministerio de Telecomunicaciones presentó la Ley de Protección de Datos. Las personas que prefieren no pagar mensualmente por los datos, sino tenerlos de forma íntegra y permanente pagan hasta USD 30 000 por todo el paquete ofertado. Pero el robo de información personal no solo es a gran escala.

También hay personas particulares que usan los archivos de otros y los venden. Una persona que repara computadoras en su vivienda, en el norte de Guayaquil, ha logrado recopilar 20 archivos con más de 65 000 contactos. Esta base la oferta en una página de Internet por USD 50.

Dice que es un precio razonable, pero que también tiene paquetes de USD 80 y 100.

Cada carpeta contiene nombres, números de teléfonos, dirección de domicilios y correos electrónicos. “Las he recopilado de las empresas donde reparaba las computadoras. Primero las usaba para ofertar mis servicios. Enviaba correos masivos o a veces llamaba, pero he decidido venderlas”. Las personas que tiene registradas son de las provincias de Guayas, Quito, Cuenca y Santa Elena.

La mayoría son ejecutivos de seguros y funcionarios públicos. Cuando una persona está interesada en la base de datos, él cita en una cafetería o parque. Allí le entrega un ‘pendrive’ de 8GB, pues los archivos ocupan entre 4 y 5 GB. Una de sus carpetas se llama Base de Empresas Ejecutivas. Tiene contactos de personas que trabajan en empresas, en el área de recursos humanos.

En contexto

En septiembre, la firma de seguridad informática vpnMentor reveló una brecha de seguridad que expuso la información de 20 millones de ecuatorianos (incluidos fallecidos). Según su reporte, la brecha ya fue cerrada, pero esta podría haber sido copiada.

Fuente: www.elcomercio.com

Se recomienda a los usuarios de Google Chrome actualizar el navegador a la versión 77.0.3865.90, ya que la compañía reparó cuatro fallos de seguridad importantes; uno de ellos catalogado como crítico

La semana pasada el equipo de Google Chrome anunció en su blog oficial el lanzamiento de una actualización para el navegador Chrome tanto para Windows, Mac como Linux.

Esta última versión de Chrome (77.0.3865.90) cuenta con parches de seguridad para cuatro vulnerabilidades reportadas entre agosto y septiembre de este año, de las cuales una fue catalogada como crítica, mientras que las otras tres son consideradas de alto riesgo.

En el caso de la vulnerabilidad crítica (CVE-2019-13685), la misma fue reportada el 5 de septiembre por Khalil Zhani y permitiría a un atacante tomar el control de un equipo infectado de manera remota.Las otras tres son la CVE-2019-13688, CVE-2019-13687 y CVE-2019-13686. Las dos primeras reportadas por Man Yue Mo, mientras que Brendon Tiszka hizo lo propio con la tercera.

Según explicó la compañía a través de su blog, el acceso a los detalles de cada una de las vulnerabilidades reportadas y reparadas en Chrome se mantendrá reservado hasta que la mayoría de los usuarios hayan actualizado a la última versión del navegador.

La explotación de estas vulnerabilidades permitiría a un atacante ejecutar código de manera arbitraria en el contexto del navegador. Lo único que necesitaría el atacante es lograr que la víctima abra un sitio web especialmente diseñado en el navegador, sin necesidad de que interactúe de manera adicional con el sitio, explica TheHackerNews.

Como parte de su programa de bug bounty, Google le pagó a Man Yue Mo un total de 20.000 dólares por las dos vulnerabilidades reportadas, mientras que el monto que cobrará Khalil Zhani y Brendon Tiszka aún se definió, publicó el medio.

Para más información, visitar el sitio oficial del programa de bug bounty de Google Chrome, donde encontrarán información detallada sobre los montos y recompensas.

Fuente: www.welivesecurity.com

Llega la versión estable de Insync 3, la renovada aplicación de sincronización de archivos gracias a la cual usar Google Drive en Linux es coser y cantar. Pero no solo de la nube de Google vive el linuxero y con este lanzamiento se estrena una anunciada y esperada característica: soporte para Microsoft OneDrive.

Lo primero y más importante es que los usuarios de Insync 1.5, la hasta ahora versión estable del cliente, deben fijarse en un par de detalles antes de actualizar a Insync 3, para lo cual se ha publicado una sencilla guía de migración que conviene repasar para evitar problemas.

El porqué del salto de versión lo explican con que Insync 2 fue la versión en desarrollo y para esta nueva han rehecho el motor de sincronización, llamado Core 3 y escrito en Python 3. Sus ventajas, facilidad para añadir nuevas características más fácilmente, lanzar nueva versiones y cazar errores más rápidamente, además de ofrecer una sincronización más fiable y rápida.

Pero sin duda la gran novedad de Insync 3 es el soporte de OneDrive, incluyendo OneDrive for Business y SharePoint. La razón es que si bien existen alternativas para usar el servicio de Microsoft en Linux, no son especialmente accesibles para el usuario que no quiere liarse con configuraciones intrincadas. Es lo mismo que sucede con Google Drive, y en ambos casos Insync ha sabido proponer una solución que no implica quebraderos de cabeza.

Por lo demás, Insync 3 trae diferentes mejoras de usabilidad y personalización con la sincronización selectiva, las carpetas predeterminadas, así como optimizaciones a nivel visual. Más información en el anuncio oficial.

Por último, os recordamos que Insync es software de pago único por cuenta (29,99 dólares euros), pero si dependéis de los servicios mencionados, vale la pena porque va muy bien y tiene muchas opciones interesantes, según podéis ver en la página de descarga. Otro dato a tener en consideración es que Insync es software privativo, pero lleva mucho tiempo de actividad, está aceptado por Google y utiliza autenticación segura.

Servicios de almacenamiento y sincronización de archivos en la nube con soporte para Linux hay unos cuantos, pero siguen faltando dos de los más populares del mercado: Google Drive y Microsoft OneDrive, cuyos respectivos propietarios ignoran por norma al sistema por el que tanto amor profesan para otras cosas. Es por ello que Insync es tan apreciado por estos lares.

Fuente: www.muylinux.com