Tag seguridad de la información

La empresa proveedora de hosting fue víctima de una brecha de seguridad y comunicó que reseteó todas las contraseñas de acceso a Hostinger como precaución.

Hostinger es una conocida empresa que ofrece servicios de hosting a más de 29 millones de usuarios en más de 178 países. En un comunicado publicado en el día de ayer, la compañía confirmó que fue víctima de un incidente de seguridad y que detectaron un acceso no autorizado a la API de su sistema interno, donde estaban almacenadas contraseñas (hasheadas) de los clientes de Hostinger así como información no financiera de los mismos.

El jueves pasado la empresa recibió una alerta que indicaba que se detectó un acceso indebido en uno de sus servidores, y mediante la utilización de un token de acceso que encontraron en el servidor. De esta manera, el atacante logró el acceso a los sistemas sin necesidad de contar con usuario y contraseña, pudiendo finalmente obtener mayores accesos y llegar a la API del servidor; el cual contiene información detallada de los clientes de Hostinger y sus cuentas.

En esta base de datos a la que llegó el actor malicioso están presentes los nombres de usuarios, direcciones de correo, contraseñas hasheadas, números de teléfono y direcciones IP de aproximadamente 14 millones de usuarios de Hostinger. Si bien todas las contraseñas almacenadas estaban cifradas, por precaución decidieron resetear las contraseñas de acceso al Cliente de Hostinger. La compañía asegura que envió un correo a los usuarios afectados con información adicional acerca del reseteo.

Por otra parte, la compañía asegura que ellos nunca almacenan información financiera de los usuarios (tarjetas de crédito u otro método de pago) en sus servidores, por lo que esa información no fue comprometida.

El origen que permitió el acceso no autorizado ya fue identificado y se tomaron las medidas correspondientes para proteger la información de los usuarios, asegura la empresa en su comunicado. Asimismo, ya está en curso una investigación para obtener más información sobre el origen del incidente y tomar las medidas de seguridad correspondientes.

Por último, además de resetear las contraseñas de todos los clientes de Hostinger, la compañía recomienda que al momento de crear la nueva contraseña se tenga en cuenta las recomendaciones para crear contraseñas fuertes y que además sean únicas. Asimismo, se recomienda prestar especial atención a los correos que se reciban y evitar descargar adjuntos o abrir enlaces si no estamos seguros de la legitimidad de los mensajes.

Fuente: www.welivesecurity.com

En el día de ayer se confirmaron que fueron 22 las entidades afectadas por el ataque de ransomware y que el 25% de las mismas ya están en fase de “reparación y recuperación”

En la mañana del pasado viernes, 23 organizaciones gubernamentales a lo largo del estado de Texas fueron víctimas de un ataque de ransomware. Según publicó el Departamento de Información y Recursos de Texas (DIR, por sus siglas en inglés), en su mayoría se trató de pequeñas entidades.

Según el organismo, están trabajando para reestablecer los sistemas afectados y aseguran que los sistemas del Estado de Texas y sus redes no fueron impactadas por el ataque, el cual estiman que tiene como responsable a un único actor.

En el día de ayer, martes 21 de agosto, la cifra inicial de 23 entidades afectadas pasó a ser de 22, informó el DIR en un comunicado de prensa publicado a través de su cuenta de Twitter. Asimismo, más del 25% de las entidades víctimas del ataque pasaron del estado “respuesta y evaluación” a “reparación y recuperación”, estando algunas de los organismos afectadas operando de manera normal.

De momento no se sabe cuál fue el ransomware que afectó a los sistemas afectados ni se conocen detalles acerca del ataque simultáneo, como es, por ejemplo, cuáles son específicamente las entidades afectadas, el monto que reclaman los operadores por el rescate, cómo se fue el método de infección o si se consideró la opción de pagar, ya que tal como explica el DIR en su comunicado, dado que se está llevando adelante una investigación federal, no es posible aportar información adicional.

Además del DIR, varias agencias nacionales y del estado de Texas trabajan en este caso, como son, por ejemplo, el Departamento de Seguridad Nacional y el Buró Federal de Investigaciones, más conocido como FBI.

Una de las ventajas que tiene Texas es la existencia de un sistema de respuesta a incidentes consolidado, comentó el especialista Allan Liska a Threatpost, lo cual se hace que sea más fácil que ante la aparición de un problema como este puedan tener claro con quien comunicarse, agregó.

Cabe recordar que este no es el primer ataque de ransomware dirigido a entidades gubernamentales locales que se registra entre 2018 y 2019 en los Estados Unidos, ya que en junio de este año dos ciudades de Florida, como Lake City y Riviera Beach fueron impactadas por un ataque de ransomware y tomaron la decisión de pagar a los atacantes. En 2018 varios sistemas en la ciudad de Atlanta fueron víctimas de otro ataque de ransomware, mientras que en mayo de este año fue el turno de la ciudad de Baltimore, cuando un ataque de ransomware que demandaba el pago de 76.000 dólares por el rescate afectó a servicios como la emisión de facturas de agua, entre otros.

Semanas atrás se llevó adelante la Conferencia de Alcaldes de Estados Unidos, un evento en el que se reunieron más de 1.400 alcaldes de ciudades de todo el país, y en el cual los presentes se comprometieron a no ceder ante las extorsiones impuestas por cibercriminales en caso de que sus sistemas se vean comprometidos por un ataque de ransomware.

Los ataques de ransomware que afectaron a varias ciudades en los Estados Unidos confirman la tendencia que especialistas de ESET predijeron para 2019, donde era de esperarse ver un giro por parte de los cibercriminales al llevar adelante ataques de ransomware dirigidos en busca de una mayor rentabilidad, a diferencia de ataques en “mosaico” menos específicos mediante campañas de spam maliciosas y con la esperanza de que cada una de estas piezas del mosaico generen una retribución económica sustancial.

Fuente: www.welivesecurity.com

La autoridad del supuesto emisor del mensaje, su carga emotiva e incluso la propia felicidad del internauta disminuyen su capacidad de alerta ante este tipo de ciberataque, que cada vez resulta más efectivo y popular. Pero para solucionarlo hace falta implantar una doble autenticación .

El phishing es la forma más común de ciberataque y su uso no hace más que crecer. ¿La razón? Es un ataque simple y efectivo. Lograr que alguien haga clic en un enlace malicioso e introduzca información privada, como una contraseña, es la habilidad más importante en el conjunto de las herramientas de muchos hackers. 

Y el motivo por el que es tan eficaz reside en que se aprovecha del propio funcionamiento del cerebro humano.  Así lo afirma una nueva investigación de Google y en la Universidad de Florida (EE. UU.). El estudio señala que este tipo de ciberataque se basa en la incapacidad de la gente para detectar el engaño a causa de factores como la inteligencia emocional, motivación cognitiva, estado de ánimo, hormonas e incluso la personalidad de la víctima.

Durante la conferencia Black Hat sobre ciberseguridad en Las Vegas (EE. UU.) el pasado 7 de agosto, la profesora asociada de la Universidad de Florida Daniela Oliveira,  afirmó: «Todos somos susceptibles al phishing porque engaña la forma en la que nuestro cerebro decide«.

Los problemas comienzan en el plano de la conciencia: el 45 % de los internautas ni siquiera sabe qué es el phishing, según Oliveira y el investigador de Google Elie Bursztein.

El estado de ánimo también juega un papel importante: las personas que se sienten felices y no estresadas tienen menos probabilidades de detectar el engaño. El cortisol, la hormona del estrés, aumenta la vigilancia y hace que sea más probable detectarlo. La serotonina y la dopamina, hormonas asociadas con los sentimientos positivos, pueden conducir a comportamientos arriesgados e impredecibles, lo que hace que las personas sean más vulnerables.

Los phishers también suelen ser muy buenos a la hora de elaborar mensajes para persuadir a una persona para que haga un clic. La autoridad es una de las armas más comunes y efectivas, por ejemplo, un correo electrónico que dice ser del CEO de la compañía y que pide a un empleado que introduzca alguna información haciendo clic en un enlace. Otras herramientas incluyen un aspecto de ganancia / pérdida, por ejemplo, una oportunidad de reembolso de Amazon.

Algunos de los más destacados correos electrónicos de phishing juegan con las emociones. Después de los devastadores y nunca vistos incendios forestales de California (EE. UU.) en 2018, Google detectó una ola instantánea de correos electrónicos pidiendo dinero para ayudar a las víctimas. Las señales emocionales, por ejemplo, las promesas de donar a las personas que se quedaron sin hogar, afectaron la capacidad de los destinatarios de centrarse en el contenido y en las pistas que indicaban que el correo electrónico era un engaño. Con esta carga emocional, los hackers lograron manipular a la gente.

Eso no significa que la única defensa contra el phishing consista en comportarse como una persona permanentemente estresada y cínica. Una estrategia más saludable y más efectivo consiste en habilitar la doble autenticación para cada uno de los inicios de sesión importantes (correo electrónico, banca online, redes sociales, páginas web de compras, etcétera). Aquí hay una lista de todas las páginas con autenticación de dos factores.

Cuando está activado, el sistema pide algo más que una contraseña al iniciar la sesión, como un código enviado al teléfono a través de un mensaje de texto, un código de una aplicación de autenticación o una clave de seguridad física en una memoria USB (el método más seguro de todos, según las recientes investigaciones ). De esa manera, si accidentalmente le ha dado su contraseña a un hacker como víctima de phishing, él seguirá sin poder iniciar la sesión en su cuenta. El año pasado, Google aseguró que menos del 10 % de sus usuarios tenían habilitada la doble autenticación en sus cuentas.

Fuente: www.technologyreview.es

Recomendaciones para personas que viajan con frecuencia acerca de cómo debemos proteger nuestra información personal, cuentas e incluso nuestros dispositivos, en un escenario en el que constantemente utilizamos servicios que pueden ser inseguros

Uno de los nichos de usuarios tecnológicos que se encuentran más expuestos a vulnerabilidades y campañas maliciosas son los viajeros. Mudarse constantemente de un sitio a otro sin un lugar privado para conectarse y realizar las operaciones digitales de forma segura puede ser un verdadero problema para asegurar la integridad y confidencialidad de nuestros datos y cuentas en línea.

Por eso, hemos reunido en este artículo algunos consejos a tener en mente cuando estamos a punto de realizar esas vacaciones soñadas o debemos prescindir de la seguridad de nuestro hogar por algún viaje de trabajo.

1. Restringir el acceso físico al equipo

Dado que no sabemos a ciencia cierta quiénes se encontrarán cerca de nuestros equipos, recuerda siempre configurar un PIN, contraseña o patrón de desbloqueo en todos los dispositivos electrónicos que lleves contigo siempre que sea posible. Recuerda que el patrón puede ser adivinable que una contraseña segura será siempre la mejor opción. Procura en lo posible tener una solución de seguridad instalada que te permita gestionar de manera remota ese equipo, en caso de robo o extravío, para poder localizarlo, activar alarmar, bloquearlo o borrar sus datos.

Si llevas equipos portátiles pequeños o unidades de almacenamiento, puedes utilizar cajas de protección con cerraduras para mantenerlos seguros. Además, recuerda utilizar los lockers que suelen ofrecerse en hostels y hoteles, pero procura asegurarlos con un candado difícil de vulnerar. Esto último también se recomienda para las valijas donde transportarás estos elementos de valor.

Por si acaso, puedes llevar un set de ganzúas para lockpicking en caso de que pierdas las llaves de tus candados, para que así no debas recurrir a romper tus hebillas de pelo como me ha ocurrido en algunas ocasiones. Ten en cuenta que quizás debas despachar estas herramientas en la bodega del avión, pues pueden ser consideradas materiales peligrosos.

Durante el traslado de un alojamiento a otro, intenta mantener todos los equipos electrónicos de valor contigo. Cifra las unidades de almacenamiento como discos externos, pendrives, o incluso los discos duros de tus laptops y equipos móviles para proteger la confidencialidad de esos datos si los pierdes.

Utiliza protectores USB al momento de conectar pendrives de terceros en tu computador o celular, o si has prestado tu unidad de almacenamiento a otras personas y no conoces qué tan seguros sean los equipos a los que la han conectado. De igual modo, ten cuidado con los enchufes USB para cargar tu celular que usualmente puedes encontrar en los aeropuertos, ya que pueden haber sido alterados para ejecutar malware en tu equipo. Utiliza estos protectores USB siempre que sea posible.

Imagen 1. Escudo USB para proteger el equipo de unidades infectadas.

2. Asegura la transferencia de datos

Una de las grandes desventajas de viajar es no poder contar con un medio seguro para acceder a nuestros datos en línea. A menos que contemos con un plan de roaming y presupuesto ilimitado para consumir datos, la mayor parte de los viajeros debe recurrir a redes abiertas en sitios públicos, restaurantes, cafeterías o en sitios de alojamiento que, aunque sean mejores que una red completamente abierta, no dejan de ser inseguras. Debido a que no se conoce quién más está conectado en ella o qué tan bien configurada está, existe un sinnúmero de diferentes ataques que podrían intentarse contra nuestros equipos, como de ARP spoofing o MitM, para interceptar nuestro tráfico.

En este sentido, existen diferentes servicios de VPN, algunas gratuitas y otras pagas, para equipos móviles o laptops, que nos permiten aumentar el nivel de seguridad de los datos al momento de transferirlos en medios no confiables.

Recuerda borrar las redes a las que te conectas una vez que has concluido de usarlas para evitar ataques de falsos hotspot y procura desactivar los protocolos Bluetooth o WiFi si no los estás utilizando. Igualmente, ten cuidado con falsas antenas de datos o con zonas donde solo tengas servicios 2G, ya que este protocolo es inseguro. De ser posible, puedes llevar contigo tu propio módem 4G.

Por otro lado, recuerda actualizar el sistema operativo y las aplicaciones que utilizas para evitar exploits que puedan atacarte en redes públicas. Chequea los certificados de los sitios a los que accedes para evitar ataques homográficos y otros tipos de phishing. Además, ten cuidado cuando compartes tus datos móviles creando una propia red WiFi: usa contraseñas seguras y recuerda desactivar el AP cuando ya no lo uses.

3. Refuerza la autenticación a tus cuentas en línea

Los percances pueden ocurrir y quizás terminen comprometiendo tu nombre de usuario y contraseña. Para que aun así un atacante no pueda entrar a tu cuenta, no olvides habilitar el segundo factor de autenticación (2FA) siempre que dispongas de esa opción. Dado que es posible que pierdas tu celular o laptop, o que alguien lo hurte, procura llevar códigos de autenticación que puedas utilizar sin la necesidad de acceder a tu teléfono.

Chequea usualmente la actividad de tus cuentas bancarias y redes sociales para asegurarte que no existe comportamiento inusual, mantente atento a las alertas de seguridad y cambia tus datos de acceso si sospechas de haber sido comprometido.

4. Controla tu privacidad antes y durante el viaje

Muchas redes WiFi públicas solicitan que, para poder conectarte a Internet, brindes tus datos personales a través de portales cautivos. Usualmente requieren algún correo electrónico, pero algunos incluso pueden solicitar que crees una cuenta con tus datos personales en el sistema. Procura no brindar tus datos reales y tener una cuenta de correo electrónico especialmente para utilizar en estas situaciones. De este modo, no comprometerás tus cuentas reales ni pondrás en peligro tus datos.

Estos servicios también suelen incluir una política de privacidad respecto al uso de los datos que se transferirán mientras estés conectado. Si tienes tiempo, intenta pegar un vistazo a la política y utiliza una VPN siempre que sea posible. Algunos hoteles también permiten declinar el uso de tus datos personales con fines comerciales, por lo que es una buena idea preguntar al encargado de recepción para qué utilizarán estos datos y brindar algún correo electrónico que no esté asociado a tus plataformas más importantes.

Además, entendemos que estés emocionado por tu viaje, pero ten cuidado con la información que publicas en redes sociales ya que puede ser usada con fines maliciosos. Cuando un ciberdelincuente conoce dónde estás a cada momento, puede utilizar esa información para contactar a tu familia y fingir un secuestro, o para ingresar a tu casa mientras está vacía. Publicar las fotos de los boletos de avión con toda tu información y los códigos de barra o QR asociados tampoco es una buena idea.

Ten en cuenta que ciertos comportamientos pueden ser considerados ilegales en el país donde te encuentras y hacerlos públicos a través de las redes sociales puede ser la prueba que necesitan las autoridades para juzgarte. En este sentido, el uso de ciertas aplicaciones puede estar prohibido, como ocurre con las apps de citas para personas del mismo sexo en ciertos países, por lo que podrías ponerte en peligro a ti mismo y a la persona con la que te encuentras.

5. Protege tus compras en línea

Las compras en línea son una realidad inevitable mientras viajas. Boletos de avión, pasajes de bus, reservas de hospedaje o compras de tours son algunos los servicios que usualmente debes adquirir mientras estás inmerso en tu itinerario. Para más seguridad, cuando realices compras en línea procura utilizar tu tarjeta de crédito y no de débito, ya que, en caso de que los datos sean robados, es mucho más sencillo denunciar y revertir la situación si se trata de una tarjeta de crédito. Además, en caso de que roben los datos de tu tarjeta  de débito corres el riesgo de encontrarte en medio de un viaje con tu cuenta bancaria vacía y sin fondos para continuar con tu plan.

Ten cuidado al momento de sacar dinero de cajeros automáticos; chequea que no existen partes sueltas fácilmente extraíbles en las ranuras donde ingresas la tarjeta. Protege tus tarjetas con chip RFID con una funda especial inhibidora de señal, para evitar compras no autorizadas o robo de datos.

Si deseas adquirir un equipo electrónico fuera de tu país, procura buscar un fabricante confiable que no tenga un historial de vulnerabilidades o distribución de equipos con malware.

6. Evita las ciberestafas viajeras

Muchos viajeros apresurados tienden a sucumbir ante tentadoras ofertas de viajes y hospedaje que les llegan vía correo electrónico o redes sociales, pero ¡ten mucho cuidado! Podrías estar siendo presa de una trampa.

Una ciberestafa es un engaño que se realiza digitalmente, a través de Internet, y que busca lograr que el usuario ceda su información a un cibercriminal o realice acciones maliciosas en su nombre; muchas veces sin llegar a advertir que está siendo víctima de técnicas de Ingeniería Social.

Las ciberestafas tienen la característica de mutar con asombrosa velocidad, pudiendo aparecer, comprometer a miles de usuarios y desaparecer en cortos períodos de tiempo. Quizás una de las campañas fraudulentas de mayor dimensión que hemos atestiguado en los últimos años fue aquella que simulaba cupones de descuentos en nombre de múltiples empresas de renombre, extendiéndose a través de múltiples países, llegando a reunir más de 22 millones de víctimas alrededor del mundo. Investigadores del laboratorio de ESET Latinoamérica han generado un reporte donde podrás encontrar más información al respecto.

Imagen 2. Estafa aérea promete falsos pasajes gratuitos de TAM.

Los viajeros suelen ser un público objetivo para este tipo de engaños, pues están acostumbrados a buscar las mejores ofertas. Para evitarlos, recuerda tener una solución de seguridad para detectar cualquier sitio falso o intento de ejecución maliciosa dentro de tu equipo. Intenta siempre ingresar al sitio de una organización escribiendo la URL en la barra de direcciones y no mediante los resultados de buscadores como Google, ya que los primeros resultados no siempre son los genuinos debido a una actividad conocida como black hat SEO.

Chequea que el enlace que estés visitando pertenezca a la organización oficial. Si enviarás información confidencial, verifica si la conexión es cifrada mediante HTTPS –lo que puede usualmente observarse como un candado verde donde se encuentra la URL– y que el certificado sea firmado por una entidad confiable. Además, contacta a la entidad a la que supuestamente pertenece la promoción a través de otros canales de comunicación (presencialmente, telefónicamente o vía perfiles de redes sociales verificados) para corroborar que el mensaje es verdadero.

Recuerda seguir estos consejos para mantenerte seguro y ¡esperamos que tengas un buen viaje!

Fuente: www.welivesecurity.com/

Investigación de ESET devela que los operadores detrás del malware Machete siguen activos y realizando operaciones de ciberespionaje dirigidas a organismos gubernamentales de Ecuador, Colombia, Nicaragua y Venezuela.

América Latina es a menudo pasada por alto cuando se trata de amenazas persistentes y grupos cuyos blancos son seleccionados a partir de motivaciones políticas. Sin embargo, existe una operación de ciberespionaje en curso contra organizaciones de alto perfil que ha logrado mantenerse bajo el radar. El grupo detrás de estos ataques robó gigabytes de documentos confidenciales, principalmente de organismos gubernamentales. Al momento de esta publicación el grupo sigue estando muy activo, introduciendo regularmente cambios en su malware, en su infraestructura y en sus campañas de spearphishing.

ESET ha estado monitoreando una nueva versión de Machete (el conjunto de herramientas del grupo basadas en Python) vista por primera vez en abril de 2018. Si bien la funcionalidad principal del backdoor sigue siendo la misma que en versiones anteriores, se ha ampliado con nuevas características a lo largo del transcurso de un año.

Blancos de ataque

Desde finales de marzo hasta finales de mayo de 2019, los investigadores de ESET observaron que había más de 50 computadoras comprometidas que se comunicaban de manera activa con el servidor de C&C. Esto equivale a gigabytes de datos robados de manera semanal. Más de la mitad de estos equipos pertenecían a organismos gubernamentales. La mayoría de las organizaciones apuntadas por el malware Machete son de países de América Latina, como es el caso de Venezuela (75%), Ecuador (16%), Colombia (7%) y Nicaragua (2%). La distribución de este malware en estos países se puede observar en la Figura 1.

Los operadores detrás de Machete

Los operadores de Machete utilizan técnicas efectivas de spearphishing. Su larga serie de ataques, centrados en países de América Latina, les ha permitido recopilar inteligencia y perfeccionar sus tácticas a lo largo de los años. Conocen bien a sus objetivos, cómo esconderse entre las comunicaciones periódicas y qué documentos son los más valiosos para robar. Machete no solo extrae documentos de ofimática, sino también tipos de archivos especializados que son utilizados por software de sistemas de información geográfica (SIG).

El grupo Machete envía correos electrónicos muy específicos directamente a sus víctimas, y estos cambian de un blanco a otro. Estos correos electrónicos contienen un enlace o un adjunto con un archivo comprimido autoextraíble que ejecuta el malware a la vez que abre un documento que funciona como señuelo.

Para engañar a sus blancos desprevenidos, los operadores de Machete utilizan documentos reales que han robado anteriormente. ESET ha visto casos en los que documentos robados fechados con un día en particular fueron empaquetados con malware y se utilizaron el mismo día como señuelos para comprometer a nuevas víctimas.

El tipo de documentos utilizados como señuelo suelen ser enviados y recibidos legítimamente varias veces al día en las organizaciones seleccionadas como blancos. En este sentido, los atacantes aprovechan para elaborar correos electrónicos de phishing muy convincentes.

Principales características

El grupo Machete es muy activo y ha introducido varios cambios en su malware desde el lanzamiento de una nueva versión en abril de 2018. Versiones anteriores fueron descritas por Kaspersky en 2014 y por Cylance en 2017. En la Figura 3 mostramos los componentes para la nueva versión del malware Machete.

Figura 2. Componentes de Machete

La primera parte del ataque consiste en un downloader que se presenta como un archivo autoextraíble, creado con 7z SFX Builder. Una vez que el archivo es desempaquetado por el código de autoextracción, el extractor abre un archivo PDF o documento de Microsoft Office que funciona como señuelo y luego corre el downloader ejecutable del archivo. Ese ejecutable es otro archivo autoextraíble que contiene el binario del downloader (un componente py2exe) y un archivo de configuración con la URL de descarga, que se encuentra cifrada.

Todas las URL de descarga que hemos visto apuntan a Dropbox o a Google Docs. Todos los archivos descargados han sido autoextraíbles (RAR SFX) que contienen un archivo de configuración (cifrada) y los componentes del backdoor (ejecutables py2exe). Sin embargo, desde mayo de 2019, los operadores de Machete dejaron de utilizar downloaders y comenzaron a incluir el archivo señuelo y los componentes del backdoor en el mismo archivo.

Los binarios py2exe se pueden descompilar para obtener el código en Python. Además, todos los componentes (downloaders y backdoors) han sido ofuscados con pyobfuscate; algo que también se ha utilizado en versiones anteriores del malware. En la Figura 3 se puede apreciar parte de uno de estos scripts ofuscados.

Figura 3. Script ofuscado con pyobfuscate

Desde Agosto de 2018, se añadió una capa adicional de ofuscación a los componentes de Machete. Los scripts ahora contienen un bloque de texto comprimido con zlib, previa codificación en base64, que luego de ser decodificado, resulta en un script como el de la Figura 3. La primera capa de ofuscación es creada utilizando pyminifier con el parámetro -gzip.

Componentes del backdoor

El dropper de Machete es un ejecutable RAR SFX. Tres componentes py2exe son droppeados: GoogleCrash.exe, Chrome.exe y GoogleUpdate.exe. Un único archivo de configuración es droppeado (jer.dll), el cual contiene texto codificado en base64 que corresponde a strings cifradas con AES. Un esquema que resume los componentes se puede observar en la Figura 4.

Figura 4. Componentes de backdoor py2exe de Machete

GoogleCrash.exe es el componente principal del malware. Programa la ejecución de los otros dos componentes y crea tareas en el Programador de Tareas de Windows para lograr persistencia.

El componente Chrome.exe es responsable de recopilar datos de la computadora comprometida y tiene la capacidad de:

• Realizar capturas de pantalla
• Registrar las pulsaciones del teclado
• Acceder al portapapeles
• Cifrar en AES y exfiltrar documentos
• Detectar nuevas unidades insertadas y copiar archivos
• Ejecutar otros binarios descargados del servidor C&C
• Obtener archivos específicos del sistema
• Obtener datos de perfil de usuario de varios navegadores
• Recopilar la geolocalización de las víctimas e información sobre redes Wi-Fi cercanas
• Realizar exfiltración física en unidades extraíbles

Los operadores de Machete están interesados ​​en obtener de los equipos comprometidos determinados tipos de archivos. En este sentido, además de documentos de Microsoft Office, se buscan en las diferentes unidades los siguientes tipos de archivos:

• Archivos de backup
• Archivos de base de datos
• Claves criptográficas (PGP)
• Documentos de OpenOffice
• Imágenes vectoriales
• Archivos para sistemas de información geográfica

Con respecto a la geolocalización de las víctimas, Chrome.exe recopila datos sobre redes Wi-Fi cercanas y las envía a la API del Servicio de ubicación de Mozilla. En resumen, esta aplicación proporciona coordenadas de geolocalización cuando le son proporcionadas otras fuentes de datos, tales como beacons Bluetooth, antenas de telefonía celular o puntos de acceso Wi-Fi. Luego, el malware toma coordenadas de latitud y longitud para construir una URL de Google Maps. Parte del código se puede observar en la Figura 5.

Figura 5: Código para geolocalización

La ventaja de utilizar el Servicio de ubicación de Mozilla es que permite la geolocalización sin un GPS real y puede ser más preciso que otros métodos. En este sentido, si bien se puede utilizar una dirección IP para obtener una ubicación aproximada, la misma no es tan precisa. Por otro lado, si hay datos disponibles para el área, el Servicio de ubicación de Mozilla puede proporcionar información como, por ejemplo, en qué edificio se encuentra el blanco.

El componente GoogleUpdate.exe es responsable de comunicarse con el servidor de C&C remoto. La configuración para establecer la conexión se lee del archivo jer.dll: nombre de dominio, nombre de usuario y contraseña. El principal medio de comunicación para Machete es a través de FTP, aunque la comunicación HTTP se implementó como alternativa en 2019.

Este componente carga archivos cifrados a diferentes subdirectorios en el servidor de C&C, pero también recupera archivos específicos que los operadores de Machete han puesto en el servidor. De esta manera, el malware puede actualizar tanto su configuración, sus archivos binarios maliciosos y sus listados de archivos, pero también puede descargar y ejecutar otros binarios.

Conclusión

El grupo Machete está operando con más fuerza que nunca, incluso después de que los investigadores hayan publicado descripciones técnicas e indicadores de compromiso para este malware. ESET ha estado siguiendo esta amenaza durante meses y ha observado varios cambios, a veces en semanas.

Al momento de esta publicación, el último cambio que se introdujo en el malware son seis componentes del backdoor, que ya no son ejecutables py2exe. En este caso se trata de scripts de Python ofuscados, un ejecutable original de Python 2.7 y todas las librerías utilizadas, que son empaquetadas en un archivo autoextraíble.

Varios artefactos que hemos visto en el código de Machete y la infraestructura subyacente nos llevan a pensar que se trata de un grupo de habla hispana. Asimismo, la presencia de código para exfiltrar datos a unidades extraíbles cuando hay acceso físico a una computadora comprometida podría indicar que los operadores de Machete están presentes en alguno de los países blanco de sus ataques, aunque no podemos estar seguros de esta afirmación.

Por otra parte, añadir que ESET detecta esta amenaza como una variante de Python/Machete.

Fuente: www.welivesecurity.com

Los fallos ya fueron reportados a la compañía a finales de 2018 y uno de los métodos de explotación de ya fue reparado. Aún así, desde Facebook consideran que es falso sugerir que existe una vulnerabilidad

Una vulnerabilidad en la app de mensajería permite manipular mensajes enviados tanto de manera privada como a nivel de grupo. En caso de que un actor malintencionado aproveche estos fallos podría crear información falsa y crear fraudes, publicó BBC.

Durante una presentación que realizaron en la conferencia Black Hat, evento que se está llevando adelante desde el 3 al 8 de agosto en Las Vegas, Estados Unidos, los investigadores, Dikla Barda, Roman Zaikin, y Oded Vanunu, presentaron una herramienta utilizada como prueba de concepto.

La vulnerabilidad puede ser explotada a través de tres diferentes métodos de ataque que involucran el uso de técnicas de ingeniería social para engañar al usuario final, explicaron los investigadores de CheckPoint.

El primer método es el uso de la función “citar” en una conversación de grupo para cambiar la identidad de la persona que lo envía, incluso si no es miembro del grupo. El segundo consiste en modificar el texto de una respuesta, mientras que el tercero método permite engañar a un usuario y hacerle creer que estaba enviando una respuesta de manera privad a una sola persona, cuando en realidad la estaba enviando a todo un grupo.

El fallo que permite el tercer método de explotación ya fue reparado por Facebook, pero según explicó Vanunu a BBC, la compañía propietaria de WhatsApp les explicó que los otros problemas no se han podido resolver debido a limitaciones de infraestructura en WhatsApp. De acuerdo al medio, la tecnología de cifrado que utiliza la app hace que sea extremadamente difícil para la compañía poder monitorear y verificar la autenticidad de los mensajes enviados por los usuarios.

Por otra parte, consultado el investigador acerca de por qué lanzar una herramienta que podría facilitar a terceros explotar la vulnerabilidad, Vanunu dijo que espera que el tema genere discusión.

“La compañía revisó estos temas hace un año atrás y asegura que es falso sugerir que existe una vulnerabilidad con la seguridad que le aplican a WhatsApp”, explicó un vocero de Facebook a Bloomberg. Por otra parte, desde el lado de WhatsApp opinan que “el escenario descrito por los investigadores equivale a alterar la respuesta de alguien en una cadena de correos”. Asimismo, agregan que “debemos tener en cuenta que considerar las inquietudes planteadas por los investigadores podría hacer que WhatsApp sea menos privado”.

Fuente: www.welivesecurity.com

El reciente auge de la aplicación FaceApp atrajo a los estafadores, quienes diseñaron modelos de engaño para intentar sacar provecho del buen momento por el que atraviesa la app.

La aplicación FaceApp, que ofrece varios filtros que modifican el rostro, está disponible tanto para Android como para iOS. Si bien la aplicación en sí es gratuita, algunas funciones, marcadas como “PRO”, son pagas. La reciente preocupación sobre cómo gestiona la privacidad FaceApp acaparó la atención de una gran cantidad de medios internacionales.

Los estafadores han estado intentando aprovechar esta ola de interés por la app de distintas maneras, por ejemplo, utilizando como señuelo una falsa versión “Pro” –de forma gratuita- de la aplicación. Los estafadores también han realizado un esfuerzo para que se difunda esta versión ficticia de la aplicación que en estos días se ha vuelto viral –al momento de escribir este artículo, una búsqueda en Google de “FaceApp Pro” arroja cerca de 200.000 artículos.

Hemos visto dos formas en la que los estafadores intentan ganar dinero con la no existente versión “Pro” de FaceApp.

Sitios web falsos

En una de las estafas que hemos visto, los atacantes han utilizado un sitio web falso en el cual se ofrece la versión “premium” de FaceApp de forma gratuita.

En realidad, los estafadores engañan a sus víctimas para que hagan clic en una innumerable cantidad de ofertas para que instalen otras aplicaciones pagas, así como suscripciones, anuncios, encuestas, etc. Las víctimas también reciben solicitudes de varios sitios web para permitir que se desplieguen notificaciones. Cuando las habilitan, estas notificaciones llevan a nuevas ofertas fraudulentas.

Durante nuestra prueba, terminamos con la versión regular y gratuita de FaceApp que también está disponible en Google Play. Sin embargo, en lugar de usar Google Play como fuente, descargamos la aplicación de un popular servicio de intercambio de archivos (mediafire.com), como se ve en la Figura 3. Esto significa que los usuarios podrían fácilmente terminar descargando malware si esa era la intención de los atacantes.

Videos de YouTube

El segundo tipo de estafa incluye videos de YouTube, a través de los cuales también se promocionan enlaces de descarga para una versión gratuita “Pro” de FaceApp. Sin embargo, los enlaces de descarga acortados apuntan a aplicaciones cuya única funcionalidad es hacer que los usuarios instalen varias aplicaciones adicionales desde Google Play. Uno de los videos de YouTube, como se puede observar en la Figura 4, tiene más de 150,000 visitas al momento de escribir este artículo.

Si bien este tipo de estafa se suele utilizar simplemente para desplegar anuncios, los enlaces acortados podrían llevar a que los usuarios instalen malware con un solo clic. Hemos visto que esto suceda en el pasado, por ejemplo, con el videojuego Fortnite siendo utilizado como señuelo.

Si bien en el enlace mencionado se hizo clic más de 96.000 veces, este dato no nos dice mucho sobre el número de instalaciones reales (aunque es cualquier empresa grande quisiera tener esa tasa de clics tan alta).

Conclusión

Todo lo que esté en boga atrae a los estafadores, y cuanto más grande sea la ola, mayor es el riesgo de ser víctima de una estafa. Antes de sumarse y participar de aquello que está de moda o que se está utilizando, como en este caso puede ser la app FaceApp, los usuarios deben recordar atenerse a los principios básicos de seguridad.

Independientemente de lo emocionante que sea el tema, evite descargar aplicaciones de otras fuentes que no sean las tiendas de aplicaciones oficiales, y examine la información disponible sobre la aplicación (desarrollador, clasificación, comentarios, etc.). Especialmente en el ecosistema de Android, existen engaños alrededor de cada aplicación o juego popular. Sin embargo, son buenas las posibilidades de que los usuarios preocupados por la seguridad puedan reconocer las falsificaciones de ofertas genuinas. Como medida de seguridad en caso de que un usuario caiga víctima de una estafa, tener una aplicación de seguridad de buena reputación instalada en su dispositivo móvil puede resultar de gran ayudar para evitar consecuencias negativas.

Fuente: www.welivesecurity.com

La ciberseguridad es algo que debería preocuparnos a todos en mayor o menor medida. Más si se habla de contexto de Latinoamérica, y es que en fechas recientes se han publicado estudios que parecen indicar que la situación en la zona está por encima de los datos a nivel internacional.

Los datos hablan por sí mismos, así que lo mejor es comenzar afrontando directamente el número de veces que la ciberseguridad se ve comprometida en América Latina.

El Internet y Seguridad en América del Sur, esta en amenaza, la importante empresa de seguridad informática Kaspersky daba unas cifras que deberían alertarnos. Entre enero y mayo de 2019, el conjunto de países que forman Latinoamérica sufrieron nada menos que 677 millones de ataques informáticos. De estos, la inmensa mayoría consiguió alcanzar sus objetivos comprometiendo datos personales, cuentas bancarias y otra información de la que solemos volcar en cualquier web o servicio al que nos inscribimos.

Si la cifra se escapa de una comprensión certera, quizá sea mejor reducirla a parámetros más inmediatos. Esos 677 millones de ataques informáticos registrados tan solo en ocho meses muestran que América Latina sufre un ciberataque cada 33 segundos. Así, no hay ningún momento del día en el que los hackers descansen en su empeño por comprometer la seguridad de distintas organizaciones.

El ranking de las naciones más atacadas debe estar encabezado sin lugar a dudas por Brasil, país que se lleva nada menos que el 53 % de todos los ataques recibidos en la zona. En segundo lugar se encuentra México, ya que concentra el 17 % del total, y en el tercer puesto se sitúa Colombia, país que recibe el 9 % de todos los ataques a la ciberseguridad realizados en Latinoamérica.

Fuente: www.somoslibres.org

Parcha tu equipo cuanto antes.

Si tienes un equipo Dell probablemente hayas visto SupportAssist, una herramienta diseñada para proteger a tu equipo con Windows de amenazas y vulnerabilidades. Irónicamente, es Dell SupportAssist el comprometido: se descubrió una grave vulnerabilidad que puede poner a tu equipo en riesgo.

La amenaza se descubrió este lunes y ya fue parchada por el equipo de desarrollo de Dell, parche que deberías bajar ahora. El bug fue descubierto por el equipo de Safebreach, una agencia de seguridad que ya detectó otro problema con dicho software en menos de tres meses.

Esta amenaza explota la capacidad de Dell SupportAssist de instalar actualizaciones gracias a su acceso como administrador. Esto podría dejar que un hacker instalara código malicioso en tu equipo sin tu autorización, usando librerías DLL.

Asimismo, un atacante podría aprovechar otra vulnerabilidad para saltarse la firma digital de un driver y obtener acceso a los permisos de lectura/escritura. Con ello, las puertas están abiertas de par en par: un hacker podría saber lo que escribes, lo que aparece en tu pantalla, y lo que trafica tu disco duro.

Una app Dell con diferente alias

SupportAssist viene preinstalado en la mayoría de los equipos Dell en forma de bloatware, o software instalado en tu equipo desde fábrica y que usualmente no es muy útil. Como todo bloatware, es muy difícil de quitar del equipo.

Lo más preocupante es que SupportAssist es un paquete de Windows que ha sido comercializado con otro nombre en soluciones de otros fabricantes: en particular Corsair, Staples y Tobii. La utilidad vulnerable tiene por nombre genérico PC-Doctor Toolbox.

Fuente: www.fayerwayer.com

La productividad es una capacidad que se mide en relación entre lo que se produce y los medios que se emplean, como son los recursos. Es por eso que en el Día Mundial de la Productividad decidimos poner el foco en cómo los hábitos productivos pueden marcar la diferencia a la hora de proteger los activos de una organización. Además, repasamos una serie de acciones que se promueven desde el ámbito de la seguridad de la información y que sirven para garantizar al máximo posible la productividad por el simple hecho de reducir la posibilidad de ser víctima de un incidente.

A continuación, destacamos una serie de acciones clave que fundamentalmente en el campo laboral deberían llevarse adelante y que contribuyen en la mejora de la productividad.

1. Realizar backup de la información

Contar con una copia de seguridad de toda la información necesaria para el correcto funcionamiento de una empresa permite que la productividad no se vea afectada (o no tanto) en caso de sufrir un incidente de seguridad que comprometa los sistemas de información.

Perder el acceso a archivos fundamentales podría tener consecuencias tan severas para la productividad que incluso pueden llevar a la quiebra de una empresa. De hecho, datos de un estudio realizado en 2016 aseguran que el 60% de las empresas que sufren la pérdida de información quiebran en seis meses.

Por último, además de realizar un backup de la información, es importante dedicar el tiempo suficiente para hacerlo correctamente (establecer una periodicidad, tener en cuenta el soporte, etc), ya que no hacer el backup de la manera correcta podría significar tanto la pérdida de la información como del tiempo.

2. Contar con una política de actualización de software

Similar a no contar con una copia de seguridad de la información de valor, no contar con una política de actualización que asegure la instalación de los parches de seguridad de las herramientas que se utilicen podría significar la exposición a un ataque o incidente de seguridad. Solo basta con recordar lo que ocurrió con el brote de WannaCry, un ransomware que explotaba una vulnerabilidad en Windows para la cual Microsoft ya había lanzado un parche de seguridad que lo mitigaba, pero que requería que los usuarios actualicen sus sistemas para instalarlo. Sin embargo, debido a que muchos equipos no llevaron adelante la actualización sufrieron las consecuencias del ransomware.

Es importante tener presente que todo software es susceptible de necesitar actualizaciones de seguridad. A través de estas actualizaciones, los fabricantes añaden mejores a los productos, corrigen errores y reparan fallos de seguridad. En este sentido, contar con la última actualización podría evitar ser víctima de un intento de ataque que busque robar información y/o credenciales.

3. Contar un plan de respuesta a incidentes

Contar con plan de respuesta a incidentes implica tener herramientas para tratar de lograr recuperar el funcionamiento normal de una empresa en el menor tiempo posible, de forma que no se vea perjudicada la productividad; así como su imagen u otras consecuencias como las que puede surgir a partir de ser víctima un incidente de seguridad. En este sentido, esta herramienta que generalmente forman parte de un Sistema de Gestión de Seguridad de la Información, funciona como un lineamiento de los pasos a seguir para responder de manera adecuada en diferentes escenarios en los que los datos de una empresa estén en riesgo.

En el siguiente artículo, el investigador de seguridad de ESET, Camilo Gutiérrez, ofrece algunas recomendaciones que deberían tenerse en cuenta para mejorar el Plan de Respuesta a Incidentes.

Por otra parte, desde Academia ESET también se ofrece un curso online gratuito de gestión de respuesta ante incidentes de seguridad que será de ayuda.

4. Llevar adelante capacitaciones de seguridad

La capacitación es clave para evitar incidentes de seguridad, ya que el ser humano es el eslabón más vulnerable en toda la arquitectura de seguridad de una organización. Según datos publicados a fines de 2018 de un estudio realizado por IBM, el 95% de las incidencias en ciberseguridad se deben a errores humanos. Teniendo esto presente y las consecuencias para la productividad que puede tener para una organización sufrir un incidente de seguridad, es que la capacitación se convierte en un pilar clave para disminuir el riesgo a incidentes. Por lo tanto, ofrecer las herramientas a los colaboradores para que aprendan a reconocer las técnicas de engaño utilizadas por los cibercriminales, como son las técnicas de ingeniería social, contribuye a disminuir los riesgos.

5. Configurar los accesos según el principio de menor privilegio 

Tal como explicó el investigador en seguridad de ESET, Miguel Ángel Mendoza, la estrategia de limitar el acceso a lo que es imprescindible, conocido como el principio del menor privilegio, se apoya en la idea de otorgar únicamente permisos cuando son necesarios para el desempeño de cierta actividad. De esta manera, dedicar tiempo y esfuerzo a este modelo reduce el grado de exposición a incidentes al reducir al mínimo posible los permisos de acceso. Sin embargo, se debe prestar atención a que esta limitación de los accesos no afecte las necesidades de cada profesional de la empresa, ya que podría afectar a la productividad de la misma.

Como conclusión, las acciones que tengan como objetivo la disminución de riesgos suponen una mejora para la productividad al reducir las probabilidades de que una amenaza atente contra el funcionamiento natural de la organización, aunque se deben llevar adelante de tal forma que las propias acciones no afecten de manera negativa la dinámica laboral.

Fuente: www.welivesecurity.com