Detienen campaña de ransomware
El servidor utilizado en una campaña del ransomware Cerber descubierta en junio ha sido deshabilitado, a través de un esfuerzo coordinado involucrando a la firma de investigación FireEye, los Equipos de Respuesta a Emergencias Computacionales en los Países Bajos (CERT-Netherlands) y compañías de alojamiento web.
La campaña de correos spam maliciosos, descubierta por FireEye, usaba documentos de Microsoft Word adjuntos que contenían macros que lanzaban instaladores de Cerber. El servidor de Comando y Control (C&C) fue deshabilitado “a horas de detectar la actividad”, de acuerdo con una publicación de blog de los investigadores de amenaza avanzada de malware Ankit Anubhav y Raghav Ellur de FireEye. “Con los servidores de los atacantes fuera de línea, las macros y otras cargas maliciosas configuradas para descargar son incapaces de infectar a los usuarios con ransomware”, los investigadores escribieron.
La macro escribe un VBScript en la memoria cuando una víctima abre el documento de word y ejecuta el script.
La campaña parece estar relacionada a otra campaña del ransomware Cerber similar descubierta por investigadores la semana pasada. La variante usaba documentos de office maliciosos conteniendo macros para infectar a usuarios de Office 365.
Fuente de información original.
Familias de malware crecen 61%
Check Point el día de hoy publicó su más reciente Índice de Amenazas, revelando que el número de familias de malware activas se incrementó casi en dos tercios en la primera mitad del 2016, liderada por el número de amenazas dirigidas a redes de negocios y dispositivos móviles.
Durante junio, Check Point detectó 2,420 familias de malware únicas y activas atacando a redes de negocios, un incremento del 61% comparado con enero del 2016 y un 21% de incremento desde abril. El crecimiento contínuo en el número de variantes de malware activas una vez más resalta, el amplio rango de amenazas que las redes de las compañías enfrentan y la escala de los retos que los equipos de seguridad deben superar para prevenir un ataque a la información crítica de su negocio.
Conficker se mantuvo como el malware más comúnmente utilizado en junio, mientras que el malware móvil HummingBad regresó a formar parte de las tres principales amenazas a través de todas las plataformas globalmente. En un detallado reporte de investigación, Check Point reveló que 85 millones de dispositivos globalmente están infectados con HummingBad, generando un estimado de $300,000 dólares por mes en ganancias por anuncios fraudulentos para los criminales detrás del malware -resaltando cómo los hackers están dirigiéndose cada vez más a los dispositivos móviles.
Fuente de información original.
Buscan al experto en seguridad de TI
Un nuevo esquema de premiación se ha lanzado para reconocer a las personas, no los productos, que consistentemente van más allá de la llamada al deber para mantener seguras a sus organizaciones.
Como parte del segundo Security Serious Week que tendrá lugar la primera semana de octubre, Security Serious, está lanzando los Unsung Heroes Awards (Premios al Héroe Anónimo). Las categorías de la premiación son:
- Padrino de la seguridad
- Mejor campaña de concientización
- CISO Supremo
- Vengadores de seguridad (equipo)
- Salvador de redes sociales
- Líder de seguridad
- Héroe Móvil Magnate
- Cambio radical
- Superhéroe de seguridad en la nube
- Atleta que corrió esa milla extra
- Sentido arácnido – mente maestra de inteligencia de amenazas
- Peleador de fraudes
- Capitán Cumplimiento
- Ciber Escritor
No habrá costo para entrar a la premiación o para asistir a la tarde de la premiación, la cual tomará lugar en Londres el 6 de octubre.
Security Serious Week tomará lugar del 3 al 7 de octubre y tendrá más de 50 webinars gratuitos presentados por expertos de seguridad para alentar a otros para volverse expertos en seguridad.
Fuente de información original.
Se puede negociar con el ransomware
Irónicamente, los criminales que mantienen los archivos de computadoras cautivos pidiendo un rescate a cambio, podrían estar ofreciendo una mejor experiencia para el cliente que las compañías de cable o de seguros en promedio.
La firma F-Secure recientemente contactó a canales en línea de atención a clientes de cinco distribuidores de ransomware haciéndose pasar por una víctima y encontró que, tres de los cuatro agentes que respondieron estaban dispuestos a negociar por un precio más bajo por el rescate. Factorizando en las cuatro interacciones, F-Secure fue capaz de promediar un descuento del 29% en el colectivo de los rescates, de acuerdo con un reporte de la compañía mostrado el martes. Lo que es más, los cuatro agentes que respondieron estaban dispuestos a extender la fecha límite.
Pidiendo rescates de aproximadamente $150 a $1,900 dólares en bitcoins, con fechas límite yendo de uno a cinco días (una fecha límite no estaba especificada), las cinco familias de ransomware que F-Secure estudió fueron: Cerber, CryptoMix, Jigsaw, Shade y TorrentLocker. Mientras que la demanda de CryptoMix era exorbitantemente más alta que las demás, su agente de ransomware también ofreció el descuento más grande (del 67% de tres bitcoins a uno, o de alrededor de $1,900 a $635 dólares).
Por extraño que parezca, muchas compañías de ransomware aspiran por una experiencia de cliente positiva y pulida, así como una reputación elevada. Parece contradictorio a su verdadera naturaleza, pero es su estrategia para alentar a los usuarios a cumplir y asegurar pagos puntuales.
Fuente de información original.
Apple corrige vulnerabilidades
Apple liberó el lunes actualizaciones de seguridad para OS X, iOS, watchOS, tvOS, Safari, iTunes y iCloud para corregir decenas de vulnerabilidades identificadas por los empleados de la compañía e investigadores externos.
OS X El Capitan 10.11.6 corrige un total de 60 bugs de seguridad afectando a componentes como el audio, CFNetwork, CoreGraphics, FaceTime, controladores gráficos, el kernel, la ventana de login, OpenSSL, QuickTime, perfiles de sandbox, y las librerías de libxml2 y libxslt.
La vulnerabilidad de CFNetwork fue reportada a Apple por Abhinav Bansal de Zscaler. La firma de seguridad publicó en un blog el lunes para describir la falla que permite a aplicaciones sin privilegios acceder a cookies almacenadas en el navegador Safari.
En el caso de iOS, la versión 9.3.3 resuelve un total de 43 vulnerabilidades, incluyendo muchas que también afectan a OS X. Una de las falla específicas para iOS permite a un atacante con acceso físico al dispositivo abusar de Siri para ver información privada de contactos.
iCloud para Windows 5.2.1 y iTunes 12.4.2 para Windows corrigen 15 vulnerabilidades de corrupción de memoria y de revelación de información afectando a las librerías libxml2 y libxslt.
Fuente de información original.
Falla expone a aplicaciones web a ataques
Investigadores descubrieron que una vulnerabilidad cuya existencia ha sido conocida por 15 años puede afectar a muchas aplicaciones web, permitiendo a actores maliciosos lanzar ataques de man-in-the-middle (MitM).
Nombrada HTTPoxy, la falla es un problema de conflicto de espacio de nombre que afecta a aplicaciones corriendo en la Common Gateway Interface (CGI) o ambientes similares. Un sitio web y logo han sido creados para HTTPoxy.
CGI es la interface entre un servidor web y aplicaciones corriendo en el servidor. De acuerdo con especificaciones de CGI, el contenido del encabezado Proxy de HTTP de una petición es asignado a la variable de entorno HTTP_PROXY. El problema es que HTTP_Proxy es una variable de entorno que es a menudo utilizada para configurar proxies de salida.
Un atacante remoto pudiera aprovechar la vulnerabilidad para especificar el servidor proxy que la aplicación utiliza para las peticiones de salida, permitiendo un ataque de MitM en el cual pueden capturar información potencialmente sensible o alterar datos.
Fuente de información original.
Vulnerabilidad es corregida en BIND
Actualizaciones liberadas el lunes por el Consorcio de Sistemas de Internet (ISC) para BIND, el software de DNS más utilizado, corrige una vulnerabilidad de severidad media.
La falla está relacionada con el uso del protocolo lightweight resolver (lwresd) para resolver nombres. Lwresd, el cual es similar pero diferente de los protocolos normales de DNS, puede ser usado a través de la utilidad de lwresd en BIND o al configurar named con la declaración lwres en named.conf.
Sistemas que utilizan este método para resoluciones de nombre pueden causar la entrada a una condición de denegación de servicio (DoS) debido a un error en la manera en que el protocolo ha sido implementado en BIND.
La vulnerabilidad remotamente explotable afecta a BIND versiones de 9.0.x a 9.9.9-P1, 9.10.0 a 9.10.4-P1 y 9.11.0a3 a 9.11.0b1. ISC corrigió el problema con el lanzamiento de BIND 9.9.9-P2 y 9.10.4-P2.
Fuente de información original.
Inscríbete al curso CEH y domina las técnicas de Hackeo Ético para el aseguramiento de tu organización.
Recent Comments