Ciberataque GOLDENEYE avanza en el mundo, investigadores ven relación con WANNACRY

El ataque destaca la creciente preocupación por las fallas de las empresas para asegurar sus redes frente a piratas informáticos cada vez más agresivos, que han demostrado que son capaces de derribar infraestructura crítica y someter a redes de gobiernos y corporaciones.

www.gestion.pe
Un gran ataque informático de escala global sacó de servicio el martes a computadoras de la mayor petrolera rusa, de bancos en Ucrania y de empresas multinacionales a través de un virus similar al que el mes pasado infectó a más de 300,000 ordenadores.

El ataque destaca la creciente preocupación por las fallas de las empresas para asegurar sus redes frente a piratas informáticos cada vez más agresivos, que han demostrado que son capaces de derribar infraestructura crítica y someter a redes de gobiernos y corporaciones.

Incluyó un código conocido como “Eternal Blue”, que muchos expertos en ciberseguridad creen que fue robado a la Agencia de Seguridad Nacional de Estados Unidos y también fue utilizado en el ataque del mes pasado llamado “WannaCry”.

“Los ciberataques simplemente pueden destruirnos”, dijo Kevin Johnson, presidente ejecutivo de la compañía de seguridad informática Secure Ideas. “Las empresas simplemente no están haciendo lo que debieran para arreglar el problema”, agregó.

El virus que inhabilita las computadoras hasta que se realice un pago, o “ransomware”, atacó a máquinas con el sistema operativo Windows de Microsoft Corp cifrando los discos duros y sobreescribiendo archivos. Los piratas demandaron US$ 300 en la moneda digital bitcoin para restablecer el acceso.

Microsoft dijo que el virus podría propagarse a través de una falla que fue corregida con una actualización de seguridad en marzo. “Seguimos investigando y tomaremos las medidas apropiadas para proteger a los clientes”, dijo un portavoz de la empresa, agregando que el antivirus de Microsoft lo detecta y lo elimina.

Se habían reportado unos 2,000 ataques hasta el mediodía en Nueva York, según Kaspersky Lab. Rusia y Ucrania eran los países más afectados, pero había víctimas en Reino Unido, Francia, Alemania, Italia, Polonia y Estados Unidos, dijo el fabricante de software.

Expertos en seguridad dijeron que el impacto sería menor al de “WannaCry”, debido a que muchos computadores aplicaron las actualizaciones de Windows luego del ataque del mes pasado para protegerse de piratas que utilizan el código “Eternal Blue”.

Sin embargo, el virus podría ser más peligroso que los “ransomware” tradicionales, ya que hace que los computadores no respondan ni puedan reiniciarse, dijo Juniper Networks en una publicación en un blog en la que analizó el ataque.

Investigadores dijeron que el ataque podría haber utilizado código malicioso usado en campañas de “ransomware” previas conocidos como “Petya” y “GoldenEye”.

El gigante naviero danés A.P. Moller-Maersk, que traslada uno de cada siete contenedores en el mundo, dijo que el ataque había provocado interrupciones en sus sistemas informáticos de todo el mundo, incluso en su terminal en Los Angeles.

La farmacéutica Merck & Co dijo que su red informática también había sido afectada por el ataque.

Otras empresas que reportaron haber sido golpeadas por un supuesto ataque cibernético incluyeron al fabricante de metal ruso Evraz, la firma francesa de materiales de construcción Saint Gobain y la mayor agencia de publicidad del mundo, WPP.

Las reuniones ya no son como antes: organiza una videoconferencia en tu navegador

Voz y vídeo de gran calidad, sin software adicional, para cualquier conexión…

Vía www.hipertextual.com

El cara a cara es la mejor manera de verte con alguien, pero no siempre es posible, en especial si las personas que quieren verse viven a kilómetros de distancia.

Tiempo atrás, la solución consistía en llamarse por teléfono. Pero llegaron la tecnología VoIP, las cámaras web y la banda ancha y, en la actualidad, reunir a dos o más personas repartidas por todo el mundo es mucho más sencillo y, sobre todo, baratísimo.

Además, los periféricos necesarios para una videoconferencia son más asequibles, y por poco puedes comprar una cámara HD y un micrófono decente. Es más, en prácticamente todos los portátiles actuales hay una cámara y micrófono preinstalados.

A nivel de software, lo habitual es instalar una herramienta de escritorio con la que iniciar una llamada o una videollamada, pero gracias al HTML5 y a los navegadores web actuales, tan sólo necesitas abrir una página web para crear una videoconferencia.

Veamos las opciones más completas, ideales para reuniones de última hora en que no tienes tiempo de preparar la videoconferencia o por si no te interesa o no puedes instalar ningún software adicional.

Blizz, empezamos por Blizz, un servicio online made in Germany que tiene como garantía a TeamViewer, una completa herramienta de escritorio para asistencia a distancia y acceso remoto.

El propósito de Blizz es facilitar una videoconferencia con un organizador y hasta 10 participantes para uso personal en su versión gratuita.

Entre sus ventajas, apuesta por la ausencia de configuración. Entras, envías el enlace a tus compañeros y listo. Funciona tanto en PC y Mac como en dispositivos móviles, sin instalar app.

Las conexiones son seguras (AES de 256 bits) y permite voz, imagen y compartir la pantalla.

Hangouts, en esta lista no puede faltar Hangouts, la solución de Google para comunicarte vía texto, voz o imagen de vídeo con una o más personas.

Disponible vía app o a través del navegador (Chrome, Internet Explorer o Safari), podrás realizar una videoconferencia con buena calidad y con un buen grupo de personas.

Por lo demás, la interfaz es muy simple, pudiendo bloquear audio o vídeo, con sistema de chat escrito y adaptable a conexiones lentas reduciendo la calidad de imagen y sonido.

Zoom, el propósito de Zoom no se queda sólo en la reunión, también te será muy práctico para una videoconferencia con mucho público a distancia.

El plan gratuito, por ejemplo, ofrece hasta 100 participantes simultáneos en sesiones de hasta 40 minutos.

Por lo demás, ofrece calidad en las llamadas de voz y vídeo, con alta definición en ambas, posibilidad de compartir la pantalla, cambio de cámara principal cuando alguien habla, etc.

AnyMeeting, con AnyMeeting también tendrás ocasión de organizar una videoconferencia en menos de un minuto. Conectar y listo. Eso sí, antes deberás registrarte.

Aunque ofrece servicios de pago, tiene una modalidad gratuita de hasta 6 participantes con videollamadas de 720p vía HTML5 y WebRTC que se adapta a la conexión de cada uno reduciendo la calidad de manera progresiva.

Entre sus ventajas, es accesible desde el navegador de cualquier dispositivo y, además, ofrece pantalla compartida para mostrar un PowerPoint o una página web, por ejemplo.

ezTalks, para terminar, ezTalks, que sirve igua que Zoom para una videoconferencia, un curso online o una reunión.

En su modo gratuito admite hasta 100 participantes, reuniones limitadas a 40 minutos, alta definición en vídeo y audio, grabación de la reunión y chat privado y de grupo.

Como en los casos anteriores, funciona desde el navegador web sin necesidad de instalar nada y es compatible con la mayoría de navegadores de escritorio o móviles aunque también ofrece sus propias aplicaciones para Windows, Mac, iPhone/ipad y Android.

Un ataque informático masivo con ransomware afecta a medio mundo

Vía www.diariocordoba.com

En España, el virus ha llegado a grandes compañías como Telefónica, que han tenido que apagar ordenadores o desconectarlos de la red / El programa, que pide un rescate en bitcoins, se aprovecha de una vulnerabilidad de Windows ya solucionada

Un ataque informático masivo con un virus tipo ‘cryptoware’ o ‘ransomware’ (que encripta ordenadores) está infectando los ordenadores y las redes internas de grandes empresas en España. El virus, conocido como Wanna Cry y que afecta a sistemas Windows de Microsoft, ha infectado también ordenadores de hasta 12 países que no tenían las últimas actualizaciones instaladas. Entre ellas, ha paralizado hasta 25 hospitales en el Reino Unido.

En España, tan solo Telefónica ha admitido el ataque. En la sede central de la compañía, en Madrid, han tenido que apagar ordenadores de la red interna y enviar empleados a trabajar en su casa. Vodafone desmiente que el ataque le haya afectado así como tampoco a BBVA, Cap Gemini y Banco Santander, nombres que han circulado por las redes sociales.

Fuentes de Telefónica confirman que se les ha instado a apagar los ordenadores, la primera medida que se suele adoptar en estos casos para prevenir que el virus se propague por toda la red interna., y se ha procedido a auditarla para detectar la magnitud del ataque.

El centro encargado de detectar las grandes incidencias informáticas asegura que el ‘ransomware’ responsable es una versión del programa WannaCry, que “infecta la máquina cifrando todos sus archivos”. El programa dañino se aprovecha de “una vulnerabilidad de ejecución de comandos remota a través de SMB (protocolo para compartir archivos) y se distribuye al resto de máquinas Windows que haya en esa misma red”, por lo que es muy fácil de contagiarse.

“Puede ocurrir que un ordenador que se conecta a la red no haya sido actualizado y se infecte, pero al conectarse a otras máquinas que sí estén actualizadas, la infección no traspase”, afirma Manel Medina, director del máster en ciberseguridad de la Universitat Politècnica de Catalunya (UPC).

TODAS LAS VERSIONES MODERNAS DE WINDOWS
Las ediciones afectadas de Windows son todas las emitidas desde el 2009: desde Microsoft Windows Vista SP2 y hasta Windows 10, además de las versiones de servidores.

Microsoft dio a conocer el problema el pasado 14 de marzo y publicó una actualización de las consideradas “críticas” (es decir, de las obligatorias, que el CN-CERT sugiere que “ha sido el desencadenante de la campaña”. La única versión para la que Microsoft no publicó parche fue Windows 7, por lo que se recomienda apagar los equipos con este sistema operativo.

El mensaje que emite el virus en este caso es un requerimiento de pago de 300 dólares en bitcoins, al cambio unos 275 euros, a cambio de desencriptar los archivos que previamente ha cifrado, según ha podido ver este diario.

A los investigadores en ciberseguridad les sorprende la capacidad de replicarse automáticamente que tiene este ransomware. “En otros programas, han sido los propios delincuentes que controlan el programa quienes lo replican. Aquí se ha extendido a todas las máquinas que no tuvieran la actualización instalada”, explica Lluís Corrons, ciberinvestigador de Panda Security.

Ceder al chantaje, en estos casos, advierten los investigadores, no significa que los autores del ataque envíen las claves correctas para desencriptar los archivos. El procedimiento habitual suele ser cerrar la red, aislar el virus, localizar la fecha de entrada y restaurar todas las copias de seguridad anteriores a esa fecha. La escasa cuantía del rescate pone también en duda que se trate de un ataque específicamente dirigido contra algunas empresas.

AUMENTO DEL ‘RANSOMWARE’
El ataque se produce al día siguiente de unas jornadas sobre Cibercrimen y Delitos Informáticos, en Madrid organizadas por el Sindicato Unificado de Policía en la que participaban algunas de las principales compañías de seguridad, como Kaspersky, y miembros de la Policía Nacional y la Guardia Civil.

No afecta a los clientes
El Ministerio de Energía, Turismo y Agenda Digital ha confirmado que se han producido diversos ciberataques a compañías españolas, aunque ha insistido en que no afectan “ni a la prestación de servicios, ni a la operativa de redes, ni al usuario” de esos servicios.

El ministerio explica que el ataque sólo afecta puntualmente a equipos informáticos de trabajadores de varias empresas y que está trabajando con las empresas afectadas para solucionar cuanto antes la incidencia.

Asimismo, ha asegurado que el ataque “no compromete la seguridad de los datos ni se trata de una fuga” de los mismos

Detectan ataques dirigidos “invisibles” realizados con software legítimo

14
Vía www.diarioti.com
Kaspersky Lab ha descubierto una serie de ataques dirigidos “invisibles” que utilizan software legítimo. Bancos, empresas de telecomunicaciones y organizaciones están entre los principales objetivos y las técnicas usadas son similares a las utilizadas con GCMAN y Carbanak.

Diario TI 08/02/17 10:31:40
Kaspersky ha distribuido un comunicado donde dice haber sido contactada a finales del año 2016, por bancos de la Comunidad de Estados Independientes (CIS por sus siglas en inglés) luego de haber encontrado el software de pruebas de penetración Meterpreter en la memoria de sus servidores en un lugar donde no debería aparecer. Kaspersky Lab descubrió que el código Meterpreter se había combinado con un número de scripts PowerShell y con otras utilidades y se había transformado en código malicioso que podía ocultarse en la memoria y, de forma invisible, recopilar las contraseñas de los administradores de sistemas. De esa manera, los ciberatacantes podían controlar los sistemas de sus víctimas en remoto y conseguir su objetivo final: el acceso a los procesos financieros.

Desde esa fecha, Kaspersky Lab ha investigado esos ataques y ha descubierto que eran masivos y que habían afectado a más de 140 redes empresariales de varios sectores, con la mayoría de las víctimas localizadas en EE. UU., Francia, Ecuador, Kenia, Reino Unido y Rusia. En total, las infecciones afectaron a empresas en más de 40 países, entre los que se encuentra España.

Se desconoce quién puede estar detrás de los ataques. El uso del código de explotación de fuente abierta, funcionalidades Windows habituales y dominios desconocidos, hace prácticamente imposible determinar el grupo responsable o si son varios los que comparten las mismas herramientas. Algunos grupos conocidos que utilizan una técnica similar son GCMAN y Carbanak.

“Esta tendencia que observamos en técnicas anti-forense y malware que se sitúan en la memoria responde al empeño de los ciberdelincuentes de ocultar su actividad y dificultar su detección. Por ello, el estudio forense de la memoria se está convirtiéndose en algo crítico para el análisis de malware. En estos incidentes en concreto, se han utilizado todas las técnicas anti forense existentes. Es un ejemplo claro de que no se necesitan archivos de malware para lograr extraer datos de la red con éxito. El uso de utilidades open source y software legítimo hacen imposible localizar el origen”, comenta Sergey Golovanov, analista principal de seguridad en Kaspersky Lab.

Durante el Security Analyst Summit, que tendrá lugar entre el 2 y el 6 de abril de 2017, Sergey Golovanov e Igor Soumenkov presentarán más detalles de la segunda parte de la investigación en la que se desvelará cómo los atacantes han implementado tácticas únicas para extraer dinero de los cajeros automáticos.

Los productos de Kaspersky Lab pueden detectar con éxito las operaciones que utilizan las tácticas descritas. Más información en el blog en Securelist.com. Los detalles técnicos, incluidos Indicadores de Compromiso están disponibles para los clientes de Kaspersky Intelligence Services.