petya/not-petya

El ransomware «Petya / Not-Petya» paraliza el mundo

Dave Kennedy se muestra tajante. Según los analistas de seguridad más reputados del mundo estamos ante el ransomware más destructivo conocido. A tan solo un escaso mes del ataque Wannacry las alertas no han sido suficientes para impedir la propagación de esta nueva amenaza.

5000 sistemas caídos en menos de 10 minutos

Originalmente diseñado en 2016 por un equipo experto y profesional, este virus-ransomware viaja a través de un gusano y funciona bajo los exploit EternalBlue y Psexec –ambos hacen sus estragos aprovechando la vulnerabilidad del protocolo SMBv1, presente en la mayoría de sistemas Windows–. Reaparece ahora, eso sí, con una capacidad de mutación y de propagación sin precedentes. Así, es capaz incluso de infectar a terminales correctamente parcheados.



Aunque cifra menos tipos de archivos que su predecesor, afecta a los esenciales de cualquier organización. Petya actúa sobre el código fuente, máquinas virtuales, copias de seguridad, ficheros de bases de datos o el registro de arranque maestro; también los principales archivos de ofimática y documentación.

La incidencia en España parece aún escasa, según informa el secretario de Estado para la Sociedad de la Información, José María Lassalle. No obstante, la última hora sobre este ataque no despeja incógnitas sobre lo que vaya a ocurrir, si nos atenemos a que los ciberdelincuentes exigen a las víctimas el envío de números de cuenta por correo electrónico para confirmar las transacciones, y que la cuenta de correo destino ha sido cancelada.

Como siempre, el equipo experto de seguridad de Tekpyme recomienda:

  1. Cautela con los documentos que lleguen por correo de remitentes no confiables. Analiza todos los correos electrónicos.
  2. Mantén el parque siempre actualizado, tanto los sistemas operativos, software y firmware en todos los dispositivos.
  3. Detectado el uso del EternalBlue recomendamos que este parche esté aplicado en todos los equipos.
  4. Nunca pagues. Antes ponte en manos de nuestros profesionales.
  5. Confía solo en la mejor protección de tipo Next-generation Endpoint. Así, las soluciones randsomware de Sophos ofrecen la mejor herramienta para prevenir este tipo de intrusiones.
  6. Si ya eres cliente o dispones de licencia Sophos Intercept X y no sabes cómo dar respuesta a este ataque, no dudes en ponerte en contacto con nuestro equipo de seguridad.

Dile adiós al ransomware con Sophos Intercept X Webinar 16/06/2017

Sophos
Logo Tekpyme
Sophos Intercept X
WEBINAR
“Dile adiós al ransomware con Sophos Intercept X”
Viernes 16 de junio de 2017, 10:00 – 11:00h
Regístrate
Ya está disponible Sophos Intercept X, el nuevo producto endpoint sin firmas de Sophos. Puedes ver el vídeo de presentación de 2 minutos para conocer cómo funciona.
Video
Sophos Intercept X despliega una amplia gama de tecnologías innovadoras de última generación para ofrecerle una protección sin igual contra los ataques sofisticados y complejos de hoy en día. Con Sophos Intercept X puede:
Detener el ransomware bloqueando el cifrado no autorizado de archivos
Bloquear las amenazas de día cero con una tecnología anti exploit sin firmas
Limpiar el sistema en profundidad, eliminando todo tipo de rastros persistentes de malware
Comprender los ataques con un análisis de causa raíz fácil de utilizar
Sophos Intercept X funciona en paralelo a las soluciones antivirus y de última generación de otros fabricantes para ofrecer una potente capa de seguridad adicional.
Además, se gestiona a través de Sophos Central, la galardonada plataforma de seguridad que le permite controlar toda su protección desde un único lugar.
Si quieres saber más de Sophos Intercept X, apúntate al webinar que hemos agendado para el viernes 16 de junio, de 10:00 a 11:00h.
PREVENCIÓN – DETECCIÓN – RESPUESTA
WEBINAR
“Dile adiós al ransomware con Sophos Intercept X”

Viernes 16 de junio de 2017, 10:00 – 11:00h

Regístrate

 

Tekpyme |957 94 94 15 | marketing@tekpyme.com | www.tekpyme.com

Dile adiós al ransomware con Sophos Intercept X Webinar 16/06/2017 – Registro

Sophos Intercept X
WEBINAR
"Dile adiós al ransomware con Sophos Intercept X"
Viernes 16 de junio de 2017, 10:00 – 11:00h






Acepto condiciones de uso

En cumplimiento de lo dispuesto en la ley 15/1999, de 13 de Diciembre, de Protección de Datos Personales (LOPD), CLOUDLAN SL, como responsable del/los fichero/s, informa que los datos personales que el usuario facilitará durante toda su relación con nuestra compañía, incluida su dirección de e-mail y todos aquellos datos personales a los que podamos acceder durante la relación establecida, serán tratados en un/os fichero/s debidamente inscrito/s en la Agencia Española de Protección de Datos y de conformidad con lo establecido en la legislación vigente.

Destripando phishing de Fedex

En Tekpyme nos encontramos la semana pasada con un curioso correo al entrar a la oficina, del cual se informó lo antes posible en la red social Twitter (https://twitter.com/Tekpyme/status/869586131108626432).

Pero tras su estudio y análisis por parte de nuestro departamento de Ciberseguridad, lo destripamos y divulgamos para el aprendizaje de todos.

Se trata de un correo de Fedex informándonos de una entrega pendiente. Como se puede observar en la imagen, se han cuidado varios detalles como la imagen corporativa (colores y logo) y gran cantidad de información acerca del supuesto envío.

En la parte inferior del correo también se han cuidado detalles como información de la empresa, condiciones del servicio e incluso un enlace a unas supuestas políticas de privacidad.

Curiosamente, el enlace a las políticas de privacidad es el único enlace legítimo (http://www.fedex.com/us/privacypolicy.html).

El correo no traía ningún fichero adjunto, que podría haber sido otra opción; incluir un archivo malicioso que incluyera algún tipo de malware con la intención de infectar el equipo o incluso secuestrar ficheros mediante el cifrado de los mismos, como vienen haciendo los ransomware.

Además del enlace de las políticas de privacidad que hemos comentado anteriormente, incluía otro enlace con la supuesta factura del envío.

http://shrinkssupport.com/viewdoc/file.php?document=amF2aWVyYmxhbmNvQHRla3B5bWUuY29t

Se trata de un documento php (file.php) al que se le pasa un parámetro (document) con un valor (amF2aWVyYmxhbmNvQHRla3B5bWUuY29t). El dominio donde está alojado este recurso es shrinkssuport.com.

La dirección IP del servidor web que está alojando este recurso es: 35.161.222.8.

Se trata de un servidor alojado en Amazon.

Es un servidor que no está indexado por Bing, por lo que no parece que sea un servidor web compartido. Todo indica a que no se trata de un dominio que haya sido comprometido, y donde se haya alojado los recursos maliciosos. Más bien, parece un dominio creado para la ocasión.

 

Haciendo un análisis de seguridad en virustotal.com obtenemos los siguientes resultados:

Podemos observar que solo 4 de 64 motores han detectado algo malicioso en la URL analizada.

El servicio de Sucuri también detecta algo malicioso.

El servicio de Quttera no encuentra nada malicioso en la URL.

 

 

Sin embargo, con urlquery.net podemos comprobar que sí se trata de una URL maliciosa.

También podemos observar que, en el mismo servidor, hay otras URL también analizadas y con resultados que indican que son maliciosas también.

Por lo tanto, si no lo habéis hecho ya, os recomendamos añadir a la lista negra de vuestra seguridad perimetral la siguiente dirección IP y dominios:

Dirección IP: 35.161.222.8

Dominios:

  • shrinkssupport.com
  • agaagents.com
  • ucancustomtshirtdesign.com

Esperamos que el artículo resulte de vuestro interés.

Si eres cliente de Tekpyme o sin serlo, quieres que te asesores de como poder resolver esta posible amenaza, ponte en contacto con soporte@tekpyme.com

Equipo de Ciberseguridad de Tekpyme.

¿Es el reciente ataque DDoS el primero de una nueva era?

La caída de los servicios DNS primero en la costa este de Estados Unidos y su consecuente impacto en los clientes de Dyn, un proveedor de DNS, podría ser el inicio de una nueva era de ataques en internet dirigido vía ‘cosas inteligentes’. Está claro que estos objetos no son tan inteligentes como pensamos, ya que cualquiera puede hacer uso de ellos para dirigir un ataque a grandes sitios webs como Twitter, Reddit y Spotify. De cara al futuro, es fundamental que los fabricantes eliminen las contraseñas por defecto y garantizar que los dispositivos se puedan actualizar de forma remota y automática contra amenazas de seguridad, ayudando a prevenir este tipo de ataques recurrentes.

La botnet supuestamente utilizada para llevar a cabo este ataque comprende aproximadamente 500.000 cámaras inteligentes afectadas, aquellas que están presentes en todos lados, como centros comerciales, vestíbulos, oficinas y tiendas. En este ataque sólo se han utilizado aproximadamente el 10 por ciento de estos bots, lo que demuestra el increíble poder ejercido desde un solo tipo de dispositivo. Existen millones de ‘cosas inteligentes’ más inseguras que podrían causar caídas de la red, si se intervienen.

Se recomienda que las personas que tienen televisores inteligentes, luces, termostatos, routers y otros dispositivos conectados a Internet actualicen sus softwares regularmente y cambien inmediatamente la contraseña que viene por defecto a una contraseña más segura. En el mundo que vivimos, se considera ser un buen ciudadano, preocuparse por mantener seguros tus objetos para que no te perjudiquen a ti ni a otros.

8 Consejos para proteger smartphones y tablets

Tekpyme quiere sumarse a la campaña de concienciación sobre los peligros existentes para los dispositivos móviles que ha comenzado el Centro Europeo de Ciberdelincuencia de Europol (EC3) y las distintas fuerzas y cuerpos de seguridad de 22 países europeos (incluida España) y tres no pertenecientes a la UE (Colombia, Noruega y Ucrania).

Esta iniciativa se enmarca dentro del Mes Europeo de la Seguridad Cibernética y busca recordar que el riesgo de malware móvil es real: los hackers pueden robar el dinero y la información confidencial, usar estos dispositivos como bots e incluso espiar sus actividades.

La Policía Nacional, que también forma parte de esta iniciativa, difundirá información mediante infografías, vídeos y gifs con pautas de prevención a través de Twitter, Facebook, en su canal en YouTube o en su cuenta Instagram.

Aquí os dejamos una serie de consejos para proteger nuestros smartphones y tablets.

  • Bloquea tu móvil con una contraseña segura.
  • Instala apps sólo desde sitios oficiales. No realices un jailbreak (eliminar limitaciones de seguridad impuestas por el proveedor).
  • No sigas enlaces no solicitados que recibas en correos electrónicos, SMS o cualquier otro tipo de mensajería.
  • Realiza copias de seguridad con asiduidad.
  • No te conectes a redes WiFi abiertas.
  • Ponte en contacto con tu operador de telefonía móvil para anular las llamadas a números de tarificación especial y a servicios “premium” de SMS.
  • Apaga los servicios de WiFi, geolocalización y bluetooth cuando no los uses.
  • Instala una app de seguridad móvil que incluya filtrado web, escaneo de apps, geolocalización y bloqueo y borrado remoto.

Esperemos que este tipo de iniciativas sirvan para que tomemos conciencia de las amenazas existentes para smartphones y tablets y adoptemos prácticas que ayuden a mejorar su protección.

Sophos lanza Sophos Intercept X, la tecnología antiexploit y antiransomware de última generación

Sophos anuncia la disponibilidad de Sophos Intercept X, un producto de seguridad enpoint de última generación que detiene el malware de día cero, los ataques sigilosos y las variantes exploit desconocidas, e incluye una funcionalidad avanzada antiransomware que permite detectar ataques desconocidos previos en cuestión de segundos. Sophos Intercept X se instala junto al software de seguridad endpoint ya existente de cualquier fabricante, y al instante impulsa la protección endpoint eliminando el código malicioso antes de que este se ejecute.

Sophos Intercept X combina cuatro componentes de seguridad esenciales que cualquier administrador de TI debería esperar de los productos de protección next-gen endpoint:

  • 1. Detección de amenazas y exploit sin firmas. Defensa antimalware y antihacker que bloquea las amenazas de día cero, los ataques residentes de memoria y amenazas desconocidas sin necesidad de escanear los documentos.
  • 2. CryptoGuard. Innovación antiransomware que identifica e intercepta la actividad de encriptación maliciosa, bloquea el ransomware antes de que bloquee los sistemas y puede hacer que los documentos encriptados vuelvan a su estado original.
  • 3. Analítcas de Causa Raíz. Análisis visuales en 360º de los ataques que permite ver de dónde proviene la amenaza, qué infectó, hasta dónde infectó y proporciona recomendaciones para prevenir ataques similares futuros.
  • 4. Sophos Clean. Muy útil para cazar y eliminar cualquier rastro de spyware y malware persistente e incrustado.

Desarrollado como un componente clave en la estrategia sincronizada de seguridad de Sophos, Intercept X está equipado con Security Heartbeat para compartir la inteligencia ante amenazas con las soluciones de última generación Firewall XGSafeguard Encryption, para una respuesta coordinada y automatizada frente a los ataques. El producto puede ser instalado y controlado de forma remota a través de la consola de gestión cloud Sophos Central, que permite a los administradores controlar y ajustar la configuración, distribuir licencias, añadir nuevos endpoints y realizar seguimiento de toda la actividad. Además, su panel de control exclusivo diseñado por los partners de Sophos muestra todos los servicios disponibles de Sophos Central para aportar niveles de protección más elevados para el cliente a la vez que ofrece a los partners oportunidades extra de ingresos recurrentes.

Los clientes y partners que participaron en el programa público de la versión beta, experimentaron las capacidades de protección de última generación de Sophos Intercept X, entre las que se incluye la habilidad de eliminar el impacto del ransomware al reconocer y detener casi de forma inmediata la actividad maliciosa encriptada y prevenir que los ataques se expandan a través de la red. Una vez la amenaza es neutralizada, los archivos infectados pueden volver a su estado original, ahorrando una cantidad de recursos, tiempo y dinero considerables.

En palabras de nuestro CEO Fernando Lianes, “Sophos Intercept X es una de las últimas tecnologías de seguridad que hemos estado reclamando para atender las necesidades de nuestros clientes. Junto con el resto de soluciones de seguridad de Sophos y su gran integración, gracias a Sophos Central, hemos conseguido y disfrutado de un despliegue sencillo e intuitivo; se trata del revulsivo perfecto para atender a las demandas de seguridad que requerían nuestros clientes para hacer frente a las siempre cambiantes y peligrosas infecciones de ransomware, y pudiendo liberar a los departamentos de TI de muchos de dolores de cabeza”.

3 ciberamenazas que surgen en vacaciones y de las que no eres consciente

El factor humano es uno de los principales riesgos en la ciberseguridad. Los ciberdelincuentes emplean todo tipo de trucos basados en ingeniería social para hacernos caer en sus trampas. Por otro lado, la educación en seguridad informática brilla por su ausencia, por lo que es fácil que nos estemos poniendo en peligro sin darnos cuenta.

En épocas vacacionales, cuando estamos fuera de nuestro hogar habitual, existen tres amenazas concretas que nos pueden poner en peligro y de las que muchos no son conscientes:

1. Uso de ordenadores públicos
Hay mucha gente que no tiene un portátil o que no le apetece cargar con él en sus vacaciones. Pero de vez en cuando queremos actualizar nuestros perfiles en las redes sociales, ver el estado de nuestra cuenta bancaria o simplemente chequear nuestro correo electrónico. Así que nos dirigimos a un cibercafé, biblioteca o cualquier otro ordenador público para realizar alguna de esas operaciones.

El uso de un ordenador compartido es muy peligroso ya que no sabemos si está limpio de malware o que tipo de medidas de seguridad han tomado. Debemos extremar las precauciones y seguir todas las recomendaciones que hemos dado en este artículo.

2. Wifis abiertas
Los datos móviles son caros, por lo que el uso de wifis abiertas está muy extendido. La mayoría de las veces confiamos en este tipo de conexiones ya que estamos en un lugar “conocido” (hotel, biblioteca, aeropuerto, etc) por lo que no pensamos que nuestra navegación por Internet puede ser espiada.

Sin embargo es muy fácil simular ese tipo de señales, y una vez alguien se conecte a una red comprometida, podrán espiar lo que hagamos así como introducirse en nuestros dispositivos.

3. Demasiada información en las redes sociales
Los delincuentes también usan las redes sociales como medio de trabajo. Las emplean para difundir sus estafas o llevarnos a webs comprometidas desde las que nos infectan con malware.

Sin embargo, otro uso habitual es comprobar si determinada persona está de vacaciones para proceder a robar en su domicilio. Entendemos que si vamos de vacaciones queramos que todos nuestros amigos compartan nuestras vivencias, pero compartir demasiada información puede volverse en nuestra contra. Mide bien vuestras publicaciones y repasa la configuración de privacidad para evitar miradas indiscretas.

Conclusión
El verano está para disfrutarlo. No permitas que un mal uso de las nuevas tecnologías se convierta en tu peor pesadilla. Cuidado dónde te conectas y lo que haces en ordenadores ajenos. Mantente alerta con las redes sociales, nunca sabes quien te puede estar siguiendo.

Apple publica un parche de seguridad que bloquea a los jailbreakers

Dos semanas después de que Apple publicara el iOS 9.3.3, una actualización que solucionaba muchas vulnerabilidades, incluida una que era similar al Stagefright de Android, publican una nueva que soluciona otro problema muy peligroso. En el primer caso el agujero de seguridad se encontraba en ImageIO, un componente que se usa para procesar y renderizar imágenes.

Probablemente ves muchas imágenes en tu iPhone a lo largo del día, no solo las que sacas con tu cámara, también las que recibes vía correo electrónico, Internet o apps de mensajería. Por eso, un problema en la gestión de imágenes es como un regalo de navidad para los ciberdelincuentes.

Con la nueva actualización iOS 9.3.4 se soluciona una incidencia similar relacionada con la gestión del sonido del componente IOMoleFrameBuffer. Apple, como ocurre habitualmente, no ofrece mucha información sobre el problema, solo que esta vulnerabilidad puede permitir la ejecución de código de forma remota con privilegios de kernel. Esto es como si a los malos les tocara la lotería dos veces ya que, al disponer de privilegios a nivel de kernel, pueden saltarse mucha limitaciones que controlan a las apps normales.

Jailbreak
Parece ser que el bug que acaba de ser subsanado fue descubierto por Team Pangu, un grupo de expertos en jailbreak. Los jailbreakers intentan encontrar vulnerabilidades en iOS, no para cometer crímenes, sino para liberar sus iPhones de las restricciones que les impone Apple, como que solo se pueda instalar apps desde el App Store.

Irónicamente, en esos mercados “no oficiales” de apps, no solo encontramos apps de baja calidad o que contengan malware, también hay aplicaciones de seguridad muy interesantes.

Por lo que sabemos, ningún ciberdelincuente estaba usando la vulnerabilidad descubierta por Team Pangu, pero una vulnerabilidad es una vulnerabilidad, por lo que tiene ser erradicada.

¿Qué hacer?
Como siempre recomendamos, instala los parches de seguridad lo antes posible.

Nunca nos ha parecido una buena idea que Apple cierre las posibilidades de un jailbreak, aunque seguimos insistiendo en que no se debe instalar apps fuera de los mercados oficiales.

 

QuadRooter, la vulnerabilidad que afecta a 900 millones de dispositivos Android

En la pasada conferencia sobre seguridad informática DEF CON 24 en Las Vegas, un grupo de investigadores presentó una serie de vulnerabilidades, que llamaron QuadRooter, que afectan a dispositivos con Android Marshmallow y anteriores que integren chips Qualcomm.

QuadRooter supone que un atacante podría tener un acceso total a nuestro dispositivo pudiendo, entre otras cosas, ver todos los ficheros, registrar y enviar lo que tecleemos, localizarnos por GPS o grabar audio y vídeo.

QuadRooter está compuesto por cuatro vulnerabilidades:

CVE-2016-2503 descubierto en el driver de la GPU de Qualcomm y solucionado en el Boletín de Seguridad de Google Android de julio de 2016.

CVE-2016-2504 encontrado en el driver de la GPU de Qualcomm y solucionado en el Boletín de Seguridad de Google Android de agosto de 2016.

CVE-2016-2059 localizado en el módulo kernel de Qualcomm kernel y solucionado en abril, aunque se desconoce el número de dispositivos parcheados.

CVE-2016-5340 presente en el driver de la GPU de Qualcomm y solucionado, aunque se desconoce el número de dispositivos parcheados.

Todo lo que un atacante necesita hacer para aprovecharse de estos agujeros de seguridad es instalar un malware en el dispositivo de la víctima. Esto se puede conseguir vía una app maliciosa o haciendo que se ejecute un pequeño programa.

Dispositivos afectados
Qualcomm es uno de los fabricantes de chips punteros a nivel mundial. Se calcula que hay unos 900 millones de dispositivos afectados. La siguiente lista muestra algunos de los principales dispositivos afectados:

Samsung Galaxy S7 and Samsung S7 Edge
Sony Xperia Z Ultra
OnePlus One, OnePlus 2 and OnePlus 3
Google Nexus 5X, Nexus 6 and Nexus 6P
Blackphone 1 and Blackphone 2
HTC One, HTC M9 and HTC 10
LG G4, LG G5, and LG V10
New Moto X by Motorola
BlackBerry Priv
¿Qué hacer?
Tres de las cuatro vulnerabilidades han sido solucionadas en las actualizaciones mensuales de seguridad de Google. La cuarta vendrá en la actualización de septiembre.

Como el problema se encuentra en los drivers que controlan el chipset, debemos esperar a que el fabricante del dispositivo o el operador de telefonía nos haga llegar esos parches para que estos sean efectivos.

Mientras tanto solo nos queda esperar y presionar para que envíen esos parches lo antes posible.