Ciberguerra Posts

Informe anual 2018 de ciberataques

Informe anual 2018 de ciberataques

Como cada año, la compañia ESET ha emitido su informe de actividades maliciosas del 2018 y estos son los ciberataques más comunes:

Pishing

El pishing no es un ataque nuevo, pero este año los ataques se han vuelto más sofisticados. De acuerdo a Antiphishing Working Group, durante el segundo trimestre del 2018, el 35% de los ataques de phishing se hospedaron en servidores que contaban con certificados de seguridad SSL. Para ponerlo en perspectiva y tengas una idea, en el 2016 el caso de sitios falsificados con certificados SSL era de apenas el 5%.

VPNFilter, ataque que ha infectado más de 500,000 routers en 54 países

VPNFilter, ataque que ha infectado más de 500,000 routers en 54 países





Esta amenaza apareció en 2016, pero hasta ahora ha salido a la luz pública.

VPNFilter es un sofisticado sistema de malware modular, el cual está siendo investigado por socios de seguridad e inteligencia del sector público y privado, como el FBI y Cisco. Y que tal parece ha sido financiado por el gobierno ruso.

Advertencia: El contenido de este POST es sumamente técnico pero cualquier duda, déjalo en los comentarios.

Telmex firma convenio con la Policía Federal en ciberseguridad

Telmex firma convenio con la Policía Federal en ciberseguridad

Telmex firmó este miércoles un convenio con la Policía Federal en materia de ciberseguridad con el que se busca intercambiar información y tecnología.

El convenio contribuirá al desarrollo de un entorno digital más seguro a través del intercambio de información, capacitación, tecnología y mejores prácticas de ciberseguridad y ciberinteligencia, al formar un frente común entre autoridades e iniciativa privada

Rugged OS, sistema operativo de misión crítica con grave vulnerabilidad

Antes que nada para los que no tienen lo conocen, un sistema operativo de misión crítica es un sistema que se espera que nunca falle porque si algo los paralizara, aunque fuera durante un breve espacio de tiempo, no sólo podría haber grandes pérdidas materiales, también se pondría en peligro la vida de mucha personas y la seguridad de la población.

Hablamos de los servicios de emergencia, de las urgencias hospitalarias, de los sistemas de trading en los que se basan las operaciones en Bolsa, de las redes de cajeros automáticos, de la defensa nacional, etc.

Sin duda, cualquier corte en el funcionamiento de alguno de los servicios mencionados causaría graves trastornos, por lo que es lógico que en materia de infraestructuras TI se haga todo lo posible para que esto no suceda.

En estados Unidos el Departamento de Seguridad Nacional ha lanzado una alerta tras el descubrimiento por un investigador de seguridad, de una grave vulnerabilidad en el sistema operativo Rugged OS utilizado en dispositivos de redes de misión crítica de la compañía canadiense RuggedCom.

Esta vulnerabilidad consiste en la identificación en Rugged OS de la clave privada RSA para la comunicación SSL entre un cliente y un dispositivo RuggedCom. Esta clave privada permitiría a un atacante interceptar el tráfico de red y acceder a los dispositivos.

Dispositivos que no son cualquiera ya que están destinados a una amplia gama de infraestructuras críticas, incluidas líneas de ferrocarril, sistemas de control de tráfico, subestaciones eléctricas o instalaciones militares.

Es la segunda vez en cuatro meses que se descubren vulnerabilidades en estos sistemas y en abril, el mismo investigador descubrió una puerta trasera en el sistema operativo de Rugged que permitía acceder a los dispositivos con un nombre de usuario tan simple como «factory» y una contraseña fácilmente revelada escribiendo únicamente la dirección MAC del equipo en cuestión en un script simple en Perl.

Acceso sumamente sencillo para alguien sin grandes conocimientos vía telnet o una shell remota para acceso a todo el sistema. Seguimos preguntándonos ¿son seguros estos sistemas de misión crítica?

Dorifel y Gauss nuevos virus de espionaje bancario

Virus Dorifel

Un nuevo malware conocido como Dorifelha infectado miles de negocios en Holanda y Europa y los investigadores dicen que está robando datos de banca online. La empresa de seguridad rusa Kaspersky Lab ha dicho que el ataque muestra un patrón de comportamiento algo extraño, como cifrar la información descargada y establecer conexiones de red seguras.

Los investigadores aseguran que Dorifel podría estar relacionado con Zeus, porque han descubierto que los servidores que alojan los componentes de control del malware también almacenan otros ataques, así como la información financiera robada.

Inicialmente la infección de Dorifel se extiende a través de email con un enlace que, cuando se ingresa lleva al usuario a un sitio web desde el que se descarga un código binario. Después del malware descarga un segundo componente que cifra los archivos en la máquina infectada. Dorifel también busca en las redes compartidas y cifra todos los archivos que encuentra.

Virus Gauss

De nuevo la empresa de seguridad rusa Kaspersky, ha publicado información de un nuevo especimen bautizado como Gauss (Trojan-Spy.Win32.Gauss) capaz de espiar las transacciones bancarias, robar información de acceso a redes sociales o correo electrónico y atacar infraestructuras críticas.

De la misma saga que armas cibernéticas como Stuxnet y Flame, con los que comparten algunas funciones como subrutinas de infección por USB, se cree que Gauss fue creado a mediados de 2011 y desplegado en septiembre del mismo año en oriente Medio, con objetivos como las entidades BlomBank en Líbano, ByblosBank y Credit Libanais, además de Citibank y PayPal.

Gauss fue descubierto en el transcurso de los esfuerzos iniciados por la Unión Internacional de Telecomunicaciones (UIT), tras la aparición de Flame. El esfuerzo está dirigido a la mitigación de los riesgos planteados por las ciberarmas, un componente clave en la consecución del objetivo general global en materia de paz.

Gauss es un complejo conjunto de herramientas de espionaje cibernético creado por los mismos actores detrás de la plataforma de software malicioso Flame. Es altamente modular y soporta nuevas funciones que se pueden desplegar de forma remota por los operadores en forma de plug-ins.

Además de robar varios tipos de datos de máquinas Windows infectadas, incluye una carga desconocida, cifrada, que se activa en determinadas configuraciones del sistema.

Todas estas herramientas de ataque representan el extremo del ciberespionaje y las operaciones de guerra cibernética patrocinadas por los estados

Señala Kaspersky Lab en su informe.

¿Deseas saber si te encuentras infectado? visita la siguiente dirección:
http://95.211.172.144/gauss/ si ves un mensaje que dice «»Palida Narrow was not found.» no estás infectado.