- sistema & mantenimiento -

EST. 1991

** CONTACTO **
www./sysmain.es/sysmain.com
/sysmain.info/sysmain.eu
/sysmain.net/sysmain.com.es
/sysmain.org.es/sysmain.org
SySmain | Delitos Informáticos
56
archive,tag,tag-delitos-informaticos,tag-56,ajax_updown_fade,page_not_loaded,boxed,select-theme-ver-3.2.3,side_area_uncovered,,wpb-js-composer js-comp-ver-4.12,vc_responsive

Descubren grave fallo de seguridad en protocolo WPA2 de redes Wi-Fi

La vulnerabilidad permite interceptar las conversaciones aprovechando un fallo en los four-way handshakes.

Un fallo de seguridad en el protocolo WPA2 ha sido explotado para conseguir escuchar el tráfico de los dispositivos que se comunican mediante Wi-Fi. Se trata de una vulnerabilidad en la administración de los llamados four-way handshake, verdaderos “apretones de mano virtuales” que llevan a cabo los dispositivos electrónicos que desean entablar una comunicación.

La investigación se basó en KRACK (abreviado de Key Reinstallation Attacks), un software desarrollado específicamente para probar el exploit por Mathy Vanhoef y Frank Piessens en la universidad belga KU Leuven. La vulnerabilidad fue celosamente guardada durante semanas antes de la divulgación hoy lunes 16 de octubre.

Acorde con la investigación, el método funciona explotando los four-way handshakes que se utilizan para establecer una clave para encriptar el tráfico de los sistema Wi-Fi. En la terminología del protocolo WPA (largamente presente en los routers de Wi-Fi que se encuentran en todos lados), un four-way handshake es un paquete de datos que se intercambian entre un punto de acceso y un cliente cuando es necesario realizar un proceso de autenticación.

Durante el tercer paso de ese proceso, la clave puede ser reenviada múltiples veces. Y cuando es reenviada, se puede reutilizar un “nonce criptográfico” (o número arbitrario) para debilitar el cifrado.

Esta debilidad en el protocolo deja una puerta abierta para espiar el tráfico Wi-Fi (sniffing) mediante la información que se traspasa entre las computadora personales y los puntos de acceso.

Tras nuestra investigación inicial, descubrimos que Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys y otros, se ven afectados por alguna variante de los ataques. Para obtener más información sobre productos específicos, puedes consultar la base de datos de CERT / CC o comunicarse con su proveedor.

En tanto, las vulnerabilidades ya han sido indexadas como: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088. Es importante considerar que el prefijo CVE (Common Vulnerabilities and Exposures), es utilizado para identificar mediante una lista las vulnerabilidades que han sido publicadas, aunque de momento se están esperando parches oficiales de seguridad.

Por su parte, el centro de investigación informática CERT consignó en un comunicado que:

Se han descubierto varias vulnerabilidades de administración en el ‘4way-handshake’ del protocolo de seguridad Wi-Fi Protected Access II (WPA2). El impacto de la explotación de estas vulnerabilidades incluye poder realizar descifrados, repetición de paquetes, ‘hijacking’ de conexión TCP, inyecciones a contenido HTTP, entre otros. Es importante tener en cuenta que la mayorías de las implementaciones del estándar se verán afectadas.

Fuente: FayerWayer

TeamSpy, un malware que utiliza TeamViewer para controlar los PCs

TeamViewer es una de las mejores aplicaciones que podemos encontrar para controlar un ordenador de forma remota a través de Internet. Esta herramienta se utiliza tanto en entornos empresariales, pagando su correspondiente licencia de uso, como en entornos domésticos, sin fines profesionales, donde podemos utilizarla de forma gratuita. Sin embargo, el éxito de esta herramienta también la convierte en un objetivo muy viable para los piratas informáticos, quienes constantemente buscan la forma de poder utilizarla para sus propios fines, por ejemplo, tal como hace el malware TeamSpy.

Hace algunas días, los expertos de seguridad de Avast publicaban un informe en el que analizaban el malware TeamSpy, un nuevo malware que ha empezado a circular por la red y que hace uso de TeamViewer para controlar de forma remota los ordenadores de las víctimas. Es cierto que esta amenaza no es nueva, y es que, hace varios meses, otras empresas de seguridad como Hemidal Security detectaron cierta actividad de esta amenaza, incluso en 2013 fue cuando este malware empezó sus andadas, sin embargo, en las últimas semanas, los piratas informáticos responsables de TeamSpy han intensificado su campaña y, además, lo han hecho con una nueva versión (la 6.0), la cual es mucho más agresiva y complicada de detectar.

Este malware se instala en los ordenadores utilizando la conocida técnica de las macros de Word. Los piratas informáticos detrás de este malware envían un documento adjunto a través de correos electrónicos y, cuando la víctima los ejecuta, les pide permiso para ejecutar estas macros ya que, por defecto, Word las bloquea para evitar, precisamente, infectarnos de malware.

TeamSpy - Ejecutar Macro

Cuando la víctima acepta la ejecución de la macro, el malware comienza su infección. Una vez cargado en la memoria, el malware se conecta a un servidor alojado en Rusia desde el que descarga una supuesta imagen, que en realidad oculta un .exe protegido con una contraseña, que, al ejecutarlo, descarga una versión modificada de TeamViewer.

La mayoría de los archivos son los originales de la aplicación oficial de TeamViewer, e incluso mantienen la firma de la compañía, excepto dos de ellos, msimg32.dll y tvr.cfg. El primero de ellos es donde se oculta el malware como tal, el que controlará la versión modificada de TeamViewer, mientras que el segundo solo almacena la configuración por defecto de TeamSpy.

Todo TeamViewer se ejecuta en segundo plano, por lo que el usuario no ve nada. Además, el malware utiliza 50 APIs diferentes para ocultar el proceso de la lista de procesos de manera que sea imposible levantar sospechas sobre la infección. El malware se encarga de enviar al servidor de control el usuario y la contraseña de la víctima en todo momento, permitiendo que los piratas informáticos puedan así conectarse al ordenador de forma remota y tener el control absoluto del sistema infectado por este malware.

Una vez establecida la conexión remota, el pirata informático puede controlar el ordenador por sí mismo o enviar instrucciones al malware a través del propio chat integrado en TeamViewer.

Cómo protegernos de TeamSpy

Como siempre, los piratas informáticos utilizan el correo electrónico basura, Spam, para enviar el malware a los usuarios, por lo que no existe un vector de ataque concreto ni un grupo de víctimas específico. Por ello, si utilizamos un buen filtro de correo electrónico, en un principio no tendríamos de qué preocuparnos, ya que probablemente detecte el correo como Spam y lo eliminará.

Si por alguna razón recibimos este malware y descargamos y ejecutamos el archivo adjunto, Word bloqueará la macro para evitar infectarnos, por lo que, en ese caso, simplemente cerrando el documento abierto ya estaríamos de nuevo protegidos.

En caso de haber ejecutado ya el documento y la macro, probablemente estemos infectados por este malware. En ese caso, lo mejor en reiniciar el ordenador cuanto antes en modo seguro y pasarle un software antivirus actualizado cuanto antes para que este detecte y elimine la amenaza.

¿Has visto en otras ocasiones otras amenazas similares que utilicen aplicaciones de confianza, como TeamViewer, para hacer de las suyas?

 

Fuente: RedesZone

Un potente ciberataque afecta a grandes empresas de todo el mundo

Ucrania, con el metro de Kiev o el Gobierno, es el país con más entidades ‘hackeadas’. También el gigante ruso Rosneft o la danesa Maersk han sido atacadas

Una empleada de Oschadbank, junto a un cajero afectado por el virus, este martes en Kiev. FOTO VALENTYN OGIRENKO 

Los piratas informáticos han vuelto a poner en jaque a empresas, bancos e instituciones de todo el mundo. Este martes, decenas de compañías y entidades en varios países han sido víctimas de un potente ciberataque ransomware, un secuestro de datos. Las más afectadas por el hackeo están en Ucrania, Rusia, Reino Unido e India, según la agencia gubernamental de Suiza. También empresas de Italia, Polonia, Alemania y Estados Unidos han sido golpeadas por los piratas, que emplean un sistema muy similar al que hace un mes infectó a unos 300.000 equipos en todo el mundo, y que piden un pago de 300 dólares a través de bitcoin para liberarlos.

Los expertos apuntan a que el responsable de la infección es el virus Petya o Petrwrap. Kaspersky afirma que es uno nuevo

En Ucrania, el Banco Central, el metro de Kiev, la compañía estatal de la energía o la red informática del Gobierno ucranio, han sido atacados. Además, el gigante petrolero estatal ruso Rosneft, la multinacional danesa Moller-Maersk, la farmacéutica MSD o el holding británico WPP también han sido víctima de los piratas. El ciberataque también ha golpeado a varias multinacionales con oficinas en España, como ha confirmado el equipo especializado del Centro Nacional de Inteligencia (CNI).

Así está siendo el ataque

El equipo especializado en detección ciberataques del Gobierno español (CERTSI) ha difundido cómo está siendo el ciberataque y los equipos afectados. Así es:
Recursos afectados: Equipos con sistemas Windows.
Descripción: Se está produciendo una infección de equipos con sistemas Windows en diferentes organizaciones, por un malware del tipo ransomware y de la familia conocida como Petya o Petrwrap, y solicitando un pago a través de bitcoin de 300 dólares.
Solución: Se desconoce el método de infección con esta variante de Petya o Petrwrap, su propagación sería similar a WannaCry, pero también podría propagarse a través de otros mecanismos habituales de este tipo de malware.
Se recomienda tomar las siguientes medidas preventivas:
  • Mantener sus equipos actualizados tanto su sistema operativo como otro software instalado.
  • No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.
  • Realizar copias de seguridad de sus ficheros.
  • Mantenerse al tanto de las últimas informaciones que puedan publicarse sobre esta oleada.
Detalle: La infección se está produciendo a través de equipos con sistemas Windows en diferentes organizaciones, y afectando especialmente a Ucrania.

El virus es un ransomware similar al utilizado en el ciberataque de Wannacry el pasado mayo, que se basa en una tecnología robada a la Agencia de Seguridad Nacional de EEUU (NSA, por sus siglas en inglés) y después filtrada como denuncia por el grupo Shadow Brokers. Afecta a ordenadores Windows. Algunos expertos y la compañía ucrania Novaia Potchta, una de las afectadas, afirma que se trata del virus Petya o Petrwrap. Sin embargo, el laboratorio del gigante ruso en seguridad informática Kaspersky afirma que se trata de uno nuevo, nunca antes visto; por eso lo ha llamado NotPetya.

El primer ministro ucranio, Volodymir Groysman, ha descrito el ciberataque como “inédito”; mientras que el secretario del Consejo de Seguridad de Ucrania, Oleksandr Turchynov, ve “indicios” de que Rusia esté detrás del ataque, aunque no ha ofrecido datos ni evidencias de ello. Ucrania, en un conflicto enquistado con Rusia desde hace más de tres años, ya ha acusado a Rusia antes de ser autor de varios ciberataques a gran escala a sus infraestructuras eléctricas. Ha sido Ucrania la que ha dado la voz de alarma del inicio del ataque informático, que parece extenderse a medio mundo.

De hecho, según el gigante de antivirus ruso Kaspersky, el 30% de las compañías e instituciones atacadas están en Rusia y otro 60% en Ucrania. Allí, se ha visto afectado el sistema que monitoriza el nivel de radiación de la planta nuclear de Chernobyl, que sufrió un gravísimo accidente nuclear en 1986 en uno de los reactores, que ha sido sellado. La central ha pasado al modo manual de análisis, informa Reuters

 

La escala, la diversidad de empresas y países afectados por estos hackeos (que no son teledirigidos, según los expertos) vuelve a mostrar la vulnerabilidad de compañías e instituciones ante los ataques informáticos, que pueden paralizar un país. “Todos los sistemas se han caído en todas las sedes y están afectadas todas las unidades de negocio”, ha confirmado una portavoz de Moller-Maersk, que tiene distintas divisiones dedicadas a los sectores del transporte y la energía y que dispone de sedes en 130 países. El ataque a una de sus empresas, APM Terminals, que se encarga del tráfico portuario y de mercancías, ha paralizado sus operaciones en sus terminales de los puertos de Róterdam —uno de los más importantes del mundo— y los cinco españoles donde opera.

En Ucrania, operaciones y transacciones en decenas de bancos se han visto interrumpidas por el ciberataque. Allí, la compañía nacional eléctrica y el banco Oschadbank, uno de los mayores del país, se han visto seriamente afectados. Los medios ucranios relatan que los paneles que informan de las salidas y llegadas en el principal aeropuerto de Kiev, el Boryspil, ha sido víctima del ciberataque. El director del aeropuerto ha reconocido que la situación está fuera de control y que probablemente se retrasen o cancelen vuelos.

Mikhail Golub, un ciudadano de Kiev, asegura por teléfono que ha tenido problemas para pagar en el supermercado Auchan (Alcampo) con su tarjeta de crédito y que ha tenido que pagar con efectivo. “No tengo miedo porque mi dinero está en un banco que no ha sido atacado”, afirma. Uno de sus amigos, que vive en otra ciudad ucrania, Járkov, ha tomado una fotografía de los ordenadores del supermercado Rost colapsados por el ciberataque. “Nadie sabía qué sucedía”, comenta.

También el servicio postal UkrPoshta y los bancos OschadBank y Privatbank han avisado de que no tienen sus ordenadores operativos. El metro de Kiev ha alertado en las redes sociales de que también ha sido víctima del ciberataque y ha informado de que los trenes no se han parado pero sí los sistemas de compra de billetes, que han dejado de funcionar. Otras muchas empresas públicas y privadas e instituciones han sido atacadas por el virus informático, entre otras, la manufacturera de aviones Antonov o las empresas de venta Citrus, Foxtrot, EpicenterK.

El virus que se ha lanzado este martes se aprovecha de una vulnerabilidad en el protocolo para compartir en red de los sistemas operativos Windows, que ya sirvió en mayo a WannaCry y que muchas empresas todavía no habían corregido. Entre las afectadas están importantes compañías como la petrolera Bashneft y la siderúrgica y minera Evraz, propiedad del magnate Roman Abramovich (ambas rusas). Ambas —como Rosneft— afirman que su producción no se ha visto afectada. El holding británico WPP —que tiene entre otras JWT, Ogilvy & Mather, Young & Rubicam and Grey— y la multinacional de vidrio y acero francesa Saint Gobain  también están entre las hackeadas. Entre las atacadas también hay empresas estadounidenses, como la farmacéutica MSD o la firma jurídica DLA Piper.

Vulnerabilidad

Fernando Carrazón, director de tecnología de GoNetFPI, compañía española para la prevención del fraude en ciberseguridad, apunta que las atacadas son, en su mayoría, compañías medianas, y no grandes corporaciones como las que sufrieron el 12 de mayo WannaCry. “Lo importante ahora es ver cómo se propaga la infección para saber las dimensiones globales de este virus”, señala el jefe de Tecnología de IOActive, César Cerrudo. Interpol está analizando lo sucedido.

David Barroso, fundador de la compañía de ciberseguridad CounterCraft, apunta que por ahora imposible saber de dónde procede el ataque. “Es muy sencillo manipular los indicios de un ataque para poder culpar a otro grupo o nación”, dice. “Lo que sí que es cierto, es que hay muchas relaciones con Ucrania, puesto que Ucrania está siendo uno de los mayores afectados, además de que el propio malware parece que ha utilizado un fallo en la actualización de un producto financiero ampliamente utilizado en Ucrania (MeDoc) para poder propagarse de forma masiva en ese país, lo que, o bien el que está detrás quiere hacer realmente daño a Ucrania, o bien es una pista falsa para poder culpar a otra nación del ataque”.

El experto en ciberataques César Cerrudo sostiene que desde el macroataque cibernético que afectó a casi todos los países del mundo el pasado mayo aún quedaron “cientos de miles de ordenadores expuestos a más agresiones, pues no habían realizado la actualizaciones necesarias para protegerse”. Cerrudo, no obstante, asegura que a raíz del ataque de mayo, el mundo está más y mejor preparado para responder a una agresión de este tipo.

Este tipo de ransomware se suele propagar por el mero hecho de abrir un correo electrónico o un archivo adjunto o la instalación de un programa en el ordenador. Ante un ataque de semejantes dimensiones lo primero que hay que hacer, explica este experto, es “aislar los sistemas”, después hay que analizar el malware y ver cómo se propaga, que puede llevar “varias horas”.

El ‘hackeo’ afecta a España

H. Gutiérrez., Madrid

El ciberataque ha llegado a algunas multinacionales que están presentes en España. La farmacéutica MSD, por ejemplo, ha sufrido problemas en sus ordenadores y ha enviado a casa al menos a un grupo de trabajadores. La compañía de alimentación Mondelez ha confirmado que “está sufriendo una incidencia en sus sistemas de información a nivel internacional”. Trabajan para solucionarlo. “El equipo global de gestión de situaciones especiales está trabajando en ello para encontrar una solución lo más rápido posible”, han explicado en un comunicado.

La naviera Maersk, que tiene terminales en varios puertos españoles (Algeciras, Barcelona, Valencia, Castellón y Gijón, de los más importantes del país), ha confirmado en su cuenta de Twitter que también ha sufrido el ataque. En el caso de España, explican fuentes de la empresa, las terminales están paradas y con los aparatos informáticos apagados. En las computadoras, que se apagaron y encendieron por sorpresa, aparecía un mensaje que avisaba del ataque. Han comunicado a la plantilla que no accedan al correo ni a ninguna aplicación de la empresa.