Categoría : Noticias de Seguridad

Inicio/Archivo por Categoría Noticias de Seguridad (Page 5)

Te Esperamos en el CELAES 2015

Este 15 y 16 de Octubre, Ethical Hacking Consultores participará como Sponsor en el CELAES 2015, donde estaremos haciendo algunas demostraciones en vivo en materia de ciber ataques a canales alternos y cajeros ATM junto con las recomendaciones y soluciones de seguridad necesarias para protegerse de los mismos.

Te invitamos a que nos visites en el Stand No. 58, recojas tu souvenir y te diviertas con nosotros aprendiendo temas nuevos en Seguridad Informática aplicada a la Banca y Entidades Financieras.

A demás estaremos entregando información detallada de todos nuestros servicios, brochures, cartera de clientes con los que trabajamos actualmente, los proyectos innovadores que estamos desarrollando y algunos obsequios geeks.

Flyer CELAES - EHC (1)

 

No olvides recoger tu souvenier en nuestro Stand N° 58.

 

Si desees agendar una reunión con nosotros durante tu estadía en el CELAES 2015, puedes contactarnos a través de los siguientes medios:

www.ehacking.com.bo | info@ehacking.com.bo | T. +507 297-4019 | M. +507 6983-6454

Nos encontramos ubicados en el Edificio Tower Bank Financial Center, Piso 35, Ofc. 26, Calle 50, Ciudad de Panamá, Panamá.

TE ESPERAMOS.

Invertiremos 20.000 $us en patrocinios hasta febrero de 2016

Como parte de nuestra política de branding y expansión a nivel internacional, la empresa ha decidido empezar con una pequeña inversión de 20.000 $us para patrocinar diferentes eventos de seguridad de acá a febrero del 2016 en los que veamos como potencial la difusión de nuestra marca y las oportunidades de clientes potenciales al poder tener presencia como firma de Seguridad Informática.

Debido a que hoy en día vivimos en un mundo globalizado donde las fronteras van desapareciendo y la competencia va en crecimiento día a día, es que estamos apostando a esta iniciativa, la cual tiene como primer objetivo patrocinar eventos de seguridad informática en toda Latinoamérica y el Caribe hasta febrero del 2016 para hacer una evaluación de las metas cumplidas y oportunidades conseguidas.

Para el 2016, de marzo en adelante, tenemos como objetivo ampliar este presupuesto de patrocinio a 50.000 $us para poder participar como patrocinadores en los eventos mas importantes de Seguridad a nivel internacional, expandiendo nuestros servicios a EEUU, Europa y Asia con quienes ya estamos iniciando algunas negociaciones actualmente.

Nuestros primeros 5.000 $us de patrocinio fueron para el CELAES 2015, uno de los eventos mas grandes a nivel internacional en seguridad bancaria que este año se realizará en Panamá y cuenta con la presencia de mas de 150 bancos internacionales, donde podrás encontrarnos en nuestro stand, para conocer a fondo toda la gama de servicios y productos de seguridad bancaria que ofrecemos. No me extiendo más en esta información porque ya hay otro artículo entero que habla sobre este evento pero los invito a que se informen un poco más en el website del congreso celaes2015.com.

Así que si eres el organizador de algún evento de Seguridad Informática o conoces de alguno que se esté organizando en tu país o ciudad durante estas fechas y creas que sería interesante que participemos como Patrocinador (sponsor), puedes contactarnos fácilmente con un correo a la dirección info@ehacking.com.bo y nuestro equipo se pondrá en contacto contigo.

Que tengas excelente semana.

Kaspersky Lab detecta ataques cibernéticos a telecajeros en México

El sector bancario es uno de los que mayor cantidad de ataques informáticos sufre y México no es la excepción. Razones más que obvias salen a relucir y según las predicciones de Kaspersky Lab para el 2015, dichos ciberataques dirigidos a través de software maliciosos que les permiten suministrar dinero directamente de los cajeros automáticos aumentarían.

Costin Raiu, director del equipo de Análisis e Investigación Global deKaspersky Lab, comentó que los días en que las bandas de ciberdelincuentes enfocadas exclusivamente en robar dinero de los usuarios finales habían acabado. “Ahora, los delincuentes atacan directamente a los bancos porque es ahí es donde se encuentra el dinero”.

Este pronóstico fue validado hace unos días con el descubrimiento de GreenDispenser, un malware descubierto por investigadores de la industria que le permite a un atacante la capacidad de vaciar el dinero de cajeros automáticos infectados.

Según los análisis, el código malicioso se conecta al middleware XFS (extensiones para servicios financieros) implementado en varios ATMs basados en Windows.  Esta plataforma permite la interacción entre el softwarey los dispositivos periféricos de un cajero automático, como el teclado de PIN o dispensador de efectivo.

Una vez instalado, el cajero automático muestra un mensaje de ‘fuera de servicio’ en la pantalla. Mientras los clientes regulares no podrán utilizar el ATM, los atacantes que ingresen los códigos PIN correctos podrán vaciar todo el dinero de los cajeros automáticos y borrar el malware utilizando un proceso de eliminación profundo, dejando poco o ningún rastro de cómo el ATM fue vulnerado.

Aunque por ahora el malware solo ha sido detectado en México, se anticipa que también se empleará en otros países de la región.

Fabio Assolini, analista sénior de Kaspersky Lab, señala que los cibercriminales de América Latina están invirtiendo constantemente en el desarrollo de nuevo código malicioso para cajeros automáticos y advierte que los bancos e instituciones financieras de la región deben de estar atentos a esta gran amenaza.

“Los criminales de la región, especialmente en México y Brasil, están organizados y generalmente operan con cibercriminales de otros países buscando infectar al mayor número de cajeros automáticos. Ellos emplean su conocimiento local con técnicas de malware exportadas de los países de Europa del este para crear ataques locales únicos”.

Además, lo que empeora esta situación, según el experto, es que la mayoría de los cajeros automáticos todavía corren en sistemas operativos antiguos que son fáciles de infectar, como Windows XP o Windows 2000.

Analistas de Kaspersky Lab prevén este ataque como una tendencia que seguirá en crecimiento. Durante el primer trimestre de 2015, Kaspersky Lab reveló a Carbanak, la APT (amenaza persistente avanzada) que había robado hasta mil millones de dólares, iniciando una era de ataques estilo APT en el mundo de la ciberdelincuencia.

En el 2014, Kaspersky Lab informó acerca de la campaña de fraude cibernético Luuuk que se enfocaba en los clientes de un banco europeo importante. En el periodo de sólo una semana, los ciberdelincuentes robaron más de medio millón de euros de cuentas del banco.

Luego, en octubre de ese mismo año, el equipo de Análisis e Investigación Global de Kaspersky Lab reveló los ataques de malware de delincuencia cibernética Tyupkin  que se centraban en cajeros automáticos de todo el mundo. Este códigomalicioso infectaba a los cajeros automáticos y les permitía a los atacantes vaciar las máquinas mediante una manipulación directa, con el cual robaron millones de dólares sin utilizar ni una tarjeta de crédito.

Expertos de Kaspersky Lab recomiendan siempre mantener actualizados los sistemas de punto de venta o cajeros automáticos e instalar una solución antivirus ya que el factor común en la mayoría de los ataques es el sistema operativo. La tecnología Dafult Deny incluida en Kaspersky Antivirus bloquea la ejecución de programas ejecutables desconocidos.

Kaspersky Lab detecta y neutraliza a GreenDispenser como Trojan-Banker.Win32.GreenDispenser.a 

Fuente: cioal

Hackean Impresoras inalámbricas con el uso de un Celular y un Drone

Se podría pensar que nuestro trabajo esta protegido dentro de las oficinas ubicadas en una torre de más d 30 pisos de altura, por lo tanto nuestro Wi-Fi se encuentran fuera del alcance de los hackers que quisieran robar documentos confidenciales.

Pero los investigadores de Singapur han demostrado cómo los atacantes utilizando un avión no tripulado más un teléfono móvil podría interceptar fácilmente documentos enviados a una impresora aparentemente inaccesibles, lo que ocurre es que éstas tiene Wi-Fi abierta. El método que idearon pretende en realidad ayudar a las organizaciones a determinar de forma barata y fácil si tienen dispositivos Wi-Fi vulnerables que se puede acceder desde el “cielo”. Pero la misma técnica también podría ser utilizado por los espías corporativos cuya intención sea espionaje económico.

El Drone es simplemente el transporte utilizado para transportar a un teléfono móvil que contiene dos aplicaciones diferentes diseñadas por los investigadores. Uno, que ellos llaman Cybersecurity Patrol, detecta las impresoras Wi-Fi abiertas y se puede utilizar con fines defensivos para descubrir dispositivos vulnerables y notificar a las organizaciones que están abiertos a los ataques. La segunda aplicación realiza la misma actividad de detección, pero a los efectos de los ataques. Una vez que se detecta una impresora inalámbrica abierta, la aplicación utiliza el teléfono para establecer un punto de acceso falso que imita los documentos de la impresora e intercepta los documentos destinados al dispositivo real.

“En Singapur hay muchos rascacielos, y sería muy difícil llegar al piso 30 con su notebook si no existe el acceso físico”, dice Yuval Elovici, jefe de iTrust, un centro de investigación de seguridad cibernética en la Universidad de Tecnología y Diseño de Singapur. “Un avión no tripulado puede hacerlo fácilmente. Este es el punto principal de la investigación, el cierre de la brecha física con el drone con el fin de lanzar el ataque o escanear fácilmente los dispositivos vulnerables de toda la organización. Los estudiantes investigadores Jinghui Toh y Hatib Muhammad desarrollaron el método bajo la guía de Elovici como parte de un proyecto de defensa cibernética patrocinada por el gobierno. Se centraron en las impresoras inalámbricas como su objetivo porque dicen que estas son a menudo un punto débil pasado por alto en las oficinas. Muchas impresoras Wi-Fi vienen con la conexión Wi-Fi abierta por defecto, y las empresas se olvidan de que esto puede ser un método para robar datos desde afuera.

Para el demo utilizan un avión no tripulado estándar de la firma china DJI y un teléfono Samsung. Sus búsquedas de aplicaciones de teléfonos inteligentes para SSID de la impresora abiertas y SSID empresa. De los SSID, la aplicación puede identificar el nombre de la empresa que está escaneando, así como el modelo de la impresora. A continuación, se hace pasar por la impresora y obliga a todos los equipos cercanos a conectarse a él en lugar de la impresora real. Una vez que un documento es interceptado, lo cual toma sólo unos segundos, la aplicación puede enviarlo a la cuenta de Dropbox de un atacante mediante 3G o 4G de conexión del teléfono, y enviarlo a la impresora real por lo que una víctima no sabría el documento había sido interceptado .

La zona de ataque está limitada a 26 metros de radio. Pero con hardware dedicado, un atacante podría generar una señal de que es mucho más fuerte y ampliar esa gama más lejos, señala Elovici. Cualquier equipo dentro de la zona de ataque podrá optar por conectarse a la impresora falsa sobre la real, incluso si la impresora real está más cerca en la proximidad de la canalla.

Un Drone que se asoma fuera de un edificio de oficinas es probable que se pierda, por lo que el uso de este método para un ataque tiene desventajas obvias. Pero el objetivo de su investigación era demostrar principalmente que los adversarios mismos no necesitan ser colocados cerca de un dispositivo Wi-Fi para robar datos. Un hacker podría controlar un avión no tripulado de media milla de distancia o, en el caso de los aviones no tripulados autónomos, en ninguna parte cerca del edificio en absoluto.

En cuanto a lo que necesitaría la App para realizar una exploración inicial que detecte los dispositivos vulnerables en el edificio es que la impresora, o bien, la señal del Wi-Fi tenga un alcance por lo menos de unos 30 metros, señala Elovici.

En cuanto al teléfono móvil, crear una impresora falsa no era trivial, sin embargo, después de comprar una impresora HP6830, ellos utilizaron ingeniería inversa del protocolo de la impresora para comunicarse con los ordenadores que envían los documentos. Luego se arraigan un teléfono Samsung para instalar el sistema operativo. Para la aplicación, escribieron un código Python que simula la impresora HP.

Cualquier organización que están más interesados ​​en el descubrimiento de dispositivos vulnerables que atacarlos simplemente puede instalar la aplicación Cybersecurity Patrol en un teléfono y adjuntarlo a un avión no tripulado para analizar sus edificios para impresoras sin garantía y otros dispositivos inalámbricos. Un avión no tripulado no es esencial para esto, sin embargo, a medida que los investigadores muestran en su vídeo de demostración (arriba), un teléfono que contiene su aplicación se puede conectar a una aspiradora robot y establecerse dentro de una oficina para buscar los dispositivos vulnerables, ya que limpia los pisos de una compañía.

“El punto de la investigación principal era desarrollar un mecanismo para tratar de patrullar el perímetro de la organización y encontrar impresoras abiertas desde fuera de la organización”, dice Elovici.

Fuente: wired

WordPress ha parcheado Vulnerabilidades en el Plugin Jetpack

Después de algunos errores críticos que fueron descubiertos recientemente y parcheados en el núcleo del motor de WordPress , cosa que es rara en cuanto a la seguridad relacionada con WordPress, el orden aparentemente ha sido restaurado con el descubrimiento de una vulnerabilidad crítica en un plugin popular.

Plugins inseguros han estado en el corazón de numerosos ataques lanzados desde sitios comprometidos de WordPress. Uno de ellos fue parcheado esta semana en Jetpack, un plugin que se ha descargado más de un millón de veces. Jetpack permite a los administradores de sitios web añadir características de personalización, contenido móvil, tráfico y otras herramientas de seguimiento en cuanto a rendimiento.

Investigadores de Sucuri reportaron una grave cross-site scripting (inseguridad informática) almacenada en el plugin el 10 de septiembre, que fue parcheado el lunes. Ayer, la empresa de seguridad dio a conocer detalles sobre la falla, que afectó versiones Jetpack 3.7 y anteriores.

La vulnerabilidad estuvo presente en el módulo de contactos en forma de plugin, que está activada de forma predeterminada. Si se realizan con éxito  ataques contra la falla podrían exponer a los sitios utilizando el plugin para una serie de problemas que incluye una puerta trasera que permitiría a un hacker ir y venir a su antojo.

“Un atacante puede aprovechar este problema al proporcionar una dirección de correo electrónico malicioso especialmente diseñado en una de las páginas del formulario de contacto de la web,” Sucuri investigador Mac-Alexandre Montpas escribió en un aviso publicado ayer. “A medida que el correo electrónico no se verifica apropiadamente antes de que salga en el ‘Feedback’ sección administrativa, el atacante podría usar este error y un poco de hackeo en el navegador web para ejecutar un código JavaScript en el extremo del administrador, lo que les permite hacer lo que quiere con el sitio”.

A diferencia reflectantes vulnerabilidades cross-site scripting, fallas XSS almacenadas son explotadas cuando el atacante pasa un código al servidor web y espera a que el usuario inicie sesión, si se trata de un abonado, autor o administrador.

“El atacante sólo tiene que esperar a que el usuario “correcto” inicie sesión, sin introducir indicadores adicionales que podrían alertar al administrador (campaña de phishing)”, dijo Montpas. “A esto se suma la popularidad de un plugin como JetPack, desplegado por defecto en muchas instalaciones a través de sus anfitriones o los paquetes de instalación.”

Sucuri ha publicado detalles técnicos en su asesoramiento, pero en fin, sus investigadores encontraron una manera donde la “entrada” no fue verificada apropiadamente, dándoles la capacidad de atacar el sitio corriendo Jetpack.

Debido a la popularidad de Jetpack, los investigadores instan a los usuarios actualizar inmediatamente a una versión parcheada del plugin.

A principios de este año, un cross-site scripting diferente fue descubierto en el paquete de iconos Genericons que a veces se incluye con Jetpack y el tema TwentyFifteen WordPress.

Aunque la mayoría de los problemas de seguridad relacionados con WordPress y otros sistemas de gestión de contenidos están relacionados plugin, el mes pasado  WordPress lanzó la versión 4.3.1 en la que parcheo tres vulnerabilidades, la más grave de las cuales se encontraron en los códigos cortos cuentan etiquetas, HTML que permiten a los desarrolladores de sitios a incrustar macros en códigos.

Fuente: ThreatPost

“Dridex” el malware Bancario se encuentra nuevamente en circulación

El troyano bancario “Dridex” hizo ruido este jueves en la mañana cuando se realizo gran campaña de Phishing apuntando principalmente a victimas del Reino Unido, Sin embargo fue acorralado por investigadores de Palo Alto Networks.

Los correos electrónicos de phishing se enlazan a un documento de Microsoft Word que atrae a los usuarios a habilitar las macros de los sitios Web controlados por el atacante y así descargar el malware bancario.

La campaña sigue activa, dijo el director de inteligencia de Palo Alto, Ryan Olson.

Dridex, por su parte, había sido bastante tranquilo después de un período fuerte de actividad a principios de este año en el que utilizo diferentes temática de campañas de phishing y de spam utilizando macros para descargar el malware de la Web.

Estos Macros, que son desactivados por defecto por Office, y pertenecen a la vieja escuela de propagación de malware, sin duda han hecho un resurgimiento en 2015 con Dridex a la cabeza.

“A principios de año, hemos visto un aumento en documentos de Word utilizando macros para instalar el malware. Estábamos súper sorprendidos por esto en el momento, porque el malware basado en macro había desaparecido desde que fueron desactivados por defecto en Office. No podíamos entenderlo “, dijo Olson. “Creo que es más que una nueva generación de personas que no viven del dolor de la década de 1990 y principios de 2000, cuando era una cosa terrible que las macros se habilitan en Word o Excel. Hoy en día, sólo están haciendo clic en ‘Sí’ para habilitar macros”.

Los mensajes de phishing en esta y otras campañas Dridex han sido bastante convincente en conseguir que los usuarios acepten. En general, los correos electrónicos mencionan algún tipo de negocio o giro comercial y piden el pago. Los archivos adjuntos maliciosos pretenden ser una factura, y el usuario se presenta con un cuadro de diálogo que les pide habilitar las macros con el fin de ver el documento.

En este caso, los macros infectados deben alcanzar un puñado de direcciones URL. Palo Alto ha publicado una lista de las descargas de URLs, mando y control de dominios y otros indicadores de compromiso.

Dridex, sin embargo, tenía todo, pero dejó el mapa desde el final del verano. Una de las razones podría ser la detención a principios de septiembre en Chipre de un hombre moldavo de 30 años de edad, supuestamente detrás del desarrollo de la distribución del malware.

El blog de ​​seguridad de Krebs de Seguridad informó sobre la detención, el 7 de septiembre y citó fuentes no identificadas que dijeron que el hombre tenía vínculos con una banda responsable de Dridex que pueden haber sido una escondida de una conocida banda de Europa del Este llamado el Club de Negocios acusado de utilizar el malware para robar $ 100 millones de los bancos en todo el mundo.

“Entre finales de agosto y ahora, no habíamos visto ninguna actividad Dridex en absoluto”, dijo Olson. “Atribuimos que a causa de la detención, hubo cierta reorganización de la organización y las personas se estaban reagrupando y por lo tanto apareció de nuevo esta mañana Dridex con un poco de volumen “.

A diferencia a principios de enero, cuando los correos electrónicos Dridex fueron alcanzando un máximo de cerca de 100.000 por día, Olson dijo que el resurgimiento actual es de alrededor de 20.000, en su mayoría en el Reino Unido

“Ha sido sobre todo a lo largo del Reino Unido”, dijo Olson. “Es probable que su mejor oportunidad para su reintegro es el Reino Unido Cualquiera de ellos tienen cuentas o mulas de dinero allí. La infraestructura del malware está probablemente mejor preparada para bancos con sede en el Reino Unido “.

Fuente: ThreatPost

Cisco parchea el servicio bypass, vulnerabilidad en el sistema IOS

Cisco realizo su habitual ronda semestral de parches para iOS este miércoles, el software que la empresa utiliza para la mayoría de sus routers y switches.

Avisos de seguridad de este mes reconocieron cuatro vulnerabilidades, tres que podrían conducir a la cancelación de servicios, y otro que podría dejar que un atacante pudiese pasar sin problemas a través de una autenticación de usuario (bypass).

La vulnerabilidad de pasar a través de la autentificación de usuario (bypass) surgió de una aplicación incorrecta de la SSH versión 2 del protocolo en el software IOS y IOS XE. Si se explota, un atacante, suponiendo que conocían el nombre de un usuario legítimo configurado para la autenticación de usuario basada en RSA, y la clave para el usuario podría conectarse con los privilegios del usuario. Cisco hace hincapié en que esto es simplemente una vulnerabilidad de la autentificación de usuario (bypass) en iOS, no una situación en la que el atacante sería capaz de obtener privilegios.

Dado que el error sólo afecta a la autenticación de usuarios RSA, los usuarios finales pueden desactivar la funcionalidad para mitigarlo, o simplemente aplicar el parche.

La negación de vulnerabilidades de servicios madre en gran parte de los problemas de IPv4 e IPv6 es manejada por el software.

Uno es el resultado de un procesamiento inadecuado de paquetes IPv4 que requieren traducción de direcciones de red (NAT) y multiprotocolo Label Switching (MPLS) de procesamiento – si un atacante remoto no autenticado envió el paquete IPv4 que pudieran provocar un reinicio del dispositivo. Otros dos están en la función de seguridad y espionaje IPv6 en IOS y IOS XE – si los atacantes enviaron un paquete mal formado, o una inundación de tráfico, también podrían causar un dispositivo se recargara.

Los parches son los primeros para el software en seis meses, siendo que  Cisco IOS realiza parches en gran cantidad dos veces al año, en marzo y septiembre.

El mes pasado, la empresa advirtió a los clientes de la empresa que los atacantes estaban tratando de explotar los dispositivos iOS. Los hackers no estaban explotando alguna vulnerabilidad específica, que al parecer estaban usando credenciales válidas, que les daba la posibilidad de subir imágenes ROMMON maliciosas, y tener el acceso permanente a los dispositivos.

Fuente:  threatpost