mapa-1440x808Portada 

45.000 ataques en 74 países sobre agujero de Microsoft

45.000 ataques en 74 países sobre agujero de Microsoft

Ubicación de los ciberataques del viernes 12/05/2017.

En junio 2015 se informó que, por 3ra. vez, China y USA tenían un cortocircuito por un caso de espionaje cibernético masivo, con más de 4 millones de personas afectadas, en una intrusión por la que Washington DC acusó a Beijing, y el régimen chino no sólo lo niega, sino que le reprocha su “paranoia”.

Ya se sabe: el ciberespionaje es casi una nueva forma de guerra entre países, y los expertos en seguridad de USA se inquietan ante la vulnerabilidad a la que a veces quedan expuestos: em aquella ocasión, los datos de no menos de 18 millones de empleados y exempleados públicos de todos los niveles -intrusión masiva- quedaron expuestos. Unos 18 millones de direcciones de correos electrónicos antiguos, actuales o/y posibles futuros empleados del gobierno de Estados Unidos habrían sido el blanco del ciberataque chino sufrido por la oficina de gestión de personal de la administración estadounidense (OPM, por sus siglas en inglés).

Dyn, 2016

En octubre 2016, los miembros del colectivo de hackers New World Hackers, distribuidos en China y Rusia, se atribuyeron la responsabilidad por el ataque al proveedor de internet DynDNS (Dynamic Network Services, Inc.).

A través de un mensaje de Twitter, explicaron que organizaron las redes de computadoras “zombies” que lanzaron en simultáneo la asombrosa cifra de 1,2 terabits de datos por segundo a los servidores gestionados por Dyn, firma que ofrece servicio en USA a compañías de gran influencia como Twitter, Spotify y medios de comunicación como CNN, Infobae y The New York Times.

“No hicimos esto para atraer a los agentes federales, sólo para probar nuestro poder”, declararon dos miembros del grupo de piratas informáticos, que se identificaron como “Profeta” y “Zain”, a un reportero de la agencia de noticias Associated Press. Señalaron que más de 10 hackers participaron en el ataque.

Sobre el de que esta mañana han sufrido varias empresas y organizaciones españolas, entre ellas,

Masivo ciberataque en España afecta a @Telefonica y otras empresas: ¿qué hacer en caso de ataque por ? http://cnn.it/2qcUBIF 

No solo en España: hospitales británicos también son blanco de ciberataque http://cnn.it/2ra50VB 

Mi hermano esta atrapado en el curro por un ciberataque a Telefónica y me ha enviado la foto de telefónica en directo:

Microsoft, 2017

A media mañana española del viernes 12/05/2017, los computadores más sensibles de oficinas de Telefónica comenzaron a mostrar pantallazos azules, quedando completamente bloqueados. También se confirmó que los trabajadores habían comenzado a recibir e-mails urgentes pidiendo que se apagaran por completo todos los computadores y no se volviesen a encender bajo ningún concepto hasta nuevo aviso. El pedido se escuchó, incluso, por la megafonía de los centros.

Compañías como KPMG, Cap Gemini, BBVA, FedEx, Vodafone también fueron afectadas por este ciberataque, que habría comenzado a cifrar todos los datos de los discos duros de los computadores pidiendo un rescate en Bitcoins a cambio de recuperar la información, según el diario El Mundo, de Madrid.

Es decir, Telefónica y otras compañías estarían frente a un ataque de ransomware procedente de China. Este tipo de ciberataques han ganado una gran relevancia y popularidad en los últimos tiempos. Se trata de hackeos en los que se secuestran los archivos personales de los usuarios (o de una empresa, como en este caso) y se pide al afectado un rescate a cambio de descifrarlos.

Los análisis del Instituto Nacional de Ciberseguridad (Incibe) demuestran que el software malicioso que ha provocado el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry. Tras instalarse en el equipo, ese virus bloquea el acceso a los ficheros del computador afectado, pidiendo un rescate, y puede infectar al resto de equipos vulnerables de la red.

WanaCrypt0r cifra archivos del disco duro con extensiones como .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros, y aumenta la cuantía del rescate a medida que pasa el tiempo.

Hoy es noticia un global. Y el lunes ya nadie se acordará de actualizar sistemas, usar Linux, o valorar a los informáticos

es indigno que nos tenga en la empresa con los ordenadores apagados sin poder irnos y sin hacer nada! Desde las 5 sin trabajar

El español CCN (Centro Criptológico Nacional) publicó una alerta por este ataque masivo, informando que era una versión de WannaCry que afectaba a los siguientes sistemas:

Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

“El cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otros ataques, que no muestran la nota hasta que el cifrado se ha completado”, explica Agustín Múñoz-Grandes, CEO de la empresa de seguridad informática s21Sec.

Según las compañías de ciberseguridad s21sec y Check-point, el virus informático (conocido como malware),del tipo ransomware -realiza el secuestro exprés de datos y pide un rescate para liberar el sistema-, se expandió por Taiwan, Rusia, Portugal, Ucrania, Turquía y Reino Unido —donde colapsó el Servicio Nacional de Salud—.

En un tuit, Costin Raiu, el director global del equipo de investigación y análisis de Kaspersky Lab, afirmó que se habían registrado más de 45.000 ataques en 74 países.

Ese tipo de virus, que al ser ejecutados aparentan ser inofensivos e imitan a otras aplicaciones, es el más habitual y representa el 72,75% del malware, según los últimos informes de las compañías Kaspersky Lab y PandaLab.

El virus WannaCry se expande por todo el mundo. El Objetivo: ‘secuestrar’ los archivos de una computadora
SEPA MÁS: https://es.rt.com/53vk  pic.twitter.com/nc6LwrV5qx

Aceptan nuestro ensayo sobre malware en Android en la “Encyclopedia of Social Network Analysis and Mining” de la académica Springer.

@chemaalonso @jarredethe @a_sotillos @Diegoscorpions@maxicosi6969 El tema que estamos debatiendo es lo raro que solo una empresa se haya infectado. Santander , BBVA , Vodafone confirmado pero se detuvo

@RubenZaratustra @chemaalonso @jarredethe @a_sotillos@Diegoscorpions @maxicosi6969 organizaciones de 72 países afectadas, no sólo Telefónica: http://tecnologia.elpais.com/tecnologia/2017/05/12/actualidad/1494586960_025438.html 

Photo published for El ataque de ‘ransomware’ se extiende a escala global

El ataque de ‘ransomware’ se extiende a escala global

España, Portugal, Reino Unido y Rusia, entre los afectados. Estos virus informáticos cifran la información de los ordenadores a cambio de un rescate

tecnologia.elpais.com

El gran parche

Jaime Blasco, director de los laboratorios de Alienvault en San Francisco, explicó horas después que el ataque ya estaba detenido tras la difusión de un parche de Windows por parte de Microsoft. El origen el ataque había sido un ‘exploit’, tal como se denomina a los softwares enmascarados que corrompen el sistema, que se filtró como parte de ‘shadow brokers‘, supuestamente los mismos archivos que WikiLeaks acusaba a la NSA (National Security Agency) de usar para espiar computadores.

Microsoft, preocupada por la difusión de este agujero, se mantenía en silencio, pero ya se comentaba que la industria debía replantearse los criterios y formas en que se actualizan sus programas para que la protección frente a vulnerabilidades resulte más automática.

“Este tipo de ataques afecta a todo el mundo, pero hemos visto cómo los delincuentes tratan de ir a por empresas, ya que poseen información valiosa por la que están dispuestos a pagar un rescate”, indicó el estudio de Panda.

Algunos expertos en ciberseguridad, tal como Jakub Kroustek, afirmó en las redes sociales que han rastreado hasta 50.000 ataques de WannaCry. Este mismo experto asegura en el blog de su compañía, Avast, que observaron la primera versión de este virus en febrero y que han encontrado el mensaje de rescate escrito en 28 idiomas.

En Portugal, el ataque informático incluyó a Portugal Telecom, y los bancos Caixa Geral de Depósitos y BPI, aunque solo la telco lo ha admitido: “Todos los equipos técnicos están asumiendo las diligencias necesarias para resolver la situación, habiéndose activado todos los planes de seguridad. La red de los servicios de comunicación fija, móvil, internet y televisión no fueron afectados”.

La empresa confirmó que los atacantes pedían rescate (US$ 300) para el desbloqueo de los computadores bloqueados, en moneda virtual (bitcoin), que en esto días ha llegado a su cotización récord (US$ 1.800). La cifra de rescate se duplicaría a los 3 días y si antes de 7 días no se había recibido el dinero, los ficheros quedarían destruidos. Según la empresa de seguridad S21Sec, el ataque afectó a equipos con versiones de Windows y programas tales como Word y Excel, también de Microsoft.

Los expertos recomendaron utilizar “de manera inmediata” el parche de seguridad MS17-010.

El responsable de Big Data e Innovación de Telefónica, Chema Alonso, ha reconocido en un tuit en su cuenta personal este ataque de ramsonware. Alonso, anteriormente un hacker, es también el Responsable Global de Ciberseguridad y Datos, según aparece en su propio LinkedIn (hoy día de Microsoft), aunque ha asegurado que “la seguridad interna de Telefónica” no está entre sus responsabilidades directas.

Había un parche disponible para la vulnerabilidad de Windows, pero se desconoce por qué Telefónica no actualizó sus sistemas. Telefónica no ha querido responder a este asunto.

“La virulencia del ataque se debe probablemente a que algunas organizaciones no habían actualizado el parche hecho público por Microsoft”, dice Alan Woodward, de la Universidad de Surrey, a la agencia SMC.

El ciberataque no ha tenido ninguna incidencia en los sistemas que controlan los servicios de Telefónica de Internet y telefonía fija y móvil para sus más de 15 millones de clientes, informó la compañía.

Los creadores del ataque se basaron en filtración de WikiLeaks Vault 7, según la ciberseguridad española. En marzo WikiLeaks publicó documentos que mostraban las tácticas de la CIA (Central Intelligence Agency) para espiar a través de tablets, teléfonos móviles y/o smart TV. Incluía datos de los denominados fallos de seguridad para realizar los ataques Día Cero (Zero Day) que exprimen errores en la programación para infiltrarse.

El criptolocker, un tipo de virus que encripta e inutiliza los documentos, puede haber sido lanzado desde China.

Alguno se pensaba que la III Guerra Mundial iba a ser con misiles.

Y mientras tanto en una oficina de Telefónica pasan el Panda antivirus por si acaso

Ojo! Número de días que tardan de media las empresas en detectar un

NSA

Según Eusebio Nieva, director técnico de Check-Point en la península ibérica, “ese software maligno puede llegar de manera simple, desde un correo electrónico con una factura falsa, por ejemplo, hasta una técnica conocida como ‘watering hole’, que en el caso de las grandes compañías, infecta una página (generalmente de la red intranet) a la que los empleados o usuarios acceden con frecuencia”.

Él agregó que el pago de un rescate no es garantía de que se pueda recuperar la información cifrada por el virus: “La posibilidad es de entre 30% y 40%”.

Nieva agregó que, en la era en que los malware resultan una red industrializada que genera dinero, los tradicionales programas de antivirus ya no son suficientes. Ahora deben utilizarse programas de anti-APP o sandboxing, que rastrean el comportamiento del sistema o de la red de información, identifican cualquier software malicioso y lo eliminan.

“El sandboxing es el que mejor funciona. Cuando llega un documento por correo, por ejemplo, el sistema lo abre en un entorno virtual y si detecta algo sospechoso, lo elimina antes de que llegue al usuario”, explicó.

Para eliminar la infección se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte), según la importancia de los datos afectados. El clonado también es importante para interponer una denuncia, pues todos los archivos serán necesarios para la investigación, además es muy probable que exista alguna herramienta capaz de descifrarlos en el futuro.

Después de cifrar los ficheros del disco duro, WanaCrypt0r cambia el nombre de los nombres de las extensiones de los archivos afectados por .WNCRY. Después, el virus hace saltar a la pantalla el siguiente mensaje: “Ooops, tus archivos importantes están encriptados” y solicita el rescate de US$300 / 274 euros, en bitcoins. El mensaje incluye instrucciones sobre cómo realizar el pago y un cronómetro.

Según publicó The New York Times, esta herramienta ha explotado una vulnerabilidad que fue descubierta y desarrollada por la National Security Agency o Agencia Nacional de Seguridad de USA.

La herramienta fue robada por un grupo autodenominado Shadow Brokers, que distribuye a través de la red diferentes materiales informáticos para el hackeo desde hace 1 año.

En marzo, Microsoft desarrolló un parche para mitigar el fallo de seguridad pero los piratas ya habían tomado una ventaja que les ha permitido entrar en sistemas vulnerables, particularmente hospitales, según el NYT.

El malware ha circulado vía email, en archivos encriptados y comprimidos que, una vez descargados, permitían al virus instalarse en el sistema.

Related posts

Leave a Comment

A %d blogueros les gusta esto: