Archivos por Etiqueta: virus

Crece la amenaza de los routeres infectados por el “malware” ruso.

La amenaza por el «malware» VPNFilter, el virus informático por el que incluso el FBI ha alertado a la población por la posible infección de unos 500.000 routers en todo el mundo, es aún peor de lo que se pensaba en un principio. Según ha informado Cisco, la compañía de ciberseguridad que descubrió este potencial ciberataque a escala planetaria, los equipos comprometidos han aumentado en seis nuevas marcas (con decenas de modelos nuevos afectados) y desde la compañía señalan que este hecho puede suponer que los dispositivos infectados aumenten hasta los 700.000.

Además, Cisco ha alertado de que el virus tiene «capacidades adicionales» a las anteriores descritas (los primeros informes apuntaban a que podían hacerse con el control de los dispositivos y llevar a cabo ataques a gran escala a servidores sensibles, como los de las agencias de inteligencia gubernamentales). Así, ahora se ha demostrado que puede «inyectar contenido malicioso en el tráfico web según pasa por el router», lo que significa que el atacante no solo podría inutilizar el equipo, sino también monitorizar su tráfico para robar información personal como contraseñas o datos bancarios e incluso implantar el «malware» a otros dispositivos conectados al router.

Y no solo eso, ya que además tiene un modo de «autodestrucción», que borra el rastro de su existencia si así lo desea el cibercriminal, para que no se sepa ni siquiera que ha estado allí. «El router es la pieza que está en medio entre nosotros e internet. Típicamente desconfiamos de lo que determinadas páginas pueden ejecutar (o intentarlo) en nuestros navegadores. Siempre recomendamos evitar las redes inalámbricas públicas por si un tercero malintencionado ha creado una red falsa que pueda interceptar nuestro tráfico y robarnos credenciales, espiar nuestras comunicaciones o atacarnos a través de nuestra navegación lícita inyectando tráfico malicioso. Bien, pues esto puede estar pasando en los routers comprometidos por VPNFilter», explica Lorenzo Martínez, especialista en seguridad informática y fundador de Securizame.

¿Cómo puedo solucionarlo si sospecho que mi router está infectado?

En el comunicado hecho público por el FBI se recomendaba reiniciar el router como medida de protección. Sin embargo, al ser un virus persistente (es decir, que se ejecuta al arrancar el dispositivo) realizar solo esta acción no es garantía de eliminar la amenaza, sino solo de ralentizarla en el caso de que, efectivamente, el dispositivo esté comprometido. «El consejo de reiniciar el router, quizá se refiera a reiniciar, resetear y actualizar su firmware, modificando cuanto antes las contraseñas por defecto para la gestión que estos traen», señala Martínez. Es decir, reiniciando el dispositivo sólo conseguimos que el equipo salga del control efectivo del «malware», por poco tiempo, ya que ciberdelincuentes siguen teniendo su control. Por eso es importante resetear el dispositivo a la configuración de fábrica (en la mayoría, mediante la presión de un botón con un clip o un alfiler en un agujero que traen los aparatos), actualizar el «firmware» con la última versión y cambiar la contraseña por defecto, para que no se vuelva a infectar.

También es recomendable configurar el dispositivo para evitar que se pueda operar de manera remota (esto es, que nadie pueda controlarlo desde otro ordenador conectado a internet). «En muchos casos, las empresas nos solicitan el análisis de los servicios que exponen a internet, y en muchos casos en los que el router está incorrectamente configurado, estas vulnerabilidades podrían identificarse y solucionarse antes de que lo descubra alguien con malas intenciones», explica el responsable de Securizame.

Busca si tu equipo es uno de los afectados

Así, la lista de marcas y modelos que pueden haber visto comprometidos sus equipos son las siguientes [para buscar si tu dispositivo está afectado, primero busca entre las marcas ordenadas por orden alfabético y, dentro de estas, el modelo en cuestión. Al lado de los equipos que Cisco acaba de sumar a la lista se encuentra la palabra «nuevo» entre paréntesis]:

Marcas y modelos afectados:

ASUS:

– RT-AC66U (nuevo)

– RT-N10 (nuevo)

– RT-N10E (nuevo)

– RT-N10U (nuevo)

– RT-N56U (nuevo)

– RT-N66U (nuevo)

D-LINK:

– DES-1210-08P (nuevo)

– DIR-300 (nuevo)

– DIR-300A (nuevo)

– DSR-250N (nuevo)

– DSR-500N (nuevo)

– DSR-1000 (nuevo)

– DSR-1000N (nuevo)

HUAWEI:

– HG8245 (nuevo)

LINKSYS:

– E1200

– E2500

– E3000 (nuevo)

– E3200 (nuevo)

– E4200 (nuevo)

– RV082 (nuevo)

– WRVS4400N

MIKROTIK:

– CCR1009 (nuevo)

– CCR1016

– CCR1036

– CCR1072

– CRS109 (nuevo)

– CRS112 (nuevo)

– CRS125 (nuevo)

– RB411 (nuevo)

– RB450 (nuevo)

– RB750 (nuevo)

– RB911 (nuevo)

– RB921 (nuevo)

– RB941 (nuevo)

– RB951 (nuevo)

– RB952 (nuevo)

– RB960 (nuevo)

– RB962 (nuevo)

– RB1100 (nuevo)

– RB1200 (nuevo)

– RB2011 (nuevo)

– RB3011 (nuevo)

– RB Groove (nuevo)

– RB Omnitik (nuevo)

– STX5 (nuevo)

NETGEAR:

– DG834 (nuevo)

– DGN1000 (nuevo)

– DGN2200

– DGN3500 (nuevo)

– FVS318N (nuevo)

– MBRN3000 (nuevo)

– R6400

– R7000

– R8000

– WNR1000

– WNR2000

– WNR2200 (nuevo)

– WNR4000 (nuevo)

– WNDR3700 (nuevo)

– WNDR4000 (nuevo)

– WNDR4300 (nuevo)

– WNDR4300-TN (nuevo)

– UTM50 (nuevo)

QNAP:

– TS251

– TS439 Pro

– Otros equipos de QNAP NAS con el software QTS

TP-LINK:

– R600VPN

– TL-WR741ND (nuevo)

– TL-WR841N (nuevo)

UBIQUITI:

– NSM2 (nuevo)

– PBE M5 (nuevo)

UPVEL:

– De esta marca se ha descubierto la orientación de malware de Upvel como proveedor, pero no se ha podido determinar a qué dispositivo específico apunta (nuevo)

ZTE:

– ZXHN H108N (nuevo)

 

1202882484-kZqB--620x349@abc

Según los expertos reiniciar tu router no te librará del último ciberataque

La amenaza de un nuevo ciberataque mundial planea por todo el ciberespacio: un nuevo «malware» ha sido detectado, primero por varias agencias de seguridad online y después por el FBI, por el que medio millón de routers en todo el mundo están infectados y pueden colapsar. En un comunicado, la agencia de de inteligencia estadounidense ha recomendado el reinicio de este tipo de equipos, con especial hincapié en los de pequeñas empresas y los domésticos. «El FBI recomienda que cualquier propietario de pequeños enrutadores y enrutadores de oficinas domésticas apague (reinicie) los dispositivos», reza en la misiva, que se ha extendido como la pólvora por todo internet.

Pero, ¿es posible deshacerse de un virus solo con reiniciar el equipo? Los expertos contradicen al FBI acerca de los más de 500.000 routers infectados por VPNFilter, este nuevo «malware». En opinión de Lorenzo Martínez, especializado en seguridad informática y fundador de Securizame, está infección «es persistente», por lo que «aunque lo reinicies no lograrás evitar tener comprometido el router».

«No me cuadra mucho que el FBI dé esa solución. Supongo que es por aquellos routers que hayan sido comprometidos por una versión de ese “malware” o por otras variantes de este, que no lograban persistencia», sostiene en declaraciones a ABC. Sin embargo, puede darse el caso que el dispositivo de Red no haya sido comprometido de manera persistente, un supuesto que se produce «cuando el “malware” que se instala resiste a los reinicios debido a que se copia en alguna parte del router, al arranque de este». A su juicio, «si se da la suerte que no llega a pasar esto, el router al arrancar no está comprometido», aunque puede darse el caso que no se haya instalado una actualización del software que solucione la vulnerabilidad. Este caso -explica- el simple hecho de estar expuesto a Internet «podrá ser comprometido nuevamente».

virus-ciberataque-empresjkhsd-kVyG--1240x698@abc

La ciber-resilencia; un nuevo concepto para la lucha contra el cibercrimen

Madrid se convierte en testigo de las amenazas menos visibles, aquellas que se han transformado en un fuerte enemigo por el muchas empresas ya han tenido más de un quebradero de cabeza. Por ello, para bien o para mal, la ciberseguridad está ahora más presente en nuestra vida. Las personas son más vulnerables y el tejido empresarial debe hacer un frente común, porque aunque la protección pueda ser cara, un robo de datos, un ciberataque o la inutilización de los sistemas -mediante un ataque DDoS- cuesta miles de millones de euros.

¿Quiénes son estos enemigos ocultos? ¿Cómo se les hace frente? ¿Por qué nos atacan? Durante el primer Panda Security Summit, celebrado el pasado viernes en la capital, estas preguntas y muchas otras resonaron entre los ponentes. «Es el dinero el que hace girar el mundo», comenzaba intervieniendo José Sancho, presidente de PandaEl dinero también puede ser fruto de programas informáticos con vulnerabilidades. «El conocimiento se ha traspasado a ordenadores» y esos datos almacenados «son movidos por programas que se ejecutan», lo que representa un bastión de fortaleza traducido en cantidades ingentes de dinero.

«El conocimiento se ha traspasado a ordenadores» y esos datos almacenados «son movidos por programas que se ejecutan»

En este panorama «los estados compiten unos contra otros por poder y el poder se manifiesta de muchas manera», incide el presidente de Panda. WannaCry tal vez no habría tenido lugar si un grupo de ciberdelincuentes no hubiera robado un paquete de programas a la Agencia de Seguridad Nacional (NSA) de Estados Unidos. Herramientas que los mismos habían desarrollado y que no habían protegido merecidamente. En este caso, una de ellas se empleó para aprovechar las debilidades del sistema y poder moverse por él con un virus que quería secuestrar los equipos (un ataque «ransomware»).

Suena a un guión de Steven Spielberg, pero lo cierto es «que los estados tienen ciberguerreros», explica Sancho. Entre los documentos que ha filtrado el portal WikiLeaks se publicó uno en concreto en el que se plasmaba un organigrama de este tipo de personal. Oficinistas que se dedican todo el día a buscar agujeros o armas creadas a través de estos fallos, pero estas «no son armas convencionales», asegura.

«Con las ciberarmas es muy fácil esconderse y que resulte complicadísimo saber quién ha actuado. La legislación normal no puede actuar si no hay evidencias de que se ha cometido un delito»

El problema de estas nuevas ciberarmas yace en la capacidad de convertir al criminal, el lugar desde el que ataca y la herramienta que emplea para dicho ataque en «invisibles». Por decirlo de alguna manera, se disfrazan para ocultarse y emplean otra identidad. Por lo que reconocerlos y detenerlos se convierte en una misión casi imposible. «Con las ciberarmas es muy fácil esconderse y que resulte complicadísimo saber quién ha actuado. La legislación normal no puede actuar si no hay evidencias de que se ha cometido un delito. Aquí es muy fácil enmascararse y que resulte prácticamente imposible saber quién ha sido», increpa este experto de la seguridad informática.

«Nos quieren transmitir la imagen de que hay formas de situar barreras por las que no se puede pasar, llamémoslas firewall, proxis, router. Se llamen como se llamen, al final lo que hay es software»

Silvia Barrero -miembro de la policía, conocida speaker de la seguridad de la red y maestra de ceremonias del acto- resumió en una frase la situación actual: «Siempre vamos por detrás del cibercrimen». No solo eso, la capacidad de protegerse proviene de programas que estén cada vez más preparadas para hacer frente a unas técnicas avanzadas y un personal bien formado sobre los peligros que acechan. «Nos quieren transmitir la imagen de que hay formas de situar barreras por las que no se puede pasar, llamémoslas firewall, proxis, router. Se llamen como se llamen, al final lo que hay es software», previene Sancho que por tanto, esos puntos físicos de la red hacen posible que «las identidades se cambien, los programas se disfracen unos de otros. En definitiva, es un colador».

Un «negocio» millonario

Por ese motivo, no es de extrañar que los expertos de este ámbito aún no estén seguros que el ataque WannaCry proviniera de Corea del Norte, como han hecho entrever en varias ocasiones. Con este ataque tipo ransomware no se pudo anticipar lo que iba a pasar, ¿pero qué pasa con los que saben de esa brecha de seguridad y no ponen a disposición del público un parche? Según Ian McSharen, jefe del equipo de investigación de Gartner y otro de los ponentes de este encuentro, en la actualidad hay cuantificados «100.000 programas con vulnerabilidades».

Los que han sufrido en sus carnes un robo de datos o un ciberataque saben bien lo que supone para sus cuentas. Verizon consiguió rebajar 350 mil millones de dólares en la compra de Yahooporque el buscador había sufrido una brecha de seguridad que afectó a la mayor parte de sus usuarios. El conglomerado de negocios Maersk sufrió un ataque «ransomware» que secuestró sus sistemas, lo que económicamente supuso 100 mil millones de euros. Son algunos de los casos que reflejan para lo que hay que prepararse.

El mapa del crimen en internet dibuja un panorama difícil de enfrentar con las herramientas convencionales. Es ahí donde entran las herramientas de End Point o Punto Final, las cuales los expertos de este encuentro consideraron que las empresas deben empezar a categorizarse como prioritarias. «Las herramientas de Punto Final tienen que convertirse en algo imprescindible para las organizaciones, al igual que los incidentes de segunda division sean cada vez menos protagonistas. Las herramienta de Punto Final y los EDR eran antes una cosa interesante y que alas organizacines les daba calidad, pero ahora vna a ser impresicible», insiste Javier Candau, jefe del Centro Criptológico Nacional (CCN-CERT).

Sin embargo, en definitiva estos expertos concluyen que el camino que marquen las empresas debe seguir por un nuevo concepto: la ciber-resilencia. Panda acuña este término en su último informe como la capacidad de una empresa para «prevenir, detectar, contener y recuperarse, minimizando el tiempo de exposición y el impacto en el negocio de innumerables amenazas graves contra datos, aplicaciones e infraestructura informática de las empresas. Especialmente contra los equipos, donde residen los activos más valiosos para la organización, ya que alcanzarlos supone también atacar la integridad de las identidades y usuarios».

ciberseguridad-ciberataque-kAGF--1240x698@abc (1)

El misterioso botón negro de WhatsApp y el por qué no hay que tocarlo.

Cada cierto tiempo se propaga una broma en los servicios de mensajería. La mayoría suelen ser cadenas de mensajes que, apelando al miedo y al desconocimiento, se hacen virales y se van difundiendo rápidamente. Pero, a veces, son bromas algo más pesadas. La última tiene que ver con WhatsApp, el servicio de chat para móviles más extendido del mundo, y un círculo negro.

Según ha descubierto el medio especializado «Andro4All», se ha empezado a extender un mensaje entre los usuarios que provoca automáticamente el bloqueo de la aplicación. Consiste en la recepción de un misterioso mensaje en el que se advierte al destinatario que si pulsa en el círculo negro acompañado del texto en inglés «Don’t touch here» que aparece en la parte final del mensaje WhatsApp se «quedará pillado». También circula otro mensaje advirtiendo que, si se toca el misterioso círculo, «congelará tu teléfono».

En aras de picar al curiosidad y sabiendo que en redes sociales todos caemos en las tentaciones que se nos ofrece, aquellos usuarios que deciden pinchar sobre el icono, al parecer, aparece una ventana de chat con miles de caracteres extraños que puede derivar en el bloqueo de la aplicación. No se trata de ningún virus informático y se resuelve cerrando y volviendo abrir el servicio.

En realidad, se trata de un pequeño «truco» que permite «ocultar» en ese icono del círculo un subconjunto de caracteres que WhatsApp no puede reproducir y, por ende, puede derivar en que se quede colapsado. La única medida para evitar este pequeño inconvenientes es, por ahora, no pulsar sobre este extraño círculo negro. ¿Podrás resistirte?

circulo-nero-wahtsapp-kgqD-U30581126032LoD-620x300@abc

Los “criptojackers” se convierten en la nueva amenaza del mundo empresarial

El 23% de las organizaciones a nivel mundial se ha visto afectada por «criptojackers» -una nueva tendencia en «malware»- en su variante Coinhive durante enero de 2018.

Según recoge el último el último Índice de Impacto Global de Amenazas de Check Point, se descubrieron tres variantes diferentes de «malware» de «criptojacking» en su ranking de las diez amenazas que han afectado a más empresas, con Coinhive a la cabeza. Este virus, que ha afectado al 23% de las compañías, mina la divisa virtual Monero sin el consentimiento del usuario cuando éste visita una página web.

Contiene un JavaScript que utiliza los recursos del ordenador de la víctima para minar monedas, lo que repercute en el rendimiento del sistema. En segunda posición se encuentra el «malware» Fireball, que ha afectado al 21% de las organizaciones. Se trata de un instalador de «malware» capaz de ejecutar cualquier código en los equipos de las víctimas.

Fue descubierto por primera vez en mayo de 2017, y afectó gravemente a las organizaciones durante el verano pasado. El tercer «malware» más común en enero ha sido el «exploit» kit Rig, que ha impactado al 17% de las organizaciones. Este «malware» distribuye «exploits» para Flash, Java, Silverlight e Internet Explorer.

El Índice de Impacto Global de Amenazas de Check Point y su Mapa Mundial de Ciberamenazas ThreatCloud recogen la información de Check Point ThreatCloud, la red colaborativa de lucha contra el cibercrimen que ofrece información y tendencias sobre ciberataques a través de una red global de sensores de amenazas. La base de datos incluye 250 millones de direcciones que se analizan para descubrir «bots», alrededor de 11 millones de firmas y 5,5 millones de webs infectadas. Además, identifica millones de tipos de «malware» cada día.

CoinHive-kBIC--1240x698@abc