Malware, ramsonware o ciberataques a criptomonedas y sistemas electorales serán algunos de los principales riesgos de la seguridad digital.

Vivimos en una era de la información y de la globalización en la que los más de 10.000 millones de dispositivos conectados pueden servir como puerta de entrada a la ciberdelincuencia. Los ciberataques se han ido desarrollando en paralelo a las medidas de seguridad de empresas y gobiernos. Las vulnerabilidades de los equipos y redes, así como la posibilidad del anonimato del atacante, lo convierten en una práctica en aumento.

Sin embargo, unidades como ElevenPaths, responsables de la ciberseguridad global del Grupo Telefónica, aprovechan a su vez las tecnologías en desarrollo, como el blockchain y el machine learning, para proporcionar soluciones innovadoras que abarquen la prevención, la detección y la respuesta a las amenazas diarias en nuestro mundo digital.

Por eso, en este artículo te mostramos la tipología de los ataques más comunes, y la situación que se espera para este año 2018:

Más información: https://blogthinkbig.com/seis-tendencias-ciberataques-2018

Saludos.

Nuestro IoT Smart Checker permite a los usuarios identificar si los dispositivos conectados (por ejemplo, enrutadores, dispositivos de almacenamiento conectados a la red, cámaras IP e impresoras) en una red determinada son vulnerables a vulnerabilidades y riesgos de seguridad, como los relacionados con Mirai, Reaper y WannaCry.

IoT Smart Checker reúne datos de la solución Trend Micro ™ Home Network Security y del escáner HouseCall ™ for Home Networks. HouseCall for Home Networks es una herramienta gratuita que cuenta con reconocimiento de dispositivos y escaneo de vulnerabilidades en redes de usuarios y dispositivos conectados. Home Network Security es una solución conectada a los enrutadores de los usuarios que protege los dispositivos conectados de posibles ataques cibernéticos. Actualmente, IoT Smart Checker admite múltiples sistemas operativos, incluidos Linux, Mac, Windows, Android, iOS y otras plataformas de kit de desarrollo de software (SDK).

Este blog aborda el malware VPNFilter recientemente famoso y si los dispositivos desplegados son vulnerables a él y otras vulnerabilidades. VPNFilter es un malware multietapa recientemente descubierto (detectado por Trend Micro como ELF_VPNFILT.A, ELF_VPNFILT.B, ELF_VPNFILT.C y ELF_VPNFILT.D) que afecta a muchos modelos de dispositivos conectados. Inicialmente reportado a fines de mayo que infectó al menos 500,000 dispositivos de red en 54 países, incluidos los de Linksys, MikroTik, Netgear y TP-Link, para robar credenciales de sitios web e incluso inutilizar dispositivos, el malware ahora se ve orientado más dispositivos para entregar exploits e incluso anular los reinicios. El Buró Federal de Investigaciones (FBI) incluso lanzó un anuncio de servicio público (PSA, por sus siglas en inglés), advirtiendo que es obra de actores de amenazas extranjeros que buscan comprometer dispositivos en red en todo el mundo.

Diferentes marcas y modelos afectados por VPNFilter y más
Se sabe que VPNFilter afecta a más de diez marcas y 70 modelos de dispositivos. IoT Smart Checker puede identificar otras vulnerabilidades conocidas públicamente dirigidas a los dispositivos como se enumeran a continuación

Más información: https://blog.trendmicro.com/trendlabs-security-intelligence/vpnfilter-affected-devices-still-riddled-with-19-vulnerabilities/?utm_source=trendlabs-social&utm_medium=smk&utm_campaign=0718_vpn-filter

Saludos.

Una nueva estafa de phishing pretende ser facturas MYOB, pero realmente contiene un troyano bancario novedoso.

El recientemente descubierto troyano bancario DanaBot está dando vueltas en una campaña de phishing dirigida a víctimas potenciales con facturas falsas de la compañía de software MYOB.

Los correos electrónicos pretenden ser facturas de MYOB, una corporación multinacional australiana que ofrece software de impuestos, contabilidad y otros servicios comerciales para pequeñas y medianas empresas. Pero, en realidad, las misivas contienen un archivo dropper que descarga el troyano bancario DanaBot, que una vez descargado roba información privada y confidencial, y envía capturas de pantalla del sistema y el escritorio de la máquina al servidor de Comando y Control.

"Los ciberdelincuentes están atacando víctimas en compañías australianas e infectándolas con troyanos bancarios sofisticados de múltiples etapas, componentes múltiples y furtivos como DanaBot para robar su información privada y sensible", dijeron los investigadores de Trustwave en un post sobre la campaña, el viernes. "En esta campaña, los atacantes enviaron correos electrónicos de phishing dirigidos en forma de mensajes falsos de facturas MYOB con enlaces de facturas que apuntaban a servidores FTP comprometidos que alojaban el malware DanaBot".

Según los investigadores de Trustwave, Fahim Abbasi y Diana Lopera, se han detectado una serie de fraudes por correo electrónico de phishing dirigidos a clientes australianos de MYOB. Los correos electrónicos de suplantación de identidad utilizaban la plantilla estándar de factura html tipo MYOB para convencer a los usuarios de que son reales; decirle al cliente que se debe pagar una factura y pedirle que "Ver la factura" a través de un botón en la parte inferior del correo electrónico.

Karl Sigler, el gerente de inteligencia de amenazas SpiderLabs en Trustwave, dijo a Threatpost que los delincuentes probablemente compraron o tal vez generaron su propia lista de posibles clientes de MYOB. "Dada la cantidad de información que las personas comparten públicamente, especialmente en las redes sociales, estas listas no son difíciles de conseguir", dijo. Trustwave no tenía información sobre cuántas víctimas fueron específicamente atacadas por la campaña.

Más información: https://threatpost.com/danabot-trojan-targets-bank-customers-in-phishing-scam/133994/

Saludos.

WannaCry, como sabemos, ha sido uno de los ejemplos de ransomware más peligrosos y con más víctimas. Se calcula que esta variedad afectó a más de 300.000 organizaciones en todo el mundo. La similitud de la nueva versión de GandCrab con Wannacry es que utiliza también el protocolo SMB para atacar a usuarios de Windows.



Ataca a la víctima a través de sitios web comprometidos. Según los investigadores, este nuevo ransomware se actualiza diariamente para atacar a víctimas de diferentes países. Los atacantes rastrean Internet en busca de páginas vulnerables donde poder llevar a cabo sus ataques. La nueva versión cuenta ya con una larga lista de páginas que se han visto comprometidas.

Los atacantes han utilizado un algoritmo pseudoaleatorio para seleccionar una palabra predefinida para completar la URL de cada sitio. La URL final se genera en formato "www.{Nombre}.com/data/tmp/sokakeme.jpg".



Como hemos mencionado, los expertos creen que esta nueva variante del ransomware GandCrab logra propagarse a través de un exploit SMB. Este fue el mismo exploit que utilizó WannaCry y también Petya durante el año pasado.

Esto lo han logrado gracias a que han reescrito todo el código del ransomware. Los expertos en seguridad indican que ahora este ransomware está utilizando exploits de la Agencia de Seguridad Nacional de Estados Unidos de EternalBlue para atacar rápidamente.
Cómo protegernos de la nueva variante de GandCrab
Las medidas que tenemos que tomar no son muy diferentes a la de cualquier ransomware o malware en general. Hay que mencionar que desde Microsoft se han puesto manos a la obra y han lanzado el parche de seguridad MS17-010. Es por ello que es vital que nuestro equipo esté actualizado a la última versión. De esta manera podremos evitar la vulnerabilidad que permite penetrar a la nueva variante de GandCrab.

Realizar copias de seguridad es lo más recomendable para muchos posibles problemas, pero más aún para el ransomware. Como sabemos, su objetivo es cifrar los documentos y archivos y pedir un rescate. Es importante realizar una copia donde tengamos todos esos archivos guardados. De esta manera, en caso de sufrir un hipotético ataque, siempre tendremos un respaldo de todos esos archivos.

Más información: https://fossbytes.com/gandcrab-ransomware-smb-vulnerabilities-attack-faster/

Saludos.

Aprendamos: Descifrando la última plantilla de cadena de cargador "TrickBot" y la nueva comunicación del servidor Tor Plugin

Objetivo: Documentar la presencia del nuevo servidor de complementos TrickBot Tor y desofuscar la última plantilla de cadena de malware TrickBot Loader.
Trick Loader MD5: 6124c863c08f92732da180d4cf7cbf38

I. Antecedentes
II. Nuevo descubrimiento: Tor Plugin Server en Config
III. TrickBot Loader Deobfuscation Tutorial
IV. Análisis del descargador TrickBot difuso
  A. Comprueba la presencia de los procesos de la máquina virtual y las DLL de análisis
  B. Proceso inyectado
  C. DLL importado
  D. Argumentos de la línea de comando a través de
  cmd.exe y PowerShell -DisableRealtimeMonitoring
  E. Controles de procesos
  F. Almacenamiento de configuración
  G. Nombre del directorio en% APPDATA%
  H. rarezas

I. Antecedentes
Al analizar una de las últimas muestras de TrickBot del suplantador de Danske Bank (gracias a @ dvk01uk para la muestra), decidí profundizar en TrickBot Loader.
II. Nuevo descubrimiento: Tor Plugin Server en Config
El equipo de TrickBot implementó recientemente una comunicación de servidor de complemento a través de Tor .onion en el puerto: 448 para buscar módulos de malware.
Es una técnica novedosa para TrickBot; es probable que estén experimentando con el conector Tor para mejorar y / o mantener el módulo de primera capa y la resiliencia del servidor proxy. También es posible que el conector Tor sea una nueva norma para que el equipo de TrickBot no solo busque módulos sino también comunicaciones entre el cliente y el servidor de manera similar a como se realiza en las otras variantes de malware como Gozi ISFB Botnet "4000".
III. TrickBot Loader Deobfuscation Tutorial
A. Recupere la primera carga útil TrickBot desempaquetada autoinyectada en la memoria y vacíela como un ejecutable y disco.
B. Ubique la plantilla de cadena codificada en OllyDBG y configure un punto de interrupción de hardware en el acceso (DWORD), y ejecútelo hasta que vea la clave y la ejecución de la plantilla.



Más información: http://www.vkremez.com/2018/07/lets-learn-trickbot-new-tor-plugin.html

Saludos.

Una máquina virtual (VM) de Windows es una de las herramientas más importantes disponibles para analizar malware. Una VM permite la flexibilidad para depurar malware en vivo sin temor a infectar a su host. Si la VM está infectada, puede volverse rápidamente a una instantánea limpia para continuar el análisis.

Tradicionalmente, los analistas de malware han tenido que mantener sus propias máquinas virtuales con una colección de herramientas de análisis. Pero todo esto cambió en 2017 con el lanzamiento del excelente proyecto FLARE-VM. FLARE-VM está construido sobre el administrador de paquetes Chocolatey para Windows y proporciona administración central para el software de Windows. Hemos ampliado la idea detrás del proyecto FLARE-VM y hemos creado un instalador específico OALabs-VM que configurará automáticamente una máquina virtual completa con las herramientas que necesita para seguir nuestros tutoriales de análisis de malware.

Este tutorial proporciona instrucciones para la instalación y configuración de una máquina virtual de Windows 7 gratuita con el instalador de OAlabs-VM. Los siguientes pasos serán cubiertos en detalle.

Instalando VirtualBox
Descargar una VM de Windows 7 (x86) GRATIS de Microsoft
Importación de la máquina virtual de Windows 7 en VirtualBox y configuración de la configuración
Descargando y ejecutando la secuencia de comandos del instalador OALabs-VM
Una descripción general de las herramientas de OLabs y su ubicación en la máquina virtual
Configuración de una máquina virtual de 64 bits para su uso con el desensamblador IDA gratuito
Mire nuestro tutorial de instalación aquí: Malware Analysis VM Setup Tutorial



Más información:
https://oalabs.openanalysis.net/2018/07/16/oalabs_malware_analysis_virtual_machine/

Saludos.

Investigadores montan un exitoso ataque de suplantación GPS contra los sistemas de navegación en carretera.

Los académicos dicen que han montado un exitoso ataque de suplantación GPS contra los sistemas de navegación de la carretera que puede engañar a los humanos para que conduzcan a ubicaciones incorrectas.

La investigación es notable porque los ataques anteriores de suplantación GPS no han podido engañar a los humanos, quienes, en experimentos anteriores, a menudo recibían instrucciones de manejo maliciosas que no tenían sentido o no estaban sincronizadas con la infraestructura vial, por ejemplo, girando a la izquierda en una carretera recta.

Una nueva investigación engaña exitosamente a los humanos
Pero un equipo de investigación formado por académicos de Virginia Tech y de la Universidad de Ciencia y Tecnología Electrónica de China, junto con expertos de Microsoft Research, han presentado un método mejorado para llevar a cabo ataques de suplantación GPS que tienen en cuenta el diseño de la carretera.

Para llevar a cabo el ataque, los investigadores desarrollaron un algoritmo que funciona casi en tiempo real, junto con un dispositivo portátil de suplantación GPS que cuesta alrededor de $ 223, que se puede conectar fácilmente a un automóvil o subir a un vehículo que alcanza el auto del objetivo a distancias de hasta a 50 metros.



Más información: https://www.bleepingcomputer.com/news/security/researchers-mount-successful-gps-spoofing-attack-against-road-navigation-systems/

Saludos.

Les comparto este buen curso en español (y tambien en ingles) sobre ingenieria inversa, creado por el uruguayo Martin Balao (https://www.linkedin.com/in/martinuy/), me pareció un curso bien estructurado y muy practico ya que incluye buenos laboratorios para probar los conocimientos adquiridos.



Link: https://comunidad.dragonjar.info/discussion/9807/curso-de-ingenieria-inversa-por-martin-balao

Saludos.

DorkMe es una herramienta diseñada por blueudp con el objetivo de acelerar la búsqueda de vulnerabilidades con google.

Dependencias:


Se recomienda agregar más dorks para una búsqueda efectiva,

Uso:

python DorkMe.py --help example:python DorkMe.py --url bible-history.com --dorks vulns -v (recommended for test) python DorkMe.py --url bible-history.com --dorks Deprecated,Info -v (multiple dorks) python DorkMe.py --url bible-history.com --dorks all -v (test all)

Link: https://github.com/blueudp/DorkMe

Saludos.

Dont Hijack Esta es una herramienta anti-hacker para reparar todo el daño causado por el malware. Activa los componentes de Windows desactivados. Elimina por completo todas las infecciones de bots / virus / malware.







Próximamente:
Anti Rootkit
Anti Adware (mejorado)
Visor de procesos ocultos

Caracteristicas
Repara el daño causado por el malware
Elimina adware / bots / malware
Restaura la conexión a Internet
Anti Hacker
Restaura los componentes de Windows
Corrige las vulnerabilidades del sistema

Link: https://sourceforge.net/projects/donthijackthis/?source=directory

Saludos.