NUEVA VERSIÓN DE WORDPRESS YA DISPONIBLE: FAVOR DE ACTUALIZAR SU SITIO WEB

Al fin ha llegado la esperada versión WordPress 5

La quinta versión de WordPress fue lanzada hace ya algunos días, aunque no llega exenta de polémica, pues la comunidad de usuarios y expertos en WordPress consideraba que su lanzamiento se ha presentado de forma un tanto apresurada, lo que, según especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, podría generar múltiples errores en alguno de los sitios web que operan en esta plataforma.

WordPress 5, la nueva y esperada versión, introduce la edición por bloques, además de un nuevo tema, Twenty Nineteen, adaptado por completo a la nueva versión del editor, aunque todos los temas anteriores a la nueva versión serán compatibles con el nuevo editor. Según expertos en ciberseguridad, se incluye también la compatibilidad con php 7.3, mejoras en la REST API, optimización en la compatibilidad con dispositivos móviles, actualizaciones de seguridad, entre otras nuevas funciones.

Fernando Tellado, del equipo de ciberseguridad y soporte de WordPress, considera que habrá que esperar hasta inicios del 2019 para que los errores reportados en esta nueva versión sean solucionados por completo.

La actualización 5.0.2, considerada como un mantenimiento de la plataforma, corrige 73 errores centrados en el editor por bloques. De estos 73 errores, 45 se encuentran afectando al nuevo editor, 14 se enfocan en mejoras de rendimiento y 31 son errores de código. Además, se han solucionado 17 errores del editor que afectan a algunos de los diferentes temas incluidos. Acorde al equipo de WordPress, esto incrementará el rendimiento de la plataforma en alrededor de 300%.

Una lista detallada de los errores corregidos durante esta actualización está disponible en la página de soporte de WordPress.

CÓMO IDENTIFICAR Y ELIMINAR VIRUS DE REDES SOCIALES DESDE SUS DISPOSITIVOS

Identifique el contenido malicioso en plataformas como Facebook, Twitter, etc.

La frecuencia con la que aparecen virus en plataformas de redes sociales ha incrementado al igual que la peligrosidad de esos programas maliciosos. La mayoría de los virus en Twitter, por ejemplo, se propagan a un ritmo acelerado a través de enlaces publicados en tweets que ofrecen descuentos o algún tipo de software atractivo para el usuario, acorde a especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética.

Los problemas comienzan cuando se hace clic en alguno de esos enlaces, pues estos podrían traer adware, spyware o alguna variante de ransomware al dispositivo del usuario. A continuación se muestran algunos consejos de especialistas en ciberseguridad para mantenerse a salvo de esta clase de amenazas.

Métodos de distribución de virus en redes sociales

La principal forma de distribución de esta clase de software malicioso es a través de publicaciones, tweets, etc., que contienen enlaces adjuntos. Por ejemplo, un tweet puede ser publicado por cualquier cuenta de Twitter o ser enviado como mensaje directo (DM) a algunos usuarios desprevenidos. Usualmente las publicaciones tratan de atraer a los usuarios con mensajes como los que se presentan a continuación:

• ¿Sabías que Google está contratando gente para trabajar desde casa? Suena bien, ¿no crees? {enlace malicioso}
• Regístrate y descarga esta increíble app – Disponible sólo por hoy: {enlace malicioso}
• Acabo de descubrir a los stalkers en mi perfil: {enlace malicioso}
• WOW Puedes ver QUIÉN VISITA tu perfil de TWITTER: {enlace malicioso}

Acorde a expertos en ciberseguridad, los enlaces web más utilizados para propagar virus resultan ser URL aleatorias y acortadas, como:

• Enlaces Bit.ly
• Enlaces Vid.me
• Enlaces Adf.ly
• Sitios TinyURL

Estos sitios son utilizados para acortar las URL y no son riesgosos por sí mismos, sino que a menudo los hackers los usan para ocultar alguna variante de virus y distribuirla a través de enlaces maliciosos, agregando JavaScript y creando enlaces con descargas automáticas.

Tipos de virus en redes sociales

Acorde a expertos en ciberseguridad, existen diversos problemas que un usuario puede enfrentar después de hacer clic en algún enlace malicioso. A continuación se muestran algunos ejemplos.

Sitios de phishing

Páginas de inicio de sesión falsas, encuestas, o sitios de ofertas falsas, son diferentes clases de phishing, una de las técnicas de ciberataque más utilizadas en la actualidad. De las diferentes clases de phishing, el más extendido es el que anuncia el sitio web de alguna tienda con el propósito de engañar al usuario para que introduzca su información personal en un sitio falso. La imagen de empresas como Ray-Ban y Nike es muy utilizada en esta clase de ataques.

Enlaces maliciosos

Otra de las principales amenazas en el uso de redes sociales es la infección de malware. Estos enlaces podrían redirigir al usuario a sitios de descarga y ejecución automática de algún archivo de malware (descargas drive-by), corriendo el riesgo de infectar su sistema con alguna variante de software malicioso como:

• Virus de minería de criptomoneda
• Ransomware
• Troyanos
• Botnets

Recientemente, fue descubierta una gigantesca botnet que utilizaba más de 3 millones de cuentas de Twitter falsas y 100 mil bots distribuyendo enlaces por toda la red.

Falsos sitios de soporte técnico

Una de las variantes más utilizadas. En ocasiones, algún enlace incrustado en un post de Facebook o un tweet pueden redirigir al usuario a una página que afirma que el equipo del usuario está dañado.

La intención es convencer al usuario para que llame a un falso número de soporte técnico, desde donde el falso empleado de soporte solicitará al usuario información sensible, o incluso acceso a su equipo. Se recomienda no llamar a esos números bajo ninguna circunstancia.

Remover virus de redes sociales

Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética recomiendan que, antes de comenzar a remover un virus, los usuarios deben hacer una copia de seguridad de su información. Posteriormente, el usuario deberá seguir las recomendaciones enlistadas a continuación:

• Inicie su PC en modo seguro para aislar y eliminar archivos y objetos maliciosos
• Encuentre los archivos creados por los virus de redes sociales en su PC

Si no funciona, se recomienda usar un software avanzado de análisis anti malware, con lo que se podrá eliminar de forma automática cualquier archivo relacionado con el malware encontrado en las diversas plataformas de redes sociales.

ROBO DE DATOS DE MÁS DE 500 MIL ESTUDIANTES Y MAESTROS

Más de 500 mil alumnos y trabajadores han sido afectados por este incidente

Información personal perteneciente a más de 500 mil empleados y estudiantes de las instituciones académicas de San Diego, California, podría haber sido robada por actores maliciosos, informan expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética.

A través de un comunicado, el Distrito Escolar de San Diego informó que este incidente, calificado como un “acceso no autorizado”, fue llevado a cabo gracias a una simple campaña de phishing en la que se comprometieron las claves de acceso de alrededor de 50 empleados en diversas escuelas el pasado mes de enero. Personal de ciberseguridad de las instituciones académicas demoró cerca de 10 meses en detectar el incidente.

En el caso del Reglamento General de Protección de Datos de la Unión Europea (GDPR), se exige que las organizaciones reporten esta clase de incidentes dentro de las siguientes 72 horas a su descubrimiento. Por otra parte, la legislación estadounidense respecto al robo de datos establece que las organizaciones pueden solicitar una extensión de tiempo para realizar sus propias investigaciones, reportan expertos en ciberseguridad.

Aparentemente ya ha sido identificado uno de los sujetos responsables, además, todas las credenciales de acceso comprometidas han sido desechadas, aunque esto no significa que los atacantes no hayan conseguido acceso a la información personal resguardada por las escuelas.

Acorde a especialistas en ciberseguridad, los datos comprometidos incluyen nombres completos, fechas de nacimiento, números de seguridad social, claves de identificación de estudiantes del Estado de California, datos de los padres o tutores, información de nómina del personal de las escuelas, e incluso detalles fiscales e información salarial. Muchos de estos datos podrían ser de gran utilidad para algún delincuente cibernético.

Diversas firmas de seguridad reportaron que más de un millón de niños en Estados Unidos fueron víctimas de fraudes de identidad durante 2017, lo que resultó en pérdidas de alrededor de 2.6 millones de dólares. Acorde a expertos en ciberseguridad, dados los limitados o nulos registros financieros con los que cuenta un niño, es muy fácil para los criminales abrir cuentas bancarias falsas a nombre de los infantes, entre otras actividades similares.

En este incidente también destaca la importancia que tiene el phishing para los cibercriminales, pues, según estimaciones de múltiples firmas de seguridad, el phishing es un elemento en común en la mayoría de las violaciones de datos, pues cerca del 90% de estos incidentes comienzan con campañas fraudulentas por correo electrónico.

MILES DE ENRUTADORES ORANGE ESTÁN FILTRANDO LA CONTRASEÑA DEL WIFI

Esta falla permitiría a los hackers realizar diversas actividades maliciosas

Expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética informan que una vulnerabilidad crítica presente en cerca de 20 mil enrutadores del fabricante Orange ha derivado en una filtración de contraseñas SSID y WiFi. Además de los dispositivos que presentan filtración de información, más de 2 mil enrutadores han sido clasificados como expuestos a ataques por Internet.

Los honeypots de la empresa detectaron por primera vez el tráfico de ataque dirigido a los módems ADSL de Orange Livebox. Después de realizar una búsqueda en Shodan, el experto en ciberseguridad Troy Mursch encontró que 19 mil 490 dispositivos de este tipo filtraban sus credenciales de WiFi en texto sin formato.

Acorde al reporte de los expertos, muchos de los dispositivos que muestran esta filtración de contraseña de WiFi usan las mismas claves de acceso para administrar el dispositivo, o incluso carecen de una contraseña establecida por el administrador, por lo que los atacantes encuentran de forma muy fácil las contraseñas de fábrica.

“La vulnerabilidad permitiría a un atacante remoto acceder al enrutador comprometido y modificar la configuración del dispositivo o el firmware. Además, los atacantes podrían obtener el número telefónico vinculado al enrutador y realizar otras actividades de hacking o ingeniería social”, mencionó el experto en ciberseguridad.

Acorde al reporte de Mursch, la mayoría de los enrutadores comprometidos se encuentran en España, además, el tráfico del ataque también ha sido vinculado con una dirección IP asociada a un cliente de la empresa Telefónica España.

“Por el momento desconocemos los motivos del ataque, aunque nos parece interesante descubrir que la fuente está en una ubicación cercana, siendo que creíamos que se trataba de un actor malicioso en otro país”, mencionó el experto. “Esto podría permitir a los atacantes conectarse a la red WiFi si estuvieran más cerca de uno de los enrutadores indexados en la búsqueda de Shodan”.

La vulnerabilidad, identificada como CVE-2018-20377, ya está siendo investigada por Orange. Se esperan mayores informes de la empresa durante los próximos días. Para muchos expertos en ciberseguridad, la mayoría de enrutadores de uso doméstico siguen siendo un importante vector para desplegar ciberataques debido a sus limitadas medidas de seguridad, con lo que los hackers pueden usar estos dispositivos para la construcción de enormes botnets. Recientemente, un grupo de investigadores descubrió una botnet compuesta por más de 100 mil dispositivos comprometidos, principalmente enrutadores.

NEW VERSION OF WORDPRESS NOW AVAILABLE: PLEASE UPDATE YOUR WEBSITE

WordPress 5 has finally arrived

The fifth version of WordPress was released some days ago, but not without controversy, because the community of users and experts in WordPress considered that its launching has been presented in a somewhat hurried, which, according to specialists in cybersecurity and ethical hacking from the International Institute of Cyber Security, could generate multiple errors in one of the websites that operate on this platform.

WordPress 5, the new and expected version, introduces the block edition, in addition to a new theme, Twenty Nineteen, fully adapted to the new version of the editor, although all the issues before the new version will be compatible with the new editor. Experts in cybersecurity also include compatibility with PHP 7.3, improvements to the REST API, optimization of mobile device support, security updates, and other new features.

Fernando Tella, member of WordPress cybersecurity and support team, believes that we will have to wait until the beginning of the 2019 so that the errors reported in this new version are completely solved.

The 5.0.2 update, considered as platform maintenance, corrects 73 errors centered in the block editor. Out of these 73 errors, 45 are affecting the new editor, 14 focus on performance improvements and 31 are code errors. In addition, WordPress has fixed 17 editor errors that affect some of the different themes included. According to the WordPress team, this will increase the performance of the platform by about 300%.

A detailed list of bugs corrected during this update is available on the WordPress support page.

HOW TO IDENTIFY AND REMOVE SOCIAL NETWORK VIRUS OFF YOUR DEVICES

Identify malicious content on platforms such as Facebook, Twitter, etc.

The frequency with which viruses appear on social network platforms has increased as well as the dangerousness of these malicious programs. Most viruses found on Twitter, for example, are spread at an accelerated rate through links attached on tweets that offer discounts or some kind of user-alluring software, according to cybersecurity and ethical hacking specialists from the International Institute of Cyber Security.

Problems begin when someone clicks on one of these links, as they may bring adware, spyware or some variant of ransomware to the user’s device. Here are some tips from cybersecurity specialists to keep you safe from this kind of threats.

Methods of virus distribution in social networks

The main way of distributing this kind of malicious software is through posts, tweets, etc., which contain attached links. For example, a tweet can be posted by any Twitter account or sent as a direct message (DM) to some unsuspecting users. These posts usually try to attract users with messages such as those shown below:

• Did you know that Google is hiring people to work from home? Sounds good, don’t you think? {malicious link}
• Sign up and download this incredible app – available only for today: {malicious link}
• I just discovered the stalkers in my profile: {malicious link}
• WOW! You can see who visits your TWITTER profile!: {malicious link}

According to experts in cybersecurity, the web links most used to spread viruses turn out to be random and shortened URLs, such as:

• Bit.ly links
• Vid.me links
• Adf.ly links
• TinyURL sites

These sites are used to shorten URLs and are not risky by themselves, but often hackers use them to hide some variant of virus and deploy it through malicious links, adding JavaScript and creating links with automatic downloads.

Types of viruses in social network platforms

According to experts in cybersecurity, there are several problems that a user can face after clicking on some malicious link. Some examples are shown below.

Phishing sites

False login pages, surveys, or fake retailers sites, are different kinds of phishing, one of the most commonly used cyberattack techniques today. Out of the different types of phishing, the most widespread is the one that announces the website of some store with the purpose of deceiving the user to enter his personal information in a fake site. The image of companies like Ray-Ban and Nike is widely used in this kind of attacks.

Malicious links

Another major threat to the use of social networks is malware infection. These links could redirect the user to a site to download and autorun a malware file (drive-by downloads), with the risk of infecting your system with some malicious software variant such as:

• Cryptocurrency mining virus
• Ransomware
• Trojans
• Botnets

Recently, a gigantic botnet was discovered using more than 3 million of fake Twitter accounts and 100k bots distributing links across the web.

Fake technical support sites

One of the most used variants. Sometimes a link embedded in a Facebook post or a tweet can redirect the user to a page that claims that the user’s computer is not working.

The attackers try to convince the user to call a fake technical support phone, from where the fake support employee will ask the user for sensitive information, or even access to their equipment. It is recommended not to call those numbers under any circumstances.

Remove social network viruses

Cybersecurity specialists from the International Institute of Cyber Security recommend that, before beginning to remove a virus, users must back up their information. Subsequently, the user must follow the recommendations listed below:

• Start your PC in safe mode to isolate and delete any files and malicious objects
• Find files created by social network viruses on your PC

If it doesn’t work, it’s recommended to use advanced anti-malware scanning software, so you can automatically remove any malware-related files found on the various social networking platforms.

DATA BREACH AFFECTS OVER 500K STUDENTS AND EMPLOYEES

Over 500k students and workers have been affected by this incident

Personal information belonging to more than 500k employees and students from the academic institutions of San Diego, California, could have been stolen by malicious actors, as reported by cybersecurity experts from the International Institute of Cyber Security.

Through a statement, the San Diego School District reported that this incident, described as an “unauthorized access”, was carried out through a simple phishing campaign in which the access keys of about 50 employees were compromised in several schools last January. Cybersecurity personnel from academic institutions took about 10 months to detect the incident.

In the case of the European Union’s General Data Protection Regulation (GDPR), it is required that the organizations report this kind of incidents within the next 72 hours to their discovery. On the other hand, U.S. legislation about data breaches establishes that organizations can apply for a time extension to conduct their own research, as reported by cybersecurity experts.

Apparently, one of the responsible individuals has already been identified, and all the compromised access credentials have been dismissed, although this does not mean that the attackers have not been able to access personal information stored by the schools.

According to cybersecurity specialists, compromised data include full names, birth dates, social security numbers, California State student identification keys, parent/guardian data, payroll information of school staff, and even tax details and salary information. Many of these data could be of great use to some cybercriminal.

Several security firms reported that over one million children in the United States were victims of identity fraud during 2017, resulting in losses of around $2.6M USD. According to experts in cybersecurity, given the limited or null financial records that a child has, it is very easy for criminals to open fake bank accounts on behalf of the infants, among other similar activities. In this incident also highlights the importance of phishing for cybercriminals, since, according to estimates of multiple security signatures, phishing is a common element in most data breaches, because about 90% of these incidents start with fraudulent email campaigns.

THOUSANDS OF ORANGE ROUTERS ARE LEAKING WIFI PASSWORDS

This flaw would allow hackers to perform various malicious activities

Cybersecurity and ethical hacking experts from the International Institute of Cyber Security Report that a critical vulnerability present in about 20k routers from the manufacturer Orange has resulted in a SSID and WiFi passwords leaking. In addition to the information leaking devices, over 2k routers have been classified as being exposed to Internet attacks.

The company’s honeypots detected for the first time the attack traffic directed to the Orange Livebox ADSL modems. After conducting a search on Shodan, the cybersecurity expert Troy Mursch found that 19 490 devices of this type leaked their WiFi credentials in plain text.

According to the expert report, many of the devices that showed this WiFi password leaking use the same access keys for the device administration, or even lack a password set by the admin, so the attackers find the default passwords in a very easy way.

“The vulnerability would allow a remote attacker to access the compromised router and modify the device or firmware settings. In addition, attackers could get the phone number linked to the router and perform other hacking or social engineering activities,” said the cybersecurity expert.

According to Mursch’s report, most of the compromised routers are in Spain; in addition, the traffic of the attack has also been linked to an IP address associated to a client of the company Telefónica España.

“At the moment we do not know the reasons for the attack, although we find it interesting to discover that the source is in a nearby location, even though we thought it was a malicious actor in another country,” the expert mentioned. “This could allow attackers to connect to the WiFi network if they were closer to one of the indexed modems in the search on Shodan”.

The vulnerability, tracked as CVE-2018-20377, is already being investigated by Orange. Further company reports are expected over the next few days. For many cybersecurity experts, most home-use routers remain an important vector for deploying cyberattacks due to their limited security measures, so hackers can use these devices to build huge botnets. Recently, a group of researchers discovered a botnet composed of more than 100k compromised devices, mainly domestic-use routers.

CRECE MALWARE DE IOT MÁS DE 200% EN 2018

Diversas variantes de malware mostraron un importante crecimiento durante este año

Acorde a especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, la cantidad de software malicioso que afecta a dispositivos de Internet de las Cosas (IoT) creció un 72% en total este año. En cuanto al malware en general, su presencia aumentó un 200% con respecto a la cantidad registrada durante el año pasado.

Los expertos en ciberseguridad estiman que este comportamiento se debe, en buena medida, al incremento en de la práctica del cryptojacking. Una amplia gama de dispositivos IoT, como cámaras de vigilancia o enrutadores, no habían sido utilizados para este ataque por no contar con las características y la potencia de una computadora.

No obstante, múltiples actores maliciosos han optado por explotar la enorme cantidad de dispositivos IoT que carecen de las adecuadas medidas de seguridad y comenzaron a atacarlos para crear una gigantesca red de minado ilegal de criptomoneda. Algunas nuevas variedades de malware de minería reportaron un crecimiento de 55%, además, este tipo de ataque para minar activos virtuales creció un 4000% durante el 2018.

Expertos en ciberseguridad también reportan una transición en el tipo de negocios que realizan los cibercriminales, pues muchos han optado por crear sus propias herramientas y servicios maliciosos. Este cambio ha traído consigo un nuevo modelo de negocios para quienes comercian con esta clase de servicios al margen de la ley.

“Los cibercriminales siempre están buscando nuevas áreas de oportunidad”, considera John Fokker, experto en ciberseguridad. “Las grandes amenazas cibernéticas que hoy conocemos comenzaron como proyectos pequeños en algunos foros ocultos de Internet”, menciona el experto.

Entre otros datos que nos deja el año que está por concluir, se encuentra el aumento de ataques con malware que no requiere de archivos, que presenta un 45% más respecto al año anterior. Además, el número total de incidentes de seguridad divulgados públicamente disminuyó un 12%, mientras que el número de ciberataques cometidos contra instituciones financieras incrementó un 20%. En cuanto a las regiones del mundo que sufrieron más ciberataques, este año el número de incidentes registrados en Europa creció un 38%, mientras que la cifra para el continente americano bajó 18%, en tanto que en la región Asia-Pacífico bajaron un 22%.

MINADO DE CRIPTOMONEDA AUMENTÓ 4000% ENTRE 2017 Y 2018

Su dificultad de detección y fácil ejecución convirtieron a esta técnica de ciberataque en la más practicada durante 2018

Según reportan especialistas en hacking ético y ciberseguridad del Instituto Internacional de Seguridad Cibernética, una de las variantes de ciberataque que más crecieron este 2018 fue el minado ilegal de criptomoneda, también conocido como cryptojacking.

Acorde a informes de múltiples firmas de ciberseguridad, esta actividad maliciosa mostró un incremento de 4000% durante este año, en el que se calculo hubo más de 4 millones de ataques solamente en el primer trimestre de 2018, en comparación con los 500 mil incidentes de cryptojacking registrados en el primer trimestre de 2017.

Los ataques de cryptojacking se basan en la inyección de software de minado de criptomoneda en miles de dispositivos, aprovechando sus capacidades de procesamiento para extraer estos activos digitales sin el consentimiento del usuario. En consecuencia, el equipo de cómputo de las víctimas se ralentiza, además de que incrementa el consumo de electricidad.

En 2018 los hackers comenzaron a diversificar sus métodos para ocultar el malware de minería, integrándolo a actualizaciones de software legítimas de empresas de tecnología, como Microsoft y Adobe. Además, cientos de miles de enrutadores en todas partes del mundo también fueron inyectados con software de minado este año.

Por si esto no fuese suficiente, expertos en ciberseguridad anticipan que, a pesar de la caída en el valor de las criptomonedas, esta tendencia podría mantenerse durante el próximo año debido a la falta de conciencia sobre esta clase de ataques, su fácil y económica implementación y su dificultad de detección.

ENRUTADOR DE HUAWEI UTILIZADO EN MÉXICO Y AMÉRICA LATINA VULNERABLE A NUEVO ATAQUE

Un atacante podría encontrar cualquier dispositivo, infectarlo y hacerlo parte de una botnet

Una vulnerabilidad presente en un enrutador de Huawei ampliamente utilizado por proveedores de servicios de Internet en diversas partes del continente americano podría permitir a un hacker rastrear un dispositivo y determinar si tiene credenciales predeterminadas, todo sin necesidad de conectarse al enrutador, informan especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética.

Esta vulnerabilidad (CVE-2018-7900) está presente en el panel del enrutador y permite la filtración de la información de credenciales, por lo que un hacker puede buscar cualquier dispositivo con herramientas como ZoomEye o Shodan para encontrar una lista de dispositivos con credenciales predeterminadas sin el riesgo de caer en un honeypot y sin usar ataques de fuerza bruta.

Ankit Anubhav, experto en ciberseguridad, mencionó sobre esta vulnerabilidad: “cuando se mira el código fuente HTML de la página de inicio de sesión, se declaran pocas variables. Una de esas variables contiene un valor específico que, al ser monitoreado, puede ayudarnos a deducir si un enrutador cuenta con su contraseña de fábrica. Posteriormente, el atacante puede integrar una lista de dispositivos vulnerables con Shoda, iniciar sesión y llevar a cabo múltiples actividades de hacking”, mencionó el experto.

Por su parte, Huawei ha informado que se encuentra desarrollando una solución para esta vulnerabilidad, además afirma estar trabajando con las empresas que usan el modelo de enrutador comprometido para que la solución sea implementada en sus redes.

Los expertos en ciberseguridad que descubrieron la vulnerabilidad informaron que por el momento no harán públicos los detalles técnicos sobre esta falla, tampoco se ha detallado el alcance que pudiera tener el error, aunque Anubhav mencionó que, durante su investigación, encontraron una “cantidad alarmante” de enrutadores afectados.

Este es el incidente más reciente de errores en equipos a nivel de operador, una tendencia que se ha vuelto problemática debido al alcance potencial de este tipo de vulnerabilidades.

“Explotar una vulnerabilidad de estas características puede ser mucho más favorable para los hackers que atacar a un proveedor que cuente con sólo unos cientos de dispositivos infectados” mencionó el experto. Vulnerabilidades como  CVE-2018-14847 (MikroTik) y CVE-2014-8361han sido ampliamente explotadas durante este año y, un punto que tienen en común, es la gran cantidad de dispositivos que pueden ser afectados”, concluyó el experto.

EL FBI INTERVIENE MÚLTIPLES SITIOS QUE OFRECÍAN SERVICIO DE ATAQUES DDOS

La agencia presentará cargos contra tres individuos involucrados

Expertos en hacking ético y ciberseguridad del Instituto Internacional de Seguridad Cibernética reportan que el Buró Federal de Investigación (FBI) ha intervenido los dominios de 15 sitios web que ofrecían servicios para lanzar ataques de denegación de servicio(DDoS); además, la agencia ha acusado a tres personas encargadas de la operación de algunos de estos sitios.

Estos servicios, también conocidos como “booters” o “stressers”, ponen a disposición de cualquier persona el acceso a una red de dispositivos infectados (botnet) para lanzar ataques DDoS contra cualquier sitio web, interrumpiendo así su funcionamiento regular.

Acorde a especialistas en ciberseguridad, los días festivos son fechas en las que algunos grupos de hackers se encuentran más activos; en anteriores ocasiones, actores maliciosos han atacado las redes de plataformas como PlayStation, Xbox y servicios similares con ataques DDoS, arruinando la navidad de miles de gamers.

“Esta clase de servicios podrían causar inconvenientes a miles de víctimas. Además, es importante destacar que esta acción se produce unos días antes de las vacaciones navideñas, un período históricamente plagado de prolíficos ataques DDoS”, menciona un comunicado de la agencia.

Como antecedente, en abril de este año, la policía holandesa eliminó Webstresser, el mayor servicio DDoS a sueldo del mundo, que ayudó a los cibercriminales a lanzar más de 4 millones de ataques. Los administradores del sitio fueron arrestados.

Los sitios incautados por el FBI se anunciaban como servicios legítimos de pruebas de estrés de redes, los dominios intervenidos por la agencia son:

·         critical-boot.com

·         ragebooter.com

·         anonsecurityteam.com

·         downthem.org

·         quantumstress.net

·         booter.ninja

·         bullstresser.net

·         defcon.pro

·         str3ssed.me

·         defianceprotocol.com

·         layer7-stresser.xyz

·         netstress.org

·         request.rip

·         torsecurityteam.org

·         vbooter.org

Según reportes de expertos en ciberseguridad, estos servicios habrían sido utilizados en una amplia gama de ataques contra organizaciones de toda clase en Estados Unidos, América Latina y otras partes del mundo, incluyendo instituciones bancarias, universidades, portales gubernamentales y plataformas de videojuegos.

Hace algunos días, la oficina del Fiscal de E.U. presentó cargos contra David Bukoski, de 23 años, acusándolo de operar el sitio Quantum Stresser, uno de los servicios DDoS más relevantes, que contaba con alrededor de 80 mil suscriptores desde el 2012, año de su creación. Se calcula que durante 2018, Quantum Stresser lanzó más de 50 mil ataques DDoS contra organizaciones de todo el mundo.

Además de clausurar estos 15 sitios web, el FBI ha presentado cargos contra Matthew Gatrel y Juan Martínez, individuos presuntamente involucrados en la operación de algunos de estos servicios.

Este ha sido un duro golpe para los operadores de estos servicios y una advertencia para operadores de sitios similares. Además, el FBI ha anunciado que no sólo presentará cargos contra los encargados de administrar estos servicios maliciosos, sino que también intentará procesar a cualquiera que contrate un ataque DDoS o cualquier otro tipo de ciberataque.

IOT MALWARE GROWS OVER 200% DURING 2018

Several malware variants showed significant growth this year

According to cybersecurity specialists from the International Institute of Cyber Security, the amount of malicious software that affects Internet of Things (IoT) devices grew 72% in total this year. As for the malware in general, its presence increased by 200% with respect to the amount registered during the last year.

Cybersecurity experts believe that this behavior is mainly due to the increase in the practice of cryptojacking. A wide range of IoT devices, such as surveillance cameras or routers, had not been used for this kind of attacks because they did not have the characteristics and processing features of a laptop or desktop computer.

However, multiple malicious actors have opted to exploit the huge number of IoT devices that lack adequate security measures and began attacking them to create a gigantic illegal cryptocurrency mining network. Some new varieties of mining malware reported growth of 55% in addition; this type of attack to mine virtual assets grew 4000% during 2018.

Cybersecurity experts also reported a transition in the type of business that the cybercriminals do, as many have opted to create their own malicious tools and services. This change has brought with it a new business model for those who trade this kind of services outside the law.

“The cybercriminals are always looking for new areas of opportunity,” considers John Fokker, an expert in cybersecurity. “The big cyberthreats we know today began as small projects in some hidden Internet forums,” the expert mentions.

Among other data found this year, is the increase of attacks with malware that does not require files, which presents a 45% more than the previous year. In addition, the total number of publicly reported security incidents decreased by 12%, while the number of cyberattacks committed against financial institutions increased by 20 %. As for the regions of the world that suffered the most cyberattacks, this year the number of incidents recorded in Europe grew by 38%, while the figure for the American continent fell 18%, while in the Asia-Pacific region they fell by 22%.

CRYPTOCURRENCY MINING INCREASED 4000% THIS YEAR

Its hard detection and easy execution made this cyberattack technique in the most practiced during 2018

According to specialists in the ethical hacking and cybersecurity from the International Institute of Cyber Security, one of the cyberattack variants that increased this 2018 was the illegal cryptocurrency mining, also known as cryptojacking.

According to reports from multiple cybersecurity firms, this malicious activity showed an increase of 4000% during this year, in which it was calculated there were over 4 million attacks only in the first quarter of 2018, compared with the 500k cryptojacking incidents registered in the first quarter of 2017.

Cryptojacking attacks are based on cryptocurrency mining software injection into thousands of devices, leveraging its processing capabilities to extract these digital assets without the user’s consent. As a result, the victims’ computer equipment slows down, as well as increasing electricity consumption.

In 2018 hackers began diversifying their methods to hide mining malware, integrating it to legitimate software updates from technology companies, such as Microsoft and Adobe. In addition, hundreds of thousands of routers in all parts of the world were also injected with mining software this year.

If that were not enough, experts in cybersecurity anticipate that, despite the fall in cryptocurrencies’ value, this trend could be maintained during the coming year due to the lack of awareness about this kind of attacks, an easy and economic implementation and its difficulty of detection.

HUAWEI ROUTER USED IN U.S. AND LATIN AMERICA VULNERABLE TO NEW ATTACK

 

An attacker could find any device, infect it and make it part of a botnet

A critical vulnerability present in a Huawei router widely used by Internet service providers in various parts of the Americas could allow a hacker to track a device and determine if it has default credentials all without the need to connect to the router, as reported by cybersecurity specialists from the International Institute of Cyber Security.

This vulnerability (CVE-2018-7900) is present in the router panel and allows the leaking of credential information, so a hacker can search for any device with tools such as ZoomEye or Shodan to find a list of devices with default credentials without the risk of falling into a honeypot and without using brute force attacks.

Ankit Anubhav, an expert in cybersecurity, mentioned about this vulnerability: “When you look at the HTML source code on the login page, fewer variables are declared. One of these variables contains a specific value that, when monitored, can help us deduce whether a router has its factory password. Subsequently, the attacker can integrate a list of vulnerable devices with Shodan, log in and perform multiple hacking activities,” the expert mentioned.

On the other hand, Huawei has reported that it is developing a solution for this vulnerability, also claims to be working with companies that use the compromised router model for the solution to be implemented in their networks.

The cybersecurity experts who discovered the vulnerability reported that no technical details will be published on this flaw, nor has the scope of the error been detailed, although Anubhav mentioned that, during this investigation, they found an “alarming amount” of affected routers.

This is the most recent incident of operator-level equipment flaws, a trend that has become problematic due to the potential scope of such vulnerabilities.“Exploiting vulnerabilities with such features could be much more favorable to hackers than attacking a vendor with only a few hundred infected devices,” the expert mentioned. Vulnerabilities such as CVE-2018-14847 (MikroTik) and CVE-2014-8361 have been widely exploited during this year and, one point they have in common, is the large number of devices that can be affected”, the expert concluded.

FBI SEIZES MULTIPLE WEBSITES OFFERING DDOS ATTACKS FOR HIRE

The agency will file charges against the individuals involved

Experts in ethical hacking and cybersecurity from the International Institute of Cyber Security report that the Federal Bureau of Investigation(FBI) has seized the domains of 15 websites offering services to launch distributed denial of service (DDoS) attacks; in addition, the agency has accused three people in charge of the operation of some of these sites.

These services, also known as “booters” or “stressers”, make available to anyone access to a network of infected devices (botnet) to launch DDoS attacks against any website, thereby interrupting their regular operations.

According to specialists in cybersecurity, holidays are specific dates in which some groups of hackers are more active; on previous occasions, malicious actors have attacked the networks of platforms like PlayStation, Xbox and similar services with DDoS attacks, ruining the Christmas of thousands of gamers.

“This kind of services could cause inconvenience to thousands of victims. In addition, it is important to note that this action occurs a few days before the Christmas holidays, a period historically plagued by prolific DDoS attacks,” mentions a statement from the agency.

As a background, last April, the Dutch police shut down Webstresser, the world’s largest DDoS for hire service, which helped cybercriminals to launch over 4 million attacks. The site administrators were arrested.

The sites seized by the FBI were advertised as legitimate network-stress testing services, some of the domains seized by the agency are:

·         criticalboot.com

·         ragebooter.com

·         anonsecurityteam.com

·         downthem.org

·         quantumstress.net

According to reports of experts on cybersecurity, these services would have been used in a wide range of attacks against organizations of all kinds in the United States, Latin America and other parts of the world, including banking institutions, universities, Government portals and online videogame platforms.

A few days ago, the U.S. attorney’s office filed charges against David Bukoski, 23, accused of operating the site Quantum Stresser, one of the most relevant DDoS services known, which had about 80k subscribers since 2012, whein it was created. It is estimated that during 2018, Quantum Stresser launched over 50k DDoS attacks against organizations around the world.

In addition to shutting down these 15 websites, the FBI has filed charges against Matthew Gatrel and Juan Martínez, individuals allegedly involved in the operation of some of these services.

This has been a heavy blow to the operators of these services and a warning to similar site operators. In addition, the FBI has announced that it will not only file charges against those responsible for operating these malicious services, but will also try to prosecute anyone who hire a DDoS attack or any other type of cyberattack.

LA NASA ES HACKEADA; ROBAN DATOS PERSONALES DE EMPLEADOS

La agencia se encuentra en proceso de notificar a los empleados afectados por este incidente de seguridad

La Administración Nacional de Aeronáutica y del Espacio (NASA) se encuentra notificando a sus empleados acerca de una violación de datos en sus sistemas, incidente que expuso los números de seguridad social de los empleados de la agencia, entre otros detalles personales, informan expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética.

La agencia detalla en la notificación del incidente que un hacker o grupo de hackers comprometió al menos uno de sus servidores; hasta el momento es posible confirmar que la violación de seguridad afectó a muchos de los empleados de la agencia, así como a algunos antiguos colaboradores.

Un sitio web especializado en temas de ciberseguridad publicó el reporte del incidente que la NASA elaboró para sus empleados, donde la agencia menciona que se encuentra investigando el incidente debido a actividad inusual detectada en sus servidores a finales de octubre.

“El 23 de octubre de 2018, nuestro personal de ciberseguridad comenzó a investigar una potencial intrusión en nuestros servidores, usados para almacenar información personal de nuestro personal”, menciona el reporte de la NASA. “Después de las primeras investigaciones, la NASA ha determinado que algunos detalles personales, como números de seguridad social y otros datos de identificación personal, podrían haber sido comprometidos”.

La Agencia Espacial confirmó que esta violación de datos podría afectar a los empleados del Servicio Civil de la NASA en misiones actuales, separados de la agencia o transferidos entre los distintos centros la agencia 0desde julio de 2006 hasta octubre de 2018.

La NASA, en conjunto con algunas agencias de seguridad del gobierno estadounidense, se encuentran analizando la infraestructura crítica de la agencia para determinar con la mayor precisión posible el alcance del incidente, así como establecer un rastro para encontrar a los responsables del robo de datos. “Este proceso podría demorar un tiempo”, mencionan portavoces de la NASA.

“Altos directivos de la agencia están colaborando en esta investigación, es una de nuestras principales prioridades actualmente. Asimismo, descartamos que alguna de nuestras misiones en curso se hayan visto comprometidas por algún ciberataque”, menciona el informe de la agencia.

La NASA proporcionará información de seguimiento para los empleados afectados, además de servicios de protección contra fraudes de identidad.

“Para la agencia, la protección de la información personal de los empleados es un tema serio. La NASA continuará con sus esfuerzos para asegurar cualquier parte comprometida de nuestra infraestructura informática para garantizar que la agencia cumpla con las mejores prácticas de seguridad”, concluye el informe.

HACKEAN COMUNICACIONES DIPLOMÁTICAS EN EUROPA

Un grupo de cibercriminales intervino exitosamente las comunicaciones diplomáticas de la Unión Europea durante cerca de tres años

Acorde a especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, miles de mensajes de diplomáticos europeos en los que se trataban temas referentes al presidente estadounidense Donald Trump y al comercio mundial, fueron interceptados por un grupo de hackers por un periodo cercano a los tres años.

Esta violación de seguridad fue reportada por una firma de ciberseguridad con sede en Europa y posteriormente confirmada por la Unión Europea. Según los funcionarios europeos, cualquier información clasificada como confidencial/secreta no se ha visto afectada por este incidente.

“Contamos con más de una década de experiencia en el combate contra las campañas de ciberataques originadas en China como antecedente, por lo que consideramos que no hay duda alguna sobre la participación del gobierno chino en esta campaña de espionaje en contra de nuestros funcionarios”, menciona el comunicado de la Unión Europea.

Acorde a expertos en ciberseguridad, entre los mensajes interceptados, conocidos como cables diplomáticos, se reveló una conversación en la que diplomáticos europeos describen la reunión entre los presidentes Donald Trump y Vladimir Putin como “un encuentro exitoso (al menos para el presidente ruso)”.

En otra serie de mensajes se narra con detalle una reunión privada entre el jefe del gobierno chino Xi Jinping y diversos funcionarios de la Unión Europea, celebrada a principios de 2018. “China no se someterá a la intimidación de Estados Unidos, incluso si una guerra comercial nos afecta a ambas partes”, se menciona en uno de los mensajes.

Xi Jinping pronunció recientemente un discurso en el que reafirma la postura que manifestó a los funcionarios europeos; “nadie puede decir a China lo que sus ciudadanos deben o no deben hacer”, concluyó el presidente.

Según reportes de especialistas en ciberseguridad, otras instituciones internacionales (como Naciones Unidas) también podrían haber sido afectadas por la violación de seguridad, por lo que ya han sido notificadas.

WINDOWS SANDBOX: LA NUEVA FORMA DE ABRIR ARCHIVOS MALICIOSOS EN WINDOWS 10

Se espera que esta nueva herramienta esté disponible en primera actualización de Windows 10 de 2019

Microsoft confirmó recientemente que el paquete de actualizaciones de su sistema operativo Windows 10 October 2018 Update ya se encuentra disponible para el público en general. Aún así, expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética reportan que la compañía ya se encuentra desarrollando su próxima actualización, llamada Windows 10 19H1, misma que incluirá múltiples mejoras y una amplia gama de nuevas funciones, como la esperada Windows Sandbox.

Acorde a especialistas en ciberseguridad, un sandbox (caja de arena) es una herramienta que permite a los administradores de sistemas crear un espacio aislado en la memoria del sistema operativo para instalar y ejecutar cualquier software de forma segura, sin incidir sobre el resto del sistema operativo o sobre los datos resguardados en la memoria. Gracias a esta herramienta, si se instala una aplicación potencialmente maliciosa, el sistema no se verá afectado; todo lo que el administrador del sistema debe hacer es vaciar el sandbox y estará seguro otra vez.

Anteriormente era necesario instalar algún software desarrollado por terceros para poder trabajar con un sandbox (como el popular Sandboxie). Esta vez, Microsoft ha decidido implementar esta función como una aplicación nativa en Windows 10.

¿Qué necesito para usar Windows Sandbox?

La empresa no ha revelado demasiados detalles hasta el momento, pero expertos en ciberseguridad mencionan que lo más probable es que esta nueva característica sea implementada durante el primer trimestre de 2019 como parte de la próxima gran actualización del sistema operativo Windows 10.

De forma preliminar, se prevén algunos requerimientos del sistema como:

·         Instalación de Windows 10 Pro o Enterprise

·         Procesador AMD64

·         4 GB de RAM, 1GB de almacenamiento libre y procesador de dos núcleos como mínimo

·         Virtualización habilitada en BIOS

Windows Sandbox deberá ser activado de forma manual en el sistema operativo, para esto, el usuario deberá acudir a la sección “Características de Windows”, posteriormente activar “Windows Sandbox” y seguir las instrucciones que el sistema operativo mostrará en pantalla.

Windows Sandbox utilizará Windows Containers, una función del sistema operativo para trabajar en la nube, lo que significa que la empresa está tratando de que esta nueva función esté al alcance de cualquier usuario, consideran expertos en ciberseguridad.

En cuanto al funcionamiento de la herramienta, una vez que se ha habilitado Windows Sandbox la herramienta estará lista para usarse. Después de abrir Windows Sandbox con los permisos de administrador, se mostrará un entorno similar a un contenedor o a una computadora virtual, desde el que se podrá manipular el sistema operativo de forma aislada, sin comprometer el sistema operativo real.

Los usuarios podrán copiar cualquier ejecutable en el sandbox y abrirlo ahí de forma completamente segura. En esta herramienta, el administrador del sistema podrá corroborar si una aplicación es inofensiva o maliciosa, afectado solamente el entorno del sandbox.

Microsoft espera que la introducción de Windows Sandbox ayude a generar un entorno más seguro para los administradores de grandes sistemas, así como para los usuarios con los conocimientos suficientes para el manejo de esta clase de herramientas.

ESTAS SON LAS PEORES AMENAZAS CIBERNÉTICAS DE 2018

Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética ya pronosticaban que este sería un año difícil para usuarios y organizaciones, incluso 2018 comenzó con el descubrimiento de una vulnerabilidad presente en prácticamente cualquier procesador de CPU desarrollado durante los últimos 20 años. La peor parte es que a la postre las cosas sólo empeoraron, nuevas familias de malware, ataques patrocinados por gobiernos y muchos incidentes más han mantenido ocupada a la comunidad de la ciberseguridad.

Algunas de las amenazas cibernéticas más peligrosas que se presentaron este año son:

Spectre y Meltdown

Apenas comenzó el año y varios especialistas en ciberseguridad comenzaron a reportar las vulnerabilidades de CPU conocidas como Spectre y Meltdown. Presentes en los chips Intel, IBM, ARM y AMD, se descubrió que estas vulnerabilidades podrían ser explotadas a través de un ataque de canal lateral con el propósito de robar información confidencial almacenada en el dispositivo engañando a los programas del equipo comprometido.

Antes de su divulgación pública, múltiples organizaciones de la industria trabajaron en conjunto para desarrollar los parches de seguridad para estas fallas, lo que generó algunos contratiempos, como ralentización de los equipos afectados, por si fuera poco, en los meses siguientes continuaron apareciendo algunas variantes de las vulnerabilidades, así como otras vulnerabilidades de ejecución especulativa, como Foreshadow. Empresas como Intel mencionaron que su próxima generación de chips será diseñada para evitar la presencia de esta clase de fallas.

GandCrab

El software de encriptación GandCrab se convirtió en la herramienta más utilizada en ataques de ransomware este 2018. A diferencia de los ataques convencionales, GandCrab se basa en kits de explotación como RIG, GrandSoft y Fallout para desplegar sus ataques, además, GandCrab exige los rescates en la criptomoneda Dash. Acorde a un análisis de una firma de ciberseguridad, los hackers detrás de GandCrab podrían haber generado alrededor de 700 mil dólares en ganancias.

VPNFilter

VPNFilter es un programa de malware modular presuntamente desarrollado por el grupo de hackers rusos conocido como Fancy Bear. Presente en una amplia gama de enrutadores, este malware es capaz de realizar ataques DDoS, filtración de datos y ciberespionaje. En una etapa posterior, VPNFilter es capaz incluso de propagarse de forma mucho más acelerada a través de múltiples endpoints, filtrar información y cifrar su propio tráfico.

Coinhive

El uso de software de minado de criptomoneda incrementó considerablemente este año. Entre los múltiples programas disponibles, Coinhive se consagró como el minero más utilizado, sobre todo por centrarse en la divisa digital Monero, criptomoneda anónima cuyas transacciones son muy difíciles de rastrear. Coinhive es explícitamente utilizada en algunos sitios, aunque la mayor parte de sus usuarios son hackers maliciosos que inyectan el minero de forma inadvertida en sitios web o máquinas de administradores desprevenidos.

Magecart

Este es un malware usado para el robo de datos de tarjetas de pago utilizado al menos por seis organizaciones de hackers maliciosos de todo el mundo. Por lo general, los actores maliciosos incorporan Magecart en sitios web comprometidos usando una herramienta de JavaScript que copia los datos que ingresan en las formas presentes en un sitio web, esta información es posteriormente enviada a un servidor malicioso. Aunque los primeros registros de ataques de Magecart se remontan al año 2014, en definitiva alcanzó su punto máximo de actividad a lo largo de 2018.