Prensa

Subscribe to canal de noticias Prensa
Actualizado: hace 28 mins 21 segs

ESET descubre 12 nuevas puertas traseras desconocidas en Linux

Lun, 10/12/2018 - 13:43

Madrid, 10 de diciembre de 2018 . ESET , líder mundial en ciberseguridad y el mayor fabricante de software de seguridad de la Unión Europea, ha descubierto veintiuna familias, doce de ellas desconocidas hasta la fecha, de malware basado en OpenSSH que afectan a Linux. Las potentes herramientas maliciosas descubiertas por ESET son utilizadas ampliamente por cibercriminales que usan amenazas persistentes avanzadas (APT) que podrían tomar el control completo de los servidores Linux.

OpenSSH es la herramienta más utilizada por los administradores de sistemas Linux para gestionar servidores de Internet. Además, el hecho de que el 37% de los servidores expuestos de forma pública en Internet utilice el sistema operativo Linux, convierte a OpenSSH en un vector de ataque habitual cuando lo que se persigue es controlar de manera remota esos servidores.

La investigación llevada a cabo por ESET, y que incluyó el despliegue de honeypots o cibertrampas personalizadas para la clasificación de muestras y el análisis de varias familias de malware, proporcionó una visión del estado actual de las puertas traseras o backdoors OpenSSH. Además, se descubrieron algunos mecanismos interesantes utilizados por los delincuentes. Por ejemplo, una de las familias de malware analizadas cuenta con diferentes modos para comunicarse con el servidor de mando y control (C&C), ya sea mediante la implementación de HTTP, o directamente en los TCP y DNS. Otras familias detectadas de malware son capaces de recibir comandos a través de las contraseñas de SSH o de incluir funcionalidades de minado de criptomonedas.

Según Marc-Étienne Léveillé, analista sénior de malware en ESET y responsable de esta investigación, “a veces todavía escucho la vieja cantinela de que Linux es más seguro que cualquier otro sistema operativo e, incluso, que Linux es inmune al malware. Pero las amenazas a las que se enfrenta este sistema operativo no son ninguna broma y, por ello, en ESET, dedicamos muchos recursos para mejorar la seguridad de estos sistemas”.

En 2013 ESET descubrió una compleja botnet o red de ordenadores zombis formada por 25.000 ordenadores con sistema Linux en la denominada operación Windigo . El componente clave de Windigo era una backdoor basado en OpenSSH llamado Ebury que comprobaba si otras puertas traseras estaban activos en el sistema antes de desplegarse. Debido a que, en aquel momento, las backdoors de este tipo eran prácticamente desconocidos, ESET empezó a investigar sobre ellos y el resultado se ha mostrado ahora.

Con el objetivo de proteger los sistemas y salvaguardar los datos, ESET recomienda a todas las organizaciones:

  • que mantengan sus sistemas actualizados.
  • que cuenten con autenticación basada en claves para SSH.
  • que deshabiliten los accesos remotos.
  • que utilicen una solución de autenticación multifactor para SSH.
  • que descarguen ESET File Security como herramienta de seguridad.

“Esperemos que este tipo de descubrimientos mejoren las labores de prevención, detección y remediación en los futuros ataques basados en OpenSSH a servidores Linux. Los servidores comprometidos son una pesadilla, pero trabajando de forma conjunta los administradores de sistemas y los analistas de malware podremos ayudarnos mutuamente en la lucha contra el malware orientado a servidores”, concluye Léveillé.

Meet the expert: ESET presenta a sus investigadores más importantes

Jue, 29/11/2018 - 12:40
  • El mayor fabricante de software de seguridad de la Unión Europea se une a las celebraciones del 30º Día Mundial de la Seguridad Informática reconociendo a los investigadores de la compañía que con sus aportaciones contribuyen a hacer un mundo más ciberseguro

Madrid, 29 de noviembre de 2018.- ESET se suma a las celebraciones del Día Mundial de la Seguridad Informática, cuya conmemoración cumple 30 años mañana día 30 de noviembre, desvelando algunos de los aspectos menos conocidos de la compañía: sus investigadores. La compañía, la más importante dedicada a la ciberseguridad de la Unión Europea, rinde de esta forma un pequeño homenaje a algunos de los investigadores que, día tras día, dedican todos sus esfuerzos a conseguir un mundo más ciberseguro, trabajando en alguno de los 13 centros de I+D que la compañía tiene repartidos por todo el mundo y en colaboración con las fuerzas de seguridad de distintos países.

Gracias a numerosas investigaciones, la compañía ayuda en la detección de grupos criminales, grupos APT, asuntos de ciberespionaje y otras actividades delictivas. ESET es la única empresa con más de un centenar de premios VirusBulletin, que avalan el trabajo de unos investigadores comprometidos con su trabajo y la construcción de un entorno tecnológico más seguro. La mejor prueba de ello son los más de 100 millones de usuarios y empresas que confían en las soluciones de seguridad de ESET para proteger su vida digital.

Entre los investigadores más destacados de ESET podemos citar, entre muchos otros, a:

  • Camilo Gutiérrez Amaya, responsable de Investigación y Concienciación en ESET Latam, es ingeniero electrónico y máster en Data Mining & Knowledge Discovery. En su foco se encuentran las amenazas que afectan a Latinoamérica, entre las que destacan el robo de información, el malware en webs de streaming, phishing de webs de organismos oficiales o correos con adjuntos maliciosos.
  • Denise Giusto Bilić, investigadora de ciberseguridad, es ingeniera en Sistemas de Información y ha participado en numerosos proyectos de investigación orientados al desarrollo, a la Inteligencia Artificial y a la seguridad informática. En este campo, destacan sus investigaciones sobre cryptojacking y sus análisis de amenazas en Android (troyanos, ransomware). Además, es autora de numerosos tutoriales de análisis de malware en Android.
  • Josep Albors, investigador de ciberseguridad y responsable del área de concienciación en ESET España, es el responsable de analizar y alertar de aquellas amenazas y campañas dirigidas a España. Entre sus investigaciones destacan las realizadas sobre diversas campañas de ransomware, ataques al Internet de las cosas, cryptojacking, y varias amenazas que tienen a usuarios españoles como objetivo.
  • Anton Cherepanov, analista senior de malware, es licenciado en Tecnología y ha participado, entre otros, en el seguimiento del grupo Telebots (responsable de BlackEnergy, Industroyer, NotPetya o GreyEnergy) junto a Robert Lipovsky, así como en investigaciones sobre los ataques dirigidos a Rusia y Ucrania (casas de cambio de moneda, Operación Groundbait, ciberespionaje en la guerra de Ucrania) y en ataques a sistemas bancarios en varios países.
  • Robert Lipovsky, analista senior de malware, es máster en Ciencias de la Computación y ha participado como ponente en numerosos eventos relacionados con la ciberseguridad, como EICAR, CARO o Virus Bulletin. Además, participó en el seguimiento del grupo Telebots junto a Anton Cherepanov y entre sus investigaciones destacan las relativas a Finfisher, ataques en sistemas de juego online (troyano Odlanor), así como las campañas dirigidas a Ucrania (operación Potao Express) y a objetivos militares (troyano Korplug).
  • Lukas Stefanko, analista de malware, es máster en Ingeniería Informática y ha descubierto en su trabajo diario numerosas aplicaciones maliciosas para sistemas Android, incluyendo falsas aplicaciones financieras de bancos de todo el mundo. Además, ha realizado análisis de herramientas maliciosas de control remoto para Android, publicidad maliciosa en Android y estafas relacionadas con criptomonedas en dispositivos móviles.
  • Alexis Dorais-Joncas, responsable del equipo de inteligencia en ciberseguridad, máster en Ingeniería Eléctrica y uno de los pioneros de ESET en Canadá. Entre sus hitos destacan las investigaciones sobre Syndicase, un malware dirigido a Nepal y China junto con Lamadai (dirigido a organizaciones tibetanas) o de la botnet Kelihos y Jabberbot, un malware distribuido a través de servicios de mensajería.
  • Jean-Ian Boutin, analista senior de malware, tiene estudios de grado en Ingeniería Eléctrica y es máster en Ingeniería en Computación, además de participante habitual en conferencias como Virus Bulletin y ZeroNights. Es responsable del análisis de la campaña Turla con ataques dirigidos a países de la órbita de la antigua URSS, así como de otros análisis de ataques a sistemas financieros rusos, de la investigación de la botnet Dorkbot o de la operación Buhtrap dirigida a empresas rusas y troyano Brolux destinado a bancos japoneses.
  • Lysa Myers, investigadora de ciberseguridad, participa en eventos sobre ciberseguridad desde 2006 y ha analizado robos de datos como el de Equifax. Además, es especialista en seguridad en el IoT y en el uso responsable de Internet y otros dispositivos que nos encontramos en los hogares y que no suelen brillar por sus medidas de seguridad.
  • Marc-Etienne M. Léveillé, analista de malware, es el responsable de la investigación sobre la operación Windigo (un conjunto de herramientas de malware para servidores Linux usado para redireccionar tráfico web, enviar spam y alojar contenido malicioso) en colaboración con el FBI, o del análisis de BadRabbit, además de numerosos casos de cripto-ransomware (TorrentLocker), malware OSX/Keydnap o malware en Linux (Remaiten, Mumblehard, Ebury, Cdorked).
  • Michal Poslušný, analista de malware, es el responsable de la investigación BackSwap, que ha afectado a usuarios españoles y polacos de entidades de banca online, y que utiliza una nueva técnica para evadir medidas de protección del navegador para lograr vaciar cuentas bancarias. Además, ha participado en el análisis de FriedEX, la evolución del troyano bancario Dridex, y que constituye otra familia de malware de alto perfil, un ransomware sofisticado conocido como BitPaymer.

Cada 30 de noviembre se conmemora el Día Mundial de la Seguridad Informática con el objetivo de concienciar sobre los riesgos del mundo conectado y promover las mejores prácticas tanto en empresas como entre la ciudadanía a la hora de proteger sus datos. Con el repaso a los trabajos que desarrollan algunos de sus investigadores más destacados, ESET recuerda que las amenazas son constantes y cada vez más sofisticadas, por lo que usuarios y empresas deben estar atentos a las recomendaciones de seguridad que hacen las compañías.

ESET alerta sobre una campaña de solicitudes fraudulentas de presupuestos

Vie, 16/11/2018 - 18:12
  • Los ataques están siendo dirigidos sobre todo a empresas españolas, en menor medida, y portuguesas

Madrid, 16 de noviembre de 2018.- ESET , el mayor fabricante de software de seguridad de la Unión Europea, ha alertado sobre una campaña de ciberataques que, mediante el uso del correo electrónico, ha estado enviando a organizaciones españolas y portuguesas supuestos presupuestos para la realización de servicios y que en realidad se trataban de archivos infectados. Los correos analizados suplantan al remitente mediante técnicas de spoofing (suplantación) “aunque no se descarta que en algunos casos se haya conseguido tomar el control de los servidores de correo de las empresas remitentes”, advierten desde ESET.

Uno de los aspectos importantes de esta nueva campaña es que los correos están escritos en perfecto castellano y parecen provenir de empresas legítimas e, incluso, conocidas, con el objetivo de hacer más creíble la solicitud. Al tratarse de correos remitidos desde empresas reales, muchos usuarios interpretan que se trata de correos legítimos y bajan la guardia, descargando el fichero adjunto en formato .xls, .rtf o .doc. El fichero malicioso adjunto tiene una peculiaridad con respecto a otros casos anteriores, ya que Office no permite la ejecución automática de código incrustado en los documentos, algo que permitiría que el malware se activase solo con abrir un Word, por ejemplo. Es el usuario el que debe activar manualmente la opción para poder ver ese código y, por eso, los delincuentes incrustan mensajes que les invitan a hacerlo. Por ese motivo el documento malicioso intenta aprovechar la vulnerabilidad CVE-2017-11882 en Microsoft Office para comenzar su actividad maliciosa.

“Aun en pleno 2018 sigue existiendo la creencia entre muchos usuarios de que los ficheros Word o Excel no representan un peligro para sus sistemas, a pesar de haber sido utilizados en todo tipo de ataques desde hace más de 20 años”, afirma Josep Albors, responsable de investigación en ESET España.

Los usuarios de soluciones de seguridad ESET están protegidos frente a esta primera fase del ataque gracias a la detección del exploit que intenta utilizar el documento malicioso, detección que recibe el nombre de Win32/Exploit.CVE-2017-11882, aunque desde la compañía recuerdan que para evitar caer en este tipo de amenazas, es necesario mantener actualizado el sistema operativo y las aplicaciones, disponer de soluciones de seguridad, como ESET Smart Security , que sean capaces de detectar amenazas y desconfiar de correos electrónicos no solicitados aunque provengan de remitentes de confianza.

BAROMETRO ESET NOD32: Las grandes ciberamenazas a sistemas industriales centran las preocupaciones de la industria en octubre

Mié, 07/11/2018 - 11:23

  • La reaparición de Telebots, descubierta por investigadores de ESET, pronostica nuevos ataques a infraestructuras críticas
  • Las vulnerabilidades en móviles, tanto Android como iOS, y el cierre de Google+ debido a las filtraciones de datos, protagonizan también el mes en el sector de la seguridad

Madrid, 7 de noviembre de 2018. – Octubre ha sido un mes marcado por la aparición de nuevas vulnerabilidades en sistemas y aplicaciones y, sobre todo, por el descubrimiento por parte de investigadores de ESET , el mayor fabricante de software de seguridad de la Unión Europea, de un nuevo malware orientado a sistemas industriales de los responsables de ataques como NotPetya o los ataques a centrales eléctricas de Ucrania que dejaron sin luz a miles de usuarios.

El grupo Telebots, conocido gracias a las investigaciones realizadas por expertos de ESET por ser el responsable de los ataques realizados contra centrales eléctricas de Ucrania usando el malware BlackEnergy, causar el caos en esa región y otras partes del mundo con el falso ransomware NotPetya y crear una de las amenazas más avanzadas dirigida a sistemas de control industrial como fue Industroyer, no ha dejado de trabajar en nuevas amenazas, tal y como han demostrado las investigaciones realizadas por ESET, que ha detectado algunas de sus nuevas creaciones. Una de ellas es el backdoor Win32/Exaramel, muy probablemente una versión mejorada del malware Industroyer que empezó a ser detectada en abril de este mismo año con mejoras en sus funcionalidades, especialmente a la hora de robar contraseñas.

Sin embargo, el descubrimiento de otra amenaza de este grupo también orientada al sector industrial y bautizada por ESET como GreyEnergy demuestra que los objetivos de este grupo siguen centrados en causar daño a este sector crítico. Este malware, activo durante los últimos años pero sin realizar acciones destructivas de momento, ha permanecido bajo el radar realizando operaciones de espionaje y reconocimiento, posiblemente para preparar un futuro ataque contra algún objetivo crítico.

“La continua evolución de los códigos maliciosos desarrollados por el grupo Telebots demuestra que se trata de un grupo con amplios recursos y conocimiento” comenta Josep Albors, responsable de investigación y concienciación de ESET España. “No obstante, a pesar de que Ucrania es su principal objetivo y este país cuenta con importantes enemigos, no podemos atribuir alegremente estas acciones a una nación sin tener pruebas concluyentes”.

Amenazas en smartphones

La presencia de malware en smartphones y otros dispositivos móviles no debería extrañar a nadie a estas alturas. Sin embargo, nunca deja de ser preocupante que en mercados oficiales se sigan colando aplicaciones maliciosas preparadas por los delincuentes, como las 29 descubiertas por el investigador de ESET Lukas Stefanko y que actuaban como troyanos bancarios. Las aplicaciones maliciosas fueron descargadas por alrededor de 30.000 usuarios desde Google Play antes de ser retiradas y eran capaces de afectar de forma dinámica cualquier aplicación presente en el dispositivo mediante la utilización de formularios fraudulentos personalizados. También eran capaces de interceptar y redirigir mensajes de texto para así saltarse los mecanismos de doble factor de autenticación utilizados por muchas entidades bancarias, además de poder interceptar registros de llamadas y descargar otras aplicaciones maliciosas en el dispositivo infectado.

Por su parte, los usuarios de iOS han visto cómo, a pesar de varias actualizaciones lanzadas por Apple para intentar corregirlo, era posible saltarse la contraseña de desbloqueo para acceder al álbum de fotos e incluso enviarlas mediante un mensaje. El investigador español José Rodriguez publicó varios vídeos donde mostraba el proceso que realizaba para alcanzar su objetivo, dejando en evidencia una y otra vez los esfuerzos realizados por Apple para solucionar este fallo.

En octubre también supimos de la existencia de una vulnerabilidad ya solucionada en la conocida aplicación de mensajería WhatsApp. Descubierta a finales de agosto por la investigadora Natalie Silvanovich (miembro de Google Project Zero), esta vulnerabilidad era consecuencia de un problema de desbordamiento de memoria que se activaba cuando un usuario recibía un paquete RTP manipulado a través de una videollamada, lo que provocaba un error que terminaba por hacer caer la aplicación. Se recomienda a todos los usuarios de WhatsApp actualizar a la versión más reciente para evitar posibles incidentes de seguridad.

La seguridad de nuestros datos de nuevo en entredicho

Si en septiembre vimos importantes brechas de seguridad en grandes empresas que afectaron a millones de usuarios, durante octubre esa tendencia se ha venido repitiendo e incluso provocando el cierre de algún servicio que ya llevaba tiempo agonizando.

Eso es precisamente lo que le pasó a Google+, el intento de red social de Google que no llegó a cuajar y que ahora la empresa ha decidido eliminar tras conocerse que los datos de más de 500.000 usuarios fueron expuestos. Gracias a un fallo, aplicaciones de terceros eran capaces de acceder a datos privados del perfil de un usuario de Google+ cuando solo deberían haber podido acceder a la información marcada como pública. Entre los datos expuestos se encuentran la dirección de correo, ocupación, género, edad, foto de perfil, pseudónimo, fecha de nacimiento o estado civil, entre otros. Además, el fallo no solo permitía a los desarrolladores acceder a información privada de un usuario, sino también a la de sus amigos.

Por otro lado, el mes pasado vimos cómo unos atacantes conseguían acceder a información privada (incluyendo datos relacionados con sus tarjetas de crédito) de 380.000 usuarios de la web y aplicación móvil de la aerolínea British Airways, este mes le tocó el turno a la aerolínea Cathay Pacific . Sin embargo este incidente parece ser más grave que el anterior ya que el número de afectados llegaría a los 9,4 millones de usuarios y los atacantes consiguieron obtener los nombres, nacionalidades, números de pasaporte, fecha de nacimiento, email y dirección postal de los usuarios, junto con un pequeño número de tarjetas de crédito tanto activas como caducadas.

Espionaje gubernamental

Durante el pasado mes surgió una polémica tras la publicación por parte de Bloomberg Businessweek de un reportaje en el que se afirmaba que China estaba instalando diminutos chips espía en algunos componentes informáticos, como placas base, destinados a importantes empresas y organismos de Estados Unidos. Según Bloomberg, estos chips no serían más grandes que un grano de arroz y entre las más de 30 empresas afectadas se encontrarían gigantes como Apple o Amazon, así como un reconocido banco y empresas que trabajan para el gobierno de los Estados Unidos.

Sin embargo, algunas de empresas y organismos mencionados en este reportaje han salido a desmentir estas afirmaciones indicando de que no tienen constancia alguna de que su hardware se haya visto comprometido de la forma indicada por Bloomberg. Además, el gobierno chino también emitió un comunicado negando cualquier involucración en este asunto y abogando por la colaboración en la defensa de la ciberseguridad, también en la cadena de proveedores. Sea como sea, la polémica está servida y puede que aun pasen meses hasta que sepamos la verdad sobre este asunto.

Para terminar este resumen mensual, una buena noticia: a finales de octubre se consiguió desarrollar una herramienta de descifrado gratuita para uno de los ransomware que más ha dado que hablar durante durante 2018. Estamos hablando de GrandCrab en varias de sus versiones, cuyas víctimas ya pueden probar a descifrar los datos afectados por este ransomware gracias a la herramienta que ya se encuentra disponible en la web nomoreransom.org en la que colaboramos diferentes empresas de ciberseguridad.

ESET presenta sus nuevas soluciones de seguridad con el objetivo de proteger a los usuarios “siempre conectados”

Mar, 23/10/2018 - 14:30
  • Las nuevas versiones de ESET NOD32 Antivirus, ESET Internet Security y ESET Smart Security Premium mejoran la protección, permiten una instalación más rápida y ofrecen informes personalizados

Madrid, 23 de octubre de 2018.- ESET, el mayor fabricante de software de seguridad de la Unión Europea, ha anunciado la disponibilidad de las nuevas versiones de sus soluciones ESET NOD32 Antivirus, ESET Internet Security y ESET Smart Security Premium, con las que la compañía ofrece a los usuarios protección multicapa reforzada, seguridad mejorada para dispositivos IoT, recompensas por recomendaciones de producto y una nueva función que permite obtener informes de actividad personalizados. Los usuarios de ESET, como es habitual, pueden conseguir con estas soluciones el mejor equilibrio entre velocidad, detección y usabilidad, tal y como reconocen las diferentes firmas de análisis independientes.

Para 2025, se prevé que existan más 75 billones de dispositivos conectados en todo el mundo, lo que supone una amenaza real para los usuarios: cuantos más dispositivos conectados haya en la vida cotidiana más datos sensibles y personales se compartirán por las redes y más vulnerabilidades sufrirán los usuarios.

“Los ciberdelincuentes utilizarán el creciente número de dispositivos conectados para su propio beneficio, por lo que los usuarios no pueden descuidar su protección. El hecho de que hayamos añadido protección IoT a los productos para usuario final significa que nuestros clientes pueden estar seguros de que sus dispositivos conectados y sus routers están securizados de forma apropiada”, afirma Matej Kristofik, jefe de producto en ESET.

De la misma manera que en los últimos años, los usuarios pueden elegir entre ESET NOD32 Antivirus la protección básica de ESET NOD32 Antivirus, ESET Internet Security y sus capas adicionales de seguridad o ESET Smart Security Premium, con la protección más avanzada, también para gestionar contraseñas.

Desarrollados sobre tres décadas de conocimiento y utilizando técnicas de Machine Learning, todos los productos de ESET analizan los dispositivos de forma transparente y sin afectar al rendimiento del sistema operativo. “Construimos nuestros productos con el objetivo de ofrecer ventajas sobre la protección nativa de Windows de forma que mostremos a los usuarios que el enfoque multicapa es capaz de terminar con las amenazas más acuciantes”, continúa Kristofik.

Las nuevas versiones de las soluciones de ESET incorporan las siguientes funcionalidades:

  • Cumplimiento de GDPR: todos los productos de ESET cumplen con el Reglamento de Protección de Datos de la Unión Europea

.

  • Informes de seguridad: con los informes de seguridad, el usuario puede conocer de forma general las amenazas que ESET ha detectado, bloqueado y limpiado de forma activa, sin que el usuario perciba ninguna merma en el rendimiento. Los usuarios pueden elegir sus prioridades desde una lista preconfigurada o preferir informes personalizados en los que se especifique lo que ha ocurrido en otras funciones como la de Datos Seguros, Gestión de Contraseñas, Antirrobo o Control Parental

.

  • Instalación mejorada: los usuarios pueden ahorrar hasta un 40% del tiempo en la instalación preconfigurada, ya que las soluciones de ESET solo tardan un par de segundos en configurarse

.

  • Protección de la red doméstica: ahora los usuarios pueden comprobar el estado de cualquier dispositivo conectado al router para conocer las vulnerabilidades, como contraseñas débiles, que puedan existir. Además, se le propone al usuario posibles soluciones para solventar la vulnerabilidad. También, se permite al usuario comprobar vulnerabilidades de puertos, de firmware, dominios maliciosos, infecciones de malware o contraseñas de router por defecto o débiles

.

  • Recompensas por recomendación de producto: se trata de una nueva función que permite a todos los usuarios de ESET recomendar a familiares o amigos el producto y conseguir protección gratuita por cada recomendación

.

Lojax, el primer rootkit UEFI utilizado en un ciberataque, protagoniza los incidentes de septiembre

Vie, 19/10/2018 - 10:33
  • Aunque se conocía la existencia de este tipo de amenazas, el laboratorio de ESET detectó el mes pasado su uso en un ataque real por primera vez en la historia

Madrid, 19 de octubre de 2018 . – El mes de septiembre suele ser el del retorno al trabajo tras las vacaciones y el de la rutina postvacacional. Sin embargo, el mundo del cibercrimen no descansa ni siquiera en vacaciones, tal y como venimos comprobando durante los últimos años y, para ellos, septiembre es solo un mes más en el que cometer sus delitos. Como todos los meses, ESET , el mayor fabricante de software de seguridad de la Unión Europea, ha venido recopilando las amenazas y ciberataques que se han producido durante el pasado mes, en el que ha destacado, por encima de todo, el descubrimiento, por parte del laboratorio de ESET, de Lojax, un potente rootkit UEFI que ha sido utilizado activamente contra organizaciones gubernamentales en los Balcanes, Europa Central y del Este por primera vez en la historia: nunca antes había sido detectado un malware de este tipo en un ataque real, algo que puede suponer un peligroso avance en las herramientas utilizadas por los delincuentes o grupos especializados en realizar ataques dirigidos.

Amenazas en dispositivos móviles e IoT
Los dispositivos móviles y, especialmente aquellos con sistema operativo Android, siguen en el punto de mira de los delincuentes. Durante el mes pasado pudimos ver cómo la descarga de aplicaciones maliciosas, tanto financieras como de ocio, seguía siendo una tónica a la hora de conseguir que los usuarios instalasen código malicioso en sus smartphones.

Un ejemplo de esto lo tenemos en el descubrimiento por parte de investigadores de ESET de varias apps de banca online y un exchange de criptomonedas fraudulentas que estarían orientadas a usuarios de países como Australia, Nueva Zelanda, Reino Unido, Suiza, Polonia y Austria. Estas aplicaciones fueron descargadas cientos de veces antes de ser retiradas en septiembre y su finalidad era robar detalles de las tarjetas de crédito y/o claves de acceso a las cuentas aquellas entidades financieras suplantadas mediante el uso de formularios falsos.

Por otro lado, una de las aplicaciones más esperadas entre los usuarios de Android como es el videojuego Fortnite también está siendo utilizado por los delincuentes para propagar sus amenazas. Hasta 32 aplicaciones falsas disponibles para su descarga en 12 tiendas no oficiales fueron encontradas y se espera que esta tendencia siga produciéndose ahora que la aplicación ya ha sido lanzada de forma oficial y el desarrollador haya decidido no utilizar Google Play para distribuir el instalador del juego.

Durante los últimos meses hemos visto cómo dispositivos tan comunes como los routers y, concretamente los del fabricante MikroTik son objetivo de los delincuentes para controlarlos y desempeñar funciones como la criptominería. Numerosas vulnerabilidades existentes y ya parcheadas desde hace meses son aprovechadas para tomar el control de estos dispositivos, lo que demuestra el pobre mantenimiento que estos dispositivos suelen tener por parte de los usuarios.

Además de los routers, otros de los dispositivos de los delincuentes favoritos para infectar son las cámaras de circuito cerrado o CCTV. Muchas de estas cámaras están expuestas a Internet con contraseñas débiles, vulnerabilidades explotables o sin ninguna contraseña, algo que aprovechan los criminales para controlar remotamente miles de cámaras en todo el mundo.

Criptodivisas y otras amenazas
Otro protagonista del mes fue el troyano bancario DanaBot, que fue descubierto a principios de año y que afectaba a usuarios de Australia y, posteriormente, de Polonia. Durante los últimos meses, este troyano se ha seguido expandiendo por el territorio europeo, especialmente en Italia, Alemania, Austria y, desde el pasado mes de septiembre, Ucrania.

El malware que mina criptodivisas sin permiso aprovechándose de los recursos de los sistemas a los que infecta sigue siendo una de las amenazas más prevalentes y los delincuentes no dejan de innovar a la hora de conseguir nuevas víctimas. Durante el mes pasado vimos cómo algunos complementos para el popular gestor de medios Kodi estaban siendo utilizados como parte de una campaña de criptominería que utiliza complementos infectados descargados desde repositorios de terceros. La existencia de binarios de este malware tanto para Windows como para Linux nos hace pensar que los delincuentes tienen como objetivo a dispositivos como la Raspberry Pi, muy extendidos para visualizar contenido a través de esta plataforma.

Una de las actualizaciones periódicas que Microsoft realiza cada mes solucionó un grave fallo de seguridad que estaba siendo aprovechado por atacantes y que permitía escalar privilegios en sistemas desde Windows 7 a Windows 10. El grupo PowerPool aprovechó el exploit para realizar una campaña de ataques, afectando a una pequeña cantidad de usuarios en varios países repartidos por todo el mundo.

A pesar de todos estos ataques más o menos avanzados, desde finales de julio venimos observando una campaña de extorsión a los usuarios usando solamente el correo electrónico. En la mayoría de casos, este tipo de chantajes no funcionaría pero los delincuentes detrás de esta campaña están aprovechándose tanto de antiguas contraseñas de servicios comprometidos como de la suplantación del remitente del correo para hacer creer que han sido hackeados de verdad. Tras revisar los ingresos realizados a las carteras de Bitcoin de los delincuentes podemos decir que esta campaña les está saliendo muy rentable, si tenemos en cuenta el retorno de inversión obtenido y el poco esfuerzo realizado.

Problemas con la privacidad de millones de usuarios
Si hay una constante que parece repetirse durante los últimos meses, esta es el robo y filtraciones continuas de datos privados de usuarios y empresas. Septiembre fue especialmente prolífico en incidentes de este tipo, teniendo un especial impacto el problema de seguridad de Facebook que inicialmente se pensó que había afectado a 50 millones de usuarios de la popular red social pero que, posteriormente, la empresa rebajo a 30 millones. Estos datos pudieron ser obtenidos de forma ilícita aprovechando la existencia de un agujero de seguridad en el código que permitía obtener los tokens de acceso para las cuentas de los usuarios afectados, llegando a poder tomar el control de ellas.

También los usuarios de la aerolínea British Airways fueron víctimas de un robo de información personal y financiera alojada en los servidores de la empresa. Al menos 380.000 pagos con tarjetas realizados a través de su aplicación y página web se vieron comprometidos.

Pero el incidente con más usuarios afectados del pasado mes fue el protagonizado por la empresa de soluciones de backup Veeam, que dejó expuesta una base de datos que contenía más de 445 millones de registros que incluían direcciones de correo electrónico. La base de datos con toda esa información fue descubierta por un investigador que la localizó totalmente accesible durante al menos nueve días y sin contraseña alguna.

Un fallo de seguridad en la última versión de iOS permite acceder al álbum de fotos en iPhone

Jue, 18/10/2018 - 13:08
  • ESET advierte de una vulnerabilidad que facilita a los atacantes saltarse la clave de acceso al dispositivo, acceder a las fotografías y enviarlas a través de Apple Message

Madrid, 18 de octubre de 2018 .- ESET , el mayor fabricante de software de seguridad de la Unión Europea, ha alertado sobre un nuevo fallo de seguridad en iOS 12.0.1 que permite, una vez se tenga acceso físico al dispositivo, saltarse la clave de acceso, acceder al álbum de fotografías y enviarlas a través de Apple Message.

Apple está al tanto de la existencia de este fallo y se espera que en breve lance una actualización para repararlo. “Desde ESET se recomienda a todos los usuarios tener cuidado de no dejar su teléfono al alcance de terceros, ya que la única manera de explotar la vulnerabilidad es teniendo acceso físico al dispositivo. La prevención es una de las claves principales para mantenerse a salvo de las amenazas en la red pero si, además, contamos con una solución que proteja nuestros equipos móviles, podremos disfrutar de la tecnología de manera segura” , afirma Camilo Gutiérrez, jefe del laboratorio de de ESET Latinoamérica.

El investigador en seguridad José Rodríguez publicó hace un par de días un vídeo en el que se revelaba la vulnerabilidad. Puntualmente el fallo está en la posibilidad de aprovecharse de Siri y VoiceOver para quebrantar la autenticación del dispositivo. La vulnerabilidad está presente en todos los modelos de iPhone, incluyendo iPhone X y XS, que estén funcionando con la última versión del sistema operativo de Apple.

Para acceder a más información sobre esta vulnerabilidad se puede visitar el sitio https://www.welivesecurity.com/la-es/2018/10/16/fallo-ultimo-iphone-evad...

ESET lanza hoy su nueva generación de soluciones de seguridad empresarial para pymes y grandes empresas

Mié, 17/10/2018 - 16:40
  • La nueva gama de servicios en la nube permitirá a las empresas responder y reaccionar al creciente volumen y sofisticación de los ciberataques
  • ESET pone el foco en la consolidación de su mercado creciente de pymes y avanza en su posicionamiento en grandes entornos corporativos

Madrid, 17 de octubre de 2018 .- ESET , el mayor fabricante de software de seguridad de la Unión Europea, lanza hoy al mercado empresarial una nueva generación de soluciones de seguridad en la nube para pymes y grandes empresas, herramientas que van a permitir responder y reaccionar al creciente volumen y sofisticación de los ciberataques. ESET, que a través de su motor NOD32 lidera los tres ejes de la ciberseguridad -velocidad, fiabilidad y detección-, traslada y consolida esos tres ejes, con una gestión desde la nube, a las pymes y grandes empresas.

ESET, con esta nueva gama de servicios y soluciones para la ciberseguridad corporativa, pone el foco en la consolidación de su apuesta creciente para ayudar a las pymes con ESET Cloud Administrator , que gestiona la seguridad de la red desde una única consola en la nube sin necesidad de utilizar ningún hardware adicional. Esta solución reduce el coste total de adquisición de seguridad IT. Este servicio permite el acceso en todo momento y desde cualquier ubicación mediante una consola web. Con ESET Cloud Administrator la gestión de la configuración y mantenimiento, las actualizaciones y los informes se realizan automáticamente, sin necesidad de interacción del usuario, lo que representa un gran beneficio.

Además, como avance de la estrategia empresarial para 2019, ESET, inicia con ESET Dynamic Threat Defense y ESET Threat Intelligence , su posicionamiento en grandes entornos corporativos, y completa con ESET Enterprise Inspector , que se lanzará próximamente en España, su gama de soluciones para la prevención, detección, respuesta y predicción de amenazas (EDR).

En concreto, ESET Dynamic Threat Defense previene las amenazas zero-day con un potente sandbox en la nube, que crea un entorno de análisis aislado en el que se ejecuta el programa sospechoso y se observa, registra y analiza su comportamiento de forma automatizada. Este producto proporciona una capa adicional de seguridad para los productos empresariales de ESET para la protección de endpoints y servidores de correo.

ESET Dynamic Threat Defense ofrece protección multicapa, ya que utiliza tres modelos diferentes de machine learning cuando se envía un archivo para su análisis. Posteriormente, ejecuta la muestra en un sandbox que simula el comportamiento del usuario ‘engañando’ a las técnicas antievasión y utiliza una red neuronal de deep learming para comparar el comportamiento observado frente a los datos de comportamiento históricos. Finalmente, el motor de análisis separa las muestras y las analiza en busca de cualquier anomalía.

Por otra parte, ESET Threat Intelligence proporciona información global sobre ataques dirigidos, amenazas avanzadas persistentes (APTs), ataques zero-day y la actividad actualizada de botnets. Debido a la gran cantidad de amenazas existentes, las empresas se encuentran con la dificultad de establecer qué defensas proactivas son las más importantes. Para satisfacer dicha necesidad, los servicios de Threat Intelligence ayudan a procesar la enorme cantidad de información y proporcionan la más relevante para cada empresa.

Los servicios de ESET Threat Intelligence actúan a modo de “bases de datos de inteligencia de amenazas” en la nube. Además, permiten a los equipos de respuesta a incidentes entender y responder rápidamente y proporcionan información detallada sobre el causante de la amenaza, el comportamiento del malware, los vectores de ataque y los indicadores de riesgo; ayudando así a reducir el tiempo de respuesta a cualquier ataque.

Por último, entre esta nueva gama de soluciones, ESET evoluciona su consola de administración remota para convertirla en un centro completo de administración de la seguridad de la empresa, bajo la denominación de ESET Security Management Center .

Estas soluciones empresariales, como todas las de ESET, están diseñadas por expertos en ciberseguridad, con el objetivo de dar una paso cualitativo en las soluciones basadas exclusivamente en la prevención y detección de amenazas, para avanzar en la respuesta y predicción.

“Viajamos por todo el mundo para hablar con los especialistas en seguridad TI empresarial y saber cuáles eran sus necesidades", señala Juraj Malcho, CTO de ESET. "Lo que hemos descubierto es que necesitaban una sola consola que proporcionara visibilidad en todas las etapas para interceptar las amenazas: predicción, prevención, detección y reparación. Eso es lo que hicimos".

"ESET cuenta con algunas de las organizaciones más emblemáticas del mundo como clientes. Ahora, muchas más empresas podrán aprovechar ESET para responder y reaccionar al creciente volumen y sofisticación de los ciberataques", concluye Malcho.

ESET descubre vínculos entre dos de los mayores ataques a la ciberseguridad mundial

Jue, 11/10/2018 - 17:09
  • Los investigadores de la compañía de ciberseguridad han hallado indicios de una posible conexión entre el falso ransomware NotPetya y el malware Industroyer, responsable de apagones en infraestructuras críticas

Madrid, 11 de Octubre de 2018 .- ESET , el mayor fabricante de software de seguridad de la Unión Europea, ha descubierto evidencias que revelarían una conexión entre el conocido grupo de cibercriminales TeleBots e Industroyer , el malware que apunta a infraestructuras críticas más poderoso descubierto hasta el momento, y responsable de los cortes en el suministro eléctrico de la principal región de Ucrania en 2016.

TeleBots ya demostró su potencial con otra de sus creaciones, NotPetya , un malware de borrado de disco que, simulando ser un ransomware, interrumpió la actividad de las empresas a escala mundial en 2017. Por si fuera poco, los tentáculos de este grupo de ciberdelincuentes organizados también parece tener vínculos con BlackEnergy, otro malware dirigido a atacar infraestructuras críticas que ya provocó cortes en el sistema eléctrico ucraniano en 2015 (anticipando las intenciones de lo que pasaría un año después a una escala mayor con Industroyer).

“Las especulaciones sobre la conexión entre Industroyer y el grupo TeleBots surgieron poco después de que el malware golpease Ucrania”, explica el investigador de ESET, Anton Cherepanov, encargado de dirigir las investigaciones sobre Industroyer y NotPetya. “Sin embargo, ninguna evidencia entre ambos había sido reconocida públicamente hasta ahora”.

En abril de 2018, ESET descubrió las nuevas actividades del grupo de ciberdelincuentes al desarrollar éstos un nuevo backdoor que la compañía de ciberseguridad detectó como Exaramel. Los analistas apuntaron entonces a que este backdoor era una versión mejorada de Industroyer y, por tanto, la primera evidencia de la conexión entre el grupo y este ataque*.

“El descubrimiento de Exaramel demuestra que el grupo TeleBots permanece activo hoy en día y los atacantes siguen mejorando sus herramientas y tácticas”, continúa Cherepanov. “Nosotros continuaremos monitorizando su actividad para proteger a nuestros usuarios” , concluye el investigador.

Para más información sobre sobre esta investigación y la relación entre Industroyer y TeleBots, se puede leer el siguiente artículo publicado en WeLiveSecurity .

*Cuando los investigadores de ESET describen los ciberataques y los seguimientos a los grupos de cibercriminales está señalando conexiones basadas en indicadores técnicos como coincidencias en el código, infraestructuras de comando y control, cadenas de ejecución de malware y otras evidencias técnicas. ESET no está vinculado a investigaciones en el terrero de la legalidad vigente ni atribuye las acciones descritas a ningún estado en particular.

Chema Alonso, Chief Data Officer de Telefónica: “no existe una empresa 100% segura frente a la ciberdelincuencia”

Mar, 02/10/2018 - 15:28
  • El experto en seguridad recomienda invertir primero en los ‘básicos' para no centrase, a priori, en la fashion-tech”
  • Según Alonso, existen tres fases que demuestran la madurez en la seguridad de una empresa y son: prevención, detección y respuesta

Valencia, 2 de octubre de 2018 .- ESET , el mayor fabricante de software de seguridad de la Unión Europea ha celebrado hoy en Valencia el ESET Security Day , donde grandes expertos en seguridad como Chema Alonso, Chief Data Officer de Telefónica; Josep Albors, responsable de investigación y concienciación de ESET España; Alex Casanova, director de seguridad de Sothis; Pablo Fernández Burgueño, especialista en derecho de ciberseguridad y María José Montes, responsable de Ciberseguridad de ESET España, han aportado su visión sobre el estado actual de la industria de la ciberseguridad (y del cibercrimen) a los asistentes.

Chema Alonso, Chief Data Officer de Telefónica , ha afirmado que “no existe una empresa 100% segura frente a la ciberdelincuencia y quien afirme eso, está engañando”, durante su conferencia “El arte y la ciencia en la seguridad informática de la empresa”, en la que ha puesto el foco los posibles fallos a tener en cuenta a la hora de hablar de tecnología, de cómo gestionar los riesgos en la empresa y las expectativas de un plan de continuidad de negocio.

El experto en seguridad recomienda invertir primero en los ‘básicos’ y no centrase, a priori, en la fashion-tech”. “Existen tres fases que demuestran la madurez en la seguridad de una empresa y son: prevención, detección y respuesta”, afirma Alonso, durante su participación hoy en Valencia, en el ESET Security Day. “El tiempo de soluciones sencillas a problemas sencillos no existe. Hay que gestionar la complejidad de personas equipos y procesos, aceptando un riesgo asumible, asumiendo que vas a ser atacado y vas a responder. Siendo resilente”.

Carlos Tortosa, responsable de grandes cuentas y desarrollo de negocio de ESET España , ha hecho referencia al creciente interés por la protección de datos como parte de la Responsabilidad Social Corporativa, “en un mundo global donde la protección de la información y la ciberseguridad, tanto de empresa como de empleados, se han convertido en los retos imprescindibles para asegurar la evolución y consolidación empresarial”.

También ha anunciado el lanzamiento para este mes de octubre de tres nuevos productos líderes para garantizar la seguridad de la red corporativa de grandes cuentas y empresas desde la nube en España: ESET Dynamic Threat Defense y ESET Threat Intelligence , que previenen las amenazas zero-day, informan de los ataques dirigidos y de la actividad de las botnets. ESET Cloud Administrator , que administra y gestiona la seguridad de la red corporativa. El objetivo, según Tortosa es: “posicionar a ESET como el proveedor de soluciones de seguridad no solo para pymes sino también para grandes empresas y clientes corporativos, y en esta línea se han trabajado los productos que lanzamos este mes”.

El primero de ellos, denominado, ESET Dynamic Threat Defense previene las amenazas zero-day con una potente sandbox en la nube, que crea un entorno de análisis aislado en el que se ejecuta el programa sospechoso y se observa, registra y analiza su comportamiento de forma automatizada. ESET Threat Intelligence, proporciona información global sobre ataques dirigidos, amenazas avanzadas persistentes (APTs), ataques zero-day y la actividad actualizada de las botnets. Por último, ESET Cloud Administrator gestiona la seguridad de la red desde una única consola en la nube sin necesidad de utilizar ningún hardware adicional.

El ESET Security Day, celebrado en Valencia, ha recorrido diferentes países como Dubái, Hong Kong, Johannesburgo o Zúrich y se ha consolidado como el evento aglutinador de cientos de especialista en seguridad de todo el mundo.

ESET, el mayor fabricante de software de seguridad de la UE presenta tres productos en la nube líderes para empresas

Mar, 02/10/2018 - 15:00
  • ESET Dinamic Threat Defense y ESET Threat Intelligence, detectan las amenazas zero-day, informan de los ataques dirigidos y de la actividad de las botnets
  • ESET Cloud Administrator, administra y gestiona la seguridad de la red corporativa

Valencia, 2 de octubre de 2018.- ESET , el mayor fabricante de software de seguridad de la Unión Europea ha anunciado hoy, durante la celebración en Valencia del ESET Security Day , el lanzamiento para este mes de octubre de tres nuevos productos líderes para garantizar la seguridad de la red corporativa de grandes cuentas y empresas desde la nube en España.

El primero de ellos, denominado, ESET Dynamic Threat Defense previene las amenazas zero-day con una potente sandbox en la nube, que crea un entorno de análisis aislado en el que se ejecuta el programa sospechoso y se observa, registra y analiza su comportamiento de forma automatizada. Este producto proporciona una capa adicional de seguridad para los productos ESET como ESET Mail Security o la gama Endpoint usando la tecnología sandbox en la nube para detectar nuevos tipos de amenazas.

ESET Dynamic Threat Defense ofrece protección multicapa, ya que utiliza tres modelos diferentes de machine learning cuando se envía un archivo. Posteriormente, ejecuta la muestra en una sandbox que simula el comportamiento del usuario ‘engañando’ a las técnicas antievasión y utiliza una red neuronal de aprendizaje profundo para comparar el comportamiento observado frente a los datos de comportamiento históricos. Finalmente, el motor de análisis separa las muestras y las analiza en busca de cualquier anomalía.

ESET Threat Intelligence , proporciona información global sobre ataques dirigidos, amenazas avanzadas persistentes (APTs), ataques zero-day y la actividad actualizada de las botnets. Sin embargo, debido a la gran cantidad de amenazas existentes, las empresas se encuentran con la dificultad de establecer qué defensas proactivas son las más importantes. Para satisfacer dicha necesidad, los servicios de Threat Intelligence ayudan a procesar la enorme cantidad de información y proporcionan la más relevante para cada empresa.

Los servicios de ESET Threat Intelligence de información de amenazas, actúan a modo de “biblioteca de virus” en la nube, procesando una enorme cantidad de información y proporcionando los datos más relevantes según las necesidades de cada empresa. Además, permiten a los equipos de respuesta a incidentes, entender y responder rápidamente las fugas de información, proporcionan información sobre el causante de la amenaza, el comportamiento del malware, los vectores de ataque y los indicadores de riesgo; ayudando así a reducir el tiempo de respuesta a cualquier ataque.

Por último, ESET Cloud Administrator gestiona la seguridad de la red desde una única consola en la nube sin necesidad de utilizar ningún hardware adicional. Esta solución se ofrece como servicio para empresas con hasta 250 equipos, reduciendo el coste total de adquisición de la solución de seguridad. Este servicio permite el acceso en todo momento y desde cualquier ubicación mediante una consola web. Con ESET Cloud Administrator la gestión de la configuración, limpieza del servidor, las actualizaciones y los certificados se realizan automáticamente en segundo plano, sin necesidad de interacción del usuario, lo que representa un gran beneficio para ellos.

En el ESET Security Day celebrado hoy, grandes expertos en seguridad como Chema Alonso, Chief Data Officer de Telefónica; Josep Albors, responsable de investigación y concienciación de ESET España; Alex Casanova, director de seguridad de Sothis; Pablo Fernández Burgueño, especialista en derecho de ciberseguridad y María José Montes, responsable de Ciberseguridad de ESET España, han aportado su visión sobre el estado actual de la industria de la ciberseguridad (y del cibercrimen) y debatido sobre las amenazas más peligrosas para las organizaciones de todos los tamaños.

ESET alerta de una nueva campaña de extorsión con el correo electrónico como herramienta

Vie, 28/09/2018 - 10:20
  • Los ciberdelicuentes suplantan la identidad de la víctima y envían un mensaje desde la dirección del usuario haciéndole creer que se ha pirateado la cuenta

Madrid, 28 de septiembre de 2018. ESET , el mayor fabricante de software de seguridad de la Unión Europea, ha alertado sobre una nueva campaña de extorsión llevada a cabo a través del correo electrónico que consiste en que la víctima recibe un mensaje procedente de su propia dirección informándole de que su cuenta ha sido pirateada.

“El uso de la extorsión por parte de los ciberdelincuentes no es una técnica nueva: al hallazgo de esta campaña que utiliza el correo electrónico como herramienta de ataque se une la que el pasado mes de julio descubrió el Laboratorio de ESET y que intentaba también estafar a los usuarios haciéndoles creer que habían conseguido acceder a la webcam del dispositivo y amenazándoles con la publicación de las grabaciones si no se realizaba un pago en bitcoines” , afirma Josep Albors, responsable de investigación y concienciación de ESET España. “Estas actividades nos hacen pensar que las extorsiones se van a convertir en una tendencia del cibercrimen en los próximos meses”.

Las víctimas de la extorsión reciben un mensaje de correo electrónico con el asunto “su cuenta ha sido pirateada” desde, aparentemente, su propia dirección, lo que hace creer al usuario que el delincuente ha accedido realmente a su cuenta. El objetivo final del atacante es conseguir que la víctima pague por la recuperación de sus credenciales. A cambio de eliminar la información confidencial supuestamente obtenida por el atacante, se solicita a la víctima un pago mediante bitcoines. En este momento, en la cuenta del delincuente figuran ingresos superiores a los 5.400€.

Mediante el uso de una técnica conocida como spoofing (suplantación de la identidad), el atacante consigue la confianza del usuario, ya que cree que el mensaje ha sido enviado desde su propia cuenta. Para evitar este tipo de ataques, desde ESET recomiendan utilizar soluciones de seguridad que incorporen mecanismos de autenticación, como ESET NOD32 Antivirus, no responder nunca a este tipo de mensajes y, sobre todo, no pagar nunca el rescate. Como medida adicional, ESET aconseja cambiar la contraseña del gestor de correo regularmente, tapar la webcam y habilitar las opciones de doble autenticación.

“A pesar de que el spoofing lleva siendo utilizado muchos años, aún a día de hoy sigue siendo relativamente fácil engañar a un usuario que no esté debidamente concienciado“, concluye Albors.

ESET alerta de aplicaciones falsas de siete entidades financieras en Google Play

Jue, 20/09/2018 - 16:08
  • Bancos de todo el mundo se han visto afectados por un ataque coordinado que pretendía robar credenciales de acceso a tarjetas de crédito y a banca online

Madrid, 20 de septiembre de 2018. ESET , el mayor fabricante de software de seguridad de la Unión Europea, ha alertado sobre una serie de aplicaciones de entidades financieras en Google Play que eran, en realidad, un gancho para robar información confidencial de usuarios de todo el mundo. Las entidades afectadas están localizadas en Austria, Polonia, Suiza, Reino Unido, Australia y Nueva Zelanda.

Mediante el uso de formularios fraudulentos, las aplicaciones maliciosas conseguían los detalles de las tarjetas de crédito de los usuarios afectados, así como las credenciales de acceso a ciertos servicios financieros. Las apps falsas aparecieron por primera vez en Google Play el pasado mes de junio con diferentes nombres de desarrolladores, aunque la compañía ya las ha eliminado de su tienda oficial. El hecho de que las diferentes apps contaran con diversas similitudes en el código hace pensar que se desarrollaron por el mismo delincuente.

El atacante, según apuntan desde ESET, se aprovechaba de que en algunos casos no existiera app oficial para simularla y conseguir la información confidencial de los usuarios. Para ello, solicitaba las credenciales de acceso a la información de la tarjeta de crédito. Una vez introducidos los datos, se enviaban al servidor del ciberdelincuente y el usuario recibía una felicitación o un agradecimiento por haber accedido correctamente a la app. A partir de ese momento, la aplicación fraudulenta ya no realiza ninguna acción.

Los servicios financieros afectados han sido Bitpanda, Santander Bank Polska (Bank Zachodni WBK), PostFinance, TSB Bank, ASB Bank, The Australia and New Zealand Banking Group y Commonwealth Bank of Australia.

ESET aconseja a los usuarios afectados eliminar las apps maliciosas, así como modificar el código PIN y las contraseñas de acceso a sus servicios de banca online, añadiendo siempre que sea posible el doble factor de autenticación. Los usuarios que sospechen haber sido víctimas de este malware deberían también comprobar si existen transacciones inusuales en su cuenta corriente y contactar con su banco.

Desde ESET se recomienda descargar siempre las apps bancarias o financieras desde la tienda oficial de Google y comprobar que estén enlazadas a o desde la web oficial de la entidad. Además, una señal de confianza es comprobar el número de descargas y la valoración de los usuarios. Finalmente, contar con una solución de seguridad actualizada en el dispositivo, como ESET Mobile Security , puede ayudar a detectar cualquier situación anómala.

ESET detectó y bloqueó estas aplicaciones maliciosas como Android/Spy.Banker.AIF, Android/Spy.Banker.AIE y Android/Spy.Banker.AIP

Los usuarios de Kodi en Windows y Linux, en el punto de mira de los ciberdelincuentes

Mié, 19/09/2018 - 10:54
  • Mediante una campaña de minado de la criptomoneda Monero que afecta ya a más de 5.000 usuarios

Madrid, 19 de septiembre de 2018. ESET , el mayor fabricante de software de seguridad de la Unión Europea, ha alertado sobre una serie complementos del popular gestor multimedia Kodi (antes denominado XBMC) que se utilizan, en realidad, para distribuir malware de minado de criptomonedas en Linux y Windows.

Hace unos meses, el repositorio XvBMC, que contenía diferentes complementos para Kodi, fue clausurado por infringir las normas de derechos de autor. Este hecho provocó las sospechas de los investigadores de ESET, que descubrieron que XvBMC formaba parte de una campaña de minado de criptomonedas iniciada en diciembre de 2017. Se trataba, además, del segundo caso de malware distribuido a través de terceros, pero esta vez con Kodi como protagonista.

La plataforma multimedia Kodi no ofrece contenido propio, pero gracias a la instalación de diferentes funciones adicionales desarrolladas por terceros, los usuarios pueden ampliar su experiencia multimedia, por lo que es muy frecuente que se agreguen aplicaciones – incluyendo algunas que facilitan el visionado de contenido de material con derechos de autor- al programa. Hasta ahora no se había encontrado ninguna campaña de malware en el ecosistema Kodi, pero el pasado mes de diciembre ESET descubrió en el repositorio XvBMC dos aplicaciones sospechosas: Bubbles y Gaia. Mediante tareas rutinarias de actualización, los ciberdelincuentes empezaron a distribuir el malware en Kodi desde estos repositorios.

El malware elegido por los cibercriminales en esta ocasión emplea medidas que aseguran que el minado de criptomonedas –Monero concretamente- no pueda ser encontrado fácilmente. De momento, el laboratorio de ESET sólo ha encontrado víctimas entre usuarios de Kodi tanto en Linux como en Windows, pero según apuntan desde la compañía, los ciberdelincuentes habrían conseguido ya unos 6.000 euros de casi 5.000 víctimas. Hasta ahora, los países más afectados por esta campaña son EEUU, Israel, Grecia, Reino Unido y Países Bajos, que son, a su vez, los países con mayor número de usuarios de Kodi.

Desde ESET recomiendan a los usuarios de Kodi en Windows o Linux que analicen los complementos descargados para Kodi antes de instalarlos en sus dispositivos con soluciones efectivas anti malware como el scáner gratuito e de ESET para Windows o la versión gratuita de ESET NOD32 Antivirus para Linux . ESET detecta y bloquea estas amenazas con las denominaciones Win64/CoinMiner.II y Win64/CoinMiner.MK en Windows y como Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK o Linux/CoinMiner.CU en Linux.

BARÓMETRO ESET NOD32 MENSUAL DE SEGURIDAD: Los ataques no se toman vacaciones y aumentan las amenazas a la banca y a dispositivos IoT

Mié, 05/09/2018 - 12:59
  • Las nuevas ediciones de Blackhat y Defcon desvelan algunos de los temas que darán mucho de qué hablar próximamente.

Madrid, 4 de septiembre de 2018. – El mes de agosto es sinónimo de vacaciones para muchos, pero no para los que trabajamos en seguridad informática. Es durante agosto cuando suelen celebrarse en Las Vegas Blackhat y Defcon, las dos conferencias más importantes del sector y que reúnen a miles de asistentes para estar al tanto de las investigaciones más recientes. Como no podía ser de otra forma, ESET estuvo allí un año más y asistimos a un buen puñado de conferencias que trataron varios temas interesantes, aunque no debemos olvidar que agosto también nos ha dejado un buen número de noticias relacionadas con la seguridad.

Informando desde Las Vegas
La gran cantidad de investigaciones que se hacen públicas durante la celebración de Blackhat y Defcon hace que agosto esté repleto de noticias relacionadas con la seguridad. Entre todas las charlas que pudimos disfrutar hay unas cuantas que nos gustaría destacar y otras que darán que hablar durante las próximas semanas, algunas de ellas con protagonistas españoles.

Una de las presentaciones más destacadas fue la del investigador español David Meléndez, quien explicó todo el proceso de fabricación de un dron casero de bajo coste y cómo había conseguido introducirle medidas para dificultar su detección e intercepción por las medidas antidrones clásicas, además de añadirle funcionalidades adicionales de pentesting de redes WiFi y SDR.

Pudimos ver también sobre el escenario al español Sergio de los Santos y a la argentina Sheila Berta presentando su investigación Rock Appround the Clock, pensada para tratar de determinar con cierto grado de exactitud la ubicación geográfica de los creadores de aplicaciones maliciosas en Android. Esto es algo que resulta vital a la hora de poder hacer atribuciones y tratar de averiguar quién está detrás de ciertos tipos de ataques, especialmente los dirigidos.

Asimismo, conocimos el resultado de varias investigaciones donde se analizaban, por ejemplo, las relaciones existentes entre el cibercrimen y el crimen organizado más tradicional. También escuchamos la opinión de representantes de agencias tan importantes como la NSA, con afirmaciones tan tajantes como que la mayor parte de los ataques producidos en 2017 podrían haberse evitado siguiendo unas recomendaciones de seguridad básicas.

La banca, cada vez más amenazada
Desde ESET, se lleva meses informando de ataques relacionados con el sector financiero y agosto no ha sido la excepción, incluso con la banca española siendo protagonista en más de una ocasión. Un ejemplo lo tenemos en el malware Cobalt, y es que, a pesar de que fue detenido el pasado mes de marzo en España el que se cree que fue uno de sus principales responsables, dicho malware sigue en activo apuntando a bancos en Rusia y Rumanía mediante ataques dirigidos de phishing o enlaces maliciosos dentro de un email.

Una de las amenazas descubierta durante 2018 que tiene a los bancos en su punto de mira es BackSwap. Hasta hace poco tan solo había afectado a bancos polacos, pero investigaciones recientes han demostrado que este troyano bancario ha empezado a incluir a los usuarios de seis bancos españoles entre sus objetivos. Este malware suele llegar a sus víctimas mediante un correo malicioso con adjunto ofimático y es capaz de utilizar scripts maliciosos para modificar lo que ven las víctimas en la web de su banco e interceptar los datos confidenciales de los clientes.

Siguiendo con el sector financiero español, el Banco de España, y más concretamente su web oficial, fue una de las víctimas de #OpCatalonia lanzada por Anonymous y que, mediante ataques de denegación de servicio, afectó a varias webs de numerosos ministerios y también a organismos pertenecientes al poder judicial. Todo apunta a que durante las próximas semanas veremos más incidentes similares conforme nos acerquemos al aniversario del 1-O.

Internet de las cosas
Un mes más, los ataques al Internet de las cosas han tenido su protagonismo en varios frentes. En su vertiente más clásica, más de 200.000 routers del fabricante Mikrotik se vieron afectados por una campaña masiva de criptojacking que modificó su configuración para inyectar una copia de Coinhive, el conocido script de minería para navegadores, en algunas partes del tráfico web de los usuarios. Como detalle importante, este ataque solo afectaba a aquellos routers que no hubieran parcheado la vulnerabilidad que apareció el pasado mes de abril.

Además, la botnet Mirai siguió haciendo de las suyas con nuevas variantes que afectan cada vez más a un número mayor de dispositivos. Durante las últimas semanas se han estado monitorizando variantes de este malware, y viendo cómo crecía el número de dispositivos de todo tipo que caían en sus garras, desde routers y cámaras IP a dispositivos Android. Este mayor número de dispositivos afectados se debe a que las nuevas variantes han sido creadas usando un proyecto de código abierto de nombre Aboriginal Linux, lo que facilita la compilación del malware multiplataforma.

La seguridad de los dispositivos médicos ha vuelto a la primera plana tras una presentación realizada en Blackhat que analizaba las posibles formas de aprovechar vulnerabilidades en bombas de insulina. No es la primera vez que este tipo de dispositivos se encuentran en el ojo del huracán, ya que un ataque a dichos dispositivos podría ocasionar graves consecuencias. Entre las acciones maliciosas que se analizaron se encontraría la modificación de la dosis suministrada a la víctima o, incluso, en el caso de un marcapasos, provocar un shock eléctrico.

La privacidad no es un juego
Un mes más los robos de datos personales han tenido su protagonismo en el resumen de amenazas. Y es que empezábamos el mes muy fuerte conociendo la noticia de una brecha de seguridad en Reddit que provocó el robo de datos de varios usuarios de esta plataforma. Por suerte, se trataba de una base de datos muy antigua (2007), aunque los atacantes consiguieron evadir el doble factor de autenticación asociado al SMS, lo que volvió a abrir el debate de si esta medida de seguridad mediante mensajes de texto sigue siendo efectiva o si se debe migrar a otras soluciones más efectivas como las contraseñas de un solo uso, tokens hardware o autenticación biométrica.

Otra plataforma muy utilizada y que también se vio envuelta en cierta polémica acerca de su seguridad fue Instagram. Desde principios de mes, varios usuarios informaron haber sido víctimas de una campaña maliciosa en la que los atacantes consiguieron tomar el control de sus cuentas. Desde Instagram afirmaron estar revisando el incidente y a finales de mes incorporaron nuevas funcionalidades, entre las que se encuentra la posibilidad de utilizar aplicaciones de terceros para la autenticación en dos pasos.

Fortnite, el juego de moda, también quiso incentivar a sus usuarios a que protegieran sus cuentas y por eso lanzó una campaña especial en la que regalaban un gesto para los que juegan al modo Battle Royale al activar el doble factor de autenticación. Sin embargo, también tuvo que solucionar una vulnerabilidad en su versión para Android que permitía a aplicaciones maliciosas con pocos permisos ya instaladas en dispositivos Android secuestrar otras aplicaciones legítimas durante su proceso de instalación.

El adware supera al cryptojacking
Tras varios meses en los que parecía que el minado no autorizado de criptodivisas era imparable, durante el mes pasado vimos cómo las campañas de anuncios maliciosos con la finalidad de instalar extensiones maliciosas en el navegador Chrome experimentaron un importante crecimiento. Esto no significa que los delincuentes hayan abandonado el criptojacking, pero sí que estamos viendo una migración desde la inyección de código de minado en webs a la infección de dispositivos de todo tipo (principalmente del IoT) para utilizarlos sus recursos en la minería de criptomonedas.

Un ejemplo de que el cryptojacking aún tiene mucho que decir lo tenemos en ZombieBoy, un gusano que utiliza vulnerabilidades conocidas como EternalBlue o DoublePulsar para propagarse rápidamente por redes corporativas y utilizar los sistemas infectados para la minería. Este malware está en constante evolución e incorpora una funcionalidad de puerta trasera que permitiría ejecutar otro tipo de malware como ransomware.

Precisamente durante agosto vimos nuevos casos de ransomware protagonizar más de un incidente de seguridad. Variantes como GranCrab consiguieron un impacto bastante importante en algunas regiones como Latinoamérica. Los vectores de infección siguen siendo muy tradicionales, y en esta ocasión se utilizaron principalmente archivos asociados a cracks de aplicaciones legítimas para poder utilizarlos sin pagar la licencia de uso.

Además, también se han observado numerosas campañas de spam durante las últimas semanas. Con asuntos atractivos como los que nos aseguraban ganar dinero rápidamente o la recepción de una factura impagada, los delincuentes han propagado amenazas como la herramienta de control remota DarkComet para tomar el control de nuestro sistema y robar información, o realizar estafas presentadas como formas aparentemente seguras de invertir en criptomonedas.

Para terminar el mes de forma agitada, supimos de la existencia de una vulnerabilidad 0-day en sistemas Windows que permitiría a un usuario local sin permisos suficientes en un sistema vulnerable realizar una escalada de privilegios mediante un fallo en el planificador de tareas de Windows hasta obtener permisos de SYSTEM. Esto abre la puerta a nuevos ataques que no disponen de solución sencilla hasta que Microsoft publique los correspondientes parches de seguridad, previsiblemente el segundo martes de septiembre.