Los ataques cibernéticos están a la orden del día. Constantemente escuchamos de nuevas amenazas que se propagan a través de redes sociales, servicios de mensajería o cualquier tipo de contenido en Internet. Sin embargo, 2017 este año se presentaron ataques que pusieron en jaque a usuarios, empresas y estados en todo el mundo. 

Ataque WannaCry

Uno de los ataques más nombrados del año fue WannaCry, el cual ocurrió a mediados de mayo. Se trataba de un ransomware en el que los delincuentes solicitaban un rescate en Bitcoins. Esto, para analistas de seguridad, sugiere que el verdadero objetivo del ataque WannaCry fue la destrucción de datos.

En sus primeras horas, WannaCry parecía un ataque dirigido a un par de empresas en Europa. Sin embargo, con el pasar de las horas, se descubrió que se trataba de un ataque global que se aprovechaba de una vulnerabilidad de seguridad en el sistema operativo Windows.

Ataque Petyawrap

Este ataque, que se dio a finales de junio, fue una variación del virus Petya, el cual se había propagado meses atrás. Se trataba de un ransomware que encriptaba cada computador haciéndolo inutilizable hasta que el sistema fuera descifrado. Los usuarios infectados tenían que pagar 300 dólares en Bitcoin y enviar la identidad del monedero virtual de la empresa víctima del ataque, junto con un código de verificación que los piratas muestran en las pantallas de los afectados.

En los dos casos, empresas mundialmente conocidas fueron afectadas, lo que dejó en evidencia el efecto que un ataque masivo puede tener si los delincuentes así se lo proponen, incluso si las empresas afectadas cuentan con avanzados sistemas de seguridad.  

Otro de los ataques cibernéticos más importantes del año fue el que sufrió la empresa estadounidense Equifax. La firma, una de las tres grandes agencias que reportan créditos de consumo en Estados Unidos, reveló que los atacantes obtuvieron acceso a datos de la compañía y que quedaron comprometidos datos delicados de 143 millones de consumidores de ese país. Entre los datos estaban incluso números de Seguridad Social y licencias de conducción.

Vota en los premios ENTER.CO 2017 y llévate un Alcatel A7

¿Qué debes hacer? Vota en todas nuestras categorías de los Premios ENTER.CO 2017 usando el mismo correo electrónico (este correo nos ayudará a filtrar tus respuestas correctas). ¿Cómo elegiremos al ganador? El ganador del Alcatel A7 será quien haya votado en el mayor número de categorías por el nominado que se lleve el premio de la audiencia. En caso de empate entre dos o más participantes, el jurado de ENTER.CO verificará los registros para saber quién respondió más rápido en la última categoría publicada.

Luego, desde ENTER.CO elegiremos al ganador de la actividad, quien será contactado a través del correo electrónico con el que diligenció el formulario de votación.

El concurso se cerrará el próximo viernes 5 de enero de 2018 a las 11:59 p.m. Hasta esa fecha tendrás plazo para votar por tu ganador. Todo formulario que sea diligenciado después de la fecha no será tenido en cuenta para entregar el premio, así que no te quedes por fuera y participa.

*Actividad válida únicamente para Colombia

Conoce la política de datos y privacidad de ENTER.CO.

Imágenes: ENTER.CO

Este nuevo malware se está esparciendo por Europa, y parece que los países afectados son Rusia y Ucrania. Aunque también se han reportado víctimas en Turquía y a Alemania. Pero no es definitivo que estos sean los únicos países víctimas.

Entre los blancos iniciales está el Ministerio de Infraestructura de Ucrania y el sistema de transporte público de Kiev. El servicio de noticias ruso Interfax informó al público que fue hackeado. Kaspersky dice que otro medio ruso, Fontanka.ru, también fue afectado. Los investigadores dicen que este ataque parece estar enfocado en medios de comunicación. La firma dice que Bad Rabbit tiene muchas similitudes con NotPetya o ExPetr.

De acuerdo con Kaspersky, este ataque no usa ‘exploits’, es decir que no se aprovecha de fallas en los sistemas operativos. En cambio, es un ataque ‘drive-by’, que requiere de la acción de las víctimas. Bad Rabbit necesita que las víctimas descarguen y ejecuten el virus, que viene en forma de un archivo instalable de Adobe Flash.

Cuando un computador es víctima de Bad Rabbit, se crean dos tareas con los nombres de los dragones de ‘Game of Thrones’ y Gusano Gris, el comandante del ejército de Daenerys Targaryen, según notó TechCrunch.

BadRabbit creates two scheduled tasks, named after the dragons from Game of Thrones. Also a reference to GrayWorm, the skin disease in GoT. pic.twitter.com/BfQxGrMwC0

— Kevin Beaumont 🐿 (@GossiTheDog) 24 de octubre de 2017

Los computadores afectados con este malware son direccionados a un ‘domain’ en el que se les pide que paguen 0,5 Bitcoin, que son unos 276 dólares (unos 830.000 pesos colombianos), por sus datos. En el sitio aparece una cuenta regresiva en la que se indica el tiempo estipulado antes de que el precio del rescate suba. Aún no es claro si Bad Rabbit sí devuelve los datos y elimina el virus después de que se paga.

¿Cómo evitar ser víctima de Bad Rabbit?

Kaspersky dice que si usas alguno de sus productos de protección, debes asegurarte de que tengas encendidos los programas System Watcher y Kaspersky Security Network.

Si no eres usuario de ellos, puedes bloquear la ejecución de archivos con una ‘vacuna’, propuesta por algunos investigadores. Debes crear un archivo llamado c:\windows\infpub.dat and c:\Windows\cscc.dat y luego eliminar todos los permisos de ejecución para el mismo.

Vaccination for the Ukraine round 2? Wanna stop #badrabbit?
Create a file called c:\windows\infpub.dat and remove all write permissions for it. This should keep the malware from encrypting. Testing it now… pic.twitter.com/3MSSH8WKPb

— Amit Serper​ (@0xAmit) 24 de octubre de 2017

La compañía recomienda firmemente que tengas un respaldo de todos tus datos y que por ningún motivo pagues el rescate. Así que evitamos que los atacantes se lucren de esta práctica.

Imágenes: Kaspersky y Pixabay.

Los ciberdelincuentes no se detienen en la búsqueda de víctimas. Un ejemplo es el ransomware Petya que apareció después del mundialmente reconocido WannaCry. Su daño llegó a grandes empresas, y una vez más, nació en Ucrania, donde se conocieron los primeros casos de ataque. Ahora, Petya entró en su segunda fase de evolución llamada Nyetya, un ransomware de carácter especial considerado más peligroso.

El término ransomware, según Avast, es una técnica para cifrar la información de las empresas para luego pedir dinero para su rescate. Eso ya lo evidenciamos con WannaCry, pero así como Petya evolucionó a Nyetya, el término también lo está haciendo. ENTER.CO habló con Jorge Imues, director de operaciones de A3SEC, quien explicó que Nyetya es un ransomware que no cobra dinero por el rescate, ya que su fin es dejar completamente por fuera de operación los discos duros de los dispositivos que ataca.

ENTER.CO: ¿Cómo evolucionó el ransomware Petya a Nyetya?

Jorge Imues: “Nyetya es un ransomware que tiene un comportamiento más agresivo que sus antecesores. Este hace un cifrado de la información del disco duro por completo sin la posibilidad de que el usuario pueda pagar para recuperar la información. Con respecto a los ransomware anteriores como WannaCry, había un fin económico detrás del ataque.”

¿Cómo se propaga?

JI: “Lo hace, hasta el momento, únicamente por medio de una aplicación contable que utilizan en Ucrania llamada MeDoc. De acuerdo con este comportamiento, podemos pensar que Nyetya está siendo utilizado con un fin político de sabotaje y no como un medio para recaudar dinero. Un ransomware como tal tiene un fin y es el cifrado de la información y hay un lucro económico, pero el fin sigue siendo el mismo. De hecho, le hacen creer al usuario que pueden pagar a través de bitcoins, pero realmente no existen las cuentas para destinar el dinero.”

¿Cómo se infectan los equipos?

JI: “Hay una propagación que se hace a través de campañas de correo electrónico. La aplicación MeDoc la utilizan muchas entidades en Ucrania para hacer su contabilidad. Lo que hacen los ciberdelincuentes es propagar una supuesta actualización de esa aplicación, la cual es descargada y ejecutada por los usuarios en los equipos.”

¿Cuáles son los sistemas operativos vulnerables?

JI: “Primero están los usuarios de Windows XP, Windows 2003, Windows 2008, Windows Vista (SP2, X64 edition service pack 2). Luego los de Windows Server 2008 (32-bit systems service pack 2, x64 systems service pack 2). Les siguen Windows 7 (32-bit systems service pack 1, x64 systems service pack 1); Windows Server R2 (x64 systems service pack 1, itanium systems service pack 1). Y aunque son más recientes están los usuarios de Windows 8.1 (32-bit systems, x64 systems); Windows RT 8.1. Y finalmente Windows Server 2012 y R2; Windows 10; Windows Server 2016 y Microsoft Office 2010 service pack 2 (32-bit y 64-bit).”

¿América Latina corre algún riesgo?

JI: “Los ataques con Nyetya son bastante focalizados. A nivel de América Latina no manejamos con aplicaciones como MeDoc, entonces es poco probable que se propague por ese medio. Sin embargo, no estamos exentos, ya que lo pueden hacer por medio de otra aplicación que pueda afectar los diferentes sectores.”

¿Porqué Windows sigue siendo el más afectado?

JI: “Windows sigue siendo el foco de ataque porque se sigue explotando las mismas vulnerabilidades que en el caso de WannaCry: MS17-010 y una nueva CVE-2017-0199. Esa segunda y nueva vulnerabilidad, permite que el atacante pueda tomar las credenciales de autenticación del sistema para robarlas antes de hacer el cifrado de la información. Esto es muy semejante a un caso de espionaje.”

¿Qué medidas de seguridad se deben aplicar?

JI: “La principal es mantener actualizado el sistema operativo Windows. Es importante que las organizaciones le den prioridad en la gestión de parches MS17-010. Y también aprovechar que actualicen la vulnerabilidad del CVE-2017-0199. Ya a nivel corporativo se puede configurar el sistema, específicamente la que se realiza por la ruta C:\Windows\perfect.dat que es un archivo en modo lectura. Lo que hace es convertirse en un botón de apagado el malware. Si lo tengo en mi sistema antes de infectarme, voy a poder frenar el ataque.”

Imagen: iStock.

Propagar un ransomware puede ser una tarea sencilla. Simplemente hay que engañar a los usuarios para que ingresen a un link o descarguen un software. Por otro lado, en el caso de las empresas, la tarea es encontrar las vulnerabilidades en los sistemas para lograr el cometido. En el caso de Petya, el responsable de iniciar el ataque fue el grupo TeleBots, un equipo de atacantes cibernéticos que utiliza un conjunto de herramientas maliciosas para atacar objetivos de valor del sector financiero. Así lo informó Eset Latinoamérica a través de su blog informativo.

También te puede interesar: ¿Qué es el Ransomware de las Cosas y cómo nos afecta?

Su ingreso se dio por medio de los canales VPN, programas que permiten alterar la dirección IP del dispositivo desde el que se realiza el ataque. Una vez adentro, TeleBots explota las vulnerabilidades (exploits) para conseguir su objetivo: propagar y cifrar. Este ransomware es igual que un gusano, por lo que su propagación en la red fue rápida, ya que implementó diferentes técnicas para infectar los equipos conectados. Una vez llegó a los equipos, inició su proceso de cifrado para que los usuarios no pudieran acceder a la información.

¿Se propagó igual que WannaCry?

La vulnerabilidad por la que Petya y WannaCry ingresaron a los equipos se llama EternalBlue. Sin embargo, Petya fue más allá, ya que utilizó herramientas propias de Microsoft Windows conocidos como PsExec y WMIC (línea de comandos de administración instrumental de Windows). Estas herramientas son la fuente de administración de datos y de la funcionalidad de los equipos. Es decir, los atacantes tomaron estas herramientas propias de los sistemas atacados para generar el daño y cifrar la información.

Y su propagación a nivel mundial no requirió mayor esfuerzo. Con el uso de PsExec y WMIC, el ransomware se expandió por la red del equipo para contaminar a los demás equipos que estaban conectados. En el caso de América Latina, Petya llegó gracias a los dispositivos que estaban conectados con los de sus filiales en los países que sufrieron el ataque.

Cuando ya está infectado

Una vez instalado y ejecutado, este ransomware reinició los dispositivos en un periodo no mayor a 60 minutos. Durante ese tiempo verificó si existían carpetas o discos compartidos para seguir propagándose. En caso de haberlos encontrado, ejecutan la línea de comandos de administración para ejecutar el virus en el dispositivo remoto. Al reiniciarse la máquina, el trabajo de cifrado comenzó en cada uno de los archivos.

En este caso no agregaron la extensión de los archivos, ya que les permitió a los atacantes diferenciar los archivos cifrados y los que faltaban. Durante el proceso, el malware ocultó todo tipo de registro de acción. Además, ocultó sus acciones para evitar ser descubierto por cualquier tipo de sistema de protección.

En el caso de Colombia, varias empresas locales sintieron el coletazo del ataque en Ucrania y varias partes de Europa. Por eso es importante tener en cuenta las advertencias que hace la compañía de seguridad informática:

– Tener los sistemas operativos actualizados en la última versión.

– Contar con sistemas de seguridad como antivirus, firewalls, entre otros.

– Vigilar constantemente los puertos 135, 139, 445 y 1025-1035 TCP, los cuales utilizan el PsExec y WMIC.

– Configurar, segmentar y monitorear constantemente la red a la que están conectados los equipos.

– Hacer backup constante de la información más sensible y valiosa de los equipos.

– Cambiar constantemente las contraseñas de los equipos y guardarlas en un lugar seguro.

Imagen: iStock.

Junio finalizó y nos dejó muchas noticias en diversos temas. Ataques cibernéticos, videojuegos, consolas y celebraciones fueron los mejores temas de la semana. Por eso queremos compartir con todos ustedes este Top 10 para que se pongan al día si se perdieron algún hecho importante.

Moto E4 Plus

Motorola presentó este nuevo teléfono para su línea gama media. El Moto E4 Plus se perfila como el celular con más batería en el mercado. Cuenta con 5.000 mAh de batería, la cual se suma a diversas características técnicas. Sin embargo, la compañía presentó dos dispositivos más y su nueva campaña publicitaria. Por eso los invitamos a que lean la nota y nos cuenten si les gustó alguno de estos teléfonos.

SNES Classic

El año pasado, Nintendo anunció el lanzamiento del NES Classic. Pero con el objetivo de atinarle a la nostalgia de sus seguidores, ahora presentó el Snes Classic. Esta consola clásica estará en el mercado por edición limitada, la cual podrá ser adquirida por los seguidores más ávidos alrededor del mundo. Si quieres conocer más detalles de esta emblemática consola ingresa en nuestra nota y revive tu infancia.

Recomendaciones de Netflix

Si te has preguntado cómo Netflix te hace sugerencias de contenidos, nosotros descubrimos el secreto. Los perfiles, los taggs y otros elementos son fundamentales para que la plataforma te haga las sugerencias con el contenido que más te puede gustar. Pero no te quedes con las ganas de saber más, visita nuestra publicación y cuéntales a todos los secretos de Netflix.

‘Jumanji 2’

Han sido 22 años de espera desde que ‘Jumanji’ llegó a la pantalla grande. Pero parece que el tiempo de espera valió la pena, ya que Sony reveló el primer tráiler de la segunda edición de este gran título. Seguramente viste esta película cuando pequeño, por eso es momento de que leas lo que traerá ‘Jumanji 2’ para que vayas a las salas de cine una vez se confirme su fecha de estreno.

iOS 11 Beta

Hace poco Apple reveló los detalles de iOS 11 durante el WWDC 2017. Y aunque falta un tiempo para que esté disponible en distintos dispositivos, nosotros te enseñamos cómo instalar la versión beta del sistema operativo. Ingresa en la nota, instala iOS 11 y cuéntanos qué te parecen las nuevas modalidades de este sistema operativo.

¿Qué buscan los colombianos en internet?

Google, el buscador más grande del mundo, reveló qué es lo que buscan más los colombianos en internet. En total son cinco cosas que predominan en las tendencias en el buscador. Una de ellas es ‘quiero saber’, pero no te podemos contar las cuatro restantes si no ingresas en nuestra nota. Luego de leerla, cuéntanos a qué grupo de búsquedas haces parte.

‘Harry Potter y la piedra filosofal’

Como tributo a los 20 años de ‘Harry Potter y la piedra filosofal’, quisimos compartir con ustedes los seis datos curiosos de esta producción. Y es que no es para menos, ya que los millones de seguidores a nivel mundial dieron a conocer que aún lo son. Desde Facebook hasta ENTER.CO, Harry Potter invadió las redes y por eso queremos que leas la nota y nos cuentes a qué edad viste la película.

Juegos que no estarán en SNES Classic

¿Quién no se emocionó con el anuncio del regreso del SNES Classic? La respuesta es todos. Pero tanta alegría no podía ser cierta. La remasterización de esta consola histórica no contará con cinco juegos que, a nuestro parecer, harán mucha falta para quienes la compren. Ingresa en nuestra nota y cuéntanos si hay más juegos que debieron ser incluidos.

Ransomware ‘Petya’

Los ciberdelincuentes nunca descansan. No hace mucho que el mundo conoció a WannaCry, y esta semana fuimos testigos de otro ransomware: ‘Petya’. Como era de esperarse, el primer punto a atacar fue Europa, continente que sufrió las consecuencias más graves en cuanto a afectaciones en sus sistemas. Sin embargo, Colombia también fue uno de los países afectados por ‘Petya’. Si quieres saber más sobre este caso, te invitamos a leer nuestra nota.

Registro de bases de datos

Nuevamente la Superintendencia de Industria y Comercio aplazó el registro nacional de bases de datos. Si quieres conocer la razón y todos los detalles de este nuevo plazo, ingresa en nuestra nota y evita futuras sanciones.

Imagen: montaje ENTER.CO