Noticias Antivirus - zonavirus.com http://www.zonavirus.com/noticias/ Noticias relacionadas con la seguridad informatica, virus, antivirus, zonavirus.com es Copyright 1998 2017 Sat, 26 May 2017 16:12:08 GMT Sat, 26 May 2017 16:12:08 GMT http://www.zonavirus.com Noticias :: zonavirus.com http://www.zonavirus.com http://www.zonavirus.com/imagenes-antivirus-virus/cabecera/logo-zonavirus-rss.jpg <![CDATA[Un fallo en ntfs puede permitir a cualquiera bloquear tu ordenador]]> Hardwipe-borrado-seguro-de-la-información-del-disco-duro.jpg
NTFS es el sistema de archivos de Microsoft utilizado ya de base desde Windows XP (aunque los sistemas NT lo utilizaban desde mucho antes) y buscaba solucionar los problemas del sistema anterior, FAT32, utilizando en Windows 95 y 98, preparándose para la informática moderna. A pesar de llevar siendo el formato por defecto de Windows durante tantos años, recientemente se acaba de descubrir una vulnerabilidad en el mismo que puede permitir a cualquiera bloquear un ordenador y mostrar un pantallazo azul al intentar cargar un recurso desde una ruta concreta, un fallo que, curiosamente, es muy similar a uno de los más explotados en Windows 95 y 98.



Uno de los fallos de FAT32 más explotado en Windows 95 y Windows 98 era el crear archivos con nombres concretos reservados, o hacer que una web intentara acceder a ellos de manera que, al intentar cargarlos el sistema operativo, este entraba en error y se bloqueaba por completo. Un curioso fallo de 1995 que, aunque no suponía ningún peligro para los usuarios, era realmente molesto.



NTFS es un sistema de archivos mucho más robusto, seguro y completo creado como sucesor de FAT32 para evitar todos los problemas y las limitaciones de este sistema. Sin embargo, un experto de seguridad acaba de descubrir un nuevo fallo de seguridad en este sistema de archivos que puede hacer que un ordenador se bloquee por completo al intentar acceder a un directorio concreto dentro de nuestro disco duro, igual que su predecesor.



Mientras que en FAT32 el fallo se encontraba al utilizar nombres de archivos especiales como, por ejemplo, intentar cargar un recurso desde file:///c:/con/con, en el caso de NTFS ocurre algo similar al intentar utilizar recursos con el nombre $MFT. Este nombre está reservado por el sistema de archivos para almacenar los metadatos de los archivos del disco. Este directorio existe por defecto en la raíz de todos los discos duros con este sistema de archivos, sin embargo, está oculto para evitar que los usuarios puedan modificarlo y, además, NTFS tiene acceso a sus datos de una manera especial.



Este fallo en NTFS no es peligroso, pero puede resultar muy molesto

Así, si por ejemplo intentamos acceder a un archivo llamado c:\$MFT\123, el sistema de archivos no podrá identificarlo correctamente y entrará en bucle intentando acceder a los datos una y otra vez hasta que el sistema queda totalmente inutilizable y nos obliga a reiniciar el sistema. Dependiendo del ordenador y de lo que estemos haciendo con él, es posible incluso que se quede bloqueado.



Aunque este fallo puede explotarse fácilmente de manera local, también puede ser explotado de forma remota al intentar visitar alguna página web maliciosa. Por ejemplo, si entramos a una web y un script intenta acceder a recursos locales en un directorio como ese, el sistema automáticamente quedará bloqueado.



No podemos solucionar este fallo hasta que Microsoft lance un nuevo parche para sus sistemas afectados

Este fallo de seguridad afecta a todas las versiones modernas de Windows, menos a Windows 10, ya que el nuevo sistema operativo de Microsoft implementa una versión mejorada de NTFS con numerosos cambios, entre los cuales (y, probablemente, incluso ni Microsoft se diera cuenta de ello), se ha cambiado la forma de acceso a los directorios especiales, por lo que este fallo no ocurre. Lo más probable es que Windows 7 y Windows 8.1 reciban una actualización pronto que solucione este fallo en NTFS, aunque otros sistemas, como XP o Vista, no lo solucionarán.



https://www.redeszone.net/2017/05/26/fallo-ntfs-bloquear-ordenador/]]>
http://www.zonavirus.com/noticias/2017/un-fallo-en-ntfs-puede-permitir-a-cualquiera-bloquear-tu-ordenador.asp http://www.zonavirus.com/noticias/2017/un-fallo-en-ntfs-puede-permitir-a-cualquiera-bloquear-tu-ordenador.asp Noticias Sat, 26 May 2017 16:12:08 GMT
<![CDATA[Nueva variante de malware dnschanger]]> ElistarA 36.92 de hoy



El preanalisis de virustotal ofrece el siguiente informe:





MD5 3f7a7dfa5e09a1ce5aae75ef566413d8

SHA1 eaa893700f4aeccf57d5db908618a55d1b71e6df

Tamaño del fichero 867.5 KB ( 888320 bytes )

SHA256:

0221fa95d115b8d31aa0b624ffd238d91dba8057405f6d2635a4c8459a0cfc96

Nombre:

Factura.exe

Detecciones:

32 / 61

Fecha de análisis:

2017-05-26 11:27:12 UTC ( hace 1 hora, 4 minutos )



informe general actual del virustotal

https://www.virustotal.com/es/file/0221fa95d115b8d31aa0b624ffd238d91dba8057405f6d2635a4c8459a0cfc96/analysis/1495798032/



Dicha versión del ElistarA 36.92 que lo detecta y elimina, estará disponible en nuestra web a partir del 27-5 prox



saludos



ms, 26-5-2017]]>
http://www.zonavirus.com/noticias/2017/nueva-variante-de-malware-dnschanger.asp http://www.zonavirus.com/noticias/2017/nueva-variante-de-malware-dnschanger.asp Noticias Sat, 26 May 2017 12:40:15 GMT
<![CDATA[Nuevas variantes de malware baidu]]> ElistarA 36.92 de hoy pasamos a controlar una nueva variante de este malware BAIDU, que se cuida de descargar otros programas chinos



El preanalisis de virustotal ofrece el siguiente informe:



MD5 96609eeb9b974263c9f297a7eb386192

SHA1 d87e74013fdbf408e3a3f54400974a3983689fa2

Tamaño del fichero 92.0 KB ( 94208 bytes )

SHA256:

a3a04c627ab914bfcd962429c7853f3f077f8e88c7db78a04c32d4712b2f396c

Nombre:

BIND.EXE.Muestra EliStartPage v36.91

Detecciones:

30 / 61

Fecha de análisis:

2017-05-26 11:07:56 UTC ( hace 2 minutos )





informe general actual del virustotal

https://www.virustotal.com/es/file/a3a04c627ab914bfcd962429c7853f3f077f8e88c7db78a04c32d4712b2f396c/analysis/1495796876/





Dicha versión del ElistarA 36-.92 que lo detecta y elimina, estará disponible en nuestra web a partir del 27-4 prox



saludos



ms, 26-5-2017



NOTA: Y otra variante del mismo malware, enviada por el mismo usuario, que tambien pasamos a controlar:

https://www.virustotal.com/es/file/efca4f7e0c9738f7c0f2cc84260f6fbbdc90f6a2bb152646162441860ad32492/analysis/1495797599/]]>
http://www.zonavirus.com/noticias/2017/nuevas-variantes-de-malware-baidu.asp http://www.zonavirus.com/noticias/2017/nuevas-variantes-de-malware-baidu.asp Noticias Sat, 26 May 2017 11:18:12 GMT
<![CDATA[Nueva/s version/es de utilidad/es elistara 36.91]]> Para nuevas variantes víricas según muestras recibidas, hemos desarrollado las nuevas versiones de:













ElistarA



---v36.91-(25 de Mayo del 2017) (Muestras de (8)Ransom.Cerber4 "*.exe", Ransom.Jaff.B "*.exe", (2)Ransom.NoMore "csrss.exe", (2)Ransom.Crypted007 "csrss.exe", (2)Spy.ZBot.W "cred16gt.exe", DownLoader.Sounder "MS****.EXE", Malware.Upatre.C "nw.exe", (5)Trojan.Kovter.B "*****.exe", Spy.Omaneat "itunes.exe", Trojan.Johnnie(dr) "*.exe" y Malware.TcpIpFilter "svñhost.exe")















Ya se han subido a esta web exclusivamente para pruebas de evaluación en el foro de zonavirus





saludos



ms, 26-5-2017]]>
http://www.zonavirus.com/noticias/2017/nuevas-versiones-de-utilidades-elistara-3691.asp http://www.zonavirus.com/noticias/2017/nuevas-versiones-de-utilidades-elistara-3691.asp Noticias Sat, 26 May 2017 09:10:13 GMT
<![CDATA[El uso de software pirata incrementa el riesgo de exposición al 'malware']]>


http://cso.computerworld.es/archivos/201701/seguridad-software.jpg





Ante la última avalancha de ataques cibernéticos, BSA The Software Alliance ha recomendado a las organizaciones revisar sus políticas de gestión de activos de software y actualizar regularmente los programas para asegurarse de que sus sistemas están libres de copias de software sin licencia, lo que puede suponer una vía para la extensión de los archivos infectados.



En su última encuesta, BSA alarma de que aunque el 49% de los responsables de tecnología identifican las amenazas de malware oculto como el mayor riesgo asociado al uso de software sin licencia, aún un alarmante número de empresas sigue utilizándolo. Según la organización, esto supone un claro riesgo para la seguridad, ya que impide, entre otras cosas, las actualizaciones de los programas, especialmente las relativas a la seguridad de los mismos.



Para BSA, una correcta gestión de los activos de software permite conocer qué software hay instalado en cada momento en los sistemas de la empresa, si es el que necesitan, si es legítimo, si cuentan con el soporte técnico del fabricante, si está actualizado, o si han habido instalaciones no autorizadas (hasta un 26% de los empleados afirma instalar software sin autorización en su lugar de trabajo).



España es un país con una tasa de software sin licencia superior a la media de los países desarrollados, 16 puntos por encima de la media de Europa occidental (28%) según la encuesta. Más de cuatro de cada diez (44%) programas de software instalados en PC en España no cuenta con la licencia del fabricante ni con su soporte técnico, lo que entraña serios riesgos operativos y legales y sitúa a las empresas de nuestro país ante una elevada probabilidad de que tengan instalado software malicioso no deseado.





Ver información original al respecto en Fuente:

http://cso.computerworld.es/alertas/el-uso-de-software-pirata-incrementa-el-riesgo-de-exposicion-al-malware?xtor=EREC-5]]>
http://www.zonavirus.com/noticias/2017/el-uso-de-software-pirata-incrementa-el-riesgo-de-exposicion-al-malware.asp http://www.zonavirus.com/noticias/2017/el-uso-de-software-pirata-incrementa-el-riesgo-de-exposicion-al-malware.asp Noticias Sat, 26 May 2017 08:53:21 GMT
<![CDATA[Los router tenda tienen dos fallos de seguridad importantes]]> https://www.redeszone.net/app/uploads/2015/09/tenda_logo.jpg?x=634&y=309



Tenda es un fabricante bastante conocido, recientemente se han descubierto dos vulnerabilidades importantes en el firmware de varios modelos de sus routers. Actualmente el fabricante ya ha lanzado actualizaciones para solucionar estos fallos de seguridad. Conoce los fallos de seguridad y el firmware que soluciona todos estos problemas tras el salto.



Routers de Tenda afectados por estas dos vulnerabilidades de seguridad

Los routers del fabricante Tenda afectados por este fallo de seguridad son los Tenda FH1202, Tenda F1202 y Tenda F1200. Estos routers son de gama media-alta, ya que tienen doble banda simultánea con tecnología Wi-Fi AC1200, además, las antenas del modelo FH son de alta ganancia de 5dBi por lo que el rendimiento que es capaz de proporcionar es bastante bueno. Otras características de estos routers son que tienen todos sus puertos Fast Ethernet.



¿En qué consisten estos fallos de seguridad?



La primera vulnerabilidad detectada consiste en un fallo que permitiría a un posible atacante saltarse las restricciones de seguridad del router, haciendo uso de comandos Shell especialmente manipulados para ese objetivo. El atacante después de conectarse localmente (de manera cableada o vía Wi-Fi), podría incluso resetear el nombre de usuario y la contraseña de acceso al router a los valores por defecto, haciéndose con el control del mismo fácilmente si conoce dichos credenciales predeterminados. Esta vulnerabilidad tiene el código CVE-2017-9138



http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9139



. Un detalle muy importante es que para poder explotar este fallo es necesario estar en la LAN.



La segunda vulnerabilidad descubierta consiste en que un atacante local (conectado vía cable o Wi-Fi) y también remoto (a través de Internet), podría provocar una denegación de servicio en el servidor web del router, todo ello gracias a peticiones POST especialmente manipuladas a URLs no especificadas. Esta denegación de servicio haría que el servidor web se reiniciara continuamente, y si el usuario está administrando el equipo continuamente le pediría la contraseña de acceso. Este fallo de seguridad tiene el código CVE-2017-9139 donde podréis conocer más detalles. Esta vulnerabilidad no afecta a la conexión a Internet ni tampoco pone en peligro los datos o el tráfico de los usuarios conectados al propio router.



Todas las versiones de firmware anteriores a la versión 1.2.0.20 están afectadas por estos dos fallos de seguridad, fallos que tienen una gravedad media-alta, sobre todo la segunda ya que se podría ejecutar de manera remota.



Versión de firmware que soluciona los problemas



La nueva versión 1.2.0.20 que ha lanzado el fabricante Tenda solucionar estos fallos de seguridad que se han descubierto. Actualmente ya podemos acceder a la página web oficial del producto y descargar la nueva versión de firmware.



Se recomienda acceder al comunicado oficial de la marca Tenda donde encontraréis toda la información en detalle de estas vulnerabilidades:

http://www.tendacn.com/en/2017.html



- Ver información original al respecto en Fuente: https://www.redeszone.net/2017/05/26/tienes-un-router-de-marca-tenda-mucho-cuidado-que-tiene-dos-fallos-de-seguridad-importantes/#sthash.q6An2sn7.dpuf]]>
http://www.zonavirus.com/noticias/2017/los-router-tenda-tienen-dos-fallos-de-seguridad-importantes.asp http://www.zonavirus.com/noticias/2017/los-router-tenda-tienen-dos-fallos-de-seguridad-importantes.asp Noticias Sat, 26 May 2017 07:36:27 GMT
<![CDATA[Un fallo en twitter permitía a atacantes escribir desde cualquier cuenta]]>




https://www.redeszone.net/app/uploads/2017/04/twitter-lite-versi%C3%B3n-red-social-ahorrar-datos-moviles.jpg?x=634&y=309



Twitter es la segunda red social más utilizada en todo el mundo, por detrás de Facebook. Por ello, esta red social es muy perseguida por los piratas informáticos que buscan siempre cómo sacar provecho de la plataforma y tener la posibilidad de llegar fácilmente a un gran número de usuarios. Mientras que lo más frecuente es intentar robar cuentas y suplantar la identidad de ciertas personas u organizaciones, un fallo de seguridad ha podido poner en peligro a millones de usuarios al permitir a piratas informáticos publicar mensajes desde cualquier cuenta sin necesidad de suplantarla ni robarla.



El pasado martes, el grupo de expertos de seguridad HackerOne informaba a Twitter sobre el fallo de seguridad que podía permitir a un atacante comprometer cualquier mensaje o cuenta de la red social. Este fallo de seguridad se encontraba en la plataforma publicitaria de Twitter y, a través de él, un atacante podría tomar el control de tweets individuales o cuentas completas de prácticamente cualquier usuario, así como controlar las campañas publicitarias y promocionar tweets a costa de los usuarios.



Tan pronto como el fallo de seguridad fue reportado, los ingenieros de Twitter empezaron a trabajar en solucionarlo, quedando en pocas horas totalmente corregido y estando de nuevo las cuentas protegidas frente a este ataque. Una vez solucionado, el grupo de expertos de seguridad lo hizo público, junto a su correspondiente recompensa por hacerlo detectado de 7650 dólares.





Una vulnerabilidad en Twitter muy peligrosa, pero bastante complicada de aprovechar

Este fallo de seguridad ha expuesto las cuentas de prácticamente todos los usuarios de la plataforma. Además, si a esto le sumamos que un pirata informático podría haber escrito mensajes con enlaces maliciosos o información falsa (imaginad que lo hacen desde las cuentas de la Policía o la Guardia Civil), su peligrosidad no hace más que aumentar exponencialmente.



Sin embargo, a pesar de su peligro, este fallo de seguridad era muy complicado de explotar. Para poder utilizarlo, lo primero que se necesitaba conocer era el owner_id y el user_id de la víctima. Con esto, el atacante ya podría escribir mensajes en nombre de otra persona, pero si quería añadir otro tipo de contenido, como contenido multimedia, debía hacerse con el media_key asociado a dicho archivo, una tarea bastante más complicada al ser un código de 18 dígitos que se desconoce por completo.



A pesar de ello, los responsables de la seguridad de Twitter la han considerado como de peligrosidad muy alta, aunque, por suerte, no hay evidencias de que haya podido ser explotada por ningún atacante. Ahora la red social ya está protegida, por lo que esta vulnerabilidad ya no puede ser utilizada.



No queremos acabar sin antes recordaros que la semana pasada, Twitter cambió sus opciones de privacidad para empezar a vender legalmente datos de uso a otras empresas, por lo que, si aún no lo has hecho, debes repasar estas configuraciones cuanto antes y adaptarlas según lo que quieras o no quieras que sea compartido por la compañía.







-ver información original al respecto en Fuente:

https://www.redeszone.net/2017/05/25/fallo-twitter-publicar-cualquier-cuenta/#sthash.AY0heXJ6.dpuf]]>
http://www.zonavirus.com/noticias/2017/un-fallo-en-twitter-permitia-a-atacantes-escribir-desde-cualquier-cuenta.asp http://www.zonavirus.com/noticias/2017/un-fallo-en-twitter-permitia-a-atacantes-escribir-desde-cualquier-cuenta.asp Noticias Fri, 25 May 2017 20:23:43 GMT
<![CDATA[Fallos en windows 10 y misiles nucleares… lo peor del ciberataque está por llegar]]>
https://www.ecestaticos.com/image/videofile/996/560/63d32cf598639ab716fc82faecefe622/imagen-sin-titulo.jpg



(Seleccionar PLAY en la imagen de la http://www.elconfidencial.com/multimedia/video/tecnologia/2017-05-17/ciberataques-ransomware-lo-peor-esta-por-llegar_1383652/)





El Jefe de Teknautas, Manuel Ángel Méndez, analiza en este vígdeo las consecuencias del mayor ciberataque con 'ransomware' de la historia. La principal preocupación apunta ahora al grupo de 'hackers' Shadow Brokers. Son los que han desencadenado el ataque global, robando y publicando herramientas de espionaje de la NSA. Y ahora aseguran que publicarán todavía más: fallos detectados en Windows 10, en navegadores y hasta en sistemas de misiles nucleares de China, Rusia o Corea del Norte. Será material que cualquier cibercriminal podrá usar a placer.







Ver información original al respecto en Fuente:

http://www.elconfidencial.com/multimedia/video/tecnologia/2017-05-17/ciberataques-ransomware-lo-peor-esta-por-llegar_1383652/]]>
http://www.zonavirus.com/noticias/2017/fallos-en-windows-10-y-misiles-nucleares…-lo-peor-del-ciberataque-esta-por-llegar.asp http://www.zonavirus.com/noticias/2017/fallos-en-windows-10-y-misiles-nucleares…-lo-peor-del-ciberataque-esta-por-llegar.asp Noticias Fri, 25 May 2017 19:03:37 GMT
<![CDATA[Y los ransomware cerber4 recibidos hoy, que pasamos a controlar con elistara]]>




"005534107036C8268B0ED63FDB57E52E" -> 00553410.exe 361129

"068446EFCCBAE8D96AF25B781F309969" -> 068446ef.exe 282624

"2E65FBAC533859AA6B8F289E057EB45F" -> 2e65fbac.exe 650561

"87CF318B20AEEE92078DD6E89C9F333A" -> 87cf318b.exe 278528

"A10467424351374E861EFA8E93C98564" -> a1046742.exe 361129

"A7A72754B37D4C6AAADEB99800863266" -> a7a72754.exe 324334

"DFDC0C061E63E65738314E28C7F38224" -> dfdc0c06.exe 278528



Todos ellos pasan a ser controlados a partir del ElistarA 36-91 de hoy, y el informe del presanalisis de viristotal del de mayor tamaño, es el siguiente:



MD5 2e65fbac533859aa6b8f289e057eb45f

SHA1 a3533baa9ce27f31e4b3745ed2aa13d97f5c888a

Tamaño del fichero 635.3 KB ( 650561 bytes )

SHA256:

49994a39c7b025a413d1d852c7cdd47bcf3e137a8a23c218f38c7c1b1cb6d1e7

Nombre:

2e65fbac.exe

Detecciones:

8 / 59

Fecha de análisis:

2017-05-25 15:15:54 UTC ( hace 1 minuto )



Informe global actual del virustotal

https://www.virustotal.com/es/file/49994a39c7b025a413d1d852c7cdd47bcf3e137a8a23c218f38c7c1b1cb6d1e7/analysis/1495725354/





Dicha versión del ElistarA 36.91 que los detecta y elimina,e stará disponible en nuestra web a partir del 26-5 prox





saludos



ms, 25-5-2017]]>
http://www.zonavirus.com/noticias/2017/y-los-ransomware-cerber4-recibidos-hoy-que-pasamos-a-controlar-con-elistara.asp http://www.zonavirus.com/noticias/2017/y-los-ransomware-cerber4-recibidos-hoy-que-pasamos-a-controlar-con-elistara.asp Noticias Fri, 25 May 2017 15:20:30 GMT
<![CDATA[Científicos descubren el software utilizado por volkswagen para perpetrar su fraude]]> https://diarioti.com/wp-content/uploads/2017/05/shutterstock_320056373-Kostas-Koutsaftikis-Volkswagen-1080x486.jpg



El software de Volkswagen, cuya propiedad intelectual es atribuida a Bosch, analizaba diversas variables en la operación del vehículo. Al detectar que este estaba siendo sometido a un control de emisiones de gases iniciaba distintas medidas tendientes a reducirlas. Los científicos detectaron 10 distintos perfiles, o modos, disponibles para distintos modelos de control.



En 2015 se reveló que Volkswagen había implementado un modelo de control fraudulento de emisiones de gases en algunos de sus modelos diesel. Desde entonces, un grupo de científicos ha intentado establecer exactamente la forma en que el fabricante alemán realizó el fraude. Los resultados han sido publicados en un informe distribuido esta semana en el evento IEEE Symposium on Security and Privacy, realizada en San Francisco, California.



Desde ya se sabía que Volkswagen había implementado procedimientos que llevaban a sus automóviles a producir menos NOx cuando el software detectaba que el vehículo estaba siendo sometido a una prueba de emisiones de gases. En condiciones normales, los vehículos emitían hasta 40 veces más NOx que lo permitido. NOx es un término genérico que hace referencia a un grupo de gases muy reactivos tales como el óxido nítrico (NO) y el dióxido de nitrógeno (NO2), que contienen nitrógeno y oxígeno en diversas proporciones.



Kirill Levchenko, científico adscrito a la Universidad de California en San Diego, que participó en la investigación, indica que al analizar el código del software instalado en los automóviles del caso encontraron el procedimiento diseñado para engañar a los centros de control de emisiones. El código consideraba el procedimiento empleado durante estos controles, que implican conectar el automóvil a un dinamómetro y operarlo a velocidades cuidadosamente definidas, incluyendo varios arranques del motor. Debido a que esta metodología de control es información del conocimiento público, para Volkswagen fue posible detectar estos patrones de análisis mediante su software.



El software determinaba entonces cuando se cumplían determinadas condiciones, que al ser confirmadas iniciaban el proceso de fraude. Éste incluía velocidad, distancia y posición del volante. Tan pronto el software detectaba que el automóvil estaba siendo controlado iniciaba distintas medidas tendientes a reducir las emisiones. Los científicos detectaron 10 distintos perfiles, o modos, disponibles para distintos modelos de control.



Los científicos analizaron 926 versiones del software, creadas durante un período de ocho años, constatando que 406 versiones incorporaban esta funcionalidad fraudulenta. Volkswagen intentó además ocultar el procedimiento dando al software un nombre que sugería una funcionalidad distinta. El código formaba parte de un bloque de funcionalidad denominado kundenspezifische Akustikbedingung, que da la impresión de simplemente ajustar el perfil acústico del motor.



En un comunicado, Levchenko comenta que el procedimiento empleado por Volkswagen para vencer al sistema de control es el más complejo en la historia de la automoción, y pone de relieve lo difícil que es controlar si los fabricantes cumplen con las normativas o no. En tal sentido, dijo que es probable que otros fabricantes también hayan incurrido en el mismo fraude. El científico explicó que todos los automóviles modernos cuentan con unidades de control que funcionan como cerebro, analizando los datos generados por todos los sensores instalados en el coche. Entre sus funciones está controlar que las emisiones se mantengan en un nivel ajustado a la ley.



La solución: software



Aparte de su trabajo forense, los científicos también estudiaron las posibilidades de revelar este tipo de fraude mediante procedimientos estándar de análisis de software. Con base en este mandato, desarrollaron una herramienta denominada Curve Diff, que busca determinar si el software instalado en los automóviles contiene código fraudulento. El sistema instalado por Volkswagen es fabricado por Bosch. A juicio de los científicos, todas las pruebas apuntan a que esta empresa desarrolla el software por encargo de sus clientes, es decir, los fabricantes de automóviles.



Cabe señalar que no se ha determinado con certeza si Bosch programó el código fraudulento, aunque es un hecho que la empresa tiene los derechos de propiedad intelectual del código y documentación del software. El código en cuestión estaba instalado en distintos modelos de Volkswagen, como Passat, Golf, Jetta, aparte de las series Audi A y Q.



Código similar, aunque más primitivo, en vehículos Fiat



Los científicos encontraron un código similar, aunque considerablemente más rudimentario, en los automóviles Fiat 500X. Éste automóvil activaba el modo de fraude cada vez que arrancaba, por un periodo total de 26 minutos y 40 segundos, que es el tiempo que toma la realización del control de emisiones de gases. Este hallazgo ha resultado en una investigación, actualmente en curso, contra Fiat Chrysler Automobiles. Fiat utiliza el mismo software de Bosch mencionado anteriormente.



Aparte las implicaciones y consecuencias jurídicas del caso, el fraude de Volkswagen también fue analizado desde una perspectiva ética. En un artículo titulado El precio de IoT será un vago temor a un mundo maligno, el analista Marcelo Rinesi, subdirector del Instituto de Ética y Tecnologías Emergentes (IEET), trazó paralelos entre el fraude de Volkswagen y la demonología aplicada: La aplicación de normativas presupone que los humanos no son confiables, pero que viven en un universo confiable, observó Rinesi, Poniendo de relieve que la gente cae en la tentación de mentir si cree que los beneficios superan a los riesgos. Sin embargo, lo anterior no sería aplicable a los objetos: Si se intenta probar la eficiencia energética de una lámpara, siempre se obtendrá una respuesta honesta de esta; los objetos fallan, y a veces se comportan de manera impredecible, pero no son estratégicos – no acomodan su comportamiento de manera dinámica con el fin de engañar. La materia en sí no es mala. Rinesi indicó que el panorama anterior cambia cuando las cosas incorporan software, ya que en el software es posible codificar estrategias al estilo de los juegos, de la misma forma en que es posible codificar otras formas de matemáticas aplicadas. Así las cosas, la tentación de enseñar a los productos a mentir estratégicamente será igualmente imposible de resistir para algunas empresas, como lo fue para Volkswagen, sin importar el severo castigo que se arriesgue. Siempre ha sido así, y seguirá ocurriendo, en el área del fraude financiero, que sólo va a encontrar formas de hacerlo mejor.



El escándalo de Volkswagen no es el primero en su tipo. General Motors instaló un sistema fraudulento en sus modelos Cadillac comercializados entre 1991 y 1995.



Ver información original al respecto en Fuente:

https://diarioti.com/cientificos-descubren-el-codigo-utilizado-por-volkswagen-para-perpetrar-su-fraude/104594]]>
http://www.zonavirus.com/noticias/2017/cientificos-descubren-el-software-utilizado-por-volkswagen-para-perpetrar-su-fraude.asp http://www.zonavirus.com/noticias/2017/cientificos-descubren-el-software-utilizado-por-volkswagen-para-perpetrar-su-fraude.asp Noticias Fri, 25 May 2017 14:36:32 GMT
<![CDATA[Las últimas noticias sobre wannacry, uiwix, eternalrocks y shadowbrokers]]>


El hilo común entre las tres amenazas es MS17-010, junto con otras herramientas y vulnerabilidades lanzadas por Shadow Brokers. Estos ataques no sólo explotan vulnerabilidades en los sistemas, sino que también aprovechan las principales luchas a las que se enfrentan todas las organizaciones con la administración y gestión de parches y las actualizaciones del sistema. Trend Micro propone echar un vistazo al impacto y plantea que se considere por qué estas amenazas están ocurriendo.



El impacto



En el último recuento, WannaCry solo había infectado 230.000 usuarios en unos 150 países.



Sin embargo, dada la enorme extensión y variedad de estos malwares, el pago hasta ahora ha sido de sólo 110.000 dólares. Esto demuestra que el mayor impacto no fue financiero, sino físico. Las organizaciones de algunas industras, incluida la sanitaria, se vieron obligadas a cerrar sus sistemas para detener la propagación del malware. Esto trae una amenaza digital al mundo físico y da impacto en el mundo real a estos ataques.



Sin embargo, EternalRocks no descarga ninguna carga maliciosa. A pesar de aprovechar cinco vulnerabilidades y dos herramientas de reconocimiento, no deja atrás ningún contenido malicioso. Aprovecha el exploit DoublePulsar que habilita una puerta trasera en el sistema infectado, probablemente para el uso posterior por parte de los agentes de la amenaza.



¿Por qué lo hacen?



Cuando los agentes de la amenaza entran en un sistema y no liberan una carga útil maliciosa, sacan el potencial de algo más que están dejando atrás a su vez. Es posible que los atacantes estén preparando la red para su uso futuro. También podría ser una maniobra de distracción, mientras se explotan otras vulnerabilidades cuando nadie las está vigilando.



La primera línea de defensa para todas estas amenazas es parchear los sistemas contra todas las vulnerabilidades difundidas y publicadas por ShadowBrokers.





Ver información original al respecto en Fuente:

http://haycanal.com/noticias/10754/lo-mas-reciente-acerca-de-wannacry-uiwix-eternalrocks-y-shadowbrokers





Y asegurarse de que se tienen instalados los parches !!!:

https://blog.satinfo.es/2017/utilidad-de-eset-para-saber-si-el-ordenador-esta-parcheado-contra-el-wannacry/







Y en último caso, si se han sufrido sus consecuencias, probar la utilidad WANAKIWI para descifrado de los ficheros afectados:



https://blog.satinfo.es/2017/wanakiwi-herramienta-para-decodificar-gratuitamente-los-ficheros-cifrados-por-wannacry/







saludos



ms, 25-5-2017]]>
http://www.zonavirus.com/noticias/2017/las-ultimas-noticias-sobre-wannacry-uiwix-eternalrocks-y-shadowbrokers.asp http://www.zonavirus.com/noticias/2017/las-ultimas-noticias-sobre-wannacry-uiwix-eternalrocks-y-shadowbrokers.asp Noticias Fri, 25 May 2017 11:14:07 GMT
<![CDATA[Utilidad de eset para saber si el ordenador esta parcheado contra el wannacry]]>


Más allá del caso particular de la amenaza del WannaCry, conviene asegurarse de que el ordenador está parcheada contra EternalBlue; ya que otros tipos o familias de malware podrían comenzar a usar este exploit en el futuro.



A tal fin, ESET publicó la herramienta llamada EternalBlue Vulnerability Checker, disponible para su descarga y muy fácil de usar.





DESCARGA DE LA UTILIDAD:

https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe









Recordar que instalar actualizaciones debería ser un hábito y que, en este caso, es la mejor contramedida para evitar ser víctima de WannaCryptor.





Ver información original al respecto en Fuente:

https://www.welivesecurity.com/la-es/2017/05/16/check-eternalblue-pc-parcheada-wannacry/]]>
http://www.zonavirus.com/noticias/2017/utilidad-de-eset-para-saber-si-el-ordenador-esta-parcheado-contra-el-wannacry.asp http://www.zonavirus.com/noticias/2017/utilidad-de-eset-para-saber-si-el-ordenador-esta-parcheado-contra-el-wannacry.asp Noticias Fri, 25 May 2017 10:23:42 GMT
<![CDATA[Nueva variante de trojan downloader johnnie]]> ElistarA 36.91 de hoy, pasamos a controlar esta nieva variante de malware



El preanalisis de virustotal ofrece el siguiente informe:



MD5 03e6e9668f7bce966e7fced120f50d79

SHA1 5da7d525eae223bddaed663e02efef98830338cd

Tamaño del fichero 8.5 KB ( 8704 bytes )

SHA256:

baebc938c010fc8cfc2b579292c0bb9c8cee0172de8bd737654a92ccb4eda159

Nombre:

pfa9.exe

Detecciones:

22 / 58

Fecha de análisis:

2017-05-25 09:48:55 UTC ( hace 5 minutos )



Informe general actual del informe de virustotal

https://www.virustotal.com/es/file/baebc938c010fc8cfc2b579292c0bb9c8cee0172de8bd737654a92ccb4eda159/analysis/1495705735/





Como dato de la operativa de esta malware, cabe indicar que genera un fichero BAK que tambien eliminamos con el ElistarA indicado



Dicha versión del ElistarA 36.91 que lo detecta y elimina, estará disponible en nuestra web a partir del 26-5 prox.



saludos



ms, 25-5-2017]]>
http://www.zonavirus.com/noticias/2017/nueva-variante-de-trojan-downloader-johnnie.asp http://www.zonavirus.com/noticias/2017/nueva-variante-de-trojan-downloader-johnnie.asp Noticias Fri, 25 May 2017 09:56:31 GMT
<![CDATA[Nueva/s version/es de utilidad/es elistara 36.90]]> Para nuevas variantes víricas según muestras recibidas, hemos desarrollado las nuevas versiones de:













ElistarA



---v36.90-(24 de Mayo del 2017) (Muestras de (8)Ransom.Cerber4 "*.exe", (2)Ransom.Jaff.B "*.exe", (2)Ransom.NoMore "csrss.exe", (2)Ransom.Crypted007 "csrss.exe", Ransom.Crypt "*.exe", (3)DownLoader.Sounder "MS****.EXE", Malware.Upatre.C "nw.exe", (7)Trojan.Kovter.B "*****.exe", Trojan.Outbreak "AnotherScroll.exe", BackDoor.NetWired "mswords.exe", Spy.Omaneat "itunes.exe" y DownLoader.PDF "*.pdf")















Ya se han subido a esta web exclusivamente para pruebas de evaluación en el foro de zonavirus





saludos



ms, 25-5-2017]]>
http://www.zonavirus.com/noticias/2017/nuevas-versiones-de-utilidades-elistara-3690.asp http://www.zonavirus.com/noticias/2017/nuevas-versiones-de-utilidades-elistara-3690.asp Noticias Fri, 25 May 2017 09:37:40 GMT
<![CDATA[España ha experimentado 1.050 ciberincidentes críticos en dos años]]>


http://cso.computerworld.es/archivos/201612/cyberattack-stock-image-100607242-large.idge.jpg



El Centro Criptológico Nacional (CCN), organismo adscrito al Centro Nacional de Inteligencia (CNI), ha presentado su Informe de Actividad 2015-2016 en el que hace balance de dos años de intenso trabajo, tanto del sector público español como de las empresas de interés estratégico para el país y de los sistemas que manejan información clasificada. Durante este período, la ciberseguridad se ha situado entre las principales preocupaciones de los gobiernos e instituciones de todo el mundo y las principales amenazas detalladas en el documento han crecido a un ritmo vertiginoso.

 

El informe recoge toda la labor del CCN durante los años 2015 y 2016 en el campo de la formación y sensibilización (6.130 funcionarios y empleados públicos formados presencialmente y más de 20.200 alumnos en cursos online); el desarrollo, certificación y fomento de tecnologías seguras; la elaboración de un conjunto de normas, procedimientos y directrices técnicas (273 Guías CCN-STIC) y en su capacidad de prevención, detección, respuesta y recuperación, materializada en el CCN-CERT. Una capacidad que gestionó en solo dos años un total de 39.172 ciberincidentes en organizaciones del sector público y de empresas de interés estratégico, de los que 1.050 fueron catalogados con un índice de peligrosidad crítico o muy alto. Y lo hizo gracias a la mejora en los mecanismos de coordinación y los sistemas de alertas de amenazas, vulnerabilidades y agresiones o ataques.

 

No nos hemos encontrado solos; contamos con el respaldo normativo, tanto nacional como internacional, y con la colaboración creciente de organismos y entidades públicas, el trabajo de todo nuestro personal, la ayuda de las empresas proveedoras y la cooperación con nuestros colegas y aliados de otros países, explica el secretario de Estado director del CNI y director del CCN, Félix Sanz Roldán. Las líneas de actuación concuerdan con la misión que el Gobierno nos tiene asignada, que no tiene límite en el tiempo y que necesita de mayor dedicación de personas y recursos. A ella nos seguiremos entregando, día a día, con el único objetivo de mantener seguro nuestro ciberespacio y proteger la información sensible de nuestro país.



Ver información original al respecto en Fuente:

http://cso.computerworld.es/tendencias/espana-ha-experimentado-1050-ciberincidentes-criticos-en-dos-anos]]>
http://www.zonavirus.com/noticias/2017/espana-ha-experimentado-1050-ciberincidentes-criticos-en-dos-anos.asp http://www.zonavirus.com/noticias/2017/espana-ha-experimentado-1050-ciberincidentes-criticos-en-dos-anos.asp Noticias Fri, 25 May 2017 09:27:06 GMT
<![CDATA[Los otros wanna cry y cómo protegernos de ellos]]>


Mantener el sistema operativo actualizado y conectarse a redes de confianza son algunas de las pautas de seguridad para evitar ser víctima de delitos informáticos



El ataque mediante ransomware es la última tendencia del cibercrimen (John Lund / Getty)



http://www.lavanguardia.com/r/GODO/LV/p4/WebSite/2017/05/24/Recortada/img_agarcial_20160207-101642_imagenes_lv_getty_gettyimages-580503961-k2JF-U4228644099340pB-992x558@LaVanguardia-Web.jpg



Los ciberataques han pasado a primera página a raíz de Wanna Cry, el ataque informático de alcance global que en España afectó a Telefónica y que en el Reino Unido llegó incluso a paralizar algunos hospitales del NHS, el sistema de salud británico. Pero más allá de estas operaciones de repercusión global, que afectan a millones de usuarios y ponen en jaque a grandes empresas, el mundo de Internet está plagado de amenazas de más corta ambición y que, sin embargo, pueden producir un daño parecido al del los ciberataques masivos.

Estos últimos años los delitos informáticos no han hecho más que crecer. Esto es, en parte, porque el hacking se está democratizando: hoy en día ya no hace falta saber programar para llevar a cabo un ataque tipo ransomware, el mismo tipo que Wanna Cry. Así lo cree Léonard Janer, responsable de formación permanente del TecnoCampus Mataró – Maresme y profesor del Grado en Ingeniería Informática de Gestión y Sistemas de Información. Es relativamente fácil introducir un ransomware en un dispositivo. Hay plataformas que permiten hacerlo simplemente conectándote a un servidor. Ya no es necesario ser ningún experto en informática. Eso los hace muy populares, sostiene.



El ransomware, ataque mediante el cuál el delincuente encripta datos del ordenador de un tercero y le pide un rescate monetario para desbloquearlos, es la última tendencia del cibercrimen según un informe de la Interpol sobre delitos en Internet del último año (Informe IOCTA 2016). Los ransomware se han convertido en la norma al superar ya a otros métodos clásicos como los ataques DDoS o ataques de denegación de servicio (que consisten en saturar un servidor de visitas para dejar inaccesible un sitio online) o el phishing (suplantar la identidad de un individuo u organización para obtener información confidencial de la víctima).



¿Cómo podemos protegernos contra los ransomware? Lo más importante es mantener actualizado el sistema operativo. Es mucho más importante que tener un antivirus, que no hace nada ante un ataque como Wanna Cry. Normalmente solo requiere apretar un botón. Es una cuestión de hábito. Y no hemos conseguido que la mayoría de usuarios lo hagan, dice Janer.



Más dispositivos, más peligro



El incremento del número de dispositivos conectados a Internet en nuestros hogares, sería otro de los factores que explica este repunte de los delitos informáticos. No solo porque tenemos más dispositivos, también porque ahora son casi apéndices de nuestros cuerpos. La gente se lleva los dispositivos consigo, se conectan a puntos WiFi que no pueden saber si son de confianza y volver a casa infectados. Por lo tanto, hoy hay muchas más puertas de acceso que antes, dice el experto.



Tenemos que ser conscientes que cada vez que nos conectamos a una red WiFi pública, cualquiera puede estar accediendo a los datos del dispositivo o los que se envían por la red. Esto no significa que el propietario de la cafetería donde te conectas sea consciente de ello. Otra persona conectada a la red puede estar capturando tus datos. Para evitarlo deberíamos conectarnos solo a redes de confianza o encriptar los datos del dispositivo, dice.



Es cierto hoy en día los fabricantes de teléfonos dan mucha importancia a la seguridad de sus dispositivos. Pero en los móviles, igual que en el ordenador, la seguridad depende también de los hábitos del usuario. Por ejemplo, habría que vigilar qué aplicaciones nos bajamos de las tiendas online incluidas en los dispositivos. Debemos saber qué información damos a terceros. Nos pasamos el día instalando aplicaciones y muchas veces acaban accediendo a prácticamente todos nuestros datos, contactos, fotografías, localización. Habría que prestar más atención a los términos de instalación y a los permisos que pide cada app, sugiere Janer.



El peor fallo de seguridad, el ser humano



La técnica conocida como phishing es otra de las amenazas. Los malhechores provocan las condiciones de engaño para que sean los propios usuarios los que les faciliten información confidencial. También conocida como ingeniería socia, esta técnica es la que sustrae información a través de correos electrónicos donde se anuncian premios o donde se hacen pasar por el banco del cliente para pedirle sus contraseñas.

La ingeniería social reproduce un mantra muy conocido entre los expertos en seguridad: los usuarios son el eslabón más frágil. Siempre lo más difícil de proteger son los puntos débiles de una persona. Es un método fácil y eficiente. Lo único que podemos hacer contra esto es la concienciación y la educación y sería importante empezar a hacerlo desde las escuelas, asegura Janer.



Ver informacion original al respecto en Fuente:

http://www.lavanguardia.com/economia/innovacion/20170525/422864409934/wanna-cry-protegernos.html]]>
http://www.zonavirus.com/noticias/2017/los-otros-wanna-cry-y-como-protegernos-de-ellos.asp http://www.zonavirus.com/noticias/2017/los-otros-wanna-cry-y-como-protegernos-de-ellos.asp Noticias Fri, 25 May 2017 09:16:24 GMT
<![CDATA[Ztorg, nuevo troyano que distribuye aplicaciones infectadas mediante la publicidad agresiva]]>




http://cso.computerworld.es/archivos/201602/google-play-store-virus.jpg





En el ciberespacio nos encontramos con muchos botnets y la mayoría tienen en su razón de existir en conseguir dinero. Los botnets se centran en muchas ocasiones en la publicidad fraudulenta, con los cibercriminales comprometiendo los dispositivos de los usuarios con malware que muestra anuncios.

Es el caso del troyano Ztorg, Los analistas de Kaspersky Lab han descubierto una red de gran tamaño que, mediante campañas de publicidad, distribuye aplicaciones infectadas. Este botnet muestra anuncios publicitarios, instala de forma discreta nuevas aplicaciones o incluso las compra, generando dinero para sus autores. Las campañas llevan en marcha más de un año, afectando hasta la fecha a más de 100 programas. Muchos de estos programas son muy populares y han tenido un crecimiento explosivo, pasando de 10 a 10.000 instalaciones en apenas 24 horas.



Según los expertos de Kaspersky Lab, Ztorg se distribuye de dos formas. La primera es cuando los cibercriminales compran tráfico originado de al menos cuatro redes legales de publicidad, para así promocionar aquellos programas afectados. Hay que hacer notar que los componentes adicionales de Ztorg muestran anuncios de estas redes. Todo esto lleva a una situación en la que los usuarios se ven afectados por los anuncios de una red de publicidad y, después de la infección, ven todavía más anuncios de la misma red debido al troyano que se ha instalado.



La segunda forma en la que Ztorg se distribuye es usando aplicaciones que pagan a los usuarios por instalar otros programas desde Google Play. Estas ofrecen entre 0,04 y 0,05 dólares por instalar una aplicación infectada con Ztorg. Y al mismo tiempo que los usuarios consiguen hacerse con algunos céntimos como recompensa, sus dispositivos entran en modo zombi, desplegando publicidad no solicitada en beneficio de los cibercriminales.

Ztorg es en sí mismo un troyano muy sofisticado, dotado con una arquitectura modular. Lo primero que hace tras su instalación es conectarse a su servidor C&C y subir datos sobre el dispositivo, incluido país, idioma, modelo de dispositivo y versión de sistema operativo. Una vez que estos datos han sido enviados, procede a la descarga de un segundo componente adicional que utiliza varios elementos para hacerse con privilegios raíces en el dispositivo infectado. Estos derechos permiten al troyano actuar continuamente en el dispositivo, desplegando anuncios no deseados para el usuario, haciendo llegar agresivamente más publicidad e instalando, discretamente, nuevas aplicaciones.





Ver informacion original al respecto en Fuente:

http://cso.computerworld.es/alertas/ztorg-nuevo-troyano-que-distribuye-aplicaciones-infectadas-mediante-la-publicidad-agresiva?xtor=EREC-5]]>
http://www.zonavirus.com/noticias/2017/ztorg-nuevo-troyano-que-distribuye-aplicaciones-infectadas-mediante-la-publicidad-agresiva.asp http://www.zonavirus.com/noticias/2017/ztorg-nuevo-troyano-que-distribuye-aplicaciones-infectadas-mediante-la-publicidad-agresiva.asp Noticias Fri, 25 May 2017 09:06:55 GMT
<![CDATA[Los parches de seguridad falsos se multiplican tras el caso wannacry]]>
Los expertos advierten que los parches suelen ser proporcionados a través de los software de actualización de los proveedores y no mediante enlaces que circulan por Internet o por redes sociales.





http://cso.computerworld.es/archivos/201401/actualizaciones-seguridad-parche.jpg





Una vez que el ransomware WannaCry se expandió por los equipos de todo el mundo, muchos de los usuarios buscaron atajar rápidamente el virus con soluciones que resultaron ser más malware disfrazado. Todo un efecto dominó que provocó más caos y que pone de relieve la falta de concienciación a la hora de proteger los dispositivos.  Es más, los expertos en seguridad repiten por activa y por pasiva que las empresas han de adherirse a sus proveedores de seguridad y establecer procesos de actualización. Y, por supuesto, avisan, hay que tener cuidado con los parches que circulan por Internet.



Esta estafa está sembrando miedo realmente, explica Adam Malone, director de investigaciones cibernéticas y respuesta de infracciones en PwC. Los parches se proporcionan normalmente a través del software de actualización del proveedor. En este caso en concreto, el parche ha de ser administrado por Microsoft oficialmente a través de su servicio de actualización de Windows. Lo único que tendrían que hacer los usuarios es ejecutar su programa de Windows Update. Del mismo modo, los vendedores de antvirus distribuyen nuevas firmas automáticamente a través de actualizaciones de software y nunca a través de un enlace o mensaje de texto o en las redes sociales.



En aquellos aquellas situaciones en las que un parche tiene que ser descargado o los usuarios optan por actualizar manualmente, deben estar seguros de que se encuentran navegando en la página oficial del proveedor y no en ningún sitio de un tercero. Por ejemplo, la propia Microsoft ha publicado actualizaciones a versiones anteriores de su sistema operativo, así como a su herramienta de eliminación de software malintencionado, y ha publicado los enlaces de descarga en una entrada de su blog.



Algunos estafadores incluso tratan de vender los parches falsos, dijo Cathie Brown, vicepresidenta de gobierno, riesgo y cumplimiento de Impact Makers. Siempre que hay un fraude a gran escala encontramos soluciones falsas.





Ver información original al respecto em Fuente:

http://cso.computerworld.es/alertas/los-parches-de-seguridad-falsos-se-multiplican-tras-el-caso-wannacry?xtor=EREC-5]]>
http://www.zonavirus.com/noticias/2017/los-parches-de-seguridad-falsos-se-multiplican-tras-el-caso-wannacry.asp http://www.zonavirus.com/noticias/2017/los-parches-de-seguridad-falsos-se-multiplican-tras-el-caso-wannacry.asp Noticias Fri, 25 May 2017 08:56:55 GMT
<![CDATA[Hackers atacan a clientes de bancos rusos]]>


https://cdnmundo2.img.sputniknews.com/images/106014/52/1060145297.jpg



Cibercriminales rusos usaron malware plantado en dispositivos móviles Android para robar a clientes de bancos rusos que planeaban atacar a prestamistas europeos antes de su arresto, según investigadores y fuentes de Reuters.



Su campaña recaudó una suma relativamente pequeña para los estándares de los cibercriminales, más de 50 millones de rublos (892,000 dólares), pero también habían conseguido software malicioso más sofisticado por una modesta tarifa mensual para ir tras los clientes de bancos de Francia y posiblemente de otras naciones occidentales.



La relación de Rusia con el cibercrimen está bajo un intenso escrutinio después de que oficiales de inteligencia de Estados Unidos afirmaran que los hackers rusos habían intentado ayudar al republicano Donald Trump a ganar la presidencia de Estados Unidos atacando los servidores del Partido Demócrata.



El Kremlin ha negado repetidamente dicha afirmación.



Los miembros de la banda engañaron a los clientes de los bancos rusos para que descargaran malware a través de aplicaciones móviles falsas, así como a través de pornografía y programas e-commerce, de acuerdo a un reporte compilado a por la compañía de ciberseguridad Group-IB la cual investigó el ataque con el Ministro del Interior Ruso.



Los 16 sospechosos que fueron arrestados por las autoridades rusas en noviembre del año pasado infectaron más de un millón de smartphones en Rusia, comprometiendo en promedio 3,500 dispositivos al día, declaró Group-IB.



Los hackers se enfocaron en clientes del prestamista de estado Sberbank (SBER.MM) y también en robar dinero de cuentas de Alfa Bank y de la compañía de pagos en línea Qiwi (QIWI.O), aprovechando las debilidades en los servicios de transferencia de mensajes de texto SMS, delcararon dos personas con conocimiento directo del caso.



Aunque operaban solo en Rusia antes de su arresto, habían desarrollado planes para enfocarse en grandes bancos europeos incluyendo a prestamistas franceses de Credit Agricole (CAGR.PA), BNP Paribas (BNPP.PA) y Société Générale (SOGN.PA), declaró Group-IB.



Una vocera de BNP Paribas dijo que el banco no podía confirmar ésta información, pero añadió que tiene un conjunto de medidas significativas listas dirigidas a combatir ciberataques de forma habitual, la Société Générale se negó a hacer comentarios.



La banda, la cual era llamada Cron por del malware que utilizó, no robó ninguno de los fondos de los clientes de los tres bancos franceses. Sin embargo, se aprovechó del servicio del banco en Rusia que permite a los usuarios transferir pequeñas sumas a otras cuentas al enviar un mensaje SMS.



Habiendo infectado los teléfonos de los clientes, la banda envió mensajes SMS desde esos dispositivos dando instrucciones a los bancos de transferir el dinero a las propias cuentas de los hackers.



Los hallazgos ilustran los peligros de usar mensajes SMS para la banca móvil, un método preferido en países emergentes con infraestructura de internet menos avanzada, dijo Lukas Stefanko, investigador en malware de la compañía de seguridad ESET en Eslovaquia.



"Se está haciendo popular entre las naciones en desarrollo o en las zonas rurales donde el acceso a la banca convencional es difícil para las personas", dijo él. "Para ellos es rápido, fácil y no necesitan ir a un banco… Pero la seguridad siempre tiene que sobrepasar la conveniencia del consumidor ".



Cibercriminales



El Ministro del Interior dijo que varias personas han sido arrestadas, incluyendo al que describió como el líder de la banda. Este es un hombre de 30 años que vivía en Ivánovo, una ciudad industrial a 185 millas (300 km) al noreste de Moscú, desde donde él había dirigido un equipo de 20 personas a lo largo de seis diferentes regiones.



Cuatro personas permanecen detenidas mientras los demás están bajo arresto domiciliario, dijo el ministro en una declaración.



"En el curso de 20 búsquedas a lo largo de seis regiones, la policía se apoderó de computadoras, cientos de tarjetas bancarias y tarjetas SIM registradas con nombre falsos", dijo.



Group-IB dijo que la existencia del malware Cron fue primero detectada a mediados de 2015, y para cuando ocurrieron los arrestos los hackers lo habían estado usando por cerca de un año.



Ver información original al respecto en Fuente:

https://www.seguridad.unam.mx/hackers-atacan-clientes-de-bancos-rusos]]>
http://www.zonavirus.com/noticias/2017/hackers-atacan-a-clientes-de-bancos-rusos.asp http://www.zonavirus.com/noticias/2017/hackers-atacan-a-clientes-de-bancos-rusos.asp Noticias Fri, 25 May 2017 04:58:56 GMT
<![CDATA[Y el pariente del anterior crypted007, el ransom.nomore]]> Dios los crea y ellos se juntan ...



Una variante de los ransomware NOMORE que, COMO HEMOS INDICADO EN LA ANTEIOR NOTICIA, tiene vínculos con el RANSOM.007. pasa a ser controlado a partir del ElistarA 36.90 de hoy



El preanalisis de virustotal ofrece el siguiente informe:





MD5 a66f003e811572eeba6728c1b12439c3

SHA1 e8fe05e154c74daf0fd7fb11c808966e23e2a92e

Tamaño del fichero 1.0 MB ( 1097728 bytes )

SHA256:

374eeacef2c1c740bfbd0e902f66430763eed43c7fd6f916e1ff4e8d7384df11

Nombre:

winscr.exe

Detecciones:

21 / 60

Fecha de análisis:

2017-05-24 11:26:55 UTC ( hace 3 horas, 13 minutos )





Informe general actual del virustotal

https://www.virustotal.com/es/file/374eeacef2c1c740bfbd0e902f66430763eed43c7fd6f916e1ff4e8d7384df11/analysis/1495625215/



Dicha versión del ElistarA 36.90 que lo detecta y elimina, estará disponible en nuestra web a partir del 25-5 prox



saludos



ms, 24-5-2017]]>
http://www.zonavirus.com/noticias/2017/y-el-pariente-del-anterior-crypted007-el-ransomnomore.asp http://www.zonavirus.com/noticias/2017/y-el-pariente-del-anterior-crypted007-el-ransomnomore.asp Noticias Thu, 24 May 2017 14:56:26 GMT