lunes, 15 de mayo de 2017

Ciberataque global: una simple explicación de qué ocurre


Los expertos de seguridad lo están llamando el mayor ciberataque que el mundo ha visto.
Esto es lo que tienes que saber sobre el WannaCry.
Qué hace el ataque
Hackers extendieron un virus ransomware, llamado WannaCry, que bloquea todos los archivos de una computadora infectada y le exige al administrador un pago de 300 dólares para recuperarlos. Por eso que se llama ransomware.
¿Cómo ocurrió?
WannaCry se aprovecha de una vulnerabilidad en Microsoft Windows.
Las herramientas de software para crear el ataque se dieron a conocer en abril, cuando se filtraron herramientas de espionaje de la Agencia Nacional de Seguridad (NSA) de Estados Unidos. Fueron hechas públicas por un grupo de hackers llamado Shadow Brokers.
Microsoft lanzó un parche de seguridad en marzo. Sin embargo, muchas empresas no actualizan automáticamente sus sistemas. Esto ha sido un problema persistente de seguridad durante años. Finalmente, el virus se encontró con las víctimas.
Los consumidores también están en riesgo. Microsoft requiere que los clientes de Windows 10 actualicen automáticamente sus computadoras, pero algunas personas con ordenadores antiguos tienen las actualizaciones automáticas deshabilitadas.
¿Qué tan extenso es el daño?
El ataque ha afectado a 200.000 computadoras en  150 países, de acuerdo con Europol, la agencia policial europea. FedEx, Nissan, y el Servicio Nacional de Salud de Gran Bretaña estaban entre las víctimas.
En Gran Bretaña, los hospitales quedaron paralizados por el ataque cibernético, que obligó a cancelar operaciones y desviar ambulancias.
Otros afectados fueron Deutsche Bahn, el Banco Central de Rusia, Ferrocarriles de Rusia, el Ministerio del Interior de Rusia, Megafon y Telefónica.
¿Quién es vulnerable?
Cualquier persona que no haya actualizado su PC con Windows recientemente.
Microsoft dijo que había tomado el "muy inusual paso" de liberar un parche para los equipos con sistemas operativos más antiguos como Windows XP, Windows 8 y Windows Server 2003. Incluso los usuarios con equipos más antiguos deben actualizarlos.
Las computadoras Mac de Apple no fueron blanco de este ataque. Generalmente los ataques se dirigen a Windows porque hay mucho más equipos que con este sistema operativo en todo el mundo.
¿Cómo evitar ser atacado?
De acuerdo con la compañía de seguridad Bitdefender, sigue estos cinco pasos:
1. Desactiva el protocolo SMB (Server Message Block)
2. Instala el parche de Microsoft.
3. Haz copias de seguridad de datos en un disco duro.
4. Instala todas las actualizaciones de Windows.

5. Utiliza un software de seguridad de confianza para evitar ataques en el futuro.
¿Quién está detrás del ataque?
Los piratas informáticos permanecen en el anonimato por ahora, pero parece que son aficionados. Un analista de 22 años en Gran Bretaña, que responde al nombre de MalwareTech, encontró la forma de detener el ataque.
MalwareTech halló un dominio no registrado en el ransomware y lo compró por 10,69 dólares. Luego, dirigieron el sitio a un sumidero, un servidor que compila y analiza el tráfico de malware. La facilidad de detener el ataque sugiere que los hackers no eran profesionales.
Los expertos dijeron que parecía que el virus había ocasionado poco más de 32.000 dólares en daños, aunque se esperaba que ese número ascendiera cuando la gente volviera a su oficina el lunes.
¿Qué sigue?
Computadoras y redes que no habían actualizado sus sistemas recientemente todavía están en riesgo debido a que el ransomware está al acecho. Y WannaCry amenaza con crear aún más estragos el lunes, cuando la gente vuelve al trabajo.
Los hackers han lanzado nuevas versiones del virus que las organizaciones de seguridad cibernética están tratando activamente de contrarrestar y eliminar.
"Tendremos una herramienta desencriptadora eventualmente, pero por el momento, sigue siendo una amenaza viva y seguimos en modo de recuperación de desastre", dijo este domingo Rob Wainwright, director de la agencia europea Europol, en entrevista con Becky Anderson de CNN.
Tomado de: CNN en español

domingo, 14 de mayo de 2017

Centenar de países afectados por ransomware habilitado por la NSA

Cargando..
WannaCry. Imagen tomada de: Diario TI

El ransomware WannaCrypt, también conocido como WannaCry (Quieres llorar) es instalado en computadoras vulnerables, operadas con Windows, mediante un gusano que se propaga por las redes explotando una vulnerabilidad en el servicio de intercambio de archivos SMB de Microsoft. Concretamente, aprovecha un error de código, o “bug”, parcheado por Microsoft en marzo pasado mediante la actualización MS 17-010. Inicialmente, el bug fue detectado y utilizado por la agencia de seguridad nacional estadounidense, NSA, con el fin de hacerse del control de las computadoras de quienes investigaba. Esta herramienta, que al interior de la NSA era conocida como EthernalBlue, fue sustraída a la agencia y filtrada a Internet en abril junto a otras herramientas de intrusión y espionaje informático, que de esa forma quedaron a disposición de cualquier interesado.

Mediante WannaCrypt, está vulnerabilidad fue colgada a una herramienta de ransomwave que al ser descargada en una computadora, cifra el mayor número de archivos posible. Luego presenta una notificación al usuario, exigiendo el pago de un rescate de USD 300 en Bitcoin para recuperar los archivos. WannaCrypt también instala DoublePulsar, puerta trasera que permite asumir el control de la computadora vía Internet. DoublePulsar es otra herramienta de la NSA filtrada junto a EthernalBlue.

WannaCrypt es controlado mediante la red Tor, conectándose a servicios ocultos desde los que recibe instrucciones de sus creadores.

“Héroe accidental”frenó la propagación

El código del malware incluye un “kill switch” que fue descubierto por un joven británico de 22 años de edad, quien desde el suroeste de Inglaterra trabaja para la empresa estadounidense Kryptos Logic. El joven, quien opera con el seudónimo MalwareTech, comentó a la publicación The Guardian que el malware incluía un “kill switch” diseñado por los creadores de WannaCry para desactivar el malware en caso de así decidirlo. El malware se conectaba a un dominio del hombre ininteligible y estaba diseñado para desactivarse en caso de establecer una conexión exitosa con dominio. MalwareTech registró el dominio por 10 dólares, y al activarlo en DNS constató como este recibía miles de conexiones por segundo. La intención del joven al registrar el dominio no era frenar la propagación de WannaCrypt, sino entender la forma en que el malware se estaba propagando. “Mi intención sólo fue monitorizar la propagación y ver si eventualmente sería posible hacer algo al respecto. Sin embargo, frenamos la propagación simplemente registrando el dominio”.

MalwareTech advierte que su iniciativa sólo frena temporalmente al malware. “Esto no termina aquí. Los atacantes entenderán como frenamos la propagación, cambiarán el código y lo intentarán nuevamente”. Luego, sugirió actualizar el sistema operativo mediante Windows Update y reiniciar el sistema.

Microsoft ofrece protección

Microsoft, por su parte, escribe en su blog TechNet que las computadoras que tengan activada la actualización automática de Windows, en Windows Update, ya están protegidas mediante el parche MS17-010 mencionado anteriormente. Los usuarios que tengan configurado Windows Update con actualización manual deberán instalar la actualización lo antes posible.

La empresa sugiere a los usuarios ser cuidadosos al abrir documentos recibidos de fuentes desconocidas o no confiables. Para el caso de los usuarios de Office 365, la empresa dice estar monitoreando y actualizando continuamente la plataforma con el fin de proteger contra amenazas como WannaCrypt.

Tomado de: Diario TI