BlackBerry ha obtenido la puntuación más alta en los seis casos de uso del informe de Gartner Capacidades Críticas Para la Gestión de Movilidad de Alta Seguridad

By | noticias, Sin categoría | No Comments

Por segundo año consecutivo, BlackBerry ha obtenido la puntuación más alta en los seis casos de uso del informe de Gartner Capacidades Críticas Para la Gestión de Movilidad de Alta Seguridad

El informe ofrece una orientación para los compradores de TI, especialmente paras los de las empresas de industrias reguladas como servicios financieros, sanidad y energía entre otros, así como las agencias gubernamentales, que requieren una seguridad robusta. Y como la ciberseguridad se ha convertido hoy en día en una discusión a nivel consejo de administración dentro de empresas de todos los sectores, el informe se considera como lectura obligatoria para cualquier empresa donde se valoren los datos y las redes.

De los 15 proveedores evaluados, BlackBerry recibió:

    • La puntuación más alta en Seguridad de grado gubernamental (High-Security Government Grade)
    • Mayor puntuación en alta seguridad comercial (High-Security Commercial)
    • Mayor puntuación en datos compartidos (Shared data)
    • Mayor puntuación en dispositivos compartidos (Shared devices=
    • Mayor puntuación en No-Empleado (non-employee)
    • Mayor puntuación en BYO

BlackBerry también fue posicionado como líder en el Magic Quadrant de Gartner para EMM por segundo año consecutivo. Y también recibimos la puntuación más alta en dos casos de uso en el informe de Gartner 2017 Capacidades críticas para la gestión de la movilidad empresarial para las industrias reguladas y el soporte de dispositivos no administrados.

Con capacidades que van desde industrias reguladas que requieren alta seguridad, hasta empresas con menores necesidades de seguridad móvil que prefieren el enfoque más ligero de Mobile Application Management (MAM), BlackBerry Enterprise Mobility Suite (BEMS) le permite administrar y asegurar una amplia gama de necesidades empresariales.

 

Para obtener más información, descargue el informe completo de Gartner, Capacidades críticas para la gestión de movilidad de alta seguridad, 2017

  • Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

+INFORMACIÓN

http://blogs.blackberry.com/2017/08/blackberry-repeats-as-highest-scorer-in-all-six-out-of-six-use-cases-in-gartners-2017-critical-capabilities-for-high-security-mobility-management-report/

Ante cualquier duda o inquietud no dudes en contactarnos:

Julián Jimenez Yory

jjimenezyory@ransecurity.com

ATENCIÓN! Bad Rabbit lo que necesitas saber y extra.dat para detectarlo

By | noticias, Sin categoría | No Comments

BADRABBIT

¿QUÉ ES BAD RABBIT?

¿Escuchaste de Bad Rabbit?, la nueva cepa de ransomware, se disfrazó como una actualización de Flash, fue detectada por primera vez el 24 de octubre. Hasta la fecha, los sistemas atacados se han limitado principalmente a Rusia y Ucrania. El ransomware es la tercera gran propagación de malware este año: sigue las cepas de código malicioso WannaCry y NotPetya de mayor alcance. Esto es lo que sabemos sobre Bad Rabbit hasta el momento.

El ransomware Bad Rabbit se propaga a través de ataques “drive-by”, en este caso, el malware está disfrazado como un instalador de Adobe Flash. Cuando se abre el archivo de aspecto inocente, comienza a bloquear la computadora infectada. La descarga de Flash se ha instalado en sitios web que usan JavaScript inyectado en los archivos HTML o Java de los sitios web afectados. El malware no se instala automáticamente, lo que significa que se debe hacer clic para que funcione.

Si una persona hace clic en el instalador malicioso (y dado el número de actualizaciones de Flash emitidas, esto es muy probable), su computadora se bloquea. La nota de rescate y la página de pago demandan alrededor de $ 280 en Bitcoin y da un plazo de 40 horas para que se realicen los pagos.

¿A QUIÉN HA GOLPEADO?

La mayoría de los objetivos se encuentran en Rusia y Ucrania, afectando al Metro de Kiev, el aeropuerto de Odessa y principalmente webs de medio de comunicación, también se han presentado casos en Turquía y Alemania.

¿DE DÓNDE VIENE?

El análisis encontró que el ransomware explota el bloque de mensajes del servidor, que también se vio en NotPetya. Malwarebytes concluye que Bad Rabbit es “probablemente preparado por los mismos autores” como NotPetya.

Sin embargo, Bad Rabbit no parece ser tan sofisticado como las otras cepas de ransomware de este año. No explota la vulnerabilidad Eternal Blue de Windows almacenada por la NSA, para lo cual Microsoft ha emitido parches.

 

DETECCIÓN Y RECOMENDACIONES

Nombre del archivo:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da.exe

FlashUtil.exe

 

Tipo de archivo:

El malware inicia una línea de comandos con los siguientes valores:

Cmd /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR “C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 1082924949 && exit”

“/ TN rheagal” se refiere a una cuenta del sistema con el nombre rhaegal utilizado para crear la tarea programada e iniciar el archivo ransomware

El malware utiliza los siguientes comandos para borrar registros de seguridad y eliminar el número de secuencia de actualización (USN) change journal, que se usa para recuperar archivos, por ejemplo:

Cmd /c wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D C:

Actualmente hay tres muestras asociadas con esta campaña de ransomware, que representan el cuentagotas y el ejecutable principal:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

RECOMENDAMOS

+INFORMACIÓN

https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

Ante cualquier duda o inquietud no dudes en contactarnos:

Pablo Renzo

prenzo@ransecurity.com

RAN TOUR 2017

By | Sin categoría | No Comments

RAN TOUR 2017
Buenos Aires, Argentina. Septiembre 2017.
www.ransecurity.com
+Encuentro de profesionales de Seguridad TI + Charlas de primer nivle sobre tendencias de seguridad informática regional y mundial + Networking.

Sponsors: McAfee + Tenable + IBM Argentina + BlackBerry + Centrify + Boldon James + CyberArk + Nexsys Argentina Media Partner: IT Sitio

ATENCIÓN! Intento de estafa mediante un phishing AFIP (ARGENTINA)

By | noticias, Sin categoría | No Comments
ALERTAAFIP

Informamos a todos nuestros clientes que se encuentra activo un intento de estafa mediante un phishing, el cual distribuye un falso e-mail de AFIP (Administración Federal de Ingresos Públicos). Este e-mail contiene un archivo .doc, el cual usa un exploit que afecta la vulnerabilidad CVE 2017-8759 a http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8759

El e-mail pretende ser de la AFIP y viene de un server que la IP asignada a Gualberto Larrauri. El mensaje del e-mail describe el adjunto como un manual para un portal de la AFIP, el mismo es un .zip que contiene un RTF con extensión .doc. Si bien contiene un .doc real, dentro también se encuentra el exploit CVE 2017-8759 que puede infectar y vulnerar una PC con SO Windows.

Una vez abierto el RTF genera una actividad en powershell que descarga un ejecutable malicioso en Windows que además crea persistencia en el registro de Windows.

phshingAFIP1 phshingAFIP2 phshingAFIP3

Cuando se analiza el tráfico se puede ver que hace varias request hacia dos IP

154.16.93.182 y 103.200.22.206

phshingAFIP4

Este tráfico malicioso generado incluye HTTP request para inyecciones de código Javascript, Powershell Script, y ejecutables de Windows por el puerto TCP 8007.

Los hashes son los siguientes:

SHA256 hash:  7bd46284dabf1f400102aa35e123eb2ffe2838560fbc016ba4f2cd376742004c

  • File size:  52,132 bytes
  • File type:  Zip archive
  • File name:  comprasAnexoII.zip
  • File description:  Email attachment

SHA256 hash:  4a07c6f26ac9feadbd78624d4e063dfed54e972772e5ee34c481bdb86c975166

  • File size:  286,981 bytes
  • File type:  Rich Text Format (RTF) file
  • File name:  comprasAnexoII.doc
  • File description:  RTF file with CVE-2017-8759 exploit

SHA256 hash:  610e6611b3b2e3bd85173cba76bf069fb7134b86f533141f79811fcc29d62b33

  • File size:  440,832
  • File type:  PE32 executable
  • File location:  hxxp://classupdate.punkdns.top:8007/txt/words.exe
  • File location:  C:\ProgramData\SystemMicrosoftDefender2.1\[random characters].exe
  • File description:  Follow-up malware, Neurevt.A (Betabot)

 

TRAFICO AL MOMENTO DE LA INFECCIÓN

  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/doc.txt
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/accounts.hta
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/pause.ps1
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/words.exe

TRAFICO POST INFECCION:

  • 103.200.22.206 port 80 – av.bitdefenderesupdate.ru – POST /.av/logout.php
  • 103.200.22.206 port 80 – av.bitdefenderesupdate.ru – POST /.av/logout.php?id=[various numbers

 

RECOMENDACIONES:

Al no contar con el parche para la vulnerabilidad CVE 2017-8759 este ataque podría generar una infección, escalación de privilegios y otros efectos, por lo cual recomendamos:

  • Asegurar la aplicación de cada una de las actualizaciones automáticas de Windows, de lo contrario, actualizar a la última versión disponible del parche manualmente.
  • Mantener actualizados las soluciones de Antivirus y dispositivos Firewall.
  • Sensibilizar a los usuarios para evitar descarga de archivos adjuntos en correos sospechosos
  • Actualizar extra.DAT  en el ePO. Instrucciones para actualizar el extra.DAT https://kc.mcafee.com/corporate/index?page=content&id=KB67602

Ante cualquier duda o inquietud no dudes en contactarnos:

Pablo Renzo
prenzo@ransecurity.com

Nueva versión de CBT-Crytolocker infecta la Web

By | noticias, Sin categoría | No Comments

En los últimos años, hemos visto un aumento de innumerable amenazas de ransomware desde Cryptowall yCTB-Locker hasta Locky, descubierto la semana pasada.

Ahora apareció una nueva variante de CTB-Locker, orientada a infectar sitios web. Esta versión se “apropia” de los sitios web y bloquea el acceso a sus datos, los cuales son descifrados después de hacer un pago de 0,4 a 0,8 Bitcoins. A modo de “prueba de vida”, los administradores del sitio web infectado pueden desbloquear 2 archivos gratis.

Según una sencilla busqueda, se puede confirmar que actualmente ha infectado a cientos de sitios web.

Así funciona la CTB-Locker para sitios web

CTB-Locker sustituye la página principal del sitio (index, default, etc.) y lo reemplaza por un index.php con un mensaje informando que los archivos han sido cifrados y se tiene que abonar un rescate antes de un determinado plazo, después del cual el monto a pagar se duplica. Por ahora parece que el ransomware solo afecta a sitios con tecnología LAMP.

Los sitios web comprometidos muestran el siguiente mensaje:

“Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.”

El mensaje también contiene una guía paso a paso que ayuda a las víctimas para realizar el pago a una dirección Bitcoin determinada e incluso un chat dónde se puede consultar con los delincuentes.

Por ahora se desconoce cómo llega CTB-Locker al servidor afectado, pero basado en el análisis de sitios web cifrados, se supone que son sitios WordPress vulnerables.
Para iniciar el proceso de cifrado, el desarrollador de malware utiliza dos claves AES-256: una de estas claves se utiliza para descifrar los dos archivos de prueba y la otra clave se utilizará para cifrar el resto de los archivos del sitio. Las extensiones a cifrar corresponden a casi cualquier tipo de archivo conocido y se almacenan en: archivo de web_site_document_root]/extensions.txt. También se dejan otros archivos en elwebserver, tales como: index.php, allenc.txt, test.txt, victims.txt, extensions.txt, secret_[site_specific_string].

Según Benkow Wokned, el investigador de seguridad que descubrió esta versión de CTB-Locker, la páginaindex.php utiliza la función jQuery.post() para comunicarse y registrar datos del servidor C&C delransomware.

Fuente: https://blog.segu-info.com.ar/2016/02/nueva-version-de-ctb-locker-infecta.html

Locky, el nuevo ransomware que secuestra tus archivos

By | noticias, Sin categoría | No Comments

Seguro que has oído hablar de Cryptolocker, un tipo de ransomware (software malicioso capaz de cifrar los archivos,a cambio de un rescate por recuperarlos). Incluso puede que hayas sido víctima de éste u otro tipo de ransomware. No es de extrañar, ya que han sido miles las víctimas de este tipo de ataques.

Desde hace algún tiempo son uno de los ciberataques más populares entre los delincuentes informáticos, debido a que les reportan grandes beneficios con relativamente poco esfuerzo. Uno de los últimos en aparecer en escena es el denominado “Locky“, una nueva familia de ransomware que está causando estragos. Si no quieres ser una víctima de este malware, presta atención.

Así funciona Locky

Este tipo de ransomware (al igual que la mayoría de su clase) llega a las potenciales víctimas a través del email. PDFs, imágenes adjuntas… En este caso, el archivo adjunto en un .doc con macros. Simplemente recibiendo el correo electrónico no ocurre nada. Pero, ¿qué pasa si se abre el documento adjunto? Se ejecuta la macro y en ese momento el equipo queda infectado. En ese momento, comienza a borrar las copias de los ficheros realizadas por Windows, y cifra todos los archivos. Una vez que lo ha hecho, crea un documento mediante el bloc de notas llamado “Locky_recover_instructions,txt”. Es decir, lasinstrucciones que el atacante envía a la víctima para que ésta pueda recuperar los archivos cifrados.

En el caso concreto de Locky,  el email desde el que llega el malware es un correo como éste:

locky cryptolocker

En esta ocasión, el ciberdelincuente trata de engañar a sus víctimas con una falsa factura (como vemos, el archivo malicioso adjunto es invoice_J-67870889.doc).

Una vez que el ordenador está infectado, no hay vuelta atrás. Por eso es muy importante aprender adetectar este tipo de amenazas, y nunca abrir o descargar archivos de destinatarios desconocidos. También contar con copias de seguridad en discos externos o la nube nos ahorrará más de un disgusto.

Fuente: https://globbsecurity.com/locky-nuevo-ransomware-37769/
Autora: Monica Valle https://www.linkedin.com/in/cvmonicavalle

Los golpes más duros de los ‘hackers’ en el 2015

By | noticias, Sin categoría | No Comments

2015 pasará a la historia como uno de los años en el que los malos de internet dieron duros golpes y robos digitales. Estos fueron los más sonados del año:

Ashley Madison

El portal para infieles fue atacado por un grupo de hackers que, tras encontrarse con que engañaban y robaban datos a sus clientes,decidió publicar 30 GB de datos de los inscritos, entre estos de sus tarjetas de crédito, teléfonos, direcciones y gustos eróticos.

OPM

La Oficina de Manejo de Personal de los Estados Unidos estuvo infiltrada por hackers chinos más de un año. El golpe, descubierto en 2015, reveló que los datos privados de más de 21 millones de empleados públicos activos y retirados de EE. UU., incluidas sus huellas digitales, solicitudes de seguridad e información personal de sus parejas, cayeron en manos de delincuentes digitales.

LastPass

El servicio y aplicación para la creación y salvaguarda de contraseñas fue vulnerado este año. Básicamente, los delincuentes ingresaron a los servidores del sistema, lo que les dio acceso a las claves maestras que la gente usaba para proteger sus contraseñas bancarias, de correo, redes sociales, etc.

Hacking Team

La empresa de ‘seguridad’ italiana, que provee software de monitoreo y espionaje a gobiernos y fuerzas militares en todo el mundo, fue atacada con éxito por un grupo de hackers que terminó revelando en internet más de 400 GB de información de la empresa,sus clientes, el contenido de correos electrónicos, en fin, un gran golpe para la seguridad nacional de varios países.

El director de la CIA, John Brennan, máximo líder de la agencia de inteligencia estadounidense, vio cómo su formulario SF-86, un formato que reúne los datos más críticos y privados de todo empleado de alto nivel del Gobierno de EE. UU., como los datos de seguridad nacional que maneja, información íntima, etc., cayó en manos de unos jóvenes hackers que descubrieron que lo almacenaba en su cuenta personal de correo de AOL.

IRS

La oficina de impuestos de los Estados Unidos perdió los datos de las declaraciones de unos 300.000 ciudadanos, sobre sus pagos, devoluciones tributarias, etc., con las que los hackers generaron un masivo ataque de robo de identidad y cuentas bancarias de miles de personas, además de las víctimas.

Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/los-golpes-mas-duros-de-los-hackers-en-el-2015/16468775

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764