¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (66)
  • añadir a favoritos
    Añadir a marcadores

Quién tiene la culpa y qué hacer

Consultas: 173 Comentarios: 12 Ranking: 14

Muchos “problemas eternos”, así mismo, de la seguridad informática, a veces resultan no ser tan complicados, si uno sigue las reglas básicas de protección de siempre: usar solo el software legal, actualizar todos los programas de forma oportuna, si es posible, no usar los equipos obsoletos ni el software no soportado por el desarrollador, instalar un antivirus y actualizarlo con regularidad, realizar escaneos antivirus diarios, no trabajar con permisos de administrador, no seguir los enlaces en mensajes de correo sospechosos, hacer backups regulares, usar las tecnologías de protección preventiva contra las amenazas aún desconocidas etc. Pero a veces aparecen noticias que nos hacen vacilar.

Jeanette Manfra, Presidente de la Agencia de ciberseguridad y seguridad de la infraestructura que forma parte del Ministerio de seguridad interior de EE.UU. cree que nadie podrá parar otra ola global más de ataques como WannaCry.

Según ella, la peculiaridad del ataque del año 2017 (WannaCry) es la velocidad increíble de difusión del programa nocivo.

«No sé si vamos a ser capaces de prevenir una epidemia similar. En este caso, afrontamos un gusano informático. Me parece que los delincuentes ni siquiera esperaban que esta ciberoperación fuera tan importante,– declaró la Directora Adjunta de CISA.

Fuente

WannaCry no era un virus horrible. Se difundía (y sus clones siguen difundiéndose) a través de una vulnerabilidad donde no había parche en el momento inicial de la epidemia y que sigue siendo ignorada hasta hoy día. El análisis de Trojan.Encoder.11432 (también llamado – WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY y WNCRY) realizado por los expertos de la empresa Doctor Web demostró que las características del mismo son:

  • No se puede volver a cifrar,
  • No hay medios para no ser detectado por los programas antivirus,
  • Un sistema débil de conexión con servidores de control.

Por ejemplo, aquí tenemos un virus más “avanzado”:

Trojan.EternalRocks.1 usa siete exploits de la Agencia Nacional de Seguridad a la vez– EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch y SMBtouch y, al igual que WannaCry, penetra a través de los puertos abiertos 445.

Para engañar a los sistemas de protección, se camufla por WannaCry, pero así mismo no carga en el sistema atacado ningún software de extorsión.

Para conectarse al servidor C&C, EternalRocks usa Tor.

A diferencia de WannaCry, en el código no hay dirección fija del dominio que permita desactivarlo.

En el sistema infectado, EternalRocks obtiene los permisos de administrador, y, hasta si luego en el SO se instala una actualización que corrige la vulnerabilidad, el gusano sigue actuando.

Fuente

WannaCry no se difunde tan rápidamente. Hubo epidemias mucho más importantes (aunque menos devastadores), por ejemplo, Adylkuzz:

Aunque WannaCry fue famoso, un virus miner Adylkuzz “tranquilo” fue considerado más importante: usó modos similares de difusión e infección de equipos en Windows.

Fuente 1, 2

Y también un troyano UIWIX:

A diferencia de WannaCry, Trojan.Encoder.11536 (UIWIX) no usa archivos, una vez explotada la vulnerabilidad, el mismo se ejecuta en la memoria.

UIWIX es mucho menos visible que WannaCry. Durante el ataque no se guarda ningún archivo/componente en la unidad del equipo, lo cual dificulta la detección del software nocivo.

Al verse en una máquina virtual o en un sandbox, se autodestruye.

En su código no hay dirección del dominio fija que permita desactivar la función de cifrado de archivos.

Fuente 1, 2

Lo más interesante es que estos gusanos hayan sido una sorpresa para los investigadores.

Durante la investigación los chicos conectaron a Internet un equipo vulnerable a EternalBlue y esperaban que el mismo se infectara con WannaCry. Pero fueron bastante asombrados: el equipo se infectó con otro virus miner inesperado Adylkuzz. Los chicos repitieron la operación de conexión del equipo limpio a Internet varias veces, el resultado siempre ha sido el mismo: unos 20 más tarde, el equipo se infectaba con el virus Adylkuzz y se conectaba a su botnet.

Fuente 1, 2

En realidad, para la protección contra la mayoría de las amenazas se recomienda instalar las actualizaciones, no permitir a los usuarios instalar el software nuevo y prohibirles el trabajo con permisos de administradores del sistema. Pero todas estas reglas se infringen. Y se infringen en grandes empresas donde la actualización es un proceso largo y es posible dañar algo en algún servicio.

Una vez instalada la actualización acumulativa para Windows 10, el hipervisor VMware Workstationno se inicia.

En la discusión del problema en el sitio web de Microsoft los usuarios se quejan de que la actualización de sus licencias en 100 VMware Workstation costará €11,5 mil.

Fuente

La instalación de actualizaciones requiere un segmento especial de prueba de la red donde se comprobarán todos los escenarios del funcionamiento típico de servicios y de trabajo de usuarios después de instalar la actualización. Las actualizaciones deben ser instaladas solo una vez realizadas estas pruebas. Esto lleva mucho tiempo, es caro y debemos confesar que no puede dar ninguna garantía absoulta.

Además, no olvidamos el uso del software obsoleto. Mucha gente sigue usando el software que requiere SMB v1 – con vulnerabilidades a través de las cuales penetraba WannaCry. Y no se puede rechazar esta versión del protocolo de ninguna forma. Por ejemplo, como ya no existe el desarrollador que creó el servicio, nadie sabe cómo funciona todo. O también a veces el hardware ya no se soporta por el productor. Por supuesto, se puede resolver estos problemas, pero es caro.

#vulnerabilidad #exploit #troyano #Trojan.Encoder #Windows #actualizaciones_de_seguridad #contraseña #antivirus #licencia

Dr.Web recomienda

¿Qué hacer si no se puede deshacerse del software obsoleto ni instalar un antivirus en el hardware?

  1. Segmente la red. La parte vulnerable de la red debe ser aislada de otras partes. Los malintencionados no deben salir del segmento aislado.
  2. Use las contraseñas resistentes. Los malintencionados no deben poder averiguarlas para desarrollar un ataque desde las máquinas infectadas. Las contraseñas de servicios externos, el antivirus y otro software deben ser distintas de las contraseñas del sistema operativo.
  3. Instale las actualizaciones siempre que sea posible.
  4. Use la lista blanca de programas permitidos y, si es posible, no permite a los usuarios y servicios usar los permisos de administrador. Los malintencionados no deben poder instalar su software.
  5. Restrinja el acceso a los recursos de red y locales. Las conexiones entrantes deben ser solo de direcciones permitidas.
  6. El antivirus instalado debe ser de versión actual y su licencia debe ser válida.

Reciba los puntos Dr.Web por valorar la edición (1 voto = 1 punto Dr.Web)

Inicie sesión y obtenga 10 puntos Dr.Web por publicar un enlace a la edición en una red social.

[Twitter]

Por causa de restricciones técnicas de Vkontakye y Facebook, lamentamos no poder ofrecerle los puntos Dr.Web. Pero Vd. puede compartir un enlace a esta edición sin obtener los puntos Dr.Web. Es decir, gratis.

Nos importa su opinión

10 puntos Dr.Web por un comentario el día de emisión de la edición, o 1 punto Dr.Web cualquier otro día. Los comentarios se publican automáticamente y se moderan posteriormente. Normas de comentar noticias Doctor Web.

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios