Detectar ataques phishing

En 2016 se registraron una serie de ataques de phishing, incluyendo correos electrónicos de phishing, que se calcula fueron enviados a 100 millones de usuarios, lo que llevó a los usuarios a una página que servía al ramsomware Locky . Tambien los ataques phishing les han tocados a servicios populares como Netflix, cuyos usuarios fueron el blanco de ataque phishing diseñados para robar contraseñas y otras credenciales.

Cómo identificar ataques típicos de suplantación de identidad

Dada la continuidad e insistencia de los ataques de phishing, es importante saber como se ve un intento de phishing real. Los ciberdelincuentes tratan de hacer que sus ataques parezcan lo más legítimos posible, pero siempre hay indicadores que pueden usarse para identificar la autenticidad de un mensaje. Aquí hay algunos ejemplos de intentos de phishing reales dirigidos a usuarios de algunas de las marcas más conocidas del mundo para ilustrar lo que hay que buscar.

PayPal es el servicio de pagos en línea más popular del mundo, con millones de dólares de pagos que se procesan diariamente. También está vinculado a credenciales de tarjetas de crédito y cuentas bancarias, lo que lo convierte en un objetivo sumamente goloso para los ciberdelincuentes.

Mensaje de actualización de PayPal con su contraparte de phishing

Los ciberdelincuentes recurrirán a menudo al uso de un tono alarmista para presionar a las víctimas potenciales para que hagan clic en enlaces o descarguen archivos. Comparando el correo electrónico legítimo con el falso, el primero contiene un mensaje directo que menciona cambios en las actualizaciones de la política, mientras que el último trata de asustar a los clientes de PayPal para dar su información privada amenazando con restringir sus cuentas. El correo electrónico real de PayPal también recibe a los clientes con su nombre y apellido, mientras que el correo electrónico de phishing sólo contiene un número de miembro, lo cual es sospechoso, ya que PayPal utiliza correos electrónicos para identificaciones únicas.

Además, una rápida mirada al correo electrónico de phishing muestra imágenes que no se han cargado correctamente. Como medida de precaución, algunos clientes de correo electrónico bloquean las imágenes de forma predeterminada o señalan correos electrónicos basados ​​en HTML de fuentes desconocidas como spam. Muchas compañías utilizan  Multi-part MIME (Multipurpose Internet Mail Extensions) como una forma de agrupar las versiones HTML y plan-text de un correo electrónico . Los ciberdelincuentes generalmente no se molestan con este paso, por lo que los usuarios deben tener cuidado con los correos electrónicos y los mensajes que no se cargan o no se formatean correctamente.

Apple se ha ganado una reputación como uno de los nombres más confiables en la industria de electrónica de consumo debido a su percepción como una marca intrínsecamente confiable y segura. Sin embargo, la ubicuidad de sus productos y servicios ha convertido a sus usuarios en víctimas frecuentes de ataques de phishing .

Advertencia de ID de Apple con un intento de phishing

En este intento de phishing, la alarma más notable es que el asunto del correo electrónico carece de sentido. El correo electrónico de advertencia real de Apple tiene una línea de asunto concisa que indica exactamente de qué se trata el correo electrónico mientras que la línea de asunto del correo electrónico de phishing es vaga y contiene charlatanería. Otra diferencia es el saludo. En lugar de un saludo personal que menciona un nombre o un correo electrónico de cuenta, el mensaje de phishing ni siquiera contiene ninguna referencia al destinatario. También es señalable el nombre de dominio engañoso que engaña al cliente de Apple mediante el uso de un dominio que contiene las palabras "soporte". Sin embargo, le falta el dominio apple.com que la empresa utiliza en sus correos electrónicos. La mayoría de las organizaciones, especialmente las grandes, tienen marcas consistentes en todas sus direcciones URL y direcciones de correo electrónico, por lo que es probable que un correo electrónico que utilice un nombre de dominio distinto del oficial sea un intento de phishing.

LinkedIn es utilizado por las personas como una forma de establecer contactos y mantenerse en contacto con otros profesionales, lo que lo convierte en un enfoque principal para los ciberdelincuentes que buscan robar información personal de los millones de empleados que utilizan el sitio web de medios sociales.

Correo electrónico de confirmación de LinkedIn legítimo con un correo electrónico de phishing

Antes de entrar en el contenido real del mensaje, los usuarios deben primero considerar por qué recibieron un correo electrónico de confirmación en primer lugar. La mayoría de las empresas sólo enviarán correos electrónicos de confirmación para los nuevos solicitantes de registro o clientes que cambien algo en su configuración. Las personas no solicitadas deben ser consideradas como altamente sospechosas.

El ejemplo que se muestra aquí es una comparación de un correo electrónico de confirmación de LinkedIn real con un intento de phishing que intenta imitar el legítimo. El remitente hizo un buen trabajo copiando el logotipo y el texto del correo electrónico real. Sin embargo, los dos indicadores principales de que se trata de un intento de phishing son la identidad del remitente: el correo electrónico de LinkedIn contiene el dominio del sitio web, mientras que el correo electrónico de phishing utiliza un dominio diferente. El otro indicador de alarma es el destino del enlace incrustado. El correo electrónico legítimo conduce a una página de LinkedIn, mientras que el correo electrónico de phishing conduce a un sitio web "phishy". Los usuarios deben tener en cuenta que no es necesario hacer clic en un vínculo para comprobar dónde conduce ya que moviendo el cursor del ratón sobre la URL también mostrará el destino del enlace. 

Sugerencias para mitigar los ataques de phishing

Estas son algunas recomendaciones para ayudar a proteger a los usuarios de ser víctimas de phishing.

• Los usuarios deben ser siempre cautelosos de las personas u organizaciones que piden información personal. La mayoría de las empresas no pedirán datos confidenciales de sus clientes. En caso de duda, los usuarios deben verificar con la propia empresa para evitar posibles problemas.
• Los usuarios deben mirar detenidamente el nombre visible del remitente para comprobar la legitimidad de un correo electrónico. La mayoría de las empresas utilizan un solo dominio para sus URL y correos electrónicos, por lo que un mensaje que se origina en un dominio diferente es una señal de alarma.
• Como regla general, los usuarios no deben hacer clic en vínculos o descargar archivos aunque provengan de fuentes aparentemente "confiables".
• Compruebe si hay URL que no coincidan. Mientras que una URL incrustada puede parecer perfectamente válida, pasando el ratón por encima de ella puede mostrar una dirección web diferente. De hecho, los usuarios deben evitar hacer clic en enlaces en mensajes de correo electrónico a menos que estén seguros de que es un enlace legítimo.
• Los usuarios deben estar siempre atentos a los errores gramaticales y ortográficos. Las empresas legítimas suelen emplear correctoras y editores que se aseguran de que los materiales que envían están libres de errores.
• Los usuarios no deben asustarse o intimidarse con mensajes que tienen un tono alarmista. Deben verificar con la compañía si no están seguros sobre el estado de sus cuentas.
• Los correos electrónicos de phishing están diseñados para ser enviados a una gran cantidad de personas, por lo que deben ser tan impersonales como sea posible. Los usuarios deben comprobar si el mensaje contiene un tema genérico y un saludo, ya que esto puede ser un signo de un intento de phishing.
• Aunque no todos los usuarios finales tienen acceso a un software anti-phishing avanzado, todavía pueden usar la protección integrada de sus clientes de correo electrónico para filtrar mensajes. Una manera es configurar el cliente de correo electrónico para bloquear todas las imágenes a menos que se apruebe.
• Las empresas legítimas nunca enviarán correos electrónicos de confirmación a menos que haya razones específicas para hacerlo. De hecho, la mayoría de las compañías evitarán el envío de mensajes no solicitados a menos que sea para actualizaciones de la compañía, boletines o propósitos publicitarios.
• Los usuarios deben tener siempre en cuenta el contexto de un correo electrónico o mensaje. Por ejemplo, la mayoría de las cuentas en línea eliminan los números de miembros visibles, por lo que los usuarios deben tener cuidado si reciben correos electrónicos que contienen un "número de miembro" para servicios que generalmente no los utilizan.
• Es importante tomar nota de la información inusual en el texto del mensaje. Cualquier mención de sistemas operativos y software que no son típicamente utilizados por los consumidores a menudo pueden ser indicadores de un intento de phishing.
• Si parece sospechoso, probablemente lo sea. Los usuarios siempre deben dirigirse hacia el lado de la precaución cuando se trata de enviar información personalmente identificable a través de mensajes y correos electrónicos.

Publicado en Delito cibernético y amenazas digitales

Por favor, comparta este artículo sus amigos y familiares para mantenerlos a salvo. 

5 maneras fáciles de asegurar su red Wi-Fi

Es imposible, sobre todo en 2017, pensar que alguna vez habrá una ciberseguridad completa. Pero incluso para los técnicamente no iniciados, hay maneras de tapar las fugas más obvias. 

Una de ellas es mantener segura su red Wi-Fi doméstica. 

Si su red Wi-Fi está comprometida, los hackers podrán ver su historial de Internet, ver todos los datos que cargue y descargue desde su ordenador y enviar mensajes suplantándolos desde su ordenador. También puede controlar lo que ve, lo que significa que puede redirigirle a una página web de aspecto oficial que robará su nombre de usuario, contraseña y otra información que se puede utilizar en su contra.

Los días de tener una sola contraseña han terminado. 

Aquí hay 5 maneras fáciles de asegurar su red Wi-Fi.

1. Cambiar el nombre de su Wi-Fi

La mayoría de la gente deja los routers con sus nombres de fábrica - "linksys", "cisco", etc. Esto da a los hackers la identidad del fabricante del enrutador, que se puede usar para lanzar ataques específicos basados ​​en las vulnerabilidades conocidas de la máquina .

Puede probarlo usted mismo entrando en ADSLayuda, introduzca la marca de su router y el modelo.... vera que desagradable sorpresa se lleva si no ha cambiado lo que viene de fabrica.

Llamarlo con tu nombre como "La red doméstica de Teo" tampoco es bueno, cualquier información personal te identifica tontamente entre las otras redes Wi-Fi que te rodean. Es como sacar una mano y decir: "¡Soy Teo! Hackeame! "Es mejor hacer el nombre algo oscuro, si realmente está tratando de deshacerse de un cybercriminal, que sea el nombre de otra empresa de router ...

2. Desactive la conexión Wi-Fi cuando está ausente

Si un hacker está al alcance de su Wi-Fi, pueden probar todo tipo de trucos para entrar en su red. Esto puede sonar paranoico, pero cuando estás de vacaciones, no podrás ver quién se detiene cerca de tu casa o apartamento con un ordenador, así que es una buena idea apagar tu Wi-Fi cuando no estás en casa durante largos períodos de tiempo. Por cierto, en la era digital, esta es la única manera a toda prueba de no ser hackeado: desactivar todos los dispositivos.

Aqui les dejamos un video para que se den cuenta de lo sumamente sencillo que puede ser hackear una Wi-Fi.

3. Cifrar su red

Hay algunos métodos de cifrado diferentes para enrutadores inalámbricos, incluyendo WEP, WPA y WPA2. WEP es el más básico y por lo tanto el más fácil de hackear, mientras que WPA2 es más nuevo y más cifrado. Si tiene un enrutador fabricado pasado 2006, entonces use WPA2. Para ello, abra la configuración de seguridad en la página de configuración de su enrutador. Ponga en la barra de navegación 192.168.0.1 ó 192.168.1.1 y le saldrá la solicitud de usuario y contraseña.Debe encontrar una opción para seleccionar WPA2 y crear una contraseña junto con esto. Hacer la contraseña tan difícil de averiguar como sea posible con una mezcla de letras, nombres, números y caracteres especiales.

4. Deshabilitar acceso remoto

Sorprendentemente, algunos enrutadores permiten que los dispositivos no conectados a la red Wi-Fi accedan a la interfaz. Esto se denomina "acceso remoto" y debe desactivarlo. Cada enrutador es diferente, pero en algún lugar de su interfaz web debe encontrar una opción para desactivar la "administración remota" o "acceso remoto". Esta es una manera rápida y sencilla de mejorar inmediatamente la seguridad de su Wi-Fi.

Video explicación del acceso remoto 

5. Reduzca el alcance de su señal

Si un hacker no puede llegar al alcance de su señal, y el acceso remoto está apagado, hay muy poco que puedan hacer para causarle problemas. Hay un par de maneras en las que puedes confinar la señal, si vives en un complejo de apartamentos: puedes disminuir el rango de señal cambiando el modo de tu enrutador a 802.11g en lugar de 802.11b o 802.11n por defecto. Puede colocar el enrutador debajo de una mesa, dentro de una pequeña caja, o encerrarla en papel de aluminio. Incluso hay un efecto especial de pintura de bloqueo de Wi-Fi que absorbe las señales y mantiene todas las conexiones Wi-Fi dentro de la habitación. 

Por favor, comparta este artículo sus amigos y familiares para mantenerlos a salvo.

Top 10 amenazas ciberneticas actuales

Intel Security ha presentado una plataforma donde se pueden visualizar cuáles son las principales amenazas cibernéticas del momento. Reúne kits de programas maliciosos, ramsomware, vulnerabilidades y campañas orquestadas por cibercriminales.

La plataforma está pensada para ingenieros y administradores de sistemas que deseen mantenerse actualizados en temas de seguridad informática. Para acceder, diríjase a: https://tld.mcafee.com/index.html

Al ingresar a cada amenaza, se despliega un indicador que señala cuál es su grado de riesgo en una escala de va desde uno hasta diez. También se indica cuánta atención han prestado los medios a una vulnerabilidad o campaña cibercriminal específica. Este puntaje se determina haciendo monitoreo de redes sociales y de medios.

Al hacer clic en cada amenaza, se despliega información relacionada con su historia y su relación con otros elementos del universo cibercriminal.

Este es un resumen de las diez amenazas más relevantes del momento, según Intel Security:

1. Vulnerabilidad en el intérprete de JavaScript Chakra usado en Microsoft Edge. Permite la ejecución de código de forma remota o causar denegación de servicio (corrupción de memoria) a través de un sitio web.

2. Ransomware Cerber. Después de cifrar los datos del usuario, este código malicioso reproduce un archivo de audio pidiendo dinero a cambio de brindar la llave de acceso a los archivos comprometidos. Dentro de las víctimas identificadas están los usuarios de Office 365.

3. Ransomware Locky. Ataca a todos los usuarios de Windows, menos aquellos que tengan su sistema operativo en ruso. Este programa malicioso cifra información tanto de discos duros locales como remotos.

4. Ransomware Satan. Opera como ransomware-as-a-service (ransomware como servicio). Existe una página web en la web oscura donde los cibercriminales pueden pagar una cuota para usar esta pieza de código malicioso contra potenciales víctimas. El creador del servicio pide que se le pague el 30 por ciento de los rescates obtenidos por medio de la herramienta.

5. Vulnerabilidad en Flash Player. Los reproductores de Flash con versiones anteriores a la 18.0.0.366 o previas a la 22.0.0.209 en Windows y OS X o las anteriores a la 11.2.202.632 en Linux permiten que los atacantes ejecuten código de forma arbitraria o causen una denegación de servicio.

6. Otra vulnerabilidad en el intérprete de JavaScript Chakra usado en Microsoft Edge. Permite la ejecución de código de forma remota o causar denegación de servicio (corrupción de memoria) a través de un sitio web.

7. Kit de programas maliciosos RIG. Estos son paquetes de código que buscan vulnerabilidades en el dispositivo de la víctima. Este kit en particular suele propagarse a través de anuncios publicitarios desplegados en ciertas páginas web infectadas.

8. Kit de programas maliciosos Neutrino. Este kit suele propagarse a través de anuncios publicitarios desplegados en ciertas páginas web infectadas. Instala diferentes tipos de programas maliciosos en el dispositivo afectado.

9. Campaña Shamoon 2. Operación que apuntó a objetivos en Arabia Saudita. Los programas maliciosos utilizados borraban la información de los discos duros del computador infectado. Los ataques empezaron en noviembre 17 de 2016.

10. Campaña Methbot. Operación para obtener ingresos fraudulentos a través del ecosistema de publicidad digital. Los cibercriminales diseñaron 'robots' que imitan el comportamiento humano y aumentan las vistas de ciertos productos de carácter virtual, en particular videos 'premium'.

Detección y protección ante drones DroneTracker

Detección y protección ante drones DroneTracker 

DroneTracker de Dedrone creó una posibilidad para aumentar la seguridad del drone y ofrece un sistema de detección de drones en todo el mundo.

Si usted está seriamente pensando en tener alguna protección ante el voyeurismo de los Drone, no hay ningún sistema mejor que el DroneTracker. 

Después de dos años de exhaustiva investigación en la sección de Drones, la solución sólo plausible a cualquier cosa relacionada con aviones teledirigidos sería un sistema de gestión de drone portátil que no sólo detecta sino que crea un escudo de drones para evitar que cualquier artilugio volador entre en el espacio aéreo. 
Dedrone, la empresa alemana, tiene un dispositivo de prueba de fallos que es totalmente hostil a casi todos. 

Para unos, es un proveedor de una amplia gama de sistemas portátiles de drones que están diseñados para proteger las sedes de eventos. Así que si tienes una carrera de formula uno cerca, se establecería una forma para que nadie puediera enviar un drone volando por  el aire para robar la cobertura en vivo por medio de la camara GoPro del drone y el uso de Periscope. 

El problema con esta solución es que es total. 

Bloquea todas las frecuencias de GPS, GLONASS, Galileo, WLAN 2. 4 GHz y de 5000-6000 MHz. 

Esto significa si alguna vez intentaste jugar a Pokemon Go durante un partido del Bayern de Munich en el descanso, es probable que el dispositivo móvil no sea capaz de detectar cualquier señal GPS para saber si había un Snorlax entre medio de la multitud.


El rastreador de drones sería más útil para prisiones como Guantanamo.

Y como la función de interferencia que es aún más atractiva, sigue siendo ilegal en los EE.UU. (no se puede inhibir una frecuencia de radio sin la aprobación explícita de la FCC). 

Así que esto significa que usted puede poseer el sistema de detección que le dice que hay drones cerca, pero no le permitirá desactivarlo a menos que tengas un arma de francotirador del calibre 50. Debe ser la forma que prefieren los Estado Unidenses, de paso que fulmino el dron lo hago con todo el ruido y alboroto que pueda....
Viendo este panorama DeDrone no tiene mucho que hacer, a menos que seas el gobernante del país en el que naciste y seas tu quien dicta las políticas para que se adapte a tus propias fantasías como lo hacen los Kim en Corea del Norte.

Spora ramsomware con atención al cliente y tienda online

Una nueva familia de ransomware a llegado hoy a los usuarios, llamado Spora. 

Las características más notables de este nuevo ransomware son su sólida rutina de cifrado, su capacidad para trabajar sin conexión y un sitio de pago de rescate muy bien organizado.

Las primeras infecciones con Spora ransomware fueron detectadas en los foros de Bleeping Computer y Kaspersky . 

Spora distribuido a través de spam

Spora se distribuye a través de correos electrónicos de spam que pretenden ser facturas. Estos correos electrónicos vienen con archivos adjuntos en forma de archivos ZIP que contienen archivos HTA.

Correo electrónico de spam de Spora

Estos archivos HTA (aplicación HTML) utilizan una extensión doble, como PDF.HTA o DOC.HTA. En los equipos con Windows donde la extensión de archivo está oculta, los usuarios ven sólo la primera extensión y podrían engañarse y abrir el archivo. Al iniciar cualquiera de estos archivos se inicia el proceso de ransomware de Spora.

Cuando un usuario ejecuta el archivo HTA, extraerá un archivo de Javascript denominado close.js en la carpeta% Temp%, que extrae un archivo ejecutable a la misma carpeta y lo ejecuta. Este ejecutable utiliza un nombre generado al azar, es el encriptor principal y comenzará a cifrar los archivos en el equipo.

Además, el archivo HTA extraerá y ejecutará un archivo DOCX. el cual está dañado y mostrará un error, con el fin de engañar a los usuarios para que piensen que el archivo se ha dañado durante la transferencia de correo electrónico o la operación de descarga para no alertarlos.

Spora funciona sin conexión y no genera tráfico de red a los servidores en línea.

El proceso de cifrado tiene como objetivo archivos locales y recursos compartidos de red, y no agrega ninguna extensión de archivo adicional al final de los archivos, dejando intactos los nombres de archivo.

Para evitar dañar las computadoras hasta el punto en que impide los procedimientos normales de arranque y otras operaciones, Spora omite los archivos ubicados de forma predeterminada, no cifrará archivos en carpetas que contengan las siguientes cadenas en sus nombres:

games program files (x86) program files windows

Cifrado de primera categoría

Según Fabian Wosar, CTO y investigador de malware de Emisoft , Spora no parece contener ninguna debilidad en su rutina de cifrado.Spora ejecuta una complicada rutina  para la creación del archivo .KEY y para la creación de la clave de cifrado utilizada para bloquear cada archivo.

Wosar explicó la rutina para la creación del archivo .KEY: 

"Generar clave RSA, generar clave AES, cifrar clave RSA usando clave AES, cifrar clave AES utilizando clave pública incrustada en ejecutable, guardar ambas claves cifradas en [.KEY ] archivo."

Para los archivos de datos del usuario, la rutina de cifrado es más simple y más rápida:

"Generar clave AES, cifrar la clave AES con la clave RSA generada, cifrar el archivo con la clave AES, guardar todo para archivar", dijo Wosar.

"Para descifrar, tienes que enviarles tu archivo .KEY", agregó el experto. "Ellos pueden usar su clave privada para descifrar la clave AES usada para cifrar la clave RSA generada de su sistema y descifrarla.Ellos probablemente incorporan la clave RSA en su decrypter entonces, y le devuelven el decrypter.El decrypter puede entonces utilizar esa clave RSA para descifrar las claves AES incrustadas en los archivos y descifrarlos con él. " 

Emsisoft ha publicado en su blog detallada la rutina de cifrado con más detalle

Una vez finalizado el proceso de cifrado, el ransomware agregará una nota de rescate y el archivo .KEY al escritorio del usuario y otras carpetas.

Spora ransom note [Versión en ruso]

Esta nota de rescate contiene instrucciones sencillas y una identificación de infección, específica para cada víctima. 

El ID de la infección tiene el formato CCCXX-XXXXX-XXXXX-XXXXX-XXXXX o CCXXX-XXXXX-XXXXX-XXXXX-XXXXX, donde CCC y CC son códigos de país de tres y dos letras y X son caracteres alfanuméricos.

Servicio de descifrado con atencion al cliente y tienda en linea profesional

El grupo Spora está utilizando al menos diez URLs para su servicio de descifrado.

Una vez que los usuarios accedan a este sitio, deben ingresar el ID de infección presentadoaen su nota de rescate. Éste es su ID de inicio de sesión para el servicio de desencriptación de Spora.

El servicio de descifrado de Spora es algo totalmente nuevo e impresionante. Antes de usar el sitio, los usuarios tienen que "sincronizar" su computadora con el portal de descifrado cargando el archivo .KEY.

Al sincronizar el archivo de claves, la información única sobre el cifrado de su computadora se carga en el sitio de pago y se asocia con su ID único. Las víctimas pueden ahora usar el resto de las opciones disponibles en el sitio. 

Todo en el portal está bien organizado como un panel de escritorio, con sugerencias útiles que aparecen cuando se pasa sobre ciertas opciones.

También son únicos para el ransomware son diferentes las compras que se pueden hacer en función de las necesidades particulares de cada víctima. Estas opciones, organizadas bajo una sección llamada " MyPurchasings ", permiten a los usuarios:

• Descifrar sus archivos (actualmente $ 79)
• Compre inmunidad contra futuras infecciones por Spora (actualmente $ 50)
• Eliminar todos los archivos relacionados con Spora después de pagar el rescate (actualmente $ 20)
• Restaurar un archivo (actualmente $ 30)
• Restaurar 2 archivos gratis

Esta configuración recuerda la sección de pago de un sitio de comercio electrónico, con diferentes opciones de pago para cada usuario. 

Spora sólo acepta pagos en Bitcoin. Los usuarios cargan Bitcoin en su cuenta Spora, que luego pueden utilizar para comprar.

Según Emisoft, Spora utiliza un modelo de seis niveles para organizar los tipos de archivos cifrados en diferentes categorías. La información estadística sobre cada categoría se incrusta en el archivo .KEY y el propio ID de la infección. Cuando las víctimas cargan este archivo y lo sincronizan con el portal de descifrado, el servicio Spora muestra un precio diferente basado en la cantidad y el tipo de datos cifrados en la máquina de la víctima.

Esto permite a los desarrolladores cargar mucho más para las computadoras de negocios que para un PC casero. 

El portal de descifrado también incluye un chat que permite a las víctimas enviar hasta cinco mensajes. Según MalwareHunterTeam, este servicio de soporte está dirigido por personas con experiencia.

Según MalwareHunterTeam, un investigador de seguridad que ayuda a ejecutar ID-Ransomware , un servicio para identificar el tipo de ransomware que ha infectado equipos, todos los envíos de Spora a ID-Ransomware hoy provienen de usuarios en Rusia.

Spora parece ser un ransomware profesional creado por un equipo con experiencia previa en distribución de ransomware.

Spora parece ser una familia de ransomware avanzada y bien administrada  y pronto podremos ver a sus operadores expandirse de Rusia a otros países.

Por favor, comparta este artículo sus amigos y familiares para mantenerlos a salvo.

ISIS Y KURDOS eligen Europa como zona de guerra cibernética

Los hackers islámicos vinculados a Isis llevaron a cabo un ataque cibernético contra una serie de sitios web del NHS  (national health service) exponiendo graves fallas en los sistemas de seguridad destinados a proteger la información sensible.

Imágenes gráficas y brutales de violencia de la guerra de Siria fueron colocadas en los sitios por un grupo basado en el norte de África que declaró que estaba llevando a cabo el ataque en represalia por la agresión de Occidente en el Medio Oriente.

Los seis sitios web golpeados por el grupo llamado el equipo tunecino Fallaga hace tres semanas van desde los que se ocupan de la puericultura hasta la financiación, con los dos sitios particularmente gravemente dañados.

Se cree que los datos de los pacientes eran vulnerables en los ataques, pero los controles iniciales no indican que ninguno haya sido comprometido. No hay ninguna sugerencia que indique que la seguridad del paciente haya estado en riesgo.

El ataque se produce después de que un gobierno advirtiera que el NHS se enfrentaba a un serio riesgo de ataques cibernéticos siendo actualmente una amenaza clara y presente.

Ben Gummer, Ministro de la Oficina del Gabinete, destacó que "grandes cantidades de datos sensibles" en poder del NHS y del Gobierno están siendo atacados por hackers.

El grupo tunecino, junto con otros dos grupos, Global Islamic Caliphate and Team System DZ, todos conectados con Isis, llevan a cabo operaciones coordinadas.

Además de las compañías aéreas y de medios de comunicación, los grupos habían entrado en las cuentas de Twitter y YouTube del US Central Command's  y habían publicado datos personales de militares retirados de Estados Unidos.

El grupo tunecino había llevado a cabo ciberataques en varios países en los últimos 18 meses, haciéndose particularmente activo después de los asesinatos de Charlie Hebdo en París, centrándose en organizaciones que condenaban los asesinatos de los periodistas.

En noviembre de 2015, mostró su alcance en el Reino Unido con la infección de un sitio web de escuela judía en el norte de Londres.

Más imágenes mostraron escenas de la guerra civil siria

Imágenes impactantes muestran Alepo antes y después del conflicto

Un portavoz de Trust dijo: "Estamos investigado este asunto y hemos dejado un número de unidades fuera de línea como una medida de precaución.

"Hemos probado y probado planes de contingencia y estamos haciendo todo lo posible para asegurar que la atención al paciente no se vea afectada".

Khaled Fattal, jefe del Grupo MLi, especializado en inteligencia y seguridad de amenazas cibernéticas, dijo: "Lo que sucedió con los sitios del NHS muestra lo vulnerable que algunas instituciones continúan siendo".

"Tenemos dos tipos de estos ataques, criminales y políticos, impulsados ​​respectivamente por motivos de utilidad e ideología".

"Los ataques cibernéticos políticos, que se llaman policyber, pueden ser organizados por un grupo terrorista, o inspirados por ellos, con individuos o pequeños grupos que luego realizan los ataques: muy parecidos a actos físicos de terrorismo"

"No creemos que estos ataques en el NHS sean actos al azar. Parecen estar deliberadamente dirigidos a una institución pública británica y en particular a una institución que se ocupa de algo que afecta a todos los ciudadanos, su salud. Por supuesto, esto es muy preocupante ".

Robert Emerson, analista de seguridad, añadió: "La amenaza cibernética del NHS será percibida como psicológicamente más seria que una amenaza puramente comercial. El Gobierno ha reconocido que el NHS y otros organismos públicos están bajo amenaza, ahora es cuestión de tomar la contra-acción apropiada ".

Se ha puesto en marcha un programa de formación para estudiantes con prácticas en empresas de seguridad y departamentos de Whitehall, así como la posibilidad de trabajar en el GCHQ, con un objetivo de que lleguen a 1.000 los cualificados para 2020.

Y el día 7 de febrero ha llegado el contraataque:

Cyber-ataque deja mensaje anti ISIS 

Los hackers se hicieron cargo de un sitio web del NHS para mostrar un mensaje político en una serie de ataques cibernéticos a través de las Midlands.

La página de inicio de NHS Trust mostró el domingo una pantalla que decía "hackeado por MuhmadEmad Long Live para peshmarga".

Peshmarga son combatientes kurdos en el norte de Irak, luchando contra el llamado Estado Islámico.

El hack fue reportado en el Express & Star , que dijo que dos escuelas, un pub y un sitio web de vacaciones habían sido hackeados para mostrar el mismo mensaje.

Dan Howard, jefe de inteligencia de negocios e IM & T, dijo en una declaración que "una vulnerabilidad fue explotada en un sitio web basado en WordPress alojado en nuestro nombre por TeraFirma, nuestro proveedor de servicios de TI".

Dijo que sólo una "pequeña porción" del sitio web fue cambiado. Los hackers no infringieron daños en la infraestructura de IT subyacente para introducir ningún código malicioso.

"El sitio web no contenía información del paciente y no se produjo ninguna violación de datos".

El mensaje fue retirado el mismo día, dijo Howard. 

Según los informes locales, otros sitios web de ataque también fueron alojados en WordPress.

Los líderes del NHS están cada vez más preocupados por la ciberseguridad después de varios ataques de alto perfil en los últimos seis meses.