alertas

Intentan extorsionarte suplantando a la Guardia Civil.

25 enero, 2022 por A. Muñoz

Fecha de publicación: 2022-01-24 13:11:05
Gravedad: alta

Recursos afectados

Cualquier usuario que haya recibido un correo electrónico con características similares y haya respondido.

Descripción

Se ha detectado una campaña de correos electrónicos fraudulentos suplantando la identidad de la Guardia Civil, cuyo objetivo es extorsionar a las víctimas para que contesten al correo recibido y continuar con el fraude. Este engaño se conoce como sextorsión y cualquiera podría ser víctima de él, ya que en realidad no existe ninguna investigación, sino que es el pretexto utilizado para generar preocupación al receptor del correo y que este dé señales de que el buzón está activo.

Solución

Si has recibido un correo de este estilo, no contestes y elimínalo. Nadie va a realizar ninguna investigación e incautación informática.

Leer más

ALERTA: Vulnerabilidad en Apache Log4j 2

15 diciembre, 2021 por A. Muñoz

ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se utilice herramientas Java. Literalmente nos dicen desde el CCN:” Nos consta que esta vulnerabilidad esta operativa en el arsenal de más de 12 grupos de ataque y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.”

Por lo que es interesante revisarlo.

Os dejo contenido el mensaje de la alerta:

Actualización vulnerabilidad en Apache Log4j 2

Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICOEl Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

Revisar si se está usando log4j
- PowerShell
  - https://github.com/crypt0jan/log4j-powershell-checker
  - gci ‘C:\’ -rec -force -include *.jar -ea 0 | foreach {select-string “JndiLookup.class” $_} | select -exp Path
- Linux
  - find / 2>/dev/null -regex “.*.jar” -type f | xargs -I{} grep JndiLookup.class “{}”
- Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.

- Revisar aplicaciones de Java
  - https://github.com/logpresso/CVE-2021-44228-Scanner (Observación: realiza la mitigación de forma automática)
  - https://github.com/hillu/local-log4j-vuln-scanner
  - https://github.com/mergebase/log4j-detector
- JAR file hashes
  - https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
- Class file hashes (2.15.0 no es vulnerable, pero está incluida)
  - https://gist.github.com/olliencc/8be866ae94b6bee107e3755fd1e9bf0d
- JAR and Class hashes
  - https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228
- Escaneo de vulnerabilidad en Go
  - https://github.com/hillu/local-log4j-vuln-scanner
- Conjunto de reglas YARA para la detección de versiones de log4j vulnerables a CVE-2021-44228 by looking for the signature of JndiManager prior to 2.15.0.
  - https://github.com/darkarnium/CVE-2021-44228

Revisar si se ha tenido un aumento de conexiones DNS.
- Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
- Revisar si tiene uno de los siguientes aplicativos:
  https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Revisar en logs los siguientes IOC:
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
https://github.com/Neo23x0/log4shell-detector/
Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema “log4j2.formatMsgNoLookups” en “true” o eliminando la clase JndiLookup del classpath.
En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca log4j-core jar. La eliminación de JndiManager causara que no funcione JndiContextSelector y JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: incidentes@ccn-cert.cni.es

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

X-Api-Version
User-Agent
Referer
X-Druid-Comment
Origin
Location
X-Forwarded-For
Cookie
X-Requested-With
X-Forwarded-Host
Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

Referencias:

Atentamente,

Equipo CCN-CERT

Seguimos con las campañas de phising.

28 julio, 2021 por A. Muñoz

El INCIBE nos avisa sobre los phisings que intentan suplantar a tu banco, os dejo el enlace de la plublicación https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campana-phishing-suplantando-tu-banco-no-piques-el-anzuelo

MicroCLAUDIA software antiransomware, instalatelo si tienes windows.

26 julio, 2021 por A. Muñoz

Desde el área de seguridad informática os animamos a que os instaléis software antiransomware suministrado por el Centro Criptologico Nacional. Asi podremos evitar que nos cifren el disco y perdamos datos. Y si ya te lo han cifrado NO PAGUES nunca. Tened las copias de seguridad al día.

En UGR ya hemos instalado bastantes ordenadores y os dejo imagen del centro de control donde como se ve hay ya 1821 ordenadores con microclaudia instalado. Si deseas instalarlo, aspecto que te aconsejo, mira el mensaje que mando el CCN un poco mas abajo despues del gráfico. Y mucho cuidado con las macros de office, como se ve por aqui han intentado entrar varios ‘bichos’

Mensaje enviado desde el CCN para UGR

"Buenos días,
Para poder desplegar microCLAUDIA en su organismo deberá:

1. Descargar el instalador del agente desde el siguiente enlace:

https://loreto.ccn-cert.cni.es/index.php/s/deUzQEBkGjQObDP

2. Seguir las instrucciones incluidas también en dicho enlace

Para poder proceder a la activación de la solución deberá introducir la
siguiente api key:

   LA CLAVE DEBE SOLICITARLA A seguridadinformatica@ugr.es aunque se le envirá un mensaje estos dias con ella.

Hasta lo fecha no se han encontrado incompatibilidades con ningún
antivirus o EDR comercial.
No obstante, si tuviera algún problema, rogamos nos lo indique para ver
cómo solucionarlo.

Comentarle además que dicha api key podrá utilizarse únicamente para la
instalación de microCLAUDIA en los equipos de su organización, estando
prohibida la cesión a terceros.

Para proporcionarle acceso al panel web necesitamos nos indiquen los
datos del responsable de seguridad o de informática de su organismo.

Atentamente,
Equipo CCN-CERT"

Puede revisar la plublicacion que ya hicimos https://blogs.ugr.es/seguridadinformatica/?s=ramsonware

Campaña de smishing suplantando a GLS.

22 julio, 2021 por A. Muñoz

Desde INCIBE nos avisan de campaña de SMS’s fraudulentos simulando ser una empresa de entrega de paquetes. Al final te piden datos bancarios y demas. En fin que a esto no hay que hacerle ni caso. En estos dias, con tanto pedido a traves de internet, hay un aumento de este tipo de estafa haciendose pasar por empresas de transporte o incluso por Correos. Mucho cuidado.

Os dejo el enlace de INCIBE https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campana-smishing-suplantando-gls

Mas informacion de lo que es un SMISHING https://www.incibe.es/aprendeciberseguridad/smishing

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

No abrir SMS de usuarios desconocidos o que no se haya solicitado: hay que eliminarlos directamente.
En caso de que el SMS proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
No contestar en ningún caso a estos SMS.
Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.