Como eliminar una Particion GPT

Esta es una manera de eliminar una particion GPT mediante el “Simbolo de Sistema“; Desde un Windows (Cuidado este metodo borra todas las particiones del disco).

Lo primero necesitamos abrir el “Simbolo de Sistema” como Administrador, para ello debemos buscar en Cortana “Simbolo de Sistema” o “CMD” y en el icono pulsamos con el boton derecho del raton y seleccionamos “Ejecutar como administrador“.

Sigue leyendo

Pseudo-Ransomware

Un ataque con igual efectividad

Introducción

Recientemente hemos recibido varias llamadas por parte de varios Resellers de Bitdefender para proteger la red de sus clientes después de un ataque aparente de Ransomware. Nos quedamos sorprendidos ya que el tipo de Ransomware empleado estaba ya esta registrado meses atrás en sus firmas y en todos los casos estaba activada la vacuna en la política. Entonces ¿Como? ¿Que ha pasado?
Tras varios análisis, el equipo de Reditelsa ha detectado varios puntos en común:

  1. El cliente final emplea RDP (Escritorio Remoto) o Terminal Server para acceder a los equipos de la compañía.
  2. Los sistemas llevan meses sin ser actualizados, aplicaciones incluidas. No usan el servicio de Patch Managment de Bitdefender.
  3. En dos de los casos, varios usuarios descargaban generadores de llave y/o cracks sin consentimiento de la empresa para obtener versiones activadas de varios productos, creando una excepción de análisis en la carpeta que los contiene haciendo posible su ejecución, en la política de Bitdefender.
  4. Ninguno de ellos tenían activado el Hiperdetection, SandBoxing y/o EDR, funcionalidades imprescindibles hoy para la seguridad de los Endpoints.

Modus Operandi

Dos formas para detectar a posibles victimas.

  • La primera (posiblemente) es escanear las IPs externas para detectar puertos abiertos en los firewalls y routers, focalizando su búsqueda en puertos de Escritorio Remoto/Terminal Server.
  • La segunda, es aprovechar la creencia por parte del usuario de que la ejecucion de software no deseado no tiene peligro alguno.  La amenaza puede quedar dormida semanas o incluso meses, vease keygen y cracks. Este software podría contener Payloads que permiten el acceso y ejecución de comandos elevados. Los Payloads son detectados por los antivirus pero la mala praxis de crear excepciones de carpetas y procesas evita su detección.

Acceso no autorizado

  • Con técnicas de Croaking(*) conocen de las vulnerabilidades del equipo y haciendo uso de exploit-db.com rompen el login de entrada del Escritorio remoto. Esto sucede cuando los equipos no están plenamente actualizados.
  • Con el uso del payloads y comandos elevados crean un usuario con permisos de acceso remoto.

En este momento tenemos al atacante literalmente esta delante de la pantalla de la victima como un usuario mas.

(*) Toda comunicación entre equipos viene precedido de un intercambio de información relativa a versiones de sistema operativo, sistemas implementados y plataformas usadas. Normalmente esta informacion se usa para mejorar el entendimiento y reserva de recursos. Pero también esta información puede ser usada para crear un patrón de ataque ajustado consultando las base de datos de vulnerabilidades en Internet o usando herramientas de penetración.

Deshabilitando la seguridad

En todos los casos nos hemos encontrado el famoso “process hacker 1” instalado en los equipos. Este software permite retirar, bloquear e incluso des-instalar cualquier proceso y aplicacion del equipo. Su ejecucion una vez mas desde excepciones de carpetas y procesos. El ataque lo usa para des-habilitar los procesos de Bitdefender.

Localización de Backups y puntos de restauración

Para que sea mas efectiva la extorsión, el atacante localiza posibles programas de Backup y los puntos de restauración de Windows. Estos serán eliminados o quedaran incluidos en el listado de ficheros a cifrar.

Ejecución de Bitlocker por extensiones

El atacante simulando ser un Ransomware procederá como todos ellos a cifrar todos los ficheros por extensiones del tipo dato + añadidos del backup (tanto en el equipo local como el recursos compartidos de la red) no protegidos por ataques laterales y permisos de escritura. Funcionalidades estas, ya disponibles en vuestra consola.

Ficheros reclamando el pago

En todos ellos, bien solo en el escritorio (1), o como es habitual en los ataques por Ransomware en cualquier de las carpetas cifradas (2), el atacante deja los ficheros *.txt dando explicaciones de como proceder el pago por Crypto-Moneda y una dirección de email. Ademas incluye información sobre el Ransomware utilizado. Esto es un engaño, ya que el patrón del cifrado no coincide con la denominación mencionada. 

El hecho de la existencia de manera diferencial de estos ficheros (1) y (2) demuestra que son atacantes diferentes usando la misma dinámica. Como es obvio, el proceso se realizada de manera automatizada con la ejecución de comandos secuenciales.

Resumen de los pasos

Entendemos que realizarían los pasos intermedios no descritos y que aquí resumimos.

  1. Re-colección de información sobre la maquina victima.
  2. Acceso a la maquina vía remoto.
  3. Terminación de los procesos que podrían bloquear el acceso a escritura de los ficheros.
  4. Generación del par de claves publica/privada.
  5. Envió de una solicitud HTTP de comprobación inicial a su servidor C&C
  6. Para cada archivo en el sistema: genere una clave AES-256 aleatoria; utilízalo para cifrar el archivo; cifrarlo con la clave pública RSA y adjuntarlo al archivo cifrado
  7. Envió de un mensaje de confirmación al servidor de C&C.
  8. Eliminación de las copias de seguridad de archivos Windows Shadow para evitar su restauración.

Análisis y Solución a PSeudo-RansomWare

Creemos que el asalto a la redes de nuestros ha sido masiva. Pero solo en aquellos que han bajado la guardia en cuanto a la puesta en marcha de las nuevas funcionalidades (HyperDetection, SandBoxing, EDR)  o han permitido la ejecucion de software no deseado por parte del usuario final con la creación de excepciones de análisis, han sido afectados. Hemos revisado historiales de navegación, descargas y cadenas de spam para verificar que no ha sido contagiado a través de vectores clásicos. 

El factor común entre todos ellos; Uso de RDP, sistemas no parcheados y la mala praxis del usuario final. Estos tres factores han permitido el acceso a este tipo de atacante organizado.

Nuestra preocupación también se extiende hacia la ingeniería social. Hemos visto en los perfiles de las victimas aspectos comunes pero aun no tenemos una respuesta segura al respecto.

FUENTE: REDITELSA

Alerta en Windows 10 por la actualización que impide iniciar el ordenador

La instalación de una nueva versión del ‘antispyware’ Windows Defender paraliza el arranque del PC
Después de instalar la última actualización de Windows Defender -antes conocido como Microsoft AntiSpyware-, Microsoft ha podido comprobar que, en algunos dispositivos, se produce un error que impide que se inicie.

Concretamente, el problema ocurre en aquellos dispositivos que tienen ‘Secure Boot’ activo. Sin embargo, hay que tener en cuenta que, salvo que el usuario lo haya deshabilitado manualmente en BIOS, lo tendrá en funcionamiento, pues Secure Boot viene activo por defecto.
Dicho paquete corresponde a las actualizaciones mensuales para la plataforma de protección antimalware de Windows Defender y para todas las versiones excpeto October 2018 Update (1803). El error perjudica a la versión 4.18.1901.7, paralizando el inicio del dispositivo y, además, bloqueando muchas descargas cuando se habilita AppLocker – programa de control de ejecución de aplicaciones y archivos- debido a un cambio en la ubicación de la ruta del archivo.

Windows Defender es un programa para prevenir y poner en cuarentena software espía en Windows, proporcinando la protección más reciente en busca virus y amenazas y cuyas actualizaciones se descargan automáticamente.

Solución temporal

Microsoft se encuentra trabajando en la superación del error, para lo que aplicarán un parche. De momento, recomiendan aplicar los iguientes pasos para intenar solcionar el problema:

Lo primero es reiniciar el dispositivo y entrar en la BIOS, desactivando Secure Boot y reiniciando el dispostiivo de nuevo. Posteriormente, se debe abrir el símbolo del sistema como administrador y ejecutar el comando “%programdata%MicrosoftWindows DefenderPlatform .18.1901-7MpCmdRun.exe” -revertplatform.
Tras esperar aproximadamente un minuto, hay que escribir ‘sc qc windefend’ para comprobar que el binario Windows Defender ya no apunta la versión 4.18.1901.7. Por último, se debe reiniciar de nuevo el dispositivo, volver a entrar en BIOS y activar Secure Boot.

Por otra lado, para saolucionar el problema de la ruta de acceso al archivo, se recomienda abrir Directiva de grupo y cambiar la configuración para pemitir la ruta %OSDrive%ProgramDataMicrosoftWindows DefenderPlatform*.

QuadrigaCX pierde 190 millones de dólares en criptomonedas tras fallecer su director

Hace unos días ha fallecido Gerald Cotten, fundador y director ejecutivo de QuadrigaCX, una empresa de intercambio de criptomonedas de origen canadiense, dejando una pérdida de 190 millones de dólares en criptomonedas tras su fallecimiento.

En diciembre de 2018, Gerald Cotten falleció por complicaciones con la enfermedad de Crohn, mientras era el único director de la empresa QuadrigaCX. Gerald Cotten, tenía en su ordenador portátil encriptado una cartera de criptomonedas valoradas en un total de 190 millones de dólares, con el problema de que el propio Cotten era único conocedor de la contraseña que permitía acceder al equipo.

Desde entonces, la empresa canadiense ha tenido dificultades financieras, pues se reveló que no tenían acceso a sus carteras dejando a sus clientes sin fondos. Según QuadrigaCX, tienen “reservas de criptomonedas importantes“, pero no ubicaron ni aseguraron los servidores.

Según la empresa, aún puede evitar la quiebra y podrían pagar a sus acreedores accediendo a sus carteras frías, pero claro, estas actualmente se encuentran perdidas.

QuadrigaCX ha afirmado tener activos 91 millones de dólares en Bitcoin y casi 50 millones de Ethereum, entre otras criptomonedas. Sin embargo ZeroNoncense afirma que la empresa de intercambio de criptomonedas tenía problemas y pagaba a sus usuarios con el dinero de otros usuarios.

Fuente: elchapuzasinformatico

De Viaje por el Mundo geoguessr

Esta pagina web, nos propone un Juego gracias a Street View de Google Maps, para ello nos enseña un lugar al azar y debemos de adivinar, mediante carreteras, coches, señales y carteles en que lugar del mundo nos encontramos, podemos jugar tanto a nivel individual como a nivel colectivo, una buena manera de pasar un buen rato: https://geoguessr.com/

Alertan del ‘ransomware’ Matrix, que exige rescates de hasta 2.100 euros

Matrix está evolucionando y creando nuevas versiones, por lo que Sophos recomienda restringir el acceso a aplicaciones de control remoto, realizar análisis de vulnerabilidad y pruebas de penetración de forma periódica.
Sophos, una compañía británica de software y hardware de seguridad, ha detectado un nuevo ‘ransomware’ dirigido que lleva evolucionando y creando nuevas versiones desde 2016, denominado Matrix, y que exige rescates por valor de 2.500 dólares (2.180 euros), aunque dicha cantidad puede acabar disminuyendo.

Un ‘ransomware’ es un tipo de ‘software’ malicioso que restringe el acceso a determinadas partes o archivos de un sistema conectado a la red, y pide un rescate a cambio de quitar esta restricción, como explican desde la compañía de ciberseguridad. De esta manera, el ‘ransomware’ Matrix lleva activo desde 2016, aunque cambiando sus parámetros de ataque, y añadiendo nuevos archivos para desplegar diferentes tareas y cargas útiles en la red, según ha demostrado el laboratorio SophosLab.

SophosLab ha llevado a cabo una deconstrucción de Matrix en 96 muestras en estado salvaje de este ‘ransomware’, mediante ingeniería inversa del código en evolución y de las técnicas empleadas por los atacantes, así como de los métodos y notas de rescate utilizados para conseguir el dinero de las víctima.
Matrix obtiene el acceso a través de una contraseña RDP (protocolo de escritorio remoto) débil, una herramienta de acceso remoto integrada en ordenadores Windows, y se dirige a uno de los dispositivos conectados a la Red, sin extenderse a través de una organización. Precisamente, esto es lo que caracteriza a este nuevo ‘ransomware’.

Aunque las notas de rescate están incluidas en el código de ataque de Matrix, los usuarios no saben qué cantidad deben pagar para liberar su equipo hasta que los responsables no se la notifican por correo electrónico. La cantidad a pagar se exige en criptomonedas, pero teniendo como equivalencia en dólares. Los atacantes empiezan solicitando 2.500 dólares (2.180 euros) pero, a medida que las víctimas disminuyen su interés por pagar el rescate, la cifra puede disminuir.

Matrix está evolucionando y creando nuevas versiones, por lo que Sophos recomienda restringir el acceso a aplicaciones de control remoto, realizar análisis de vulnerabilidad y pruebas de penetración de forma periódica.

También aconseja hacer una autenticación multifactorial para sistemas internos sensibles, crear copias de seguridad ‘offline’ y offsite, y desarrollar un plan de recuperación de información que cubra la restauración de datos y sistemas para organizaciones enteras.