Categoría: Varios

Desde Hacheté queremos informar de un aviso URGENTE E IMPORTANTE: se ha identificado una campaña de phishing con correos electrónicos que incluyen las palabras “invoice”, “pending payment”, “pedido de orçamento”, “fexex shipment” y otras  en el asunto, y que tienen siguiente aspecto (mostramos algunos ejemplos):

 

Los correos, cuyo remitente ha sido falseado , informan a los usuarios de una supuesta deuda o la recepción de una factura o las etiquetas de algún envío. Así mismo, adjuntan un fichero que en realidad se trata de un malware de tipo ransomware. En el caso de ser ejecutado, cifrará los ficheros del ordenador para que sean inaccesibles y solicitará el pago de un rescate. Este encriptado es IRREVERSIBLE Y LLEVARÁ A LA PÉRDIDA TOTAL Y ABSOLUTA DE TODO LO CONTENIDO EN EL ORDENADOR EN EL QUE SE ABRA.

No existe ningún antivirus que lo bloquee al 100%, pero sí una solución que podría (en teoría) detener la infección, aunque este software todavía está en pruebas. Desde Hacheté recomendamos encarecidamente su instalación porque es mejor que tener nada, pero tenemos que avisar que declinamos toda responsabilidad por cualquier problema que pudiera ocasionar su uso.

El software se llama Malwarebytes Anti Ransom (NO es lo mismo que Malwarebytes Antimalware) y se puede descargar desde aquí: https://malwarebytes.box.com/s/uluqe6ms2l36bsxkudurlr7yr8lp6d8g

Funciona en Windows 7 y sistemas operativos superiores.

 

Ante la duda de si un email es un virus o no, LO MEJOR ES NO ABRIRLO.

Comienzo de la intervención: 01:30 del 25/07/2015

Finalización esperada de la intervención: a lo largo del día 26/07/2015

Duración de la incidencia: : variable
Problema:

– Una actualización del panel de hosting Interworx ha producido problemas variables en diferentes máquinas

Motivo:

– Problema de software

Afectación:

– Variable de algunos servidores cuyo acceso al panel de hosting se ve limitado con errores de conexión a la base de datos.

– En particular el servidor asterix.hachete.com (84.124.52.18) no puede enviar ni recibir emails.

– El 95% de las webs afectadas se ven y funcionan correctamente. El otro 5% (que depende de bases de datos) está experimentando problemas puntuales.

Solución:

– Instalación de nueva versión de software

Estamos trabajando mano a mano con el equipo de Interworx para solucionar un problema que ha surgido debido a una actualización diaria que parece que ha fallado en algunos de nuestros servidores. En cuanto tengamos más información, actualizaremos este post.
Lamentamos las molestias causadas y agradecemos la confianza depositada en nosotros.

El Equipo de Hacheté.

 

**Actualización 27/07/2015 08:00: La mayoría de las máquinas y servicios se han restaurado. Estamos terminando de recuperar las últimas webs y servicios no disponibles. Volveremos a actualizar este post en cuanto tengamos más información.***

Desde Hacheté queremos informar de un aviso URGENTE E IMPORTANTE: se ha identificado una campaña de phishing con correos electrónicos que incluyen las palabras “FACTURA DEUDA CLIENTE” en el asunto, y que tienen siguiente aspecto:

Los correos, cuyo remitente ha sido falseado y corresponde a la dirección: sede[@]segsocial.gob.es, informan a los usuarios de una supuesta deuda de un importe alrededor de los 170€. Así mismo, adjuntan un fichero que corresponde a la supuesta deuda pero que en realidad se trata de un malware de tipo ransomware. En el caso de ser ejecutado, cifrará los ficheros del ordenador para que sean inaccesibles y solicitará el pago de un rescate.

 

Información sacada de http://www.osi.es/es/actualidad/avisos/2015/02/suplantan-la-seguridad-social-para-propagar-malware

Comienzo de la intervención: 06:30 del 03/02/2015

Finalización esperada de la intervención:  00:30 del 03/03/2015

Duración de la incidencia: : 18:00

Problema:

– Disco duro reporta “fallo inminente”

Motivo:

– Disco duro roto.

Afectación:

– Variable de algunos servidores que leen de la cabina de discos afectada. Se requiere el reinicio y pérdida temporal de conectividad de varios servidores a lo largo del día.

Solución:

– Reconstrucción RAID con disco duro nuevo

 

 

Esta mañana, a las 06:30, una de nuestras cabinas de almacenamiento ha detectado el “fallo inminente” de uno de sus discos duros, con lo que inmediatamente ha sido reemplazado, empenzando la reconstrucción automática del array que contenía. Esta reconstrucción no afecta a los datos, pero sí que reduce la capacidad y velocidad de la cabina, con lo que nos hemos visto obligados a reiniciar varias veces varias máquinas a lo largo del día.

Los cálculos indican que la reconstrucción terminará cerca de medianoche, con lo que esperamos que a partir de ese momento todos los servicios vuelvan a la normalidad.

 

Lamentamos las molestias causadas y agradecemos la confianza depositada en nosotros.

 

El Equipo de Hacheté.

 

Actualización 21:30 03/02/2015: la reconstrucción ha terminado satisfactoriamente a las 21:26. Esperamos ya no tener más problemas por esta causa. Aún así, mantendremos la cabina afectada bien vigilada.

Hace unas pocas horas se ha descubierto un exploit (agujero de seguridad ) MUY GRAVE que permitiría a cualquier atacante ejecutar cualquier comando dentro de un servidor Linux.

 

Toda la información (en inglés) aquí:  http://www.csoonline.com/article/2687265/application-security/remote-exploit-in-bash-cve-2014-6271.html

 

Rápidamente hemos parcheado todos nuestros servidores Linux que eran vulnerables (aproximadamente un 35% de ellos) y ya todos están protegidos.

 

Esta es una nota informativa y no ha de hacerse nada al respecto.

 

Gracias por confiar en nosotros,

 

El Equipo De Hacheté

En el post de hoy os vamos a hablar de la importancia de tener actualizado WordPress.

 

WordPress es una herramienta genial para generar contenido, pero al igual que cualquier otro gestor de contenidos (Joomla, Magento, Prestashop, OSCommerce) hay que tenerlo al día para evitar problemas de seguridad.

 

– ¿Qué partes de WordPress debemos tener al día?

– El núcleo: es la parte más importante, ya que cada vez que sale una nueva versión se producen un montón de mejoras y se solucionan un montón de agujeros de seguridad que se han descubierto.

– Los plugins: son muy importantes porque permiten a algunos hackers aprovechar las vulnerabilidades que tienen y subir archivos con los que luego enviar spam o infectar un servidor.

– Los temas:  aparentemente son la parte menos importante, pero también tienen su peso porque a veces algunos temas tienen vulnerabilidades conocidas y son explotadas para obtener contenido no autorizado.

 

En Hacheté nos esforzamos por minimizar los riesgos de tener versiones de WordPress sin actualizar,  y para ello ejecutamos una herramienta que nos comparar la versión actual con la instalada en cada uno de nuestros hostings.

 

Es por ello que a partir de ya mismo, cada vez que salga una nueva versión de WordPress escribiremos un post y avisaremos por email a todos nuestros clientes para que actualicen sus instalaciones.

 

– ¿Qué puedo hacer para proteger mi WordPress?

Hay varias cosas que se pueden hacer para proteger una instalación de WordPress:

 

– Limitar el acceso a la carpeta de administración (wp-admin) mediante un archivo .htaccess que nos pida un usuario/contraseña sólo para acceder a esta administración. Con esto impedimos que los robots que nos visitan automáticamente nos intenten adivinar el usuario y contraseña por defecto.

– Cambiar el usuario administrador (“admin” por defecto) por otro más difícil.

– Usar un plugin llamado “wordfence” que implementa medidas adicionales de seguridad en nuestro WordPress.

– Usar un plugin llamado captcha-free que evita automáticamente que los robots nos inunden el blog con comentarios basura.

 

Con estas sencillas medidas aumentaremos la seguridad de nuestro WordPress, pero como nada es infalible, lo mejor es tener siempre una copia de seguridad a mano!

 

El Equipo de Hacheté

 

Este es un aviso URGENTE para todos nuestros clientes con servidores Windows con las conexiones de Terminal Server abiertas en el puerto 3389 (por defecto).

 

SI USTED NO TIENE UN SERVIDOR WINDOWS CONTRATADO CON NOSOTROS, IGNORE EL RESTO DE LA INFORMACIÓN.

 

Si sí que tiene un servidor y sabe que tiene el servicio de Terminal Server ejecutándose, se está propagando una nueva variante del “virus de la policía” que encripta los archivos más importantes (documentos de Word, Excel, fotos, música) dentro de una carpeta comprimida que es imposible de descifrar. A cambio de la contraseña, piden entre $500 (las primeras 24h) o más de $1000 (a partir de las 48h posteriores).

 

En caso de usar un servidor Windows con el puerto 3389, le recomendamos las siguientes medidas de seguridad:

– Cambiar el puerto de escucha a otro “no estándar”, como el 33899.

– Limitar el acceso a Terminal Server desde IPs conocidas, única y exclusivamente

 

Si ha sido afectado, NO PAGUE, NO PAGUE Y NO PAGUE!. No podemos decírselo ni más claro ni más alto! Use la herramienta que hemos puesto a su disposición aquí: http://www.hachete.com/files/ACCDFISA_Unlock.rar

para introducir el código que le da la pantalla de bloqueo y así podrá descomprimir sus archivos. Esta descompresión hágala MANUALMENTE, sin la herramienta que los hackers le proporcionan o podría perder sus archivos.

 

Si quiere hacer el proceso más automáticamente, le recomendamos que siga estos pasos:

 

1. Descargue e instalw Winrar. Puede hacerlo desde aquí: http://downloads.winrar.es/descargas/52?PHPSESSID=9297ca411b7882ba1f27ea146d74bc0a

2. Descargue este fichero. NO LO EJECUTE DIRECTAMENTE: http://download.bleepingcomputer.com/bats/decrypt-aes.bat

3. Edite el fichero y donde pone: set password=1a2vn57b348741t92451sst0a391ba72 cambie todo lo que viene detrás de =   e introduzca la clave que le proporciona la herramienta de: http://www.hachete.com/files/ACCDFISA_Unlock.rar

Este programa escanerá su unidad C:\ en busca de ficheros comprimidos y bloqueados por contraseña y extraerá todo su contenido. Si necesita cambiar la unidad donde están los archivos, en el .bat puede definirlo.

 

Como siempre, el crédito de este post va para la gente de Bleeping Computer. También gracias a la gente de Clónico que nos avisaron de la nueva variante!

 

El Equipo de Hacheté