20/09/2020 – AVISO URGENTE – Hackeo en webs con WordPress que usan el plugin File Manager

Están explotando activamente una vulnerabilidad crítica de ejecución remota de código en el complemento File Manager, más de 300.000 sitios de WordPress potencialmente expuestos.

El 1 de septiembre se conocía la noticia de que atacantes estaban explotando de manera activa una vulnerabilidad zero-day crítica en la versión 6.8 y anteriores del plugin File Manager para WordPress, así como las versiones Pro desde la 7.6 a la 7.8. La vulnerabilidad permite a usuarios no autenticados ejecutar código de manera remota y subir archivos maliciosos en sitios que tuvieran una versión desactualizada de este plugin.

Según explica el equipo de Seravo, “un atacante que explote la vulnerabilidad puede robar datos privados, destruir el sitio o utilizarlo para realizar otros ataques en otros sitios o su infraestructura”. Por suerte, los desarrolladores de este plugin, que al momento de conocerse el fallo contaba con más de 700.000 instalaciones activas, lanzaron rápidamente la actualización 6.9 de este plugin que repara el fallo.

Sin embargo, el pasado viernes 4 de septiembre, el equipo de Wordfence informó que detectó un incremento dramático en la cantidad de ataques intentando explotar el fallo en sitios que no han instalado la última versión del plugin. Según sus datos, desde que se explotó la vulnerabilidad por primera vez hasta el pasado 4 de septiembre se registraron 1.7 millones de ataques a sitios, y aquellos que no tienen instalado este plugin están siendo revisados por bots que buscan detectar versiones vulnerables del plugin File Manager”, explicó la compañía. Pero tal como aclara Wordfence, sus registros se basan en 3 millones de sitios WordPress que protegen, por lo tanto, la verdadera escala de estos ataques es aún mayor que lo que indican sus registros.

Según explicó en su blog Sucuri, otra de las compañías que analizó el fallo, el 31 de agosto registraron un promedio de 1.500 ataques por hora que intentaban explotar la vulnerabilidad, y un día después, cuando se lanzó la actualización, el promedio de ataques por hora subió a 2.500, mientras que el 2 de septiembre registraron picos de más de 10.000 ataques por hora. A su vez, la compañía considera que “la explotación del fallo creció de forma rápida debido a su alto impacto y a los bajos requerimientos”.

Según los datos estadísticos que se muestran en el sitio de WordPress de File Manager, apenas el 21.3% de los sitios que tienen instalado este plugin están corriendo la versión 6.9 que incluye el parche, por lo tanto, todavía existe una gran cantidad de sitios vulnerables.
https://wordpress.org/plugins/wp-file-manager/advanced/

Algunas víctimas de la explotación de esta vulnerabilidad explican en el foro de soporte de WordPress que tras verse afectados por uno de estos ataques su sitio fue utilizado para redirigir a los usuarios a otras páginas.

Recomendamos a aquellos responsables de sitios en WordPress que utilicen este plugin que actualicen cuanto antes a la última versión disponible y en caso de verse afectados que sigan las instrucciones que dejaron los desarrolladores de File Manager.

SI SU PÁGINA HA ESTADO USANDO ESTE PLUGIN, HA DE DAR POR HECHO QUE TODA LA INFORMACIÓN DE LA MISMA HA SIDO COMPROMETIDA. CAMBIE CUANTO ANTES EL USUARIO/CONTRASEÑA DE LA BASE DE DATOS, EL ACCESO AL PANEL, FTP O CUALQUIER OTRO ACCESO.

Desde Hacheté siempre recomendamos la instalación de la versión de pago del plugin de seguridad Wordfence: http://www.wordfence.com con el que su página habría estado protegida automáticamente.

[Afectación parcial] – 24/08/2020 – Instalación certificados renovados para *.hachete.com

Durante el día de hoy (24/08/2020),  hemos actualizado los certificados SSL correspondientes a *.hachete.com en todas nuestras máquinas, con lo que es posible que al conectarse a nuestros paneles Interworx o al descargar el correo se muestre un error diciendo que el certificado almacenado en el dispositivo ya no es válido y que hay que instalar el nuevo.

POR FAVOR, ACEPTE LOS NUEVOS CERTIFICADOS. NO HAY PELIGRO ALGUNO Y SON 100% SEGUROS.

Esta actualización es necesaria y obligatoria para mantener la seguridad de las conexiones a nuestros servidores.

ESTE CAMBIO NO AFECTA A TODOS LOS SERVIDORES NI A TODAS LAS CONEXIONES: SÓLO A LAS QUE USAN SSL.

Si no ha tenido ningún problema con su email/web, este problema no le afecta. Puede tranquilamente ignorar este aviso.

Si el problema le surge con la conexión de su teléfono o cliente de correo, debe seguir las instrucciones para configurar el programa con el que lee el mail, ya que está mal configurado. Las instrucciones están disponibles en esta página: http://www.configuraremail.com

Si sigue teniendo dificultades, no dude en ponerse en contacto con nosotros al mail soporte@hachete.com o bien por teléfono: 968 248335.

Gracias por confiar en el equipo de Hacheté

[Afectación parcial] 11/04/2020: Problemas al conectar cuentas corporativas a Gmail mediante protocolo seguro (TLS/SSL)

Desde el pasado 11/04/2020 Google ha implementado una política de seguridad más estricta en su servicio Gmail y este cambio ha traido problemas para quién tiene configurado su correo de empresa en este servicio. El error que se muestra es el siguiente:

Básicamente de lo que se queja Google (ahora) es de que el nombre del servidor de correo que hayamos puesto no coincide con el nombre del certificado SSL instalado en el servidor.

Esto es muy habitual ya que las empresas de hosting no instalan certificados SSL en el correo para todos y cada uno de sus clientes y lo que hacemos es utilizar uno genérico para todos (en nuestro caso, *.hachete.com).

SOLUCIÓN:
Dentro de Gmail hay que ir a “Configuración” -> “Cuentas e importación” -> “Enviar correo como” y editar la cuenta externa que esté dando problemas. Primero sale el nombre de la cuenta, damos a “Siguiente” y veremos los parámetros de seguridad.

En este apartado hay que cambiar el nombre del servidor SMTP del dominio al nombre (público) del servidor.

¿Y cómo sé cuál es el nombre público (hostname) de mi servidor de correo? Pues es tan fácil cómo 3 pasos:

1. Abrir una ventana de comandos: En Windows – Ejecutar (o preguntarle a Cortana) – CMD. En esa ventana negra, hay que escribir: ping nombre-del-servidor-que-tengamos Por ejemplo: ping mail.hachete.com

2. Apuntamos el valor de la IP que nos da (en nuestro ejemplo, 84.124.52.2).

3. En la misma ventana negra, escribimos nslookup IP-que-nos-ha-dado-antes Por ejemplo: nslookup 84.124.52.2

4. El nombre que nos devuelve es el que tenemos que poner en la casilla de Gmail (en nuestro ejemplo obelix.hachete.com)

03/10/2019 – EMAILS falsos que provienen de destinatarios conocidos

Desde Hacheté queremos informar de un aviso URGENTE E IMPORTANTE: se ha identificado una campaña de phishing con correos electrónicos que incluyen las palabras:

Hola.

Gracias, hablamos.

Saludos

Estimado,

Adjunto…

Un saludo

Y LLEVA UN DOCUMENTO DE WORD ADJUNTO.

Los correos, cuyo remitente ha sido falseado , informan a los usuarios de que se les ha enviado un documento adjunto. Así mismo, adjuntan un fichero que en realidad se trata de un malware de tipo ransomware. En el caso de ser ejecutado, cifrará los ficheros del ordenador para que sean inaccesibles y solicitará el pago de un rescate. Este encriptado es IRREVERSIBLE Y LLEVARÁ A LA PÉRDIDA TOTAL Y ABSOLUTA DE TODO LO CONTENIDO EN EL ORDENADOR EN EL QUE SE ABRA

  • Reenvíe este correo/aviso a TODOS sus conocidos.
  • NO ABRA ningún adjunto del que no esté 100% seguro de su procedencia.
  • Asegúrese de tener instalada alguna herramienta anti-ransomware. Una de las mejores es Malwarebytes Antimalware (https://es.malwarebytes.org/). Su versión de pago (39.95€ anuales por PC) garantiza estar a salvo contra este tipo de ataques. La gratuita no garantiza la protección.
  • Ante la duda de si un email es un virus o no, LO MEJOR ES NO ABRIRLO.

    [Afectación parcial] Pérdida conectividad rangos 84.124.52.X y 5.40.64.X

    A las 10:07 se ha producido una caída de conectividad en los rangos 84.124.52.X y 5.40.64.X

    Nuestros proveedores de Internet están investigando el problema y al parecer ha habido un problema de enrutamiento en la zona sur de España. En cuanto tengamos algo más de información, actualizaremos este post.

    Comienzo de la incidencia: 10:07
    Fin de la incidencia: 10:25
    Duración de la incidencia: 18 minutos

    Lamentamos las molestias causadas.

    El equipo de Hacheté

    12/07/2019 – Aviso de FALSO EMAIL

    Recientemente hemos descubierto una cadena de correos maliciosos con un contenido similar en la que nos avisan que envían el pago de nuestro dominio para el período 2018/2019. El mail tiene un contenido similar a este:

    “Estimado Sres.,

    A continuación, encontrará las especificaciones y detalles sobre el registro de su dominio www.xxxxxxxxxxx.com para el periodo 2019/2020.

    Para revisar su factura y proceder con el pago seguro mediante tarjeta de crédito, haga click en el siguiente enlace:

    https://www.dominiosinnova-pagos.com/dominios/?email=xxxxxx@xxxxx&company=xxxxxxxx&domain=www.xxxxxxx.com

    Atentamente,

    Carmen Rodriguez
    Atención al Cliente
    DOMINIOSINNOVA”

    ESTE ES UN EMAIL FALSO. NO LE HAGAN CASO. EL PAGO DEL DOMINIO SÓLO HAN DE HACÉRSELO A SU PROVEEDOR OFICIAL (en este caso Hacheté Diseños Web SLU)

    Es simplemente un email que se envía automáticamente a millones de personas para ver si “pican” y pagan la cantidad que se les pide.

    En el caso de haber recibido este correo, BÓRRELO e ignórelo.

    Si tiene cualquier duda, estamos a su disposición: soporte@hachete.com

    Gracias por confiar en el Equipo de Hacheté.

    Afectación de varios servidores] 04/12/2018 16:04 – Fallo en autómata cuadro eléctrico

    Comienzo de la incidencia: 16:06 del 04/12/2018

    Problema:

    – Pérdida de conectividad y reinicio de algunos servidores

    – Causa del fallo: pérdida de alimentación eléctrica por fallo en autómata en cuadro eléctrico

    – Tiempo de afectación del servicio: entre 60 minutos y 105 minutos

    Esta tarde, un automata que controla uno de nuestros cuadros eléctricos en nuestro datacenter principal ha fallado y ha enviado la orden de apagado a los SAIs que controlaban 2 armarios rack , lo que ha llevado a la pérdida de conectividad y reinicio de alguno de los servidores.

    Conforme se han ido recuperando las máquinas, algunos servicios han mostrado problemas y hemos tenido que ir conectándonos uno a uno a cada servidor para resolver las incidencias particulares.

    Estamos trabajando con nuestro equipo de electricistas para introducir una capa de redundancia adicional para que este problema no pueda volver a suceder.

    Lamentamos las molestias causadas.

    El Equipo de Hacheté Diseños Web

    26/11/2018 – Aviso de FALSO EMAIL

    Recientemente hemos descubierto una cadena de correos maliciosos con un contenido similar en la que nos avisan que nos han grabado con un software instalado en nuestro PC y que si no pagamos, lo enviarán a toda nuestra lista de contactos. El mail tiene un contenido similar a este:

    “Hola, querido usuario de sudominiocorporativo.com/es

    Hemos instalado un software RAT en su dispositivo.
    En este momento su cuenta de correo electrónico está hackeada (ver en ‘from address’, ahora tengo acceso a tus cuentas).
    He descargado toda la información confidencial de su sistema y obtuve más evidencia.
    El momento más interesante que he descubierto son los registros de videos de tu masturbación.

    Publiqué mi virus en un sitio pornográfico y luego lo instalé en su sistema operativo.
    Cuando hizo clic en el botón Reproducir en video porno, en ese momento mi troyano se descargó en su dispositivo.
    Después de la instalación, la cámara frontal toma videos cada vez que te masturbas, además, el software se sincroniza con el video que elijas.

    Por el momento, el software ha recopilado toda su información de contacto de redes sociales y direcciones de correo electrónico.
    Si necesita borrar todos sus datos recopilados, envíeme $200 en BTC (moneda cifrada).
    Esta es mi billetera de Bitcoin: 1G93wR2LDzd2euJ92ePbMGzZ2zpyDRWU4G
    Tienes 48 horas después de leer esta carta.

    Después de su transacción, borraré todos sus datos.
    De lo contrario, enviaré videos con tus trastada a todos tus colegas y amigos.

    ¡Y de ahora en adelante ten más cuidado!
    Por favor visite solo sitios seguros!
    ¡Adiós!.”

    ESTE ES UN EMAIL FALSO. NO LE HAN GRABADO. NO TIENEN LAS IMÁGENES Y POR SUPUESTO NO VAN A ENVIÁRSELAS A NADIE.

    NO TIENEN SUS CONTRASEÑAS. NO HAN CONSEGUIDO ACCESO A SU CORREO. NO HEMOS SIDO HACKEADOS. SUS CUENTAS ESTÁN SEGURAS.

    Es simplemente un email que se envía automáticamente a millones de personas amenazándolas para ver si “pican” y pagan la cantidad que se les pide.

    En el caso de haber recibido este correo, BÓRRELO e ignórelo.

    Si tiene cualquier duda, estamos a su disposición: soporte@hachete.com

    Gracias por confiar en el Equipo de Hacheté.

    22/10/2018. Falso email de virus y estafa

    Recientemente hemos descubierto una cadena de correos maliciosos con un contenido similar en la que nos avisan que nos han grabado con un software instalado en nuestro PC y que si no pagamos, lo enviarán a toda nuestra lista de contactos. El mail tiene un contenido similar a este:

    “I know ******* is your pass word. Lets get right to point. You may not know me and you’re most likely thinking why you’re getting this e mail? No-one has paid me to check you.actually, I setup a malware on the adult video clips (porn material) web-site and there’s more, you visited this site to have fun (you know what I mean). When you were watching videos, your web browser started out operating as a Remote control Desktop that has a key logger which provided me with access to your display screen and web cam. Just after that, my software collected your complete contacts from your Messenger, FB, as well as e-mail . Next I created a double video. 1st part displays the video you were viewing (you’ve got a fine taste : )), and next part displays the view of your webcam, and it is you. You do have only 2 possibilities. We will check out each one of these choices in details:1st alternative is to disregard this email. In this situation, I will send out your recorded material to all of your personal contacts and also think about about the disgrace you will get. Furthermore if you happen to be in an affair, precisely how it would affect?In the second place alternative would be to compensate me $7000. We are going to name it as a donation. In such a case, I most certainly will without delay remove your video footage. You could carry on with daily life like this never occurred and you will never hear back again from me.You’ll make the payment via Bitcoin (if you don’t know this, search for “how to buy bitcoin” in Google search engine). BTC Address to send to: 132yP1jHBD8JMxtjbjjQCuFizt5TBKgrjG[case-sensitive copy & paste it]If you may be thinking about going to the authorities, very well, this email message cannot be traced back to me. I have taken care of my steps. I am just not looking to ask you for money so much, I would like to be rewarded. You now have one day in order to pay. I have a special pixel in this e-mail, and at this moment I know that you have read through this e mail. If I do not get the BitCoins, I will definately send out your video to all of your contacts including friends and family, coworkers, and many others. However, if I receive the payment, I will destroy the video immediately. If you really want evidence, reply  Yes then I will send out your video to your 5 friends. It’s a non-negotiable offer so do not waste mine time and yours by responding to this message.”

    ESTE ES UN EMAIL FALSO. NO LE HAN GRABADO. NO TIENEN LAS IMÁGENES Y POR SUPUESTO NO VAN A ENVIÁRSELAS A NADIE.

    Es simplemente un email que se envía automáticamente a millones de personas amenazándolas para ver si “pican” y pagan la cantidad que se les pide.

    En el caso de haber recibido este correo, BÓRRELO e ignórelo.

    Si tiene cualquier duda, estamos a su disposición: soporte@hachete.com

    Gracias por confiar en el Equipo de Hacheté.

    03/08/2018 – Nueva estafa circulando por email. Dominios .eu

    A dia de hoy nos han llegado varios emails de una supuesta “oficina espanol de dominios y marcas” en las que se ofrece registrar el dominio .eu y redirigirlo al dominio del cliente pero que este procedimiento ya se ha iniciado por un tercero y si se quiere detener, hay que pagar 17.95€ al año, pero el primer pago es de 10 años.

    Esto es una ESTAFA ya que si realmente se quiere tener el dominio .eu se debe registrar por los canales habituales.

    NO HAY QUE HACER NADA CON ESTE EMAIL. NI RESPONDER NI PONERSE EN CONTACTO CON ELLOS. IGNÓRELO.

    Adjuntamos un mail de ejemplo en el que, por protección de nuestro cliente, hemos eliminado los datos reales y los hemos cambiado por ficticios.

    ——————————————————

    De: Ana | OEDM [mailto:ana@oedm.eu]
    Enviado el: viernes, 03 de agosto de 2018 10:52
    Para: sudominio@sudominio.com
    Asunto: Su nombre de dominio

    Estimado señor / señora,

    Hemos recibido una solicitud para registrar el sitio web www.sudominio.eu. Hemos podido constatar en nuestro sistema que usted es el propietario de www.sudominio.com. Desafortunadamente, esto puede tener consecuencias de gran alcance para usted en el futuro. Por lo tanto, estamos legalmente obligados a ponernos en contacto con usted para ofrecerle el primer derecho de registro. Esto significa que rechazamos la solicitud del tercero interesado y que, después de su acuerdo, enlazaremos el sitio web:

    www.sudominio.eu

    con:

    www.sudominio.com

    Significa que usted tiene la primera opción apara obtener en el nombre de dominio, esto es así para evitar cualquier problema en el futuro. La solicitud se ha realizado desde la región Madrid.

    Por lo general, se nos exige que registremos y protejamos el nombre de dominio por 10 años. El precio anual de la extensión .EU es de € 19,75 por año. Esto significa una cantidad única de € 197,50 Cuando se completa el enlace, todo el tráfico que vaya a la extensión .EU terminará automáticamente en su sitio web. El procesamiento requiere un máximo de 24 horas. Se podrá alcanzar este nombre de dominio en todo el mundo. El tercero interesado es rechazado y no puede hacer nada con su nombre de dominio.

    Otra información:

    Usted recibirá una factura única de € 197,50 sin IVA por una duración de 10 años.

    Después de un año, puede cancelar en cualquier momento. A continuación, se le reembolsará a su cuenta la cantidad de años restantes.

    Si está de acuerdo con lo anteriormente descrito, envíe su acuerdo por correo electrónico dentro de las 24 horas posteriores a la recepción de este mensaje con su nombre y los detalles de su factura: ana@oedm.eu

    Seguidamente, rechazaremos al tercero interesado y estableceremos el enlace. Recibirá el mismo día por correo toda la información que necesita.

    Un cordial saludo,

    Ana López Ramirez
    OEDM (Oficina Español Dominios y Marcas)

    ——————————————————