Hackers infectan con ransomware bancos e instituciones del gobierno de Ecuador

Expertos en ciberseguridad reportan que el grupo de hacking conocido como Hotarus Corp logró comprometer los sistemas del Ministerio de Finanzas de Ecuador, además de las redes del Banco Pichincha, una de las instituciones financieras más importantes del país. Este grupo de operadores de ransomware utilizó una variante de malware de cifrado basada en PHP para comprometer estos sistemas.

El investigador de seguridad Germán Fernández menciona que los actores de amenazas están utilizando un ransomware PHP básico llamado Ronggolawe (también conocido como AwesomeWare) para cifrar los sistemas afectados. Poco después del ataque, los cibercriminales publicaron un archivo de texto con alrededor de 6 mil 300 nombres de usuario y contraseñas.

En su sitio web, los actores de amenazas afirman haber robado toda clase de información confidencial del Ministerio, incluyendo direcciones email, datos de contacto de empleados y ciudadanos, contratos, entre otros detalles.

Por otra parte, un portavoz del Banco Pichincha reconoció el ataque a través de un comunicado: “Estamos al tanto de que, a través de un correo electrónico fraudulento, un atacante envió comunicaciones en nombre de Banco Pichincha a algunos clientes con el fin de obtener información necesaria para realizar transacciones ilegítimas. Recordamos a nuestros clientes que nunca solicitamos datos sensibles como: usuarios, contraseñas, datos de tarjeta o cuenta, a través del teléfono, correo electrónico, redes sociales o mensajes de texto”.

Banco Pichincha asegura que se están tomando las medidas necesarias para mitigar las consecuencias de este incidente, además de asegurarse de que ataques posteriores no se presentarán: “Entendemos y compartimos las preocupaciones de las personas cuya información ha sido expuesta, queremos asegurarles que tomaremos las precauciones necesarias en el futuro.”

Un especialista en ciberseguridad logró contactar a los actores de amenazas responsables de este ataque, quienes mencionan que el incidente fue perpetrado a través del compromiso de una plataforma de marketing que trabaja con Banco Pichincha: “Todo comenzó con el ataque a una empresa de marketing y desarrollo web que trabaja para el banco; una falla de seguridad nos dio la oportunidad de acceder a sus sistemas, robar la información confidencial y cifrar las redes”, aseguran los supuestos atacantes.

Para demostrar la veracidad del ataque, los hackers compartieron algunas capturas de pantalla de la información comprometida:

Aunque se trata de un ataque de ransomware, ni las víctimas ni los atacantes hicieron mención alguna de un monto de rescate o detalles adicionales sobre el ataque, aunque esto podría cambiar en los próximos días.

El cargo Hackers infectan con ransomware bancos e instituciones del gobierno de Ecuador apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Microsoft lanza herramienta gratuita para eliminar el malware Solorigate de las redes infectadas

El ataque a la cadena de suministro de SolarWinds a través de la herramienta SolarWinds Orion ha demostrado ser uno de los incidentes de hacking más devastadores de los últimos años, impactando a miles de organizaciones públicas y privadas a nivel mundial. Una de las principales características de este ataque es la distribución de binarios a través de actualizaciones legítimas, lo que permitió el robo de credenciales, ataques de escalada de privilegios y eventualmente el robo de información confidencial.

Microsoft es una de las instituciones que más recursos ha invertido en la investigación de este complejo ataque, lo que ha permitido la detección de un código fuente, indicadores de compromiso y patrones de conducta asociados al grupo de hacking responsable de la operación del malware Solorigate.

Como una forma de aportar mejores defensas contra esta clase de incidentes, Microsoft decidió liberar el código de CodeQL, las consultas utilizadas durante la investigación de Solorigate, de modo que otras organizaciones puedan realizar investigaciones similares. Usando estas consultas, los investigadores podrán detectar cualquier código fuente que comparta similitudes con Solorigate, ya sea en sus elementos básicos o funcionalidades.

El uso de estas consultas para detectar indicadores de compromiso no es un método infalible (los actores de amenazas podrían restringir las funciones analizadas de Solorigate), no obstante, el uso de este método como parte de un marco de trabajo integral permitiría abordar de la mejor manera esta nueva variante de riesgo cibernético.

¿Qué es exactamente CodeQL?

Este es un motor de análisis de código semántico que forma parte de GitHub y que trabaja principalmente en dos etapas; en primer lugar, como parte de la compilación del código fuente en binarios, CodeQL crea una base de datos para capturar el modelo del código de compilación, analizando el código fuente y creando su propio modelo de compilación.

Posteriormente, esta base de datos es utilizada para realizar consultas del mismo modo que con cualquier otra base de datos, ya que el lenguaje de CodeQL fue especialmente diseñado por Microsoft para facilitar la selección de algunas condiciones complejas de código. Sus desarrolladores aseguran que CodeQL es un recurso de gran utilidad ya que su enfoque en dos etapas desbloquea múltiples escenarios, incluyendo la posibilidad de usar análisis estático para el análisis del código reactivo en una red completa.

El uso de las bases de datos CodeQL permitirá a los investigadores realizar búsquedas semánticas en una multitud de códigos diferentes para encontrar condiciones de código vinculables con una compilación maliciosa en específico. CodeQL ayudará  analizar miles de repositorios para la detección repositorios en busca de alguna variante de las fallas potencialmente relacionadas con Solorigate.

Estas consultas evalúan los indicadores de compromiso a nivel de código, que también están disponibles en el repositorio de GitHub para CodeQL. Esta plataforma aloja toda la información requerida para detectar un potencial ataque de Solorigate, además de orientación para realizar otras consultas.

Detección de amenazas a nivel de código

En esta investigación, Microsoft empleó dos tácticas principales para la detección de indicadores de compromiso: el primer enfoque se basa en la búsqueda de una sintaxis en particular a nivel de código, mientras que el segundo está enfocado en la detección de patrones semánticos generales para las técnicas presentes en los indicadores de compromiso a nivel código.

Además, la escritura y ejecución de las consultas sintácticas es un proceso relativamente rápido y que ofrece múltiples ventajas sobre la búsqueda de expresiones regulares comprobables. Los patrones semánticos buscan las técnicas generales, como el hash de los nombres de los procesos, los retrasos en el tiempo antes de contactar con los servidores C2, entre otros. Estos son duraderos para variaciones sustanciales, pero son más complicados de crear y más intensivos en computación al analizar muchas bases de código a la vez.

La combinación de estos dos enfoques permite detectar escenarios potencialmente maliciosos, aunque los investigadores no deben olvidar que un actor de amenazas podría modificar tanto la sintaxis como sus técnicas de ataque, por lo que CodeQL solo debe ser considerada una herramienta auxiliar en el contexto de un enfoque de seguridad completo.

Aunque en su descripción este conjunto de consultas se enfoca en los indicadores de compromiso a nivel de código de Solorigate, los desarrolladores de CodeQL mencionan que la herramienta proporciona múltiples opciones para la consulta y funcionalidad de backdoor y otras técnicas de evasión. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Microsoft lanza herramienta gratuita para eliminar el malware Solorigate de las redes infectadas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Los 5 métodos de pago más seguros para pagar en Internet

Internet ha transformado rápidamente el mundo en un mercado global. Las empresas no se han quedado atrás a la hora de sacar el máximo partido a Internet. Los clientes pueden ahora comprar todo tipo de productos y servicios desde cualquier parte del mundo, gracias a Internet y a los avanzados métodos de pago online existentes. Además del lado positivo y brillante de Internet y de los métodos de pago online, existe un lado oscuro: la violación de la seguridad de los usuarios. 

Cada vez que se realiza un pago a través de Internet, existe un pequeño elemento de riesgo de que los hackers roben en secreto información bancaria. Esto puede ser arriesgado, si ocurre, ya que pueden utilizar la cuenta para realizar pagos fraudulentos a sus cuentas, comprar artículos o incluso obtener dinero en efectivo. Sin embargo, se puede luchar contra los pagos no autorizados utilizando las opciones de pago online más seguras de Internet. En este artículo, indicamos cuáles son los métodos de pago más recomendados y seguros. 

Tarjetas de crédito 

Una tarjeta de crédito puede ser la mejor opción para las transacciones online, incluyendo las compras de productos o servicios. Las tarjetas de crédito ofrecen una forma cómoda de realizar los pagos, por no hablar de su carácter seguro. Además, el proceso de pago con tarjetas de crédito suele ser similar en todas las páginas web. Disponen de una fuerte protección contra el fraude. Es bastante sencillo revertir los fondos cuando se realiza una transacción errónea. 

Cada vez que se realiza una transacción en Internet con una tarjeta de crédito, el dinero no se deduce inmediatamente de la cuenta bancaria. Más bien, el emisor de la tarjeta paga por los bienes o servicios y el dinero saldrá de tu cuenta después. Por eso, siempre que haya una posible actividad sospechosa, se puede avisar al emisor de la tarjeta para evitar más fraudes. 

Para pagar de forma segura con una tarjeta de crédito, es importante asegurarse de que la página web es segura. Una recomendación es utilizar una VPN para que los datos no queden registrados, aunque también es importante fijarse en si el dominio empieza con las letras “https:” ya que eso confirmará que es un lugar verificado y seguro. 

Tarjetas de débito 

Otra forma barata y segura de realizar pagos en Internet es utilizar tarjetas de débito. Al utilizar una tarjeta de débito para realizar pagos, los fondos se deducen directamente de la cuenta. Con una tarjeta de débito, no hay que preocuparse de acumular deudas como ocurre con las tarjetas de crédito. Una característica adicional de las tarjetas de débito que desbanca a las de crédito es la protección de “responsabilidad cero”. 

Otra opción es utilizar una tarjeta de prepago para realizar los pagos. Los fondos se cargan en la tarjeta, lo que impide cualquier cobro en la cuenta corriente. Además, reduce el tiempo de uso de los datos para completar las transacciones en Internet. Las tarjetas de débito también son seguras para las transacciones online ya que sus emisores ofrecen servicios de vigilancia contra el fraude las 24 horas del día. Esto ayuda a detectar cualquier actividad sospechosa, si la hay, y a mitigarla de antemano. 

Servicios de pago alternativos 

Se trata de servicios de pago de terceros que han ido ganando terreno en las transacciones online. PayPal es probablemente el más popular, tanto por su fiabilidad como por su seguridad al ser utilizado en millones de negocios en todo el mundo. Por ejemplo, Ebay y Worten son tiendas que aceptan pagos a través de PayPal. Otros servicios de pago son Google Wallet, Payoneer y Skrill, aunque es más complicado encontrarlos en todo tipo de páginas. De hecho, Amazon solo permite pagos a través de una tarjeta de crédito o débito al cuidar mucho la seguridad de los clientes. 

Lo que hace que estos métodos sean seguros para los pagos en Internet es que los usuarios no comparten ninguna información privada. Lo único que comparten con las webs es la dirección, por ejemplo, la dirección de correo electrónico de PayPal. Además, estos servicios de pago se consideran seguros porque tienen una función de “protección del comprador”. Esto hace que sean casi tan seguros como las tarjetas de crédito cuando el pago o el producto no llegan, con el objetivo de que la persona no sea estafada. 

Sin embargo, existen otros métodos de pago alternativos realmente seguros como es el caso de Paysafecard, que se puede utilizar en plataformas de casino como Betway, al introducir un código que se compra en un establecimiento público y no compartir los datos personales de la persona con las páginas web. También es posible comprar videojuegos a través de Paysafecard en Steam, una de las plataformas de venta de videojuegos más popular del mundo. 

El cargo Los 5 métodos de pago más seguros para pagar en Internet apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Falla de ejecución remota de código en sistemas Windows; actualice ahora

Los investigadores de Google Project Zero revelaron el hallazgo de una vulnerabilidad presente en los sistemas Windows que podría ser explotada para desplegar ataques de ejecución remota de código. Identificada como CVE-2021-24093, la vulnerabilidad fue corregida en el más reciente paquete de actualizaciones lanzado por Microsoft. Project Zero es un equipo de investigadores de seguridad formado por Google a cargo de analizar potenciales riesgos de seguridad y descubrir vulnerabilidades día cero.

La ejecución remota de código se refiere a la capacidad de un actor de amenazas para ejecutar comandos arbitrarios o inyectar código remoto en un sistema objetivo a distancia con el objetivo de desplegar tareas de hacking posteriores.

La falla recibió un puntaje de 8.8/10 acorde al Common Vulnerability Scoring System (CVSS), además de recibir una calificación “crítica” de Microsoft. Los sistemas operativos afectados incluyen Windows 10, Windows Server 2016 y Windows Server 2019. La compañía menciona que esta falla de seguridad reside en un componente gráfico de Windows y pueden ser explotadas a través de sitios web maliciosos.

Los investigadores de Google Project Zero informaron sobre esta falla de seguridad a Microsoft a finales de noviembre de 2020. El informe al respecto fue publicado este miércoles, apenas dos semanas después de que la compañía lanzara los parches necesarios para mitigar el riesgo de explotación.

Los expertos mencionan que CVE-2021-24093 es una falla de desbordamiento de búfer basado en el montón de DirectWrite y está directamente relacionada con el procesamiento de una fuente TrueType especialmente diseñada. Según el reporte, un actor de amenazas podría desencadenar una condición de corrupción de memoria para ejecutar código arbitrario en el contexto del cliente DirectWrite.

Cabe mencionar que DirectWrite es una API de Windows especialmente diseñada para le representación de texto en alta calidad.

Los expertos desarrollaron un exploit de prueba de concepto, comprometiendo los sistemas vulnerables de forma exitosa en una etapa de prueba. No obstante, debido a que se requieren algunas condiciones previas al ataque, Microsoft descarta la posibilidad de que la falla pueda ser explotada en escenarios reales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Falla de ejecución remota de código en sistemas Windows; actualice ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Millones de resultados de pruebas COVID-19 expuestos en línea

Debido a un error en la implementación de su sistema en línea, el Departamento de Salud y Bienestar de Bengala Occidental, India expuso la información de al menos 8 millones de pruebas de COVID-19 realizadas a su población. Este hallazgo fue reportado por el especialista en ciberseguridad Sourajeet Majumder, quien en el pasado reportó incidentes similares.

“Puedo confirmar que encontré un problema en un sitio web del gobierno de India, lo que habría resultado en la filtración de las pruebas COVID-19 de millones de personas en un territorio en particular”, menciona Majumder. El experto menciona que los informes expuestos contienen diversos registros confidenciales, incluyendo nombres, fechas de nacimiento, domicilios, entre otros.

El investigador detectó esta filtración al ver el contenido de un mensaje de texto enviado a un laboratorio de COVID-19: “Pude descubrir que la estructura de la URL que conduce a este sitio se compone de un número de identificación de informe codificado en base64.”

Esta información codificada en base64 podría ser descifrada a un formato más simple, lo que eventualmente llevaría a la exposición de estos registros médicos confidenciales. Además, ya que la codificación en base64 aplicada al identificador numérico era opcional, el experto no tuvo dificultad para eliminarlo para recuperar la información. De este modo Majumder demostró que un actor de amenazas podría recuperar los resultados de estas pruebas a través de un simple proceso de enumeración de URL, por ejemplo:

• https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1
• https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2
• https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3

Como se menciona anteriormente, cada informe contiene el nombre del paciente, edad, sexo, domicilio, resultado de la prueba COVID-19, fecha de aplicación, número de registro y nombre del laboratorio.

El Departamento de Salud y Bienestar recibió el reporte de y encomendó a su departamento de TI la corrección de estos problemas de seguridad. Si bien las autoridades no respondieron directamente al investigador que presentó el reporte, una rápida revisión a la plataforma afectada demuestra que las fallas han sido corregidas.

“Ahora, los endpoints que dirigían a estos informes confidenciales devuelven al usuario un mensaje 404 (NOT FOUND)”, menciona el investigador. Por otra parte el Doctor Sushant Roy, responsable del manejo de la pandemia en Bengala Occidental también habló sobre la filtración: “Sabemos que estos registros deben mantenerse de forma confidencial en beneficio de la privacidad de estos pacientes”, reconoce.

Desafortunadamente esta no es la primera ocasión que se exponen detalles de esta naturaleza. Hace un par de meses múltiples laboratorios independientes se vieron afectados por un incidente similar, exponiendo los resultados de pruebas COVID-19 debido a un error de configuración de URL. Los administradores de TI a cargo de estos registros deben adoptar un enfoque de protección a la privacidad de los pacientes, ya que la filtración de esta información podría generar consecuencias desastrosas.

El cargo Millones de resultados de pruebas COVID-19 expuestos en línea apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Brecha de datos expone información de monitores de bebé

Los operadores de NurseryCam, un servicio de webcam empleado por decenas de guarderías en Reino Unido, decidieron interrumpir temporalmente sus operaciones después de confirmarse una brecha de datos que habría afectado hasta a 12 mil usuarios. El incidente habría ocurrido este viernes por la tarde, cuando un actor de amenazas abusó de una laguna ene l sistema para acceder a información confidencial.

El perpetrador de ataque habría lograr acceder a un gran conjunto de información confidencial, incluyendo nombres completos, nombres de usuario, direcciones email y contraseñas protegidas con hashing, que ahora se encuentran disponibles para su descarga en línea.

Al respecto, un representante de NurseyrCam menciona que no hay evidencia de que un actor no autorizado haya accedido a la transmisión de estas cámaras, además de mencionar que el perpetrador del ataque se puso en contacto con la compañía para informarles la situación: “El atacante asegura que no tenía la intención de causar daños, además menciona que solo quiere colaborar para mejorar nuestros estándares de seguridad.”.

THREAD:
Remember that insane security situation with @FootfallCam? Well, it just got even crazier. It’s scattered everywhere, so I’m going to collect it all in a single thread for your reading enjoyment.

(I’m saving the punchline for the last post)

Let’s start with…
1/n

— _MG_ (@_MG_) February 10, 2021

Este último incidente se produce después de que los usuarios y los profesionales de la ciberseguridad advirtieran en repetidas ocasiones a la empresa de que la seguridad de su sistema de Internet de las cosas (IoT) tenía graves fallas. Andrew Tierney, especialista en seguridad IoT, ha estado reportando múltiples informes de ciberseguridad sobre NurseryCam al menos desde 2015, cuando descubrió que las direcciones IP, nombres de usuario y contraseñas DVR de esta plataforma se filtraban a través de la fuente HTML al activar una cámara empleando ActiveX.  

Hace apenas unas semanas Tierney informó que los nombres de usuario y las contraseñas entregadas a los padres para acceder a la transmisión de sus monitores de bebé son muy similares entre sí e incluso exactamente iguales en algunos casos. En otras palabras, un usuario de estas plataformas podría acceder a la cuenta de cualquier otra persona usando su propia contraseña, lo que demuestra una clara deficiencia en las prácticas de seguridad de la compañía.

En respuesta, los especialistas recomiendan modificar las contraseñas preestablecidas en sus respectivos monitores, además de habilitar mecanismos de autenticación multifactor en sus cuentas de NurseryCam cuando la plataforma habilite de nuevo sus operaciones.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Brecha de datos expone información de monitores de bebé apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Nuevos métodos para dar seguimiento a usuarios en Internet

Una firma de seguridad con sede en Bélgica ha detallado el hallazgo de un conjunto de técnicas basadas en DNS para esquivar protecciones contra el rastreo en línea, las cuales se están convirtiendo en una de las principales tendencias entre los hackers a inicios de 2021. La investigación, elaborada por Yana Dimova, Lukasz Olejnik y Tom Ban Goethem, se enfoca en la implementación de técnicas para rastrear usuarios en Internet con CNAME, que usa registros DNS para eliminar la diferenciación entre contextos nativos y de terceros.

“El mecanismo de seguimiento que desarrollamos se basa en un registro CNAME en un subdominio, por lo que este es el mismo sitio web del host. Empleando este método es posible bloquear las protecciones contra las cookies de terceros”, mencionan los expertos.

Los mecanismos de rastreo en línea se basan en un proceso conocido como “política del mismo origen”. Los recursos alojados en un dominio tienen un mayor nivel de confianza que los recursos alojados en otro, por lo que los sitios web pueden configurar y acceder a sus propias cookies sin brindar acceso a terceros.

En este sentido, los anunciantes buscan permanentemente cualquier forma para esquivar estos mecanismos de protección y poder rastrear la actividad en línea de los usuarios con fines publicitarios. Uno de estos métodos es una técnica llamada delegación de DNS (o alias de DNS), revelada en 2007 y puesta en práctica activamente desde entonces. El ocultamiento de CNAME supone que el editor transfiere el control del subdominio, como trackyou.example.com, a un tercero que utiliza el registro CNAME de DNS. Esto hace que el rastreador de terceros asociado con el subdominio parezca que pertenece al dominio principal, cualquiera que este sea.

Los investigadores belgas examinaron el ecosistema de seguimiento basado en CNAME y encontraron 13 empresas diferentes que utilizaban la técnica. Según los investigadores, durante los últimos 22 meses, el uso de estos rastreadores ha crecido en un 21%, y actualmente los utiliza el 10% de los 10 mil sitios más populares en la actualidad. Sobre los usuarios, la principal preocupación sigue siendo en lo referente a su privacidad, por lo que cada vez más gente recurre a herramientas como redes privadas virtuales (VPN) y otras soluciones similares.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Nuevos métodos para dar seguimiento a usuarios en Internet apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Fallas severas en Nginx exponen sitios web de todo el mundo a peligrosos ciberataques

Especialistas en ciberseguridad reportan el hallazgo de algunas configuraciones de middleware incorrectas en Nginx que podrían exponer las aplicaciones web comprometidas a severos ciberataques. Nginx es un servidor web modular, ligero y de código abierto, lo que la ha convertido en una de las más populares soluciones web a nivel mundial.

El reporte, elaborado por la firma de seguridad Detectify, menciona que el problema reside en la propia versatilidad de Nginx, considerada su principal atributo y que le ha servido para operar en uno de cada tres sitios web a nivel mundial: “A finales de 2020, analizamos casi 50 mil archivos de configuración para Nginx descargados desde GitHub con Google BigQuery, encontrando un conjunto de configuraciones posiblemente incorrectas que podrían permitir el lanzamiento de diversos ataques”, mencionan los expertos.

Entre los errores detectados en este análisis se encuentran la emisión de ubicación root, uso de variables inseguras y lectura de respuesta backend sin procesar.

Frans Rosen, investigador de Detectify, menciona que muchas de estas configuraciones erróneas son ampliamente utilizadas en escenarios reales: “”Actualmente muchas organizaciones recurren a la implementación de programas de recompensas para que los investigadores independientes actualicen sus sistemas de seguridad, lo que sin duda permitió identificar algunas de las fallas y desarrollar pruebas de concepto para demostrar un potencial escenario de explotación.”

Los investigadores también mencionan que se han detectado cada vez más hosts utilizando soluciones de proxy para contenido estático contra implementaciones de Google Cloud Storage y Amazon Web Services en ubicaciones como /media/, /images/, /sitemap/ y algunas ubicaciones similares con expresiones regulares débiles, permitiendo la división HTTP.

Otras configuraciones erróneas que permitirían controlar servidores proxy o acceder a controles internos de Nginx también fueron analizadas. El experto menciona que muchas de estas fallas no fueron detectadas por Gixy, el analizador estático para Nginx creado por la firma rusa Yandex, lo que plantea nuevas preguntas sobre la seguridad middleware y el uso de Nginx: “La versatilidad en el uso de esta solución y su gran popularidad entre administradores web de todo el mundo nos llevan a concluir que esta clase de errores siempre han ocurrido y seguirán ocurriendo”, agrega Rosen. “Es muy fácil caer en estos errores y no encontramos indicios de que algo ha ocurrido hasta que ya es demasiado tarde.”

Esta clase de reportes ayuda a los administradores de sistemas a adoptar las mejores medidas de seguridad y prevenir no solo los incidentes de hacking, sino también a reducir las posibilidades de cometer errores de configuración que pueden traer problemas a la postre. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Fallas severas en Nginx exponen sitios web de todo el mundo a peligrosos ciberataques apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Importante fabricante de aviones sufre infección de ransomware y brecha de datos

La compañía fabricante de aviones comerciales Bombardier acaba de revelar que fue víctima de una brecha de datos como consecuencia de los operadores del ransomware Clop, que explotaron una vulnerabilidad día cero en sus sistemas para extraer información confidencial. Bombardier es una de las compañías más importantes en su ramo, con más de 16 mil empleados en todo el mundo.

Hace apenas unos días los operadores de Clop publicaron en su sitio web un conjunto de archivos presuntamente robados de los sistemas de Bombardier, incluyendo los planos de algunas aeronaves y reportes de pruebas de vuelo. Apenas unas horas después de este incidente, la compañía publicó un comunicado para confirmar que algunos datos confidenciales podrían haberse visto comprometidos debido al compromiso de una plataforma de transferencia de archivos.

NOTA DE RESCATE DEL RANSOMWARE CLOP

“Después de una investigación inicial descubrimos que un actor no autorizado logró acceder a esta plataforma con el fin de extraer información gracias a la explotación de una vulnerabilidad; este sistema se encuentra aislado de nuestra red principal”, menciona el reporte de Bombardier. En un correo electrónico compartido con algunas firmas de seguridad, la compañía agrega que el servicio comprometido por los hackers es Accellion FTA, una aplicación de transferencia de archivos que ha sido objeto de múltiples ataques desde hace un par de meses.

Bombardier reconoce que los actores de amenazas lograron extraer información confidencial de empleados, clientes y proveedores: “El incidente ha afectado a algunos de nuestros colaboradores, principalmente en Costa Rica”. La compañía ha estado en contacto con todas las partes afectadas desde la detección del incidente, principalmente para asegurarles que los servidores de Accellion están aislados de las redes principales de la compañía.

Accellion, nueva víctima favorita de los grupos de ransomware

Accellion FTA es un servicio de transferencia de archivos desarrollado hace 20 años y es ampliamente popular entre organizaciones públicas y privadas de todo el mundo. En diciembre de 2020 un grupo de hacking logró explotar una falla día cero en este protocolo para acceder a la información almacenada en los servidores de las compañías que usan Accellion.

Si bien se lanzaron las actualizaciones requeridas para corregir esta falla, los hackers ya habían logrado comprometer los servidores de un número no determinado de organizaciones vulnerables. Sobre el grupo de ransomware Clop, los expertos mencionan que estos hackers comenzaron a atacar implementaciones de Accellion FTA para cifrar sus sistemas y robar información confidencial. Entre las víctimas de este grupo de hacking se encuentran organziaciones como Singtel, Jones Day y ABS Group. Aún se desconoce si Clop es una plataforma de ransomware como servicio (RaaS) o si opera como grupo de hacking, aunque es un hecho que se han convertido en una de las amenazas de seguridad más relevantes de inicios de 2021.

El cargo Importante fabricante de aviones sufre infección de ransomware y brecha de datos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers de SolarWinds también comprometieron los sistemas de la NASA

Acorde a un informe publicado por The Washington Post, la Administración Nacional de Aeronáutica y Espacial (NASA) y la Administración Federal de Aviación de E.U. (FAA) también se vieron comprometidas durante el reciente ataque a la cadena de suministro de SolarWinds a través de la solución SolarWinds Orion. Aunque al inicio se consideraba como un ataque contra organizaciones privadas, esto demuestra que el incidente también afectó a un número considerable de instituciones públicas.

Las autoridades no se han pronunciado oficialmente al respecto, aunque los especialistas creen que el gobierno de E.U. ha estado al tanto de este incidente desde hace algunas semanas, cuando la asesora de seguridad nacional Anne Neuberger declaró que tenían conocimiento de al menos nueve agencias federales comprometidas durante este incidente.

Al respecto, el Departamento de Transporte emitió un comunicado en el que aseguran estar investigando el reporte. Por otra parte, un portavoz de la NASA menciona que un equipo la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) está trabajando en una investigación detallada para encontrar cualquier posible rastro de actividad maliciosa.

Sobre el grupo responsable del ataque, los especialistas mencionan que esta campaña podría estar vinculada a un grupo identificado como StellarParticle, también conocido como UNC2452, SolarStorm o Dark Halo.

Microsoft es una de las compañías que más recursos ha invertido para la investigación de este incidente, lo que le ha permitido a sus equipos de seguridad elaborar una detallada línea de tiempo en referencia al ataque. Además de su descripción del contexto en el que ocurrió el hackeo de SolarWinds Orion, Microsoft asegura que entre las organizaciones afectadas se encuentran agencias públicas como:

• Departamento del Tesoro de EU
• Administración Nacional de Telecomunicaciones e Información (NTIA)
• Departamento de Estado
• Instituto Nacional de Salud (NIH)
• Departamento de Seguridad Nacional de EU (DHS)
• Departamento de Energía (DOE)
• Administración Nacional de Seguridad Nuclear (NNSA)

A inicios de 2021, la Oficina Administrativa de EU reveló una investigación que revelaba un posible compromiso de los sistemas informáticos operando en los tribunales federales de E.U., además de un posible ataque contra sus sistemas de almacenamiento. Por otra parte, Microsoft también informó que los hackers de SolarWinds también lograron descargar fragmentos del código fuente de desarrollos como Azure o Exchange.

Aunque se le considera ideológicamente opuesto al ex presidente Trump, la administración de Joe Biden también podría implementar algunas sanciones al gobierno de Rusia por su presunta participación en estas campañas, aunque no se ha emitido un pronunciamiento oficial. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers de SolarWinds también comprometieron los sistemas de la NASA apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Falla crítica en VMware; actualice ahora para prevenir el riesgo de explotación

Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica en vCenter Server de VMware. Identificada como CVE-2021-21972, esta es una falla de ejecución remota de código (RCE) que podría ser explotada por actores de amenazas para tomar control total de los sistemas afectados. Las correcciones para esta vulnerabilidad ya están disponibles.

Sobre la solución comprometida, vCenter Server es una utilidad de administración centralizada para VMware. Este desarrollo es empleado para la administración de máquinas virtuales, hosts ESXi y cualquier componente dependiente desde una única ubicación centralizada. Es importante mencionar que la falla puede ser explotada por actores de amenazas remotos sin requerir interacción del usuario objetivo.

El reporte de los expertos menciona que VSphere Client (HTML5) se ve afectado por una falla de ejecución remota de código en el plugin mencionado; la falla habría recibido un puntaje de 9.8/10 en la escala del Common Vulnerability Scoring System (CVSS), lo que la convierte en una vulnerabilidad crítica.

Sobre la explotación, los investigadores agregan: “Los actores de amenazas con acceso de red al puerto 443 podrían abusar de esta condición para la ejecución de comandos en el sistema comprometido con privilegios elevados.”

La falla fue reportada inicialmente por el investigador Mikhail Klyuchnikov de la firma Positive Technologies. En su reporte, el experto menciona que la falla afecta al plugin vCenter Server para vROP, disponible por defecto en todas las instalaciones.  No es necesario que los vROP estén presentes para que este endpoint esté disponible. La compañía proveedora de soluciones de virtualización ha proporcionado algunas soluciones para desactivarlo.

La compañía recomienda actualizar las instalaciones vulnerables de vCenter Server a las versiones 6.5 U3n, 6.7 U3l o 7.0 U1c lo más pronto posible para mitigar por completo el riesgo de explotación. VMware también proporcionó algunas instrucciones detalladas para la implementación de soluciones alternativas para CVE-2021-21972 y CVE-2021-21973, otra falla recientemente corregida. Finalmente la compañía corrigió una falla de desbordamiento identificada como CVE-2021-21974, presente en VMware ESXi. Los actores de amenazas podrían explotar esta falla para llevar a la ejecución de código arbitrario en los sistemas afectados.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Falla crítica en VMware; actualice ahora para prevenir el riesgo de explotación apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Twitter elimina decenas de cuentas asociadas al gobierno de Rusia

Después de una ardua investigación sobre los operadores de algunos perfiles, Twitter decidió eliminar decenas de cuentas presuntamente vinculadas al gobierno de Rusia dedicadas a la difusión de desinformación acerca de Estados Unidos, la Unión Europea y la Organización del Tratado del Atlántico Norte (OTAN). La plataforma de redes sociales menciona que estas cuentas eran parte de dos redes separadas del gobierno ruso.

“Nuestra investigación llevó a la detección y eliminación de una red de al menos 69 cuentas falsas plenamente identificadas como parte de una plataforma de desinformación operada por actores vinculados al gobierno de Rusia”, señala el comunicado de la compañía. Acorde a Twitter, muchas de estas cuentas estaban exclusivamente dedicadas a difundir una narrativa favorable a Rusia y sus posturas políticas, mientras que otras cuentas eran usadas para lanzar críticas a la OTAN y a la Unión Europea.

En una segunda etapa de investigación, Twitter eliminó otras 31 cuentas pertenecientes a dos redes afiliadas a la Agencia de Investigación de Internet y a diversos actores estatales con sede en Rusia: “Estas cuentas difunden un mensaje de odio emitido por asociados a la IRA y otros esfuerzos de inteligencia desde Rusia dirigidos contra Estados Unidos y la Unión Europea”, agrega el reporte.   

Today we’re adding new data to our archive of information operations.

State-affiliated networks from Russia, Armenia, and a previously disclosed network from Iran have all been removed from the service.https://t.co/bJDfBWpxcx

— Twitter Safety (@TwitterSafety) February 23, 2021

La red social eliminó un total de 265 cuentas, las cuales integraban cuatro redes operadas desde Rusia, Armenia e Irán, además de suspender 373 cuentas potencialmente asociadas a estas cuatro redes por incumplir diversas disposiciones en las políticas de uso de Twitter: “Desde que se lanzó un primer archivo en octubre de 2018, hemos revelado datos relacionados con más de 85 mil cuentas asociadas con campañas de manipulación de plataformas originadas en 20 países, a nuestro archivo de operaciones de información”, agregó la compañía.

El temor por la intervención rusa en asuntos públicos en Estados Unidos y la Unión Europea creció de forma inusitada después de que quedara demostrada la intrusión del gobierno ruso en el proceso electoral de Estados Unidos en 2016, lo que derivó en la llegada de Donald Trump a la presidencia del país. Esta intrusión fue posible gracias a ambiciosas campañas de desinformación desplegadas en conjunto con la firma de análisis Cambridge Analytica.

Esta no es la primera ocasión en que la red social debe tomar una medida similar. En junio del año pasado, Twitter eliminó permanentemente casi 33 mil cuentas presuntamente vinculadas a tres operaciones de desinformación distintas atribuidas a Rusia, la República Popular China y Turquía. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Twitter elimina decenas de cuentas asociadas al gobierno de Rusia apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Brecha de datos afecta a todos los clientes de importante compañía de renta de autos

Los directivos de CityBee, una compañía de uso compartido de autos que opera en Lituania, reconocieron un incidente de seguridad que derivó en la brecha de datos personales de sus clientes, incluyendo sus credenciales de inicio de sesión; la información comprometida se encuentra disponible en un foro ilegal de dark web. Esta es una compañía ampliamente reconocida en territorio lituano, rentando automóviles, patines, bicicletas e incluso camiones de carga.

El presunto hacker detrás de este incidente afirma que una de las copias de seguridad del sitio web de la compañía estaba expuesto en Internet sin la más mínima medida de seguridad, por lo que cualquier usuario podría haber accedido a esta información; la base de datos contiene más de 110 mil registros con datos personales como:

• Nombres completos
• Códigos de usuario
• Números telefónicos
• Domicilios
• Direcciones email
• Detalles de licencia de conducir
• Contraseñas cifradas

Una muestra de información compartida por este individuo en dark web muestra solamente algunas direcciones email, contraseñas protegidas con hashing y los nombres de algunos usuarios afectados, por lo que se entiende que el resto de la información comprometida se encuentra a la venta.

Posteriormente el hacker mencionó que ignoraba que CityBee fuera una compañía tan grande, aunque también menciona que sus medidas de seguridad eran realmente deficientes considerando los volúmenes de información confidencial que recolectan de sus clientes: “La poca seguridad en CityBee es alarmante; he visto cómo se extrae información de otras empresas debido a estos errores y las compañías ni siquiera se han enterado de esta situación. Al hacer una búsqueda rápida de algunos registros CNAME encontramos información realmente atractiva y probablemente encontremos más.”

Poco después de la publicación de algunos reportes la compañía reconoció el incidente a través de un comunicado en su página oficial de Facebook. Horas después CityBee publicó una actualización en la que mencionaban que esta base de datos estaba desactualizada, pues solamente contenía información de usuarios registrados antes de febrero de 2018.   

Por otra parte, la compañía menciona que los detalles financieros de sus clientes están completamente a salvo, ya que la compañía no almacena estos registros. Aún así, se recomendó a los usuarios activos de la plataforma restablecer sus contraseñas como medida de seguridad adicional, previniendo ataques de diccionario y de relleno de credenciales. Habilitar la función de autenticación multifactor disponible en CityBee también es recomendable. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Brecha de datos afecta a todos los clientes de importante compañía de renta de autos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Fallas críticas en popular paquete de Node.js permite la ejecución de código arbitrario; actualice ahora

El equipo detrás de systeminformation anunció la corrección de una severa falla de seguridad que exponía a las aplicaciones vulnerables a ataques de inyección de comandos arbitrarios en el popular paquete de Node.js. Recordemos que systeminformation provee de decenas de funcionalidades para recuperar información del hardware y software de los servidores que alojan aplicaciones de Node.js y cuenta con más de 850 mil descargas semanales del repositorio oficial.

Esta variante de ataque permite que cualquier actor de amenazas manipule una aplicación a través del envío de comandos a nivel de sistema al servidor host. Si una función inserta cadenas de entrada de usuario en comandos del sistema sin la revisión adecuada, un hacker malicioso puede aprovechar esta falla para que la función ejecute código arbitrario a nivel sistema.

Sebastian Hildbrandt, principal mantenedor del software, menciona que systeminformation no está pensado para su uso en conjunto con entradas de usuario: “La situación con systeminformation es que es un paquete destinado a su uso en el backend; la intención era que los desarrolladores usaran este software con el mayor cuidado posible.”

El mantenedor del software también menciona que en algunos casos, los desarrolladores abren algunas de las funciones de la biblioteca a sus usuarios finales, permitiendo el paso de parámetros que eventualmente serán enviados al paquete de systeminformation: “Este paquete incluye un conjunto de funciones de desinfección que proporcionan una verificación básica de parámetros. Los mantenedores somos ajenos al contexto en el que se manejan estos paquetes”, agrega Hildebrandt.

Después de analizar la situación se reportó que cuatro funciones de systeminformation son vulnerables a este ataque de inyección de comandos arbitrarios, condición que podría estar relacionada con un caso especial de verificación incorrecta de parámetros y depuración de matriz. Hildebrandt agrega que, si la entrada no fue depurada y los usuarios pudieran pasar de una matriz de JavaScript como parámetro a las funciones dadas, esto podrí devenir en la ejecución de código arbitrario, provocando condiciones de denegación de servicio (DoS) en el sistema vulnerable.

La falla ya fue corregida y recibió un puntaje de severidad media según la escala utilizada por GitHub. El equipo de mantenedores de la biblioteca recomienda a los desarrolladores que actualicen su versión de este paquete, además de publicar la lista de las funciones vulnerables, lo que permitirá una mejor depuración de las entradas potencialmente riesgosas para así evitar por completo la ocurrencia de las fallas descritas en el reporte. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Fallas críticas en popular paquete de Node.js permite la ejecución de código arbitrario; actualice ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidades críticas en SHAREit; actualice ahora

La compañía desarrolladora de la aplicación móvil SHAREit publicó un informe en el que señalan que las severas fallas de seguridad detectadas hace unos días en el código de la app finalmente han sido corregidas. SHAREit, desarrollada por Smart Media4U Technology, contaba con más de mil millones de descargas al momento que estas vulnerabilidades fueron reportadas.

“El pasado 15 de febrero recibimos un informe de Trend Micro sobre la posible presencia de vulnerabilidades de seguridad en nuestra aplicación; trabajamos de inmediato para investigar la veracidad de este informe y, en su caso, abordar las fallas”, menciona el reporte.

Acorde al reporte de Trend Micro, un actor de amenazas podría explotar las fallas de seguridad en SHAREit para obtener acceso a información confidencial resguardada en los dispositivos comprometidos por versiones vulnerables. Estas fallas también podrían haber permitido la ejecución de código arbitrario mediante el uso de malware adicional.

Otro de los riesgos para los usuarios de versiones vulnerables de SHAREit es la posibilidad de desplegar un ataque Man-in-The-Middle (MiTM), lo que permitiría la manipulación de los recursos de la aplicación almacenados en la tarjeta microSD de los dispositivos comprometidos, brindando a los hackers acceso completo a archivos confidenciales.

A pesar de que los desarrolladores de la aplicación afirman que estaban al tanto de estos reportes desde inicios de febrero, los investigadores de Trend Micro fueron muy específicos sobre sus razones para publicar el reporte: “Hemos decidido divulgar nuestros hallazgos ya que han pasado tres meses desde que presentamos el reporte a Smart Media4U Technology y seguimos sin recibir respuesta alguna; los millones de usuarios potencialmente afectados merecen saber los riesgos a los que están expuestos si siguen usando esta aplicación.”

Por si no fuera suficiente, las posibilidades de detectar tales ataques son mínimas, por lo que un usuario detectaría la conducta maliciosa cuando ya sea demasiado tarde para poder implementar un mecanismo de seguridad.

Aún así, SHAREit asegura que las actualizaciones que corrigen estos inconvenientes fueron lanzadas antes de que los grupos de hacking pudieran encontrar una forma de explotar las fallas: “La seguridad de nuestra aplicación y la protección de cualquier registro compartido a través de esta plataforma es fundamental para nosotros. Estamos totalmente comprometidos con la protección de su información y seguiremos adaptándonos a los constantes cambios y así garantizar que su experiencia al usar SHAREit sea satisfactoria.”

Hasta el momento no se han detectado indicios de explotación activa, aunque el proceso de instalación de las versiones más recientes de SHAREit podría demorar semanas considerando el gran volumen de usuarios activos.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidades críticas en SHAREit; actualice ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Más de 10 mil cuentas hackeadas de HSBC a la venta en dark web

Expertos en seguridad informática reportan haber detectado a un actor de amenazas vendiendo la información de hasta 12 mil cuentas de HSBC en México y Estados Unidos. El reporte, elaborado por el investigador conocido como Bank Security, asegura que el hacker pide al menos 2 mil dólares a cambio de esta información.

La información comprometida incluiría detalles confidenciales como:

• Nombres de usuario en banca en línea
• Contraseñas
• Direcciones IP
• Detalles de ubicación
• Acceso completo a la mayoría de las cuentas

A Threat Actor is selling 12,000 Bank accounts allegedly related to HSBC (@HSBC – @HSBC_MX) for $2000.

For most accounts, the Actor claims to have username, password, IP, location and full access to most accounts. pic.twitter.com/AQFhRX0zgJ

— Bank Security (@Bank_Security) February 17, 2021

Al monitorear otros foros de dark web en busca de información sobre este incidente, Bank Security encontró otras publicaciones relacionadas con este hacker, descubriendo que cuenta con una buena reputación entre la comunidad cibercriminal, por lo que lo más probable es que esta filtración sea legítima. Los investigadores utilizaron identidades ficticias en estas plataformas y direcciones de criptomoneda para detectar a este hacker.

Hasta el momento la institución bancaria no se ha pronunciado al respecto, aunque cabe mencionar que HSBC cuenta con una plataforma de banca en línea que contiene múltiples detalles confidenciales e incluso permite realizar operaciones financieras por montos considerables, por lo que este incidente podría traer consecuencias desastrosas.

La filtración de estos datos sigue siendo una de las más grandes problemáticas de ciberseguridad en todo el mundo. En una reciente alerta el Departamento del Tesoro de E.U. menciona que, durante 2020, los incidentes de hacking con motivaciones financieras relacionados con gobiernos de países como Corea del Norte incrementaron en casi 50% después de un largo periodo de inactividad.

Debido a que los datos comprometidos parecen ser todos correspondientes a cuentas de usuarios de HSBC, se cree que el actor de amenazas podría haber robado esta información comprometiendo algún servidor de la compañía o bien atacando a un servicio de terceros. Otras instituciones bancarias como Scotiabank han sufrido incidentes similares, lo que representa severos riesgos para los usuarios.

Por otra parte, esta es una clara muestra de la facilidad con la que los actores de amenazas pueden recolectar información confidencial de los usuarios de banca en línea: “Grandes cantidades de información financiera están al alcance de los ciberdelincuentes, lo que puede facilitar el despliegue de peligrosas variantes de ciberataque”, menciona la alerta de seguridad.

Además, el fraude telefónico también ha crecido en México y otros países latinoamericanos, lo que ha llevado a que los usuarios tengan poca confianza en esta clase de plataformas, a pesar de que en general se les consideran seguras. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Más de 10 mil cuentas hackeadas de HSBC a la venta en dark web apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cibercriminales chinos clonan herramientas de hacking creadas por la NSA

Un grupo de hacking patrocinado por el gobierno de China habría logrado copiar y utilizar un exploit día cero para sistemas Windows desarrollado originalmente por Equation Group, un equipo especializado al interior de la Agencia de Seguridad Nacional (NSA). Equation Group es uno de los esfuerzos de hacking más sofisticados del mundo, afirman especialistas en ciberseguridad.

Equation Group ha estado activo desde inicios del siglo XXI, y ha sido vinculado a muchos de los más importantes incidentes de hacking auspiciado por gobiernos. En 2017, el grupo de hacking Shadow Brokers filtró algunas de las más avanzadas herramientas utilizadas por Equation Group, muchas de las cuales han sido utilizadas para la explotación de peligrosas fallas en Windows y otros sistemas operativos, forzando a los desarrolladores a lanzar actualizaciones de emergencia.

Ejemplo de ello es el lanzamiento de un parche para CVE-2017-0005, una falla día cero en Windows XP explotada con una herramienta llamada Jian, lo que habría puesto en riesgo el sistema completo. Aunque al inicio se creía que este exploit habría sido desarrollado por un grupo de hacking conocido como Zirconium, expertos demostraron que se trataba de una herramienta clonada de un desarrollo de Equation Group empleado múltiples veces por la NSA.

La herramienta copiada por los hackers maliciosos es EpMe, creación de Equation Group para realizar ataques de escalada de privilegios en sistemas Windows: “Después de una primera etapa de ataque, los hackers usan Jian o EpMe para obtener privilegios de administrador en dispositivos vulnerables, controlando por completo los dispositivos de la víctima”, mencionan los expertos.

Si bien no hay una sola teoría para explicar la forma en que los grupos de hacking chinos accedieron a las herramientas desarrolladas por Equation Group, muchos expertos concuerdan en que esto podría haber ocurrido durante una campaña de la NSA en contra de organizaciones asiáticas adversarias o bien a partir de avanzadas campañas de monitoreo.

Los expertos agregaron que uno de los módulos de Jian cuenta con cuatro exploits de escalada de privilegios aparentemente copiados del marco de post-explotación SanderSpritz, también desarrollado por Equation Group.

Esta no es la primera vez que se descubre un grupo de hacking chino utilizando herramientas robadas de Equation Group. En 2019 se reportó que el grupo de hackers conocido como Buckeye mantuvo avanzadas campañas maliciosas utilizando exploits desarrollados por la NSA, extendiendo sus ataques desde 2016 hasta 2018, lo que demuestra que incluso las agencias de inteligencia del gobierno de E.U. pueden convertirse en objetivo de los cibercriminales más peligrosos del mundo. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cibercriminales chinos clonan herramientas de hacking creadas por la NSA apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Silver Sparrow, el nuevo malware que ha infectado miles de dispositivos macOS

Especialistas en ciberseguridad reportan la detección de una nueva campaña de malware especialmente diseñado para infectar equipos Mac, acumulando casi 30 mil infecciones exitosas. Esta nueva variante, apodada “Silver Sparrow”, fue descubierta en una investigación conjunta de Malwarebytes y Red Canary.

Como se menciona anteriormente, los investigadores han detectado 29 mil 139 endopoints de macOS infectados a lo largo de más de 150 países, principalmente en territorios como Estados Unidos, Reino Unido, Francia y Alemania. Debido a la gran cantidad de sistemas infectados, los expertos creen que se trata de una seria amenaza de seguridad, no solo de un desarrollo de prueba.

Si bien se han detectado miles de casos en un periodo de tiempo reducido, los investigadores aún no saben mucho acerca de esta variante de malware, sus métodos de propagación y si es que las víctimas tienen algo en común: “Es posible que Silver Sparrow sea desplegado a través de campañas de malvertising, apps maliciosas o falsas actualizaciones de Flash”, mencionan los expertos, que también ignoran los objetivos de los hackers.

Por otra parte, los investigadores sí pudieron detallar la forma en la que se desarrolla un ataque; después de que este malware infecta el sistema objetivo permanecerá latente a la espera de los comandos enviados por los hackers para el despliegue de acciones maliciosas posteriores: “Creemos que es posible que esta variante sea capaz de detectar si está siendo analizada a la vez que aprende de los investigadores, lo que eventualmente representaría la inclusión de nuevas capacidades.”

El reporte también menciona que este malware incluye soporte para la infección de chips M1, la más reciente arquitectura de Apple para sistemas macOS. Esta es apenas la segunda variante de malware especialmente diseñada para la infección de dichos sistemas; hace solo unos días un grupo de especialistas reportó el hallazgo de una variante de malware dirigida a esta nueva tecnología, lo que sin duda representa un avance significativo para la comunidad cibercriminal.  

Por el momento los expertos descartan que Silver Sparrow infecte los dispositivos vulnerables en conjunto con cargas de malware adicionales, aunque se muestran preocupados por las posibilidades a futuro: “La compatibilidad de este malware con los chips M1, su alcance global y la aparente facilidad con la que se genera una infección son factores que sin duda deben preocupar a la comunidad de la ciberseguridad.”

Los especialistas recolectaron múltiples datos sobre esta campaña, incluyendo indicadores de compromiso como archivos maliciosos, rutas creadas por el malware y otros detalles que pueden indicar una infección.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Silver Sparrow, el nuevo malware que ha infectado miles de dispositivos macOS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Brave expone registros de actividad en Tor; datos de navegación privada son filtrados

Un reciente reporte menciona que, debido a un error de seguridad, Brave está exponiendo algunos registros de actividad de sus usuarios en los servidores ocultos de Tor, también conocidos como “dark web”. Se informa además que el navegador, que cuenta con un especial enfoque en la privacidad de sus usuarios, dejó estos registros expuestos al alcance de múltiples proveedores de servicios de Internet.

Brave cuenta con una función integrada para su integración a la red Tor, proporcionando a los usuarios avanzadas características de seguridad y privacidad para ocultar de la mejor forma posible su actividad en línea, además de acceder a sitios web con dominio .onion, alojados en dark web.

A temprana hora de este viernes, un usuario del blog Ramble reportó que Brave estaba filtrando solicitudes DNS realizadas en el navegador, información que fue compartida con su proveedor de servicios de Internet. Es importante mencionar que las solicitudes DNS no están cifradas, por lo que es posible rastrear estos registros para llegar a los sitios web visitados por los usuarios, incluso si están alojados en Tor y se accede a través de Brave.

“Los proveedores de servicios de Internet saben qué páginas estamos visitando en la red Tor”, menciona el usuario en su publicación. Este reporte se viralizó rápidamente entre los entusiastas de Brave, al grado que investigadores reconocidos como James Kettle realizaron un rápido escrutinio del navegador empleado herramientas de análisis como Wireshark.

I just confirmed that yes, @brave browser's Tor mode appears to leak all the .onion addresses you visit to your DNS providerhttps://t.co/IMV97jWhZf pic.twitter.com/jlcUGFigdR

— James Kettle (@albinowax) February 19, 2021

En su reporte, Kettle confirmó lo que el usuario de Ramble mencionó: “Puedo confirmar que es cierto, el modo Tor del navegador Brave está filtrando las direcciones .onion que visitan los usuarios”.

Como recordará, el navegador fue desarrollado específicamente como una herramienta de navegación anónima, por lo que este no es un incidente sin importancia. El incidente ya ha repercutido en la imagen de Brave, que ha pasado las más recientes horas lidiando con las quejas de sus usuarios a través de las redes sociales. Para empeorar las cosas, parece ser que Brave recibió un informe de conducta similar desde abril de 2019 a través de su repositorio en Github.

Poco después, un representante de Brave confirmó esta situación, agregando que sus desarrolladores comenzarán una investigación y lanzarán una corrección del problema, el cual afirman no está presente en nighty, la versión de desarrollador de Brave.

tl;dr
1. this was already reported on hackerone, was promptly fixed in nightly (so upgrade to nightly if you want the fix now)
2. since it's now public we're uplifting the fix to a stable hotfix

root cause is regression from cname-based adblocking which used a separate DNS query https://t.co/dLjeu4AXtP

— yan (@bcrypt) February 19, 2021

“Estamos elevando la corrección a una revisión estable”, mencionó una de las desarrolladoras de Brave a través de su cuenta de Twitter. Esta persona reporta que la causa de este problema está relacionada con la regresión del bloqueo de anuncios basada en cnme, que usa una consulta DNS separada.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Brave expone registros de actividad en Tor; datos de navegación privada son filtrados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Lo que hay que saber sobre las apps para invertir

Todos queremos que ese dinero que tanto trabajo nos costó ahorrar no se desvalorice, especialmente en las economías fluctuantes del siglo XXI. La mayoría de nosotros hemos probado diferentes opciones para cumplir este objetivo y otras para que esos ahorros nos brinden algún beneficio económico. 

Lo que nos queda por hacer es la inversión, una palabra que a veces asusta un poco. Sin embargo, con las herramientas para invertir que existen en la actualidad esta actividad financiera puede llegar a ser más fácil. 

Cómo usar las apps de inversión 

Ante todo, tengamos en consideración que invertir en fondos de inversión, acciones, criptomonedas o cualquier otra alternativa no es una tarea sencilla, pero sí es posible aprender cómo hacerlo gracias a la tecnología más innovadora. 

Es esencial revisar los detalles de cada una de las aplicaciones que queramos analizar. La información sobre el registro, el mínimo a depositar para comenzar a operar, las formas de retiro están disponibles en las plataformas de las empresas que gestionan las aplicaciones.  

Naturalmente, la decisión de elegir una app para comenzar a probar suerte en el mercado bursátil se debe tomar con cierto conocimiento, por lo que lo mejor es tomarse el tiempo necesario para esto. 

Llega el momento de elegir una aplicación 

Si no tenemos la recomendación de alguien que ya haya utilizado algunas de estas aplicaciones, entonces hay que prepararse para elegir. Aunque parezca un paso menor en el proceso de inversión, es el más importante. 

La mejor app trading para una persona puede ser diferente para otra. Sin embargo, todas tienen que cumplir con algunas condiciones, tales como estar autorizadas y registradas ante las autoridades competentes de este medio, y la garantía de operaciones seguras, entre otras. 

Algunas de las mejores apps del momento 

A continuación se detallan algunas características de ciertas apps que son las más populares del momento.  

• eToro: Es una empresa que funciona como bróker que tiene su plataforma y además la aplicación. Es una de las que más se promociona en este momento. Tienen más de 13 años en el mercado, es bróker de Forex, y además tiene millones de usuarios en todo el mundo. 
• Robinhood: Algunos la consideran la app para los más jóvenes los (Robinhood). Sin embargo, es utilizada también por personas maduras. Lo mismo que sucede con eToro, es una app sin las clásicas comisiones que cobran los brókeres.  
  
  Se opera en tiempo real, con poco dinero y en múltiples opciones. Las alternativas de inversión son varias e incluyen criptomonedas. Lo que siempre hay que tener en consideración es cómo se realizan las operaciones, los tiempos para ver los resultados y el asesoramiento ofrecido por la empresa.  
• Plus 500: Es un bróker por Contrato por Diferencias (CDF), que es un contrato como cualquier otro, pero habilita a hacer operaciones sobre el activo del precio sin necesidad de tener el activo correspondiente.  
  
  El mayor orgullo de los creadores y gestores de Plus 500 es la plataforma y la app que crearon con el trabajo en equipo. La sede central se encuentra en Israel y está el día con todas las regulaciones y medidas de seguridad. 
• ZuluTrade: Es una plataforma de autotrading con muchos años en el mercado. Además, es una herramienta que hace de puente entre los operadores que se brindan consejos entre sí, especialmente los más experimentamos a los novatos. Hay un solo tipo de cuenta y el mínimo requerido es un poco más alto que en otras apps.  
  
  No hay duda de que los comentarios anteriores representan una parte mínima de lo que hoy está sucediendo en el mundo del trading y las aplicaciones. Cada año, surgen nuevas, pero muchas de las más experimentadas continúan operando y su experiencia les da prestigio ante los operadores que las eligen. 
  
   

El cargo Lo que hay que saber sobre las apps para invertir apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Expertos detectan la primera variante de malware dirigida a los nuevos dispositivos Apple

Patrik Wardle, reconocido investigador de seguridad informática, reportó el hallazgo de una de las primeras variantes de malware diseñados específicamente para comprometer los dispositivos Apple de última generación que utilizan el chip M1, uno de los desarrollos más sofisticados de la compañía.

El experto afirma que los hackers maliciosos están adaptando variantes de malware existentes para lanzar ambiciosas campañas de ataque contra dispositivos Mac abusando de las características de sus propios procesadores. En este caso en particular, Wardle se refiere al hallazgo de conducta sospechosa en GoSearch22, una extensión para navegadores Safari para equipos con Intel x86 que ha sido adaptada para ejecutarse en chips M1.

“Este binario fue detectado en la naturaleza, distribuido a través de una herramienta maliciosa. Al observar los resultados de detección pudimos concluir que GoSearch22.app es una instancia del adware Pirrit”, menciona Wardle.

La extensión maliciosa fue firmada con un ID de desarrollador de Apple para que fuera difícil de detectar su conducta maliciosa; la firma “hongsheng_yan” ya ha sido eliminada. Wardle añade que Pirrit es una variante del adware conocido con el mismo nombre y detectado apenas hace un par de meses. Pirrit cuenta con avanzadas capacidades de recolección de datos de navegación y envío de anuncios maliciosos, incluyendo banners y ventanas emergentes.

A través de estos anuncios los actores de amenazas también podían redirigir a los usuarios desprevenidos a sitios web maliciosos empleados para distribuir cargas útiles malignas.

Wardle concluyó que GoSearch22 podría ser considerada la primera variante de malware específicamente diseñada para la compatibilidad con M1 por las razones enlistadas a continuación:

• Este código malicioso demuestra una continua evolución en cuanto a su capacidad de respuesta directa a los cambios de hardware y software. Hay una gran cantidad de beneficios en la distribución nativa de archivos binarios arm64 nativos, lo cual es altamente atractivo para los hackers
• Las herramientas de análisis estático o los motores antivirus pueden tener problemas con los archivos binarios de arm64. En un experimento posterior, Wardle separó los binarios x86_64 y arm64 del binario universal GoSearch22 (usando la utilidad lipo incorporada de macOS)

Wardle señaló que las herramientas de análisis estático o los motores antivirus enfrentan dificultades para analizar los binarios ARM64, lo cual queda demostrado por el hecho de que la tasa de detección de estos malware es menor en comparación con la versión Intel x86_64: “Los nuevos sistemas M1 ofrecen grandes ventajas, y el código arm64 compilado de forma nativa se ejecuta increíblemente rápido. Queremos señalar que los autores de malware se han unido a las filas de los desarrolladores al recompilar su código para arm64 con el fin de obtener compatibilidad binaria nativa con el último hardware de Apple”, concluye el experto.

El cargo Expertos detectan la primera variante de malware dirigida a los nuevos dispositivos Apple apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ransomware Cuba infecta los sistemas de múltiples ciudades de EU

Múltiples agencias gubernamentales en E.U. han emitido notificaciones de brechas de datos en relación con un ataque de ransomware contra el Servicio de Transferencia Automática de Fondos (AFTS), una plataforma de procesamiento de pago y verificación de direcciones ampliamente utilizada por organizaciones gubernamentales.

AFTS administra un conjunto considerable de datos confidenciales, por lo que este incidente podría tener consecuencias desastrosas para individuos y organizaciones.

Acorde a estos reportes, la infección afectó a los sistemas gubernamentales en diversas ciudades de Washington y California, incluyendo departamentos vehiculares y oficinas de gobiernos locales.

Debido a la gran cantidad de datos potencialmente confidenciales que se vieron involucrados en este incidente, los gobiernos locales afectados han implementado algunas medidas de seguridad, comenzando por presentar notificaciones a las autoridades federales. En estos reportes se menciona que la información comprometida podría incluir nombres completos, domicilios, direcciones email, números de teléfono, números de matrículas y documentos financieros, entre otros datos.  

Todo indica que los ataques ocurrieron a inicios de febrero, cuando un grupo de actores de amenazas identificado como “Cuba Ransomware” logró infectar las redes comprometidas para robar información confidencial y cifrar los sistemas afectados.

Este ataque provocó una interrupción considerable en las operaciones regulares de AFTS, por lo que el sitio web de esta plataforma está temporalmente fuera de servicio y la administración de pagos trabaja a un ritmo más lento: “El sitio web de AFTS y todos los servicios relacionados con el procesamiento de pagos enfrentan problemas técnicos”, menciona una alerta publicada en el sitio web de la compañía.

Del mismo modo que otros incidentes de ransomware, los operadores de Cuba robaron información confidencial antes de cifrar los sistemas afectados, probablemente con la intención de venderla en foros ilegales. Después de una infección inicial, Cuba comienza a propagarse a través de la red comprometida, robando credenciales de acceso y desencadenando el cifrado de los sistemas atacados. En su sitio web, usado para publicar amenazas a las víctimas, los hackers afirman haber robado documentos financieros, correspondencia interna y externa, balances de la compañía, entre otros.

En caso de que las organizaciones afectadas ignoren la demanda de rescate, los expertos en ciberseguridad creen que los hackers podrían publicar esta información de forma gratuita en diversas plataformas ilegales. Los operadores del ransomware Cuba también podrían desplegar campañas adicionales empleando la información comprometida, incluyendo complejas campañas de phishing e ingeniería social.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ransomware Cuba infecta los sistemas de múltiples ciudades de EU apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente