RaFa Núñez Aponte: mayo 2021

lunes, 31 de mayo de 2021

Hackers de ransomware infectan los sistemas de la Lotería Nacional Mexicana; gobierno niega el ataque

La ciberseguridad suele ser un problema y una deficiencia para muchos gobiernos en el mundo, especialmente en América Latina. Muestra de ello es un reciente reporte que afirma que los sistemas de la Lotería Nacional Mexicana fueron hackeados por un grupo desconocido, estableciendo un plazo de 10 días para pagar una importante suma de dinero como rescate.

Esta noticia fue revelada hace un par de días por Hiram Camarillo, miembro de una agencia de ciberseguridad y, aunque Lotería Nacional no ha confirmado el incidente, el rumor sigue esparciéndose por plataformas como Facebook y Twitter.

Camarillo acompañó su reporte con algunas capturas de pantalla aparentemente extraídas de la plataforma en dark web operada por Avaddon, uno de los grupos de hacking más activos en la actualidad. Los hackers afirman haber accedido a toda clase de información resguardada por esta institución pública, incluyendo documentos legales, correspondencia interna y estados financieros, entre otros datos.

🇲🇽 | El gpo de #ransomware #Avaddon anuncia que La Lotería Nacional de México (Pronosticos Deportivos), es una de sus nuevas víctima
"contamos con datos como contratos y convenios de 2009 a 2021, docs legales, correspondencia, finanzas, datos notariales, outsourcing, y mucho más" pic.twitter.com/Uba44lPk7F
— Hiram Alejandro (@hiramcoop) May 28, 2021

Acorde al reporte, el plazo establecido por Avaddon para pagar el rescate vence el próximo 6 de junio. En caso de que sus exigencias no sean cumplidas, los actores de amenazas aseguran que publicarán toda la información extraída de los sistemas de la lotería. Los hackers incluyeron algunas muestras de información como prueba de que, en efecto, lograron comprometer los sistemas mencionados.

Como muchos ya habrán intuido, Avaddon es una operación de ransomware como servicio (RaaS), lo que quiere decir que sus desarrolladores y afiliados tratan de acceder a los sistemas de organizaciones públicas y privadas para inyectar una variante de malware capaz de bloquear el acceso a los archivos o sistemas infectados, exigiendo a las víctimas el pago de un rescate a cambio de restablecer todo a la normalidad.

Al respecto, Lotería Nacional solo publicó un comunicado en el que de forma muy breve afirman que sus sistemas informáticos funcionan sin inconveniente alguno: “Nuestro soporte tecnológico para la realización de sorteos y concursos se encuentra operando normalmente”, menciona el comunicado.

No obstante, Camarillo mantiene su versión sobre el hackeo e incluso publicó nuevas capturas de pantalla del sitio web de Avaddon en el que los supuestos hackers afirman que los directivos de Lotería Nacional no comprenden la gravedad de este asunto y reiteraron su amenaza de publicar la información comprometida.

#Avaddon actualizó el post de LN:
"no comprenden la seriedad de la situación"
"el hecho de querer ocultar que fueron hackeados y les robaron info, que tal si les decimos que tenemos información de acoso sexual en el lugar de trabajo, incidentes desagradables"
Via @elhackernet https://t.co/xjSsn2MLup pic.twitter.com/gLiT0cXhDi
— Hiram Alejandro (@hiramcoop) May 29, 2021

Falta menos de una semana para que venza el supuesto plazo de los hackers, por lo que no habrá que esperar mucho para saber quién de los involucrados en este incidente está mintiendo. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers de ransomware infectan los sistemas de la Lotería Nacional Mexicana; gobierno niega el ataque apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Miembros del Ejército de E.U. filtran secretos nucleares en Internet por error

Un reciente reporte asegura que decenas de soldados estadounidenses trabajando en diversas bases nucleares recurrieron al uso de una técnica didáctica conocida como flashcard para memorizar algunos secretos de seguridad sobre las múltiples bases nucleares que opera E.U. en territorio europeo, información que eventualmente terminó expuesta en algunos foros de Internet. Si bien el Pentágono ya logró eliminar de la red algunas de estas publicaciones con información secreta, aún es posible encontrar muestras de estos registros.

Estas flashcards exponen toda clase de información, desde la ubicación exacta de algunas implementaciones informáticas en estas bases hasta el despliegue de sus sistemas de vigilancia. El reporte, a cargo de la firma Bellingcat, afirma que también pueden encontrarse credenciales de acceso y nombres completos.

Los investigadores descubrieron las flashcards haciendo una búsqueda rutinaria en Google sobre algunos términos militares y nucleares. Por ejemplo, la búsqueda de términos como PAS o WS3 arrojó como resultado los nombres clave de estas instalaciones.

Bellingcat informó al Pentágono sobre esta información comprometida, por lo que de inmediato comenzó un proceso arduo para eliminar estos registros de Internet. No obstante, los investigadores confirmaron que aún es posible encontrar esta información a través de herramientas como Wayback Machine o Internet Archive.

Al respecto, un representante del Departamento de la Fuerza Aérea confirmó que se ha iniciado una investigación en relación a estos reportes, aunque no se agregaron mayores detalles.

El personal nuclear de la Fuerza Aérea tiene un trabajo de seguridad crítica, por lo que para los miembros de la comunidad de la ciberseguridad parece increíble que alguien haya autorizado esta práctica cuando los antecedentes indican una estricta rutina de seguridad a la que los miembros de estos cuerpos deben apegarse.

“Divulgar información confidencial, subir a Internet el más mínimo secreto nuclear o siquiera hablar de ello en voz alta debería representar problemas severos para los involucrados”, menciona un testimonio recuperado de la investigación de Bellingcat.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Miembros del Ejército de E.U. filtran secretos nucleares en Internet por error apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers explotan vulnerabilidades críticas en soluciones de seguridad de Fortinet

Una alerta del Buró Federal de Investigaciones (FBI) señala que una oficina gubernamental local fue comprometida a través del abuso de una falla en una solución de seguridad de Fortinet hace un par de semanas. La alerta menciona que este ataque fue perpetrado por un grupo de actores de amenazas contra un dispositivo Fortigate con el fin de acceder al servidor web que alojaba el dominio gubernamental afectado.

Aunque la agencia de investigación no reveló exactamente qué gobierno local fue atacado, es un hecho confirmado que los hackers explotaron fallas de seguridad vinculadas a productos de Fortinet.

Después de acceder a los sistemas comprometidos, los actores de amenazas lograron realizar diversas acciones maliciosas, incluyendo la extracción de datos confidenciales y cifrado de archivos, entre otros ataques. El FBI menciona que estos ataques parecen estar dirigidos a organizaciones e industrias específicas.

Sobre las vulnerabilidades explotadas por los hackers, el FBI señala que estas fallas se relacionan con FortiOS, el sistema operativo presente en las soluciones de seguridad de Fortinet. Este desarrollo fue creado para optimizar el funcionamiento de los productos de Fortinet, aunque parece que los hackers han encontrado la forma de usarlo en contra de las organizaciones afectadas.

Al respecto, Fortinet publicó un comunicado mencionando: “Esta campaña podría estar relacionada con la vulnerabilidad identificada como CVE-2018-13379; nos hemos comunicado directamente con los clientes y a través de publicaciones de blogs corporativos para compartir algunas recomendaciones de seguridad.” El comunicado también se refiere a CVE-2019-5591 y CVE-2020-12812, dos fallas de seguridad abordadas en actualizaciones anteriores pero que algunos administradores no han corregido.

Por otra parte, el analista de seguridad Sean Nikkel mencionó que todas las fallas enlistadas en esta alerta fueron identificadas hace al menos un año, lo que sin duda demuestra que la política de actualizaciones en muchas organizaciones debe mejorar: “Es bueno recibir un recordatorio porque no solo los usuarios legítimos están al tanto de las actualizaciones de seguridad, pues los actores de amenazas incluso son más atentos al lanzamiento de actualizaciones para abordar potenciales fallas de seguridad”.

El cargo Hackers explotan vulnerabilidades críticas en soluciones de seguridad de Fortinet apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

“Rey del fraude” enfrenta importante sentencia por la operación de una botnet masiva; compañías en E.U. estafadas por hasta 7 millones de dólares

El Departamento de Justicia de E.U. (DOJ) dio a conocer que Aleksandr Zhukov, ciudadano ruso de 41 años, enfrenta una sentencia de hasta 20 años de prisión al ser acusado de operar el esquema de fraude publicitario identificado como Methbot, que le habría reportado al acusado y a sus cómplices ganancias de hasta 7 millones de dólares. El auto nombrado “rey del fraude” fue arrestado a finales de 2018 mientras se ocultaba en Bulgaria y fue extraditado a Estados Unidos un par de meses después.

Acorde a Dzmitry Naskavets, quien brinda servicios de asistencia legal a personas de habla rusa en E.U. dio a conocer algunos detalles del juicio: “En la mayoría de los casos como este los acusados se declaran culpables; Zhukov decidió no cooperar e incluso declinó la posibilidad de recibir mi asesoría.” Naskavets agrega que el acusado afirma haber desarrollado una herramienta de inteligencia artificial para la administración de negocios e incluso solicitó al juez responsable del caso que se le asignara un nuevo abogado.

Los alegatos de Zhukov no dieron resultado alguno, ya que el jurado lo encontró culpable de los cuatro cargos presentados por la fiscalía (fraude electrónico, conspiración para cometer fraude, lavado de dinero y operación de transacciones con recursos de procedencia ilícita).

Por su parte, el fiscal para el distrito de Nueva York Mark Lesko mencionó: “El acusado es un estafador que empleó avanzada tecnología para robar millones de dólares a diversas compañías estadounidenses. Tal vez Zhukov creyó que se saldría con la suya, pero el gobierno de E.U. ha mostrado nuevamente su capacidad para llevar a los cibercriminales ante la justicia.”

Sobre las tácticas fraudulentas de Zhukov, los documentos de la corte señalan que el acusado empleó una botnet masiva para crear una red publicitaria conocida como Media Methane para colocar anuncios en sitios web a cambio de una cuota muy atractiva; en lugar de redirigir a los usuarios a sitios web legítimos de e-commerce, estos anuncios llevaban a páginas maliciosas con diversos fines.

El acusado habría programado los servidores para simular la actividad humana en Internet; por ejemplo, al navegar por Internet, se desplazarían hacia abajo en una página web e iniciarían y detendrían los reproductores de video. Zhukov también alquiló más de 650 mil direcciones IP y las registró a nombre de grandes empresas de telecomunicaciones para que pareciera que el tráfico de computadoras provenía de hogares residenciales.

El esquema falsificó miles de millones de visualizaciones de anuncios y desvió más de 7 millones de dólares en compañías que creían que sus anuncios estaban siendo vistos por usuarios reales. Las víctimas incluyeron a The New York Times, The New York Post, Comcast, Nestlé Purina y Time Warner Cable.

El cargo “Rey del fraude” enfrenta importante sentencia por la operación de una botnet masiva; compañías en E.U. estafadas por hasta 7 millones de dólares apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

viernes, 28 de mayo de 2021

Las 15 mejores herramientas de ingeniería inversa para el análisis de malware, software y tráfico de red

La ingeniería inversa es uno de los métodos más importantes para la investigación y el hacking, ya que permite determinar cuáles son los componentes de una herramienta antivirus, variante de malware o conjunto de datos, además de descubrir de qué forma interactúan entre sí estos elementos y cómo fueron integrados en un solo desarrollo.

Para los profesionales dedicados a la ingeniería inversa de malware, la depuración de una aplicación es fundamental, ya que facilita el proceso de ingeniería inversa y permite a los investigadores avanzar en el análisis de posibles amenazas de seguridad. En esta ocasión, los expertos del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán las mejores herramientas para aplicar ingeniería inversa a aplicaciones, malware y tráfico de red, lo que sin duda será de gran utilidad para los expertos en ciberseguridad en los procesos de depuración, desmontaje y cualquier otro paso involucrado en el análisis inverso de software.

Como de costumbre, le recordamos que este material fue elaborado con fines específicamente informativos, por lo que IICS no se hace responsable del mal uso que pueda darse a esta herramienta.

x64dbg

Esta es una moderna herramienta de debugging con una interfaz muy fácil de utilizar. Acorde a los expertos en ingeniería inversa de malware, la herramienta admite las arquitecturas x64 y x86, además de contar con plugins útiles para diferentes ocasiones.

Si bien la herramienta presenta errores frecuentemente, sus mantenedores se mantienen activos y envían constantes actualizaciones para optimizar su funcionamiento. Por otra parte, x64dbg tiene un descompilador incorporado, admite mostrar el código en forma de gráfico y puede hacer puntos de interrupción para leer, escribir, ejecutar y acceder, además de contar con una utilidad de reconstrucción de importación incorporada tanto x64 como x86.

WinDbg

Este depurador es mantenido directamente por Microsoft y se incluye en Windows Driver Kit (WDK). Actualmente es considerada la herramienta de depuración de kernel más actualizada y poderosa y puede operar en modo kernel, aunque no cuenta con una interfaz muy accesible para sus nuevos usuarios.

WinDbg admite la depuración remota y puede descargar símbolos de depuración directamente desde los servidores de Microsoft. Para configurarlo rápidamente para depurar el kernel del sistema operativo dentro de las máquinas virtuales, hay un complemento de VirtualKD.

IDA Disassembler

Esta herramienta cuenta con una versión gratuita y una de paga. La primera versión solo es compatible con x86, además de que no admite plugins. Por otra prte, la versión de pago puede usarse sin restricciones de arquitectura o plugins, lo que la hace una opción mucho mejor para los investigadores.

IDA tiene un depurador incorporado, muy sencillo en cuanto a un conjunto de funciones pero con una interfaz de usuario algo complicada. Esta herramienta también puede adaptarse con el plugin Hex-Rays, un poderoso descompilador escrito en C que mejora considerablemente las características predeterminadas de IDA Disassembler.

Radare2

Acorde a los expertos en ingeniería inversa de malware, esta herramienta fue pensada originalmente como un editor hexadecimal, aunque eventualmente fue convertido en un marco completo para la depuración y desensamblado de toda clase de código, incluyendo software malicioso.

Radare2 es una colección de utilidades de consola que incluye un depurador, desensamblador, descompilador, editor hexadecimal, compilador nativo y utilidad de comparación binaria, entre muchas otras herramientas, además de de contar con toda clase de procesadores y plataformas, gracias a las cuales puede competir incluso con productos como la versión de paga de IDA Disassembler.

Detect it Easy (DiE)

Este es un excelente programa para identificar empacadores, además de contar con muchas otras funcionalidades como el cálculo de la entropía de las secciones de archivo.

La herramienta también incluye un visor de recursos capaz de volcar al disco, lo que permite ver fácilmente la tabla de importación, soporte para extensiones y scripts. La mayor desventaja de DiE es que sus mantenedores no suelen lanzar actualizaciones, por lo que los errores reportados son corregidos hasta el lanzamiento de versiones completamente nuevas.

ExeInfoPE

Este es un detector de empaquetadores y protectores muy funcional aunque con una interfaz bastante peculiar que puede llegar a ser difícil de entender. Aún así, el programa se actualiza de forma constante y está lleno de características interesantes para los expertos en ingeniería inversa de malware.

Los expertos consideran que esta es la herramienta ideal para principiantes, ya que también contiene funciones predeterminadas para un funcionamiento más amigable, sin mencionar el soporte para plugins populares.

HxD

HxD es un miembro destacado de la familia de los editores hexadecimales, pues es una de las principales opciones para acceder a un disco duro, memoria o aplicación en modo binario. La herramienta es gratuita y se actualiza constantemente, además de que permite eliminar archivos de forma segura y compatibilidad con una versión portátil.

HIEW

Esta herramienta cuenta con una versión gratuita y una de paga y que recibe mantenimiento constante por parte de los desarrolladores. Los expertos en ingeniería inversa de malware mencionan que esta es una herramienta similar a Norton Commander, aunque la interfaz de usuario es un poco más compleja.

Pestudio

Pestudio es una avanzada herramienta para el análisis de malware que escanea automáticamente cualquier muestra, incluso tomando las bases de datos de plataformas como VirusTotal.

La herramienta muestra de forma práctica las funciones de la tabla de importación utilizadas en la aplicación de prueba, muestra las firmas de virus de la aplicación, las bibliotecas utilizadas y la información del encabezado del archivo PE. En otras palabras, es un recolector antivirus multifuncional para el análisis inicial de muestras.

PE-bear

Este es un práctico visor y editor para archivos PE y PE+ que contiene un analizador de empaquetadores y protectores, muestra información sobre encabezados de archivos, recursos y secciones. Si los usuarios lo deciden, pueden acceder ver la representación hexadecimal de estas secciones y desmontarlas en mnemotécnicos de ensamblador ordinarios.

PE-bear tiene una interfaz amigable y un plugin preinstalado para comparar archivos, aunque como desventaja el programa no recibe actualizaciones de forma constante, aunque no debemos olvidar que se trata de una herramienta de código abierto.

Fakenet-NG

Este es un programa especializado para la creación de redes y que permite examinar cualquier muestra de malware, supervisar solicitudes DNS y HTTP, rastrear tráfico web y analizar direcciones IP. Fakenet-NG opera en una máquina virtual sin conexión a la red, por lo que es una herramienta completamente segura.

La herramienta recibe actualizaciones constantemente, por lo que puede ser compatible incluso con los sistemas operativos más modernos.

ProcessExplorer

La interfaz de esta herramienta muestra todos los procesos en ejecución del sistema organizadas jerárquicamente, lo que permite a los expertos en ingeniería inversa de malware identificar el orden en que se generan los procesos.

La herramienta permite averiguar qué bibliotecas dinámicas se cargan en procesos, prioridades, firmas digitales y uso del procesador.

RegShot

RegShot es un programa ideal para monitorear cualquier cambio en el registro, toma capturas de pantalla antes y después del análisis y permite identificar los cambios realizados.

TCPview

Este programa monitorea la actividad de red y de aplicaciones en el sistema analizado. Los usuarios pueden ver qué puertos están abriendo la aplicación de forma local y remota, además de identificar protocolos, ID de proceso y contadores de paquetes de reenvío.

Resource Hacker

Esta es una herramienta popular para la edición de recursos. Acorde a los especialistas en ingeniería inversa de malware los usuarios pueden editar íconos, cadenas de diálogo de texto, información del cursor y otros registros. No es necesario editar los recursos de la aplicación con frecuencia, pero es necesario contar con la herramienta adecuada.

Estas aplicaciones deberían ser más que suficientes para los investigadores y los no iniciados en este tema. El dominio de estas herramientas permitirá a los entusiastas acercarse a otras herramientas más sofisticadas e incluso adentrarse al desarrollo de nuevo software para la ingeniería inversa de malware.

El cargo Las 15 mejores herramientas de ingeniería inversa para el análisis de malware, software y tráfico de red apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

jueves, 27 de mayo de 2021

Proceso de certificación PDF es vulnerable a nuevas variantes de ataque; fallas afectan Adobe, Foxit y otras herramientas

Una reciente investigación afirma que los archivos PDF certificados no cuentan con las protecciones necesarias, por lo que son vulnerables a diversos tipos de ciberataque. Estos archivos suelen ser empleados para la firma de acuerdos de forma segura entre dos partes, ya que la certificación protege la integridad del documento.

La investigación, a cargo de un equipo especializado de la Universidad de Ruhr, señala que los documentos PDF certificados emplean dos firmas específicas para la autenticación, además de una firma de certificación. Las firmas de certificación son las más flexibles y están hechas para manejar acuerdos complicados entre múltiples partes, además de que permiten algunos cambios limitados en el documento.

Las vulnerabilidades residen en estas firmas certificadas, pues los expertos descubrieron que este mecanismo se ve expuesto a dos nuevos ataques identificados como “Evil Annotation” y “Sneaky Signature”, que permiten la superposición de de contenido malicioso sobre la firma legítima.

Mientras que la primera variante de ataque permite a los hackers mostrar contenido malicioso en las anotaciones del documento y enviarlo con la firma digital intacta, el ataque Sneaky Signature agrega contenido malicioso encima del contenido legítimo.

Los investigadores analizaron 26 de las más populares herramientas PDF, encontrando resultados alarmantes: “Solo dos de estas herramientas están a salvo de estos ataques, mientras que aplicaciones como Adobe, Foxit y LibreOffice se ven afectadas por al menos una de estas técnicas maliciosas”, afirman los expertos.

Estos hallazgos fueron presentados a los proveedores, en conjunto con una serie de informes complementarios sobre cada vulnerabilidad específica.

Con el fin de mitigar el riesgo de explotación, los investigadores recomiendan a los administradores inhabilitar FreeText, Stamp y Redact, tres anotaciones particulares que pueden ser abusadas por los actores de amenazas. Esto no quiere decir que el riesgo será completamente eliminado, por lo que es necesario que los desarrolladores aborden estos riesgos de seguridad.

El reporte también menciona que los campos de firma deben configurarse en ubicaciones definidas en el documento PDF antes de completar el proceso de certificación: “La adición posterior de campos de firma debe ser penalizada con un estado de certificación inválido. De lo contrario, siempre se puede usar para agregar texto o imágenes incluidos en la firma en cualquier posición”, concluye el informe.

El cargo Proceso de certificación PDF es vulnerable a nuevas variantes de ataque; fallas afectan Adobe, Foxit y otras herramientas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers usan campaña masiva de phishing para entregar peligrosa variante de ransomware a miles de usuarios Windows

Especialistas en ciberseguridad reportan la detección de una ambiciosa campaña de phishing en la que los operadores tratan de engañar a los usuarios haciéndose pasar por empleados de un servicio de paga que deberá ser cancelado. El objetivo de estos hackers es infectar los sistemas atacados con la variante de malware BazaLoader.

Este malware es capaz de implantar un backdoor en sistemas Windows, permitiendo el despliegue de ataques posteriores como infecciones de ransomware Ryuk, que suele ser entregado a través de BazaLoader. La más reciente campaña depende de la interacción de los usuarios afectados, además se requiere una compleja cadena de ataque para completar una infección exitosa.

Los investigadores de la firma de seguridad Proofpoint mencionan que la primera etapa de ataque comienza con el despliegue de miles de correos electrónicos maliciosos supuestamente enviado de un servicio de streaming falso nombrado “BravoMovies”, un nombre empleado por los hackers para engañar a las víctimas.

Los hackers parecen haber dedicado muchos recursos a la creación del sitio web, incluso recordando carteles de películas para hacerlo más atractivo. No obstante, los usuarios más analíticos podrán notar algunos errores ortográficos en esta plataforma.

El mensaje recibido por los usuarios afectados asegura que el periodo de prueba de la víctima ha finalizado, por lo que se iniciará un cobro de 40 dólares al mes a menos que el usuario decida cancelar llamando al número telefónico proporcionado en el mensaje. Si el usuario decide llamar, será contactado por un supuesto representante de atención al cliente que, fingiendo ayudar a la cancelación del servicio, estará forzando la instalación del malware en la computadora de la víctima.

Los hackers logran la infección dirigiendo al usuario a un falso sitio web de suscripción, donde se intentará que el usuario descargue un documento de Excel. Este documento contiene macros que, al habilitarse, descargarán el malware BazaLoader en el dispositivo comprometido. Esta es una muestra más de cómo la ingeniería social puede resultar muy útil para desplegar un ataque contra cientos e incluso miles de usuarios, algo que permite a los hackers trabajar de forma casi automatizada y obtener enormes ganancias en ventanas de tiempo reducidas.

Por seguridad, los usuarios deben ignorar esta clase de mensajes, pues es claro que se trata de intentos de fraude electrónico muy bien diseñados pero con fallas que delatan las intenciones de los hackers. Esta es una técnica efectiva debido a que los hackers amenazan con realizar cargos a las tarjetas de los usuarios, por lo que se crea una sensación de urgencia en el usuario afectado.

El cargo Hackers usan campaña masiva de phishing para entregar peligrosa variante de ransomware a miles de usuarios Windows apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

miércoles, 26 de mayo de 2021

Cómo hackear cuentas de Instagram desde un smartphone usando Termux

Instagram se convirtió en una de las plataformas sociales más populares desde su aparición, incluso se ha convertido en una fuente de ingresos para muchas personas y, por lo tanto, en objetivo de múltiples actores de amenazas.

Muchos usuarios tal vez ya lo sepan, pero es posible comprometer una cuenta de usuario en esta plataforma usando Termux, el emulador de terminal para sistema Android, tal como se menciona en el curso de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS).

A continuación le mostraremos la forma adecuada de emplear este método de hacking.

Para comenzar, debe asegurarse de haber instalado en su smartphone una versión compatible de Termux, además de instalar paquetes estables. Posteriormente, ejecute los siguientes comandos.

apt-get update -y
apt-get upgrade -y
pkg install python -y 
pkg install python2 -y
pkg install git -y
pip install lolcat

Para instalar la herramienta de hacking de Instagram, ejecute los siguientes comandos:

git clone https://github.com/noob-hackers/ighack
ls
cd ighack
ls
bash setup
bash ighack.sh

Más información sobre el funcionamiento de esta herramienta estará disponible en el curso de ciberseguridad de IICS. Para el siguiente paso necesitaremos conexión a Internet. Puede seleccionar cualquier opción haciendo clic en su teclado. IMPORTANTE: No elimine ninguno de los scripts incluidos en los archivos principales.

Ahora abra una nueva sesión y escriba tor en ella y luego vuelva a la sesión anterior e inicie la herramienta ig hack y comience a atacar la cuenta del usuario objetivo. También hay una opción de lista de pases personalizada en la herramienta, así que use la ubicación adecuada para usar la lista de contraseñas en la herramienta, por ejemplo, /sdcard/Download/pass.txt.

Como en el ejemplo anterior, debe usar la ubicación en un ataque de lista de acceso personalizado.

Recuerde que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no se hace responsable del mal uso que pudiera darse a la información aquí contenida. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en solicitar informes del curso de ciberseguridad impartido por los especialistas del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cómo hackear cuentas de Instagram desde un smartphone usando Termux apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Expertos de Google descubren una nueva y más potente variante de ataques Rowhammer

Los investigadores de Google Project Zero revelaron el descubrimiento de una nueva variante de ataque Rowhammer que apunta contra las tarjeas de memoria RAM y puede ser más devastador que los métodos de ataque revelados anteriormente. Rowhammer es una variante de ciber a taque detectada en 2014 y que es capaz de abusar del diseño de las tarjetas RAM modernas, basadas en celdas de memoria.

Este ataque depende de una aplicación maliciosa capaz de realizar operaciones de lectura/escritura en las celdas de memoria del sistema comprometido. Debido a que las células cambian sus valores de 0 a 1 y viceversa en un tiempo reducido, generando cambios electromagnéticos casi imperceptibles en un inicio. Como resultado, se producen errores en las filas de memoria cercanas que, a veces, alteran los bits y datos adyacentes.

Los ataques iniciales de Rowhammer se dirigieron a las tarjetas de memoria RAM DDR3, pero los expertos siguieron investigando el tema hasta descubrir que los ataques de Rowhammer también podrían afectar a la RAM DDR4 mediante la ejecución de un código JavaScript cargado en un sitio web o a través del envío de paquetes de red especialmente diseñados.

Posteriormente los investigadores también descubrieron que los ataques Rowhammer pueden ser usados con el fin de robar datos de la memoria RAM, además de que un ataque podía ser potenciado empleando tarjetas gráficas instaladas en el sistema objetivo.

Los proveedores de hardware respondieron a estos ataques implementando un conjunto de mitigaciones conocidas como Target Row Refresh (TRR). Cuando se habilita en una tarjeta RAM, TRR combinaría un conjunto de configuraciones de hardware y software para detectar y disminuir los efectos de los ataques Rowhammer. Estas mitigaciones no siempre son funcionales, y los investigadores demostraron que una nueva variación del ataque inicial de Rowhammer llamada TRRespass podría omitir los mecanismos TRR incluso en la última generación de tarjetas RAM.

Los investigadores de Google demostraron haber llevado los ataques Rowhammer a un nuevo nivel. En una nueva variante de ataque, los investigadores lograron desplegar un ataque Rowhammer que alteró los bits de múltiples celdas en lugar de una a la vez.

En otras palabras, a pesar de que las tarjetas RAM se hacen cada vez más pequeñas, la distancia entre las filas de memoria también se redujo, lo que permite que el campo electromagnético causado por Rowhammer alcance más celdas de memoria que las primeras versiones del ataque.

Si bien no se han detectado incidentes relacionados con este ataque en escenarios reales, los investigadores de Google creen que esto podrí estar a punto de cambiar. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Expertos de Google descubren una nueva y más potente variante de ataques Rowhammer apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Microsoft advierte a usuarios de Android sobre nuevas variantes de ransomware móvil

Un reporte de seguridad de Microsoft afirma que los usuarios de smartphones con sistema operativo Android están siendo afectados por una serie de aplicaciones maliciosas que contienen variantes de ransomware para equipos móviles conocidas como AndroidOS y MalLocker.B.

La compañía asegura que estas nuevas variantes de ransomware se activan cuando los usuarios instalan aplicaciones engañosas en sus dispositivos y presionan el botón de inicio en el smartphone, por lo que una infección no requiere de mucha colaboración de los usuarios afectados.

Como muchos recordarán, las variantes de ransomware móvil se inyectan usualmente a través de aplicaciones maliciosas o con la descarga de documentos infectados. Una vez instalado en el dispositivo afectado, el software malicioso toma control de la pantalla y muestra la nota de rescate a los usuarios.

Al igual que en otras campañas maliciosas, los operadores de estas variantes de ransomware móvil muestran un mensaje en el que se hacen pasar por una agencia policial o incluso muestran los emblemas del Buró Federal de Investigaciones (FBI), engañando a la víctima sobre la comisión de un supuesto delito y la obligación de pagar una multa. Estos mensajes parecen legítimos, por lo que muchos usuarios suelen caer en la trampa.

Microsoft también explicó que el nuevo ransomware puede abusar de la notificación de llamadas en el smartphone comprometido. Esto permitirá a los hackers mostrar una ventana que cubre las pantallas completas de sus víctimas hasta que el rescate sea pagado. Aunque en algunos foros de ciberseguridad se ha atribuido esta actividad criminal a los operadores del ransomware Conti, la realidad es que no hay certeza sobre su origen.

Finalmente, si bien los operadores de variantes de ransomware convencionales exigen rescates de en promedio 170 mil dólares, los hackers de ransomware móvil suelen ser menos estrictos con sus exigencias económicas, ya que en la mayoría de incidentes exigen apenas unos cientos de dólares. Esto no quiere decir que el problema sea de poco interés para la comunidad de la ciberseguridad, ya que algunas compañías se encuentran desarrollando algunos métodos para la prevención de estas infecciones abordado los principales vectores de ataque, que incluyen fallas de seguridad móvil.

El cargo Microsoft advierte a usuarios de Android sobre nuevas variantes de ransomware móvil apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidades críticas en NGINX permiten a los hackers tomar control completo del sistema afectado. Actualice ahora

Los equipos de seguridad de Nginx publicaron un informe relacionado con una vulnerabilidad crítica en su implementación de resolución DNS. Identificada como CVE-2021-23017, la explotación exitosa de esta vulnerabilidad permitiría a los actores de amenazas tomar control completo de los sistemas afectados. La falla aún no recibe un puntaje en el Common Vulnerability Scoring System (CVSS).

El riesgo incrementa debido a que ya se ha confirmado la existencia de un exploit disponible públicamente. El reporte señala que esta falla existe debido a una variante de error conocida como off-by-one en la función ngx_resolevr_copy () durante el procesamiento de respuestas DNS. Los actores de amenazas remotos podrían abusar del error para escribir un caracter fuera del área de memoria asignada en el búfer, lo que permitiría ejecutar código malicioso.

Es posible que la falla exista debido una respuesta DNS a una consulta DNS de Nginx al configurar una primitiva de resolución. Un paquete especialmente diseñado permitiría sobrescribir el byte de metadatos menos significativo del siguiente bloque de pila con 0x2E y ejecutar el código.

Esta falla reside en Nginx Open Source, Nginx Plus y Nginx Ingress Controller. La lista completa de las versiones afectadas está disponible en las plataformas oficiales de la compañía.

En el reporte de la compañía también se hace referencia a dos fallas en Nginx. La primera vulnerabilidad, identificada como CVE-2021-23019 está relacionada con un archivo system.txt que se incluye en el paquete de soporte de Nginx. Los actores de amenazas podrían obtener el paquete de soporte, recuperar la contraseña de administrador y obtener acceso privilegiado al sistema objetivo. Esta falla recibió un puntaje CVSS de 7.4/10.

Por otra parte, CVE-2021-23021 existe debido a la aplicación incorrecta de permisos predeterminados para el archivo de configuración del agente /etc/controller-agent/agent.conf. Un usuario local con acceso al sistema puede obtener información sensible, como la clave API. La vulnerabilidad permite a un usuario local escalar privilegios en el sistema y recibió un puntaje CVSS de 2.9/10. Esta falla solamente puede ser explotada de forma local, lo que reduce el riesgo de abuso.

Nginx ya ha lanzado las correcciones necesarias para abordar estos problemas de seguridad, por lo que se recomienda a los usuarios de implementaciones afectadas instalar las actualizaciones a la brevedad.

El cargo Vulnerabilidades críticas en NGINX permiten a los hackers tomar control completo del sistema afectado. Actualice ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

martes, 25 de mayo de 2021

Encuentran más de 2 mil extensiones de navegador maliciosas en tienda oficial de Chrome

Un reciente reporte de seguridad asegura que unos cuantos miles de extensiones de Google Chrome disponibles en la tienda oficial del popular navegador web podrían estar manipulando encabezados de seguridad en populares sitios web, lo que expone a los usuarios de Chrome a toda clase de variantes de ataque.

Cabe recordar que un encabezado de seguridad es una respuesta HTTP enviada por el servidor a una aplicación cliente, como un navegador. Cuando un usuario accede a un sitio web, el navegador realiza una solicitud a un servidor, que luego entrega el sitio web. Si bien los sitios web en sí se muestran a través de código HTML, JavaScript y CSS, los administradores de sitios web pueden agregar configuraciones adicionales en el encabezado de la conexión HTTP para indicar al navegador del usuario que trate el contenido entregado de una forma en específico.

Los encabezados de seguridad son un tipo de respuesta HTTP que permite a los administradores de sitios web activar y personalizar las funciones de seguridad dentro del navegador del usuario u otras aplicaciones cliente. Algunos de los encabezados de seguridad más comunes en la actualidad son usados por los operadores de sitios web para asegurarse de que su sitio funcione a través de una conexión HTTPS cifrada, protegiendo a los usuarios contra ataques de scripts entre sitios y variantes similares.

Muchos sitios web importantes emplean encabezados de seguridad para proteger a sus usuarios contra ataques, ya que debido a su mayor tamaño, suelen recibir más ataques basados en la web que los sitios normales. No obstante, esta no es una medida de seguridad a prueba de cualquier variante de ataque, ya que estos encabezados pueden ser interceptados o inhabilitados por actores de amenazas empleando ataques Man-in-The-Middle (MiTM) para comprometer a un usuario en el contexto de un sitio web vulnerable.

Acorde a la investigación presentada por el Centro CISPA Helmholtz para la Seguridad de la Información, más de 2 mil 400 extensiones de Chrome disponibles en Chrome Web Store son vulnerables a esta clase de ataques. Los expertos emplearon un marco de análisis especialmente diseñado para esta investigación, escaneando un total de 186 mil 434 extensiones de navegador.

El análisis detectó 2 mil 485 extensiones interceptando o modificando al menos un encabezado de seguridad empleado por 100 de los más populares sitios web de la actualidad, incluyendo plataformas sociales y sitios web de e-commerce.

Cabe señalar que este estudio no se centró en todos los encabezados de seguridad, sino solo en los cuatro más comunes: Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options y X-Content-Type-Options.

Son 2 mil 485 las extensiones que inhabilitan al menos uno de estos encabezados, mientras que al menos 530 extensiones inhabilitan los cuatro encabezados de seguridad más populares, reportan los expertos.

Los expertos mencionan que los encabezados son inhabilitados con el fin de introducir funcionalidades adicionales y de apariencia legítima en los sistemas afectados. Estos ataques buscan exponer a los usuarios al robo de información, ejecución de scripts arbitrarios y entrega de malware.

El cargo Encuentran más de 2 mil extensiones de navegador maliciosas en tienda oficial de Chrome apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica en VMware vCenter Server expone sistemas afectados

Los equipos de seguridad de VMware solicitaron a sus clientes que instalen una vulnerabilidad crítica de ejecución remota de código en Virtual SAN Health Check, presente en todas las implementaciones de vCenter Server. Bob Plankers, especialista de VMware, asegura que la vulnerabilidad es crítica y debe ser corregida de inmediato.

Como muchos usuarios recordarán, vCenter Server es una solución de administración de servidores que ayuda a los administradores de TI a controlar máquinas virtuales y hosts virtualizados en entornos empresariales a través de una única consola.

La vulnerabilidad fue identificada como CVE-2021-21985 y recibió un puntaje de 9.8/10 acorde a la escala del Common Vulnerabiliry Scoring System (CVSS). La falla puede ser explotada de forma remota por actores de amenazas no autenticados en ataques de baja complejidad que no requieren interacción del usuario

Acorde al reporte, el cliente vSphere (HTML5) contiene una vulnerabilidad de ejecución remota de código debido a la ausencia de validación de entradas en el complemento Virtual SAN Health Check: “Los actores de amenazas con acceso al puerto 433 podrían abusar de esta falla para ejecutar comandos con altos privilegios en el sistema operativo subyacente.”

Según VMware, el complemento vulnerable Virtual SAN Health Check está habilitado de forma predeterminada en todas las implementaciones de vCenter Server, ya sea que se utilice o no vSAN. La compañía también anunció la corrección de un problema del mecanismo de autenticación de gravedad media registrado como CVE-2021-21986 y que afecta a los complementos Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager y VMware Cloud Director Availability.

Finalmente VMware dio a conocer algunas medidas alternativas para eliminar el vector de ataque y la posibilidad de explotación configurando los complementos afectados como “incompatibles”. Los pasos necesarios para deshabilitar los complementos de vCenter Server en dispositivos virtuales basados en Linux (vCSA) y las implementaciones de vCenter Server basadas en Windows configurándolos como incompatibles están disponibles en las plataformas oficiales del fabricante.

En febrero, VMware abordó un error crítico similar de RCE que afectaba a todas las implementaciones de vCenter Server que ejecutaban un complemento de vCenter Server vulnerable para vRealize Operations (vROps) presente en todas las instalaciones predeterminadas.

El cargo Vulnerabilidad crítica en VMware vCenter Server expone sistemas afectados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Importantes bancos planean implementar tecnología de reconocimiento facial para prevenir fraudes y robo a cajeros automáticos

Ante los crecientes ataques contra cientos de cajeros automáticos, muchos de los bancos más importantes en Estados Unidos comenzaron a implementar un software para cámaras de seguridad capaz de monitorear a los trabajadores, clientes y demás personas que merodean alrededor de estas máquinas para prevenir posibles incidentes de seguridad.

Los expertos en ciberseguridad creen que estas herramientas de inteligencia artificial experimentarán un despliegue generalizado y su regulación podría representar un paso importante en las medidas de seguridad de las instituciones bancarias. Al respecto, el director de seguridad informática en City National Bobby Domínguez afirma que esta implementación surgió de la tecnología de reconocimiento facial empleada por algunos smartphones actuales.

City National comenzará a implementar algunos mecanismos de reconocimiento facial en los próximos meses con el fin de identificar a los clientes y empleados en sus sucursales, lo que creen que permitiría reemplazar las antiguas medidas de autenticación de usuario con métodos más eficientes, además de identificar a potenciales criminales empleando bases de datos de las agencias de la ley.

Por otra parte, JPMorgan también confirmó que estará implementando una prueba similar en algunas sucursales de Ohio con el fin de prevenir actividades fraudulentas, aunque no se confirmaron mayores detalles.

¿Problemas de privacidad?

A pesar de que los banqueros ven esta tecnología como el futuro en la prevención de fraude y ataque a cajeros automáticos, muchos activistas de las libertades civiles ya han mostrado su preocupación, ya que la implementación errónea de esta tecnología podría tener consecuencias desagradables para los usuarios legítimos, además de acentuar problemas como la discriminación contra algunas minorías.

Este no es un problema nuevo e incluso existe legislación al respecto. El gobierno de Oregon, por ejemplo, prohíbe a las compañías emplear tecnología de reconocimiento facial en espacios públicos, al considerar que esta práctica es violatoria de algunos derechos fundamentales.

Al respecto, Domínguez asegura que la institución que representa implementará de forma adecuada esta tecnología: “Nuestra intención nunca ha sido comprometer la privacidad de nuestros clientes o empleados; deseamos aplicar esta tecnología que ya es usada en muchas partes del mundo de la mejor forma posible para brindar una experiencia ideal.”

JPMorgan comenzó a evaluar el posible uso de reconocimiento facial en 2019, empleando un software diseñado para el análisis de imágenes de archivo tomadas por los sistemas de seguridad en algunas de sus sucursales. Probar el reconocimiento facial para identificar a los clientes cuando ingresan a una sucursal, con previo consentimiento y con fines de mejorar su experiencia, también es una posibilidad.

La seguridad en los bancos sigue avanzando, por lo que no sería extraño que en el futuro cercano las más importantes instituciones bancarias implementen estos mecanismos a fin de prevenir pérdidas debido a la actividad cibercriminal.

El cargo Importantes bancos planean implementar tecnología de reconocimiento facial para prevenir fraudes y robo a cajeros automáticos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Bose confirma brecha de datos derivada de ataque de ransomware; información de miles de empleados filtrada

Un representante de la compañía fabricante de equipos de audio Bose Corporation dio a conocer una brecha de datos derivada de un ataque de ransomware que comprometió los sistemas informáticos de la empresa hace un par de meses. El representante presentó una notificación de incidentes de seguridad ante la Oficina del Fiscal General de New Hampshire en cumplimiento con la legislación local.

La compañía ya está en colaboración con especialistas en ciberseguridad para completar el proceso de restablecimiento de sistemas afectados, además trabajan con un equipo forense digital para determinar si los actores de amenazas lograron acceder a información confidencial.

Por otra parte Joanne Berthiaume, directora de relaciones públicas de Bose, afirma que la compañía no pagará rescate alguno: “Estamos en proceso de recuperar la información comprometida con la asesoría de especialistas en ciberseguridad con amplia experiencia en casos como este”, afirma Berthiaume.

En una actualización posterior, Bose confirmó que la información de algunos empleados pudo verse afectada: “Hemos identificado que la información de un grupo reducido de personas se vio comprometida, por lo que nuestro equipo legal prestará asesoría a los afectados. Seguiremos enfocados en brindar a nuestros clientes y empleados la mejor experiencia posible.”

La investigación de Bose permitió identificar el vector de ataque empleado por los hackers, además de concluir que la información de empleados actuales y antiguos se vio comprometida: “El análisis forense determinó que el incidente ocurrió a finales de abril, cuando los atacantes accedieron a una cantidad reducida de hojas de cálculo con información administrativa del último par de años. Estos archivos almacenaban información de antiguos y actuales empleados en Bose.” La compañía concluye mencionando que no se han detectado interrupciones en sus operaciones derivadas de este incidente.

Sobre los actores de amenazas detrás del ataque, la compañía no agregó mayores detalles, por lo que se desconocen datos como la variante de malware empleada por los hackers o el monto del rescate exigido. La comunidad de la ciberseguridad tampoco ha podido averiguar más sobre el incidente, ya que por el momento no ha aparecido información relacionada con el ataque a Bose en algún foro de hacking. Expertos en ciberseguridad seguirán monitoreando las plataformas de dark web en busca de cualquier nueva información.

El cargo Bose confirma brecha de datos derivada de ataque de ransomware; información de miles de empleados filtrada apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

lunes, 24 de mayo de 2021

Vulnerabilidades Bluetooth permiten a los hackers comprometer el proceso de emparejamiento

Especialistas en ciberseguridad reportan que los hackers maliciosos podrían abusar de las fallas descubiertas en las especificaciones Bluetooth Core y Mesh Profile para tomar control de dispositivos legítimos durante un proceso de emparejamiento con el fin de lanzar ataques Man-in-The-Middle (MiTM). Como muchos sabrán, estas especificaciones definen los requisitos que deben cumplir los dispositivos Bluetooth para establecer una conexión.

La explotación exitosa de estas fallas permitiría el compromiso de los dispositivos vulnerables que se encuentren en una ubicación cercana a los atacantes.

Un comunicado del Bluetooth Special Interest Group (Bluetooth SIG), la organización que supervisa el desarrollo de los estándares de Bluetooth, enlista algunas recomendaciones para cada una de las siete fallas de seguridad que afectan las dos especificaciones vulnerables. La información detallada sobre las vulnerabilidades descubiertas está disponible en la tabla incluida a continuación.

“Como de costumbre, recomendamos a los usuarios de dispositivos Bluetooth asegurarse de haber instalado las últimas actualizaciones recomendadas por los fabricantes de dispositivos y sistemas operativos”, señala la alerta de seguridad.

Una lista de proveedores afectados por estas fallas incluye a Android Open Source Project (AOSP), Cisco, Intel, Red Hat, Microchip Technology y Cradlepoint. Por ahora, AOSP está trabajando en el lanzamiento de las fallas identificadas como CVE-2020-26555 y CVE-2020-26558, las cuales impactan los dispositivos Android. Cisco también está preparando actualizaciones de seguridad para estas fallas.

VU#799380: Devices supporting Bluetooth Core and Mesh Specifications are vulnerable to impersonation attacks and AuthValue disclosure https://t.co/qKx4Of6L9V
— US-CERT (@USCERT_gov) May 24, 2021

El cargo Vulnerabilidades Bluetooth permiten a los hackers comprometer el proceso de emparejamiento apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Revelan nueva variante de ataque DoS contra redes de aprendizaje automático

Los investigadores de la Universidad de Maryland desarrollaron una nueva variante de ataque que permitiría forzar la ralentización de los sistemas de aprendizaje automático, lo que generaría fallas críticas en servidores y aplicaciones. Este ataque fue presentado en un reciente evento de ciberseguridad y se basa en la interrupción de las técnicas de optimización presentes en las redes neuronales.

Como muchos sabrán, una red neuronal es un tipo de algoritmo de aprendizaje automático que requiere de una cantidad descomunal de memoria y procesadores muy potentes para trabajar adecuadamente, por lo que no son implementaciones de uso común. Muchos de estos sistemas deben enviar la información procesada a un servidor en la nube para su funcionamiento correcto, para lo que los desarrolladores implementan diversas técnicas y tecnología con el fin de reducir la demanda de recursos al máximo posible.

Uno de estos métodos de optimización es conocido como arquitectura de múltiples salidas o de salida temprana, que hace que las redes neuronales dejen de procesar información apenas alcancen un nivel mínimo aceptable. Este es un modo de trabajo de reciente creación, aunque ya cuenta con gran aceptación, aseguran los expertos.

Tudor Dumitras, responsable de esta investigación, logró desarrollar un ataque que apunta directamente contra este proceso de optimización. Identificado como DeepSloth, este ataque implica cambios imperceptibles en los datos de entrada, evitando que las redes neuronales realicen el proceso de salidas anticipadas y forzando la aplicación de un cálculo completo de esta información.

El investigador asegura que este ataque elimina la optimización de las redes neuronales: “Esta clase de arquitectura puede llegar a la mitad de su consumo regular de recursos; empleando DeepSloth, es posible reducir la eficacia del enfoque de salidas tempranas en casi 100% de forma similar a como ocurriría en un ataque de denegación de servicios (DoS).”

Por otra parte, en escenarios en que una red de salidas múltiples se divide entre dispositivos locales e implementaciones en la nube, un ataque puede obligar al dispositivo a enviar todos sus datos a un solo servidor, lo que puede causar toda clase de fallas en los resultados finales esperados por los administradores de redes neuronales.

Dumitras concluyó su presentación pidiendo a los desarrolladores que adopten nuevos enfoques de seguridad para la protección de estos sistemas: “Este es solo el primero de muchos ataques contra las redes neuronales, por lo que la comunidad deberá adoptar un enfoque preventivo antes de que sea tarde.”

El cargo Revelan nueva variante de ataque DoS contra redes de aprendizaje automático apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

FBI emite alerta sobre el incremento de los ataques de ransomware Conti. Múltiples centros de llamadas al 911 infectados con ransomware

En su más reciente alerta de seguridad, el Buró Federal de Investigaciones (FBI) dio a conocer la detección de una oleada de ataques de ransomware Conti dirigidos a las redes de primeros auxilios y atención médica en múltiples organizaciones gubernamentales de E.U., incluyendo implementaciones en oficinas de servicios públicos y agencias de la ley.

La nota de rescate enviada por los hackers exige que los administradores de los sistemas afectados los contacten a través de su plataforma en dark web para comenzar las negociaciones. Además se especifica que, en caso de no pagar el rescate, los datos comprometidos serán eliminados o vendidos en plataformas ilegales de hacking. El monto de un rescate puede variar, aunque los hackers de Conti han llegado a exigir hasta 25 millones de dólares como rescate.

La agencia federal asegura que estos ataques se dirigen a las redes empleadas por el personal de los servicios de emergencia, lo que puede retrasar el proceso de respuesta a incidentes médicos. La pérdida del acceso a estos sistemas puede resultar catastrófica para las organizaciones afectadas.

Los hackers obtienen acceso no autorizado a las redes de las organizaciones afectadas mediante campañas de phishing, el robo de credenciales de protocolo de escritorio remoto (RDP) y otras variantes de ataque. Los documentos maliciosos creados por los hackers de Conti están infectados con agentes como Cobalt Strike, lo que les permite un primer acceso a la red afectada.

Los hackers pueden pasar entre una semana y veinte días inactivos en las redes afectadas antes de comenzar el ataque, empleando bibliotecas DLL para la entrega de la carga útil. Los actores de amenazas primero usan herramientas que ya están disponibles en la red y luego agregan otras utilidades según el caso, incluyendo Windows Sysinternals1, lo que les permite escalar privilegios, moverse a través de la red afectada y eventualmente completar la infección.

Una vez que los actores de Conti instalan el ransomware en el sistema afectado, pueden ganar persistencia en la red y emitir una baliza utilizando Anchor DNS. Las víctimas tienen entre dos y ocho días después de que se completa la infección para responder a la demanda de rescate. Si el plazo se vence y no se ha completado un pago, los hackers comienzan a realizar llamadas a los administradores de los sistemas afectados empleando tecnología Voice over Internet Protocol (VoIP), siguiendo con amenazas hasta obtener el rescate exigido.

Además de una descripción detallada de estos ataques, el FBI también publicó una serie de recomendaciones para actuar antes y después de un ataque de ransomware, incluyendo medidas como el mantenimiento adecuado de sistemas de respaldo, uso de redes privadas virtuales (VPN) y uso de contraseñas seguras, entre otras medidas.

El cargo FBI emite alerta sobre el incremento de los ataques de ransomware Conti. Múltiples centros de llamadas al 911 infectados con ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

domingo, 23 de mayo de 2021

Los 6 mejores foros ilegales en dark web para encontrar hackers, datos robados, vulnerabilidades, exploits y variantes de ransomware

La dark web es conocida principalmente por la idea de que en este sector de Internet pueden encontrarse toda clase de drogas, aunque esto no es lo único que se vende en las áreas más peligrosas de la red. En esta ocasión, los expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán los foros de hacking más importantes de dark web.

Recuerde que este artículo fue elaborado con fines exclusivamente informativos; IICS no es responsable del mal uso de la información que encontrará a continuación.

WWH-CLUB

Este es el foro de hacking de habla rusa más grande del mundo y cuenta con una dirección en clearnet accesible incluso desde una dirección IP rusa. Acorde a los especialistas en ciberseguridad, una de las principales características de este sitio web es la prestación de servicios formativos; por unos mil dólares, los hackers administradores de WWH-CLUB brindan asesoría personalizada a cualquier usuario en la plataforma.

Anteriormente los usuarios de WWH-CLUB podían encontrar toda clase de archivos relacionados con ciberseguridad, aunque el crecimiento de la plataforma también ha permitido la proliferación de trolls de Internet y usuarios con fines desconocidos.

Para abordar este problema, los administradores del foro decidieron no aceptar nuevos usuarios, por lo que el acceso a las secciones privadas del foro ahora solo puede concretarse con un pago de unos 20 dólares.

Dirección onion: https://ift.tt/3uefkeC

Verified

Esta es una plataforma muy similar a WWH-CLUB, aseguran los expertos en ciberseguridad, ya que funciona como una fuente confiable para la búsqueda de incidentes de seguridad informática y toda clase de servicios a sueldo.

El registro en el foro cuesta alrededor de 50 dólares y los usuarios nuevos siempre son investigados rigurosamente, advierten los expertos. En otras palabras, incluso pagando el acceso al foro los usuarios más antiguos tienen la última palabra sobre los recién llegados.

Dirección onion: https://ift.tt/3hNKw1K

Exploit.in

En este foro los usuarios pueden discutir acerca de toda clase de temas de hacking y, a diferencia de los ejemplos anteriores, el registro en Exploit.in es gratuito. No obstante, los nuevos usuarios deben contar con la aprobación de los integrantes más antiguos y proporcionar enlaces a sus cuentas en otras plataformas de hacking, cuya antigüedad no deberá ser menor a un año.

Esta es una de las plataformas de hacking más respetadas de Rusia e incluso es popular entre algunos usuarios de Occidente. Los principales servicios que pueden encontrarse en este foro son la venta de botnets y la creación de sitios web maliciosos. Exploit.in también es accesible vía clearnet y cuenta con un servidor Jabber.

Dirección: https://ift.tt/3vdmYXO

CrdClub

Este es uno de los foros de hacking más antiguos, mencionan los expertos en ciberseguridad. La inscripción a CrdClub es gratuita y puede dividirse en dos áreas principales: para usuarios de habla rusa y usuarios de habla inglesa.

Hay cientos de artículos dedicados no solo a toda clase de temas de hacking, sino también a métodos de estafa electrónica, phishing e ingeniería social.

Dirección onion: https://ift.tt/3oTDeuZ

Probiv

En muchas ocasiones los participantes en foros de hacking prefieren no involucrarse activamente en operaciones ilícitas como fraude bancario o robo de información; este no parece ser el caso de Probiv. Una característica distintiva del foro es que, a cambio de una cantidad de dinero determinada, los actores de amenazas pueden encontrar toda clase de información sobre un usuario objetivo, incluyendo información personal, profesional, registros médicos e incluso información financiera y crediticia.

En este foro también son populares los “esquemas de ganancias”, en los que los hackers venden manuales para el despliegue de toda clase de estafas a cambio de una parte de las ganancias obtenidas por los operadores de estas campañas maliciosas. El rango de precio de estos manuales varía según el tipo de material.

Dirección onion: https://ift.tt/2qS1xvq

DaMaGeLaB.IN

Probablemente el foro de hacking de habla inglesa más importante, con usuarios involucrados en toda clase de discusiones sobre hacking, tendencias en ciberseguridad, desarrollo de malware y otros tópicos de interés para la comunidad cibercriminal.

Acorde a los especialistas en ciberseguridad, este es de los pocos foros de hacking que no han sido intervenidos por las autoridades de E.U. o Europa, por lo que tratarán de hacer lo posible para mantener su reputación.

Dirección onion: https://ift.tt/2ShlPjq

El cargo Los 6 mejores foros ilegales en dark web para encontrar hackers, datos robados, vulnerabilidades, exploits y variantes de ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

viernes, 21 de mayo de 2021

Importante compañía aseguradora paga rescate millonario después de ataque de ransomware

CNA Financial, una de las compañías aseguradoras más importantes de Estados Unidos, habría negociado un pago de unos 40 millones de dólares para recuperar el acceso a sus sistemas informáticos, comprometidos por una infección de ransomware. Acorde a especialistas en ciberseguridad, este monto supera la demanda de rescate más alta generada por estos ciberataques en todo 2020, además de ser muy superior a los 15 millones de dólares del rescate más alto de 2019.

Al respecto, la compañía solo ha mencionado que el pasado 21 de marzo se detectó un ataque de ciberseguridad complejo, mismo que causó severas interrupciones en sus sistemas informáticos. Por otra parte, una fuente cercana al incidente asegura que los empleados experimentaron un bloqueo en sus sistemas de trabajo y que el ataque involucró el robo de información confidencial.

Una actualización publicada en días pasados menciona que la compañía ya está colaborando con especialistas en forense digital, además aseguran que no se ha detectado actividad anómala desde el primer ataque.

Como muchos usuarios sabrán, los grupos de ransomware pueden realizar un reconocimiento de red y desplazarse a través de toda la infraestructura comprometida antes de comenzar el ataque, lo que también permite robar información confidencial antes de cifrarla y realizar un ataque de doble extorsión, filtrando información privada para obligar a las víctimas a realizar el pago.

Hasta el momento la compañía sigue manteniendo pocas actualizaciones sobre el incidente, aunque en su último mensaje aseguran que los sistemas de registros, suscripción o reclamos no se vieron comprometidos, por lo que la información confidencial de los clientes está a salvo.

La última actualización por parte del informante menciona que la compañía ya ha restablecido sus sistemas por completo, por lo que sus servicios funcionan íntegramente. Por otra parte, un portavoz de CNA declaró que la compañía se apegó a todos los lineamientos legales para abordar este tipo de incidentes; se menciona que la compañía recibió consultoría del Buró Federal de Investigaciones (FBI) y de la Oficina de Control de Activos Extranjeros (OFAC). Cabe recordar que las autoridades en E.U. no recomiendan realizar los pagos por estos rescates, aunque tiene un lineamiento para actuar en casos como este.

En noticias relacionadas esta semana, la compañía aseguradora AXA también se convirtió en el objetivo de un grupo de ransomware, presuntamente usando la variante Avaddon. En este caso, los actores de amenazas robaron hasta 3TB de información confidencial, incluyendo historiales clínicos, detalles bancarios, tarjetas de identificación personal y contratos.

El cargo Importante compañía aseguradora paga rescate millonario después de ataque de ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente