LockFile: El nuevo ransomware que solo cifra cada 16 bytes de los archivos infectados

Un reciente reporte señala la detección de una nueva variante de ransomware surgida después del hallazgo de las vulnerabilidades ProxyShell, encontradas en los servidores de Microsoft Exchange. Esta nueva variante, identificada como ransomware LockFile, emplea un método de cifrado muy agresivo y capaz de evadir la detección en los sistemas afectados.

Acorde a los investigadores de Sophos, la variante LockFile está programada para cifrar cada 16 bytes de un archivo, creando una diferencia casi imperceptible y que la mayoría de las soluciones de seguridad más populares no identificarán. El investigador de Sophos Mark Loman afirma que este método, bautizado como “cifrado intermitente”, no había sido visto anteriormente.

Según el reporte, todo comienza con la explotación de las vulnerabilidades ProxyShell en implementaciones Exchange sin actualizar; posteriormente, los hackers usan un ataque de relay PetitPotam NTLM con el fin de tomar control de un dominio afectado. Los actores de amenazas utilizan el protocolo MS-EFSRPC para conectarse a un servidor, secuestrar la sesión de autenticación y manipular los resultados de manera que el servidor crea que el atacante tiene un derecho legítimo de acceso.

Los operadores de LockFile comparten algunas características con otros grupos de hacking, incluyendo sus tácticas y procedimientos y el uso de una conexión a un C&C malicioso: “Al igual que operaciones de malware como WastedLocker y Maze, LockFile utiliza entrada/salida mapeada en memoria para cifrar un archivo”, agrega el experto.

Una muestra del ransomware obtenida por los investigadores permitió determinar que LockFile parece tener solo tres funciones y tres secciones. La primera sección (identificada como OPEN) solo contiene ceros; la segunda sección (CLSE) incluye las tres funciones del malware y está a cargo del envío de datos a la sección OPEN.

En su nota de rescate, los hackers exigen a las víctimas que se comuniquen con una dirección de correo electrónico específica. Esta dirección email fue creada hace un par de semanas y parece estar asociada al peligroso grupo de ransomware Conti.

El investigador concluye mencionando que el método de cifrado empleado por este grupo de ransomware es tan poco común que el malware compromete los dispositivos y aún así es posible seguir accediendo a fragmentos de la información comprometida, así que recomienda tener cuidado con cualquier potencial intento de ataque.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo LockFile: El nuevo ransomware que solo cifra cada 16 bytes de los archivos infectados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

ProxyToken: Vulnerabilidad crítica en Exchange permite a los hackers tomar control de los emails de cualquier empresa

Microsoft ha reportado la corrección de una vulnerabilidad en Exchange Server detectada a inicios de 2021 y cuya explotación habría permitido a los actores de amenazas establecer reglas de reenvío en las cuentas afectadas, lo que eventualmente permitiría el acceso a los emails entrantes. Conocida como ProxyToken e identificada como CVE-2021-33766, la falla recibió un puntaje de 6.5/10 según el Common Vulnerability Scoring System (CVSS).

Esta falla fue reportada por el investigador Le Xuan Tuyen, en colaboración con The Zero Day Initiative (ZDI). El experto menciona que la vulnerabilidad está relacionada con la autenticación de solicitudes a servicios dentro de la aplicación web ecp, y podría ser explotada mediante el envío de solicitudes especialmente diseñadas para evadir el proceso de autenticación.

Por otra parte, el reporte de ZDI señala que: “los actores de amenazas no autenticados pueden realizar acciones de configuración arbitrarias en las cuentas email afectadas.” Como resultado de estas acciones maliciosas, es posible copiar todos los correos electrónicos recibidos por el usuario afectado y redirigirlos a una ubicación controlada por los atacantes.

Los expertos señalan que la falla existe debido a que los sitios que Exchange crea en IIS (front-end y back-end) autentican solicitudes específicas cuando la función de autenticación delegada no está habilitada y se usa una cookie conocida como SecurityToken.

“Cuando el front-end ve la cookie SecurityToken, sabe que solo el back-end es responsable de autenticar esta solicitud. Mientras tanto, el back-end desconoce por completo que necesita autenticar algunas solicitudes entrantes basadas en la cookie SecurityToken, ya que DelegatedAuthModule no se carga en instalaciones que no han sido configuradas para usar la función especial de autenticación delegada”, señala el reporte de ZDI.

Los actores de amenazas con una cuenta en el mismo servidor Exchange del usuario afectado podrían abusar de la falla para establecer una regla de reenvío que permita acceder a la información de la bandeja de entrada afectada. Además, si los administradores de Exchange establecieron un valor de configuración global para permitir el uso de reglas de reenvío a destinos arbitrarios de Internet, el ataque no requerirá autenticación en el sistema afectado.

Por seguridad, se recomienda a los usuarios de implementaciones vulnerables actualizar Exchange a una versión segura.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ProxyToken: Vulnerabilidad crítica en Exchange permite a los hackers tomar control de los emails de cualquier empresa apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Los 10 mejores gadgets y herramientas para hackers reales y profesionales de la ciberseguridad

El combate al cibercrimen es una de las principales responsabilidades de la comunidad del hacking ético y la ciberseguridad. Este esfuerzo depende de múltiples variantes, desde la elaboración de una estrategia funcional para la prevención de ciberataques hasta el seguimiento a las principales tendencias cibercriminales; en otras palabras, los responsables de la ciberseguridad deben saber cómo piensan los hackers para anticiparse a sus actos y, en su caso, reparar los daños ocasionados.

La elaboración de una estrategia de ciberseguridad funcional no sólo requiere conocer todo acerca de software vulnerable, campañas de ingeniería social o variantes de malware empleadas por los hackers, ya que también es necesario saber qué clase de equipo físico usan los actores de amenazas durante sus ataques.

En esta ocasión, los expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán una lista de los dispositivos más populares en la comunidad cibercriminal. Antes de continuar, le recordamos que este artículo fue elaborado con fines informativos y no debe ser tomado como un llamado a la acción, por lo que IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Sniffer USB

El término sniffer USB se refiere a dispositivos capaces de interceptar tráfico en las redes afectadas, y pueden resultar realmente útiles para los actores de amenazas durante el proceso de diagnóstico de redes e incluso para interceptar contraseñas de usuario.

Estos dispositivos pueden interceptar todos los paquetes detectados, o bien solo los primeros bytes de cualquier ftp, telnet, pop3 y otros. Según los expertos en ciberseguridad, los sniffers trabajan partiendo de la premisa de que algunas contraseñas son transmitidas a través de la red en texto sin cifrar, lo que las hace vulnerables.

Antena Yagi

Las antenas Yagi son una especie de radiadores longitudinales empleados para detectar longitudes de onda de radio en un espectro muy amplio; en otras palabras, pueden captar frecuencias muy altas e incluso las frecuencias más bajas conocidas.

En las antenas Yagi se utiliza la interacción entre elementos, en la que surgen ondas estacionarias de corriente, como resultado de lo cual aparece una onda viajera con un patrón direccional pronunciado. Dicha antena consta de uno o más vibradores activos y elementos pasivos adicionales.

USB-Bluetooth

Estos dispositivos permiten conectar una PC con otros equipos con Bluetooth, ya sean smartphones, otras PCs y toda clase de tecnología. Acorde a los expertos en ciberseguridad, el intercambio de datos se produce a través de un canal de radio.

El alcance de estos dispositivos depende de las características dadas por el fabricante, aunque pueden llegar hasta los 100 metros en un espacio abierto. Empleando un adaptador USB-Bluetooth, los actores de amenazas pueden establecer comunicación entre dos computadoras cercanas e incluso tomar control de teclados, ratones y otros dispositivos.

Escucha de tráfico LAN

Estos son dispositivos que se conectan directamente a un cable de red de computadora y crean una copia del tráfico de la red, que a su vez será enviada a otra ubicación. Los tap LAN son usualmente usados en la implementación de sistemas de detección de intrusos, aunque también son usados por los hackers maliciosos.

La lógica de estos dispositivos depende del esquema “solicitud-respuesta”, señalan los expertos en ciberseguridad. Antes de ejecutar una solicitud para realizar una operación, es necesario llenar el objeto de datos de Solicitud con un determinado conjunto de valores, pasar este objeto de datos a la interfaz determinada.

Desautenticadores DSTIKE

Esta es una tecnología creada para desconectar cualquier dispositivo inalámbrico de un punto de acceso. A diferencia de un inhibidor de señal (basado en la interrupción de una señal empleando otra señal más fuerte), los desautenticadores funcionan a nivel de software, desplegando un ataque de denegación de servicio (DoS) contra el punto de acceso objetivo,  mencionan los expertos en ciberseguridad.

Por lo general, la desautenticación es parte de un ataque de red complejo, ya que se utiliza para crear un “gemelo malvado” del punto de acceso o para interceptar un proceso de handshake que eventualmente permita a los hackers maliciosos descifrar una contraseña o acceder a información confidencial.

“Patito de goma” USB

Se ve y se comporta como una unidad USB convencional, pero en realidad es una herramienta avanzada de hacking, aseguran los expertos en ciberseguridad. Un patito de goma permite a los actores de amenazas comprometer casi cualquier sistema en cuestión de segundos, transmitiendo una gran cantidad de comandos al sistema afectado a través de una conexión WiFi.

El objetivo reconoce al patito de goma como un teclado HID estándar y un puerto serie, lo que permite ejecutar comandos y scripts interactivos de forma remota, representando una oportunidad de ataque considerable.

Clonador de llaves inteligentes

Este dispositivo copia los datos de cualquier smart key para convertirlos en un nuevo dispositivo, mencionan los expertos en ciberseguridad. Además, este dispositivo no se limita a copiar smart keys, sino que funciona con cualquier tipo de chip y su uso no requiere de una conexión a una PC.

Microcámara IP

Una microcámara IP es tan diminuta que puede ocultarse en casi cualquier lugar. En el caso de una campaña de hacking, los actores de amenazas desearán ocultar estos dispositivos en ubicaciones cercanas al objetivo con el fin de monitorear sus actividades de forma inadvertida y descubrir las contraseñas de la víctima.

Repetidor WiFi

Estos dispositivos copian las características de una red WiFi con el fin de incrementar su alcance. La energía que suministra estos dispositivos depende del mismo enrutador, por lo que los usuarios no deben preocuparse por encender y apagar estos dispositivos cada vez que se conectan a su red WiFi doméstica.

Una característica importante del dispositivo es el puerto LAN, a través del cual puede traer hasta 100 Mbps de tráfico a través del cable sin cargar el aire y mejorando la calidad de la red en su conjunto, además de que hay dos antenas externas de 3dBi y un transmisor integrado de 16dBM.

Bloqueador de datos USB

Acorde a los expertos en ciberseguridad, un bloqueador de datos USB evita la transferencia de datos no autorizados al cargar un smartphone o cualquier otro dispositivo a través de un puerto USB. Estos dispositivos son especialmente útiles al cargar un smartphone en lugares públicos como centros comerciales, aeropuertos y estaciones de transporte público.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Los 10 mejores gadgets y herramientas para hackers reales y profesionales de la ciberseguridad apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo robaron millones desde plataforma de criptomonedas Cream Fianance

Un reciente reporte señala que los hackers responsables del ataque a la plataforma de finanzas descentralizadas (DeFi) Cream Finance habrían robado alrededor de $29 millones USD. Este ataque fue confirmado por la propia compañía afectada hace unas horas, luego de la aparición de reportes sobre fluctuaciones en el precio de algunas criptomonedas.

En un comunicado, Cream Finance aseguró que los hackers estaban empleando lo que definieron como un “ataque de reentrada” en la función “Préstamo Flash” de la plataforma, lo que permitió robar casi 420 millones de tokens AMP, equivalentes a $25.1 millones USD según el tipo de cambio vigente.

C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.

We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.

— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021

La función “Préstamo Flash” se refiere a un script que se ejecuta en el blockchain Ethereum y que permite a los usuarios de Cream Finance tomar préstamos rápidos de los fondos de la empresa para luego devolverlos antes de que se venza el plazo determinado. Los ataques de reentrada se presentan cuando un error en estos scripts permite a un actor de amenazas retirar fondos en bucle antes de que la transacción original sea aprobada o rechazada o los fondos deban devolverse.

Otros miembros de la comunidad de los activos virtuales confirmaron el ataque, incluyendo a los desarrolladores de la popular billetera de criptomoneda ZenGo. Tal Be’ery, fundador de esta billetera, menciona que los atacantes explotaron una falla en la interfaz de contrato de token ERC777, usada por Cream Finance para la interacción con el blockchain Ethereum subyacente.

El investigador también menciona que ERC777 ha habilitado varios ataques de reentrada en los servicios en línea de plataformas DeFi, aprovechando que la industria sigue confiando en la función a pesar de su historial de malas implementaciones, errores y ataques.

Reportes separados señalan que los incidentes de seguridad relacionados con plataformas DeFi equivalen a más del 75% de los peores incidentes de seguridad en lo que va desde 2021, representando pérdidas por cerca de $480 millones USD. Del mismo modo, ciberataques contra DeFi también representaron el 21% de todos los incidentes relacionados con las criptomonedas y fondos robados de 2020 después de ser casi inexistentes un año antes, en 2019.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cómo robaron millones desde plataforma de criptomonedas Cream Fianance apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo acuñar NFTs Etherrock ilimitadas veces para ganar millones

Hace unos días un archivo JPEG validado por el token no fungible (NFT) EtherRock se vendió por casi un millón de dólares, lo que sorprendió a pocos usuarios familiarizados con el tema considerando que solo hay cien de estas simples imágenes de rocas y es imposible “acuñar” más.

Esto no quiere decir que no haya más proyectos similares. Hace algunas semanas, un desarrollador retomó un antiguo proyecto NFT inspirado en Pet Rock, de 2017; según parece, este proyecto fue dejado de lado debido a que permitía a cualquiera acuñar un número ilimitado de tokens.

The second ether rocks contract refers to OG ether rocks as the original.
Code is law mf'ers@weliketherocks @ManuAlzuru pic.twitter.com/5NSThGVO2u

— Meir Bank (🪨, 🪨) (@MeirBank) August 25, 2021

Este proyecto, conocido como “We Like The Rocks”, ha comenzado a llamar nuevamente la atención de algunos desarrolladores e inversores, quienes están comprando tokens revendidos por precios de hasta $60,000 USD. Uno de los interesados es el popular youtuber Logan Paul, quien invirtió más de $150,000 USD en estas imágenes sin valor aparente, todo a través del sitio web WeLikeTheRocks.com.

I literally left dinner last night to snag these.

$60k and $95k. The first rock NFT on Ethereum @weliketherocks; actually came before the Ether rock. I know it’s ridiculous but it’s digital history and I think they’re pretty cool 😌 pic.twitter.com/0kfELpbyVe

— Logan Paul (@LoganPaul) August 27, 2021

Cómo minar una de estas rocas

En la página de lectura del contrato, ingrese un número debajo de la opción “Rocas” para comprobar si se ha reclamado la roca deseada. Si no está asociado con una billetera, está disponible. Para acuñar el NFT, vincule una billetera en el navegador, como MetaMask, a través del botón “Conectarse a la web” debajo de la opción “Escribir contrato”.

Recap on sales today:

Rock #67 for 69 ETH
Rock #99 for 33 ETH
Rock #50 for 50 ETH
Rock #71 for 49 ETH
Rock #23 for 40 ETH
Rock #72 for 42 ETH
Rock #98 for 42.69 ETH
Rock #67 for 48 ETH
Rock #40 for 100 ETH 🥳
Rock #95 for 65 ETH
Rock #70 for 70 ETH
Rock #75 for 75 ETH

Wagmi 🤝 https://t.co/z064UBi1kY

— R0฿ST3R (@r0bster97) August 28, 2021

Luego, debajo del “Comprar roca”, ingrese 0 para la cantidad y el número de la roca no reclamada que le gustaría comprar. Envíe la transacción a través de MetaMask y pague la tarifa de Ethereum correspondiente.

El contrato contiene un error que inmediatamente listará su roca recién acuñada a la venta de forma gratuita. Para remediar esto, presione “Vender roca”; inmediatamente después de que su transacción haya sido confirmada, ingrese su número de roca y póngala a la venta. Puede vender sus NFT a través del contrato o bien ingresar un precio increíblemente alto, como 1000000000000000000000000000000000000000000.

Aunque ambos proyectos aluden a rocas, los NFT de ninguno de los proyectos tienen registros en cadena de imágenes de rocas. EtherRock.com utiliza archivos JPEG basados en imágenes prediseñadas libres de derechos de 1995; WeLikeTheRocks.com utiliza una versión pixelada de esa imagen.

Tampoco podrá ver esto en su billetera MetaMask; solo puede verlo en el contrato cuando consulte la disponibilidad de la roca. Una comunidad incipiente de desarrolladores está ocupada llevando el contrato a los estándares modernos y espera incluirlo en el mercado NFT OpenSea.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cómo acuñar NFTs Etherrock ilimitadas veces para ganar millones apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers adolescentes robar $1MDD en Bitcoin; sus padres están pagando las consecuencias

Andrew Schober es uno de los tantos entusiastas de las criptomonedas que ha sido víctima de una de muchas variantes de fraude relacionadas con esta tecnología. Hace algunos años, el residente de Colorado descargó la billetera Electrum Atom Bitcoin desde Reddit, sin saber que esta herramienta ocultaba una peligrosa variante de malware.

El archivo descargado por Schober incluía una pieza de malware de secuestro de portapapeles, lo que permitió a un hacker (hackers, en realidad) robar más de 15 unidades de Bitcoin, equivalentes a casi $800 mil USD según el tipo de cambio actual.

La víctima no se quedó con los brazos cruzados, ya que después de años y una inversión de miles de dólares, Schober asegura haber descubierto a los responsables del robo de sus activos virtuales. Según señala una demanda recientemente presentada, los hackers son Benedict Thompson y Oliver Read, que actualmente estudian informática pero que eran apenas unos adolescentes cuando ocurrió el robo.

Debido a que eran menores de edad al momento del incidente, Schober decidió demandar a los padres de ambos individuos por $1 millón USD como reparación del daño causado.

Según menciona la demanda, “el despliegue de malware contra Schober, y el subsecuente robo de la criptomoneda, fue un severo golpe para el demandante, por lo que merece ser compensado.” El documento también asegura que las criptomonedas robadas representaban alrededor del 90% de sus bienes en ese momento, por lo que el ataque lo dejó en una situación crítica.

Este no fue el primer paso tomado por Schober, ya que la víctima trató de arreglar las cosas fuera de la corte ofreciendo un trato a los abogados de los acusados: “Al parecer su hijo ha estado usando malware para robar dinero”, menciona la carta de Schober, que además afirmaba contar evidencia de los ataques, incluyendo datos sobre el uso de la billetera electrónica. Sobre Electrum Atom, especialistas en ciberseguridad señalan que esta es una bifurcación de Electrum Bitcoin, una de las más populares billeteras de criptomoneda, por lo que es fácilmente empleada por los actores de amenazas.

Obtener la compensación deseada no le será fácil a Schober, ya que la defensa de los presuntos atacantes asegura que los cargos presentados ya han expirado, por lo que la demanda debería ser desestimada. Aún así, nadie parece tener intenciones de negar que los dos individuos sí robaron la criptomoneda.  

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers adolescentes robar $1MDD en Bitcoin; sus padres están pagando las consecuencias apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Este hacker de 21 años estuvo detrás del ataque masivo a T-Mobile, que expuso datos de 50 millones de personas

Un reciente reporte señala que John Erin Binns, ciudadano estadounidense radicado en Turquía, reconoció ser el principal responsable del incidente de ciberseguridad que afectó a T-Mobile, derivando en la filtración de más de 50 millones de registros confidenciales. Esto parece confirmar la hipótesis de Alon Gal, cofundador de la firma de ciberseguridad Hudson Rock.

Hace unas semanas, el investigador compartió algunos tweets afirmando que la intención del perpetrador de este ataque era tomar represalias contra el gobierno de E.U. debido al secuestro y posterior tortura que sufrió en 2019: “Nuestra intención era simplemente dañar la infraestructura crítica estadounidense”, aseguraba el presunto hacker.

Binns, de apenas 21 años de edad, brindó una entrevista para Wall Street Journal (WSJ), durante la cual se atribuyó la autoría del ataque, asegurando que toda la operación fue desplegada desde su hogar en Izmir, Turquía, donde vive desde 2018. El padre de Binns, ya fallecido, era estadounidense, mientras que su madre es de origen turco.

Empleando Telegram, plataforma de mensajería instantánea enfocada en la privacidad, Binns proporcionó a su entrevistador pruebas para demostrar que en realidad fue él quien desplegó el ataque contra el gigante de las telecomunicaciones. Al parecer, Binns obtuvo acceso a las redes de la compañía a través de un enrutador vulnerable.

El joven hacker mencionó haber estado buscando fallas de seguridad en T-Mobile a través de sus direcciones de Internet, obteniendo acceso a un centro de datos en Washington desde donde pudo acceder a más de 100 servidores vulnerables. Apenas unos días después, Binns había logrado acceder y robar millones de archivos confidenciales: “Su seguridad es muy mala, por lo que incluso fue un reto lograr ser detectado y hacer todo el alboroto posible al respecto”, afirma el atacante.

A pesar de la revelación de estos detalles, el atacante decidió no confirmar si la información comprometida fue vendida a un tercero o si alguien más pagó por el despliegue del ataque. Al respecto, el reporte de WSJ señala que la compañía afectada recibió un reporte de una firma de seguridad, donde se especificaba que la información comprometida estaba siendo vendida en algunos foros de dark web.

En todo momento Binns se dijo molesto con la forma en que fue tratado por las autoridades de E.U. Hace un año, el hacker presentó una demanda contra el Buró Federal de Investigaciones (FBI), el Departamento de Justicia (DOJ) y la Agencia Central de Inteligencia (CIA), afirmando que las agencias lo acusaban erróneamente de participar en múltiples esquemas criminales, incluyendo la operación de la botnet Satori.

La demanda señala que Binns también fue torturado y vigilado bajo sospecha de pertenecer al grupo terrorista Estado Islámico. El joven hacker negó en todo momento tales acusaciones, mencionando que fue raptado y llevado a instituciones mentales en Alemania y Turquía como parte del acoso que sufrió: “No tengo razones para mentir, espero que alguien al interior de las agencias de inteligencia me pueda ayudar”, agrega.

Aunque T-Mobile no ha declarado nada sobre las acciones de Binns, hace unos días la compañía confirmó la exposición de datos, mencionando que el incidente expuso detalles de sus clientes como nombres completos, números telefónicos, fechas de nacimiento, números de seguridad social y otros datos confidenciales. Como parte de su protocolo de atención a incidentes de seguridad, la compañía ofrecerá a los clientes afectados una suscripción gratuita a un servicio de protección contra el robo de identidad y otras variantes de fraude.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Este hacker de 21 años estuvo detrás del ataque masivo a T-Mobile, que expuso datos de 50 millones de personas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica en app de citas Bumble permite los atacantes sacar tu ubicación exacta en tiempo real

Según un reporte, una falla en la popular app de citas Bumble habría permitido a los actores de amenazas obtener la ubicación precisa de cualquier usuario sin mayores complicaciones. Bumble cuenta con alrededor de 100 millones de usuarios en todo el mundo y funciona de modo muy similar a Tinder y otras plataformas similares.

El investigador de seguridad Robert Heaton usó algunos perfiles falsos para diseñar lo que llamó un “ataque de trilateración” con el fin de determinar la ubicación precisa de un potencial usuario afectado. La falla fue presentada a los desarrolladores de la aplicación, quienes se apresuraron a lanzar un parche de seguridad después de recibir el reporte.

I found a vulnerability in the dating app Bumble that allowed an attacker to work out any user’s exact location.

Here’s a full writeup, as seen through the highly dubious eyes of you and your good buddy, Steve Steveington.https://t.co/xfTtUriaxc

— Robert Heaton (@RobJHeaton) August 25, 2021

Heaton menciona que, si bien la falla no brindaba a los atacantes la ubicación en tiempo real de los usuarios, sí permitía delimitar sus movimientos y, por lo tanto, descubrir sus domicilios particulares y dar cierto nivel de seguimiento a sus rutinas diarias. El investigador recibió una recompensa de $2,000 USD por su reporte, cantidad que donó a Against Malaria Foundation.

Para su investigación, Heaton desarrolló un script para el envío automático de secuencias de solicitudes a los servidores de Bumble para saber la ubicación relativa de un usuario objetivo: “Si, como atacantes, podemos encontrar el punto en que la distancia del usuario cambia de 3  a 4 millas, podremos inferir que este es el punto en el que la víctima está a 3.5 millas de distancia”, señala el investigador.

Después de que el atacante encuentra tres “puntos de inflexión”, tendría las tres distancias exactas a su víctima necesarias para ejecutar una trilateración precisa.

Aunque Bumble corrigió la falla, el experto asegura que este es un problema persistente: “Simplemente tendría que editar el script para evadir las modificaciones implementadas por la aplicación”, menciona Heaton. Finalmente, el investigador recomendó a los desarrolladores algunas medidas de seguridad para mitigar esta clase de riesgos en el futuro.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en app de citas Bumble permite los atacantes sacar tu ubicación exacta en tiempo real apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica en Atlassian Concfluence expone entornos empresariales a los hackers

Esta semana la firma de desarrollo de software Atlassian confirmó a sus clientes que los parches de seguridad para abordar una vulnerabilidad crítica en la solución empresarial Confluence ya están disponibles. La compañía con sede en Australia señala que esta es una falla de inyección OGNL que podría ser explotada por actores de amenazas no autenticados con el fin de ejecutar código arbitrario en las implementaciones vulnerables.

Confluence es un software de colaboración en equipo escrito en Java y utilizado principalmente en entornos corporativos. Esta solución es vendida tanto como software de uso local como solución de servidor.

Identificada como CVE-2021-26084, la falla impactaba en todas las versiones actuales de Confluence y recibió un puntaje de 9.8/10 según el Common Vulnerability Scoring System (CVSS). La compañía señala que las versiones seguras son v6.13.23, v7.4.11, v7.11.6, v7.12.5 y v7.13.0. Esta vulnerabilidad fue reportada por el investigador de seguridad Benny Jacob a través del programa de recompensa de la compañía. Cabe mencionar que este es el primer reporte sobre una vulnerabilidad en Atlassian Confluence publicado desde finales de 2019.

Los productos de Atlassian son un objetivo muy atractivo para cibercriminales y grupos de hacking auspiciados por actores estatales, por lo que se recomienda a las organizaciones que usen implementaciones afectadas actualizar a la brevedad para prevenir cualquier riesgo de explotación.

La información sobre el programa de recompensas de Atlassian, disponible en Bugcrowd, señala que los investigadores que presenten reportes por fallas de alta severidad en Concluence Server pueden recibir hasta $6,000 USD. El pago más alto establecido en el programa de recompensas de Atlassian es de $10,000 USD.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en Atlassian Concfluence expone entornos empresariales a los hackers apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ni siquiera la CIA podrá espiar su cuenta de WhatsApp si sigue estas técnicas

A pesar de la presencia de múltiples competidores y su prohibición en países como China, WhatsApp sigue siendo la plataforma de mensajería instantánea más popular del mundo, facilitando el envío de miles de millones de mensajes, archivos, imágenes, videos e incluso stickers a diario.

Al ser tan útil y popular, esta plataforma ha atraído la atención de los actores de amenazas, que la ven como un recurso para obtener información confidencial de una persona de interés, lo cual es posible sin siquiera interactuar con el usuario objetivo.

Es por ello que se ha vuelto necesario que todos los usuarios conozcan las funciones de seguridad mostradas a continuación, lo que protegerá sus cuentas de WhatsApp de los cibercriminales.

Elimine o cambie su foto de perfil: Una foto de perfil puede decir mucho sobre las personas, por lo que sería preferible usar una imagen algo más impersonal o incluso no usar foto alguna. Para ello, diríjase a los ajustes de WhatsApp, pulse la opción Editar Perfil y una vez dentro sustituya su actual foto con otra imagen.

Los ajustes de WhatsApp también permiten elegir quién puede ver su foto de perfil, si es que desea mantener su foto personal.

Desactivar la doble verificación: Deshabilitar esta función de la aplicación le permitirá un mayor grado de privacidad, ya que sus contactos en la aplicación no podrán saber en qué preciso momento se leyó un mensaje.

Esta configuración se cambia en el menú Cuenta y posteriormente ingresar a Privacidad – Confirmaciones de lectura.

Elimina la última conexión: Puede modificar esta función ingresando a ajustes, en la sección Cuenta y la opción Privacidad. De este modo, nadie sabrá cuándo ingresó a WhatsApp por última vez.

Ocultar la función “escribiendo…”: Sus contactos de WhatsApp no podrán saber cuándo está redactando un mensaje si así lo desea. Para ello debe descargar una aplicación complementaria, por lo que queda a consideración de los usuarios si vale la pena tomarse tantas molestias.

Escuche notas de voz sin que el remitente lo sepa: Para hacer esto, debe tener un contacto con su propio número y posteriormente ingresar al chat del remitente de la nota de voz. Antes de reproducirlo, deberá reenviarlo a su propio chat.

Oculte sus estados y cualquier otra información: Si no quiere que cualquier usuario tenga acceso a estos detalles, puede ir al menú Cuenta y seleccionar la sección Privacidad. En la opción Información, deberá modificar la visibilidad pública de estos datos.

Evite que cualquier persona lo agregue a un grupo: Ingrese a Cuenta y, en la sección Privacidad, modifique la configuración de la opción Grupos para evitar el spam.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ni siquiera la CIA podrá espiar su cuenta de WhatsApp si sigue estas técnicas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cuba aprueba nueva ley de ciberseguridad y censura en Internet

Después de casi un mes de constantes protestas e incidentes de violencia, el gobierno de Cuba decidió aprobar algunas leyes que limitarán aún más la libertad de expresión de sus ciudadanos en Internet, forzando a los proveedores de servicios a implementar medidas de censura en plataformas locales.

Estas nuevas leyes serán aplicadas por una agencia de reciente creación bautizada como Instituto de Información y Comunicación Social, dependiente del Ministerio de Comunicaciones de Cuba.

En términos generales, la idea es que los operadores de telecomunicaciones locales tendrán que asegurarse de contar con equipos y tecnología capaz de interceptar y monitorear el tráfico web.

De este modo, las pocas compañías que proveen servicios de Internet en la isla deberán interrumpir la comunicación de los usuarios cuando “se transmita información falsa, ofensiva o lasciva para la dignidad humana; contenido sexual discriminatorio y que promueva el acoso; que afecte la privacidad y que altere la seguridad colectiva, la moral y el respeto al orden público.”

Estas nuevas leyes también tienen por objetivo tomar medidas contra las llamadas “redes de vecindarios”, puntos de conexión a Internet surgidas de los barrios cubanos en los que las operadoras de estos servicios no están presentes formalmente.

Además, las nuevas leyes también prohíben la importación y venta de dispositivos de red sin la autorización del Ministerio de Comunicaciones, en un intento del gobierno comunista para evitar la propagación de información potencialmente perjudicial para el régimen.  

No obstante, la medida más polémica de todas es la implementación de una ley que vuelve obligatorio el reporte de incidentes de ciberseguridad ante la Oficina de Seguridad para Redes de Computadoras. Estos incidentes de ciberseguridad también incluyen las críticas al régimen político y económico vigente en Cuba, que en adelante serán considerados como “actividades de terrorismo cibernético”.

Esta nueva legislación, vigente desde hace unos días, permitirá al gobierno cubano contar con un fundamento legal para justificar el límite en el acceso a Internet, pero lo que es más importante, proporciona el fundamento legal para crear un firewall a nivel nacional de forma similar a lo que hacen gobiernos en países como China, Rusia, Arabia Saudita y otros regímenes considerados cerrados por el resto del mundo.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cuba aprueba nueva ley de ciberseguridad y censura en Internet apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Microsoft advierte a las empresas que aborden las 3 vulnerabilidades ProxyShell en servidores Exchange antes de que sea demasiado tarde

En una alerta de seguridad, Microsoft publicó una guía para prevenir la explotación de las tres vulnerabilidades que componen ProxyShell, que residen en implementaciones de Exchange. Reportadas recientemente, estas tres fallas fueron descubiertas por el investigador Orange Tsai y abordadas el mes de mayo.

Durante su presentación en el evento de hacking Pwn2Own, Orange Tsai demostró el compromiso de un servidor Exchange vulnerable explotando estas tres fallas:

• CVE-2021-34473: Confusión de ruta previa a la autenticación que conduciría a la evasión de ACL (parcheado en abril por KB5001779)
• CVE-2021-34523: Escalada de privilegios en el backend de Exchange PowerShell
• CVE-2021-31207: Escritura arbitraria de archivos posterior a la autenticación que conduciría a la ejecución remota de código

Si bien las fallas fueron abordadas desde hace meses, Microsoft no asignó una clave de identificación CVE sino hasta julo, dificultando que las organizaciones ejecutando implementaciones vulnerables descubrieran las fallas en sus redes. Es por ello que la comunidad de la ciberseguridad ha comenzado una campaña para invitar a los administradores de Exchange a instalar los parches necesarios.

El problema sigue vigente, ya que Microsoft ha confirmado que sus servidores Exchange locales han estado bajo ataques constantes relacionados con estas fallas: “Si ha instalado las actualizaciones de seguridad en sus servidores de Exchange, sus sistemas estarán protegido contra estas vulnerabilidades. Los clientes de Exchange Online también están protegidos, pero deben asegurarse de que todos los servidores híbridos de Exchange estén actualizados.”

La compañía agrega que los usuarios deben instalar al menos una de las últimas actualizaciones para mitigar el riesgo de explotación de ProxyShell. En el reporte, Microsoft detalla algunos factores que podrían facilitar la explotación de estas fallas, incluyendo:

• El servidor ejecuta una CU no compatible
• El servidor ejecuta actualizaciones de seguridad para versiones anteriores a mayo de 2021
• El servidor ejecuta una CU anterior, no compatible con las mitigaciones de mayo de 2021

Además del reporte de Microsoft, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) advierte que múltiples grupos de hacking están explotando activamente estas vulnerabilidades, sin mencionar que otras agencias de seguridad ya han detectado diversos intentos de explotación en escenarios reales, por lo que es urgente que se implementen las actualizaciones de inmediato.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Microsoft advierte a las empresas que aborden las 3 vulnerabilidades ProxyShell en servidores Exchange antes de que sea demasiado tarde apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Los ataques de malware más devastadores de 2021

El ransomware se ha convertido en uno de los principales riesgos de seguridad en la actualidad. Acorde a la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), esta variante de ataque está en constante evolución, generando pérdidas millonarias para las víctimas, por lo que es necesario que los administradores de sistemas tengan información actualizada para evitar los peores escenarios.

A continuación, se presenta una lista con los incidentes de ransomware más relevantes de los últimos meses, demostrando que, lejos de estancarse, esta tendencia sigue a la alza en la comunidad cibercriminal.

Colonial Pipeline

Este es, con seguridad, el incidente de ransomware más severo en lo que va de 2021. Acorde al analista de ransomware Joe Giordano, este incidente “tuvo un gran impacto debido a que este es el oleoducto más importante del sistema nacional de infraestructura crítica”. 

Como recordará, este ataque generó una interrupción masiva en el suministro de combustible a lo largo de todo E.U., llevando incluso a un alza temporal de precios. Los hackers responsables de este incidente exigían un rescate muy alto, aunque al final Colonial Pipeline sólo pagó $4.4 millones USD. 

Brenntag

En mayo de 2021, el mismo grupo de hacking que atacó Colonial Pipeline comprometió los sistemas de Brenntag, una compañía dedicada a la distribución de químicos. Los atacantes lograron cifrar los sistemas afectados, robar cientos de GB de información y exigieron un rescate de casi $8 millones USD en Bitcoin. 

Aunque la compañía logró negociar con los hackers para pagar un poco más de la mitad de la cantidad exigida al inicio, este se convirtió en uno de los incidentes de hacking más lucrativos jamás detectados. 

Acer

De forma casi simultánea al incidente en Brenntag, se confirmó que la compañía fabricante de equipos de cómputo Acer había sido atacada por un grupo de ransomware, exigiendo un rescate de alrededor de $50 millones USD. 

En el ataque, presuntamente perpetrado por el grupo de hacking REvil, se explotó una vulnerabilidad conocida en Microsoft Exchange para acceder a los archivos de la compañía, extraer información confidencial y cifrar los sistemas afectados. Anteriormente este grupo se vio involucrado en otros ataques de alto perfil, incluyendo el incidente en la compañía británica Travelex. 

JBS Foods

Con la pandemia por coronavirus crecieron los reportes de incidentes de seguridad, muchos de ellos relacionados con el compromiso de plataformas de acceso remoto. A inicios de 2021, se reportó que la compañía de procesamiento de carnes JBS Foods fue víctima de una infección de ransomware mediante el robo de algunas credenciales de acceso remoto. 

Aunque se temía un impacto similar al de Colonial Pipeline, este incidente no afectó los precios regulares en productos de consumo. No obstante, la compañía afectada tuvo que pagar un rescate cercano a los $11 millones USD en Bitcoin.

Quanta

Quanta es otra compañía fabricante de computadoras que se vio afectada por un ataque de REvil. Puede que el nombre de esta compañía no le suene familiar, pero Quanta es uno de los principales socios de Apple, por lo que este incidente pudo ser desastroso para una de las compañías tecnológicas más importantes del mundo. 

Durante el incidente se filtraron algunos diagramas de productos Apple, aunque los hackers parecen haber dejado de lado este ataque debido a que la compañía consideró que no se comprometió información relevante.

NBA

En un hecho sin precedentes, el grupo de ransomware Babuk comprometió las redes de la National Basketball Association (NBA), robando unos 500 GB de información confidencial. 

Entre los datos confidenciales expuestos se encuentran registros financieros, contratos y otros detalles que los hackers amenazan con revelar si no se cumple el pago del rescate. Hasta el momento se desconoce si la NBA ha cedido a las demandas o si la negociación sigue en curso. 

AXA

Hace un par de meses la aseguradora europea fue atacada por el grupo de ransomware Avaddon después de que la compañía anunciara que dejarían de pagar reembolsos a los clientes con pólizas de ciberseguridad. Según los expertos las empresas deben usar VPN que funcionan mejor para dispositivos iOS o Android o Windows o Linux.

CNA

El mes de marzo las redes de CNA fueron comprometidas por un grupo de ransomware, lo que derivó en el compromiso de alrededor de 15 mil dispositivos. Este ataque habría sido desplegado por el grupo de hacking Evil Corp empleando una variante de malware conocida como Phoenix CryptoLocker.

CDProjekt Red

La recientemente popular compañía desarrolladora de videojuegos CDProjekt Red fue atacada por el grupo de ransomware HelloKitty. Los responsables de esta operación amenazaron con revelar código fuente de populares videojuegos si sus demandas no eran cumplidas, aunque la compañía reveló que no tienen planes de pagar el rescate. 

Kia Motors

Kia Motors, subsidiaria del gigante automotriz Hyundai, fue comprometida por el grupo de ransomware DoppelPaymer, quienes exigían un rescate de $20 millones USD. 

Los hackers publicaron algunas muestras de la información robada, por lo que la comunidad de la ciberseguridad supone que la compañía se negó a pagar el rescate.

El cargo Los ataques de malware más devastadores de 2021 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Peligrosa estafa de WhatsApp nunca antes vista permite a los hackers espiar tus mensajes en cuestión de segundos. Cómo protegerse

El robo del código de verificación de WhatsApp es quizá el método más conocido para hackear una cuenta en la popular aplicación de mensajería instantánea. En este ataque, los hackers tratarán de interceptar el código enviado por WhatsApp vía mensajes SMS, empleando para ello diversos métodos.

Una variante de este ataque recientemente detectada se basa en el envío de mensajes aparentemente enviados por un familiar o amigo. El mensaje trata de hacer creer al usuario objetivo que el contacto envió por error el código del inicio de WhatsApp, solicitando que se le envíe de vuelta.

En realidad el usuario no está hablando con sus familiares o amigos, sino que un actor de amenazas ha logrado comprometer el número telefónico del remitente y ahora está tratando de obtener el código de acceso, lo que permitirá evadir el mecanismo de autenticación multi factor de WhatsApp.

De tener éxito, los hackers pueden causar estragos e incluso comprometer los números telefónicos de otras personas. Esta es una estafa realmente inteligente debido a que se basa en el hecho de que un amigo o familiar accederá a cumplir con este favor.

Dada su efectividad y simpleza, esta se ha convertido en la estafa de WhatsApp más popular en la actualidad.

La recomendación para aquellos que reciban este mensaje o alguno similar es ignorar completamente este intento de estafa, además de tratar de contactar a la persona afectada por otros medios para informarle que su teléfono ha sido comprometido.

Si su cuenta ha sido comprometida debido a esta estafa, asegúrese de intentar iniciar sesión inmediatamente y eliminar a los intrusos de su cuenta, aunque estas acciones signifiquen volver a restablecer la cuenta afectada.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Peligrosa estafa de WhatsApp nunca antes vista permite a los hackers espiar tus mensajes en cuestión de segundos. Cómo protegerse apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Así es como los hackers están robando Bitcoin de wallets en Coinbase. Nuevo truco nunca antes visto

Tanja y Jared Vidovic son una pareja que reside en Florida, E.U. y que hace algunos años decidió adentrarse en el mundo de las criptomonedas a través de Coinbase, una de las plataformas de intercambio más importantes del mundo. Aunque desde 2017 sus activos crecieron casi 4 veces, todo cambió para mal cuando Tanja comenzó a recibir inusuales alertas de seguridad: “Al entrar a mi cuenta para saber qué pasaba, descubrí que los $168 mil USD que almacenaba nuestra billetera electrónica se habían esfumado”, relata la víctima en entrevista para CNBC.

Aunque este y otros incidentes similares siguen siendo investigados, especialistas en ciberseguridad creen que lo más probable es que se trate de una variante de fraude conocida como intercambio de SIM (del inglés SIM swap). En este ataque los estafadores toman control del número telefónico y la tarjeta SIM del usuario objetivo, usualmente engañando a los empleados del respectivo operador telefónico.

Dado que el uso de plataformas de intercambio y billeteras de criptomoneda está estrechamente relacionado con los números telefónicos de los usuarios, el compromiso de este recurso facilita enormemente el robo de activos virtuales. David Silver, abogado y especialista en criptomoneda que asesora a la familia Vidovic, afirma que esta es una variante de ataque en constante desarrollo y eficaz: “Una vez que un actor de amenazas tiene acceso al número telefónico de la víctima, es posible vaciar una billetera Bitcoin en menos de 30 minutos”, señala.

Un ataque de intercambio de SIM suele ser relativamente fácil, ya que los actores de amenazas solo deben hacerse pasar por el usurario afectado y llamar a su compañía telefónica para solicitar que su número telefónico sea transferido a otra tarjeta SIM, algo a lo que las compañías telefónicas suelen acceder sin realizar mayores verificaciones de seguridad. Al obtener control del número telefónico de la víctima, el acceso a las billeteras de criptomoneda se vuelve algo casi trivial para los hackers.

Por si no fuera suficiente, el Buró Federal de Investigaciones (FBI) afirma que las transacciones no pueden ser revertidas como podría suceder en un banco tradicional, por lo que las víctimas recuperan su dinero en muy escasas ocasiones, por no decir que nunca lo recuperan.

Para Silver, Coinbase también es parte del problema, ya que muestran una casi nula respuesta ante los constantes reclamos que su área de servicio al cliente recibe: “Están victimizando de nuevo a las víctimas, ya que en ningún momento reciben respuestas claras de la plataforma.” Los hechos parecen respaldar estas acusaciones. Al día de hoy, Coinbase acumula más de 11 mil quejas presentadas ante la Comisión Federal de Comercio y la Oficina de Protección al Consumidor de E.U., lo que deja muy claro la deficiencia de la plataforma en esta materia.

Mientras la familia Vidovic espera una respuesta satisfactoria de la compañía, casos como este siguen acumulándose, por lo que es urgente que las plataformas de intercambio de criptomoneda comiencen a implementar mejores medidas para proteger a sus clientes contra esta y otras variantes de fraude electrónico.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así es como los hackers están robando Bitcoin de wallets en Coinbase. Nuevo truco nunca antes visto apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cualquiera puede robar NFT de plataformas como OpenSea, Rarible y Metamask como un profesional

Los usuarios de la plataforma digital OpenSea están siendo objeto de un sofisticado ataque de phishing que tiene como fin el robo de tokens no fungibles (NFT) y criptomoneda. Los hackers detrás de esta campaña se infiltran en el servidor de Discord de OpenSea haciéndose pasar por empleados de soporte, lo que hace más fácil engañar a las víctimas.

Como algunos usuarios sabrán, OpenSea es el marketplace digital más grande del mundo, operando como una plataforma descentralizada y respaldada con tecnología blockchain. Esta plataforma se especializa en NFTs, tecnología con diversas implementaciones, principalmente el arte digital.

ICYMI People have been getting scammed on OpenSea's Discord by bad actors claiming to be OpenSea support. OpenSea has known about this for at least a week, possibly longer. Yet they are still directing people to their Discord. 1/? pic.twitter.com/ZU6OYGdNE1

— Sean Bonner Ⓥ (@seanbonner) August 24, 2021

Los atacantes trataban de contactar a los usuarios de OpenSea para ofrecerles soporte de forma privada, táctica similar a otras campañas de ingeniería social y que ha demostrado ser verdaderamente útil para el robo de información confidencial y credenciales de acceso a plataformas digitales.

La estafa se dirigía principalmente a los nuevos usuarios en el servidor Discord de OpenSea, quienes podían publicar una solicitud de ayuda. Los hackers monitoreaban la plataforma para detectar estas solicitudes en cuanto fueran publicadas, lo que les permitía enviar mensajes con una invitación a un servidor secundario llamado “OpenSea Support”.

Jeff Nicholas, artista digital que fue víctima de la estafa, señala que después de unirse a este servidor de soporte falso, los hackers le pidieron habilitar una pantalla compartida para solucionar sus dudas. Como parte de este proceso, los estafadores le dicen a la víctima que necesitan “resincronizar” su extensión MetaMask Chrome con la aplicación móvil MetaMask: “Los usuarios realmente no saben a qué se refieren con esos términos, solo terminamos aceptando porque necesitamos resolver nuestros problemas”, agrega Nicholas.

En este punto, los usuarios de MetaMask realizarán la cadena de acciones Configuración> Avanzado> Sincronizar con el móvil. A continuación los usuarios afectados ingresan su contraseña en la página y aparece un código QR.

La clave del ataque está en que cualquiera que vea este código QR puede tomar una captura de pantalla y luego usar esa imagen para sincronizar una billetera con su propia app móvil, que es exactamente lo que hacen los hackers. El ataque es altamente peligroso ya que solo requiere engañar al usuario objetivo y obtener este código para robar cualquier activo de los usuarios de OpenSea.

La plataforma ya ha sido notificada y se espera que pronto identifiquen a los actores de amenazas en el servidor de Discord o bien se tomen otras medidas de seguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cualquiera puede robar NFT de plataformas como OpenSea, Rarible y Metamask como un profesional apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ahora puede bloquear su smart TV SAMSUNG de forma remota como si fuera un iPhone robado. Nueva funcionalidad de bloqueo de TV

En un reciente comunicado, Samsung reveló a sus clientes que es posible desactivar cualquier smart TV de la compañía con la función TV Block. Esta es una función poco conocida, por lo que la compañía tuvo que emitir este mensaje como una medida contra los recientes saqueos en algunas ciudades de Sudáfrica.

La compañía menciona que esta es una función de seguridad remota para detectar si estos dispositivos fueron activados indebidamente, en un intento de garantizar que los smart TVs de Samsung solo sean usados por usuarios legítimos: “El objetivo es mitigar la creación de mercados secundarios vinculados a la venta de bienes obtenidos de forma ilegal. Esta tecnología ya está precargada en todos los productos Samsung TV”.

Esta función se activa de forma remota en todas las televisiones robadas de los almacenes saqueados, y solo basta con enviar los números de serie a los servidores Samsung. Cuando estos dispositivos robados se conectan a Internet, Samsung verificará la lista de dispositivos robados y desactivará todas las funciones del smartphone en caso de encontrar una coincidencia.

Did you know.
Every #SamsungTV is built with a safeguard against theft … Recent events and the sale of illegal goods have prompted the activation of #TVBlock, our remote solution to ensure Samsung TVs are used by its rightful owners.

🖱️ https://t.co/GzQyJUTAoI#RebuildSA pic.twitter.com/48snMknr1k

— SamsungSA (@SamsungSA) August 6, 2021

Como en cualquier implementación tecnológica, un dispositivo puede ser bloqueado por error. En estos casos, las funciones completas del smart TV serán restablecidas si el usuario lo solicita al área de soporte técnico de la compañía, lo que puede hacerse vía email; los problemas deberían ser solucionados en 48 horas.

Al respecto, Mike Van Lier, director de consumo de Samsung, menciona: “De acuerdo con nuestros valores de aprovechar el poder de la tecnología para resolver los desafíos sociales, desarrollaremos y expandiremos continuamente productos estratégicos en nuestra división de electrónica de consumo con seguridad de grado de defensa, especialmente diseñada, con herramientas comerciales innovadoras e intuitivas diseñadas para un nuevo mundo.”

Si bien Samsung dice que TV Block es una función innovadora con resultados positivos demostrables, la comunidad de la ciberseguridad cree que sería posible que los actores de amenazas lograran acceder a estas listas de bloqueo y realizar acciones maliciosas. Samsung no se ha pronunciado al respecto, aunque se espera que se implementen las medidas necesarias para mitigar este riesgo.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ahora puede bloquear su smart TV SAMSUNG de forma remota como si fuera un iPhone robado. Nueva funcionalidad de bloqueo de TV apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hacker ofrecía $1 millón USD a empleados descontentos para unirse a su operación de ransomware

Un informe publicado por la firma de ciberseguridad Abnormal Security asegura que un hacker nigeriano intentó utilizar a los inconformes empleados de una organización para ejecutar un ambicioso ciberataque. Los investigadores afirman haber interceptado una serie de correos electrónicos enviados a principios de agosto a algunos de miembros de la organización, los cuales incluían una oferta de hasta $1 millón USD a cambio de ayudar al hacker a infectar de ransomware las redes de esta organización.

Como algunos usuarios sabrán, el ransomware es una variante de malware que encripta los archivos de una víctima y convierte la información en un código secreto que oculta el verdadero significado de estos archivos. Históricamente, el ransomware se ha distribuido a través de archivos adjuntos de correo electrónico o, más recientemente, mediante el acceso directo a la red obtenido a través de cosas como cuentas VPN no seguras o vulnerabilidades de software.

El supuesto atacante (o grupo de atacantes) asegura tener vínculos con el grupo de ransomware DemonWare, también conocido como Black Kingdom o DEMON. Este grupo existe desde hace algunos años. En marzo, el ransomware apareció en las noticias por intentar explotar una vulnerabilidad importante de Microsoft Exchange.

Según el reporte: “El remitente aseguraba a algunos empleados que si pueden implementar ransomware en una computadora de la empresa o un servidor Windows, entonces se le pagaría $1 millón USD en Bitcoin, o bien el 40% del rescate exigido, cercano a los $3 millones USD.

Al parecer, el hacker contactó a los miembros de la organización afectada después de una breve búsqueda en LinkedIn. Este, además de otros servicios comerciales que venden acceso a datos similares, es un medio común que utilizan los estafadores para recopilar información y datos personales de los empleados. El atacante afirmaba que había planeado infectar solo a ejecutivos de alto nivel, pero cuando ese plan falló, cambió a un esquema de ransomware.

Sin embargo, el atacante no obtuvo la respuesta esperada, por lo que el segundo plan también fracasó y la compañía afectada, cuyo nombre no fue revelado, se encuentra completamente a salvo.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hacker ofrecía $1 millón USD a empleados descontentos para unirse a su operación de ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Así se puede infectar con el spyware Pegasus un iPhone o iPad sin siquiera tocarlo. Evidencias publicadas

Un reciente reporte de la firma de seguridad Citizen Lab señala el hallazgo de un nuevo ataque día cero en Apple iMessage explotado para infectar los dispositivos afectados con el peligroso spyware Pegasus, desarrollado por NSO Group. Esta oleada de ataques fue detectada en Bahréin y ya se han identificado al menos 9 objetivos, todos identificados como activistas y usuarios de dispositivos iPhone.

La herramienta de espionaje fue instalada en estos dispositivos después de explotar exitosamente dos fallas cero clics en iMessage; el término “cero clic” quiere decir que la explotación de las vulnerabilidades no requiere interacción del usuario objetivo. Los exploits empleados en esta campaña han sido identificados como FORCEDENTRY y 2020 KIMSET.

Los investigadores probaron una infección de Pegasus empleando un iPhone Pro Max con iOS 14.6, la más reciente versión del sistema iOS, descubriendo que estos ataques de cero clics son completamente funcionales incluso en los dispositivos Apple más recientes.

Como recordará, NSO Group vende el spyware Pegasus principalmente a actores estatales, sin importar que sean gobiernos caracterizados por sus constantes violaciones a los Derechos Humanos de opositores políticos, activistas y periodistas.

THREAD with a couple of interesting bits from @AmnestyTech's new report on what they learned from looking for NSO Group's spyware on phones https://t.co/CG60vx7cRg

— Bill Marczak (@billmarczak) July 18, 2021

Cualquiera pensaría que el riesgo de infección puede ser mitigado simplemente deshabilitando iMessage y Facetime, no obstante, es importante recordar que NSO Group puede comprometer muchas otras funciones o aplicaciones en el dispositivo infectado, incluyendo la popular app de mensajería WhatsApp.

Considerando lo anterior, el único método que podría eliminar este riesgo de forma definitiva es que Apple aborde las fallas explotadas por FORCEDENTRY y 2020 KIMSET. Mientras tanto, NSO Group podría seguir acumulando ataques exitosos.

Este es solo un reporte más en la larga lista de escándalos involucrando a NSO Group. Hace un par de años, Facebook demandó a la compañía con sede en Israel debido a la venta de un exploit día cero para comprometer smartphones a través de WhatsApp; este ataque habría involucrado a personas de interés como diplomáticos, periodistas y activistas.

Aunque se sabe de la existencia y propósitos de Pegasus desde hace años, este spyware volvió a ser noticia debido a un reporte publicado por la organización no gubernamental (ONG) Amnistía Internacional, en el que se revelaban detalles como los clientes gubernamentales de NSO Group y posibles objetivos de la infección.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así se puede infectar con el spyware Pegasus un iPhone o iPad sin siquiera tocarlo. Evidencias publicadas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente