Cómo copiar cookies de Facebook, Instagram, Twitter Gmail y contraseñas del navegador a una memoria USB, todo con solo 15 comandos

La recolección de cookies es una popular actividad de hacking y puede resultar realmente útil para obtener información de un objetivo, por lo que es necesario conocer las técnicas que los actores de amenazas usan para obtener estos datos.

En esta ocasión, los expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo copiar las cookies de plataformas como Facebook, Twitter, Instagram y Gmail a un dispositivo USB, todo de forma discreta y empleando solo 15 comandos.

Antes de continuar debemos recordar que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no se hace responsable del mal uso que pudiera darse a la información aquí contenida. Este no es un llamado a la acción ni un manual cibercriminal.

Acorde a los expertos en ciberseguridad, lo primero que necesitamos es una unidad USB con datos de un tipo específico. A continuación se muestra el contenido del dispositivo usado para este ejemplo:

En esta USB podemos ver dos carpetas y dos archivos: un archivo por lotes y un archivo para ejecución automática (autorun). El archivo para la ejecución automática contiene un comando que dice que el archivo por lotes se abrirá en en autorun.

El archivo por lotes en contiene comandos diseñados para copiar todos los archivos y cookies necesarios para que sea posible obtener las contraseñas de un usuario objetivo, mencionan los expertos en ciberseguridad. En este ejemplo se enumeran tres navegadores: Mozilla, Opera y Google. Si es necesario, es muy posible agregar otros navegadores necesarios, pero necesitará encontrar directorios para ellos.

A continuación, debemos copiar todos los archivos de Opera, luego de Firefox, luego de Google Chrome. Luego se les asignan ciertos atributos.

El problema es que el archivo de ejecución automática no se inicia en todos los sistemas. Por ejemplo, después de actualizar Windows 7 y versiones posteriores, la ejecución automática de archivos no es una opción, ya que Microsoft eliminó esta función por motivos de seguridad.

Al abrir el archivo por lotes veremos que los archivos de los navegadores se han copiado en la propia unidad USB. Es decir, todas las cookies y contraseñas se encuentran en nuestro dispositivo.

Si un día ejecuta automáticamente todos los archivos y los copia desde una computadora, y luego va a otra computadora y coloca una unidad flash USB en ella, o la coloca en su computadora para averiguar las contraseñas de la víctima, entonces el archivo de ejecución automática ejecutará automáticamente el lote archivo, que copiará todos los archivos y los sobrescribirá con los archivos de la víctima, mencionan los expertos en ciberseguridad.

Este proceso también se puede evadir agregando el siguiente comando:

del: Autorun.inf

Es decir, cuando el archivo por lotes hace su trabajo, el archivo autorun.inf se eliminará y el ciclo finalizará.

Para ver todos los datos robados, debe utilizar el programa mostrado continuación. Pero antes de eso, debe reemplazar sus archivos por otros robados, recomiendan los expertos en ciberseguridad.

Lo mejor de esto es que el antivirus ni siquiera notará la actividad maliciosa en el sistema objetivo, mencionan los expertos.

Recuerde que este método no funciona en todos los sistemas partes pero funciona perfectamente en las opciones compatibles, lo que permitirá abarcar una gran área de ataque. Para finalizar, le solicitamos que nunca realice pruebas en sistemas ajenos sin el consentimiento previo de los administradores.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cómo copiar cookies de Facebook, Instagram, Twitter Gmail y contraseñas del navegador a una memoria USB, todo con solo 15 comandos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Así es como estas apps con más de 10 millones de descargas están robando dinero desde tu cuenta bancaria

Un reporte de Zimperium zLabs señala que un troyano para dispositivos Android ha acumulado alrededor de 10 millones de víctimas en más de 70 países, gracias a su presencia en cerca de 200 apps maliciosas que lograron evadir los mecanismos de seguridad en Google Play Store.

En su reporte, los expertos señalan que los operadores de esta campaña maliciosa han tenido tanto éxito que incluso han accedido a un nivel de ingresos medianamente estable, obteniendo millones de dólares mes con mes.

El reporte señala que la campaña, identificada como GriftHorse, ha estado activa desde noviembre de 2020 y se basa en engañar a las víctimas para que entreguen su número de teléfono para posteriormente inscribirlos a servicios SMS Premium de forma arbitraria.

FUENTE: Zimperium zLabs

Por obvios motivos, esta campaña requiere que las víctimas descarguen apps de Android de apariencia legítima que ocultan la carga maliciosa. Esta carga maliciosa se oculta en toda clase de apps, desde juegos para dispositivos móviles, apps de citas, traductores y otras herramientas.

Después de la instalación, el troyano escrito en Apache Cordova comenzará a bombardea al usuario con mensajes con el fin de acceder a la información deseada, redirigiendo a la víctima a un sitio web según la localización del dispositivo afectado.

En este sitio web, se pedirá a los usuarios entregar sus números de teléfono para un supuesto proceso de verificación. Si los usuarios caen en la trampa, se concretará la suscripción al servicio SMS Premium.

Algunos de los cargos superan los $35 USD al mes, y si una víctima no nota esta transacción sospechosa, entonces, teóricamente, se le podría cobrar durante meses y meses hasta acumular cientos de dólares en pérdidas. Para evadir la detección, los operadores del malware utilizan URL modificables en lugar de direcciones codificadas.

Los expertos presentaron sus hallazgos a Google, que emprendió un escaneo para eliminar las aplicaciones de Android marcadas como maliciosas. No obstante, estas aplicaciones pueden ser descargadas de plataformas de terceros, por lo que el riesgo sigue activo.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así es como estas apps con más de 10 millones de descargas están robando dinero desde tu cuenta bancaria apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica de escalada de privilegios en laptops ASUS con la aplicación ROG Armory Crate instalada

Un reporte de seguridad publicado por un investigador italiano señala que el abuso de una vulnerabilidad en la aplicación de manejo de hardware ROG Armory Crate para equipos ASUS permitiría a los usuarios con privilegios reducidos ejecutar código con privilegios de administrador en el sistema comprometido.

Esta es una solución diseñada para los usuarios de hardware que usan luces LED y otros tipos de iluminación en sus equipos, algo que se ha vuelto tendencia especialmente en la comunidad PC gamer.

El investigador, identificado simplemente como Federico, descubrió esta falla después de analizar el código de ROG Armory Crate, lo que le permitió encontrar un error de secuestro de DLL con el que un usuario convencional podría ejecutar código con privilegios SYSTEM después de inyectar un archivo especialmente diseñado en un directorio utilizado por la aplicación.

Al analizar los registros de arranque de Process Monitor el investigador notó que Armory Crate v4.2.8 estaba llamando a un archivo DLL desde una carpeta dentro de C:\ProgramData\, una carpeta en la que cualquier usuario de Windows 10 puede escribir sin usar una contraseña de administrador u otro tipo de privilegio en el sistema. La vulnerabilidad fue identificada como CVE-2021-40981, aunque aún no ha recibido un puntaje del Common Vulnerability Scoring System (CVSS).

Aunque la explotación de esta falla es trivial, las consecuencias de un potencial ataque son considerablemente bajas. Entre los principales riesgos derivados de esta falla se encuentran infecciones de malware para minar criptomoneda o manipulación arbitraria del hardware afectado.

Sobre esta falla, el investigador menciona que esta clase de software está mal diseñado en términos de ciberseguridad: “Por lo general estos productos no son diseñados teniendo en cuenta la seguridad. No es una crítica solo para ASUS, toda la industria incurre en las mismas prácticas.”

La última versión de Armory Crate (v4.2.10) incluye una corrección para esta vulnerabilidad y fue lanzada apenas un par de semanas después de que ASUS recibió el reporte. La compañía ya ha recibido algunas solicitudes de información de la comunidad de la ciberseguridad, aunque ASUS no ha mencionado nada al respecto.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica de escalada de privilegios en laptops ASUS con la aplicación ROG Armory Crate instalada apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

CVE-2021-37973: Vulnerabilidad día cero en navegador Chrome permite que los hackers te espíen

Especialistas en ciberseguridad reportan la detección de una vulnerabilidad día cero en Google Chrome que podría poner en riesgo los datos de todos los usuarios del navegador. Si bien la mayoría de los investigadores que han analizado este reporte lo consideran un problema serio, un sector de la comunidad cree que la falla es aún peor de lo que se piensa.

A pesar de estas afirmaciones, el gigante tecnológico asegura que basta con aplicar las nuevas actualizaciones de Chrome para mitigar por completo el riesgo de explotación y los potenciales incidentes de fuga de datos.

Cabe recordar que, a pesar de la amplia disponibilidad de opciones, Chrome se ha mantenido como el navegador más utilizado del mercado, con más de 2 mil millones de usuarios activos en todo el mundo. Por ello, cualquier mínimo riesgo para la seguridad de la información de los usuarios podría representar una amenaza sin precedentes.

Además de sus errores inherentes, los actores de amenazas siempre están buscando nuevos métodos para explotar cualquier falla en Chrome, considerado uno de los principales objetivos para los cibercriminales.

Sobre la vulnerabilidad reportada, los expertos no agregaron demasiados detalles, solo mencionaron que ya se han detectado algunos casos de explotación en escenarios reales y que lo más recomendable es implementar las actualizaciones pertinentes a la brevedad. Los expertos también mencionaron que la falla ha sido explotada tanto en sistemas Windows, Linux y macOS, presentes en cientos de millones de equipos de cómputo en todo el mundo.

Después de recibir el reporte Google reconoció la falla, identificada como CVE-2021-37973, emitiendo un comunicado para recomendar a sus usuarios actualizar sus sistemas: “Queremos agradecer a todos los investigadores que colaboraron en este hallazgo para evitar que estos errores lleguen al canal estable.”

Por seguridad, se recomienda encarecidamente a los usuarios del navegador actualizar Chrome a la más reciente versión disponible (v94.0.4606.61), disponible para usuarios Linux, Windows y macOS. Si bien Google no compartió detalles técnicos sobre la falla, la compañía ha hecho énfasis en el hecho de que basta aplicar estas actualizaciones para evitar el riesgo de explotación en escenarios reales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo CVE-2021-37973: Vulnerabilidad día cero en navegador Chrome permite que los hackers te espíen apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo hackear contraseñas Wi-Fi WPA2-PSK fácilmente con solo 10 comandos y usando una simple herramienta

El descifrado de contraseñas para redes WiFi es una de las actividades de hacking que más interesan a investigadores principiantes, expertos en ciberseguridad y usuarios esporádicos por igual y, aunque en línea es posible encontrar información al respecto, en ocasiones esta es poco clara y puede no estar dirigida al público adecuado.

Es por ello que los expertos del curso de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) cómo completar estas tareas de forma relativamente sencilla y en solo unos cuantos pasos. Para ello, usaremos la utilidad conocida como coWPAtty, que simplifica y acelera los ataques de diccionario convencionales.

Antes de continuar, le recordamos como de costumbre que este artículo fue elaborado con fines exclusivamente informativos y no debe ser tomado como un llamado a la acción. IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Paso 1: Encontrar coWPAtty

La utilidad está incluida de forma predeterminada en el paquete de software Kali Linux, aunque no está en el directorio /pentest/wireless. Acorde a los expertos del curso de ciberseguridad, la aplicación reside en la carpeta /usr/local/bin, que abriremos a continuación.

Ejecutemos el siguiente código:

cd /usr/local/bin

Dado que la utilidad está en el directorio /usr/local/bin, se puede iniciar desde cualquier carpeta en Kali Linux.

Paso 2: Usar la pantalla de ayuda de coWPAtty

Para obtener una descripción breve de las opciones disponibles, los expertos del curso de ciberseguridad recomiendan solo escribir el siguiente comando:

cowpatty

Después, Kali Linux mostrará una pequeña pantalla de ayuda. Recuerde que coWPAtty requiere algunos datos para funcionar correctamente:

• Lista de palabras
• Archivo con hashing de contraseña
• SSID del punto de acceso a hackear

Paso 3: Cambiar el adaptador inalámbrico al modo monitor

Al igual que otras herramientas de hacking, coWPAtty requiere cambiar el adaptador WiFi al modo monitor para obtener la contraseña, mencionan los expertos del curso de ciberseguridad.

Ejecutemos el siguiente código:

airmon-ng start wlan0

Paso 4: Crear un archivo para interceptar

A continuación, debemos crear un archivo para almacenar la contraseña interceptada durante el protocolo de enlace de 4 vías. Para ello, usaremos el siguiente código:

airodump-ng --bssid 00: 25: 9C: 97: 4F: 48 -c 9 -w cowpatty mon0

El comando anterior volcará el punto de acceso seleccionado (00:25:9C:97:4F:48), el canal especificado (-c 9) y guardará el hash en un archivo llamado cowcrack, señalan los expertos del curso de ciberseguridad.

Paso 5: Intercepción del handshake

Ahora solo debemos esperar a que alguien se conecte al punto de acceso comprometido, lo que nos permitirá interceptar el hashing. Los expertos del curso de ciberseguridad recomiendan usar Airodump-ng para recibir una notificación cuando alguien se conecte a la red objetivo.

Paso 6: Ejecutar la utilidad

Después de obtener la contraseña con hashing, podemos usar coWPAtyy junto con nuestra lista de palabras para obtener la clave descifrada.

Ejecutemos el siguiente código:

cowpatty -f /pentest/passwords/wordlists/darkc0de.lst -r /root/cowcrack-01.cap -s Mandela2

La captura de pantalla anterior muestra cómo coWPAtty genera un hash para cada palabra en nuestra lista con el SSID y lo compara con el hash interceptado. Una vez que el hash coincida, la utilidad mostrará la contraseña del punto de acceso en la pantalla.

Paso 7: Creación de un hash propio

Por lo general, coWPAtty usa una lista de palabras proporcionada por el usuario y calcula el hash de cada una según el SSID especificado, aunque esta tarea consume una gran cantidad de recursos del procesador, mencionan los expertos del curso de ciberseguridad.

Por suerte, ahora la utilidad cuenta con soporte para el trabajo con un archivo hash listo para usar, lo que hace más eficiente el descifrado de contraseñas WPA2-PSK en más de 1000%. Estos archivos se generan utilizando 172,000 archivos de diccionario y 1,000 de los SSID más populares. Recuerde que, si su SSID no está incluido en esta lista, la función no nos ayudará. En tal caso, deberemos generar nuestra propia lista hash a partir del SSID del punto de acceso utilizado.

Usemos el siguiente código:

genpmk -f /pentest/passwords/wordlists/darkc0de.lst -d hashes -s Mandela2

Paso 8: Uso del hash propio

Después de generar una lista de hashes para un SSID específico, podemos comenzar a descifrar la contraseña con la ejecución del siguiente comando:

cowpatty -d hashfile -r dumpfile -s ssid

Aunque no es la única utilidad en su tipo, coWPAtty es una de las mejores opciones para el descifrado de contraseñas WiFi, ya que es fácil de usar y no requiere conocimientos de hacking avanzado.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cómo hackear contraseñas Wi-Fi WPA2-PSK fácilmente con solo 10 comandos y usando una simple herramienta apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¡Al fin! Así rastrearon y arrestaron a la banda de estafadores más peligrosa; casi 90 mil personas defraudadas

El Buró Federal de Investigaciones (FBI) anunció el arresto de 33 personas en Texas debido a su presunta participación en la conocida operación cibercriminal Black Axe, que involucra el compromiso de email empresarial (BEC), fraude de seguros, fraude de seguro de desempleo y otras variantes de cibercrimen.

Los agentes a cargo de la investigación mencionan que Black Axe había estado activo al menos desde hace 4 años, participando en toda clase de actividades fraudulentas en línea. Algo curioso de este grupo es que también participó en las conocidas como estafas románticas, creando cuentas de usuario en sitios web como ChristianMingle, Match.com, JSwipe y Plenty of Fish.

Black Axe tiene sus orígenes en la década de 1970, cuando se fundó como una fraternidad universitaria en Nigeria. Poco a poco los miembros de esta fraternidad fueron involucrándose en actividades ilegales, extendiendo sus operaciones a otros países de África y llegando a América a finales del siglo XX.

Logo de Black Axe

Las autoridades estiman que este grupo obtuvo ganancias por alrededor de $17 millones USD, estafando a casi 90 mil víctimas en diversas ubicaciones, principalmente en Texas. A continuación, se presenta una lista con los nombres completos y edad de los acusados, además de los cargos que enfrentan:

• David Animashaun, 38 años. Conspiración para cometer fraude electrónico
• Oluwalobamise Michael Moses, 40. Conspiración para cometer fraude electrónico
• Irabor Fatarr Musa, 51. Conspiración para cometer fraude electrónico y conspiración para el lavado de dinero
• Ijeoma Okoro, 31. Conspiración para cometer fraude electrónico y conspiración para el lavado de dinero
• Chukwemeka Orji, 36. Conspiración para cometer fraude electrónico
• Emanuel Stanley Orji, 35. Conspiración para cometer fraude electrónico
• Frederick Orji, 37. Conspiración para cometer fraude electrónico
• Uwadiale Esezobor, 36. Conspiración para cometer fraude postal y electrónico
• Victor Idowu, 36. Conspiración para cometer fraude postal y electrónico
• Afeez Abiola Alao, 37. Conspiración para cometer fraude electrónico y conspiración para el lavado de dinero
• Ambrose Sunday Ohide, 47. Conspiración para cometer fraude electrónico

Un segundo grupo de sospechosos ya ha sido arrestado, aunque las autoridades siguen trabajando en la presentación de cargos para las siguientes personas:

• Kingsley Ita, alias “Baron” “Sifk”, 42 años
• Irabor Fatarr Musa, alias “Fatai” “Head JJ”, 51
• Solomon Esekheigbe, 48
• Sandra Iribhogbe Popnen, alias “General”, 46
• Edgal Iribhogbe, alias “Oseme”, 50
• Damilola Kumapayi, alias “Luke Morris”, 33
• Ehiedu Onyeagwu, alias “Young”, 58
• Mathew Okpu, 57
• Benedicta Atakare, 46
• Segun Adeoye, 47
• Chidindu Okeke, alias “Steve”, 28
• Ngozi Okeke, 47
• Nosoregbe Asemota, alias “Patrick Asemota”, 46
• Chigozi Ekwenugo, 53
• Bukola Obaseki, 48
• Stella Hadome, 43
• Jequita Batchelor, 37
• Osaretin Eghaghe, 37
• Ejiro Ohwovoriole, 29
• Isaac Asare, alias “Asarko”, 48
• Gold Ude, 44,
• Henrietha Oziegbe, 23
• Kingsly Oziegbe, 25

A pesar de que este es un duro golpe para esta operación cibercriminal, el FBI cree que hace tiempo Black Axe comenzó a participar en otras actividades ilegales, incluyendo la prostitución, tráfico de personas, narcotráfico y robo agravado.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¡Al fin! Así rastrearon y arrestaron a la banda de estafadores más peligrosa; casi 90 mil personas defraudadas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

OWASP publica sus 10 principales vulnerabilidades para 2021; la lista incluye cambios considerables

Open Web Application Security Project (OWASP) está cumpliendo su segunda década de vida y para conmemorar la ocasión se ha organizado un seminario web de 24 horas continuas para presentar diversos temas. Uno de los principales temas de mayor interés fue la presentación de las 10 vulnerabilidades de OWASP más explotadas en 2021.

Durante la presentación, el director ejecutivo de OWASP Andrew van der Stock señaló que la lista de este año incluye cambios significativos en la forma que las organizaciones sin fines de lucro clasifican las amenazas de seguridad web, algo que no había sucedido al menos desde 2017.

Acorde a van der Stock, durante los años más recientes se consideró a los ataques de inyección como la más importante amenaza de seguridad web, representando un riesgo de seguridad para desarrolladores de todo el mundo; en la más reciente lista, el primer puesto lo ocupa el “Control de Acceso Roto”, anteriormente considerado como un riesgo menor.

Otro cambio llamativo está en la categoría de “Fallas Criptográficas”, antes conocida como “Exposición de Datos Confidenciales”, que ahora ocupa el segundo lugar en la lista. OWASP menciona que el cambio de nombre involucra un enfoque más claro en fallas relacionadas con el cifrado, considerando el nombre anterior como algo ambiguo.

Finalmente, los ataques de scripts entre sitios (XSS) dejaron de ser una categoría única y se agregaron a la categoría de “Ataques de Inyección”. A continuación se presenta la lista actualizada de riesgos de seguridad en OWASP:

• Control de Acceso Roto
• Fallas Criptográficas
• Ataques de Inyección
• Diseño Inseguro
• Configuración de Seguridad Incorrecta
• Componentes Vulnerables y Obsoletos
• Fallas de Identificación y Autenticación
• Fallas de Integridad de Datos y Software
• Fallas de Seguimiento y Registro de Seguridad
• Falsificación de Solicitudes del Lado del Servidor (SSRF)

Múltiples miembros de la comunidad de la ciberseguridad consideran que estos son cambios pertinentes, ya que una de las principales características del cibercrimen es su capacidad de desarrollo y adaptación, por lo que una clasificación de amenazas de seguridad no podía permanecer inmutable.

Otros esfuerzos de OWASP están enfocados en la divulgación de información, para lo cual han lanzado una versión de la lista en formato PDF compatible con prácticamente cualquier dispositivo móvil, además de que se realizarán otras actividades de difusión.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo OWASP publica sus 10 principales vulnerabilidades para 2021; la lista incluye cambios considerables apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Así fue como una persona perdió $800,000 en 10 segundos después de contestar una llamada del 911. Nueva modalidad de estafa bancaria

Las autoridades británicas emitieron un reporte para alertar a los ciudadanos de West Marcia sobre una nueva variante de fraude telefónico en el que los estafadores se hacen pasar por empleados de atención a emergencias (911). Esta estafa ya ha cobrado diversas víctimas, incluyendo a un hombre mayor que perdió 30 mil libras (más de $800 mil pesos mexicanos).

Según reportan las autoridades, los estafadores llamaron por teléfono a la víctima haciéndose pasar por servidores públicos y lo convencieron de instalar una aplicación en su teléfono móvil. Cuando la víctima descargó e instaló esta aplicación, encontró una ventana de registro que le solicitaba ingresar su información bancaria  posteriormente realizara una transferencia por el concepto de “custodia”.

“Cuando la víctima abrió la aplicación los estafadores le mostraron una supuesta transferencia de 30 mil libras a su cuenta, monto que le solicitaron transferir a una cuenta bancaria diferente. La víctima acudió a su banco a transferir el dinero para después descubrir que esas 30 mil libras habían sido transferidas a su cuenta desde su propio fondo de ahorros”, menciona el reporte policial.

Las autoridades locales describieron este incidente como “un fraude particularmente cruel”, ya que los estafadores tuvieron que abusar de la ignorancia de una persona vulnerable, aprovechándose de su confianza en las autoridades legítimas.

La policía aprovechó la oportunidad para recordar a los ciudadanos que las agencias gubernamentales y compañías privadas nunca solicitarán a las personas realizar transferencias bancarias o entregar sus claves de seguridad por teléfono, correo electrónico o cualquier otro medio. En caso de recibir una llamada telefónica o mensaje sospechoso, las autoridades recomiendan evitar interactuar con los posibles estafadores, además de reportar el incidente a familiares y autoridades correspondientes.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así fue como una persona perdió $800,000 en 10 segundos después de contestar una llamada del 911. Nueva modalidad de estafa bancaria apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Dos vulnerabilidades críticas podrían permitir que los atacantes remotos ejecuten comandos en QNAP QVR

Los equipos de seguridad de QNAP anunciaron el lanzamiento de una nueva actualización para su sistema de administración de video QVR, incluyendo parches para abordar dos vulnerabilidades críticas que podrían ser explotadas con el fin de ejecutar comandos arbitrarios en las implementaciones afectadas.

QNAP es uno de los fabricantes de almacenamiento conectado a la red (NAS) más importantes del mundo, por lo que el alcance de este riesgo de seguridad es considerable. Sobre la solución afectada, expertos mencionan que QVR es un software para el monitoreo, grabación, reproducción y notificaciones de alarma de video en tiempo real para el uso en cámaras IP compatibles.

Los tres problemas corregidos por la compañía fueron descritos como fallas de inyección de comandos en QVR; dos de estos errores son considerados críticos y recibieron puntajes de 9.8/10 según el Common Vulnerability Scoring System (CVSS).

La explotación de estas dos fallas, identificadas como CVE-2021-34351 y CVE-2021-34348, permitiría a los actores de amenazas remotos ejecutar comandos en sistemas vulnerables para tomar control total de los dispositivos afectados. Un tercer error, identificado como CVE-2021-34349 podría ser explotado en condiciones similares pero se le considera un riesgo menor.

Los primeros dos errores mencionados se consideran críticos debido a que los hackers maliciosos no requieren permisos en el sistema objetivo, mientras que la explotación de la última vulnerabilidad requeriría permisos de administrador.

Además, QNAP menciona que los productos QVR afectados son aquellos que ya han llegado al final de su vida útil, por lo que eventualmente dejarán de estar activos en implementaciones reales. Aún así, la compañía decidió emitir un parche de seguridad pues, aunque es difícil determinar exactamente cuántos dispositivos sin soporte operan actualmente QNAP estima que una buena parte de sus clientes QVR seguirán usando versiones afectadas.

Al momento de redacción de este artículo aún se desconocían reportes de explotación activa de alguna de estas fallas, aunque la compañía no ha dejado de recomendar a sus clientes vulnerables instalar las actualizaciones.

La explotación de vulnerabilidades en esta clase de dispositivos ha incrementado considerablemente los últimos meses. A inicios de 2021 por ejemplo, expertos en ciberseguridad detectaron una campaña maliciosa desplegada por un grupo de hacking para cifrar sistemas críticos de pequeños y medianos negocios, exigiendo rescates de al menos $500 USD para remover la infección.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Dos vulnerabilidades críticas podrían permitir que los atacantes remotos ejecuten comandos en QNAP QVR apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Sistemas de varias clínicas en California fueron cifrados por el grupo de ransomware Vice Society

Desde hace un par de meses se hablaba de que United Health Centers, una compañía de servicios médicos con sede en California, había sido víctima de una severa infección de ransomware que interrumpió algunos de sus sistemas y derivó en la filtración de algunos registros confidenciales. Esta compañía opera un total de 21 centros hospitalarios, por lo que el reporte fue tomado con seriedad por la comunidad de la ciberseguridad, no así por la compañía.

Al parecer el ataque se remonta a finales de agosto, cuando un investigador anónimo afirmó que la compañía estaba en proceso de recuperación después de una infección de malware. La fuente aseguraba que el incidente repercutió en todas las ubicaciones de United Health Services y generó diversos reportes de brecha de datos.

Desde entonces la compañía recibió múltiples solicitudes de información, aunque al parecer los investigadores nunca obtuvieron respuesta. Finalmente los operadores del ransomware Vice Society decidieron revelar algunos de los archivos extraídos de los sistemas de la compañía durante el ataque; la información fue publicada hace unos días en la plataforma ilegal usada por Vice Society.

Una fuente cercana al incidente afirma que la información filtrada por los hackers incluye registros confidenciales como nombres completos, diagnósticos, tipo de cobertura de salud y otros datos. Además, a pesar de que los propios hackers han confirmado el ataque, United Health Services sigue sin hacer mención alguna del incidente y sus consecuencias.

Vice Society fue detectado por primera vez a mediados de este año y, contrario a otros grupos de ransomware, esta operación se ha enfocado especialmente en comprometer organizaciones del sector salud, algo que muchos grupos cibercriminales han dejado de hacer debido a que el gobierno de E.U. cada vez pone más atención en los grupos de ransomware, especialmente en aquellos que no dudan en comprometer infraestructura crítica, incluyendo hospitales y centros de salud.

Un investigador logró contactar a los hackers con el fin de saber por qué han decidido atacar a hospitales y centros de salud, a lo que un presunto miembro de Vice Society respondió mencionando que hacen esto simplemente porque pueden.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Sistemas de varias clínicas en California fueron cifrados por el grupo de ransomware Vice Society apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

GSS/Covisian, importante empresa de call center, sufre ataque de ransomware. Cientos de máquinas cifradas

Covisian, una de las compañías de servicio de call center y atención al cliente más grandes del mundo, notificó a sus socios que un ataque de ransomware contra GSS, su división para España y América Latina, llevó a una interrupción masiva de sus operaciones en todos los países de habla hispana. Desde las primeras horas del lunes, organizaciones públicas y privadas que trabajan con GSS han experimentado las consecuencias del ataque.

Entre las organizaciones afectadas por el incidente se encuentran Vodafone España, la compañía de Internet MasMovil, la autoridad española para el suministro de agua y decenas de compañías privadas en América Latina. En su notificación a los clientes, GSS mencionó la habilitación de un plan de contingencia que incluye la desconexión de todos los sistemas afectados durante el incidente.

La compañía señaló que las aplicaciones afectadas permanecerán fuera de servicio hasta que la investigación sea completada. Covisian también calificó este ataque como un “escenario inevitable”, aunque no especificaron las razones por las que no pudieron prever o prevenir el riesgo de una infección de ransomware.

Sobre el grupo responsable del ataque, una posterior actualización de Covisian a sus clientes menciona que el ataque fue atribuido a la operación de ransomware Conti, conocida por usar la “doble extorsión”, que consiste en robar datos confidenciales de las víctimas para amenazar con divulgarlos si el rescate no se paga en un plazo determinado. Covisian niega que los hackers ya hayan filtrado alguno de los registros confidenciales expuestos, además de asegurar que la eventual filtración de datos no afectaría a sus clientes.

Como se menciona anteriormente, Covisian ofrece sus servicios a decenas de organizaciones importantes en Europa, aunque el incidente parece estar limitado a España y América Latina; dicho de otro modo, solo las redes de la subsidiaria GSS se vieron afectadas. Algunos miembros de la comunidad de la ciberseguridad han tratado de contactar a las autoridades españolas, aunque no ha habido respuesta alguna hasta el momento.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo GSS/Covisian, importante empresa de call center, sufre ataque de ransomware. Cientos de máquinas cifradas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cibercriminales usan nuevo método para firmar malware y evadir la detección: Nueva investigación de Google

Los expertos de Google Threat Analysis Group, especializados en la investigación de campañas de hacking estatal, fraude electrónico y desinformación, reportan la detección de una nueva técnica de evasión empleada por actores de amenazas con el fin de evadir la detección en campañas de fraude financiero.

Acorde a los expertos, este grupo de hacking logró crear firmas de código maliciosas que Windows identifica como válidas pero que no pueden ser decodificadas o verificadas por OpenSSL, lo que permitiría a los atacantes evadir las reglas de detección.

Un actor de amenazas podría ocultar su identidad en firmas sin afectar su integridad, logrando evadir la detección por periodos prolongados, extendiendo al máximo posible la existencia de la vida útil de sus certificados maliciosos y brindando la oportunidad de expandir la amenaza a más sistemas.

Esta técnica parece depender de OpenSUpdater, una variante de software no deseado que viola las políticas de Google y puede resultar perjudicial para los usuarios debido a que puede ser usado para instalar software potencialmente malicioso. Los actores detrás de OpenSUpdater tratan de infectar a tantos usuarios como sea posible, apuntando principalmente contra usuarios en E.U. que recurren a sitios web para la descarga de videojuegos crackeados y otras muestras de software pirateado.

Por lo general, las muestras de OpenSUpdater están firmadas con el mismo certificado de firma de código proveniente de una autoridad de certificación legítima. En cuanto a esta campaña, las muestras de OpenSUpdater detectadas llevan una firma no válida como un método de evadir la detección.

La firma en estas muestras fue editada de manera que un marcador End of Content (EOC) reemplaza una etiqueta NULL para el elemento ‘parameters’ del SignatureAlgorithm que firma el certificado leaf X.509. Los marcadores EOC terminan codificaciones de longitud indefinida, pero en este caso se utiliza una EOC dentro de una codificación de longitud definida (l = 13).

Los productos de seguridad que utilizan OpenSSL para extraer la información de la firma rechazan la codificación por no ser válida. Para un analizador que permita estas codificaciones, la firma digital del binario parecerá legítima y válida; al parecer esta es la primera vez que los investigadores detectan un grupo de hacking utilizando esta técnica para evadir la detección y al mismo tiempo preservar una firma digital válida en archivos PE.

En la siguiente imagen, puede verse que el sistema operativo Windows identifica esta firma como válida, completando así el ataque. Este problema de seguridad ya ha sido reportado a Microsoft.

Después de la detección de esta actividad, los autores de OpenSUpdater han probado otras variaciones de codificaciones no válidas con el fin de evadir las posibles medidas de seguridad y poder evadir la detección.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cibercriminales usan nuevo método para firmar malware y evadir la detección: Nueva investigación de Google apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica en productos SonicWall Secure Mobile Access (SMA) 100 permite a los hackers no autenticados obtener acceso de administrador de forma remota

Los equipos de seguridad de SonicWall anunciaron el lanzamiento de parches para corregir una falla de seguridad crítica que reside en varios productos Secure Mobile Access (SMA) Series 100. Según el reporte, la explotación exitosa de la falla permitiría a los actores de amenazas obtener acceso de administrador de forma remota. La vulnerabilidad fue identificada como CVE-2021-20034 y existe en dispositivos SMA 200, 210, 400, 410 y 500v.

Por el momento no se conocen soluciones alternativas para mitigar el riesgo de explotación, por lo que los expertos de SonicWall recomiendan encarecidamente a los usuarios de dispositivos afectados actualizar a la brevedad.

Al parecer, la explotación exitosa de la falla permitiría a un atacante eliminar archivos arbitrarios de los SMA comprometidos, todo con el fin de reiniciar los dispositivos a su configuración de fábrica y desplegar ataques posteriores de forma sustancialmente más fácil. Los investigadores señalan que la falla existe debido a una limitación adecuada de la ruta de un archivo restringido.

La compañía solicitó a sus clientes acceder a su plataforma en línea (MySonicWall.com) para aplicar la actualización de firmware correspondiente. SonicWall asegura que hasta el momento no se habían detectado intentos de explotación activa.

Es importante que los administradores implementen estos parches a la brevedad, ya que en oportunidades anteriores diversos grupos de actores de amenazas han atacado instancias SonicWall vulnerables con el fin de infectarlas con ransomware. Hace unos meses, el grupo de hacking identificado como UNC2447 logró explotar la falla día cero CVE-2021-20016 para desplegar la variante de ransomware conocida como FiveHands.

Las actualizaciones para abordar esta vulnerabilidad fueron emitidas en febrero de 2021, aunque los atacantes tuvieron tiempo suficiente para desplegar decenas de infecciones, detectadas principalmente en Norteamérica y Europa. Fue esta misma falla la que otro grupo explotó a inicios de 2021 durante una campaña especialmente dirigida a un reducido grupo de organizaciones privadas.

SonicWall reveló recientemente que sus productos son utilizados por más de 500,000 clientes comerciales en más de 200 países y territorios en todo el mundo, por lo que una campaña de explotación cuenta con el potencial de poner en riesgo operaciones críticas en casi cualquier sector comercial e industrial.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en productos SonicWall Secure Mobile Access (SMA) 100 permite a los hackers no autenticados obtener acceso de administrador de forma remota apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

2 vulnerabilidades críticas en plugin Ninja Forms permiten hackear millones de sitios web WordPress

Especialistas en ciberseguridad notificaron a WordPress la detección de dos vulnerabilidades en el popular plugin Ninja Forms. Acorde al reporte, la explotación exitosa de las fallas podría permitir a los hackers maliciosos extraer información confidencial y enviar emails de phishing desde sitios web comprometidos.

El reporte, presentado por Wordfence, menciona que la falla en este plugin con más de un millón de instalaciones activas existe debido a que su principal función para la creación de formas se basa ​en una implementación insegura del mecanismo que verifica los permisos de un usuario.

Esto quiere decir que, en lugar de garantizar que un usuario que había iniciado sesión tuviera los permisos adecuados para realizar determinadas acciones, Ninja Forms solamente verifica si el usuario ha iniciado sesión o no.

La primera falla, descrita como un error de exportación de envío masivo, permitiría a cualquier usuario que haya iniciado sesión exportar todo lo que se haya enviado alguna vez a uno de los formularios del sitio, sin importar su nivel de privilegios.

Por otra parte, la explotación del segundo error permitía a cualquier usuario enviar un email desde un sitio de WordPress vulnerable a cualquier dirección email. El reporte agrega que las fallas podrían ser fácilmente explotadas con el fin de desplegar una ambiciosa campaña de phishing para engañar a miles de usuarios desprevenidos y forzarlos para realizar acciones maliciosas.

Los investigadores reportaron las vulnerabilidades a Ninja Forms a inicios de agosto y apegándose a los lineamientos establecidos en la comunidad de la ciberseguridad. Los desarrolladores del plugin vulnerable reconocieron los problemas de inmediato y emitieron un parche de seguridad, lanzado junto con Ninja Forms v3.5.8.

Se solicita encarecidamente a los usuarios de versiones comprometidas del plugin instalar las actualizaciones lo más pronto posible. Cabe mencionar que por el momento no se han detectado intentos de explotación activa de estas fallas, aunque los usuarios no deben ignorar los reportes y las actualizaciones.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 2 vulnerabilidades críticas en plugin Ninja Forms permiten hackear millones de sitios web WordPress apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¡Cuidado! Los hackers pueden espiar sus conversaciones de WhatsApp si hace clic en esta notificación de respaldo

Especialistas en ciberseguridad reportan la detección de una campaña de phishing en la que los atacantes se hacen pasar por empleados de WhatsApp con la finalidad de engañar al usuario para que descargue e instale un troyano en su dispositivo.

Al parecer, los operadores de la campaña fingen enviar al usuario una copia de seguridad de sus conversaciones e historial de llamadas, por lo que es altamente probable que las víctimas potenciales caigan en la trampa.

En uno de los mensajes detectados, puede verse una línea de asunto mencionando “COPIA DE SEGURIDAD DE WHATSAPP *913071605”, aunque lo más probable es que todos los mensajes que forman parte de esta campaña usen esta táctica con todas las potenciales víctimas sabiendo que tal mensaje llamará la atención de cualquier usuario.

Los especialistas indican que para los usuarios podría ser difícil distinguir que el mensaje fue redactado por un grupo de hacking, ya que está bien redactado y no contiene faltas de ortografía graves, además de que usan una falsa plantilla de WhatsApp bien diseñada.

Por otra parte, el dominio desde donde fue enviado el mensaje es fácilmente identificable como una dirección ilegítima, aunque los actores de amenazas compensan esta desventaja con el hecho de un rápido proceso de infección que inicia apenas el usuario hace clic en el enlace malicioso recibido.

Al ser redirigido al sitio web malicioso, el usuario iniciará la descarga automática de un archivo ZIP donde se oculta el troyano, el cual se liberará al finalizar la instalación.

Como en cualquier otra estafa de phishing, se recomienda a los usuarios ignorar esta clase de mensajes y recordar siempre que las compañías tecnológicas, agencias gubernamentales y tiendas en línea nunca se acercan de esta forma al usuario ni envían archivos no solicitados, por lo que la prevención es la mejor forma de evitar un ataque.

Por otra parte, se recomienda a los usuarios que hayan interactuado con este correo electrónico realizar un escaneo intensivo de sus sistemas en busca de cualquier indicador de compromiso, además de mantener sus soluciones antivirus instaladas a las versiones más recientes con el fin de mantenerse protegidos ante la eventual ejecución del archivo malicioso.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¡Cuidado! Los hackers pueden espiar sus conversaciones de WhatsApp si hace clic en esta notificación de respaldo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

8 técnicas para proteger su dominio de red Windows contra la herramienta de robo de credenciales de Mimikatz

Una de las principales variantes de ataque contra sistemas Windows es el abuso de Active Directory usando herramientas para el robo de credenciales como Mimikatz. Acorde a especialistas en seguridad en redes, el uso de Mimikatz y otras herramientas similares permite a los actores de amenazas extraer contraseñas almacenadas en la memoria del proceso Local Security Subsystem Service (LSSAS.EXE), por lo que se le considera una amenaza de seguridad severa.

En esta ocasión, expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán los mejores métodos para protegerse contra el robo de contraseñas usando Mimikatz, lo que le permitirá consolidar un entorno completo de ciberseguridad.

Como de costumbre, le recordamos que este artículo fue elaborado con fines exclusivamente informativos, por lo que este no debe ser considerado como un llamado a la acción. IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Método 1: Evitar la posibilidad de depuración

El modo de depuración está habilitado por defecto en los sistemas Windows y se otorga al grupo de administradores locales (BUILTIN\Administrators). Acorde a los expertos en seguridad en redes, prácticamente el 99% de los administradores no usan esta función, por lo que es mejor deshabilitarla antes de que los actores de amenazas traten de explotarla.

Para esto, diríjase a Política de Grupo (local o de dominio) y vaya a Configuración del Equipo -> Configuración de Windows -> Configuración de seguridad -> Políticas Locales -> Asignación de Derechos de Usuario y habilite la Política del Programa de Depuración.

Esta configuración debe ser incluida en el grupo de dominio de usuarios que requieran derechos de depuración, dejando este espacio vacío para que ningún otro usuario pueda acceder a este privilegio.

Después de aplicar estos cambios, si el sistema detecta un intento de depuración a través de mimikatz, el atacante recibirá un error como respuesta:

Esta no debe ser considerada una protección completa, ya que esta restricción puede ser fácilmente evadida por un hacker experimentado.

Método 2: Deshabilitar WDigest

Este protocolo fue introducido en Windows XP y permite la autenticación HTTP Digest, una función que requiere el uso de la contraseña en texto sin cifrar del usuario. Windows 8.1 y Server 2012 R2 agregan la capacidad de evitar por completo que LSASS almacene contraseñas en texto sin cifrar.

Para evitar que WDigest se almacene en la memoria se agregó un parámetro DWORD32 llamado UseLogonCredential y un valor de 0 en la clave de registro HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\SecurityProviders\WDigest, mencionan los especialistas en seguridad en redes.

Si necesita deshabilitar completamente el método de autenticación WDigest, establezca el valor de la clave Negociar en 0 en la misma rama, recomiendan los expertos. La implementación de estas medidas en Windows 7, 8 and Windows Server 2008 R2/2012 requiere la instalación de una actualización específica (KB2871997).

Método 3: Protección LSA contra la conexión de módulos de terceros

Para los usuarios de sistemas Windows 8.1 y Windows Server 2012 R2 existe la posibilidad de incluir protección LSA, una medida de seguridad para la memoria LSA que evita la conexión a los procesos desprotegidos.

Para habilitar esta protección, los expertos en seguridad en redes recomiendan crear un parámetro RunAsPPL con un valor de 1 en la clave de registro HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA.

 Después de aplicar este parámetro, el atacante no podrá acceder a la memoria LSA, por lo que Mimikatz solamente obtendrá en respuesta el comando erorsecurlsa::logonpassword.

Método 4: Deshabilitar LM y NTLM

El protocolo de autenticación LM heredado y el hash almacenado de LM asociado deben desactivarse mediante la Política de Grupo de Seguridad de Red. Los expertos en seguridad en redes no recomiendan guardar el valor de hash de LAN Manager en el próximo cambio de contraseña.

También debe dejar de usar al menos el protocolo NTLMv1 (esto se cambia en Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad – Seguridad de red: Restringir NTLM) y, en algunos casos, NTLMv2.

Método 5: Evitar el uso de cifrado reversible

Los expertos en seguridad en redes deben prohibir estrictamente el almacenamiento de contraseñas de usuario en texto sin formato en Active Directory. Para evitar esta práctica debe inhabilitar la política de dominio Almacenar Contraseña usando cifrado reversible, que debe aplicar para todos los usuarios; diríjase a Configuración del Equipo -> Configuración de Windows -> Configuración de Seguridad -> Políticas de cuenta -> Política de Contraseña y establezca su valor en Deshabilitado.

Método 6: Uso del grupo de Usuarios Protegidos

Windows Server 2012 R2 permite el uso de un grupo protegido especial para incrementar la seguridad de usuarios con altos privilegios. Estas cuentas están mejor protegidas contra los hackers, ya que los miembros de este grupo pueden autenticarse a través de Kerberos y otros servicios.

Este grupo puede incluir usuarios con cuentas de administrador para un dominio o servidor específico. Esta característica funciona en servidores y se ejecuta en Windows Server 2012 R2, mencionan los expertos en seguridad en redes.

Método 7: Evitar el uso de contraseñas almacenadas

Otra medida recomendable es evitar que los usuarios del dominio guarden sus contraseñas en recursos compartidos de red en CreedManager. Para hacer esto, habilite la Política de Acceso a la Red y diríjase a Configuración del Equipo -> Configuración de Windows -> Configuración de Seguridad -> Políticas locales -> Opciones de Seguridad para evitar el almacenamiento de contraseñas.

En caso de aplicar esta medida, recuerde que también se les prohibirá a los usuarios el uso de contraseñas guardadas en los trabajos del programador.

Método 8: Deshabilitar el almacenamiento en caché de credenciales

Una de las funciones de Mimikatz es obtener un hash de las contraseñas de los usuarios del sistema de la rama de registro HKEY_LOCAL_MACHINE \ SECURITY \ Cache, que almacena por defecto el hash de la contraseña de los últimos 10 registros en el sistema. Estos hash se utilizan para autorizar a los usuarios en el sistema si el controlador de dominio no está disponible.

Los expertos en seguridad en redes recomiendan deshabilitar esta función con la activación de la Política de Inicio de sesión Interactivo en Configuración del Equipo -> Configuración de Windows -> Política Local -> Opciones de seguridad, donde deberemos cambiar el valor de este parámetro a 0.

Si bien estos no son todos los métodos para proteger un sistema contra el uso de herramientas como Mimikatz, sí son algunas de las prácticas de seguridad en redes más funcionales, ayudando a miles de administradores a detener un sinnúmero de ataques a diario.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 8 técnicas para proteger su dominio de red Windows contra la herramienta de robo de credenciales de Mimikatz apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Así fue como el cibercriminal más peligroso ganó mil millones de dólares engañando a su equipo de hackers

Acorde a analistas de malware, algunas de las muestras del ransomware REvil (también conocido como Sodinokibi) incluyen un backdoor que podría haber permitido a los creadores del malware original tomar control de las negociaciones de rescate, en una especie de estafa entre dos operadores de malware.

Yelisey Boguslavskiy, especialista en ciberseguridad, cree que este backdoor también podría ser empleado por los desarrolladores originales para descifrar archivos y otras implementaciones.

Esta combinación no es nada nuevo para una banda de ransomware, aunque en plataformas ransomware como servicio (RaaS) al usar el backdoor los creadores del malware podrían secuestrar los sistemas mientras las víctimas negocian con los atacantes. Eso permitiría a los creadores del malware arrebatar la parte de las ganancias que corresponde a los afiliados.

Como algunos usuarios recordarán, las ganancias obtenidas en esta clase de operaciones se dividen en un 70% para los afiliados responsables de atacar a los objetivos, y un 30% para los desarrolladores del malware. En este caso, son los propios grupos cibercriminales quienes se estafan unos a otros, algo que podría afectar aún más a los objetivos de ataque.

Además de la configuración para tomar control del chat, el backdoor también podría permitir a los desarrolladores de malware tomar control de toda la infraestructura de los afiliados y exigirles el pago de rescates a cambio de permitirles seguir operando sus ataques, demostrando que no existe tal cosa como la lealtad en la comunidad cibercriminal.

Por otra parte, Boguslavskiy mencionó que esta podría ser la causa por la que REvil cerró repentinamente sus operaciones durante los meses pasados, ya que sostiene que el uso del backdoor creó una mala reputación para esta operación de ransomware, tomando la decisión de cerrar sus servidores hasta tener disponible una nueva versión de REvil que no incluyera este punto de acceso oculto: “Al parecer las últimas muestras recolectadas fueron reelaboradas y se removió el backdoor”, concluyó el investigador.

Otra explicación a la desaparición temporal de esta operación maliciosa es que los desarrolladores de REvil estaban tratando de evitar que los analistas de malware y firmas de seguridad lograran descifrar esta variante de ransomware. Hace un par de semanas se reveló una herramienta de descifrado, por lo que las nuevas versiones tratarán de ser inmunes a las herramientas de seguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así fue como el cibercriminal más peligroso ganó mil millones de dólares engañando a su equipo de hackers apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad en Microsoft Exchange filtra miles de credenciales de dominio. Comprueba si estás en la lista

Especialistas en ciberseguridad reportan la detección de un error de diseño en una importante función del servidor email de Microsoft Exchange que podría ser abusado por actores de amenazas con el fin de recolectar dominios Windows y credenciales de aplicaciones de millones de usuarios.

Amit Serper, especialista encargado del hallazgo, menciona que el error reside en el protocolo Microsoft Autodiscover, una característica de los servidores email en Exchange que permite a los clientes email detectar automáticamente un servidor, proporcionar credenciales y recibir las configuraciones correspondientes.

Este protocolo es un elemento fundamental para los servidores email de Exchange, pues permite a los administradores asegurarse de que los clientes usen configuraciones como SMTP, IMAP, LDAP y WebDAV, entre otras. Acceder a estas configuraciones automáticas permitiría a los clientes email hacer ping a un conjunto de URLs predeterminadas, todas derivadas del dominio email del usuario:

• https://ift.tt/39uJZw5
• https://ift.tt/3zrhM45
• https://ift.tt/39HBpul
• https://ift.tt/3AAZXRw

El experto menciona que este mecanismo de detección automática utilizaba un procedimiento back-off en caso de no encontrar el endpoint del servidor Exchange en un primer intento: “Este mecanismo es el culpable de esta filtración porque siempre intenta resolver la parte de detección automática del dominio y siempre intentará fallar, por decirlo de algún modo”, menciona Serper.

El resultado del próximo intento de crear una URL de detección automática sería: https://ift.tt/3o4mtyz, lo que significa que el propietario de autodiscover.com recibirá todas las solicitudes que no puedan llegar al dominio original.

Para su investigación, el experto registró una serie de dominios de nivel superior basados en la detección automática que todavía estaban disponibles en línea, incluyendo:

• Autodiscover.com.br (Brasil)
• Autodiscover.com.cn (China)
• Autodiscover.com.co (Columbia)
• Autodiscover.es (España)
• Autodiscover.fr (Francia)
• Autodiscover.in (India)
• Autodiscover.it (Italia)
• Autodiscover.sg (Singapur)
• Autodiscover.uk (Reino Unido)
• Autodiscover.xyz
• Autodiscover.online

Empleando honeypots para medir la escala del problema, Serper descubrió que los servidores vulnerables recibieron cientos de solicitudes, involucrando miles de credenciales de usuarios tratando de configurar sus clientes email.

El investigador encontró credenciales asociadas a toda clase de organizaciones, incluyendo fabricantes de alimentos, instituciones financieras, infraestructura crítica y otras organizaciones públicas. Microsoft reconoció el reporte y afirmó que se están tomando las medidas necesarias para detectar las causas exactas de la falla antes de que se conozcan incidentes de explotación maliciosa.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad en Microsoft Exchange filtra miles de credenciales de dominio. Comprueba si estás en la lista apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¡Las notas de voz son peligrosas! Así usan los hackers los audios de WhatsApp para clonar tu voz y vaciar tus cuentas bancarias

Un informe recientemente publicado afirma que es posible emplear software de inteligencia artificial para tomar un registro de la voz de cualquier persona con fines maliciosos. Según los investigadores detrás de este informe, cuando este software sea perfeccionado, cualquier hacker podría crear clips de audio falsos, haciendo parecer que una persona dice cualquier cosa que deseen los atacantes.

Esta investigación fue elaborada por los expertos de Baidu, el gigante del Internet chino, quienes demostraron la forma en que un modelo generativo podría aprender todas las características posibles sobre la voz de una persona, replicando fielmente estas características en una muestra de audio completamente nueva.

En un primer ejemplo, los expertos usaron el clip de voz de una mujer mencionando: “Los periódicos regionales han superado a los títulos nacionales”. Después de pasar esta muestra por el software de inteligencia artificial, obtuvieron una nueva nota de voz mencionando: “Los artículos grandes deben colocarse en contenedores para su eliminación”.

Aunque el resultado aún dista mucho de considerarse perfecto, las muestras de audio obtenidas del software sí pueden ser confundidas con la nota de voz original, por lo que incluso los usuarios podrían tener problemas para identificar su propia voz.

Sobre el trabajo que involucró este software, los expertos mencionan haber recurrido a dos enfoques distintos para la creación de un sistema de clonación neuronal. El primero de estos, definido como adaptación de locutor requiere el entrenamiento de un modelo alimentado por miles de muestras de voz; para ello, se utilizó el conjunto de datos LibriSpeech, con más de 2,500 mil registros de hablantes de todo el mundo.

Por otra parte, la codificación de locutor implica entrenar a un modelo para que aprenda las incrustaciones de voz particulares del hablante, reproduciendo muestras de audio con un sistema separado entrenado por millones de registros.

La idea de que la inteligencia artificial pueda ser manipulada con fines maliciosos es una alerta de seguridad temprana en un mundo en que la tecnología avanza a pasos agigantados. Además, hoy en día obtener muestras de voz de una persona es la tarea más trivial del mundo, ya que basta con usar nuestros smartphones para grabar una llamada telefónica o solicitarle a una persona una nota de voz vía WhatsApp.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¡Las notas de voz son peligrosas! Así usan los hackers los audios de WhatsApp para clonar tu voz y vaciar tus cuentas bancarias apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ciberataque en el INAI; ¿los hackers desean tumbar la plataforma o usarla para minar criptomoneda?

A inicios de esta semana se reportó acerca de un posible ciberataque contra los sistemas informáticos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), un organismo público autónomo mexicano dedicado a garantizar el debido acceso a la información pública y a la protección de la información de los mexicanos.

Después de un par de días llenos de rumores, el comisionado del INAI Óscar Guerra Ford confirmó que el incidente fue originado en el extranjero y que no tuvo impacto alguno en la información confidencial que maneja el Instituto. Guerra Ford también mencionó que los equipos de TI del organismo ya trabajan para incrementar la protección de estos datos.

Óscar Guerra Ford, comisionado del INAI

El comisionado mencionó que al mediodía del 20 de septiembre comenzó un bombardeo de solicitudes maliciosas en el sitio web del Sistema Nacional de Transparencia (SNT), lo que condujo a una condición de denegación de servicio (DoS) que impidió a los usuarios legítimos el acceso a la plataforma.

La actividad maliciosa no se detuvo ahí, ya que los equipos de seguridad del INAI comenzaron un análisis exhaustivo de la plataforma, descubriendo un archivo malicioso descrito como “una muestra de malware para el minado de criptomoneda”. La infección fue removida de inmediato y se comenzó el proceso de restablecimiento de los sitios web afectados.

Entre las medidas de seguridad que el Instituto tomará se encuentran la implementación de filtros para mitigar ataques al detectar direcciones IP del extranjero y la realización de un diagnóstico perimetral en los servidores y aplicativos del INAI y el SNT, informó el comisionado.

Sobre las motivaciones de los hackers, el comisionado mencionó que el único fin del ataque era tumbar los sitios web del INAI y el SNT, por lo que los equipos de seguridad descartaron el robo de datos como motivo. En su reporte, Guerra Ford también desmintió una versión divulgada este martes, la cual aseguraba que los atacantes estaban exigiendo al gobierno de México el pago de un rescate.

Expertos en ciberseguridad aseguran que los ataques DoS e infecciones de ransomware son un riesgo común para los sitios web públicos y privados en cualquier país, por lo que este incidente no debe ser tomado como un ataque con motivaciones políticas contra el gobierno de México. No obstante, esta es una muestra clara de que los hackers atacan sin distinción alguna con tal de obtener ganancias.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ciberataque en el INAI; ¿los hackers desean tumbar la plataforma o usarla para minar criptomoneda? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente