Toyota interrumpe todas sus operaciones en Japón ante el riesgo de un ciberataque masivo

A partir de este martes 1º de marzo, Toyota suspenderá la producción en las 28 líneas de sus 14 plantas en Japón luego de experimentar múltiples fallas potencialmente derivadas de un potencial ciberataque contra el proveedor Kojima Industries, que opera a nivel nacional.

La compañía reporta que esta falla ha condicionado sus comunicaciones con Toyota, por lo que por el momento la firma automotriz no podría monitorear sus procesos de producción a pesar de que no hay fallas físicas en los dispositivos. Tomohiro Takayama, portavoz de la compañía, asegura que la condición ya está siendo investigada.

Hasta el momento no se ha confirmado qué tipo de ciberataque afectó las operaciones de Kojima Industries, además de que se desconocen detalles técnicos sobre el funcionamiento actual de los sistemas afectados.

Kojima suministra múltiples piezas a Toyota, incluyendo sistemas de aire acondicionado, componentes del volante y otras piezas para el interior y el exterior de los vehículos producidos por la compañía. Por el momento no está claro cuándo podría solucionarse el problema y reanudarse la producción normal.

Toyota, reconocida en el mercado actual por la producción del auto híbrido Prius y otros modelos populares, se disculpó por las molestias que la interrupción pudiera causar a sus clientes, además de asegurar que el problema será solucionado lo más pronto posible.

Hino Motors, un fabricante de camiones del grupo Toyota, confirmó que dos de sus plantas de producción en Japón también se vieron afectadas por una condición similar, por lo que esto solo podría ser el comienzo de un ataque generalizado contra la industria automotriz japonesa.

Este no es el único problema que ha enfrentado recientemente la compañía. Toyota y otros fabricantes de automóviles ya están lidiando con la escasez de chips de computadora y otras piezas fundamentales para la fabricación de autos debido a las interrupciones provocadas por la pandemia de coronavirus, una situación que no tiene soluciones aparentes a corto plazo.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Toyota interrumpe todas sus operaciones en Japón ante el riesgo de un ciberataque masivo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Gran fabricante de cámaras CCTV Axis sufre ciberataque masivo que resultó en el cierre temporal de sus sistemas

La compañía tecnológica Axis reporta estar en proceso de restablecimiento después de haber sido víctima de un poderoso ciberataque que impactó severamente sus sistemas en días recientes. Especializados en la fabricación de cámaras detectó actividad inusual en sus sistemas durante el 20 de febrero, por lo que decidieron limitar algunas funciones e iniciar una investigación.

“Pudimos detener el ataque antes de sus etapas finales, limitando el daño en nuestros sistemas”, reporta la compañía. Axis también asegura que hasta el momento no se han detectado indicios de actividad maliciosa relacionada con los datos de sus empleados y clientes, aunque la investigación no ha finalizado.

En su más reciente actualización sobre el incidente, la compañía mencionó que los sistemas prioritarios ya habían sido restablecidos, agregando que esta medida pudo causar algunos inconvenientes para sus usuarios, aunque fue algo necesario para garantizar que el daño sería reducido al mínimo posible.

A través de su cuenta de Twitter, la compañía reportó que su herramienta Case Insight y el sistema de licencias de Camera Station para usuarios en E.U. seguirían experimentando interrupciones parciales. Además, las actualizaciones de Device Manager Extend Device para el sistema operativo y otras aplicaciones presentaron fallas considerables desde el pasado viernes por la tarde.

Por otra parte, el portavoz de Axis Chris Shanelaris mencionó que todos los servicios de Internet públicos se desactivaron para proteger los sistemas de la empresa y que serían restablecidos gradualmente durante los próximos días. Shanelaris no agregó más detalles sobre el ataque, por lo que hasta el momento se desconoce por completo cuál fue el tipo de incidente de ciberseguridad experimentado por la compañía.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Gran fabricante de cámaras CCTV Axis sufre ciberataque masivo que resultó en el cierre temporal de sus sistemas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Al resetear los sistemas Windows 10 y 11 aún quedan archivos antiguos en el equipo. Mucho cuidado con tu información si quieres vender tus dispositivos usados

En su más reciente alerta de seguridad, Microsoft reportó a sus usuarios de los sistemas operativos Windows 10 y Windows 11 que el restablecimiento del sistema podría no eliminar correctamente los archivos almacenados en una laptop o computadora de escritorio. Esto ocurre debido a un error en la nube OneDrive, que simplemente no puede eliminar la sincronización local de archivos después de un reinicio local o remoto.

Según el reporte, al tratar de restablecer los dispositivos Windows con aplicaciones que contienen carpetas con datos de OneDrive o OneDrive for Business, es posible que los archivos  sincronizados con la nube no sean eliminados aunque se elija la opción “Eliminar todo” al momento del restablecimiento.

Este problema fue descubierto por el especialista en Microsoft Rudy Ooms, quien detectó que los datos del usuario aún se podían leer en una carpeta identificada como “Windows.old” después de completar un borrado remoto o local de un dispositivo con Windows 10. Windows.old es una carpeta que contiene la versión anterior de Windows en un dispositivo. El especialista detalló sus hallazgos en una reciente publicación, señalando que los datos cifrados con Bitlocker se mueven en forma clara a la carpeta Windows.old después del reinicio del sistema operativo.

Ooms menciona que el problema reside en Windows 11 v21H2; Windows 10 v21H2; Windows 10 v21H1 y Windows 10 v20H2. Microsoft reconoció el problema de inmediato y comenzó a trabajar en una solución definitiva, además de emitir una solución alternativa que los usuarios de versiones afectadas podrían aplicar por el momento.

La compañía recomienda a los administradores de sistemas afectados cerrar sesión o desvincular su dispositivo de la cuenta de OneDrive antes de realizar el proceso de restablecimiento.

También es posible evitar este problema en los dispositivos que ya han sido reiniciados utilizando la función Storage Sense de Windows en la aplicación Configuración. Esta función permite eliminar la carpeta Windows.old. Más información sobre estas soluciones temporales estará disponible en el sitio web de soporte de Windows.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Al resetear los sistemas Windows 10 y 11 aún quedan archivos antiguos en el equipo. Mucho cuidado con tu información si quieres vender tus dispositivos usados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Bridgestone, el mayor fabricante de neumáticos del mundo, sufre un gran ciberataque en sus plantas de Norteamérica y América Latina

Un reporte de seguridad señala que Bridgestone Americas ha tenido que desconectar temporalmente algunas de sus instalaciones de fabricación después de que este domingo por la mañana detectaran lo que parece ser un ciberataque masivo. La compañía menciona que por el momento no es posible determinar el alcance del incidente pero que se seguirán tomando todas las medidas necesarias.

Bridgestone Corporation, empresa matriz, es una multinacional japonesa y se ha consolidado como el mayor fabricante de neumáticos en todo el mundo, mientras que Bridgestone Americas es un conjunto de más de 50 instalaciones de producción, empleando a alrededor de 55,000 personas en Canadá, Centroamérica, América Latina y el Caribe.

En su mensaje, el gigante de la industria automotriz menciona que el incidente fue detectado durante la mañana del domingo, por lo que sus equipos de seguridad tuvieron que iniciar una investigación de emergencia para la recopilación de toda la información posible sobre las fallas, además de trabajar para la protección de otros sistemas informáticos.

Algunas de las medidas implementadas por Bridgestone incluyen la interrupción de algunas labores en sus instalaciones de fabricación y reparación de neumáticos en Norteamérica y algunas sucursales en América Latina, en un intento por contener las amenazas de seguridad.

La investigación sigue en curso, por lo que la compañía aún no puede emitir nueva información sobre el alcance del ataque o el tiempo que demorará el restablecimiento de actividades regulares, aunque aseguran que seguirán trabajando para contener la amenaza y garantizar la integridad de los sistemas que almacenan la información de empleados, clientes y socios.

Por el momento no hay información sobre la naturaleza del ciberataque, aunque especialistas en ciberseguridad teorizan que las interrupciones en las plantas de trabajo podrían deberse a un ataque de ransomware. Se espera que la compañía emita una actualización sobre el incidente en cuanto la investigación finalice.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Bridgestone, el mayor fabricante de neumáticos del mundo, sufre un gran ciberataque en sus plantas de Norteamérica y América Latina apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

AirGuard: Aplicación gratuita de Android permite a los usuarios detectar si están siendo espiados usando un Apple AirTag

Especialistas en ciberseguridad publicaron un reporte en el que se señala cómo funciona AirGuard, una aplicación para Android que permite a los usuarios de este sistema operativo detectar un dispositivo Apple AirTag potencialmente empleado con fines maliciosos.

Lanzado en abril de 2021, este dispositivo permite a los usuarios de iPhone rastrear sus dispositivos a través del servicio Find My. No obstante, se ha reportado en múltiples ocasiones que usuarios malintencionados pueden usarlos para rastrear a una persona sin permiso, ocultándolo sigilosamente en una mochila, ropa o cualquier otro sitio similar.

A pesar de los esfuerzos de Apple por contrarrestar el uso malicioso de estos dispositivos, este sigue siendo un problema severo, especialmente cuando el usuario rastreado no tiene una herramienta para detectar un dispositivo de Apple a partir de los patrones de conducta abusiva establecidos por la compañía.

En 2021 Apple lanzó la aplicación Tracker Detect para usuarios de Android, que informaría a los usuarios que hay un AirTag habilitado en una ubicación cercana. No obstante, la aplicación solo informa al usuario si está siendo rastreado, por lo que no es realmente una herramienta confiable.

Los investigadores decidieron aplicar ingeniería inversa a la detección de seguimiento de iOS para comprender mejor su funcionamiento interno para posteriormente diseñar la aplicación AirGuard, para la detección automática de cualquier actividad pasiva de seguimiento y que funciona con todos los accesorios Find My además del AirTag.

La app fue lanzada a finales de 2021 a través de la plataforma oficial Google Play Store y ya cuenta con unos 120,000 usuarios. Con esta herramienta será posible detectar todos los dispositivos de la familia Find My, incluyendo los AirTags modificados con fines de seguimiento y espionaje.

La aplicación también podrá detectar cualquier AirTag colocado en un automóvil, lo que puede resultar difícil incluso para otras herramientas de la misma Apple. Finalmente, los investigadores reconocen que la principal debilidad durante sus pruebas son las limitadas oportunidades de escaneo en el sistema operativo Android, por lo que el alcance de la búsqueda podría ser limitado.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo AirGuard: Aplicación gratuita de Android permite a los usuarios detectar si están siendo espiados usando un Apple AirTag apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

2 vulnerabilidades en los enrutadores domésticos Zyxel Armor: Actualice inmediatamente

Especialistas en ciberseguridad reportan la detección de algunas vulnerabilidades en los enrutadores Zyxel Armor, empleados principalmente en entornos domésticos. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas comprometer totalmente el sistema afectado.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2021-4029: La validación incorrecta de entradas en los dispositivos afectados permitiría a los actores de amenazas ejecutar comandos arbitrarios en los sistemas vulnerables.

Esta es una vulnerabilidad de severidad baja y recibió una puntuación CVSS de 7.3/10.

CVE-2021-4030: Por otra parte, esta falla existe debido a la insuficiente sanitización de los datos proporcionados por el usuario en el daemon HTTP. Los actores de amenazas pueden usar un sitio web especialmente diseñado para ejecutar código HTML y scripts arbitrarios en el navegador del usuario en el contexto de un sitio web vulnerable.

Esta es una vulnerabilidad de baja severidad y recibió un puntaje CVSS de 5.3/10.

Según el reporte, las fallas residen en los siguientes modelos y versiones de enrutadores:

• Armor Z1 (NBG6816): Todas las versiones
• Armor Z2 (NBG6817): versiones anteriores a 1.00 (ABCS.11)C0

Si bien las fallas pueden ser explotadas por actores de amenazas no autenticados a través de Internet, hasta el momento no se han detectado intentos de explotación activa. Aún así, Zyxel recomienda a los usuarios de implementaciones afectadas aplicar las actualizaciones disponibles a la brevedad para mitigar completamente el riesgo de explotación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 2 vulnerabilidades en los enrutadores domésticos Zyxel Armor: Actualice inmediatamente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Sofisticado backdoor de la NSA es detectado en unas 245 organizaciones en 45 países, incluyendo China, India y México

Un reciente reporte señala la detección de Bvp47, un backdoor para sistemas Linux desarrollado por Equation Group, un grupo de actores de amenazas presuntamente vinculado a la Agencia de Seguridad Nacional de E.U. (NSA). Aunque fue incluido en la base de datos de VirusTotal en 2013, este backdoor sigue activo y ha permanecido oculto en incontables implementaciones.

Los primeros reportes indicaban que solo un motor antivirus era capaz de detectar una muestra de Bvp47, aunque con el paso de las horas se han conocido más indicadores de compromiso, lo que permitirá mejorar considerablemente la detección de esta amenaza de seguridad.

El backdoor fue identificado por primera vez por la firma de seguridad china Pangu Lab, describiéndolo como un desarrollo avanzado para Linux con capacidades de acceso remoto protegido a través de un algoritmo de criptografía asimétrica RSA, que requiere una clave privada para su habilitación. Este malware habría impactado en casi 300 organizaciones en 45 países, pasando desapercibido por casi 10 años.

Esta clave privada fue encontrada en las filtraciones publicadas por los hackers de Shadow Brokers, además de otras herramientas de hacking y exploits día cero usados por Equation Group. El backdoor también podría operar en las principales distribuciones de Linux, incluyendo JunOS, FreeBSD y Solaris.

Un análisis automatizado posterior parece confirmar la autoría de Bvp47, ya que comparte múltiples características con otro backdoor desarrollado por Equation Group. Acorde a los expertos de Kaspersky, este backdoor comparte un 30% de las cadenas de código con otro malware identificado en 2018 y disponible en las bases de datos de VirusTotal.

Sobre el ataque de Bvp47, los investigadores señalan que los actores de amenazas controlan 3 servidores, uno responsable de los ataques externos y otras dos máquinas internas a cargo de un servidor email y un servidor empresarial.

Los atacantes establecen una conexión entre el servidor externo y el servidor email a través de un paquete TCP SYN con una carga útil de 264 bytes. Posteriormente el servidor email se conecta al servicio SMB del servidor comercial para realizar algunas operaciones confidenciales, incluyendo la ejecución de scripts PowerShell.

Luego, el servidor comercial se conectó al servidor email para la descarga de archivos adicionales, incluido el script de Powershell y los datos cifrados de la segunda etapa. La conexión entre las máquinas internas permite la transmisión de datos cifrados a través de un protocolo especializado.

La amenaza sigue activa, por lo que se recomienda a los administradores de sistemas revisar el informe completo para estar al tanto de los indicadores de compromiso que evidencian una infección de Bvp47.

El cargo Sofisticado backdoor de la NSA es detectado en unas 245 organizaciones en 45 países, incluyendo China, India y México apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Los riesgos de utilizar una VPN gratuita: no confíes en lo que dicen

Las actividades que realizamos en línea son cada vez mayores, por lo que también son los riesgos que corremos a la hora de navegar en la web. Eso conlleva a que tomemos diversas medidas pensando en nuestra seguridad: protección antivirus, detectores de malware o conexiones VPN para respaldar nuestra privacidad. Ahora bien, ¿qué sucede cuando el remedio es peor que la enfermedad? En el siguiente artículo, nos centraremos en lo que puede ocurrir con las VPN gratuitas. 

Sin lugar a dudas, una de las grandes tendencias de la actualidad es la utilización de VPN para conectarse en la web. Durante mucho tiempo, este tipo de herramienta estuvo asociado a expertos en computación o para aquellos que buscaban desbloquear un contenido no disponible en su país, siendo series o películas los casos más populares. Sin embargo, eso ha cambiado. 

Hoy en día, los usuarios que se conectan a internet mediante una VPN son millones, ya que la educación informática se ha fortalecido, así como los cambios en ciertos patrones generales en la web. De acuerdo a la mirada de diversos especialistas en ciberseguridad, internet es un mundo cada vez más vigilado, en donde nuestro comportamiento e información personal es rastreado. 

Así, recursos como Hola VPN se convirtieron en extremadamente populares ya que son gratuitos y sencillos de utilizar. Con millones de descargas en todo el mundo, muchas personas creen que con ese recurso, ya pueden dormir tranquilos y sentirse seguros, pero lamentablemente eso no es así. 

Vivimos en un mundo en donde los hackeos son cada vez más frecuentes: nuestras redes sociales, WhatsApp, contraseñas de bancos, nuestras cuenta de mail, entre otros sitios en línea, se ven vulnerables ante la actualización de las amenazas online. Para ello, las empresas más serias cuentan con revisiones constantes que conllevan una modernización de sus sistemas de detección de amenazas, así como nuevas estrategias para evitar dejar una huella en línea. 

Por lo general, las VPN gratuitas no ofrecen ese tipo de servicio, ya que su ganancia corre por otro lado. Por ejemplo, a la hora de pensar en Hola VPN opiniones encontramos que sus grandes fallas se encuentran en los aspectos de seguridad. De hecho, las denuncias ante este tipo de servicios se centran en que suelen dejar aún más expuestos a los usuarios a ataques maliciosos, ya que la información de ellos se encuentra más visible que antes. 

A continuación, repasaremos cuáles son los riesgos de utilizar una VPN gratuita en general y por qué no hay que creer todo lo que nos dicen desde las empresas:

1) La cuestión de los permisos

Al iniciar sesión en un servicio VPN, el servicio ofrece aplicaciones para que se pueda utilizar en cualquier dispositivo de Android, iOs, Windows, entre otros. Si bien uno podría pensar que se cumplen los requisitos mínimos de la industria, por lo general es allí en donde encontraremos los inconvenientes. Estas aplicaciones suelen pedir muchos permisos para poder funcionar. Esos requerimientos suelen ser el primer paso para poder hacerse de datos personales valiosos como tarjetas de crédito, contraseñas o introducir una serie de publicidad molesta e invasiva: esa es la ganancia que tienen las VPN gratuitas por lo general. 

La forma de frenar este riesgo es revisar atentamente los permisos que piden estas aplicaciones y cuáles les otorgamos. Otra manera, más efectiva y práctica aún, es revisar previamente si dicha empresa de VPN cuenta con buena reputación. Algunas de las firmas más prestigiosas pueden tener planes gratuitos, aunque con recursos limitados para el usuario como límites de velocidad o dispositivos, aunque sin descuidar la seguridad. En tanto, otros servicios muy populares pueden incluir dentro suyo un malware. 

2 – Rastreo de las conexiones

Tal y como hemos destacado, una de las razones por las que se utiliza una conexión VPN es para lograr una mayor privacidad en línea, borrando nuestra huella digital en el camino. Sin embargo, en la mayoría de las VPN gratuitas –algunos estudios hablan de un 75% de ellas- suelen incorporar el rastreo de las conexiones para almacenarla en su base de datos.

Al igual que sucedía con el asunto de los permisos que le otorgábamos a las aplicaciones de estas VPN, este rastreo constante tiene como objetivo almacenarla para vender luego dicha información y ganar dinero con ello. A eso se le debe sumar, claro, el acceso a nuestros datos personales. 

3 – Menor ancho de banda

En este punto encontramos un doble riesgo y uno de los problemas más frecuentes con las VPN gratuitas. Cuando se utilizan, es altamente probable que se comparta el ancho de banda sin que el usuario de su consentimiento. Si bien esto puede justificarse desde las empresas con el fin de asegurar que así se logra el anonimato de otros usuarios, eso puede ser un gran riesgo para la seguridad y privacidad personal.

Algunas VPN gratuitas fueron descubiertas realizando esa acción. Y es que además del riesgo que eso aplica, nuestra velocidad a la hora de navegar se verá altamente reducida. Así, a la hora de iniciar una cuenta, este es un punto que se debe considerar sí o sí, ya que nos permitirá ahorrarnos varios problemas molestos. 

4 – Browser Hijacking: ¿de qué se trata?

Esta es una de las técnicas de engaño más populares que utilizan las VPN gratuitas. Se trata de que visites sitios que tú no has visitado. ¿Cómo es eso posible? Cada vez que estés navegando en la web, como puede ser revisando tus mails o leyendo tu portal informativo de cabecera, se te abrirán ventanas automáticas con sitios web que no conoces.

Esta es una de las formas más tradicionales de las VPN con mala reputación de poder monetizar su servicio, ya que es así como le venden publicidad a dichos sitios y les garantizan un tráfico determinado. Además de ser extremadamente molesto, también puede incluir otros problemas de seguridad. 

5 – Fallos de seguridad básicos e inadmisibles

Por último, y no por ello menos importante, muchas VPN de dudosa reputación se han ganado esa fama por tener fallas de seguridad completamente inadmisibles para los estándares básicos del mundo de las VPN. Como hemos señalado, este tipo de servicios se utilizan para ganar anonimato en la web, bloqueando así la IP real con la que se navega y siendo imposible de rastrear.

Sin embargo, muchas veces esa IP queda expuesta en las VPN gratuitas, por lo que es un riesgo enorme para los usuarios, quedando expuestos y vulnerables no solo a los ataques malware que hemos señalado anteriormente, sino a rastreos, controles y bloqueos por parte de autoridades nacionales e internacionales. Internet, después de todo, se ha convertido en un sitio cada vez más vigilado. 

Conclusión final

Así entonces, a la hora de pensar si un servicio como Hola VPN es seguro, la respuesta es no. Esto no quiere decir que todas las VPN gratuitas sean una amenaza, pero sí podemos afirmar que las empresas que basan su fama en ello seguramente tengan una fuente de ganancia alternativa que no valora nuestra seguridad y que hace dinero con ella. 

Te recomendamos, entonces, que revises en las empresas líderes del sector sus versiones gratuitas o de prueba para sentirte protegido.

El cargo Los riesgos de utilizar una VPN gratuita: no confíes en lo que dicen apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackean redes de radio y televisión estatal de Irán; redes comprometidas con malware

Una reciente investigación confirmó que el ciberataque contra los sistemas de la televisión estatal de Irán ocurrido a finales de enero estuvo relacionado con una variante de malware de eliminación (wiper), en conjunto con diversos backdoors, scripts y archivos de configuración empleados para ataques posteriores.

Investigadores de la firma de seguridad Check Point reportan que los actores de amenazas usaron esta variante de wiper malware para interrumpir las redes de transmisión de la televisión iraní, interrumpiendo considerablemente las actividades normales de la institución. Los expertos reconocen que no fue posible encontrar evidencia de uso previo de estas herramientas de malware o determinar el origen de la actividad maliciosa.

Durante el ataque, los actores de amenazas transmitieron imágenes de los líderes de la Organización Mujahedin-e-Khalq (MKO), Maryam y Massoud Rajavi, junto con la imagen del ayatolá Khamenei tachada con líneas rojas y con el mensaje “Muerte a Khamenei”.

Al respecto, el subdirector de la televisión estatal Ali Dadi mencionó que el ataque es extremadamente complejo e involucra el uso de sofisticadas variantes de hacking: “Interrupciones similares ocurrieron en Koran Channel, Radio Javan y Radio Payam, otros canales de radio y televisión estatales”.

Los expertos descubrieron dos muestras de .NET idénticas llamadas msdskint.exe, empleadas para eliminar archivos, unidades y el MBR en los dispositivos infectados. El malware también tiene la capacidad de borrar los registros de eventos de Windows, eliminar copias de seguridad, eliminar procesos y cambiar las contraseñas de los usuarios.

Además del malware wiper, los actores de amenazas usaron cuatro variantes de backdoor diferentes:

• WinScreeny: Capaz de tomar capturas de pantalla de los sistemas afectados
• HttpCallbackService: Herramienta de administración remota (RAT)
• HttpService: Backdoor de escucha en puertos específicos
• ServerLaunch: Un dropper de malware

Poco después de la emisión de este reporte, el grupo de hacktivismo Predatory Sparrow se atribuyó la responsabilidad de este ataque, además de los recientes ataques contra el sistema ferroviario, el ministerio de transporte y las gasolineras de Irán. Este mensaje fue emitido a través de un canal de Telegram.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackean redes de radio y televisión estatal de Irán; redes comprometidas con malware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

31 vulnerabilidades críticas en Vim. Actualice inmediatamente

Especialistas en ciberseguridad reportan la detección de múltiples vulnerabilidades en el popular editor de texto Vim. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas el despliegue de múltiples tareas de hacking.

A continuación se presentan breves descripciones de algunas de las vulnerabilidades reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2022-0413: Un error use-after-free permitiría a los actores de amenazas remotos usar archivos especialmente diseñados para la ejecución de código arbitrario en los sistemas afectados.

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

CVE-2022-0156: Un error use-after-free al procesar líneas dentro de archivos permitiría a los hackers remotos enviar archivos especialmente diseñados con el fin de ejecutar código arbitrario en los sistemas de las víctimas.

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

CVE-2022-0158: Un error de límite al procesar líneas que comienzan con el carácter “$” permitiría a los atacantes remotos usar archivos especialmente diseñados para ejecutar código arbitrario en los sistemas de las víctimas.

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

CVE-2022-0213: Un error de límite al procesar archivos permitiría a los actores de amenazas desencadenar un desbordamiento de búfer basado en montón para ejecutar código arbitrario en el sistema afectado.

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

CVE-2022-0261: Un error de límite permitiría a los actores de amenazas usar archivos especialmente diseñados para desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario en el sistema afectado.

La falla recibió un puntaje CVSS de 7.7/10.

CVE-2022-0318: Un error de límite permite a los actores de amenazas remotos desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario.

Esta falla recibió una puntuación CVSS de 7.7/10.

CVE-2022-0351: Un error de límite al procesar archivos permitiría a los atacantes remotos crear un archivo especialmente diseñado para ejecutar código arbitrario en los sistemas afectados.

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

CVE-2022-0359: Un error de límite permitiría a un atacante remoto desencadenar un desbordamiento de búfer basado en montón para ejecutar código arbitrario.

Esta falla recibió una puntuación CVSS de 7.7/10.

CVE-2022-0696: Un error de desreferencia de puntero NULL en Vim al cambiar de pestaña en la ventana de la línea de cmd permitiría a los actores de amenazas remotos realizar un ataque de denegación de servicio (DoS).

La falla recibió un puntaje CVSS de 3.8/10.

CVE-2022-0685: La validación incorrecta de entradas al procesar caracteres especiales de varios bytes permitiría a los actores de amenazas usar archivos especialmente diseñados para bloquear la aplicación.

La falla recibió una puntuación CVSS de 3.8/10.

CVE-2022-0629: Un error de límite al usar muchos caracteres de composición en el mensaje de error permitiría a los actores de amenazas remotos no autenticados desencadenar un desbordamiento de búfer y ejecutar código arbitrario en los sistemas afectados.

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

CVE-2022-0572: Un error de límite al usar repetidamente la función :retab permitiría a los actores de amenazas remotos desencadenar un desbordamiento de búfer basado en montón para ejecutar código arbitrario en el sistema afectado.

Esta falla recibió una puntuación CVSS de 7.7/10.

CVE-2022-0554: Un error de límite al leer archivos permitiría a los actores de amenazas remotos usar archivos especialmente diseñados para bloquear la aplicación.

La falla recibió un puntaje CVSS de 3.8/10.

CVE-2022-0443: Un error use-after-free al usar memoria liberada con :lopen y :bwipe permitiría a los actores de amenazas remotos ejecutar código arbitrario en los sistemas de las víctimas.

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

CVE-2022-0417: Un error de límite permitiría a los actores de amenazas remotos enviar archivos especialmente diseñados para bloquear la aplicación afectada.

La falla recibió una puntuación CVSS de 3.8/10.

CVE-2022-0408: Un error de límite al buscar sugerencias gramaticales permitiría a los hackers remotos no autenticados ejecutar código arbitrario en los sistemas de las víctimas usando archivos especialmente diseñados.

Esta falla recibió una puntuación CVSS de 7.7/10.

CVE-2022-0714: Un error de límite permitiría a los atacantes remotos desencadenar un desbordamiento de búfer basado en el montón para la ejecución de código arbitrario en el sistema afectado.

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

CVE-2021-4069: Un error use-after-free permitiría a los atacantes remotos ejecutar código arbitrario en los sistemas afectados usando archivos especialmente diseñados.

Esta falla recibió una puntuación CVSS de 7.7/10.

CVE-2021-4166: Una condición de límite permitiría a los atacantes remotos crear archivos especialmente diseñados para ejecutar código arbitrario en los sistemas afectados.

Esta es una vulnerabilidad de baja severidad y recibió un puntaje CVSS de 2.7/10.

Según el reporte, las fallas residen en todas las versiones de Vim anteriores a v8.2.4009.

Si bien las fallas pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa o alguna variante de malware vinculada a este ataque. Aún así, se recomienda a los usuarios de Vim aplicar las actualizaciones necesarias para mitigar completamente el riesgo de explotación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 31 vulnerabilidades críticas en Vim. Actualice inmediatamente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

El perfil de Spotify verificado de Suga, miembro de BTS, fue hackeado para publicar una canción india tradicional

Los fans del grupo musical sudcoreano BTS se vieron sorprendidos cuando se encontraron con lo que parecía ser una canción inédita en el perfil oficial en Spotify de Suga, rapero y compositor de la sensación musical mundial.

La sorpresa de los usuarios fue aún mayor cuando, al reproducir la canción, se encontraron con una versión de un canto indio conocido como Bhojpuri bhajan, en honor a la deidad Shiva. Todo indica que el perfil de Suga en la plataforma de streaming fue hackeado y, considerando el tipo de canción publicada, los fans creen que el ataque viene desde India.

omg a bhojpuri song uploaded as suga song under SUGA profile on spotify 😭😭😭😭😭 who did this show yourself 🔪🔪🔪🔪 pic.twitter.com/CY1EYQGBDt

— akshu⁷ ♡💜🧣 (@akshu1306) February 23, 2022

Suga, cuyo nombre real es Min Yoongi, hizo su debut con el grupo sudcoreano en 2013, y desde entonces es responsable de mychos de los éxitos de la agrupación.

Suga After visiting his Spotify profile and listening to "SUGA SONG" 💀💀 pic.twitter.com/CrMXT0BscI

— JUNGKOOK'S TING TING BALL⁷🦋 (@thvkoo7) February 23, 2022

Mientras que algunos expresaron su confusión después de descubrir la extraña canción titulada Suga Song en un perfil verificado, otros compartieron bromas sobre cómo reaccionaría Suga cuando se enterara.

To the ones who died after listening to suga song 😭👍🏻 pic.twitter.com/wBYDbxdH01

— Jimreen⁷🥵💘(Hobiuary 🌞💜 ) (@Park_Jimreen) February 23, 2022

Las conversaciones fueron tantas que Suga comenzó a ser tendencia en Twitter a nivel local.

Suga song??? lmao which one of you desis hacked his account and put up a bhojpuri song in there 😭😭 pic.twitter.com/nsIwZ6UoxA

— 𖧵Sky⁷ ♡ (@btxtrealm) February 23, 2022

Hasta el momento no se saben más detalles sobre el incidente, aunque al parecer Suga ya ha retomado el control de su cuenta de Spotify. Se espera que la plataforma de streaming emita un reporte al respecto en los próximos días.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo El perfil de Spotify verificado de Suga, miembro de BTS, fue hackeado para publicar una canción india tradicional apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Se filtran los datos de los clientes del banco Credit Suisse. Publican nombres de políticos corruptos y delincuentes

Una reciente filtración en el banco Credit Suisse ha evidenciado las cuentas ocultas de miles de clientes en todo el mundo, dedicados a toda clase de actividades ilícitas incluyendo lavado de dinero, tráfico de droga y otros delitos. Según un reporte, la filtración involucra detalles confidenciales de 30,000 clientes de Credit Suisse y ha puesto en evidencia la falta de compromiso de la institución bancaria por erradicar las cuentas vinculadas a actividades fraudulentas.

Con sede en Zurich, Credit Suisse cuenta con más de 3,500 representantes en todo el mundo, principalmente gente con grandes fortunas (seguramente obtenidas con métodos cuestionables) en busca de guardar su dinero en algún paraíso fiscal extranjero.

Estas cuentas pertenecen a toda clase de individuos y organizaciones cuyas actividades rayan en lo ilegal o bien son completamente ilegítimas; traficantes de personas, funcionarios bancarios y gubernamentales acusados de entregar sobornos, evasores de impuestos y políticos corruptos de todo el mundo se encuentran entre los clientes del banco.

La información fue revelada por un actor anónimo ante el periódico alemán Süddeutsche Zeitung, según menciona el informe publicado por The Guardian. El denunciante asegura que, bajo pretexto de proteger la privacidad de los clientes, los bancos suizos encubren toda clase de actividades cuestionables, dificultando la labor de las agencias de la ley.

Al respecto, Credit Suisse argumenta que las leyes de secreto bancario en el país impiden realizar comentarios relacionados con esta filtración, además de negar que el banco facilite la comisión de delitos: “Rechazamos enérgicamente las acusaciones sobre las supuestas prácticas comerciales del banco”, agregó un comunicado.

Credit Suisse también considera que estas acusaciones son producto del historial con el que operaron algunos bancos suizos anteriormente, prácticas que se remontan a una época en la que la legislación era completamente diferente.

Este reporte sin duda afectará la ya dañada reputación del banco, que se acababa de convertir en la primera institución financiera con sede en Suiza en enfrentar cargos penales relacionados con lavado de dinero, en supuesta complicidad con la mafia de un país europeo. Especialistas creen que esto podría desatar una crisis en el sistema bancario suizo, lo que incluso podría llevar a replantear las restrictivas leyes financieras del país, que lo vuelven muy atractivo para aquellos que desean mantener su dinero lejos de las autoridades.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Se filtran los datos de los clientes del banco Credit Suisse. Publican nombres de políticos corruptos y delincuentes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

La segunda empresa de utensilios de cocina más grande del mundo filtra los datos personales de miles de empleados

La distribuidora de utensilios de cocina Meyer Corporation presentó una notificación ante las autoridades de E.U. sobre un incidente de brecha de datos que involucra la información personal de sus empleados. Según el reporte, el incidente ocurrió durante finales de octubre de 2021.

Al respecto, la compañía ordenó una investigación que confirmó que los actores de amenazas obtuvieron acceso a información personal perteneciente a los empleados de Meyer y sus subsidiarias, incluyendo Hestan Commercial Corporation, Hestan Smart Cooking, Hestan Vineyards y Blue Mountain Enterprises.

Al parecer, la filtración incluye datos personales como:

• Nombres completos
• Domicilio
• Fechas de nacimiento
• Género
• Etnicidad
• Número de seguridad social
• Evaluaciones médicas
• Resultados de detección de drogas
• Certificados de vacunación COVID-19

La compañía reconoció el incidente y confirmó que ofrecerá a sus empleados dos años de un servicio de protección contra el fraude de identidad y otras variantes de ataque, con lo que esperan mitigar el riesgo que representa este incidente.

Meyer no compartió más detalles sobre el tipo de ataque que resultó en el compromiso de la información comprometida, aunque recientemente se confirmó que algunos datos presuntamente relacionados con esta filtración aparecieron en la plataforma de dark web operada por el ransomware Conti. En otras palabras, la información podría haber sido comprometida durante un ataque de ransomware.

No obstante, el grupo de hacking no ha dado seguimiento a este presunto ataque, por lo que se desconocen más detalles sobre cuándo pudo ocurrir el incidente.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo La segunda empresa de utensilios de cocina más grande del mundo filtra los datos personales de miles de empleados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Brecha de datos en sitio web de ropa para niños expone información de cientos de miles de clientes

Un reporte de SafetyDetectives detalla un incidente de brecha de datos impactando en el sitio web francés de e-commerce Melijoe. Esta es una tienda minorista dedicada a la moda infantil operando un cubo de Amazon S3 que fue dejado accesible y sin controles de autenticación, exponiendo datos confidenciales y personales de cientos de miles de clientes.

En total, la implementación comprometida de Amazon S3 de Melijoe expuso casi 2 millones de archivos, equivalentes a casi 200 GB de datos. Unos pocos archivos en el depósito expusieron cientos de miles de registros que contenían datos confidenciales e información de identificación personal (PII) de los clientes de Melijoe.

Un primer conjunto de datos está relacionado con las preferencias de los clientes, incluyendo reseñas de productos y tendencias de compras, además de datos personales como:

• Direcciones email
• Nombres de menores de edad
• Género
• Fechas de nacimiento
• Preferencias de marcas

Estos datos de preferencias se utilizan a menudo para personalizar las recomendaciones de productos de cada cliente.

Otro conjunto de datos expuestos está relacionado con las listas de deseos (wishlists) de los usuarios. En estos registros se encuentran algunos productos que los clientes desean comprar en el futuro; al menos 750,000 de estos registros fueron expuestos con este conjunto de datos, incluyendo 63,000 direcciones email y otros datos como código del artículo agregado a la wishlist y fecha de adición.

Finalmente, la filtración incluye datos de más de 1.5 millones de transacciones en la tienda. Este registro incluye direcciones email, domicilio del comprador, método de pago, artículos comprados y nombre del comprador.

Este es el grupo de datos que afecta a la mayor cantidad de usuarios de la tienda en línea. Estos registros detallan ampliamente el comportamiento de compra de los clientes de Melijoe, lo que permitiría encontrar más detalles confidenciales de los usuarios.

Del mismo modo que otros incidentes de brecha de datos, los clientes de Melijoe podrían verse expuestos a complejas campañas de phishing, ingeniería social y variantes de robo de identidad y fraude electrónico. Aunque la compañía no se ha pronunciado al respecto, es fundamental que protejan a sus clientes contra las potenciales amenazas de seguridad derivadas de este incidente.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Brecha de datos en sitio web de ropa para niños expone información de cientos de miles de clientes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers instalan backdoor en servidores Microsoft SQL

Algunos servidores vulnerables de Microsoft SQL (MS SQL) orientados a Internet están siendo atacados por actores de amenazas como parte de una nueva campaña para la implementación de cargas Cobalt Strike en hosts comprometidos. Esta campaña incluye ataques de fuerza bruta y ataques de diccionario contra servidores mal administrados, según reporta la firma de ciberseguridad con sede en Corea del Sur AhnLab Security Emergency Response Center.

Como recordará, Cobalt Strike es un marco comercial de pruebas de penetración con todas las funciones que permite a un atacante implementar un agente llamado “Beacon” en la máquina de la víctima, otorgando al operador acceso remoto al sistema. Si bien esta es una herramienta legítima, múltiples grupos de hacking la ha utilizado activamente con fines maliciosos.

Según menciona el reporte, el malware escanea el puerto 1433 para verificar si hay servidores MS SQL expuestos para realizar ataques de fuerza bruta o de diccionario contra la cuenta del administrador del sistema en un intento por iniciar sesión.

Eso no quiere decir que los servidores a los que no se puede acceder a través de Internet no sean vulnerables, pues los hackers usan el malware LemonDuck para escanear el puerto y moverse lateralmente a través de la red. Los investigadores mencionan que el uso de contraseñas inseguras o predeterminadas puede resultar más peligroso para los administradores afectados.

Al obtener acceso a los sistemas vulnerables, los hackers generarán un shell de comandos de Windows a través del proceso MS SQL “sqlservr.exe” para descargar la carga útil de la siguiente etapa que alberga el binario Cobalt Strike codificado en el sistema.

Finalmente, los atacantes decodifican el ejecutable Cobalt Strike y realizan una inyección en el proceso legítimo Microsoft Build Engine, abusado en otras campañas para la entrega de troyanos de acceso remoto (RAT) y malware para el robo de contraseñas de los sistemas afectados. La carga Cobalt Strike que se ejecuta en MSBuild.exe viene con configuraciones adicionales para evadir la detección del software de seguridad. Esto es posible cargando “wwanmm.dll”, una biblioteca de Windows para WWan Media Manager, luego escribiendo y ejecutando Beacon en el área de memoria de la DLL.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers instalan backdoor en servidores Microsoft SQL apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¿Cómo hackear Coinbase para robar criptomonedas? Investigador detalla una manera fácil de hacerlo

Un especialista en ciberseguridad recibió una recompensa de $250,000 USD gracias a su reporte de una vulnerabilidad crítica en la plataforma de intercambio de criptomoneda Coinbase cuya explotación habría permitido realizar un complejo fraude electrónico.

El investigador identificado como Tree of Alpha fue reconocido por la plataforma de intercambio, recibiendo una de las recompensas por reporte de vulnerabilidades más grandes que ha entregado Coinbase.

En su reporte, el investigador menciona que la falla habría permitido a los usuarios de Coinbase vender criptomonedas que no eran suyas debido a la ausencia de una verificación adecuada en un endpoint de la API en la plataforma; un usuario explotando la falla habría podido enviar transacciones a un libro de pedido específico usando una cuenta de origen sin coincidir, otra forma de decir que estarían robando criptomoneda.

Coinbase's "largest-ever bug bounty"

How a flaw in the new Advanced Trading feature would have allowed a malicious user to sell BTC or any other coin without owning them, and how Coinbase's reaction speed on a Super Bowl Friday averted a possible crisis.

Bounty: $250,000 pic.twitter.com/Y91M48pCcI

— Tree of Alpha (@Tree_of_Alpha) February 19, 2022

Al respecto, la plataforma de intercambio publicó un comunicado describiendo un ataque: “Supongamos que un usuario controla una cuenta con 100 SHIB y otra con 0 Bitcoin; el usuario podría enviar una orden de mercado al libro BTC-USD con el fin de vender 100 Bitcoin, editando manualmente su solicitud API para especificar la cuenta de SHIB como fuente de los activos intercambiados”.

En este punto, el servicio de validación verificaría para determinar si la cuenta de origen tenía un saldo suficiente para completar la operación, pero no si la cuenta de origen coincidía con el activo mencionado en la transacción: “De este modo, se ingresaría en Coinbase Exchange una orden de mercado para vender 100 BTC en el libro de órdenes BTC-USD”.

A través de su cuenta de Twitter, el investigador describió cómo fue explotada la falla para vender 0.0243 BTC empleando un respaldo en Ethereum: “Estas transacciones ocurrieron en verdad”, asegura Alpha. Al descubrir el problema, el investigador informó el error al programa de recompensas por errores de Coinbase, administrado mediante la plataforma HackerOne.

Coinbase reconoció y solucionó el error menos de seis horas después de recibir el reporte, aunque en su mensaje la plataforma descartó que el error hubiera sido explotado de forma activa: “Esta API solo la utiliza nuestra plataforma Retail Advanced Trading, que actualmente se encuentra en una versión beta muy limitada”.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¿Cómo hackear Coinbase para robar criptomonedas? Investigador detalla una manera fácil de hacerlo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Errores en el proceso de encriptación permiten a las víctimas del ransomware Hive recuperar su información sin pagar un sólo dólar a los hackers

Un error en el algoritmo de cifrado del ransomware Hive permitiría a las víctimas recuperar su información sin tener que negociar con los hackers. Esta es una operación de ransomware como servicio (RaaS) que recurre al método de doble extorsión, cifrando información y exigiendo un rescate a cambio de no filtrar estos datos confidenciales.

Esta operación experimentó un crecimiento desmedido en la primera mitad de 2021, por lo cual el Buró Federal de Investigaciones (FBI) publicó una alerta detallando las características del ransomware Hive, sus detalles técnicos y algunos indicadores de compromiso reconocibles. Un reporte a cargo de la firma de seguridad Chainalysis señala que esta fue una de las 10 operaciones de ransomware más exitosas de 2021, empleando toda clase de recursos a su disposición.

Según los investigadores de la Universidad de Kookmin, en Corea del Sur, Hive utiliza un esquema de cifrado híbrido, empleando su propio cifrado simétrico para bloquear el acceso a los archivos infectados, lo que permitió recuperar la clave maestra y generar una clave de descifrado de forma independiente. Los investigadores aseguran que los archivos infectados fueron recuperados exitosamente empleando este método.

Este es considerado el primer intento exitoso para remover el cifrado del ransomware Hive registrado hasta el momento, demostrando una tasa de éxito superior al 95%, un proceso descrito en el siguiente diagrama:

En más detalles, los investigadores mencionaron que esta variante de ransomware genera 10MiB de datos aleatorios para usar como clave maestra, extrayendo de un segmento de la clave maestra 1MiB y 1KiB de datos para cada archivo que se va a cifrar y utiliza estos fragmentos de información como flujo de claves.

Estos fragmentos de la clave maestra se almacenan en el nombre asignado a cada archivo afectado, por lo que es posible determinar el resto de la clave maestra y descifrar los archivos comprometidos.

De todas las claves recuperadas, se lograron descifrar aproximadamente el 72 % de los archivos, mientras que la clave maestra restaurada logró descifrar aproximadamente el 82% de los archivos infectados, lo que podría resultar increíblemente benéfico para los usuarios que siguen lidiando con los ataques de esta variante de malware. Es cierto que los desarrolladores de Hive podrían corregir este problema en las siguientes versiones del ransomware, pero mientras tanto los investigadores han realizado un importante hallazgo para impactar en sus operaciones.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Errores en el proceso de encriptación permiten a las víctimas del ransomware Hive recuperar su información sin pagar un sólo dólar a los hackers apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Dos vulnerabilidades críticas en los smartphones Samsung Galaxy S21

Se ha reportado la detección de dos vulnerabilidades en los dispositivos Samsung Galaxy S21 cuya explotación maliciosa permitiría a los actores de amenazas desplegar diversas tareas de hacking en los dispositivos comprometidos.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivos puntajes asignados según el Common Vulnerability Scoring System (CVSS). Cabe mencionar que estas fallas no tienen clave de identificación CVE.

Sin clave CVE: La desinfección inadecuada de los datos proporcionados por el usuario dentro de la aplicación Galaxy Store permitiría a los actores de amenazas crear un enlace aparentemente legítimo que redirigiría a los usuarios a un dominio arbitrario desde el cual puede realizarse un ataque de ejecución remota de código (RCE).

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

Sin clave CVE: El manejo inadecuado de errores al acceder a las URL de confianza permitiría a los hackers maliciosos0 en la red local engañar a los usuarios para que visiten sitios web maliciosos o abran archivos especialmente diseñados que llevarán a un escenario RCE en los sistemas afectados.

Según el reporte, las fallas residen en todas las versiones del software de Samsung Galaxy S21, por lo que es un problema ampliamente extendido.

Si bien las vulnerabilidades pueden ser explotadas por actores de amenazas remotos no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, se recomienda a los usuarios de dispositivos afectados aplicar las actualizaciones disponibles a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Dos vulnerabilidades críticas en los smartphones Samsung Galaxy S21 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Así de fácil robaron millones de dólares de la plataforma NFT OpenSea

Las plataformas de venta de tokens no fungibles (NFT) se han convertido en uno de los objetivos predilectos para los actores de amenazas que buscan ganancias rápidas a costa de los entusiastas de esta muestra de arte digital. Según un reporte, la plataforma OpenSea sufrió un ataque de phishing que derivó en el robo de millones de dólares en NFT, incidente que ha tomado por sorpresa a vendedores y administradores del sitio web por igual.

Devin Finzer, CEO de la compañía, confirmó el incidente a través de su cuenta de Twitter, mencionando también que el ataque afectó a 17 usuarios y que muchos de los activos robados ya han sido identificados y devueltos a sus propietarios legítimos. Al parecer, los actores de amenazas habían obtenido alrededor de $2 millones USD en criptomoneda gracias a la venta indebida de estos tokens.

As far as we can tell, this is a phishing attack. We don’t believe it’s connected to the OpenSea website. It appears 32 users thus far have signed a malicious payload from an attacker, and some of their NFTs were stolen.

— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022

Finzer menciona que el ataque ya ha sido contenido y se han detectado todos los intentos de phishing a cargo de los atacantes. Como recordará, las tácticas de phishing buscan el robo de información confidencial a través de emails fraudulentos, incluyendo detalles bancarios y de direcciones de criptomoneda. Se cree que los hackers enviaron emails fingiendo ser empleados de OpenSea, por lo que los usuarios afectados no dudaron en seguir las instrucciones en el mensaje para trasladar sus activos a direcciones ilegítimas.

OpenSea agregó que la billetera de criptomoneda asociada a los atacantes ya ha sido plenamente identificad y está marcada como una cuenta vinculada a actividades fraudulentas, por lo que a partir de este momento los usuarios que traten de transferir fondos criptográficos a esta dirección encontrarán una alerta de seguridad. El CEO de la compañía concluyó mencionando que los atacantes parecen haber interrumpido sus actividades desde que inició la investigación.

Esta es una nueva muestra de lo efectivo que puede ser un ataque de phishing bien planificado, por lo que los entusiastas de los activos virtuales deben permanecer alertas ante cualquier potencial intento de hacking. Especialistas en ciberseguridad recomiendan siempre verificar la legitimidad de cualquier mensaje recibido, además de recordar que las plataformas NFT no solicitan claves de acceso o la entrega de datos personales a través de correo electrónico. La venta de activos fuera de las plataformas de intercambio también debe ser tomada como una alerta de posible fraude.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así de fácil robaron millones de dólares de la plataforma NFT OpenSea apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Múltiples vulnerabilidades en la función snap-confine en sistemas operativos Linux. Hackers podrían escalar privilegios en sistemas vulnerables

Especialistas en ciberseguridad de la firma Qualys detallan la detección de múltiples vulnerabilidades en el sistema de implementación y empaquetado de Snap. Según el reporte, las fallas residen en la función de confinamiento rápido en los sistemas operativos Linux y su explotación maliciosa permitiría a los actores de amenazas realizar ataques de escalada de privilegios.

Snap fue desarrollado por Canonical para sistemas operativos que usan el kernel de Linux. Según los expertos, los paquetes llamados snaps y la herramienta para usarlos, snapd, funcionan en una variedad de distribuciones de Linux y permiten que los desarrolladores de software distribuyan sus aplicaciones directamente a los usuarios.

Para ser específicos, los snaps son aplicaciones independientes que se ejecutan en un espacio aislado con acceso mediado al Snap-confine es un programa utilizado internamente por snapd para construir el entorno de ejecución de las aplicaciones snap.

Identificada como CVE-2021-44731, la más severa de estas vulnerabilidades puede ser explotada para permitir a los usuarios sin privilegios obtener acceso root al host vulnerable. La firma de seguridad Qualys pudo demostrar la falla empleando un exploit que les permitió obtener acceso root a instalaciones Ubuntu con configuraciones predeterminadas.

Al respecto, Canonical menciona que gracias a las actualizaciones automáticas emitidas por los equipos de seguridad, la mayoría de las instalaciones de plataformas distribuidas instantáneamente en el mundo ya deberían haber sido aseguradas. Además de CVE-2021-44731, se detectaron otras 6 vulnerabilidades que podrían haber sido explotadas bajo condiciones determinadas.

Por el momento no hay soluciones alternativas para mitigar el riesgo de explotación, aunque los expertos mencionan que el hecho de que la falla deba ser explotada por actores de amenazas locales limita el riesgo de ataque. No obstante, los hackers maliciosos pueden iniciar sesión como usuarios sin privilegios, lo que hace que el riesgo sea considerable.

Los administradores de implementaciones afectadas deben recordar que la explotación exitosa permitiría el despliegue de ataques de malware, extracción de datos confidenciales y ataques de movimiento lateral. Aunque esta clase de fallas siempre son consideradas como un problema severo, la explotación local hace muy poco probable su explotación en escenarios reales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Múltiples vulnerabilidades en la función snap-confine en sistemas operativos Linux. Hackers podrían escalar privilegios en sistemas vulnerables apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Asegure sus copias de seguridad de WordPress. Vulnerabilidad crítica en el plugin UpdraftPlus afecta a millones de sitios web

Los desarrolladores del popular plugin UpdraftPlus anunciaron una serie de actualizaciones para abordar una vulnerabilidad que permitiría a cualquier usuario que haya iniciado sesión en un sitio web de WordPress con este plugin descargar las copias de seguridad disponibles en los sistemas, lo que potencialmente podría llevar a la filtración de información confidencial.

Los investigadores de Wordfence publicaron una prueba de concepto (PoC) demostrando que el ataque depende de la existencia de una copia de seguridad, además de que los atacantes tendrían que adivinar la marca de tiempo adecuada para la descarga de la información. Según los expertos, existen algunas características que hacen de la vulnerabilidad más explotable.

UpdraftPlus anunció que la falla fue abordada con el lanzamiento de la versión 1.22.3, pidiendo a los usuarios de versiones afectadas actualizar lo antes posible: “UpdraftPlus es un plugin de copia de seguridad y, como tal, se espera que permita descargar esta información. Una de sus características principales es la capacidad de enviar enlaces para la descarga de estos respaldos a una dirección email predeterminada; por desgracia, esta funcionalidad se implementó de manera insegura, lo que permitió a usuarios autenticados de bajo nivel crear enlaces válidos para descargar archivos de respaldo”, agregaron los desarrolladores.

El error se relaciona con la función de verificación UpdraftPlus_Options::admin_page() === $pagenow. Un actor de amenazas podría evadir esta verificación para que el plugin interprete que la solicitud es para options-general.php, mientras que WordPress aún considera que la solicitud es para un endpoint permitido de admin-post.php.

La explotación de la vulnerabilidad también requiere que los hackers controlen una cuenta activa en el sistema afectado: “Debido a sus características, es probable que el ataque solo se use en ataques dirigidos”, agregan los investigadores.

Wordfence concluyó su reporte recomendando a los usuarios actualizar a la más reciente versión disponible: “Recomendamos a los administradores de sitios web en WordPress que usan este plugin actualizar a la brevedad para mitigar el riesgo de filtración de datos confidenciales”. Los investigadores también mencionaron que hasta el momento no se han detectado intentos de explotación activa.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Asegure sus copias de seguridad de WordPress. Vulnerabilidad crítica en el plugin UpdraftPlus afecta a millones de sitios web apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

6 vulnerabilidades críticas en Western Digital My Cloud OS 5

Se han detectado múltiples vulnerabilidades en My Cloud OS 5, el sistema operativo de las soluciones de almacenamiento basado en la red (NAS) desarrolladas por Western Digital. Según el reporte, la explotación exitosa de estas fallas llevaría al compromiso de los sistemas afectados.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2022-22993: La validación insuficiente de las entradas proporcionadas por el usuario dentro del endpoint cgi_api permitiría a los usuarios remotos enviar solicitudes HTTP especialmente diseñada y engañar a la aplicación para que inicie solicitudes a sistemas arbitrarios.

La falla recibió un puntaje CVSS de 3.6/10.

CVE-2022-22994: La falta de autenticación adecuada de los datos recibidos a través de HTTP dentro del servicio ConnectivityService permitiría a los actores de amenazas pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema afectado.

Esta es una falla de severidad media y recibió un puntaje CVSS de 7.7/10.

CVE-2022-22991: La validación de entrada incorrecta dentro del servicio ConnectivityService permitiría a los hackers remotos en la red local pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios.

La falla recibió un puntaje CVSS de 7.7/10.

CVE-2022-22989: Un error de límite dentro del servicio FTP permitiría a los actores de amenazas en la red local desencadenar un desbordamiento de búfer basado en pila y ejecutar código arbitrario en el sistema afectado.

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 7.7/10.

CVE-2022-22992: La validación de entrada incorrecta permitiría a los actores de amenazas pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios en el sistema vulnerable.

Esta es una falla de alta severidad y recibió un puntaje CVSS de 8.5/10.

CVE-2022-22990: Una lógica de coincidencia de cadenas incorrecta al acceder a páginas protegidas dentro del servicio nasAdmin permitiría a los atacantes remotos en la red local puede evadir el proceso de autenticación y obtener acceso no autorizado a la aplicación vulnerable.

La falla recibió un puntaje CVSS de 5.5/10.

Según el reporte, la falla reside en las siguientes implementaciones:

• My Cloud PR2100: Todas las versiones
• My Cloud PR4100: Todas las versiones
• My Cloud EX4100: Todas las versiones
• My Cloud EX2 Ultra: Todas las versiones
• My Cloud Mirror Gen 2: todas las versiones
• My Cloud DL2100: todas las versiones
• My Cloud DL4100: Todas las versiones
• My Cloud EX2100: Todas las versiones
• WD My Cloud: Todas las versiones
• Mi Nube: Todas las versiones
• My Cloud OS 5: versiones anteriores a 5.19.117

Si bien estas fallas pueden ser explotadas por actores de amenazas remotos no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, Western Digital recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 6 vulnerabilidades críticas en Western Digital My Cloud OS 5 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente