Bancos e infraestructura crítica en Rusia son hackeados por Anonymous durante campaña #OpRussia

A más de dos meses de haber iniciado la “operación militar especial” de Rusia en Ucrania, el grupo de hacking Anonymous sigue desplegando múltiples ciberataques contra organizaciones públicas y privadas rusas como represalia a la invasión.

Según los hacktivistas, en la campaña bautizada como #OpRussia se han extraído más de 6 TB de archivos confidenciales rusos, información que fue compartida con la iniciativa Distributed Denial of Secrets (DDoSecrets) para su divulgación pública.

JUST IN: #Anonymous-linked group 'NB 65' (@xxNB65) hacked 229,000 emails and 630,000 files from the Petersburg Social Commercial Bank (JSC Bank "PSCB"), one of the top 100 Russian banks in terms of net assets. #OpRussia #DDoSecrets pic.twitter.com/P3ILEzyXPJ

— Anonymous TV 🇺🇦 (@YourAnonTV) April 26, 2022

Acorde a la información divulgada por DDoSecrets, tres son las agencias rusas que más recientemente se han visto afectadas por estas filtraciones:

• Elektrocentromontazh: Esta es la principal compañía de energía en Rusia, teniendo a su cargo el diseño, prueba, construcción, instalación y mantenimiento equipos eléctricos en instalaciones de generación y transmisión de energía en más de 25 regiones rusa. Elektrocentromontazh cuenta con múltiples clientes a nivel nacional, incluyendo las plantas de energía nuclear de Novovoronezh, Kursk y Smolensk, Russian Railways JSC, la empresa estatal Moscow Power Directorate, el departamento de Energía del Gobierno de Moscú y más infraestructura crítica.
• PSCB Petersburg Social Commercial Bank: Este es uno de los 100 principales bancos rusos en términos de activos netos. La institución financiera habría sido hackeada por Network Battalion 65, un grupo presuntamente vinculado a Anonymous; este grupo divulgó más de 542 GB de información confidencial a través de DDoSecrets.
• ALET: Agente aduanal enfocado empresas de las industrias de combustibles y energía, facilitando el manejo de exportaciones y declaraciones aduaneras de carbón, petróleo crudo, gases licuados y productos derivados del petróleo. Según recientes informes, cerca del 75% del negocio de ALET proviene de productos derivados del petróleo, el 10% del petróleo y el 9% de productos de hidrocarburos. Anonymous habría hackeado los sistemas de ALET hace unas semanas, permitiendo extraer más de 1 millón de emails con información confidencial.

Muchas otras organizaciones públicas y privadas en Rusia han sido atacadas por el colectivo hacktivista, lo que incluso ha llevado a la divulgación de información personal de miles de soldados rusos participando activamente en el conflicto. Es poco probable que las cosas cambien en el futuro inmediato, ya que las negociaciones de paz entre Rusia y Ucrania se han estancado y la invasión sigue a pesar de las indeseables consecuencias que ha traído para el mundo.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Bancos e infraestructura crítica en Rusia son hackeados por Anonymous durante campaña #OpRussia apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad de ejecución remota de código en productos Kaspersky Anti-Virus y Endpoint Security

Se ha reportado la detección de una vulnerabilidad en múltiples soluciones de seguridad desarrolladas por la firma tecnológica Kaspersky. Según el reporte, la explotación exitosa de esta falla podría poner en riesgo todo el sistema vulnerable.

Identificada como CVE-2022-27534, esta falla existe debido a una validación de entrada incorrecta en un módulo de análisis de datos implementado en los productos vulnerables. Un usuario remoto podría enviar solicitudes especialmente diseñadas y ejecutar código arbitrario en el sistema afectado.

Este es un error de severidad media y recibió un puntaje de 7.7/10 según el Common Vulnerability Scoring System (CVSS). Un ataque exitoso resultaría en el compromiso total del sistema comprometido.

Según el reporte, la vulnerabilidad reside en los siguientes productos y versiones vulnerables:

• Kaspersky Anti-Virus anteriores a v12.03.2022
• Kaspersky Internet Security anteriores a v12.03.2022
• Total Security anteriores a v12.03.2022
• Small Office Security anteriores a 12.03.2022
• Security Cloud anteriores a 12.03.2022
• Endpoint Security anteriores a 12.03.2022

Si bien la falla puede ser explotada por actores de amenazas remotos no autenticados, hasta el momento no se han identificado intentos de explotación activa o bien la existencia de una variante de malware asociada al ataque. Aún así, Kaspersky recomienda a los usuarios de productos vulnerables actualizar a la más reciente versión disponible a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad de ejecución remota de código en productos Kaspersky Anti-Virus y Endpoint Security apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¿Quién es Cough Girl? La chica que tosió en la cara de un conductor de Uber y acusada de fraude de identidad

Hace un año se volvió viral un video que mostraba a una mujer de Los Ángeles tosiendo sobre un conductor de Uber. En el material expuesto en redes sociales, podía verse a Arna Kimiai (desde entonces conocida como ‘Cough Girl’) quitándose la mascarilla para toser sobre Subhakar Khadka, conductor del servicio de taxi por plataforma.

Después de enfrentar un juicio por ataque y robo, además del escarnio público, Kimai no parece haber dejado atrás las polémicas, ya que ahora enfrenta una acusación por presunto fraude de identidad de una antigua vecina.

La víctima, conocida solamente como “Emily”, menciona que se puso en contacto con la policía después de que algunos establecimientos que prestaban servicios de lujo otorgaran créditos a su nombre sin que ella lo hubiera solicitado alguna vez.

A través de una de estas compañías, Emily logró obtener el número celular de la persona que estaba solicitando créditos a su nombre. La víctima descubrió un rostro familiar asociado a este número, aunque desconocía el nombre detrás de la persona que trataba de apoderarse de su identidad.  

Emily, dedicada a la enfermería, asegura que cuando ingresó el nombre de Kimiai en Google, se encontró con el video del incidente con el conductor de Uber, por lo que finalmente identificó a su antigua vecina: “Descubrir que esa era la persona que me estaba creando problemas fue una locura para mí”. Si bien Emily y Kimiai nunca cruzaron una sola palabra, estaba claro quién era la responsable del fraude electrónico.  

Emily alega que Kimiai usó su identidad para alquilar un penthouse en Miami y abrir una cuenta eléctrica en Florida Power and Light. La enfermera ha presentado informes ante los departamentos de policía de San Francisco y Miami y ante el Servicio de Inspección Postal de los Estados Unidos, por lo que espera que pronto se solucionen sus inesperados problemas crediticios, aparentemente causados por la tristemente célebre Cough Girl.

El Departamento de Policía de Miami ya ha obtenido una orden de arresto contra Kimiai, acusándola de crímenes como hurto mayor y uso fraudulento de información personal.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¿Quién es Cough Girl? La chica que tosió en la cara de un conductor de Uber y acusada de fraude de identidad apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidades día cero en Netatalk afectan productos NAS de Synology, QNAP y Western Digital. Proteja sus soluciones de almacenamiento antes de que sean infectadas con ransomware

Diversos fabricantes de soluciones de almacenamiento conectado a la red (NAS) han alertado a sus clientes sobre la detección de vulnerabilidades críticas en Netatalk. La explotación de estas fallas fue demostrada en una de las más recientes versiones del evento de hacking ético Pwn2Own, y afectan a los dispositivos de fabricantes como Synology, QNAP y Western Digital.

La alerta de seguridad menciona que al menos seis de las fallas reportadas en Pwn2Own residen en Netatalk, el servidor de archivos de código abierto Apple Filing Protocol (AFP). Muchas de las fallas podrían ser explotadas de forma remota por actores de amenazas no autenticados, lo que comprometería por completo los dispositivos afectados.

A finales de marzo, los equipos de seguridad en Netatalk lanzaron parches para abordar siete vulnerabilidades, identificadas como CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125 y CVE-2022-0194.

La última actualización de Netatalk fue lanzada en diciembre de 2018, por lo que algunos fabricantes que recurren a esta solución asumieron que el proyecto ya no recibía mantenimiento. Tal es el caso de Western Digital, que lanzó actualizaciones de firmware para eliminar Netatalk; los productos Western Digital usan Netatalk para el acceso a recursos compartidos de red.

Netatalk comenzó a trabajar en las correcciones después de la demostración del ataque en Pwn2Own, por lo que QNAP determinó que algunos de sus propios productos NAS también podrían verse afectados. Esta semana, QNAP anuncio que las actualizaciones para su sistema operativo QTS estarían disponibles en los próximos días; mientras tanto, la compañía recomienda a los clientes deshabilitar AFP para mitigar el riesgo de explotación.

Por otra parte, Synology concluyó que estos errores podrían afectar a sus productos DiskStation Manager y Synology Router Manager. Mientras que ya hay una actualización disponible para DiskStation Manager, las soluciones Router Manager siguen sin recibir parches de seguridad.

Aunque hasta el momento no se han detectado intentos de explotación activa, es importante recordar que las implementaciones NAS son objetivo frecuente de los grupos cibercriminales, especialmente de operaciones de ransomware y robo de datos, por lo que es fundamental que las compañías corrijan estas fallas antes de que sea tarde.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidades día cero en Netatalk afectan productos NAS de Synology, QNAP y Western Digital. Proteja sus soluciones de almacenamiento antes de que sean infectadas con ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

El nuevo ransomware Onyx borra los archivos en lugar que cifrarlos; no será fácil recuperarse de esta infección

Especialistas en ciberseguridad han detectado una nueva operación de ransomware programada para la destrucción de archivos de más de 2 MB en lugar de cifrarlos, lo que impide que esta información sea recuperada aún si se paga el rescate. Esta nueva variante es conocida como Onyx y fue reportada por MalwareHunterTeam.

Al igual que otras operaciones de ransomware, los hackers de Onyx roban datos de las redes comprometidas antes de cifrar los dispositivos. Estos datos luego se utilizan en esquemas de “doble extorsión”, amenazando a las víctimas con publicar la información robada si no se realiza el pago del rescate.

Según la plataforma en dark web del ransomware Onyx, hasta el momento hay seis víctimas confirmadas.

Como se menciona anteriormente, la principal característica de este ransomware es la capacidad de eliminar archivos en lugar de cifrarlos. Las capturas de pantalla publicadas a continuación muestran que Onyx analiza el sistema en busca de archivos de menos de 2MB para su eliminación, aunque también puede eliminar permanentemente archivos de mayor tamaño:

Como se trata de datos creados aleatoriamente y no cifrados, no hay forma de descifrar archivos de más de 2 MB de tamaño. Incluso si la víctima paga, el descifrador puede recuperar solo los archivos cifrados más pequeños.

Al respecto, el investigador forense Jiří Vinopal menciona que esta nueva variante está basada en el ransomware Chaos, que incluye la misma rutina de encriptación dañina y es un comportamiento completamente anticipado y programado por los hackers.

#ONYX Ransomware is based on #Chaos Ransomware Builderv4. No matter what option chosen in builder, there is bug which will always destroy all files larger than 2117152 bytes. (thx @vxunderground for sample and #chaos builder) Full analysis below:@malwrhunterteam @BleepinComputer https://t.co/WuRrFuAt0T pic.twitter.com/8xgQWPlbYy

— Jiří Vinopal (@vinopaljiri) April 28, 2022

Debido a que este proceso es intencional y no un error, se recomienda a las víctimas de Onyx no pagar el rescate bajo ninguna circunstancia.  

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo El nuevo ransomware Onyx borra los archivos en lugar que cifrarlos; no será fácil recuperarse de esta infección apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad de escalada de privilegios y ejecución remota de código en Azure PostgreSQL Flexible Server

Microsoft ha corregido una falla de seguridad en Azure PostgreSQL que podría haber sido explotada para la ejecución de código malicioso. El jueves, investigadores de Wiz publicaron un aviso sobre la vulnerabilidad, apodada como “ExtraReplica” y descrita como una “vulnerabilidad de base de datos entre cuentas” en la infraestructura de Azure.

Microsoft Azure es un servicio de nube híbrida y representa a cientos de miles de clientes empresariales. Según Wiz, se podría usar una “cadena” de vulnerabilidades para eludir el aislamiento de inquilinos de Azure, lo que evita que los clientes de los sistemas de software como servicio (SaaS) accedan a los recursos que pertenecen a otros inquilinos.

El vector de ataque central de ExtraReplica se basa en una falla que permitía a los atacantes acceder a las bases de datos de PostgreSQL sin autorización. Una vez que se ha seleccionado un servidor flexible PostgreSQL público objetivo, un atacante debe encontrar la región de Azure del objetivo “resolviendo el nombre de dominio de la base de datos y haciéndolo coincidir con uno de los rangos de IP públicos de Azure”, según el reporte.

Luego, se debe crear una base de datos controlada por el atacante en la misma región. La primera vulnerabilidad, que se encuentra en las modificaciones del motor PostgreSQL de Azure, se explotaría en la instancia controlada por el atacante, lo que llevaría a privilegios de “superusuario” escalados y la capacidad de ejecutar código.

El segundo error de la cadena, que reside en el proceso de autenticación del certificado, se activaría en la instancia de destino a través de la replicación para obtener acceso de lectura.

Si bien este ataque podría usarse en una subred, también se podría abusar de la fuente de Transparencia de Certificados para recuperar certificados SSL de dominio y extraer el identificador único de una base de datos, expandiendo así la superficie de ataque potencial más allá de una subred.

La vulnerabilidad fue revelada a Microsoft en enero, cuando sus equipos de seguridad analizaron la falla y pudieron replicarla. Wiz recibió un pago de $40,000 USD como recompensa por su informe. La falla fue corregida con éxito, por lo que ya no representa un peligro para los clientes de Microsoft; mejor aún, no se conocen casos de intento de explotación activa.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad de escalada de privilegios y ejecución remota de código en Azure PostgreSQL Flexible Server apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo cayó la banda de estafadores y hackers colombianos que robó el dinero de millones de personas

Después de una compleja operación, la Policía Nacional de Colombia logró desmantelar una red cibercriminal responsable del hackeo sufrido por múltiples instituciones gubernamentales. Según el reporte, la operación estaba a cargo de un individuo identificado como Fabio Molina, quien ya ha sido arrestado.

Al respecto, el director de la Policía Nacional José Luis Vargas menciona: “Esta es una de las operaciones más importantes para la seguridad cibernética de Colombia en los últimos años. Con el material probatorio recolectado durante estos años se decidió que Molina es un peligro para la sociedad”.

Según Vargas, Molina y sus cómplices accedieron a información gubernamental registrada durante los últimos tres años mediante el uso de diversas herramientas de acceso remoto (RAT), infectando las computadoras afectadas y accediendo a contraseñas, emails, imágenes, escaneos, capturas de pantallas, archivos y bases de datos.  Las autoridades encontraron más de 1,500 muestras de malware, lo que demuestra las capacidades de estos cibercriminales.

Las autoridades incautaron múltiples dispositivos, descubriendo que los hackers almacenaban más de 400,000 emails, incluyendo 116 mensajes enviados por Presidencia de la República. Molina y sus cómplices enfrentarán cargos por delincuencia organizada, uso de software malicioso, violación de datos personales y acceso no autorizado a sistemas informáticos protegidos.  

Esta operación inició en 2019, cuando la Presidencia de la República presentó una denuncia relacionada con un correo electrónico malicioso desde una cuenta presuntamente controlada por la Fiscalía General de la Nación. Un empleado alertó a las autoridades y el Centro Cibernético de la Policía Nacional dio inicio a la investigación, que desentrañó una prolongada investigación y que finalmente ha dado sus frutos.   

Las autoridades de Colombia siguen invirtiendo grandes recursos en el combate al cibercrimen. Durante 2021, la Policía Cibernética atendió más de 48,000 denuncias por posibles delitos cibernéticos, además de bloquear unos 150,000 intentos de ciberataques al año y más de 15,000 URLs vinculadas a posibles esquemas fraudulentos en línea.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cómo cayó la banda de estafadores y hackers colombianos que robó el dinero de millones de personas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ya podemos pedir a Google que elimine nuestro número telefónico, domicilio, direcciones email y otros datos de contacto personal de los resultados de búsqueda. Aprenda cómo hacerlo

Después de múltiples escándalos de manejo inapropiado de información personal, reforzar la privacidad de los usuarios se ha convertido en uno de los objetivos primordiales de las grandes empresas tecnológicas. Tal es el caso de Google, que acaba de anunciar la implementación de nuevas políticas que permitirán a los usuarios solicitar la eliminación de ciertos contenidos personales de los resultados en Búsqueda de Google. 

Si bien ya era posible realizar estas solicitudes en casos de doxing o filtración de detalles bancarios, la actualización permitirá a los usuarios solicitar la eliminación de otros contenidos que aparecen en los resultados de búsqueda, incluyendo información de contacto personal. Google también permitirá la eliminación de información adicional que pueda representar un riesgo de robo de identidad, como credenciales de acceso a plataformas en línea.

Según el reporte, los siguientes registros podrán considerarse como información de contacto personal:

• Números de identificación gubernamentales, incluyendo números de seguridad social, claves de identificación fiscal y similares según el país en cuestión
• Números de cuentas bancarias y tarjetas de crédito
• Imágenes de firmas manuscritas
• Imágenes de documentos de identidad
• Registros médicos
• Direcciones físicas, números telefónicos y direcciones email

Sobre los procesos que se implementan al recibir una de estas solicitudes, Google asegura que se evalúa todo el contenido de los sitios web que pueden incurrir en la exposición de datos confidenciales, tratando de no limitar la disponibilidad de otros datos útiles para los usuarios. La compañía también analiza si el contenido que los usuarios desean eliminar forma parte de registros públicos o gubernamentales; de ser así, la solicitud es improcedente.

Aunque esta es sin dudas una buena noticia, los usuarios deben recordar que eliminar este contenido de los resultados en Búsqueda de Google, esto no removerá el contenido de Internet. Para ello, es necesario comunicarse directamente con los administradores del sitio web en cuestión.

Google sigue implementando cambios en sus políticas a fin de mejorar la experiencia en privacidad de sus usuarios. En días recientes se reveló la aplicación de una nueva medida para permitir a los usuarios menores de 18 años solicitar la eliminación de cualquier imagen suya de los resultados de búsqueda de imágenes. Los padres y tutores de los menores también podrán llevar a cabo este trámite.

La información completa sobre estas solicitudes y otras medidas de seguridad y privacidad implementadas por Google está disponible en los canales de comunicación oficiales de la compañía.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ya podemos pedir a Google que elimine nuestro número telefónico, domicilio, direcciones email y otros datos de contacto personal de los resultados de búsqueda. Aprenda cómo hacerlo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Estaciones de carga para autos eléctricos en Reino Unido son hackeadas para mostrar pornografía

Cientos de conductores de vehículos eléctricos en la Isla de Wight, Inglaterra, fueron tomados por sorpresa cuando las pantallas de una estación de carga local comenzaron a mostrar contenido pornográfico a consecuencia de lo que parece ser un ciberataque contra GeniePoint, compañía que administra el punto de carga afectado.

Según un reporte, pantallas en el punto de carga debían mostrar contenido del sitio web oficial de GeniePoint, aunque después de que los bromistas hicieran de las suyas, estos monitores comenzaron a mostrar sitios web para adultos, con lo que los usuarios fueron expuestos a toda clase de contenido sexual explícito.

El consejo emitió inmediatamente una disculpa a todos los usuarios afectados por el incidente: “El consejo desea disculparse con cualquiera que haya encontrado el contenido web inapropiado y por cualquier inconveniente de los puntos de carga fuera de servicio”.

Los puntos de carga comprometidos se localizan en Quay Road, Ryde, Cross Street, Cowes y Moa Place. Además, al tratar de acceder al sitio web de la compañía, los visitantes también eran redirigidos a un sitio pornográfico. Este incidente no solo impidió a los propietarios de autos eléctricos cargar sus vehículos, sino que paralizó las tareas legítimas de los sitios web.

También se reportó que los puntos de carga comprometidos trabajaban de forma intermitente, desconectándose constantemente de los autos eléctricos: “Los puntos de carga pueden estar fuera de servicio por un corto período de tiempo antes de reiniciarse de forma remota, por lo que este podría ser el problema de que no funcione. Tomando nota del mal funcionamiento y el incidente, el consejo decidió reemplazar los puntos de carga por otros nuevos, lo que podría tomar un par de meses”, señala el reporte.

Con la proliferación de vehículos eléctricos y el ecosistema cargado de tecnología que fomentan, es fundamental que las organizaciones gubernamentales, empresas privadas, firmas de ciberseguridad e investigadores independientes tomen cartas en el asunto para mitigar estos ataques.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Estaciones de carga para autos eléctricos en Reino Unido son hackeadas para mostrar pornografía apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Google, Apple, Meta y otras compañías tecnológicas son engañadas por hackers para acceder a información confidencial de menores; acoso sexual y extorsión

Un informe de Bloomberg señala que múltiples compañías tecnológicas habrían sido engañadas para entregar información confidencial de sus clientes, lo que permitió desplegar campañas de extorsión y acoso contra menores de edad.

Los actores de amenazas enviaron solicitudes legales fraudulentas a compañías como Meta, Apple, Google, Snapchat, Discord y Twitter haciéndose pasar por agentes de la ley. Cabe mencionar que la legislación estadounidense permite a los agentes policiales solicitar información bajo control de las compañías tecnológicas con fines legales en casos urgentes o en los que se considere que estos datos podrían ser evidencia importante.

Los datos obtenidos se usaron para atacar a mujeres y menores de forma muy específica; en algunos casos, las víctimas fueron presionadas para crear y compartir material sexualmente explícito, recibiendo fuertes amenazas si se negaban a cooperar con los criminales.

No se agregaron más detalles sobre la forma en que los datos fueron utilizados, aunque las fuerzas del orden y las empresas de tecnología siguen tratando de evaluar el alcance de este problema, que ha incrementado considerablemente durante los más recientes meses.

Fuentes cercanas a las compañías afectadas aseguran que es complicado para el personal que recibe estas solicitudes separar las solicitudes legítimas de los potenciales engaños, ya que en realidad no parece haber diferencias entre los mensajes enviados por los agentes y los usados por los cibercriminales.

Al respecto, el antiguo director de seguridad de Facebook Alex Stamos mencionó: “Sé que estas solicitudes de datos se utilizan en emergencias reales que pueden poner vidas en riesgo, y es trágico que se abuse de este mecanismo para dañar la integridad de los usuarios”.

Stamos cree que las agencias del orden deben implementar mejores mecanismos de autenticación para evitar el compromiso de sus cuentas de correo, evitando así el principal vector para este tipo de ataques. Además, corresponde a las compañías tecnológicas implementar políticas de confirmación como un mecanismo para filtrar solicitudes potencialmente maliciosas.

Un portavoz de Google dijo que la compañía descubrió una solicitud de datos fraudulenta en algún momento de 2021, asegurando que se identificó al posible responsable y se notificó a las fuerzas del orden: “Trabajamos activamente con las fuerzas del orden y otros actores en la industria para detectar solicitudes de datos ilegales”.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Google, Apple, Meta y otras compañías tecnológicas son engañadas por hackers para acceder a información confidencial de menores; acoso sexual y extorsión apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

4 nuevas vulnerabilidades en SonicWall SonicOS afectan a los firewalls y productos de seguridad: Parche inmediatamente

Se ha confirmado la corrección de al menos cuatro vulnerabilidades en SonicOS, el sistema operativo con el que funcionan múltiples soluciones desarrolladas por la firma tecnológica SonicWall. Según este reporte, la explotación exitosa de estas fallas habría permitido a los actores de amenazas desplegar múltiples ciberataques.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus claves de identificación y puntuaciones asignadas según el Common Vulnerability Scoring System (CVSS).

CVE-2022-22275: El procesamiento incorrecto del tráfico entrante HTTP/S desde WAN a DMZ permitiría a los actores de amenazas remotos evadir la política de seguridad hasta que se complete el protocolo de enlace TCP, desencadenando un ataque de denegación de servicio (DoS).

Esta es una falla de severidad media y recibió un puntaje CVSS de 5.1/10.

CVE-2022-22276: El servicio SNMP configurado permanece accesible para usuarios externos incluso si el SNMP está deshabilitado en las interfaces del firewall, por lo que los hackers maliciosos pueden conectarse al servicio SNMP, accediendo a información que de otro modo permanecería restringida.

La falla recibió un puntaje CVSS de 4.6/10.

CVE-2022-22277: SNMP-Reply incluye SSID Password en texto no cifrado, lo que permitiría a los atacantes remotos con capacidad para interceptar el tráfico de la red obtener acceso a datos confidenciales.

Este es un error de baja severidad y recibió un puntaje CVSS de 3.8/10.

CVE-2022-22278: Esta falla existe debido a que Content Filtering Service (CFS) en SonicOS devuelve un enorme mensaje “HTTP 403 forbidden” a la dirección de origen cuando los usuarios intentan acceder a recursos prohibidos por la función CFS.

Los actores de amenazas remotos pueden enviar múltiples solicitudes al sistema que desencadenan el error 403 y consumen todo el ancho de banda disponible, llevando a una condición DoS. La falla recibió un puntaje CVSS de 4.6/10.

Según el reporte, las fallas residen en todas las versiones de SonicOS entre 6.5 y 7.0.1.0-5030-1391.

Si bien esta vulnerabilidad podría ser explotada por actores de amenazas remotos no autenticados, hasta el momento no se han detectado intentos de explotación activa o la existencia de una variante de ataque relacionada con el ataque. Aún así, se recomienda a los usuarios de implementaciones afectadas aplicar los parches disponibles.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 4 nuevas vulnerabilidades en SonicWall SonicOS afectan a los firewalls y productos de seguridad: Parche inmediatamente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

2 vulnerabilidades críticas en el sistema operativo Linux permiten instalar backdoors con privilegios root

Un reporte de seguridad de Microsoft detalla el hallazgo de un conjunto de vulnerabilidades que permitiría a los actores de amenazas escalar privilegios en sistemas Linux con el fin de inyectar ransomware, backdoors y otras amenazas severas. Las fallas fueron identificadas como Nimbuspwn y su explotación desencadenaría en el acceso a privilegios root en los sistemas comprometidos.

Nimbuspwn se refiere a las fallas CVE-2022-29799 y CVE-2022-29800, que residen en networkd-dispatcher, un componente que envía cambios de estado de conexión en máquinas Linux. Las fallas fueron descubiertas durante un análisis de los mensajes en el bus del sistema, lo que derivó en una revisión del flujo de código para networkd-dispatcher.

El investigador de Microsoft Jonathan Bar Or menciona que este conjunto de fallas involucra problemas como errores path traversal, condiciones de carrera de enlace simbólico y condiciones de carrera time-of-check-time-to-use (TOCTOU). Además, durante el análisis se observó que el daemon network-dispatcher se ejecutaba con privilegios root en el momento del arranque del sistema.

Microsoft descubrió que el daemon usaba un método llamado “_run_hooks_for_state” para descubrir y ejecutar scripts según el estado de la red detectada.

La lógica de este método incluye la devolución de scripts ejecutables propiedad del usuario root y el grupo root en el directorio “_run_hooks_for_state”. El método ejecuta cada script en la ubicación anterior mediante subprocess.Popen, a la vez que proporciona variables de entorno personalizadas.

La ejecución de “_run_hooks_for_state” es lo que lleva a la aparición de estos problemas de seguridad, según reporta Microsoft. La explotación de Nimbuspwn permitiría a un actor de amenazas con privilegios reducidos en el sistema Linux afectado escalar sus privilegios a nivel root mediante el envío de señales arbitrarias.

Una descripción de los pasos para una explotación exitosa se muestra en el siguiente diagrama, dividido en tres pasos de ataque:

Microsoft especifica que la explotación exitosa requiere plantar varios archivos en el sistema afectado.

El reporte concluye mencionando que hay muchos entornos en los que el ataque es factible, incluyendo Linux Mint debido a que el servicio systemd-networkd que normalmente posee el nombre de bus “org.freedesktop.Network1” no se inicia en el arranque de forma predeterminada.

Clayton Craft, el mantenedor de networkd-dispatcher, ya ha anunciado el lanzamiento de los parches necesarios, por lo que se ha solicitado a los usuarios de Linux abordar las fallas a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 2 vulnerabilidades críticas en el sistema operativo Linux permiten instalar backdoors con privilegios root apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Grupo de ransomware Stormus afirma haber hackeado Coca-Cola y robado miles de archivos confidenciales

El grupo de ransomware Stormous publicó una actualización en su plataforma ilegal en línea asegurando que lograron hackear los sistemas de Coca-Cola Company, extrayendo más de 161 GB de información del grupo internacional de bebidas.

Este incidente viene después de que el canal de Telegram controlado por Stormus lanzara una encuesta para que sus miembros eligieran la próxima compañía afectada, siendo Coca-Cola la elegida de entre otras empresa como Mattel o Danaher: “Hackeamos algunos de sus servidores y tenemos más de 161 GB… Hemos abierto nuestra tienda en nuestro propio sitio en dark web. Esta empresa fue la primera víctima. Navegue un poco en nuestro sitio”, se lee en el mensaje de los hackers.

Stormus también señala que la información comprometida de la compañía está a la venta, por lo que cualquier interesado en acceder a estos datos puede contactarlos y solicitar una prueba inicial para hacer negocios.

Después del ataque, los hackers de ransomware contactaron a los equipos de TI en Coca-Cola para exigir un rescate de más de 1.644 Bitcoin, unos $65,000 USD. Por el momento se desconoce si el gigante de las bebidas azucaradas está dispuesto a negociar con los cibercriminales o si siquiera han respondido a sus exigencias.

Sobre Stormus, especialistas en ciberseguridad mencionan que este grupo se hizo notar durante el inicio de la invasión rusa en Ucrania, cuando junto con la operación de ransomware Conti manifestó su apoyo al gobierno de Rusia. Como quizás ya sepa, múltiples grupos de ransomware operan desde territorio ruso, donde gozan de impunidad y, muy posiblemente, cuentan con el respaldo de grupos cercanos al Kremlin, lo que convierte al ransomware en una de las amenazas de ciberseguridad con mayores recursos tecnológicos y de infraestructura, garantizando su desarrollo y actividad constante.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Grupo de ransomware Stormus afirma haber hackeado Coca-Cola y robado miles de archivos confidenciales apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers atracan millones en NFT de Bored Ape Yacht Club. Cómo es que esto sigue sucediendo una y otra vez

Un grupo de cibercriminales logró robar tokens no fungibles (NFT) con valor de unos $3 millones USD de la popular colección Bored Ape Yacht Club. Al parecer, los actores de amenazas tomaron control de la cuenta de Instagram de la colección NFT y publicaron un enlace a un sitio web fraudulento desde el cual pudieron ser robados los activos mencionados.

Los atacantes captaron la atención de los coleccionistas NFT desprevenidos ofreciendo un supuesto token gratuito; estos usuarios siguieron el enlace publicado en Instagram y conectaron sus billeteras de criptomoneda MetaMask a una dirección controlada por los hackers. En lugar de recibir el token mencionado, los usuarios afectados se encontraron con sus billeteras vacías.

Poco después, la cuenta oficial del proyecto en Twitter confirmó el ataque: “Parece que el Instagram de BAYC fue hackeado; no haga clic en ningún enlace ni vincule su billetera a otro sitio”, se lee en el mensaje.

🚨There is no mint going on today. It looks like BAYC Instagram was hacked. Do not mint anything, click links, or link your wallet to anything.

— Bored Ape Yacht Club (@BoredApeYC) April 25, 2022

Yuga Labs, creadores de Bored Ape Yacht Club, también confirmaron que los atacantes robaron cuatro tokens Bored Apes, seis Mutant Apes y tres Bored Ape Kennel Club NFT, además de otros NFT de distintas colecciones, extrayendo activos por un total aproximado de $3 millones USD.

El equipo detrás de la colección NFT asegura estar trabajando activamente para establecer contacto con los usuarios afectados, agregando que la cuenta comprometida tenía habilitada la autenticación multifactor y otros mecanismos de seguridad, por lo que aún no está claro cómo ocurrió el ataque. La investigación sigue en curso y se espera pronto haya actualizaciones al respecto.

Este es el segundo ataque que afecta a BAYC en menos de un mes; a finales de marzo, el proyecto NFT confirmó que su servidor oficial de Discord había sido comprometido, poniendo en riesgo crítico de fraude electrónico a cientos de inversores. Poco antes del ataque al servidor de Discord y en el contexto del lanzamiento de la criptomoneda ApeCoin, un grupo de hacking robó más de $1.5 millones USD a través de un fraude de préstamos rápidos.

Estos ataques resultan altamente preocupantes a desarrolladores, inversores y entusiastas de los NFT, que han visto en el cibercrimen la principal amenaza al crecimiento de estos proyectos y su potencial como inversión.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers atracan millones en NFT de Bored Ape Yacht Club. Cómo es que esto sigue sucediendo una y otra vez apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

2 vulnerabilidades críticas explotables de forma remota en los controladores de frenos para remolques pueden causar accidentes en carreteras

Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades críticas en Power Line Communications (PLC) J2497, un enlace de comunicaciones en serie bidireccional empleado en tráileres y otros vehículos de trasporte. Según el reporte, la explotación exitosa de las fallas reportadas permitiría a los actores de amenazas desplegar múltiples tareas de hacking.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de seguridad y puntajes según el Common Vulnerability Scoring System (CVSS).

CVE-2022-25922: Un error de autenticación en una función crítica permitiría que se invoquen funciones de diagnóstico no esperadas cuando los controladores de frenos reproduzcan mensajes J2497.

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.1/10.

CVE-2022-2613: Protecciones inadecuadas contra errores de inyección electromagnética hacen que los controladores sean vulnerables a ataques de emisión de señales de radiofrecuencia.

Esta es una vulnerabilidad de severidad crítica y recibió un puntaje CVSS de 9.3/10.

El reporte de estas fallas fue atribuido a Ben Gardiner, investigador de lla National Motor Freight Traffic Association (NMFTA) y a los investigadores Chris Poore, Dan Salloum y Eric Thayer, de la firma de seguridad Assured Information Security. En el reporte se incluyen algunos métodos de mitigación como:

• Instalar un firewall LAMP ON para cada implementación vulnerable
• Usar circuitos de detección LAMP con cada remolque
• Cambiar las direcciones dinámicamente en cada tractor en respuesta a la detección de un transmisor en su dirección actual

Estas fallas fueron divulgadas públicamente a través de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), que recomienda a los usuarios tomar una postura proactiva para minimizar el riesgo de explotación de estas vulnerabilidades. CISA recuerda a las organizaciones que deben impulsar la implementación de constantes análisis de impacto y evaluaciones de riesgos para saber cuál es la mejor forma de mitigar el riesgo de explotación.

La Agencia también proporciona una guía de prácticas de seguridad recomendadas para sistemas de control como estos. Se recomienda a los usuarios de estas implementaciones revisar las guías para una mejora constante a sus prácticas de seguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 2 vulnerabilidades críticas explotables de forma remota en los controladores de frenos para remolques pueden causar accidentes en carreteras apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad de ejecución remota de código en VirusTotal permite hackear sandboxes de terceros

Una reciente investigación detalla el hallazgo de una falla que permitiría a los actores de amenazas explotar la popular plataforma VirusTotal con el fin de desplegar ataques de ejecución remota de código (RCE) en entornos sandbox de terceros usando motores antivirus sin actualizar. VirusTotal es un sitio web que proporciona de forma gratuita el análisis de archivos y páginas web a través de antivirus, siendo una de las fuentes de información sobre amenazas de seguridad más confiables.

Según los investigadores de la firma de seguridad Cysource, la falla habría permitido a los hackers maliciosos ejecutar comandos de forma remota a través de la plataforma VirusTotal, lo que podría derivar a diversos escenarios de riesgo crítico para los sistemas afectados. La falla fue identificada como CVE-2021-22204 y recibió un puntaje de 7.8/10 según el Common Vulnerability Scoring System (CVSS).

El reporte señala que el ataque habría requerido la carga de un archivo DjVu a través de la interfaz de usuario web de VirusTotal; al pasar a los motores antimalware de terceros, esto podría desencadenar un exploit de ejecución remota de código en ExifTool, una utilidad de código abierto para la lectura y edición de metadatos EXIF en archivos de imagen y en formato PDF.

El problema fue reparado por los mantenedores de VirusTotal en una actualización de seguridad lanzada hace un par de semanas. Durante sus pruebas, los expertos señalaron que explotación llevó a un shell inverso a las máquinas afectadas vinculadas a algunos motores antivirus sin actualizar.

Bernardo Quintero, cofundador de VirusTotal, confirmó este comportamiento imprevisto y que las ejecuciones de código no están en la plataforma en sí, sino en los sistemas de escaneo de terceros potencialmente vulnerables. Quintero agregó que la plataforma está usando una versión de ExifTool que no se ve afectada por la falla.

Los investigadores de Cysource reportaron el error a través del programa de recompensa por vulnerabilidad de Google el 30 de abril de 2021, por lo que la falla fue corregida poco después.

Esta no es la primera vez que un error en ExifTool desencadena condiciones de ejecución remota de código. Hace unos meses, GitLab anunció la corrección de CVE-2021-22205, una falla crítica relacionada con una validación incorrecta de las imágenes proporcionadas por el usuario. Esta falla recibió una puntuación CVSS de 10/10.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad de ejecución remota de código en VirusTotal permite hackear sandboxes de terceros apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¿Cómo hacer ataques de escalada de privilegios locales en Windows para aplicar fuerza bruta en cuentas de administrador local?

Los ataques de escalada de privilegios representan un severo riesgo de ciberseguridad para toda clase de sistemas en organizaciones públicas y privadas. En estos ataques, los actores de amenazas explotan vulnerabilidades o errores de diseño en los sistemas operativos y aplicaciones de software para obtener un acceso ilegítimo a recursos que de otra manera estarían restringidos solo para los usuarios autorizados, lo que desencadenaría peligrosos escenarios de hacking.

Al igual que con otras variantes de hacking, la prevención se vuelve un tema fundamental, pues un sistema informático protegido y constantemente monitoreado y actualizado se verá menos expuesto a ataques de escalada de privilegios, por lo que es importante conocer este y otros métodos de ataque.

A continuación, especialistas del curso de concientización de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán una herramienta para el despliegue de ataques de escalada de privilegios locales en Windows. La herramienta, llamada localbrute.ps1, está escrita en PowerShell para aplicar fuerza bruta contra cuentas de administrador local de Windows.

Esta herramienta es ligera y no requiere ningún módulo de terceros, lo que la convierte en una gran adición a los métodos tradicionales de escalada de privilegios aplicables a varios escenarios de pentesting.

Riesgos de la escalada de privilegios

Un ataque a las cuentas administrativas locales puede ser un vector de ataque considerable, principalmente cuando falta una política de bloqueo de cuentas. Acorde a los expertos del curso de concientización de ciberseguridad, podemos intentar tantos intentos de inicio de sesión como queramos y, si logramos adivinar la contraseña, obtendremos el control total del sistema, permitiendo toda clase de tareas de hacking como:

• Desactivar todas las funciones de seguridad del sistema
• Extraer credenciales de acceso y otros detalles confidenciales
• Crear paquetes de red sin procesar y ejecutar exploits para ataques posteriores

La herramienta realiza un ataque de fuerza bruta local en el sistema objetivo, por lo que su uso es muy específico. Esta herramienta puede ser útil en los casos en que existen credenciales de usuario con privilegios bajos y donde es posible ejecutar comandos.

Características de la herramienta

Según los expertos del curso de concientización de ciberseguridad, localbrute.ps1 realiza intentos de inicio de sesión localmente en el sistema utilizando funciones nativas del mismo sistema Windows. Entre las principales características destacan:

• Tamaño reducido
• Capaz de realizar intentos de inicio de sesión contra cualquier cuenta local seleccionada utilizando la lista de palabras determinada
• Escrito en PowerShell puro
• No se considera una herramienta maliciosa, por lo que no es detectada por herramientas antivirus

Existen dos versiones de localbrute.ps1, una versión normal y una más extensa. Veamos más a detalle el funcionamiento de la herramienta.

Uso de localbrute.ps1

Según los expertos del curso de concientización de ciberseguridad, lo primero que debemos considerar es definir qué es una cuenta de administrador en el sistema. Estas cuentas suelen incluir:

• Miembros del grupo de administradores locales
• La propia cuenta de administrador local

Así es como podemos encontrar las cuentas del grupo de Administradores locales:

net localgroup administrators

Ahora, ejecute localbrute:

Import-Module .\localbrute.ps1

Para continuar, ejecute el siguiente comando:

localbrute   [debug]

Por ejemplo:

localbrute Administrator .\rockyou.txt

Recuerde que un ataque de fuerza bruta puede tomar un tiempo considerable.

¿Cómo funciona?

La herramienta simplemente aplica fuerza bruta usando una lista de palabras para que el usuario intente autenticarse en el sistema. Este software utiliza las funciones internas de Windows DirectoryServices.AccountManagement en el contexto de la computadora local. A continuación hay un fragmento de código de PowerShell para verificar las credenciales localmente:

$u = 'Administrator'
$p = 'Pa$$w0rd!'
Add-Type -AssemblyName System.DirectoryServices.AccountManagement 
$t = [DirectoryServices.AccountManagement.ContextType]::Machine
$a = [DirectoryServices.AccountManagement.PrincipalContext]::new($t)
$a.ValidateCredentials($u,$p)

La versión extendida de la herramienta tiene algunas características adicionales para mejorar la usabilidad cuando se trabaja con listas de palabras grandes. Es decir, mantiene un archivo de estado (localbrute.state) en el directorio de trabajo actual para realizar un seguimiento del progreso, mencionan los especialistas del curso de concientización de ciberseguridad.

Después de un descanso (^ C), la herramienta escribirá la última contraseña encontrada de la lista de palabras dada para el nombre de usuario dado. Esto permite que el ataque continúe después de un reinicio.

El archivo de estado también almacena registros de cuentas que ya han sido pirateadas.

Puede habilitar el modo de depuración para ver la iteración en curso:

La velocidad es de aproximadamente 100 a 200 intentos de inicio de sesión por segundo, según el rendimiento del sistema objetivo. Este no es un proceso rápido, pero sigue siendo mucho más eficiente que otras herramientas similares. Ejecutar varias instancias del script localbrute en paralelo no acelerará la iteración, por lo que los expertos del curso de concientización de ciberseguridad no recomiendan implementar esta clase de métodos.

Recuerde que este artículo fue elaborado con fines exclusivamente informativos y no representa un llamado a la acción; IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades, tecnologías de la información, y más información sobre el curso de concientización de ciberseguridad, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¿Cómo hacer ataques de escalada de privilegios locales en Windows para aplicar fuerza bruta en cuentas de administrador local? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Zoom pagará $85 millones USD como parte de un acuerdo legal; usuarios traumatizados por hackers y bromistas entrometidos en sus reuniones

Miles de empresas comenzaron a implementar la modalidad de trabajo a distancia debido a la pandemia, lo que llevó a un notable incremento en el uso de herramientas de videollamada como Zoom. Esto ha sido aprovechado por hackers maliciosos, e incluso algunos bromistas, para desplegar una variante de ataque conocida como “zoom-bombing”, que consiste en irrumpir en sesiones privadas de videollamada, interrumpiendo la actividad de organizaciones públicas y privadas.

Estos ataques finalmente han traído consecuencias para Zoom, que deberá pagar $85 millones USD como parte de un acuerdo después de la demanda colectiva presentada por múltiples usuarios, incluyendo individuos y organizaciones. Además de pagar la compensación en efectivo, Zoom también se comprometió a implementar algunos cambios en sus prácticas comerciales.

Según un reporte, los demandantes aseguran que las prácticas y medidas de seguridad de la empresa han permitido violaciones constantes a su privacidad y seguridad. Por ejemplo, en un incidente reportado hace dos años, la Iglesia Luterana de San Pablo en San Francisco estaba organizando una clase de estudio bíblico en la que la mayoría de los participantes eran ancianos; poco después de que la videollamada iniciar, la plataforma habría permitido que un intruso tomara control de la sesión.

“Los atacantes secuestraron las pantallas de las computadoras y se desactivaron los botones de control mientras se obligaba a los usuarios a ver videos pornográficos”, afirman los demandantes. El organizador no pudo retomar el control de la sesión, por lo que pidió a los participantes salir y volver a ingresar a la llamada, aunque esto no restringió el acceso al intruso.

El zoom-bombing no es el único problema que la plataforma enfrenta. Los demandantes también aseguran que Zoom ha compartido datos con terceros como Google, LinkedIn y Facebook de forma ilegal, manipulando intencionalmente sus protocolos de cifrado de extremo a extremo.

Zoom acordó implementar decenas de cambios en sus prácticas comerciales, esperando que estos cambios tengan un impacto significativo en el reforzamiento de la seguridad en las sesiones de Zoom, además de revisar sus métodos de protección de datos para evitar filtraciones no deseadas.

Mark Molumphy, uno de los abogados de Zoom, considera que este es un acuerdo innovador, agregando que la plataforma implementará prácticas de seguridad mejoradas en el futuro, garantizando que los usuarios estén completamente protegidos.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Zoom pagará $85 millones USD como parte de un acuerdo legal; usuarios traumatizados por hackers y bromistas entrometidos en sus reuniones apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Los hackers quieren negociar con gobierno de Costa Rica para no publicar datos robados o atacar empresas privadas

Días después de que el Gobierno de Costa Rica confirmara que un grupo de hackers logró comprometer algunos de sus sistemas, se ha revelado nueva información sobre el ciberataque. Según Jorge Mora, director de Gobernanza Digital, los hackers ofrecieron al gobierno un descuento del 35% del monto origina exigido a cambio de no revelar la información comprometida y cortar con esta campaña maliciosa, con lo que el rescate pasaría de $10 millones a $6.5 millones USD.

Acorde a Mora, los hackers no solo ofrecen mantener resguardada la información comprometida, sino que también aseguran que el rescate garantiza que ninguna compañía privada en Costa Rica será objetivo de futuros ciberataques: “Seguiremos llamando a que nos ayuden a mejorar la seguridad en las empresas y a nivel individual”, menciona.

No obstante, el funcionario reafirmó que el Gobierno de Costa Rica no cederá a las amenazas ni negociará con los atacantes: “Hagan o no descuento, ya fuimos claros y seguimos así, que no vamos a pagar nada. Estas coyunturas ya las vivió Estonia cuando unos delincuentes bajaron su sistema eléctrico; nosotros también saldremos adelante”, asegura Mora.

Sobre la naturaleza de la información comprometida, Mora reiteró que los hackers lograron acceder a algunos registros de Hacienda, incluyendo información confidencial de contribuyentes. Aún así, el funcionario menciona que no hay evidencia alguna de filtración o uso malicioso de esta información, además de mencionar que estos registros están desactualizados.

La agencia tributaria costarricense no ha sido la única víctima, ya que los hackers también lograron comprometer los sistemas del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), Instituto Meteorológico Nacional (IMN), Radiográfica Costarricense (RACSA), la Caja Costarricense de Seguro Social (CCSS) y el Ministerio de Trabajo y el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF), con resultados varios.

Los equipos de seguridad del Micitt confirmaron que los hackers lograron modificar el contenido del sitio web de Televisión Digital, mientras que en el IMN y en RACSA se sustrajeron archivos de correo de dos servidores.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Los hackers quieren negociar con gobierno de Costa Rica para no publicar datos robados o atacar empresas privadas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Pwn2Own Miami pagó $400,000 USD por 26 exploits día cero en productos ICS y SCADA

Esta semana concluyó la más reciente edición del evento de hacking ético Pwn2Own Miami 2022, durante el que se otorgaron premios por $400,000 USD gracias al reporte de 26 exploits día cero para abusar de productos ICS y SCADA. En esta edición, los investigadores se enfocaron en implementaciones como servidores de control, puertas de enlace de datos e interfaz hombre-máquina.

Zero Day Initiative (ZDI) publicó un mensaje agradeciendo a los involucrados en el evento: “Gracias nuevamente a todos los competidores y a los proveedores participantes por su cooperación y por solucionar los errores revelados”. Los proveedores de productos afectados tienen 120 días para lanzar parches para las fallas reportadas en Pwn2Own.

Los principales ganadores del evento Pwn2Own Miami 2022 son Daan Keuper y Thijs Alkemade, de Computest Sector 7. Durante el primer día, el equipo ganó $20,000 USD al demostrar un ataque de ejecución de código en la solución Inductive Automation Ignition SCADA, explotando una falla de autenticación faltante. Durante este día Computest Sector 7 también demostró un ataque de ejecución remota de código (RCE) en AVEVA Edge HMI/SCADA, recibiendo una recompensa de $20,000 USD.

En el segundo día, los investigadores explotaron un error de bucle infinito para desencadenar una condición de denegación de servicio (DoS) contra el servidor de demostración C++ de Unified Automation, ganando $5,000 USD, además de demostrar un ataque de evasión de autenticación en OPC Foundation OPC UA .NET Standard, obteniendo $40,000 USD más.

Computest Sector 7 ganó el título Master of Pwn luego de ganar un total de $90,000 durante los tres días del concurso y obtener el primer lugar en la tabla de clasificación con un total de 90 puntos.

El Pwn2Own Miami de este año se llevó a cabo en modalidad presencial y también permitió la participación remota de algunos investigadores. Durante la primera edición de Pwn2Own Miami, con el tema de ICS, celebrada en enero de 2020, ZDI otorgó $280,000 por el reporte de 24 vulnerabilidades día cero en productos ICS y SCADA.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Pwn2Own Miami pagó $400,000 USD por 26 exploits día cero en productos ICS y SCADA apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica de ejecución remota de código en Atlassian Bitbucket Data Center: Actualice de inmediato

Esta semana Atlassian emitió un reporte de seguridad en el que anunciaban la corrección de CVE-2022-26133, una vulnerabilidad de ejecución de código en Atlassian Bitbucket Data Center, una plataforma de colaboración de código lanzada que admite la revisión de código, la gestión de permisos de sucursales, CICD y otras funciones.

En su alerta, Atlassian señala que varios de sus productos utilizan el software de terceros Hazelcast, que es vulnerable a los ataques de deserialización de Java; estos productos utilizan Hazelcast cuando están configurados para su ejecución como clúster. La vulnerabilidad existe debido a un error de deserialización porque la interfaz Hazelcast en Atlassian Bitbucket Data Center no filtra los datos ingresados por el usuario como debería.

Los actores de amenazas no autenticados podrían explotar esta falla enviando solicitudes especialmente diseñadas, lo que llevaría a la ejecución de código arbitrario. La falla solo reside en implementaciones Atlassian Data Centers instaladas en modo clúster y se considera un error de seguridad de nivel crítico.

Según el reporte, las siguientes versiones de Bitbucket Data Center se ven afectadas:

• Todas las versiones >= 5.14.x
• Todas las versiones 6.x
• Todas las versiones 7.x < 7.6.14
• Todas las versiones de 7.7.x a 7.16.x
• 7.17.x <7.17.6
• 7.18.x <7.18.4
• 7.19.x <7.19.4
• 7.20.0

Atlassian señaló que Bitbucket Server y Bitbucket Cloud no se ven afectados.

Los equipos de seguridad de la compañía lanzaron la versión actualizada de Bitbucket Data Center después de reparar abordar el error. Si los usuarios no pueden aplicar las actualizaciones, Atlassian recomienda restringir el acceso al puerto Hazelcast mediante el uso de un firewall u otros controles de acceso a la red como solución alternativa. Además, el puerto solo debe ser accesible para otros nodos en el clúster de Bitbucket o Confluence; recuerde que para Bitbucket Data Center, Hazelcast usa el puerto TCP 5701 de forma predeterminada.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).  

El cargo Vulnerabilidad crítica de ejecución remota de código en Atlassian Bitbucket Data Center: Actualice de inmediato apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

NIST ha revisado su guía de administración de parches de seguridad empresarial por primera vez en casi una década

El Instituto Nacional de Estándares y Tecnología de E.U. (NIST) ha realizado una exhaustiva revisión a su guía de administración de parches de seguridad empresariales por primera vez en casi una década. Mientras que la iteración anterior, que data del 2013, se centraba en ayudar a las organizaciones a implementar tecnologías de gestión de parches, la nueva edición se enfoca en el desarrollo de estrategias para la gestión de parches.

Elaborado por el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del NIST, la Publicación Especial (SP) 800-40 Revisión 4 del NIST se basa en la suposición de que las organizaciones se beneficiarían más al repensar su planificación de administración de parches que su tecnología de administración de parches.

Sin embargo, NIST también ha emitido una publicación complementaria que demuestra cómo las herramientas comerciales pueden ayudar a las empresas a implementar su guía actualizada.

En la nueva guía se discuten los factores comunes que afectan la administración de parches empresariales y recomienda crear una estrategia empresarial para simplificar y poner en funcionamiento los parches y, al mismo tiempo, mejorar la reducción del riesgo. Al hacerlo, la guía se propone salvar la división entre los propietarios de negocios/misiones y la gestión de seguridad/tecnología sobre la práctica del lanzamiento de parches.

Con contribuciones de Cisco, IBM y Microsoft, la guía también describe cómo se pueden implementar tecnologías comerciales para mejorar las capacidades de inventario y parches que las organizaciones necesitan para manejar situaciones de emergencia, además de implementar mitigaciones temporales, aislamiento u otras alternativas al parcheo de vulnerabilidades.

NIST enmarca la aplicación de parches a las vulnerabilidades de seguridad en el firmware, los sistemas operativos o las aplicaciones como un costo de operaciones necesario. Cuando el descuido de la administración de parches da como resultado compromisos de seguridad graves, estos costos sin duda se ven eclipsados por los costos financieros y de reputación relacionados con el tiempo de inactividad del sistema, las filtraciones de datos y otros resultados adversos, así que los administradores de sistemas deberán decidir si afrontar los costos por prevención o gastar aún más para corregir todas las fallas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo NIST ha revisado su guía de administración de parches de seguridad empresarial por primera vez en casi una década apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente