Microsoft ha confirmado que tiene conocimiento de dos vulnerabilidades de día cero de Exchange Server que han sido explotadas en ataques dirigidos. El gigante tecnológico está trabajando en parches.
GTSC, una empresa de ciberseguridad con sede en Vietnam informó haber visto ataques que explotaban dos nuevas vulnerabilidades de día cero de Microsoft Exchange . La firma cree que los ataques que se vieron por primera vez en agosto estaban dirigidos a infraestructura crítica y fueron lanzados por un grupo de amenazas chino.
Los detalles técnicos sobre las vulnerabilidades no se han hecho públicos, pero GTSC dijo que las actividades posteriores a la explotación del actor de amenazas incluyeron el despliegue de puertas traseras, movimiento lateral y la entrega de malware.
Las vulnerabilidades se informaron a Microsoft a través de Zero Day Initiative (ZDI) de Trend Micro. Microsoft ha publicado una publicación de blog para informar a los clientes que está investigando dos vulnerabilidades de día cero informadas .
El gigante tecnológico dice que una de las vulnerabilidades es un problema de falsificación de solicitud del lado del servidor (SSRF) rastreado como CVE-2022-41040 y el segundo es una vulnerabilidad de ejecución remota de código rastreada como CVE-2022-41082. Se ha descubierto que los agujeros de seguridad afectan a Exchange Server 2013, 2016 y 2019.
“En este momento, Microsoft está al tanto de ataques dirigidos limitados que usan las dos vulnerabilidades para ingresar a los sistemas de los usuarios. En estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active de forma remota CVE-2022-41082. Cabe señalar que el acceso autenticado al servidor Exchange vulnerable es necesario para explotar con éxito cualquiera de las dos vulnerabilidades”, dijo Microsoft.
La compañía está trabajando en una línea de tiempo acelerada para parchear las vulnerabilidades. Mientras tanto, ha proporcionado una guía detallada sobre cómo se puede prevenir la explotación. Microsoft dice que sus productos de seguridad deberían detectar el malware posterior a la explotación y la actividad asociada con estos ataques. Los clientes de Microsoft Exchange Online no necesitan realizar ninguna acción.
El investigador de seguridad Kevin Beaumont ha llamado a las vulnerabilidades ProxyNotShell debido a las similitudes con la antigua vulnerabilidad de ProxyShell, que ha sido explotada durante más de un año. De hecho antes de que Microsoft confirmara los días cero, Beaumont creía que podría tratarse simplemente de una variante nueva y más eficaz del exploit ProxyShell, en lugar de una nueva vulnerabilidad real.
Otros investigadores también creen que las vulnerabilidades podrían estar relacionadas con que Microsoft no eliminó por completo a ProxyShell.
I’ve not looked at the exchange bugs yet but my speculation is that because MS never fixed the path confusion of proxyshell (just stopped sending auth to the backend), that this same path can be used to send your own auth or attack another unauth backend svc
YARA es una herramienta muy conocida en la industria de la seguridad que se utiliza para clasificar e identificar muestras de malware. En Avast, hacemos todo lo posible para compartir nuestras mejoras y herramientas con la comunidad de código abierto. Un ejemplo de esto son las dos publicaciones de blog recientes donde publicamos dos herramientas relacionadas con YARA: YARA Language Server y YaraNG .
Escribir reglas YARA puede ser una tarea desafiante, pero depurarlas una vez escritas es aún más desafiante. Imagine que tiene una regla YARA pero no coincide con las muestras que espera. Parece un problema, pero ¿cómo averiguar qué está mal y solucionarlo? ¿Qué parte de la condición está causando el error? ¿Cómo debería usted, como autor, abordar esta situación?
Lo primero que viene a la mente es que puede intentar comentar partes específicas de la condición, reduciendo efectivamente su tamaño y complejidad a una parte más manejable. Ya está familiarizado con esta técnica de otros lenguajes de programación, por lo que comienza a jugar con la condición y, después de un tiempo, finalmente comenta la expresión exacta que causa el error.
¿Pero a qué precio? Tuviste que hacer muchas conjeturas, crear muchos comentarios, deshacer muchas cosas y ejecutar muchas exploraciones de prueba. Pero, ¿qué sucede si la condición consta de muchas expresiones en la andcadena o si se trata de una cadena de reglas que dependen unas de otras? Este enfoque no escala bien.
Si no quiere seguir esta ruta, la segunda opción es usar la yara -Dopción para volcar las estructuras de datos del módulo. De esta manera obtienes más información. Pero necesita saber lo que está buscando y no hay soporte para llamadas a funciones, por lo que si está buscando el resultado de pe.imphash(), no tiene suerte. Tiene que construir el comando a mano, lo que también incluye encontrar la ruta a la muestra y la regla en sí.
Luego se entera de que la salida no incluye la información sobre las cadenas. Entonces, debe ejecutar otro comando con -sinterruptor, que le muestra la información sobre las cadenas. Luego regresa a su editor y necesita buscar manualmente el valor de un símbolo en particular en el desplazamiento hacia atrás de su terminal. De esta manera, puede obtener una idea sólida de lo que equivalen algunos de los símbolos utilizados, pero necesita hacer el resto de la lógica (por ejemplo, comparaciones, operaciones lógicas, llamadas a funciones, referencias a otras reglas) usted mismo. Finalmente, la mayoría de los usuarios ni siquiera conocen esas funciones. Aunque he trabajado con YARA durante algunos años, me enteré de ellos recientemente.
Al final, aprende sobre el módulo de consola agregado recientemente, lo cual es excelente. Ahora puede usar impresiones de depuración para investigar las expresiones. Sin embargo, aún debe editar/cambiar su condición con el riesgo de olvidarse de las impresiones de depuración y mantenerlas en la regla final. También debe evitar el cortocircuito de las expresiones para asegurarse de que se puedan alcanzar sus declaraciones de registro en primer lugar. Además, todas las funciones de registro devuelven un Truevalor codificado, por lo que debe ser más creativo donde las coloca; no puede simplemente envolver sus expresiones existentes.
Como puede ver, depurar las reglas de YARA es notablemente difícil, especialmente para los nuevos usuarios. No hay herramientas dedicadas para esta tarea, solo unas pocas guías, y la mayor parte del tiempo estás solo. ¿Y si podemos mejorar esto?
Presentamos YARI – YARA Interactivo . La nueva incorporación a nuestra familia de código abierto le permite evaluar expresiones YARA y proporciona integración con YLS para la mejor experiencia de usuario. Puede encontrar el código fuente en el repositorio avast/yari publicado bajo la licencia MIT.
Básicamente, YARI puede tomar una expresión YARA genérica como entrada y devolver el resultado de la evaluación. Por ejemplo, pasar la cadena time.now()devolverá Integer(1663178204), que es lo que ve YARA cuando se evalúa la condición. Sin embargo, no estamos limitados a consultas tan simples. YARI es compatible con todos los módulos integrados, incluidas constantes, matrices, diccionarios e incluso puede llamar a funciones con parámetros personalizados. Además, puede verificar cadenas y evaluar algunas expresiones más complejas que involucran, por ejemplo, operaciones binarias.
Internamente, YARI usa el concepto de Contextpara realizar un seguimiento del estado inicial para evaluar expresiones. El contexto contiene información sobre la muestra de entrada, la regla actual o los datos del módulo suministrados: la mayoría de las cosas que puede proporcionar a YARA como argumentos. Antes de evaluar, se junta toda esta información y de ella se deriva el resultado final.
Diseñar un flujo de trabajo para un depurador YARA no fue una tarea fácil. Al final, decidimos no seguir la ruta del depurador convencional (p. ej gdb.), debido a la naturaleza declarativa de YARA. Queríamos proporcionar una experiencia de nivel mucho más alto para el usuario. Los usuarios tendrán la capacidad de seleccionar expresiones de la regla y evaluarlas en el contexto de la regla (explorar el estilo más convencional de depuración donde los usuarios tienen la capacidad de recorrer la condición podría ser un tema interesante para el futuro). Los objetivos de este proyecto son los siguientes:
Proporcione resultados realmente precisos, sin emulación, sin reimplementación de YARA, y use lo que ya está disponible.
No es necesario cambiar la condición de ninguna manera. Esto significa que no hay declaraciones de depuración olvidadas.
Facilidad de uso.
Integración YLS
YARA Language Server (YLS) es una herramienta que presentamos en una de nuestras publicaciones de blog recientes . Para que la depuración sea más accesible, hemos preparado la integración con YLS. Tu editor puede convertirse en una herramienta que te ayudará. No hay necesidad de cambiar de ventana. Primero, echa un vistazo a este sencillo ejemplo:
Muestra del flujo de trabajo de depuración.
Las reglas en el clip usan hashmeta para documentar qué muestras deberían generar aciertos o para la documentación mejorada. Esta es una buena práctica para aplicar a sus reglas y también se utiliza como punto de partida para la depuración. Para iniciar la sesión de depuración, haga clic en “Seleccionar hash para contexto” sobre el meta del hash, que inicializará el contexto de depuración.
Hash metaentradas de la regla con botones para inicializar una sesión de depuración en particular.
Una vez que el contexto esté listo, puede pasar el cursor sobre las expresiones en la sección de condiciones y la ventana emergente contendrá el resultado de la evaluación. YLS intentará adivinar la mejor expresión para la evaluación, pero si desea tener más control, simplemente seleccione la parte exacta de la expresión y coloque el cursor sobre ella.
Ventana emergente que contiene el resultado de la evaluación.
El tipo Integerde resultado es y el valor se muestra en la base decy hex.
Finalmente, las expresiones actualmente seleccionadas (en este caso pe.overlay.size) se evalúan como True.
Ahora puede que se pregunte cómo le dice a YLS dónde buscar artefactos (muestras o datos de módulos) para usar. Puede configurar un directorio para su proyecto con todos esos archivos en la configuración del editor para YLS. YLS buscará recursivamente esta carpeta y todas sus subcarpetas, tratando de encontrar un archivo con el nombre del hash. Las muestras deben nombrarse con el hash del archivo. También puede tener un sufijo con el nombre del módulo YARA, que le indicará a YLS que use este archivo como datos del módulo. Por ejemplo, un archivo llamado <hash>.cuckoose usará como un módulo de datos de cuco ( ref. ).
Captura de pantalla de la configuración de VsCode que muestra cómo configurar el directorio base (opción inferior) para el descubrimiento de muestras y datos del módulo.
La instalación es bastante sencilla. Lo que necesita es actualizar su complemento YLS VsCode y su instalación de YLS. VsCode debería poder actualizar el complemento automáticamente, en caso de cualquier problema, debería poder hacerlo manualmente desde la Extensionspestaña. Para actualizar YLS, ejecute el siguiente comando pip install -U yls-yarao, para obtener pasos más detallados, consulte la documentación de YLS .
Paquete Python
En caso de que también quieras usar el depurador mediante programación, hemos preparado enlaces de Python para YARI . Actualmente admitimos la plataforma Linux y Windows, pero es posible agregar una nueva. Esos enlaces también son el núcleo de la integración de YLS. Para usarlos, simplemente instale yari-pyel paquete usando pip, que también contiene compilado y vinculado libyara:
pip install yari-py
Una vez que todo esté instalado, podrá usar el siguiente código para evaluar expresiones (más información en la definición lib.rs del módulo Python):
import yari
try:
context = yari.Context(“/bin/sh”)
print(context.eval(“elf.number_of_sections”))
except yari.YariError as e:
print(str(e))
Los resultados de la expresión se convierten en tipos nativos de Python. Por ejemplo, las matrices de YARA se convierten en listas de Python para que pueda verificar la longitud utilizando las funciones integradas de Python. Lo mismo se aplica a las estructuras y diccionarios. Si desea obtener un booleano que represente si YARA considera la expresión como True, use la Context.eval_bool(‘expression’)función.
shell de línea de comandos
Para los usuarios avanzados, existe una aplicación de línea de comandos que genera un shell interactivo (inspirado en el shell de Python). Los usuarios pueden ingresar expresiones YARA y se muestran los resultados. El binario del depurador acepta parámetros similares a los del yarabinario original.
Sesión de depuración binaria de Yari-cli /bin/shcargada como muestra.
Arquitectura
Hemos decidido implementar el depurador en el lenguaje Rust . La implementación actual consta de tres cajas:
yari-sys: El núcleo y el puente a libyara. Las evalfunciones implementadas y las Contextestán aquí.
yari-cli: interfaz de línea de comandos para YARI.
yari-py: Enlaces de Python.
Yari-sys es un contenedor alrededor de libyara que agrega la funcionalidad del depurador encima. Los enlaces FFI se generan utilizando bindgen . También creamos un pequeño analizador para el subconjunto de expresiones YARA usando nom . Esta funcionalidad principal se expone luego mediante diferentes interfaces. Yari-cli usa rustyline para crear un shell interactivo donde los usuarios pueden evaluar varias expresiones. De manera similar, yari-py crea definiciones para un nuevo módulo de python utilizando maturin y pyo3 .
Conclusión
En esta publicación de blog, presentamos una nueva herramienta llamada YARI que se puede usar para depurar las reglas de YARA de manera efectiva. Las fuentes están disponibles en el repositorio de avast/yari. Nos encantaría escuchar los comentarios de la comunidad. Si tiene alguna idea o encuentra algún problema, no dude en contactarnos. Siéntase libre de abrir incidencias o extraer solicitudes, realmente lo apreciamos.
La creciente aparición de ataques deepfake está remodelando significativamente el panorama de amenazas. Estas falsificaciones traen ataques como el compromiso de correo electrónico comercial (BEC) y el desvío de verificación de identidad a nuevos niveles.
En 2020, EUROPOL y el Instituto Interregional de Investigaciones sobre la Delincuencia y la Justicia de las Naciones Unidas (UNICRI), describieron los usos maliciosos de la inteligencia artificial y también el uso y abuso de tecnologías deepfake por parte de los ciberdelincuentes. De hecho, esta predicción no tardó mucho en hacerse realidad: en la actualidad, ya estamos observando ataques que ocurren en la naturaleza.
La creciente aparición de ataques deepfake está remodelando significativamente el panorama de amenazas para organizaciones, instituciones financieras, celebridades, figuras políticas e incluso personas comunes. El uso de deepfakes trae ataques como el compromiso de correo electrónico comercial (BEC) y el desvío de verificación de identidad a nuevos niveles.
Hay varias condiciones previas y razones por las que estos ataques han tenido éxito:
Todos los pilares tecnológicos están en su lugar. El código fuente para la generación de deepfakes es público y está disponible para cualquiera que desee usarlo.
La cantidad de imágenes disponibles en público es suficiente para que los malos actores creen millones de identidades falsas utilizando tecnologías de falsificación profunda.
Los grupos criminales son los primeros en adaptar tales tecnologías y discuten regularmente el uso de tecnologías deepfake para aumentar la efectividad de los esquemas de monetización y lavado de dinero existentes.
Estamos viendo tendencias de implementación de deepfake en escenarios de ataques más nuevos, como en ataques de ingeniería social, donde los deepfakes son un habilitador tecnológico clave.
La empresa trendmicro examino cómo se ha desarrollado y evolucionado esta tendencia emergente en los últimos años.
Identidades robadas en estafas promocionales deepfake
Se ha vuelto común ver imágenes de personas famosas utilizadas en campañas dudosas de optimización de motores de búsqueda (SEO) en sitios de noticias y redes sociales. Por lo general, los anuncios están relacionados de alguna manera con la experiencia de la celebridad seleccionada y están diseñados específicamente para atraer a los usuarios y hacer que seleccionen enlaces debajo de las imágenes.
La Figura 1, por ejemplo, muestra una captura de pantalla tomada el 13 de septiembre de 2022 de anuncios en el sitio de noticias alemán N-TV. Vemos que el anuncio presenta a personas conocidas que probablemente no saben que se están utilizando sus imágenes. Si un usuario selecciona estos anuncios, aparece una página con un anuncio de automóvil (como se ve en el lado derecho de la figura). Seleccionar un anuncio similar conduce a otra página promocional (que se ve en la Figura 2).
Figura 1. Una captura de pantalla del anuncio en la página de N-TV (izquierda) y un anuncio de automóvil que aparece cuando un usuario selecciona ese anuncio (derecha)
Figura 2. Una página promocional que se abre después de que un usuario selecciona un anuncio similar
Grupos publicitarios sin escrúpulos llevan años utilizando este tipo de contenidos mediáticos en diferentes esquemas de monetización. Sin embargo, últimamente hemos visto novedades interesantes en estos anuncios, así como un cambio en la tecnología que habilita estas campañas.
Recientemente, algunos grupos de monetización de medios digitales y SEO han estado utilizando contenido de medios compartido públicamente para crear modelos falsos de personas famosas. Estos grupos utilizan las personalidades de celebridades e influencers sin su consentimiento, distribuyendo el contenido de deepfake para diferentes campañas promocionales.
Uno de esos ejemplos se destaca en la Figura 3. Se vio una campaña promocional en Meta con Chris Sistrunk , un experto en seguridad cibernética. En particular, no era un patrocinador del producto presentado en la campaña, ni dijo nada del contenido que estaba en el video del anuncio.
Figura 3. Un deepfake generado a partir de registros de medios públicos de un experto en ciberseguridad utilizado en una campaña publicitaria en Meta
Uno de los autores de este artículo también vio anuncios en aplicaciones móviles legítimas y populares que usaban no solo imágenes estáticas sino también videos falsos de Elon Musk para anunciar “oportunidades de inversión financiera”.
Figura 4. Un deepfake de Elon Musk en un anuncio de Duolingo;
cuando un usuario selecciona el anuncio, lo lleva a una página que, cuando se traduce, dice “Oportunidades de inversión;
invierte 250€, gana desde 1000€.”
La siguiente escalada de las falsificaciones profundas es la capacidad de realizar videollamadas haciéndose pasar por personas conocidas.
El tema de los servicios deepfake es bastante popular en los foros clandestinos. En estos grupos de discusión, vemos que muchos usuarios apuntan a la banca en línea y la verificación de finanzas digitales. Es probable que los delincuentes interesados en estos servicios ya posean copias de los documentos de identificación de las víctimas, pero también necesitan una transmisión de video de las víctimas para robar o crear cuentas. Estas cuentas podrían usarse más tarde para actividades maliciosas como el lavado de dinero o transacciones financieras ilícitas.
Deepfakes en el subsuelo
Los ataques clandestinos delictivos mediante herramientas y técnicas de verificación han experimentado una notable evolución. Por ejemplo, vemos que los servicios de verificación de cuentas han estado disponibles desde hace bastante tiempo. Sin embargo, a medida que el comercio electrónico evolucionó utilizando tecnología moderna y sistemas de chat en línea para la verificación de identidad, los delincuentes también desarrollaron sus técnicas y desarrollaron nuevos métodos para eludir estos esquemas de verificación.
En 2020 y principios de 2021, ya vimos que algunos usuarios de foros clandestinos buscaban “especialistas en falsificación profunda” para intercambio de criptomonedas y cuentas personales.
Figura 5. Usuarios del foro clandestino que buscan un especialista en falsificación profunda para ayudarlos con el intercambio de rostros de video
De hecho, algunas herramientas para la producción de deepfakes están disponibles en línea desde hace un tiempo, por ejemplo, en GitHub . También vemos que las herramientas para la detección de deepfake y deepfake han estado atrayendo la atención en los foros clandestinos.
Figura 6. Herramientas para detección de deepfake y deepfake
Recientemente, se publicó una noticia sobre un deepfake de un ejecutivo de comunicaciones en el sitio de intercambio de criptomonedas Binance. La falsificación se usó para engañar a representantes de proyectos de criptomonedas en llamadas de Zoom.
Como se ve en la Figura 7, que muestra conversaciones del mismo hilo clandestino en la Figura 6, hubo discusiones sobre cómo eludir la verificación de Binance usando deepfakes. Desde 2021, los usuarios han estado tratando de encontrar formas de pasar por la identificación cara a cara de Binance.
Figura 7. Una imagen de un foro clandestino que discute deepfakes y el proceso de verificación de identidad de Binance
Por el lado de las herramientas, también hay bots fáciles de usar que facilitan aún más el proceso de creación de videos falsos. Un ejemplo es el bot de Telegram, RoundDFbot.
Figura 8. Bots de Telegram que crean videos falsos
Estos videos falsos ya se están utilizando para causar problemas a figuras públicas. Las celebridades, los funcionarios gubernamentales de alto rango, las figuras corporativas conocidas y otras personas que tienen muchas imágenes y videos de alta resolución en línea son los objetivos más fáciles. Vemos que las estafas de ingeniería social usando sus rostros y voces ya están proliferando.
Dadas las herramientas y la tecnología deepfake disponible, podemos esperar ver aún más ataques y estafas destinadas a manipular a las víctimas a través de falsificaciones de voz y video.
Cómo los deepfakes pueden afectar los ataques, las estafas y los esquemas de monetización existentes
Deepfakes puede ser adaptado por actores criminales para actividades maliciosas actuales, y ya estamos viendo la primera ola de estos ataques. La siguiente es una lista de ataques existentes y ataques que podemos esperar en un futuro cercano:
• Estafas de mensajería. Hacerse pasar por un administrador de dinero y llamar para solicitar una transferencia de dinero ha sido una estafa popular durante años, y ahora los delincuentes pueden usar deepfakes en las videollamadas. Por ejemplo, podrían hacerse pasar por alguien y contactar a sus amigos y familiares para solicitar una transferencia de dinero o solicitar una simple recarga en el saldo de su teléfono.
• BEC. Este ataque ya fue bastante exitoso incluso sin deepfakes . Ahora los atacantes pueden usar videos falsos en llamadas, hacerse pasar por ejecutivos o socios comerciales y solicitar transferencias de dinero.
• Confección de cuentas. Los delincuentes pueden usar deepfakes para eludir los servicios de verificación de identidad y crear cuentas en bancos e instituciones financieras, posiblemente incluso en servicios gubernamentales, en nombre de otras personas, usando copias de documentos de identidad robados. Estos delincuentes pueden usar la identidad de una víctima y eludir el proceso de verificación, que a menudo se realiza a través de videollamadas. Dichas cuentas pueden usarse más tarde para el lavado de dinero y otras actividades maliciosas.
• Secuestro de cuentas. Los delincuentes pueden apoderarse de cuentas que requieren identificación mediante videollamadas. Pueden secuestrar una cuenta financiera y simplemente retirar o transferir fondos. Algunas instituciones financieras requieren verificación de video en línea para habilitar ciertas funciones en las aplicaciones de banca en línea. Obviamente, tales verificaciones también podrían ser objeto de ataques deepfake.
• Chantaje. Usando videos falsos, los actores maliciosos pueden crear una extorsión más poderosa y otros ataques relacionados con la extorsión. Incluso pueden plantar pruebas falsas creadas con tecnologías deepfake.
• Campañas de desinformación. Los videos deepfake también crean campañas de desinformación más efectivas y podrían usarse para manipular la opinión pública. Ciertos ataques, como los esquemas de bombeo y descarga, se basan en mensajes de personas conocidas. Ahora estos mensajes se pueden crear utilizando tecnología deepfake. Estos esquemas ciertamente pueden tener repercusiones financieras, políticas e incluso reputacionales.
• Estafas de soporte técnico. Los actores de deepfake pueden usar identidades falsas para crear ingeniería social para que los usuarios desprevenidos compartan credenciales de pago u obtengan acceso a activos de TI .
• Ataques de ingeniería social. Los actores maliciosos pueden usar deepfakes para manipular a amigos, familiares o colegas de una persona suplantada. Por lo tanto , los ataques de ingeniería social, como aquellos por los que Kevin Mitnick fue famoso, pueden dar un nuevo giro.
• Secuestro de dispositivos de Internet de las cosas (IoT). Los dispositivos que usan reconocimiento de voz o rostro, como Alexa de Amazon y muchas otras marcas de teléfonos inteligentes, estarán en la lista de objetivos de los delincuentes falsificados.
Conclusión y recomendaciones de seguridad
Ya estamos viendo la primera ola de actividades delictivas y maliciosas que utilizan deepfakes. Sin embargo, es probable que haya ataques más serios en el futuro debido a los siguientes problemas:
Hay suficiente contenido expuesto en las redes sociales para crear modelos falsos para millones de personas. Las personas de todos los países, ciudades, pueblos o grupos sociales en particular tienen sus redes sociales expuestas al mundo.
Todos los pilares tecnológicos están en su lugar. La implementación de ataques no requiere una inversión significativa y los ataques pueden ser lanzados no solo por estados nacionales y corporaciones, sino también por individuos y pequeños grupos criminales.
Los actores ya pueden suplantar y robar las identidades de políticos, ejecutivos de alto nivel y celebridades. Esto podría aumentar significativamente la tasa de éxito de ciertos ataques, como esquemas financieros, campañas de desinformación de corta duración, manipulación de la opinión pública y extorsión.
Las identidades de la gente común están disponibles para ser robadas o recreadas a partir de los medios expuestos públicamente. Los ciberdelincuentes pueden robar a las víctimas suplantadas o usar sus identidades para actividades maliciosas.
La modificación de modelos deepfake puede dar lugar a la aparición masiva de identidades de personas que nunca existieron. Estas identidades se pueden utilizar en diferentes esquemas de fraude. Ya se han visto indicadores de tales apariciones en la naturaleza.
¿Qué pueden hacer las personas y las organizaciones para abordar y mitigar el impacto de los ataques deepfake? Tenemos algunas recomendaciones para usuarios comunes, así como para organizaciones que usan patrones biométricos para validación y autenticación. Algunos de estos métodos de validación también podrían automatizarse e implementarse en general.
Un enfoque de autenticación de múltiples factores debe ser estándar para cualquier autenticación de cuentas confidenciales o críticas.
Las organizaciones deben autenticar a un usuario con tres factores básicos: algo que el usuario tiene, algo que el usuario sabe y algo que el usuario es. Asegúrese de que los elementos de “algo” se elijan sabiamente.
La capacitación de concientización del personal, realizada con muestras relevantes, y el principio de conocer a su cliente (KYC) son necesarios para las organizaciones financieras. La tecnología deepfake no es perfecta, y hay ciertas señales de alerta que el personal de una organización debe buscar.
Los usuarios de las redes sociales deben minimizar la exposición de imágenes personales de alta calidad.
Para la verificación de cuentas sensibles (por ejemplo, perfiles bancarios o corporativos), los usuarios deben priorizar el uso de patrones biométricos que están menos expuestos al público, como iris y huellas dactilares.
Se requieren cambios significativos en las políticas para abordar el problema a mayor escala. Estas políticas deben abordar el uso de datos biométricos actuales y previamente expuestos. También deben tener en cuenta el estado actual de las actividades delictivas cibernéticas y prepararse para el futuro.
Las implicaciones de seguridad de la tecnología deepfake y los ataques que la emplean son reales y perjudiciales. Como hemos demostrado, no solo las organizaciones y los ejecutivos de nivel C son víctimas potenciales de estos ataques, sino también las personas comunes. Dada la amplia disponibilidad de las herramientas y servicios necesarios, estas técnicas son accesibles para grupos y atacantes técnicamente menos sofisticados, lo que significa que las acciones maliciosas podrían ejecutarse a gran escala.
El hacker también ha decidido no vender los datos de los clientes de Optus robados a nadie.
Un hacker que supuestamente se dirigió a la segunda empresa de telecomunicaciones más grande de Australia, Optus, y obtuvo datos de millones de australianos, ha publicado más registros en línea. Previamente, el hacker solicitó un pago de rescate de aproximadamente $ 1 millón a cambio de registros de clientes. Sin embargo, el martes, el atacante se retractó de esta demanda.
Optus Hacker publicó una disculpa después de publicar un nuevo conjunto de datos
El lunes, el presunto atacante publicó un conjunto de datos inicial de los clientes de Optus, que contenía 200 registros. El hacker subió el archivo de texto de estos registros en un sitio web de violación de datos y afirmó que seguiría filtrando 10,000 registros nuevos todos los días durante los próximos cuatro días si Optus no aceptaba pagar el rescate en la criptomoneda Monero .
Sin embargo, el hacker borró sorprendentemente la amenaza de extorsión luego de publicar el último lote de 10,000 registros. El hacker también se disculpó con la empresa al editar la publicación original de la violación de datos, revelando que los datos robados se eliminaron y que lamentaba la violación.
“Demasiados ojos. No venderemos datos a nadie. No podemos, incluso si queremos: datos eliminados personalmente de la unidad (solo copia)”, decía la publicación editada.
El presunto hacker de Optus dijo que lamentaba a los australianos afectados por la violación.
“Australia no verá ganancias en el fraude, esto puede ser monitoreado. Quizás para 10.200 australianos pero el resto de la población no. Lo siento mucho por ti.
Sin embargo, este cambio de opinión puede no ofrecer mucho consuelo a los clientes de Optus.
Optus hacker en un foro de hackers
Información filtrada
Los datos robados incluyen nombres, direcciones de correo electrónico, fechas de nacimiento, números de pasaporte, números de licencia de conducir, números de teléfono, direcciones y números de Medicare de los clientes de Optus. También incluye más de una docena de identificaciones de correo electrónico del gobierno federal y estatal.
Además, los datos comprometidos también tenían cuatro correos electrónicos del departamento de defensa y uno del departamento y gabinete del primer ministro.
Cobertura anterior
Según lo informado , Optus confirmó la violación de datos el jueves, alegando que los datos personales de sus clientes podrían haberse visto comprometidos en la violación.
Según se informa, los atacantes accedieron a la base de datos de identidad de clientes de la empresa y la expusieron a otros sistemas mediante la explotación de la interfaz de programación de aplicaciones. Optus cree que su red estuvo expuesta a una red de prueba con acceso a Internet.
Última actualización
El hacker culpó a la débil seguridad de Optus por la filtración de datos y criticó a la compañía por la ausencia de cualquier mecanismo para reportar un exploit. Por el contrario, Optus afirma que la brecha fue el resultado de un ataque sofisticado.
No está claro si el presunto hacker de Optus fue el único que accedió a los datos o si estuvo expuesto a otra parte. El FBI y la policía federal australiana han colaborado para descubrir al atacante y quién accedió a los datos. Hasta que se atrape al perpetrador, los estafadores pueden tener un día de campo ya que ya se están preparando para sacar provecho de los datos filtrados.
Según el Commonwealth Bank of Australia, bloquearon una cuenta que intentaba extorsionar $2,000 a una de las víctimas de la violación de datos de Optus.
Una de las noticias más importantes del fin de semana ni siquiera fue noticia. Pero eso no impidió que los informes erróneos sobre un golpe de estado en China dominaran Twitter y, en última instancia, obtuvieran tiempo de transmisión en uno de los canales de noticias más vistos de la India.
Los rumores sobre el arresto domiciliario del presidente de China, Xi Jinping, comenzaron a surgir después de que un periodista chino exiliado publicara especulaciones en Twitter sobre cancelaciones masivas de vuelos. A partir de ahí, una personalidad china de YouTube y una red de medios asociada con el movimiento espiritual Falun Gong, prohibido en China en 1999, tuiteó que Xi había sido derrocado. La personalidad de YouTube, Jennifer Zeng, incluso compartió un clip de un convoy militar para aclarar el punto.
I wake up to DMs, and find a twitter feed full of unverified rumors about Xi Jinping under arrest in a palace coup.
It appears to be a complete falsehood at this point, but the spread of the rumor indicates belief in its plausibility.
#PLA military vehicles heading to #Beijing on Sep 22. Starting from Huanlai County near Beijing & ending in Zhangjiakou City, Hebei Province, entire procession as long as 80 KM. Meanwhile, rumor has it that #XiJinping was under arrest after #CCP seniors removed him as head of PLA pic.twitter.com/hODcknQMhE
Poco después, el corresponsal en Beijing de un medio de comunicación alemán lanzó un tuit que cubría sarcásticamente el “golpe” como si fuera una noticia real. La “historia” del reportero alemán fue luego cubierta como “noticias de última hora” por un importante canal de noticias de televisión en la India. Newsweek publicó una historia el sábado que cubría lo que llamó “circulación de rumores no probados” de que un general del Ejército Popular de Liberación había “reemplazado” a Xi.
Today in Beijing, I investigated the #chinacoup so you don’t have to. At considerable personal risk, I ventured out to some neuralgic key points in the city. Disturbing finds. Brace yourselves. /1 pic.twitter.com/z4CJYpQbbk
A sarcastic thread by @schorselysees on #ChinaCoup was picked up by 'India's most viewed English/Hindi News Channel' @republic@Republic_Bharat, The pics shared in the twitter thread were shown by the channel as 'Exclusive Pics'. That's the state of most TV News channels in India pic.twitter.com/06GFuZmSJ6
El experto en redes sociales y profesor Marc Owen Jones descargó todos los tuits que contenían el hashtag “golpe de China” y encontró cerca de 32.000 interacciones y tuits hasta el domingo por la mañana.
[Thread] 1/ I downloaded all the tweets on the "china coup" hashtag. It was trending yesterday and consists of around 32,000 interactions and tweets, all of which can be seen here. This is likely to be a complete set of tweets until the current date. What does it show? pic.twitter.com/qBSeHFFHMH
“El hecho de que estos rumores salvajes hayan llegado a la esfera de expertos observadores de China en línea es bastante notable. Realmente habla de cuán opaca se ha vuelto China en los últimos años, después de COVID”.
KENTON THIBAUT, LABORATORIO DE INVESTIGACIÓN FORENSE DIGITAL DEL CONSEJO ATLÁNTICO
La narrativa falsa es uno de los primeros ejemplos de un tuit que “cuestiona los cimientos del sistema político chino” que se vuelve viral, dijo Kenton Thibaut, un experto en China del Laboratorio de Investigación Forense Digital del Atlantic Council. Thibaut dijo que el canal de televisión indio pudo haber recogido el tuit debido a las tensiones de la semana pasada con los indios que viven en áreas fronterizas chinas en disputa.
También hay una creciente tensión política en China. En los últimos días, las purgas de altos funcionarios han cautivado a Beijing y se espera que una importante reunión del partido gobernante de China el próximo mes resulte en un tercer mandato sin precedentes para Xi. Aún así, Thibaut dijo que estaba sorprendida de que los rumores llegaran a la corriente principal, con observadores respetados de China como Bill Bishop publicando noticias desacreditando la historia el domingo.
Iniciar rumores de golpe “es un comportamiento típico de los disidentes chinos, sucede todo el tiempo”, dijo Cary. “Sucede con frecuencia y sucede cada vez que Xi Jinping no está en las noticias o en un video durante cinco días seguidos”.
Cary dijo que Jinping estaba fuera del ojo público a fines de julio y se difundieron rumores de una enfermedad grave. Ahora, el hecho de que las ilusiones disidentes hayan aparecido en los titulares de todo el mundo preocupa a Cary.
Es un caso de libro de texto de cuán lejos y rápido se propaga la desinformación en línea. Más allá de eso, también refuerza el hecho de que la agitación política, la especulación salvaje y las publicaciones en las redes sociales sin control pueden ser una combinación extremadamente potente.
El adolescente fue arrestado en Oxfordshire y todavía está bajo custodia policial, pero su participación en los hackeos de Uber y GTA no está confirmada.
La policía de la ciudad de Londres arrestó a un adolescente de diecisiete años por sospecha de hackeo en medio de las recientes violaciones de seguridad en Uber y GTA 6 de Rockstar Games . Vale la pena señalar que el papel del adolescente en estos hacks aún no está confirmado.
Detalles del arresto
El adolescente fue arrestado en Oxfordshire y todavía está bajo custodia policial. Sin embargo, los funcionarios aún no han compartido más detalles sobre el arresto y se negaron a confirmar si el adolescente fue arrestado por los recientes incidentes de hacking de alto perfil, incluidos Uber y GTA 6 de Rockstar Games.
On the evening of Thursday 22 September 2022, the City of London Police arrested a 17-year-old in Oxfordshire on suspicion of hacking, as part of an investigation supported by the @NCA_UK’s National Cyber Crime Unit (NCCU).
Según el tuit del departamento, el arresto fue parte de una investigación en curso llevada a cabo en colaboración con la unidad de delitos cibernéticos de la Agencia Nacional del Crimen del Reino Unido. La policía no compartió ningún otro detalle.
Para su información, hace un par de meses, la policía de Londres arrestó y liberó a 7 adolescentes en relación con una investigación sobre la pandilla de hackers LAPSUS$ .
Lapsus$ es un notorio grupo de hackers adolescentes que busca principalmente el código fuente de empresas tecnológicas grandes y de alto perfil. Algunos de sus ataques anteriores y exitosos incluyen Samsung , Microsoft , Nvidia , Okta y Ubisoft .
El hacker de Uber y GTA 6 también afirmó tener acceso al código fuente de ambas compañías.
Hackeo de Uber y Rockstar Games
El Hackeo de Uber provocó la detención de los sistemas internos de la empresa durante algún tiempo. Por el contrario, Rockstar Games sufrió una intrusión en la red que provocó la filtración de imágenes inéditas de Grand Theft Auto 6.
Se cree que los dos ataques fueron cometidos por el mismo hacker, identificado como Tea Pot o “teapotuberhacker”.
Uber, por otro lado, ha culpado a los hackers de LAPSUS$ por la violación, alegando que los atacantes están vinculados con la banda de extorsión de LAPSUS$ que ha permanecido activa durante el último año.
Cabe señalar que el hacker de Rockstar Games también se atribuyó la responsabilidad del hackeo de Uber en su Telegram y en el foro de GTA dirigido por fanáticos. Se supone que “teapotuberhacker” es un cabecilla de LAPSUS$.
La Comisión Europea establece nuevas reglas que rigen la ciberseguridad de todos los dispositivos conectados a la red vendidos en la UE.
La Comisión Europea ha propuesto una legislación de resiliencia cibernética que podría conducir a etiquetas de ciberseguridad y sanciones para los fabricantes de dispositivos con características y prácticas de ciberseguridad de mala calidad.
La ley propuesta cubre el hardware y software de “productos con elementos digitales” vendidos en la Unión Europea y conectados a cualquier red.
La propuesta de la Ley de resiliencia cibernética (CRA) cubre la mayoría de los dispositivos conectados a la red, excepto los dispositivos médicos para uso humano, y excluye el “software gratuito y de código abierto desarrollado o suministrado fuera del curso de una actividad comercial”. Lo que describe como “sistemas de inteligencia artificial de alto riesgo” y los sistemas de registros médicos electrónicos entran dentro del alcance.
Entre otros requisitos, una vez vendidos, los fabricantes deben asegurarse de que durante la vida útil esperada del producto o durante un período de cinco años (el que sea más corto), las vulnerabilidades de seguridad se “manejen de manera efectiva”.
Los fabricantes de dispositivos deberán informar las vulnerabilidades explotadas activamente a la autoridad europea de seguridad cibernética ENISA dentro de las 24 horas posteriores a su conocimiento, así como informar inmediatamente a los usuarios.
La CRA tiene como objetivo cerrar las brechas en la legislación actual de la UE y complementar la Red y los Sistemas de Información existentes (Directiva NIS), la Directiva NIS 2 recientemente adoptada (que cubre SaaS y proveedores de nube) y la Ley de Ciberseguridad de la UE.
“Cuando se trata de ciberseguridad, Europa es tan fuerte como su eslabón más débil: ya sea un Estado miembro vulnerable o un producto inseguro a lo largo de la cadena de suministro”, dijo Thierry Breton, comisario de Mercado Interior.
Breton dijo que cientos de millones de computadoras, teléfonos, electrodomésticos, dispositivos de asistencia virtual, automóviles y juguetes son un punto de entrada potencial para un ataque cibernético. “Y, sin embargo, hoy en día la mayoría de los productos de hardware y software no están sujetos a ninguna obligación de ciberseguridad. Al introducir la ciberseguridad por diseño, la Ley de Resiliencia Cibernética ayudará a proteger la economía de Europa y nuestra seguridad colectiva”.
Una vez que entre en vigor, los fabricantes tendrán 24 meses para cumplir. Para entonces, el software y los dispositivos conectados deberán llevar la marca CE para indicar el cumplimiento de los nuevos estándares de ciberseguridad. Las autoridades nacionales podrán imponer multas de hasta 15 millones de euros (15 millones de dólares) o hasta el 2,5 % de la facturación anual mundial de la empresa durante el ejercicio fiscal anterior, lo que sea mayor.
La UE planea calificar diferentes productos como Clase II o Clase I según los impactos negativos que pueda tener un incidente cibernético. La clase I incluye una gama de hardware y software de seguridad. La clase II incluye todo, desde sistemas operativos hasta procesadores, enrutadores, tarjetas inteligentes, dispositivos IoT, sensores robóticos y sistemas de control y automatización industrial.
También requerirá que los fabricantes tengan una “política coordinada de divulgación de vulnerabilidades” que especifique cómo se envían los informes de terceros y permite programas de recompensas por vulnerabilidades.
Las empresas importadoras también deben asegurarse de que los productos vendidos en la UE cumplan con la CRA, tengan marcas CE y proporcionen sus datos de contacto en los productos. Deberán conservar la documentación de conformidad del producto durante 10 años después de venderlo.
El Parlamento Europeo y el Consejo tendrán que examinar ahora el proyecto de CRA y votar su texto final. Una vez adoptado, los fabricantes y los estados miembros tienen dos años para adaptarse a los nuevos requisitos.
La campaña de malware está en curso y uno de sus objetivos fue el banco ICICI en India.
El equipo de investigación de Microsoft 365 Defender ha publicado sus hallazgos sobre una nueva versión de un malware para Android que roba información, y destaca que los actores de amenazas evolucionan continuamente su espectro de ataque.
Resultados de la investigación
Según los investigadores de Microsoft, el malware se entrega en una campaña de SMS actualmente activa y se hace pasar por una aplicación de recompensas bancarias. Los objetivos principales de la campaña son los clientes de bancos indios. Comienza con los actores de amenazas que envían mensajes que contienen una URL que básicamente atrae al destinatario para que descargue el malware .
Tras la interacción del usuario, muestra una pantalla de bienvenida con el logotipo del banco y procede a pedirle al usuario que habilite permisos específicos para la aplicación.
La cadena de infección comienza con un mensaje SMS que solicita al destinatario que reclame una recompensa de un banco indio . Este mensaje contiene un enlace malicioso que redirige al usuario a descargar una aplicación de recompensas bancarias falsas. Esta aplicación se detecta como: “TrojanSpy:AndroidOS/Banker.O”
El servidor C2 de la aplicación está vinculado a 75 APK maliciosos diferentes, todos los cuales se basan en inteligencia de código abierto. El equipo de investigación identificó muchas otras campañas dirigidas a clientes de bancos indios, entre ellas:
Icici_puntos.apk
Icici_rewards.apk
SBI_recompensas.apk
Axisbank_rewards.apk
Su investigación giró en torno a icici_rewards.apk, representado como ICICI Rewards. El enlace malicioso dentro del mensaje SMS instala el APK en el dispositivo móvil del destinatario. Después de la instalación, una pantalla de inicio que muestra el logotipo del banco le pide al usuario que habilite permisos específicos para la aplicación.
SMS bancarios falsos con un enlace malicioso – Aplicación maliciosa que solicita permiso – Aplicación maliciosa que solicita datos del usuario
Análisis de malware
Según la publicación del blog de Microsoft , lo que hace que esta nueva versión sea diferente es la inclusión de capacidades adicionales de RAT (troyano de acceso remoto). Además, este malware está muy ofuscado. Sus capacidades RAT permiten a los atacantes interceptar notificaciones críticas de dispositivos, por ejemplo, mensajes entrantes, y también intentar capturar mensajes 2FA que el usuario necesita para acceder a aplicaciones bancarias/financieras.
El malware puede robar todos los mensajes SMS y otros datos, como PII (información de identificación personal) OTP (contraseña de un solo uso), para ayudar a robar información confidencial para cuentas de correo electrónico.
El malware se ejecuta en segundo plano, utilizando las funciones MainActivity, AutoStartService y RestartBroadCastReceiverAndroid para llevar a cabo sus rutinas y garantizar que sigan ejecutándose para mantener la persistencia en el dispositivo móvil.
MainActivity (actividad de inicio) se inicia primero para mostrar la pantalla de inicio y luego llama al método OnCreate() para verificar la conexión a Internet del dispositivo. También registra la marca de tiempo de instalación del malware. Permission_Activity lanzó solicitudes de permiso y luego llamó AutoStartService, el controlador principal del malware, y login_kotak.
Flujo de ataque de campaña de SMS
La continua evolución de este malware destaca la necesidad de proteger los dispositivos móviles. Sus capacidades más amplias de robo de SMS podrían permitir a los atacantes robar los datos robados de otras aplicaciones bancarias del usuario. Su capacidad para interceptar contraseñas de un solo uso (OTP) enviadas a través de SMS frustra las protecciones proporcionadas por los mecanismos de autenticación de dos factores de los bancos, en los que confían los usuarios y las instituciones para mantener sus transacciones seguras.
Equipo de investigación de Microsoft 365 Defender
Para mitigar la amenaza, los usuarios de dispositivos Android deben deshabilitar la opción Fuentes desconocidas para evitar la instalación de aplicaciones de fuentes no verificadas. Y deben confiar en soluciones de seguridad móvil creíbles para detectar aplicaciones maliciosas.
Según un mensaje en la lista de correo de tor-relays, la policía allanó a un operador de nodo de salida de Tor en Alemania.
Volker escribió que los agentes de la ley lo allanaron porque “algunos nazis usaron TOR para enviar correos electrónicos nazis a varias escuelas en Alemania”. Las autoridades lo acusaron de Volksverhetzung, que es “incitación al odio” (que en Alemania significa “ insultar… a segmentos de la población ”).
El nodo de Volker aparece en Exonera Tor
El operador era fumador de marihuana (ilegal), por lo que ahora está potencialmente en problemas por posesión de marihuana.
Hi folks.
On Tuesday morning police knocked on my door, performing a full house search.
Some Nazis used TOR to send nazi-emails to several schools in Germany.
Unfortunately their mails left one of my Exit Servers from dark- to
clearweb, so an ip address, registered on my name, was the last stamp.
Now im accused of Volksverhetzung (german, try to find a good translation).
It means spreading bad nazi bullshit to the internet.
I can take this down by showing them German Telemediengesetz §8, which
protects TOR operators in Germany.
Unfortunately they found some dope (yea, 420guy here) during the house
search, which makes thing even more complicated.
Now I am considering shutting down all my exits.
I promise you guys, there is nothing more bad than a police house search in
the early morning hourse. Even a burglary would be less worse. Burglars
come, steal, go and you never hear again from them.
Police comes, searches through all your belongings, destroys your privacy,
is allowed to take ALL what they want - and they will send you bad bad
letters afterwards.
What are your thoughts about this?
Best regards,
volker
inb4 un estadounidense hace una broma sobre la libertad de expresión como si pudiera decir algo ofensivo en los Estados Unidos usando su nombre real sin perder su trabajo y cerrar sus cuentas bancarias. ¿Y por qué estás enviando correos electrónicos a las escuelas? ¿ Tratando de salir de clase ?
Esto solo se convertirá en un caso relacionado con Tor, en mi opinión, si las autoridades alemanas deciden perseguir al operador por la actividad que proviene de sus nodos de salida.
Esta parte es obviamente cierta, lol:
Les prometo que no hay nada más malo que un registro domiciliario por parte de la policía a
primera hora de la mañana. Incluso un robo sería menos peor. Los ladrones
vienen, roban, se van y nunca más se sabe de ellos.
Viene la policía, registra todas sus pertenencias, destruye su privacidad,
se le permite tomar TODO lo que quiere, y luego le enviarán malas cartas.
El panorama en constante cambio de la tecnología es un espectáculo fascinante, pero no todos los jugadores están trabajando para bien. La aparición de una asombrosa realidad virtual y un software útil también atrae a los hackers. Siga estos pasos para mantenerse a salvo de los ataques de ransomware y defender la información personal.
Los objetivos del ransomware
En Estados Unidos, 3728 personas u organizaciones fueron víctimas de ataques de ransomware en 2021, con decenas de millones de dólares perdidos. Estas huelgas son casos graves y pueden hacer que sus objetivos pierdan grandes cantidades de dinero.
El objetivo del ransomware es obtener un rescate de la información robada. A través de una descarga aparentemente segura, estos hackers obtienen acceso a los datos de sus víctimas y luego los amenazan hasta que les pagan. Uno de esos métodos de un ataque de ransomware es el enfoque de bloqueo.
Una vez dentro, el atacante congela todas las funciones del teclado y el ratón. Luego, una ventana emergente cubre la pantalla, exigiendo dinero o los datos serán eliminados o vendidos a otro comprador. El otro método que utilizan muchos atacantes es el ransomware criptográfico .
El atacante creará claves únicas que no permitirán que el propietario acceda a ellas. Los archivos ahora comenzarán a tener extensiones como .crypt o .encrypted. Afortunadamente, hay formas de prevenir estos ataques y crear un plan de seguridad.
Métodos de instalación
Comprender cómo los atacantes instalan ransomware en los dispositivos de su objetivo es vital. Los esquemas de phishing en los correos electrónicos pueden contener enlaces y archivos adjuntos que albergan ataques de ransomware.
A menudo se disfrazan de amigos o remitentes inocentes, y su apariencia intenta adormecer a su víctima con una sensación de seguridad antes de atacar.
Además de los enlaces dirigidos, los usuarios deben tener cuidado con las “descargas ocultas”. Frecuentar sitios web inseguros puede albergar ransomware que se descarga automáticamente incluso si el usuario no ha hecho clic en nada sospechoso.
Pasos para protegerse contra ransomware
Afortunadamente, hay varias formas de mantenerse a salvo de los ataques de ransomware. Las personas deben seguir estos pasos para proteger sus datos.
1. Mantenga el software actualizado
El ransomware evoluciona e intenta sortear las medidas de seguridad, por lo que los usuarios deben combinar esto con un nivel de precaución.
La mayoría de los entusiastas de la tecnología ya tienen instalado un software de seguridad en sus dispositivos. Sin embargo, todos necesitan recordatorios de actualización para que sus programas puedan ejecutarse de la manera más eficiente posible.
Además, considere configurar escaneos automáticos para que se ejecuten a intervalos establecidos. Esto asegura que nada se escape por las grietas.
2. Copia de seguridad de datos
El software de seguridad es vital, pero un enfoque proactivo requiere una copia de seguridad adecuada de los datos. Busque un servicio en la nube que coloque copias de documentos en un servidor de terceros.
Si el hacker compromete la copia original y la computadora personal, el usuario puede simplemente borrar el dispositivo y no preocuparse por las amenazas del atacante. El usuario tendrá la confianza de saber que sus documentos aún están seguros en la nube. Sin embargo, asegúrese de que las copias de seguridad también sean seguras.
Investigue las plataformas de intercambio en la nube de terceros y manténgase actualizado sobre sus protocolos de seguridad.
3. Manténgase en redes seguras
Aunque el Wi-Fi de la cafetería es tentador, puede correr el riesgo de sufrir ataques de ransomware.
El Wi-Fi público y gratuito a menudo no es tan seguro como las redes domésticas o de empleadores, por lo que es importante usar solo dispositivos con información confidencial en el hogar o en entornos confiables.
Una VPN puede garantizar una conexión segura fuera del hogar y la oficina si no hay forma de evitar el uso de Wi-Fi público.
4. Mantenga la seguridad de la contraseña
Cree contraseñas largas que parezcan aleatorias.
Para máxima seguridad, los expertos recomiendan usar una frase de contraseña de cuatro palabras inesperadas pero memorables unidas. La autenticación multifactor, los administradores de contraseñas y las preguntas de seguridad también son buenas opciones para mantener la privacidad en todas las cuentas.
5. Haga clic con precaución
Siempre tenga cuidado al abrir enlaces y archivos adjuntos de correo electrónico.
Recuerde que los atacantes de ransomware disfrazan sus ataques como rostros familiares o amistosos para engañar a sus objetivos.
Incluso si el remitente parece auténtico, verifique dos veces su dirección para ver la validez del correo electrónico.
Las notificaciones de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISCA) actualizan a los usuarios sobre nuevas prácticas de selección de ransomware o consejos adicionales para la protección.
Los dueños de negocios también deberían considerar agregar capacitación sobre ransomware para los empleados. Saber cómo reconocer un correo electrónico no deseado o un enlace sospechoso puede tener un gran impacto en la seguridad de los datos de la empresa.
Qué hacer si ocurre un ataque
Si el atacante del ransomware ha violado las medidas de seguridad, los siguientes pasos dependen del tipo de dispositivo.
Las personas cuyos dispositivos personales se han visto afectados necesitan la ayuda de una autoridad como el FBI.
Los empleados en las computadoras del trabajo deben comunicarse con los profesionales de TI y seguridad de las oficinas internas.
Después de que la ayuda profesional haya eliminado el ransomware, el usuario debe cambiar todas las contraseñas y actualizar sus medidas de seguridad.
Mantenerse a salvo del ransomware
Ransomware parece una perspectiva aterradora para muchas personas, pero cualquiera puede protegerse de estas amenazas con la educación y las herramientas adecuadas. Siga estos pasos para maximizar la seguridad en todos los dispositivos y construir un muro impenetrable contra los ataques de ransomware.
Un grupo de hackers que se ha centrado principalmente en objetivos centroamericanos publicó el lunes aproximadamente 10 terabytes de correos electrónicos y otros materiales de agencias militares y policiales en Chile, México, El Salvador, Colombia y Perú.
Indígenas mapuche chilenos y sus partidarios chocan con la policía antidisturbios durante una protesta contra el gobierno de Chile frente al edificio del Congreso en Valparaíso, Chile, el 4 de noviembre de 2021.
El volcado de datos es el último lanzamiento del grupo que se ha centrado en infiltrarse en empresas mineras, petroleras, la policía y varias agencias reguladoras latinoamericanas desde marzo de 2022.
La liberación del grupo de hackers, que se hace llamar Guacamaya por un tipo de ave nativa de América Central y del Sur, sigue un patrón de apuntar a entidades que el grupo considera que juegan un papel tanto en la degradación ambiental de la región como en la represión de las poblaciones nativas. El comunicado del lunes se centró en múltiples cuerpos militares como parte de esa dinámica, dijo el grupo en un comunicado.
“Para que quede claro, los ejércitos militares y las fuerzas policiales de los Estados de Abya Yala son la garantía de la dominación del imperialismo norteamericano, son la garantía de la presencia extractivista del Norte Global”, dijo el grupo en un comunicado en español. -Declaración de idioma, según una traducción de Google. “Son fuerzas represivas violentas, criminales contra los propios pueblos y sus organigramas internos piramidales de poder también son reprobables”.
Abya Yala es el nombre que usan los indígenas de la actual América Central para el continente americano.
Los objetivos específicos en este caso, según el comunicado, son el Estado Mayor Conjunto de las Fuerzas Armadas de Chile, la Secretaría de la Defensa Nacional de México, la Policía Nacional Civil de El Salvador y las Fuerzas Armadas de El Salvador, el Comando General de las Fuerzas Militares de Colombia, el Comando Conjunto de las Fuerzas Armadas del Perú y el Ejército del Perú.
Los materiales chilenos se publicaron de forma cruzada en DDoSecrets , un sitio que aloja datos pirateados y filtrados, publicando algunos directamente y compartiendo otros conjuntos más sensibles de interés público, con periodistas e investigadores, como en el caso del material restante.
Este es el cuarto lanzamiento de Guacamaya desde marzo, todos publicados en Enlace Hacktivista , un sitio web dedicado a documentar la historia de los hackers, compartir recursos educativos sobre seguridad de la información y publicar materiales de hackeo.
Los comunicados anteriores se han centrado en la oficina del fiscal federal en Colombia, un grupo de empresas internacionales de minería, energía, así como algunas de las agencias encargadas de regularlas, de varios países regionales, y otro comunicado de marzo en un consorcio minero suizo que opera en Guatemala.
El lanzamiento de marzo fue para “Mining Secrets”, un proyecto de reportaje internacional masivo que involucra a 65 periodistas coordinado por Forbidden Stories , que expuso la aparente corrupción y la vigilancia de periodistas y activistas que se oponen a las actividades mineras.
American Airlines reveló una violación de datos, los actores de amenazas tuvieron acceso a un número no revelado de cuentas de correo electrónico de empleados.
American Airlines sufrió recientemente una violación de datos, los actores de amenazas comprometieron un número limitado de cuentas de correo electrónico de los empleados.
Los intrusos tuvieron acceso a información personal confidencial contenida en las cuentas, pero la notificación de violación de datos de la empresa establece que no tiene conocimiento de ningún uso indebido de los datos expuestos.
La brecha de seguridad se descubrió el 5 de julio, la aerolínea adoptó rápidamente la medida para mitigar el incidente y proteger las cuentas de correo electrónico afectadas. Luego, American Airlines inició una investigación con la ayuda de una firma forense líder en seguridad cibernética.
“En julio de 2022 descubrimos que un actor no autorizado comprometió las cuentas de correo electrónico de un número limitado de miembros del equipo de American Airlines. Al descubrir el incidente, aseguramos las cuentas de correo electrónico correspondientes y contratamos a una firma forense de seguridad cibernética de terceros para realizar una investigación forense para determinar la naturaleza y el alcance del incidente”. lee la violación de datos notificación enviada a los clientes afectados. “Nuestra investigación determinó que cierta información personal estaba en las cuentas de correo electrónico. Realizamos un ejercicio completo de eDiscovery y determinamos que parte de su información personal puede haber estado contenida en las cuentas de correo electrónico a las que accedió. No tenemos evidencia que sugiera que su información personal fue mal utilizada. Sin embargo, por precaución, queríamos brindarle información sobre el incidente y las medidas de protección que puede tomar”.
Los datos expuestos incluyen nombre, fecha de nacimiento, dirección postal, número de teléfono, dirección de correo electrónico, número de licencia de conducir, número de pasaporte y/o cierta información médica proporcionada por las personas afectadas.
La compañía anunció que está implementando salvaguardas técnicas adicionales para evitar que ocurra un incidente similar en el futuro. American Airlines ofrece una membresía gratuita de dos años de IdentityWorksSM de Experian para proteger la identidad de los usuarios afectados.
Uber menciono el jueves que estaba respondiendo a un incidente de seguridad cibernética luego de informes de en los cuales la compañía habría desconectado varios sistemas de ingeniería y comunicaciones internas después de que un hacker se pusiera en contacto con el personal.
Una persona que afirma haber entrado en la red de la empresa de transporte privado se puso en contacto con The New York Times con pruebas de la hackeo, incluidas “imágenes de correo electrónico, almacenamiento en la nube y repositorios de códigos”.
También contactaron a varios investigadores de seguridad que afirmaron haber obtenido credenciales de inicio de sesión para algunas de las cuentas comerciales más confidenciales de la empresa.
Apparently there was an internal network share that contained powershell scripts…
"One of the powershell scripts contained the username and password for a admin user in Thycotic (PAM) Using this i was able to extract secrets for all services, DA, DUO, Onelogin, AWS, GSuite" pic.twitter.com/FhszpxxUEW
Tras el informe del New York Times, la empresa tuiteó : “Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con las fuerzas del orden público y publicaremos actualizaciones adicionales a medida que estén disponibles”.
We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.
El hacker dijo que comprometió la cuenta de Slack de un empleado de Uber y la usó para enviar un mensaje al personal que decía “Anuncio que soy un hacker y Uber ha sufrido una violación de datos” antes de enumerar varias bases de datos internas a las que afirmó haber accedido.
El hacker le dijo a The New York Times que habían podido tomar el control de la cuenta de un miembro del personal a través de la ingeniería social. El hacker también dijo que era hombre, tenía 18 años y que “había irrumpido en los sistemas de Uber porque la empresa tenía poca seguridad”.
Entre sus otras actividades en las redes de Uber se encontraba una publicación en la que se describió como una página de información interna pornográfica para los empleados, junto con el mensaje: “Váyanse a la mierda idiotas”.
El investigador de seguridad Sam Curry tuiteó que el hacker también había accedido a los informes de vulnerabilidad archivados en Uber para HackerOne y había comentado debajo de varios de ellos.
Someone hacked an Uber employees HackerOne account and is commenting on all of the tickets. They likely have access to all of the Uber HackerOne reports. pic.twitter.com/00j8V3kcoE
Curry dijo que el hacker “probablemente tenga acceso a todos los informes de Uber HackerOne”, que podrían incluir vulnerabilidades conocidas que aún no se han solucionado. La cuenta de recompensas por vulnerabilidades de Uber ahora está cerrada.
No es la primera vez que los hackers logran ingresar a la red de Uber.
La compañía anunció en 2017 que había rescindido el empleo de su jefe de seguridad Joseph Sullivan después de que se supo que había pagado a los hackers $ 100,000 para eliminar los datos de los clientes que habían robado un año antes.
La empresa también pagó multas menores a los reguladores de protección de datos en el Reino Unido y los Países Bajos.
Posteriormente , Sullivan fue acusado por el Departamento de Justicia de EE. UU. por intento de encubrimiento con obstrucción de la justicia, encubrimiento indebido de un delito grave y tres cargos de fraude electrónico.
Su juicio está siendo escuchado actualmente por el Tribunal de Distrito de los Estados Unidos en San Francisco.
