Como medir el impacto de un Programa de Concientización de ciberseguridad

Nuestro objetivo al crear un programa de concientización sobre la seguridad es integrar la seguridad en la cultura organizacional existente de nuestros socios. Impactar la cultura es un proceso a largo plazo que puede llevar años y requiere apoyo ejecutivo. Si tiene la tarea de administrar un programa de concientización sobre seguridad es su trabajo medir y mostrar al liderazgo que su programa está teniendo un impacto; sin embargo es difícil medir el impacto de un programa de concientización sobre seguridad. Esto se debe en parte al desafío de asignar métricas al comportamiento humano. Si no se detectan incidentes, ¿cómo se mide algo que no está sucediendo? ¿Cómo se mide el riesgo de una amenaza que se adapta constantemente?

IDENTIFICACIÓN DE MÉTRICAS CLAVE

Los socios normalmente preguntarán: “¿Qué métricas debemos medir?” Si bien la intención es correcta esta es la pregunta incorrecta. Es esencial comenzar este proceso identificando primero los riesgos clave en su organización y luego identificando los comportamientos humanos y sus métricas asociadas que gestionan esos riesgos.

Como ejemplo supondremos que la filtración de datos es un riesgo crítico para una organización. El primer paso es identificar la probabilidad y el impacto de este riesgo y tomar en consideración los controles técnicos y comerciales existentes. Es posible que su equipo de TI ya haya implementado controles de prevención de pérdida de datos (DLP) para mitigar el riesgo de exfiltración de datos pero ¿cubren estos controles todas las vías de exfiltración? La solución DLP puede evitar que se envíe por correo electrónico un documento confidencial pero, ¿evitará que un empleado deje inadvertidamente una copia impresa en su escritorio a la vista del público? ¿Evitará que un empleado tire una copia impresa sin triturarla? ¿Evitará que un empleado divulgue información confidencial por teléfono en un ataque de ingeniería social? ¿Evitará que se pierda un dispositivo sin cifrar que contenga información confidencial?

La medición del comportamiento humano y los controles asociados en el ejemplo anterior podría lograrse con métricas clave como:

• Escritorio limpio: número de empleados que eliminan todos los materiales sensibles al salir de su estación de trabajo
• Dumpster Diving Results: número de documentos confidenciales encontrados en la basura
• Evaluaciones Vishing: número de empleados que pueden identificar un ataque de ingeniería social por teléfono
• Dispositivos perdidos o robados: número de dispositivos que se informaron como perdidos o robados
• Endpoints cifrados: número de dispositivos portátiles que están cifrados

Muchas organizaciones solo realizarán evaluaciones de phishing para identificar la cantidad de personas que hacen clic en un enlace malicioso o abren un archivo adjunto y si bien estas son métricas importantes, es esencial ir más allá de las evaluaciones de phishing al medir un programa de concientización sobre seguridad.

REÚNA APOYO PARA GENERAR IDEAS SOBRE RIESGOS, INICIATIVAS Y MÉTRICAS

Incorporar la seguridad en la cultura organizacional es un proceso difícil que no puede ser realizado únicamente por el equipo de Seguridad de la Información. Reúna apoyo estableciendo una junta asesora de personal en todos los departamentos y niveles de la organización. Asegúrese de que todos los miembros designados sean voluntarios motivados y que la junta comprenda la importancia de establecer una cultura segura. Pregúntele a la junta cuáles son los riesgos que más preocupan a su departamento y discuta las iniciativas, métricas y métodos actuales de concientización sobre seguridad para mejorar el programa general de concientización sobre seguridad.

REPORTE DE MÉTRICAS AL LIDERAZGO EJECUTIVO

El liderazgo habla de métricas por lo que es crucial comunicar el valor que brinda el programa de concientización sobre seguridad al informar las métricas más útiles. Su programa puede estar rastreando numerosas métricas pero centrarse en varias le dará al liderazgo la mayor información y valor. Puede ser beneficioso documentar qué métricas se recopilan brindar un contexto de por qué y cómo se recopilan y preguntar a su liderazgo qué métricas son importantes para ellos y cómo puede hacerlas más útiles.

El valor de las métricas proviene de la tendencia de las métricas a lo largo del tiempo en lugar de instantáneas individuales de un solo punto en el tiempo. Debido a esto se recomienda recopilar métricas durante varios meses antes de presentarlas a su equipo de liderazgo.

Recuerde el programa de concientización sobre seguridad fracasará sin el apoyo del liderazgo ejecutivo.

El cargo Como medir el impacto de un Programa de Concientización de ciberseguridad apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ataque de Ransomware paraliza operaciones de gran empresa minera

El CMMC es propiedad de Mitsubishi Materials Corporation. Genera un promedio de 100 millones de libras de cobre por año y tiene una capacidad de reserva mineral prevista para otros 32 años. La Canadian Copper Mountain Mining Corporation (CMMC) que se encuentra en la Columbia Británica hizo recientemente un anuncio en el que afirmaba que fue objeto de un ataque de ransomware que causó interrupciones en sus operaciones.

A última hora del día 27 de diciembre de 2022, se lanzó un ciberataque malicioso contra la corporación. De manera oportuna el personal de tecnología de la información de la empresa reaccionó poniendo en marcha los sistemas y procesos de gestión de riesgos previstos.

A última hora del día 27 de diciembre de 2022, se lanzó un ciberataque malicioso contra la corporación. De manera oportuna el personal de tecnología de la información de la empresa reaccionó poniendo en marcha los sistemas y procesos de gestión de riesgos previstos.

CMMC tomó medidas para controlar la situación aislando los sistemas afectados y apagando otros componentes para que pudieran examinarse adecuadamente y determinarse el efecto del ataque de ransomware.

Para que los ingenieros de CMMC investigaran la condición del sistema de control del molino, el molino tuvo que cerrarse como medida de precaución. Mientras tanto otros procesos tuvieron que convertirse en operaciones manuales.

El cargo Ataque de Ransomware paraliza operaciones de gran empresa minera apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

La cuenta de Twitter de la estrella de Shark Tank, Kevin O’Leary fue hackeada para promover una estafa de Bitcoin

El jueves la cuenta de Twitter de Kevin O’Leary estrella del programa Shark Tank, se vio comprometida y comenzó a anunciar un sorteo falso de criptomonedas.

La cuenta de Twitter del conocido inversor, que cuenta con más de 982.000 seguidores ha enviado muchos tuits anunciando un sorteo de 5.000 BTC y 15.000 ETH. Acompañando a cada publicación había una foto de O’Leary quien apareció en el sorteo.

En un tweet que se eliminó desde entonces, se escribió que “todos los que quieran adquirir criptografía gratis ahora tienen una oportunidad aquí”. Además la cuenta de Twitter de O’Leary dijo que no ha sido hackeada y que los obsequios no son fraudulentos. Además de esto dijo algo que no era cierto a saber que Mr. Wonderful había declarado en CNBC que tenía la intención de regalar algunas criptomonedas.

El tuit incluía un enlace con instrucciones que informaban a los que respondieron que para obtener los premios del sorteo primero deben enviar algunos de sus propios activos digitales para que se puedan verificar las direcciones de sus billeteras. Sin embargo después de que esto se complete no se proporcionarán fondos a los participantes y los estafadores se quedarán con el dinero que se les pagó.

Los fraudes que implican regalar criptomonedas en particular son uno de los tipos de estafa más comunes en este sector. Las cuentas que pertenecen a personas de renombre, políticos, celebridades y corporaciones a menudo se hackean para promover obsequios falsos. Estas cuentas se utilizan luego para difundir spam.

Cuando intentan promover sus esquemas fraudulentos mediante el uso de cuentas falsas, los estafadores a menudo asumen la identidad de personalidades conocidas como Elon Musk, Michael Saylor y CZ. Estas personas que ocupan puestos de liderazgo en organizaciones como Tesla, MicroStrategy y Binance, suelen ser objeto de ciberataques.

En un desarrollo digno de mención se ha observado que el fraude más reciente utilizó el mismo sitio web que un obsequio de engaño anterior de Tesla que incluía el logotipo de Tesla. Además el sitio web tenía muchos problemas gramaticales.

O’Leary, quien se ha convertido en un firme defensor de la tecnología Web3, reveló no hace mucho que perdió casi la totalidad de los 15 millones de dólares que el ahora desaparecido intercambio de criptomonedas FTX le pagó para que fuera su vocero oficial. FTX le pagó a O’Leary para que desempeñara este cargo porque era el portavoz oficial de la bolsa. Durante ese tiempo afirmó:

“En total la compra total llegó a unos 15 millones de dólares. Invertí alrededor de $9.7 millones en varias criptomonedas. Creo que eso es lo que se me escapó. Realmente no tengo ni idea. Todo ha sido puesto a cero. No estoy seguro porque alguien robó toda la información de mi cuenta hace unas semanas. Todo incluidos los detalles, las monedas y todo lo demás.

“No fue una decisión financiera sabia […]”, dijo “no siempre hago inversiones inteligentes, pero afortunadamente hago más buenas que malas; sin embargo, fue una mala elección de mi parte”.

O’Leary fue una de las muchas personas famosas que promovieron activamente FTX en varias plataformas de redes sociales. Cuando O’Leary inicialmente comenzó a promocionar FTX dijo que los procesos de cumplimiento del intercambio de criptomonedas fueron lo que lo impulsó a invertir en él. FTX es un acrónimo de “FinTech Exchange”.

Según los informes, los inversores en FTX iniciaron una demanda colectiva contra varias celebridades que promocionaron la plataforma. Estas celebridades incluyen a Kevin O’Leary, los Golden State Warriors, Shaquille O’Neal, Udonis Haslem, David Ortiz, Naomi Osaka y otros. La demanda nombra a todos estos individuos como demandados.

El cargo La cuenta de Twitter de la estrella de Shark Tank, Kevin O’Leary fue hackeada para promover una estafa de Bitcoin apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Azov Ransomware puede modificar su propio código para eliminar todos los archivos de una máquina con un solo clic

Un ataque de ransomware que tiene éxito puede ser muy perjudicial para una empresa. En el caso de que una organización sea sorprendida desprevenida es posible que se vea obligada a elegir entre pagar una demanda de rescate o borrar todos los datos que se tomaron. El ataque WannaCry que ocurrió hace más de 5 años alteró fundamentalmente la ciberseguridad. Fue el primer ciberataque multivectorial a escala global en la forma de un ataque que encriptaba y sobre todo los archivos de una máquina comprometida dejándolos inutilizables aunque reversibles. Su enorme influencia en el panorama de las amenazas cibernéticas fue sobresaliente y fue un ataque que cifró y sobre todo los archivos de una máquina comprometida.

Desde entonces los ataques de ransomware han aumentado en número y forma y ​​han evolucionado para utilizar una variedad de estrategias y enfoques.

La industria de la seguridad de la información se dio cuenta por primera vez de Azov cuando se descubrió como una carga útil de la red de bots SmokeLoader. Esta botnet a menudo se encuentra en sitios fraudulentos que proporcionan software sin licencia y cracks.

El hecho de que Azov modifique algunos ejecutables de 64 bits para ejecutar su propio código es una de las cosas que lo distingue de los muchos otros ataques de ransomware que se han visto en los últimos años. El cambio de ejecutables se logra mediante el uso de código polimórfico para evitar la posibilidad de ser bloqueado o descubierto por firmas estáticas. Además la modificación se realiza en ejecutables de 64 bits, que el típico programador de malware no se habría molestado.

Según los investigadores de Checkpoint  “debido a esta infección polimórfica agresiva de los ejecutables de las víctimas ha habido un aumento en la cantidad de archivos infectados con Azov que son accesibles al público. VirusTotal recibe diariamente cientos de nuevas muestras relacionadas con Azov y a partir de noviembre de 2022 el número total de estas muestras ya superó las 17 000”.

El malware como Azov es único ya que tiene la capacidad de desarrollar su propio código lo que facilita compartir información personal con otras piezas de malware.

Además de poder escribir código también tiene el poder de producir código lo que le permite eludir muchas medidas de seguridad en una computadora o teléfono inteligente. De esta manera Azov puede reemplazar otros datos en un dispositivo y continuar propagándose hasta infectar todo el sistema.

Ahora hay dos variaciones de Azov sin embargo la que se acaba de encontrar es la que se cree que es más peligrosa debido a su capacidad para eliminar el archivo que crea.

Los expertos en seguridad quieren advertir a los usuarios que el Año Nuevo se acerca esta semana y que deben resistirse a hacer clic en enlaces y correos electrónicos que no son necesarios.

Ahora está muy claro que Azov es una pieza sofisticada de malware diseñada, para decirlo claramente, para destruir el sistema comprometido en el que se ejecuta. Aunque aún no se sabe cuál es la motivación detrás de las acciones del actor de amenazas que está distribuyendo el Azov en la naturaleza ahora está muy claro que Azov.

El cargo Azov Ransomware puede modificar su propio código para eliminar todos los archivos de una máquina con un solo clic apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo cambiar la fuente de iOS sin Jailbreak

El usuario no puede realizar ningún cambio en la fuente que utiliza iOS en este momento. Aunque Apple no proporciona esta función un desarrollador externo ha encontrado una manera de eludir la necesidad de hacer jailbreak aprovechando una vulnerabilidad de seguridad. Solo se admiten versiones de iOS anteriores a 16.1.2.

Zhuowei Zhang ha publicado un enlace a su idea a la que se refiere como una “aplicación de prueba de concepto”, en Twitter. Según Zhang la aplicación que creó explota el ataque CVE-2022-46689 para reemplazar la fuente predeterminada de iOS. Esto permite a los usuarios modificar el aspecto del sistema seleccionando una fuente distinta a la predeterminada. Zhang diseñó la aplicación (que es San Francisco).

El ataque CVE-2022-46689 está presente en dispositivos que ejecutan iOS 16.1.2 o versiones anteriores del sistema operativo y esencialmente otorga a las aplicaciones la capacidad de ejecutar código arbitrario con privilegios de kernel. Este exploit afecta solo a los productos de Apple. La vulnerabilidad se resolvió en iOS 16.2, que también parchó otras vulnerabilidades descubiertas en versiones anteriores de iOS. El exploit fue una de estas vulnerabilidades.

Esta vulnerabilidad se conoce como CVE-2022-46689 (puntuación CVSS: 8,4). La vulnerabilidad se puede usar para ejecutar código arbitrario con privilegios de kernel y por supuesto también se puede usar para cambiar las fuentes. Ambas capacidades son posibles gracias a la vulnerabilidad.

Made an app that overwrites the iOS system font using CVE-2022-46689.https://t.co/LnzMbA2VYA
It works on iOS 16.1.2 and below on unjailbroken devices.
Four fonts are included: DejaVu Sans Condensed, Serif, Mono, and Choco Cooky (because Samsung). pic.twitter.com/gTSWDB62EH

— Zhuowei Zhang (@zhuowei) December 26, 2022

Como resultado de una situación de carrera presente en el kernel de iOS la vulnerabilidad CVE-2022-46689 hace posible que un atacante local autenticado adquiera acceso elevado en la máquina. Un atacante autorizado podría aprovechar esta vulnerabilidad para ejecutar código arbitrario con privilegios de kernel si el atacante envió una solicitud que se había construido cuidadosamente.

En Twitter, el desarrollador @Zhuowei Zhang envió la prueba de concepto. Aunque se puede afirmar que el cambio de la fuente es mundial, algunas fuentes simplemente no se pueden sustituir. Los tipos de letra deben adaptarse para su uso en iOS antes de poder importarlos al sistema.
CVE-2022-46689 además de cambiar el tipo de letra en un iPhone no tiene ningún impacto ya que siempre que se reinicie el sistema todo volverá a ser como antes. En este momento la alteración del tipo de letra no parece continuar.

Incluso si la aplicación de Zhang no necesita jailbreak para instalarse en un iPhone o iPad hacerlo puede no ser la cosa más fácil del mundo. Esto se debe al hecho de que para instalarlo en su dispositivo deberá firmar manualmente el archivo IPA con un certificado de desarrollador o construir el proyecto Xcode usted mismo antes de instalarlo.

A pesar de esto, es fascinante ver lo que el desarrollador ha logrado sin necesidad de hacer jailbreak al dispositivo. En GitHub puede encontrar más información sobre el proyecto incluido su código fuente también.

El cargo Cómo cambiar la fuente de iOS sin Jailbreak apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¿Qué es un ataque de jackpotting en cajeros automáticos y cómo funciona?

Los cajeros automáticos dispensan grandes sumas de efectivo todos los días y eso los convierte en un gran objetivo para los hackers.

Si usa cajeros automáticos con regularidad es posible que haya escuchado el término “jackpot” en los titulares. Aunque esto ha existido por un tiempo el premio mayor se ha convertido en una forma de hackeo cada vez más popular, particularmente en Europa y Asia.

Entonces ¿qué es el premio mayor en cajeros automáticos? ¿Cómo hacen exactamente los hackers de cajeros automáticos para llevar a cabo este ataque?

¿Qué es el premio mayor en cajeros automáticos?

El jackpot de cajeros automáticos es la detección y explotación de las vulnerabilidades de un cajero automático. Estas operaciones de jackpotting tienen como objetivo obligar a la máquina a dispensar todo el efectivo de sus reservas.

Si los hackers tienen éxito pueden llevarse todos los fondos del cajero automático. Técnicamente estos no pertenecen a ninguna cuenta por lo que por lo general ninguno de los clientes del banco es el más afectado por los ataques.

Los cajeros automáticos independientes ubicados en puntos de venta minorista o fuera de las instalaciones del banco son los principales objetivos. El premio mayor requiere una conexión física a la máquina por lo que los hackers suelen disfrazarse de expertos en tecnología o personal de seguridad para acceder al cajero automático sin confrontación.

El primer ataque de jackpot probablemente ocurrió en enero de 2018. En un comunicado de prensa el Servicio Secreto de los Estados Unidos advirtió a los organismos financieros y policiales sobre este ataque a los cajeros automáticos. A través de los socios de su Electronic Crimes Task Force (ECTF) recibieron inteligencia creíble sobre los ataques de jackpot planeados en los EE. UU.

¿Cómo funciona el premio mayor en cajeros automáticos?

Para una operación de jackpotting en cajeros automáticos debe tener acceso físico al cajero automático y a un dispositivo no autorizado. Un dispositivo no autorizado es una herramienta de ataque de hardware inalámbrico como una computadora portátil que no tiene permiso para acceder a una red pero existe para causar daño robar información e interrumpir las operaciones normales de la red.

Una vez que los atacantes logran acceder con éxito a la computadora interna del cajero automático extraen el disco duro y desinstalan cualquier software antivirus presente. Sin el antivirus los hackers pueden instalar su malware reemplazar el disco duro y reiniciar el cajero automático. La operación de premio mayor generalmente toma menos de un minuto.

Hay dos formas principales de jackpotting en cajeros automáticos.

1. Jackpotting basado en malware

Esta forma de jackpotting hace uso de un dispositivo USB. El dispositivo suele estar cargado de malware y conectado al terminal USB de un cajero automático. Este malware obliga a la máquina a dispensar dinero en efectivo que el hacker viene a recoger.

Otros clientes pueden usar el cajero automático incluso con el malware instalado y la máquina funcionaría de manera óptima. Pero tras la activación del malware por parte del hacker el cajero automático comienza a pasar a manos de la mula que actúa como intermediario entre el cajero automático y el hacker.

Los hacker también envían a alguien “involucrado” en la operación cuando los fondos están listos para ser recaudados. Por lo general la única seguridad en los cajeros automáticos fuera del sitio son las cámaras de circuito cerrado de televisión, lo que significa que los atacantes y sus mulas solo necesitan ocultar sus identidades o permanecer fuera de la vista.

Estas dispensaciones de efectivo basadas en malware no reflejan ninguna transacción de retiro en ninguna cuenta bancaria. Un ejemplo famoso de malware de jackpotting es “Ploutus.D” que tiene varias modificaciones que le permiten ejecutarse sin problemas en los cajeros automáticos de más de 40 proveedores de cajeros automáticos diferentes en 80 países.

2. Ataque de caja negra

En este caso los dispositivos maliciosos se conocen como cajas negras. Estos imitan la computadora interna del cajero automático y pueden ser cualquier cosa desde computadoras portátiles hasta Raspberry Pi que son relativamente fáciles de obtener o construir.

La caja negra se puede utilizar de dos maneras diferentes. El primero implica imitar la computadora interna del cajero automático conectarse directamente al dispensador y ordenarle que escupa efectivo.

El otro método implica conectarse a cables de red y obtener información del titular de la tarjeta. Esta información generalmente se transmite entre el cajero automático y el centro de transacciones responsable de procesar la sesión de transacciones.

Todos los cajeros automáticos tienen un límite máximo que pueden retirar por transacción o cliente pero los ataques de caja negra se hacen pasar por el sistema host y obligan al cajero automático a dispensar todo su efectivo a la vez.

Cómo prevenir el jackpot en cajeros automáticos

Tanto los bancos como los clientes pueden tomar precauciones para evitar el jackpot en los cajeros automáticos.

Tanto los bancos como los clientes pueden tomar precauciones para evitar el jackpot en los cajeros automáticos.

Precauciones para los clientes

Como cliente la triste realidad es que es poco lo que puede hacer para evitar el premio mayor. Pero algunos consejos son útiles.

Lo más importante sería usar solo cajeros automáticos pertenecientes a instituciones financieras famosas y evitar los que pertenecen a negocios centros comerciales y puntos de venta minoristas regulares. Esto se debe a que los cajeros automáticos de las principales instituciones tienen mejores sistemas de seguridad que los cajeros automáticos independientes frente a casinos o supermercados.

Otra cosa que debe tener en cuenta es que la persona que está detrás de usted en la cola del cajero automático podría ser un actor de amenazas que busca fondos para desviar. Antes de comenzar su sesión de transacción asegúrese de cubrir el teclado cuando ingrese su PIN.

Además revise sus extractos bancarios mensualmente para detectar transacciones no autorizadas e informe a los trimestres correspondientes si detecta alguna.

Precauciones para los Bancos

Los bancos que esperan evitar este ataque deben asegurarse de que los programas antivirus y otro software de seguridad en el cajero automático estén actualizados. También es recomendable deshabilitar las funciones de “inicio y arranque automático” en la máquina ya que esta es una vulnerabilidad que explotan los hackers

El cajero automático debe monitorearse en busca de actividades inusuales como solicitudes de grandes cantidades de efectivo de clientes con cuentas bancarias vacías y múltiples intentos fallidos de inicio de sesión desde un cajero automático en particular ya que podría ser objeto de un premio mayor.

Lo más importante es que debe haber personal de seguridad en los cajeros automáticos fuera del banco: personal que estaría allí para evitar el acceso ilegal a las máquinas expendedoras.

Además de todo esto tome medidas físicas como agregar cerraduras y alarmas al gabinete del cajero automático. Esto es necesario para los hackers que quieren acceder al interior de la máquina para extraer su disco duro.

Ganar el premio gordo?

El premio mayor de cajeros automáticos es una forma de delito cibernético que es popular entre los actores de amenazas debido a su facilidad y posibilidad de grandes pagos. Es una grave amenaza para la industria financiera y puede tener graves consecuencias para las instituciones, los clientes y las empresas objetivo.

Estos grupos necesitan protegerse de tales ataques mediante la implementación de medidas de seguridad actualizadas y la realización de controles de rutina en sus cajeros automáticos en busca de signos de manipulación o infección de malware.

El cargo ¿Qué es un ataque de jackpotting en cajeros automáticos y cómo funciona? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hospital de Luisiana es victima del robo de datos de 270,000 pacientes

Durante el mes de octubre los ciberdelincuentes irrumpieron en el sistema informático de un sistema de atención médica en Luisiana y obtuvieron acceso a la información personal de aproximadamente 270 000 personas.

Según un representante llamado Allison Livingston el esfuerzo de los hackrs para cifrar las computadoras pertenecientes al Sistema de Salud Lake Charles Memorial que incluye un hospital con 314 camas fue frustrado y no hubo interrupción en la prestación de servicios médicos para los pacientes. Según lo que escribió Livingston en un correo electrónico el ataque fue descubierto por el personal de seguridad del proveedor de atención médica.

La brecha se descubrió en los últimos días y los pacientes cuyos datos habían sido robados ahora están siendo notificados por la red de instituciones. Según el sistema de salud esto incluye la información del seguro de salud de los pacientes, los números asociados con sus registros médicos y en “situaciones limitadas” los números de Seguro Social de los pacientes.

Durante los casi tres años que ha estado en curso el brote de Covid-19 este es el más reciente de una serie de ataques de ransomware que han seguido afectando a los proveedores de atención médica en los Estados Unidos que a menudo carecen de recursos para proteger sus redes.

Un grupo de ransomware conocido como Hive se atribuyó el mérito de irrumpir en Lake Charles Memorial y arrojar datos que afirmaron falsamente que pertenecían al sistema de salud en un sitio web que fue diseñado específicamente con el propósito de extorsionar a las víctimas.

El FBI y otras autoridades gubernamentales han emitido una advertencia de que a partir de noviembre el ransomware Hive se ha utilizado para extorsionar casi 100 millones de dólares a más de 1300 empresas de todo el mundo la mayoría de las cuales pertenecen a la industria del cuidado de la salud.

Incluso si no se paga un rescate estos ataques llaman mucho la atención de la organización de ransomware lo que aumenta su reputación. Esta es una de las razones por las que la industria de la salud sigue siendo un objetivo atractivo para las pandillas de ransomware.

En un esfuerzo por ganar más poder de negociación en las conversaciones de rescate, las pandillas de ransomware como Hive roban cada vez más datos de empresas que se han visto comprometidas antes de apagar sus máquinas. Algunos operadores de ransomware han utilizado datos robados para contactar a los pacientes personalmente y exigir dinero mientras amenazan con revelar la información médica de los pacientes si no cumplen con sus demandas.

Aunque Lake Charles Memorial dijo que la filtración no tuvo impacto en sus operaciones comerciales las operaciones de varios otros importantes proveedores de atención médica en los Estados Unidos y Canadá se han visto obstaculizadas durante las últimas semanas.

Después de un reciente ataque de ransomware uno de los principales hospitales infantiles de Canadá SickKids ha indicado que pueden pasar varias semanas antes de que todos sus sistemas informáticos se restablezcan por completo. Como resultado de la lenta recuperación el hospital dijo en un comunicado que “algunos pacientes y familias aún pueden enfrentar retrasos en el diagnóstico y/o tratamiento”.

Durante este tiempo, una red de tres hospitales en Brooklyn, Nueva York, se vio obligada a funcionar con gráficos en papel durante muchas semanas como resultado de un ataque cibernético que ocurrió a fines de noviembre en sus sistemas informáticos.

En los últimos años los líderes en el negocio de la atención médica se han vuelto considerablemente más conscientes de los peligros que plantea el hackeo y una industria artesanal formada por profesionales y consultores de ciberseguridad se ha concentrado en mejorar las defensas de la industria.

Sin embargo según los expertos los hospitales más pequeños en particular a veces no tienen suficientes recursos o empleados para defender las redes informáticas que utilizan. Hay ocasiones en que los voluntarios intentan llenar un hueco. Durante las primeras etapas de la pandemia, un equipo de profesionales de ciberseguridad trabajó en turnos durante la noche para ayudar a proteger las instalaciones médicas de los ciberataques.

Los ataques que utilizan ransomware pueden suponer un riesgo para la seguridad del paciente. Es posible que un ataque de ransomware en un hospital que ya está bajo presión debido al brote de Covid-19 y otros problemas provoque una “menor capacidad y un empeoramiento de los resultados de salud”.

El cargo Hospital de Luisiana es victima del robo de datos de 270,000 pacientes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

BTC.com perdió USD 3 millones en criptomonedas en ciberataque

BTC.com uno de los grupos de minería de criptomonedas más grandes del mundo anunció que fue víctima de un ataque cibernético que resultó en el robo de aproximadamente $ 3 millones en activos criptográficos pertenecientes tanto a los clientes como a la empresa.

Según su rastreador de grupos de minería BTC.com es el séptimo grupo de minería de criptomonedas más grande con el 2,66% del hashrate total de la red.

Algunos de los bienes sustraídos ya fueron recuperados

En un comunicado de prensa BTC.com declaró que en el ataque se robaron alrededor de USD 700 000 en criptomonedas propiedad de sus clientes y USD 2,3 millones en activos digitales propiedad de la empresa.

“En el ataque cibernético se robaron ciertos activos digitales incluidos aproximadamente US $ 700,000 en valor de activos propiedad de los clientes de BTC.com y aproximadamente US $ 2,3 millones en valor de activos propiedad de la Compañía”, reveló BTC.com.

Después de detectar el ataque el 3 de diciembre de 2022 BTC.com informó el incidente a las autoridades policiales chinas en Shenzen.

Desde entonces la compañía recuperó parte de la criptomoneda robada aunque no ha revelado la cantidad. 

“El 23 de diciembre de 2022 las autoridades iniciaron una investigación comenzaron a recopilar pruebas y solicitaron asistencia y coordinación con las agencias pertinentes”, agregó BTC.com.

“La Compañía dedicará esfuerzos considerables para recuperar los activos digitales robados”.

No hay información sobre datos robados

BTC.com agregó que ha tomado medidas para bloquear ataques similares en el futuro y que sus operaciones no se han visto afectadas. 

“A raíz del descubrimiento de este ciberataque la empresa ha implementado tecnología para bloquear e interceptar mejor a los hackers” agregó la empresa.

“BTC.com actualmente está operando su negocio como de costumbre y, aparte de sus servicios de activos digitales, sus servicios de fondos de clientes no se ven afectados.

Un portavoz de BTC.com no estuvo disponible de inmediato para hacer comentarios cuando BleepingComputer lo contactó para obtener más detalles sobre el ataque cibernético. 

Actualmente no hay información sobre cómo los atacantes pudieron robar la criptomoneda o si se robaron datos o información personal durante el incidente.

El cargo BTC.com perdió USD 3 millones en criptomonedas en ciberataque apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Una vulnerabilidad que permite hackear el Nintendo Swicth, 3DS y Wii con solo una sesión de juego en línea con la víctima

Nintendo ha lanzado en secreto una solución para una vulnerabilidad de seguridad que podría haber permitido a los hackers acceder a las consolas Switch, 3DS y Wii comprometidas.

¿Recuerdas cuando Nintendo finalmente lanzó una actualización para Mario Kart 7 después de una ausencia de diez años? Nos ha llamado la atención que esto se hizo para parchear una vulnerabilidad importante que “puede permitir que un atacante obtenga el control total de la consola”.

A pesar de que la vulnerabilidad aparentemente se descubrió por primera vez en 2021, a PabloMK7, Rambo6Glaz y Fishguy6564 se les ha atribuido el descubrimiento de “ENLBufferPwn”. Esta vulnerabilidad se considera tan grave que la calculadora CVSS 3.1 le asignó una puntuación crítica de 9,8/10.

Una publicación en línea incluyó un ataque de prueba de concepto (PoC) así como detalles técnicos relacionados con una vulnerabilidad de ejecución remota de código que afectó a muchos títulos de Nintendo y que Nintendo solucionó entre los años 2021 y 2022.

La vulnerabilidad de seguridad a la que se le ha asignado el identificador CVE-2022-47949, podría hacer posible que un atacante ejecute código de forma remota en la consola de la víctima si solo juega un juego en línea con la víctima. La calculadora CVSS 3.1 asignó a la vulnerabilidad una puntuación de 9,8 sobre 10 que es la calificación crítica.

Una cantidad significativa de juegos propios de Nintendo utilizan la biblioteca de red conocida como enl (o Net en Mario Kart 7) que contiene la clase C++ NetworkBuffer. La verificación de límites incorrecta realizada por la clase NetworkBuffer es la causa principal de la vulnerabilidad. Un atacante remoto puede invadir un búfer y ejecutar código arbitrario en el sistema si envió un paquete UDP que había preparado específicamente para ese propósito. Los investigadores se refirieron a la vulnerabilidad como ” ENLBufferPwn ” en su investigación.

Here is ENLBufferPwn (CVE ID pending), a severe vulnerability in many first party 3DS, Wii U and Switch games. It allows remote code execution in a victim console by just having an online game session with an attacker.
Vulnerability report: https://t.co/QbvXKQLeDf
🧵(1/7) pic.twitter.com/4qewU5YQ9x

— PabloMK7 (@Pablomf6) December 24, 2022

La vulnerabilidad CVE-2022-47949 se ha validado y se ha demostrado que funciona correctamente en los siguientes juegos según las pruebas y la confirmación.

• Mario Kart 7 (corregido en v1.2)
• mario kart 8
• Mario Kart 8 Deluxe (corregido en v2.1.0)
• Animal Crossing: New Horizons (corregido en v2.0.6)
• BRAZOS (corregido en v5.4.1)
• Splatoon
• Splatoon 2 (corregido en v5.5.1)
• Splatoon 3 (corregido a fines de 2022, versión exacta desconocida)
• Super Mario Maker 2 (corregido en v3.0.2)
• Nintendo Switch Sports (corregido a finales de 2022, versión exacta desconocida)

La vulnerabilidad ENLBufferPwn permite a un atacante aprovechar un desbordamiento de búfer en la clase C++ NetworkBuffer que se incluye en la biblioteca de red enl (Net en Mario Kart 7). Esta biblioteca es utilizada por una gran cantidad de títulos propios de Nintendo. Estos dos métodos “Agregar y Establecer” están incluidos en esta clase y son responsables de llenar un búfer de red con los datos que llegan de otros jugadores. Sin embargo ninguno de estos enfoques verifica que los datos que se ingresan realmente puedan acomodarse dentro del búfer de la red. Debido a que el atacante puede controlar los datos que se ingresan, es posible que provoque un desbordamiento del búfer en una consola remota simplemente participando en una sesión de juego en línea con la víctima. Si todo se hace correctamente la persona que fue explotada ni siquiera pudo darse cuenta de que se explotó una vulnerabilidad en su consola. Los resultados de este desbordamiento de búfer son exclusivos de cada juego, y van desde modificaciones relativamente inofensivas en la memoria del juego (como abrir y cerrar repetidamente el menú de inicio en la 3DS) hasta acciones más severas como tomar el control total de la consola como se demostrará en los párrafos siguientes.

La vulnerabilidad se solucionó en Splatoon 3, Mario Kart 8, Mario Kart 8 Deluxe, Animal Crossing: New Horizons, ARMS, Splatoon 2 y Super Mario Maker 2 además de Mario Kart 8. Una de las personas quien encontró la vulnerabilidad dijo que “junto con otras vulnerabilidades del sistema operativo. La vulnerabilidad podría permitir que un atacante logre el control completo de la consola”.

El cargo Una vulnerabilidad que permite hackear el Nintendo Swicth, 3DS y Wii con solo una sesión de juego en línea con la víctima apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo espiar llamadas telefónicas a través de sensores como acelerómetros y giroscopio usando una nueva técnica de ataque: EarSpy

Escuchar a escondidas a los usuarios de teléfonos inteligentes siempre es un riesgo reconocido y debería ser una preocupación seria para los usuarios de estos dispositivos. Escuchar a escondidas una conversación es más fácil para un oponente mediante el uso de la grabación de llamadas. Por otro lado los sistemas operativos de los teléfonos móviles están poniendo límites a la capacidad de las aplicaciones de terceros para grabar conversaciones telefónicas al aprovecharse de los micrófonos para evitar la mayoría de los ataques que dependen de tener acceso al micrófono.

Un grupo de investigadores ha creado un ataque de espionaje diseñado para teléfonos inteligentes Android. Este ataque puede en diversos grados determinar el género y la identidad de la persona que llama e incluso puede descifrar una conversación privada.

El objetivo del ataque de canal lateral que recibió el nombre de EarSpy y está diseñado para capturar lecturas de datos de sensores de movimiento inducidas por reverberaciones de los altavoces de los oídos en dispositivos móviles, es investigar nuevas vías abiertas para las escuchas.
Al usar un ataque de canal lateral los atacantes pueden eludir las medidas de seguridad al obtener información sobre el habla de los sensores de movimiento que tienen acceso sin permiso. Es un gran riesgo para la privacidad que la gente ignora pero los académicos lo han estado investigando extensamente durante la última década. Los investigadores han descubierto que los sensores de movimiento, las pulsaciones de teclas en las pantallas táctiles, la escritura con lápiz óptico y el uso de dispositivos externos tienen el potencial de usarse para espiar. Además, ha habido informes en el pasado de escuchas ilegales utilizando sensores de luz y giroscopios.

Los sensores de movimiento que se incorporan a los teléfonos inteligentes son los que tienen la reputación más conocida de ser susceptibles a las escuchas. Los adversarios emplean sensores de movimiento para recopilar audio (p. ej., diálogo de voz), entradas a través de pantallas táctiles e incluso locales interiores son algunos ejemplos. Debido a que los oponentes no necesitan una autorización expresa para recopilar datos sin procesar de los sensores de movimiento por ello espiar a través de ellos es un proceso simple y sin complicaciones.
Los ataques de espionaje provocados por la vibración generada por los altavoces de los teléfonos han sido objeto de una gran cantidad de investigación y desarrollo. Los parlantes para escuchar a escondidas son un parlante interno incorporado en un teléfono inteligente que se puede usar para escuchar la conversación mientras se sostiene el teléfono en la oreja. Sin embargo, se han realizado muy pocos trabajos sobre el tema de los altavoces para los oídos que escuchan a escondidas. Debido a que la mayoría de las personas no están dispuestas a revelar comunicaciones importantes especialmente en lugares públicos, espiar el altavoz del oído es el vector de ataque más viable que puede espiar las llamadas telefónicas.
Investigaciones recientes han demostrado que los sensores inalámbricos de alta resolución pueden usarse para detectar las vibraciones que generan los altavoces para los oídos, incluso cuando están colocados muy cerca de la víctima.
Una pregunta obvia que se debe hacer es si es factible o no escuchar conversaciones utilizando los sensores de movimiento incorporados en los altavoces para los oídos. Como resultado del aspecto de permiso cero de los sensores de movimiento lo que significa que no es necesario colocar ningún dispositivo en el entorno de la víctima ni hackear ninguno de esos dispositivos este tipo de configuración de ataque es bastante práctica. Investigaciones anteriores no pudieron descubrir evidencia suficiente de que los altavoces para los oídos tuvieran un efecto en los acelerómetros.

Por otro lado hemos visto que la calidad de audio de los parlantes de los teléfonos inteligentes es cada vez mejor y más sofisticada. Los teléfonos inteligentes insignia recientes han seguido la tendencia de incluir parlantes estéreo lo que requiere la colocación de dos parlantes en la parte superior e inferior del dispositivo. En la mayoría de las situaciones los parlantes convencionales para los oídos están siendo reemplazados por parlantes estéreo que tienen una presencia más pronunciada. Como consecuencia directa de esto los teléfonos que están equipados con parlantes estéreo generan una mayor presión de sonido en comparación con los teléfonos que solo tienen parlantes estándar.

Los sensores de movimiento incluidos en los teléfonos inteligentes modernos, como el acelerómetro y el giroscopio, tienen un alto grado de sensibilidad y están diseñados específicamente para detectar vibraciones en el teléfono. La investigación existente ha demostrado que el sensor de movimiento es capaz de detectar vibraciones en el cuerpo del teléfono que son generadas por el sonido que se envía desde el altavoz que está incorporado en el dispositivo. La idea fundamental es que las ondas sonoras que viajan por el cuerpo del smartphone provocan vibraciones que luego pueden ser detectadas por el sensor de movimiento ubicado en dicho smartphone. Para ser más exactos Spearphone descubrió que el acelerómetro de los teléfonos inteligentes tenía una alta reacción a las frecuencias de sonido que iban desde 100 Hz a 3300 Hz. Debido al hecho de que las señales de aliasing de baja frecuencia se forman a partir del sonido primario en una variedad de frecuencias, este fenómeno demuestra que el acelerómetro es capaz de capturar una gran cantidad de información en estas señales. Además compararon las respuestas de frecuencia de acelerómetros y giroscopios y encontraron que la respuesta del acelerómetro era más fuerte que la respuesta del giroscopio en el rango de frecuencia de 100 Hz a 3300 Hz. Esto se descubrió cuando compararon las respuestas de frecuencia de ambos dispositivos. Como resultado el único tipo de sensor que usamos en nuestras investigaciones es un acelerómetro. Esto se descubrió cuando compararon las respuestas de frecuencia de ambos dispositivos. Como resultado el único tipo de sensor que usamos en nuestras investigaciones es un acelerómetro. Esto se descubrió cuando compararon las respuestas de frecuencia de ambos dispositivos. Como resultado el único tipo de sensor que usamos en nuestras investigaciones es un acelerómetro.

En sus estudios los investigadores utilizaron un teléfono inteligente OnePlus 7T y OnePlus 9 además de una variedad de conjuntos de audio pregrabados que solo se reproducían a través de los altavoces de los oídos de los dos dispositivos. La música solo se tocaba en una dirección.

Durante una conversación simulada, los investigadores también utilizaron una aplicación llamada “Physics Toolbox Sensor Suite” para registrar datos del acelerómetro. Luego enviaron esos datos a MATLAB para que pudieran ser analizados y las características pudieran extraerse de la transmisión de audio.

Con el fin de reconocer el contenido de voz, la identidad de la persona que llama y el género, se entrenó un sistema de aprendizaje automático (ML) utilizando conjuntos de datos que eran de fácil acceso.

Aunque los resultados de las pruebas variaron según el conjunto de datos y el dispositivo en general indicaron que escuchar a escondidas a través del altavoz del oído puede ser una opción viable.

El OnePlus 7T pudo identificar el género de las personas que llaman con una precisión que va del 63,0 % al 98,7 %, la categorización del identificador de llamadas con una precisión que va del 63,0 % al 91,2 % y el reconocimiento de voz con una precisión que va del 51,8 % al 56,4 %.

La cantidad de volumen que los usuarios suben en sus auriculares o audífonos podría ser un factor que reduce la efectividad de un ataque EarSpy. Un volumen más bajo podría evitar las escuchas a través de este ataque de canal lateral, y también hace que la experiencia auditiva sea más placentera para el oído.

La dispersión de la reverberación producida por los altavoces también se ve afectada por la configuración de los componentes de hardware del dispositivo y el grado de precisión del montaje.

La precisión de los datos de voz que se extrajeron se reduce aún más cuando el usuario se mueve o cuando se agregan vibraciones del entorno.

Android 13 tiene una limitación que impide que los usuarios recopilen datos de sensores sin obtener primero permiso para muestrear velocidades de datos superiores a 200 Hz. Aunque esto dificulta el reconocimiento de voz a la frecuencia de muestreo normal de 400 Hz a 500 Hz, la precisión solo se reduce en aproximadamente un 10 % cuando el ataque se lleva a cabo a una frecuencia de muestreo de 200 Hz.

El cargo Cómo espiar llamadas telefónicas a través de sensores como acelerómetros y giroscopio usando una nueva técnica de ataque: EarSpy apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Nueva técnica de ataque utiliza formatos de archivo .ISO y .VHD para eludir Windows MotW Security

BlueNoroff es parte del infame Grupo Lazarus  y se ha detectado que incorpora nuevas estrategias en su libro de jugadas. Estas nuevas estrategias permiten a BlueNoroff eludir las defensas proporcionadas por Windows Mark of the Web (MotW).

Según una investigación publicada hoy por Kaspersky esto implica el uso de formatos de archivo con una extensión de .ISO para imágenes de disco óptico y .VHD para discos duros virtuales como parte de una cadena de infección única.

AppleJeus es una actividad significativa adicional que se ha conectado a la organización. En este esquema se establecen firmas de criptomonedas falsas para atraer a las víctimas a que descarguen programas que parecen ser inofensivos pero finalmente obtienen actualizaciones de puerta trasera.

La actividad maliciosa más reciente descubierta por la organización de seguridad cibernética rusa hace algunos ajustes menores en la forma en que entrega su carga útil final. Específicamente reemplaza los archivos adjuntos de los documentos de Microsoft Word con archivos ISO en los correos electrónicos de spear-phishing para activar la infección.

Estos archivos de imagen óptica por otro lado incluyen una presentación de diapositivas creada en Microsoft PowerPoint (.PPSX) así como un Visual Basic Script (VBScript) que se activa cuando el objetivo toca un enlace contenido dentro del archivo de PowerPoint.

BlueNoroff, también conocido como APT38, Nickel Gladstone y Stardust Chollima, es miembro del grupo de amenazas más amplio de Lazarus, que también incluye a Andariel (también conocido como Nickel Hyatt o Silent Chollima) y Labyrinth Chollima. BlueNoroff es miembro del grupo de amenazas Lazarus (también conocido como Nickel Academy).

Los objetivos financieros del actor de la amenaza, a diferencia del espionaje, lo han convertido en un jugador atípico del estado-nación en el entorno de la amenaza. Esto le ha permitido tener una “extensión geográfica más amplia” y penetrar organizaciones en América del Norte y del Sur, Europa, África y Asia.

Desde entonces se ha relacionado con ataques cibernéticos de alto perfil que se dirigieron contra la red financiera SWIFT entre 2015 y 2016 como el audaz robo del Banco de Bangladesh que ocurrió en febrero de 2016 y resultó en la pérdida de $ 81 millones.

BlueNoroff estableció una gran cantidad de dominios falsos algunos de los cuales se hacían pasar por bancos y otras empresas de capital de riesgo.

Se han identificado algunos de los dominios falsos para replicar empresas legítimas como ABF Capital, Angel Bridge, ANOBAKA, Bank of America y Mitsubishi UFJ Financial Group. La mayoría de estas empresas legítimas tienen su sede en Japón lo que indica un “fuerte interés” en la zona.

Esta organización está impulsada principalmente por preocupaciones financieras y tiene un éxito genuino en obtener ganancias de los hacks que lanzan.

El hecho de que uno de los documentos del señuelo tuviera nombres de archivo en japonés además del hecho de que se crearon dominios falsos y se disfrazaron de negocios de capital de riesgo japoneses legales es evidencia de que BlueNoroff probablemente se dirija a instituciones financieras ubicadas en la nación isleña de Japón.

La reacción de Corea del Norte a las restricciones económicas impuestas por las Naciones Unidas y otras naciones debido a las preocupaciones sobre sus programas nucleares ha sido poner un énfasis significativo en sus capacidades de guerra cibernética. Además últimamente ha sido una importante fuente de ingresos para la nación con problemas de liquidez.

Según el Servicio de Inteligencia Nacional (NIS) de Corea del Sur se cree que los hackers patrocinados por el estado de Corea del Norte son responsables del robo de aproximadamente $ 1.2 mil millones en criptomonedas y otros activos digitales de objetivos ubicados en todo el mundo en el transcurso de los últimos cinco años.

El cargo Nueva técnica de ataque utiliza formatos de archivo .ISO y .VHD para eludir Windows MotW Security apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Crypto Wallet Bitkeep sufrió un hackeo que resultó en que los usuarios perdieran millones

En medio del hackeo en curso el equipo de BitKeep aconsejó a sus usuarios que movieran sus fondos a las billeteras oficiales de Google Play o App Store.

Los hackeos son un problema persistente para la industria de las criptomonedas.

La billetera de criptomonedas multicadena BitKeep informó hoy un incidente de hackeo que resultó en que los usuarios perdieran millones en varias criptomonedas.

El equipo del proyecto dijo que la investigación preliminar apunta a algunas descargas de paquetes APK que fueron secuestradas e instaladas con código malicioso inyectado por hackers.

APK que significa paquete de Android es el formato de archivo que utiliza Android para distribuir e instalar aplicaciones. A menudo disponibles fuera de Google Play los APK permiten a los usuarios instalar aplicaciones en sus teléfonos Android desde fuentes de terceros lo que a su vez puede generar mayores riesgos de seguridad.

“Si le roban sus fondos, la aplicación que descarga o actualiza puede ser una versión desconocida (versión de lanzamiento no oficial) secuestrada” escribió el equipo de BitKeep en su grupo oficial de Telegram.

BitKeep también aconsejó a aquellos usuarios que descargaron la versión APK que transfirieran sus fondos a la billetera descargada de App Store o Google Play. Idealmente, se les pide a los usuarios que hagan esto utilizando una dirección de billetera recién creada ya que las direcciones creadas a través del APK malicioso pueden haberse filtrado a los hackers.

Millones drenados de Bitkeep

La empresa de seguridad PeckShield estimó inicialmente que la cantidad total de fondos robados era de unos 8 millones de dólares en varios activos digitales.

#PeckShieldAlert #BitKeep informó que se robaron los fondos de varios usuarios, el funcionario afirmó que posiblemente debido a la descarga de una versión hackeada del APK, hasta ahora se han robado activos por un valor de ∼ $ 8M, incluidos ~ 4373 $ BNB , 5.4M $ USDT , 196k $ DAI y 1233.21 $ ETH pic.twitter.com/ZdomZGFWRO

– PeckShieldAlert (@PeckShieldAlert) 26 de diciembre de 2022

#PeckShieldAlert #BitKeep reported that several users' funds were stolen, the official stated that possibly due to downloading a hacked APK version
∼$8M worth of assets have been stolen so far, including ~4373 $BNB, 5.4M $USDT, 196k $DAI, and 1233.21 $ETH pic.twitter.com/ZdomZGFWRO

— PeckShieldAlert (@PeckShieldAlert) December 26, 2022

Aunque algunos usuarios de Twitter están cuestionando esta versión de los hechos informando casos de fondos robados de las billeteras descargadas oficialmente BitKeep, con sede en Singapur, ha redoblado su investigación preliminar.

“El incidente de robo de hoy se debe principalmente al secuestro de la APK 7.2.9. Si los usuarios están utilizando la versión APK, es muy probable que no sea la versión oficial. Por lo tanto, ya permitimos que los usuarios transfieran los fondos a la billetera complementaria BitKeep Chrome lo antes posible, o a la aplicación descargada de la tienda oficial y crear una nueva dirección de billetera ” dijo un portavoz de Bitkeep a Decrypt  y agregó que”no hay problema” con la aplicación descargada de la App Store oficial o Google Play.

En un informe separado la firma de seguridad Hacken dijo que se robaron aproximadamente $ 6 millones en criptoactivos, y agregó que “el ataque aún está en curso y el atacante está transfiriendo directamente los activos de los usuarios a múltiples direcciones”.

1. Por ahora se han robado aproximadamente 6 millones de dólares en activos.

Pero el ataque aún está en curso y el atacante está transfiriendo directamente los activos de los usuarios a varias direcciones.

— Hacken🇺🇦 (@hackenclub) 26 de diciembre de 2022

1. For now approximately ∼$6M worth of assets have been stolen

But the attack is still ongoing and the attacker is directly transferring users assets to multiple addresses

— Hacken🇺🇦 (@hackenclub) December 26, 2022

Según Hacken, las direcciones principales con fondos robados se identificaron como una billetera Binance Smart Chain y una billetera Ethereum , y esta última vio dos grandes transacciones salientes por valor de 709 Ethereum (alrededor de $ 865,000) y 504 Ethereum (alrededor de $ 615,000), respectivamente.

OKLink, otro servicio de datos de cadenas múltiples informó la friolera de $ 31 millones en varios activos robados en Binance Smart Chain, Ethereum, Tron y Polygon. Con el ataque en curso es probable que estas cifras apunten a un hacker que continúa beneficiándose de las descargas errantes del APK malicioso por parte de los usuarios.

Este no es el primer incidente de hackeo dirigido a BitKeep este año, ya que la billetera sufrió un exploit en octubre que resultó en la pérdida de $ 1 millón en tokens Binance Coin (BNB).

El cargo Crypto Wallet Bitkeep sufrió un hackeo que resultó en que los usuarios perdieran millones apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

El Kernel de Linux tiene una vulnerabilidad de Día Cero de ejecución remota de código con una puntuación de CVSS de 10

La vulnerabilidad use after free que está vinculada a ksmbd afecta a las computadoras que ejecutan distribuciones de Linux con núcleos anteriores a 5.15.61. Esto deja a los sistemas susceptibles abiertos a ciberataques desde una ubicación remota. Los servidores SMB que tienen ksmbd habilitado son vulnerables al hackeo debido a una vulnerabilidad grave en el kernel de Linux (puntuación CVSS de 10). KSMBD es un servidor de intercambio de archivos para el kernel de Linux que implementa el protocolo SMB3 en el espacio del kernel. Permite a los usuarios transferir archivos a través de una red. Las instalaciones del Kernel de Linux que son susceptibles de ataque pueden tener un código arbitrario ejecutado en ellas por un atacante que no está autorizado de forma remota. Es una implementación del protocolo SMB/CIFS en el espacio del kernel que permite compartir servicios y archivos IPC a través de una red. El primer objetivo es mejorar la velocidad de E/S de los archivos, pero el objetivo general es tener ciertas funciones nuevas que sean mucho más simples de construir y mantener dentro del kernel así como exponer completamente las capas.

El procesamiento de las instrucciones SMB2 TREE DISCONNECT es donde se puede encontrar la debilidad de seguridad.
“Cualquier código arbitrario puede ser ejecutado por atacantes remotos gracias a esta vulnerabilidad, que afecta a ciertas instalaciones del Kernel de Linux. La explotación de esta vulnerabilidad no necesita autenticación; no obstante, la vulnerabilidad solo está presente en los sistemas que tienen ksmbd habilitado. lee el consejo que acaba de publicar ZDI. “La vulnerabilidad exacta se puede encontrar en el procesamiento de las instrucciones de DESCONEXIÓN DEL ÁRBOL SMB2”, dijo el investigador. La vulnerabilidad surge del hecho de que no se intentó verificar que un objeto existiera realmente antes de realizar acciones sobre el objeto. Esta vulnerabilidad permite que un atacante ejecute código en el contexto del kernel, que puede ser aprovechado por el atacante.

A fines del mes de julio, los ingenieros que trabajaban en el kernel de Linux lanzaron un parche para abordar la vulnerabilidad de la ejecución remota de código y corrigieron la vulnerabilidad en la versión 5.15.61 del kernel de Linux.

Según el investigador Shir Tamari, jefe de investigación de Wiz IO, los servidores SMB que usan Samba no se ven afectados. Sin embargo, afirmó que los servidores SMB que usan ksmbd son susceptibles al acceso de lectura, lo que podría provocar una fuga de memoria en el servidor.

Vulnerability only affects SMB servers using the experimental ksmbd module (Intro'd in Linux 5.15). If your SMB server uses Samba, you're safe. If it uses ksmbd, an attacker with read access could leak your server's memory (similar to Heartbleed). https://t.co/xw7eOlJo8Q

— Shir Tamari (@shirtamari) December 22, 2022

Existe otra vulnerabilidad que permite la ejecución remota de código en el kernel de Linux (ZDI-22-1688). Esta vulnerabilidad también afecta a ksmbd y NVD del NIST le otorgó una puntuación base de gravedad alta de 8,5. Para aprovechar esta vulnerabilidad se necesitaría autenticación.

Estas tres vulnerabilidades tienen el potencial de causar divulgaciones de información, así como interrupciones en el servicio:

ZDI-22-1691 es una vulnerabilidad de divulgación de información de lectura fuera de los límites de ksmbd del kernel de Linux con una puntuación CVSS de 9,6.
ZDI-22-1689 es una vulnerabilidad fuera de los límites en el ksmbd del kernel de Linux (puntuación CVSS: 6,5). Consulte el informe de vulnerabilidad de denegación de servicio.
Se descubrió una vulnerabilidad de denegación de servicio por agotamiento de la memoria en Linux Kernel ksmbd ( ZDI-22-1687 ; puntuación CVSS: 5,3).

Si instaló previamente las versiones del kernel de Linux 5.15.61 y aplicó la confirmación, un ataque que utilice estas vulnerabilidades no podrá comprometer su dispositivo.

El cargo El Kernel de Linux tiene una vulnerabilidad de Día Cero de ejecución remota de código con una puntuación de CVSS de 10 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

La Botnet Zerobot ahora puede hackear servidores Apache y Apache Spark

Las actividades de malware realizadas por botnets representan un peligro para los dispositivos y las redes que siempre se está desarrollando. Debido al hecho de que las configuraciones de los dispositivos de Internet de las cosas (IoT) a menudo los dejan abiertos a ataques, los actores de amenazas apuntan a estos dispositivos para reclutarlos en actividades nefastas. Además la cantidad de dispositivos conectados a Internet continúa aumentando. Los operadores están volviendo a implementar malware para una variedad de distribuciones y objetivos cambiando las botnets existentes para expandir las operaciones y agregando tantos dispositivos como sea posible a su infraestructura, de acuerdo con las tendencias recientes.

Un ejemplo de una amenaza que siempre se está adaptando es Zerobot que es una red de bots basada en Go que se propaga en gran medida a través de vulnerabilidades en dispositivos y aplicaciones en línea de Internet de las cosas (IoT). Los controladores del malware agregan continuamente nuevos exploits y capacidades. Durante muchos meses, el equipo de investigación de Microsoft Defender para IoT ha estado atento a Zerobot, al que sus propietarios también se refieren como ZeroStresser. Desde que Microsoft comenzó a monitorearlo, Zerobot ha sufrido muchas iteraciones de modificación y ha estado disponible como parte de un programa de malware como servicio. La Oficina Federal de Investigaciones (FBI) incautó varios dominios en diciembre de 2022 que estaban relacionados con negocios de DDoS para contratar. Entre esos dominios había uno que tenía vínculos con Zerobot.

Microsoft ya ha comentado sobre el entorno en constante cambio de peligros potenciales. La transición de la economía cibernética hacia el malware como servicio ha industrializado los ataques y ha simplificado la compra y el uso de malware por parte de los atacantes el establecimiento y mantenimiento del acceso a redes comprometidas y el uso de herramientas preparadas para llevar a cabo sus ataques. Esto ha llevado a un aumento en el número de ciberataques exitosos. Hemos estado atentos a los anuncios de la botnet Zerobot en una variedad de redes sociales, además de otras notificaciones sobre la venta y el mantenimiento del malware así como capacidades adicionales que están actualmente en desarrollo.

La botnet Zerobot, que se descubrió por primera vez a principios de este mes, tiene como objetivo los sistemas Apache en un esfuerzo por ampliar la gama de dispositivos de Internet de las cosas (IoT) que puede atacar.

Según un informe que hizo público el miércoles el equipo de Microsoft Security Threat Intelligence (MSTIC), el modelo de malware como servicio (MaaS) se está utilizando para vender la botnet que fue escrita en el lenguaje de programación Go. La red de bots se propaga a través de vulnerabilidades en dispositivos y aplicaciones web de Internet de las cosas (IoT).

Investigadores de FortiGuard Labs de Fortinet fueron quienes hicieron el primer descubrimiento de Zerobot a principios de diciembre. Dijeron que la botnet apuntaba a las máquinas Linux. El objetivo, al igual que el de las redes de bots tradicionales, es obtener el control de los dispositivos conectados a Internet, como firewalls, enrutadores y cámaras web e incorporarlos a una red de bots para llevar a cabo ataques DDoS.

El informe publicado por MSTIC esta semana amplía los resultados originales descubiertos por FortiGuard al describir las progresiones que se han realizado en la generación más reciente de la red de bots.

Según una investigación publicada por MSTIC, “Zerobot 1.1 amplía sus capacidades al incluir nuevas técnicas de ataque y nuevas vulnerabilidades para arquitecturas compatibles” lo que amplía el alcance de la capacidad del malware para infectar una variedad de diversos tipos de dispositivos electrónicos.

Escribieron que Zerobot, que también es conocido por sus operadores como ZeroStresser y es rastreado por Microsoft como DEV-1061 usa múltiples módulos para infectar dispositivos vulnerables que se basan en una variedad de diseños arquitectónicos y sistemas operativos. Esta información proviene del hecho de que Microsoft es consciente del malware. Sin embargo, la actualización más reciente está dirigida a los sistemas operativos Apache y Apache Spark.

Según la información proporcionada por MSTIC, Zerobot 1.1 ahora puede explotar vulnerabilidades en Apache (CVE-2021-42013) y Apache Spark (CVE=2022-33891). También hay más vulnerabilidades en los sistemas MiniDVBLinux DVR, los sistemas de redes Grandstream y la interfaz gráfica de usuario Roxy-WI.

Los investigadores escribieron que la red de bots se aprovecha de las vulnerabilidades de los dispositivos que no han sido parcheados o que tienen medidas de seguridad inadecuadas. En algunos casos la botnet utilizará técnicas de fuerza bruta en dispositivos vulnerables que incluyen configuraciones inseguras que utilizan credenciales predeterminadas o débiles.

Según su informe “el malware puede intentar adquirir acceso a dispositivos explotando una combinación de ocho nombres de usuario populares y 130 contraseñas para dispositivos IoT que usan SSH y telnet en los puertos 23 y 2323 para propagarse a los dispositivos”. También señalaron que se han realizado esfuerzos para abrir puertos y conectarse a ellos mediante la activación de puertos en los puertos 80, 8080, 8888 y 2323.

La carga útil maliciosa que arroja la botnet es un script genérico llamado zero.sh que ejecuta Zerobot o un script que descarga el binario Zerobot de una arquitectura particular a través de la fuerza bruta. De cualquier manera, la carga útil es dañina.

A principios de este mes, el FBI tomó el control de aproximadamente cincuenta dominios que se usaban para realizar ataques de denegación de servicio distribuidos (DDoS) en todo el mundo. Uno de esos dominios estaba vinculado con ZeroStresser.

El Internet de las cosas está impulsado por una variedad de diseños de unidades de procesamiento central, incluidos x86, Arm y MIP. Zerobot continuará examinando muchas opciones binarias hasta que localice la correcta.

Además el malware utiliza una variedad de mecanismos de persistencia que son específicos para cada sistema operativo. Los investigadores dijeron que han descubierto muestras que pueden operar en Windows y guardarse a través de la carpeta de Inicio a pesar de que no se puede propagar a computadoras basadas en Windows. Hace uso de una combinación de configuraciones de entrada de escritorio, daemon y servicio en sistemas basados ​​en Linux.

Las muestras de Windows se derivan de una pieza de malware de código abierto que puede infectar computadoras que ejecutan Windows, Linux y macOS.

Se sabía que Zerobot tenía nueve formas distintas de iniciar ataques DDoS, y los investigadores de MSTIC identificaron siete más. Estas nuevas técnicas incluyen el envío de paquetes UDP y TCP con cargas útiles personalizables, así como la entrega de paquetes SYN o ACK de forma individual o conjunta.

Los investigadores de Microsoft también descubrieron una muestra que puede ejecutarse en Windows y se basa en una herramienta de administración remota (RAT) de código abierto multiplataforma (Linux, Windows, macOS) que tiene múltiples funciones incluida la capacidad de administrar procesos, realizar operaciones de archivo, tomar capturas de pantalla y ejecutar comandos. El descubrimiento de esta herramienta fue posible gracias a la investigación de las direcciones IP de comando y control (C2) utilizadas por el malware. Esta herramienta de administración remota (RAT) se puede descargar con el uso de un script llamado impst.sh:

El desarrollo continuo de nuevas capacidades y la velocidad con la que se agregan a la versión más reciente de Zerobot resaltan la urgencia de establecer medidas de seguridad exhaustivas. Las siguientes son algunas precauciones que se deben tomar para proteger los dispositivos y las redes contra el peligro que representa Zerobot

Utilice soluciones de seguridad que ofrezcan protección integrada en terminales, identidades, correo electrónico, aplicaciones y datos. Estas soluciones tienen la capacidad de brindar visibilidad entre dominios y capacidades de detección.
Adopte una solución de seguridad IoT completa para IoT para ver y monitorear todos los dispositivos IoT y OT, detectar y responder a amenazas e integrarse con plataformas SIEM/SOAR y XDR.

El cargo La Botnet Zerobot ahora puede hackear servidores Apache y Apache Spark apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Caroline Ellison, ex directora ejecutiva de Alameda se declara culpable de cargos que conllevan hasta 110 años de prisión tras el colapso de FTX

• Caroline Ellison ex directora ejecutiva de Alameda Research se declaró culpable de cargos que conllevan hasta 110 años de prisión.
• Según su acuerdo de culpabilidad se declaró culpable de siete cargos incluido fraude electrónico y de valores.
• También ha accedido a pagar la restitución de una cantidad que será determinada por los tribunales.

Caroline Ellison ex directora ejecutiva de Alameda Research se declaró culpable de cargos que conllevan hasta 110 años de prisión después de llegar a un acuerdo con el Departamento de Justicia.

No es probable que cumpla ni cerca del máximo legal por los cargos de los que se declaró culpable debido al acuerdo de culpabilidad que firmó con los fiscales en el Distrito Sur de Nueva York, con fecha del 18 de diciembre.

Ellison enfrenta siete cargos que en conjunto conllevan una pena máxima de prisión de 110 años. Estos incluyen conspiración para cometer fraude electrónico, fraude de valores y fraude de productos básicos. También enfrenta un cargo de conspiración para cometer lavado de dinero.

Ellison acordó renunciar a cualquier defensa a los cargos, según su acuerdo con los fiscales también acordó pagar una restitución cuyo monto determinarán los tribunales.

Como parte del trato Ellison debe cooperar plenamente con los fiscales el FBI y cualquier otra agencia de aplicación de la ley. También debe proporcionar documentos, registros y pruebas a los fiscales así como testificar ante un gran jurado o en juicios judiciales cuando se le solicite.

Un abogado de Ellison no respondió de inmediato a una solicitud de comentarios.

Ellison era la novia intermitente del cofundador de FTX Sam Bankman-Fried. Ella era la jefa de Alameda Research, la empresa comercial que lanzó Bankman-Fried. Gary Wang otro cofundador de FTX, también trabajó con Bankman-Fried y Ellison en Alameda Research.

Wang al igual que Ellison se ha declarado culpable de fraude según un anuncio del miércoles del fiscal federal del Distrito Sur de Nueva York. 

En noviembre, Reuters informó que Bankman-Fried movió en secreto $10 mil millones en fondos de clientes de FTX a Alameda Research . Una gran parte de ese dinero ha desaparecido dijeron fuentes de Reuters fijando la cantidad entre $ 1 mil millones y $ 2 mil millones. 

Bankman-Fried dijo a Reuters que “no estaba de acuerdo con la caracterización” de la transferencia de 10.000 millones de dólares.

“No nos transferimos en secreto”, dijo a Reuters en mensajes de texto en ese momento. “Tuvimos un etiquetado interno confuso y lo leímos mal”.

El miércoles por la noche Bankman-Fried fue extraditado de las Bahamas y aterrizó de regreso en los Estados Unidos.

FTX solicitó la protección por bancarrota del Capítulo 11 el 11 de noviembre después de que implosionó diezmando miles de millones en fondos de clientes de la noche a la mañana . Bankman-Fried renunció como CEO el mismo día.

El cargo Caroline Ellison, ex directora ejecutiva de Alameda se declara culpable de cargos que conllevan hasta 110 años de prisión tras el colapso de FTX apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Casino Online BetMGM, DraftKings hackeado y los datos de 1,5 millones de jugadores filtrados

BetMGM un sitio web de apuestas deportivas en línea propiedad de MGM Resorts anunció una violación de datos el mismo día en que los hackers intentaron vender una base de datos que contenía 1,5 millones de registros de usuarios de BetMGM.

BetMGM dijo en su sitio web el 21 de diciembre que “se obtuvo acceso no autorizado a la información del cliente”. MGM Resorts publicó 142 millones de detalles de clientes en Telegram en mayo de 2022 como resultado de una violación de datos en 2020; BetMGM es la empresa más reciente en tener una violación de datos.

BetMGM es un negocio de apuestas deportivas en línea que recientemente experimentó una violación de datos, lo que resultó en el robo de la información de 1,57 millones de clientes. El atacante publicó la información robada en BreachedForums un sitio de cibercrimen y hacking que surgió como una alternativa al Raidforums ahora incautado el mismo día en que fue tomada.

En su artículo, el atacante afirmó que la base de datos tenía información de cada consumidor que hizo una apuesta de casino en noviembre. El mensaje se publicó el 21 de diciembre de 2022. Además el hacker proporcionó muestras de datos. Sin embargo no quedó claro cuánto solicitaron por la base de datos.

“Comprometimos la base de datos del casino de BetMGM a partir de noviembre de 2022. La base de datos contiene todos los clientes de casino de BetMGM (casi 1,5 millones) de MI, NJ, ON, PA y WV a partir de noviembre de 2022. “Todo consumidor que haya jugado alguna vez en un casino es incluidos en esta base de datos” dijo el hacker.

La corporación reveló que descubrió una violación de datos y cree que el incidente ocurrió en mayo de 2022.

Según BetMGM, la información robada incluye los nombres de los clientes, direcciones postales, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, identificadores de cuentas, números de seguridad social cifrados y datos relacionados con transacciones.

La corporación afirmó que los datos “varían según el cliente” y que no hay pruebas de que se haya accedido a contraseñas o saldos de cuentas. La corporación continúa recomendando a los usuarios que restablezcan sus contraseñas y ha ofrecido brindar servicios gratuitos de restauración de identidad y monitoreo de crédito a los clientes afectados por hasta dos años.

En el ataque de DraftKings los hackers explotaron las credenciales comprometidas para obtener acceso a las cuentas de los usuarios, recopilar información personal y tomar cientos de miles de dólares de las cuentas de las víctimas.

Los nombres de los clientes, números de teléfono, direcciones, direcciones de correo electrónico, saldos de cuentas, imágenes de perfil, detalles de transacciones anteriores, la fecha de su último cambio de contraseña y los últimos cuatro dígitos de sus tarjetas de crédito o débito se encuentran entre los datos confidenciales que DraftKings dice que pueden han sido robados en este incidente.

Sin embargo no hubo pruebas de que los hackers tomaran SSN, detalles de cuentas bancarias o números de licencia de conducir. DraftKings pidió a los usuarios que actualizaran inmediatamente las credenciales de su cuenta y restablecieran sus contraseñas. Además los hackers tomaron dinero en efectivo de las cuentas de las víctimas. En particular el cofundador de la empresa Paul Liberman declaró que se robaron $ 300,000 de las cuentas de las víctimas. El hecho ocurrió durante el mes de noviembre.

El viernes DraftKings entregó cartas de notificación a los consumidores afectados informándoles sobre la violación de datos y afirmó que reembolsará el dinero robado.

pic.twitter.com/R8tD6xryZO

— DraftKings CX Team (@DK_Assist) November 21, 2022

“Según nuestra investigación hasta el momento creemos que los atacantes obtuvieron su nombre de usuario o dirección de correo electrónico y contraseña de una fuente que no es de DraftKings y luego los utilizaron para ingresar a su cuenta de DraftKings” decía la carta.

El cargo Casino Online BetMGM, DraftKings hackeado y los datos de 1,5 millones de jugadores filtrados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente