Técnicas activas y pasivas para rastrear y espiar móviles por redes móviles

Los datos de redes móviles podrían ser uno de nuestros expedientes más recientes y completos. Nuestros teléfonos móviles están vinculados a estas redes y exponen nuestra demografía, círculos sociales, hábitos de compra, patrones de sueño, dónde vivimos y trabajamos e historial de viajes. Las debilidades técnicas de las redes de comunicaciones móviles amenazan estos datos agregados. Estas vulnerabilidades pueden revelar información privada a numerosos y diversos actores y están estrechamente relacionadas con la forma en que los teléfonos móviles se desplazan entre los proveedores de telefonía móvil para viajar. Estas vulnerabilidades suelen estar relacionadas con señales de señalización transmitidas a través de redes de telecomunicaciones, que exponen a los teléfonos a una posible divulgación de su ubicación.

Las redes de telecomunicaciones utilizan enlaces de señalización abiertos y privados. Estas conexiones permiten el roaming local e internacional, lo que permite que los teléfonos móviles cambien de red sin problemas. Estos protocolos de señalización también permiten a las redes obtener información del usuario, incluido si un número está activo, si los servicios son accesibles, en qué red nacional están registrados y dónde están ubicados. Estas conexiones y protocolos de señalización son continuamente atacados y explotados por actores de vigilancia, exponiendo nuestros teléfonos a varias técnicas de divulgación de ubicación .

La mayor parte de la divulgación ilegal de ubicaciones basadas en redes se puede lograr porque las redes de telecomunicaciones móviles interactúan. Las agencias de inteligencia y seguridad extranjeras, las empresas de inteligencia comercial y las fuerzas del orden solicitan habitualmente datos de ubicación. Las agencias policiales y de inteligencia pueden obtener información de geolocalización en secreto utilizando tácticas similares a las empleadas por los delincuentes. Nos referiremos a todos estos actores como “actores de vigilancia” a lo largo de este artículo, ya que están interesados ​​en la vigilancia por geolocalización móvil.

A pesar de la adopción mundial de la red 4G y del rápido desarrollo de la huella de la red 5G, muchos dispositivos móviles y sus propietarios utilizan redes 3G. La GSMA, que ofrece información, servicios y reglas para la industria móvil, informa una penetración de suscriptores 3G del 55% en Europa del este, Medio Oriente y África subsahariana. La empresa de inteligencia del mercado móvil Mobilesquared, con sede en el Reino Unido, estima que solo el 25% de los operadores de redes móviles a nivel mundial habían construido un firewall de señalización para evitar el espionaje de geolocalización a finales de 2021. Los conocedores de las telecomunicaciones saben que las vulnerabilidades en el protocolo de señalización SS7 de itinerancia 3G han permitido a las empresas productos de vigilancia para proporcionar anonimato, múltiples puntos de acceso y vectores de ataque, una red ubicua y accesible globalmente con una lista ilimitada de objetivos y prácticamente sin riesgos financieros o legales.

La investigación realizada por Citizen Labs se centra en los riesgos de geolocalización derivados de ataques a redes de señalización móvil. La vigilancia activa o pasiva puede revelar la posición de un usuario utilizando redes de señalización móvil. Pueden utilizar numerosas estrategias para hacer esto.

Los dos métodos difieren significativamente. La vigilancia activa emplea software para activar una respuesta de la red móvil con la posición del teléfono objetivo, mientras que la vigilancia pasiva utiliza un dispositivo de recopilación para recuperar las ubicaciones del teléfono directamente desde la red. Una red adversaria emplea software para enviar mensajes de señalización falsificados a redes móviles objetivo susceptibles para consultar y recuperar la geolocalización del teléfono objetivo durante ataques activos. Estos ataques son concebibles en redes sin salvaguardias de seguridad implementadas o configuradas adecuadamente. A menos que puedan instalar o acceder a dispositivos de recolección pasiva en redes globales, un actor que alquila una red solo puede utilizar tácticas de vigilancia activa.

Sin embargo, los operadores de telefonía celular y otras personas pueden verse obligados a realizar un monitoreo activo y pasivo. En este caso, el operador de red puede estar obligado legalmente a permitir el monitoreo o enfrentarse a un interno hostil que accede ilegalmente a las redes móviles. Un tercero podría obtener acceso al operador o proveedor comprometiendo el acceso VPN a sistemas de red específicos, permitiéndoles recopilar información de ubicación de usuarios activos y pasivos.

El informe analiza principalmente las amenazas de geolocalización en las redes de señalización móvil. Estas amenazas involucran actores de vigilancia que utilizan métodos activos o pasivos para determinar la ubicación de un usuario.

Vigilancia activa :

• En la vigilancia activa, los actores utilizan software para interactuar con redes móviles y obtener una respuesta con la ubicación del teléfono objetivo.
• Las redes vulnerables sin controles de seguridad adecuados son susceptibles a ataques activos.
• Los actores pueden acceder a las redes mediante acuerdos de arrendamiento para llevar a cabo una vigilancia activa.

Vigilancia pasiva :

• En la vigilancia pasiva, se utiliza un dispositivo de recopilación para obtener la ubicación de los teléfonos directamente desde la red.
• Los actores de vigilancia podrían combinar métodos activos y pasivos para acceder a la información de ubicación.

Ataques activos :

• Los actores utilizan software para enviar mensajes de señalización diseñados a redes móviles para obtener información de geolocalización.
• Obtienen acceso a las redes a través de acuerdos comerciales con operadores móviles u otros proveedores de servicios conectados a la red global.

Vulnerabilidades en la búsqueda del registro de ubicación de inicio (HLR) :

• Se pueden utilizar servicios comerciales de búsqueda de HLR para comprobar el estado de los números de teléfonos móviles.
• Los actores de vigilancia pueden pagar por estos servicios para recopilar información sobre la ubicación, el país y la red del teléfono objetivo.
• Los actores con acceso a la red SS7 pueden realizar búsquedas HLR sin servicios intermediarios.

Amenazas internas :

• Las amenazas de divulgación de ubicación nacional son preocupantes cuando los operadores móviles autorizan a terceros a conectarse a su red.
• Una configuración inadecuada de los firewalls de señalización puede permitir que los ataques que se originan dentro de la misma red pasen desapercibidos.
• En algunos casos, las fuerzas del orden o las instituciones estatales pueden explotar las vulnerabilidades en las redes de telecomunicaciones.

Ataques pasivos :

• Los ataques de ubicación pasiva implican la recopilación de datos de uso o ubicación mediante dispositivos instalados en la red.
• Las sondas de señalización y las herramientas de monitoreo capturan el tráfico de la red con fines operativos y de vigilancia.
• Los agentes de vigilancia pueden utilizar estos dispositivos para rastrear la ubicación de los teléfonos móviles, incluso sin llamadas activas o sesiones de datos.

Ejemplos de captura de paquetes de monitoreo de ubicación :

• Las capturas de paquetes muestran ejemplos de mensajes de señalización utilizados para el seguimiento de la ubicación.
• La información de ubicación, como las coordenadas GPS y la información del celular, puede quedar expuesta a través de estos mensajes.
• Las sesiones de datos del usuario pueden revelar información como IMSI, MSISDN e IMEI, lo que permite el seguimiento del usuario.

El informe destaca los diversos métodos y vulnerabilidades que los actores de vigilancia pueden explotar para obtener la geolocalización de los usuarios móviles, tanto a nivel nacional como internacional. Con base en la historia, las evaluaciones de seguridad de las redes móviles presentes y futuras, el monitoreo de la geolocalización debería continuar alarmando al público y a los formuladores de políticas. Se predice que las vulnerabilidades explotables en los diseños de redes 3G, 4G y 5G persistirán sin una apertura forzada que exponga malas prácticas y mecanismos de responsabilidad que requieran que los operadores las solucionen. Los tres tipos de redes ofrecen a los actores de vigilancia más posibilidades. Si los estados nacionales y las entidades del crimen organizado pueden monitorear activamente la ubicación de los teléfonos móviles en el país o en el extranjero, tales vulnerabilidades seguirán amenazando a los grupos en riesgo, al personal corporativo, al ejército y a los funcionarios gubernamentales.

El cargo Técnicas activas y pasivas para rastrear y espiar móviles por redes móviles apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo APT28 se infiltra en las redes en universidades y plantas nucleares francesas sin ser detectado

Según un estudio reciente publicado por la principal agencia de ciberseguridad de Francia, una organización de hackers afiliada a la agencia de inteligencia militar de Rusia ha estado espiando a colegios, empresas, grupos de reflexión e instituciones gubernamentales francesas. La investigación fue publicada por la agencia.

Desde la segunda mitad de 2021, el grupo de hackers conocido como Fancy Bear o APT28 ha estado operando de manera encubierta en las redes informáticas francesas en un esfuerzo por adquirir una variedad de tipos de datos sensibles. Según los hallazgos de la investigación llevada a cabo por la Agencia Nacional de Ciberseguridad de Francia, también conocida como ANSSI, los perpetradores de los ataques hackearon sistemas que no estaban siendo vigilados activamente, como routers, y se abstuvieron de utilizar puertas traseras para evitar ser descubiertos. Estos ciberatacantes infiltran dispositivos periféricos en redes organizativas francesas de vital importancia, según un estudio reciente publicado por la Agencia Nacional de Seguridad de los Sistemas de Información de Francia (ANSSI), y lo hacen sin utilizar puertas traseras para evitar la detección. Después de realizar un análisis de las Técnicas, Tácticas y Procedimientos (TTP) del grupo, ANSSI llegó a la conclusión de que APT28 se infiltra en las redes objetivo mediante fuerza bruta y filtraciones de credenciales para acceder a cuentas y routers Ubiquiti. En abril de 2023, se inició una expedición de phishing con el propósito de obtener configuraciones del sistema, información sobre operaciones en curso y otros datos relevantes. Utilizando la vulnerabilidad identificada como CVE-2023-23397, APT28 envió correos electrónicos a usuarios de Outlook durante los meses de marzo de 2022 a junio de 2023. Para llevar a cabo tareas de reconocimiento y recopilación de datos, los atacantes utilizaron otras vulnerabilidades, como CVE-2022-30190 (Follina) en la Herramienta de Diagnóstico de Soporte de Windows de Microsoft (MSDT) y CVE-2020-12641 en el webmail Roundcube. Ambas vulnerabilidades fueron explotadas por los atacantes.

120 hospitales en Francia afectados por un ataque masivo de ransomware: sistemas de salud caídos

Para llevar a cabo sus intrusiones, el grupo utilizó aplicaciones como el recolector de contraseñas Mimikatz y la herramienta de retransmisión de tráfico reGeorg. Además, utilizaron servicios de código abierto como Mockbin y Mocky. Es importante entender que APT28 utiliza una amplia variedad de clientes de VPN diferentes.

Como grupo de ciberespionaje, la misión principal de APT28 es obtener acceso no autorizado y robar información de sus objetivos. Los hackers robaron información sensible de cuentas de correo electrónico y robaron detalles de autenticación utilizando herramientas comunes. También robaron correos electrónicos llenos de información personal. La arquitectura de Comando y Control (C2) está basada en servicios en la nube como Google Drive y Microsoft OneDrive, lo que dificulta su identificación.

ANSSI ha mapeado las Técnicas, Tácticas y Procedimientos (TTP) de APT28 y encontró que la organización amenazante viola cuentas y routers Ubiquiti en redes objetivo mediante ataques de fuerza bruta y bases de datos filtradas que contienen contraseñas.

En un incidente que ocurrió en abril de 2023, los adversarios llevaron a cabo un esfuerzo de phishing que engañó a los receptores para ejecutar PowerShell, lo que reveló la configuración de su sistema, procesos en ejecución y otra información relacionada con el sistema operativo.

APT28 es responsable de enviar correos electrónicos a usuarios de Outlook que atacaron una vulnerabilidad de día cero que ahora se conoce como CVE-2023-23397. Estos correos electrónicos se enviaron entre marzo de 2022 y junio de 2023, lo que sitúa la primera explotación un mes antes de lo que se reveló anteriormente.

ANSSI enfatiza la importancia de adoptar un enfoque integral de seguridad, que incluye la realización de evaluaciones de riesgos. Dada la amenaza que representa APT28, se debe prestar especial atención a la seguridad de las comunicaciones por correo electrónico. A continuación se presenta una lista de las sugerencias más importantes que la organización tiene sobre la seguridad del correo electrónico:

• Proteger la privacidad de las comunicaciones por correo electrónico y prevenir su divulgación mediante la adopción de sistemas de intercambio seguros como medio para evitar la desviación o adquisición del tráfico de correo electrónico.
• Reducir los posibles puntos de ataque en las interfaces en línea de correo electrónico y gestionar los riesgos asociados con servidores como Microsoft Exchange.
• Implementar mecanismos que puedan identificar correos electrónicos maliciosos.

El cargo Cómo APT28 se infiltra en las redes en universidades y plantas nucleares francesas sin ser detectado apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

De Confiable a Desacreditado: Okta Hackeado de Nuevo. Relato de Pesadillas de Seguridad, 4 Veces en 2 Años

La reciente violación de Okta ha generado preocupación dentro de la comunidad de ciberseguridad. El 20 de octubre de 2023, Okta, un proveedor de servicios de identidad como autenticación multifactor e inicio de sesión único, reveló una violación de seguridad que implicó el acceso no autorizado a su sistema de atención al cliente. El incidente salió a la luz cuando los piratas informáticos aprovecharon una credencial robada para infiltrarse en el sistema de gestión de casos de soporte de Okta , donde podían ver los archivos cargados por ciertos clientes con el fin de solucionar problemas. Estos archivos, normalmente archivos HTTP Archive (HAR), son confidenciales ya que pueden contener cookies y tokens de sesión de los clientes, que podrían explotarse para hacerse pasar por usuarios válidos.

1. NATURALEZA DE LA INFRACCIÓN

• El sistema de soporte de Okta se vio comprometido por una violación de seguridad. Los piratas informáticos pudieron irrumpir en su sistema de gestión de casos de soporte y robar datos confidenciales. Estos datos podrían utilizarse potencialmente para hacerse pasar por usuarios válidos.

2. DETECCIÓN Y NOTIFICACIÓN

• BeyondTrust, una empresa de ciberseguridad, detectó un ataque centrado en la identidad en una cuenta de administrador interna de Okta. Notificaron a Okta sobre la infracción el 2 de octubre de 2023.

3. PARTES AFECTADAS

• BeyondTrust fue identificado como uno de los clientes afectados por esta infracción. La violación tuvo un impacto interno en Okta, afectando su liderazgo en seguridad y otros aspectos operativos.

4. MÉTODO DE ATAQUE

• Los atacantes violaron el sistema de soporte de Okta utilizando credenciales robadas. Esto les permitió el acceso no autorizado a datos confidenciales de los clientes y recursos internos.

5. IMPACTO EN EL MERCADO

• Tras la noticia de la ciberataque, las acciones de Okta experimentaron una caída significativa. Esto refleja la reacción del mercado ante el incidente de seguridad y sus posibles implicaciones.

6. DECLARACIONES OFICIALES

• El liderazgo de seguridad de Okta confirmó la violación, reconociendo el compromiso de sus sistemas internos y el impacto en sus clientes.

Nueva campaña de phishing 0ktapus apunta a las credenciales de identidad de Okta y así funciona

Las consecuencias de la infracción provocaron una caída en las acciones de Okta y aproximadamente el 1% de los clientes de Okta se vieron afectados, aunque Okta no reveló el número exacto de clientes afectados. Este incidente también pone de relieve las medidas de seguridad de Okta, especialmente después de una infracción similar en 2022 en la que los piratas informáticos lograron robar parte del código fuente de Okta y obtuvieron acceso a la red interna de la empresa.

A continuación se muestra un resumen de las infracciones conocidas:

1. Incidente de Lapsus$ (enero de 2022) : en enero de 2022, Okta sufrió una infracción cuando un grupo de piratas informáticos conocido como Lapsus$ se infiltró en su proveedor de soporte externo, Sitel. Okta enfrentó críticas por no revelar la infracción con prontitud.
2. Robo de código fuente : en una línea de tiempo no revelada, Okta confirmó un incidente de seguridad importante en el que un pirata informático accedió a su código fuente luego de una violación de sus repositorios de GitHub.
3. Violación de datos de enero de 2022 : el director ejecutivo de Okta, Todd McKinnon, confirmó un incidente separado a finales de enero de 2022, en el que algunos datos de los clientes podrían haber quedado expuestos. No se proporcionaron los detalles exactos de esta infracción.
4. Infracción del 20 de octubre de 2023 : los piratas informáticos obtuvieron acceso no autorizado al sistema de gestión de casos de soporte de Okta y robaron datos confidenciales que podrían usarse para hacerse pasar por usuarios válidos el 20 de octubre de 2023.
5. Incidente de Lapsus$ (fecha no revelada) : en un encuentro diferente con Lapsus$, cientos de clientes de Okta posiblemente se vieron afectados por una violación de seguridad, y Okta enfrentó una reacción violenta por su lenta respuesta al incidente.

Estos incidentes reflejan los desafíos que enfrentan incluso los proveedores de gestión de identidades establecidos para garantizar la seguridad y privacidad de sus sistemas y datos de los clientes.

La violación es un claro recordatorio de las amenazas sofisticadas que enfrentan las empresas modernas y la importancia crítica de medidas sólidas de ciberseguridad para proteger los datos y sistemas confidenciales del acceso no autorizado. La brecha en Okta subraya las vulnerabilidades que enfrentan incluso los proveedores de servicios de identidad en el ámbito de la ciberseguridad. El incidente ha puesto en peligro datos sensibles, afectando tanto a Okta como a sus clientes, y ha tenido notables repercusiones en el mercado.

El cargo De Confiable a Desacreditado: Okta Hackeado de Nuevo. Relato de Pesadillas de Seguridad, 4 Veces en 2 Años apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Esta nueva técnica permite instalar ransomware y evitar EDR en cualquier sistema

Los operadores de ransomware de BlackCat han introducido recientemente una nueva herramienta llamada “Munchkin”, que permite la propagación de cargas útiles de BlackCat a máquinas remotas y recursos compartidos dentro de la red de la víctima. Esta nueva táctica implica el uso de una máquina virtual (VM) Alpine personalizada para implementar el malware, una tendencia que está ganando terreno entre los actores del ransomware para eludir las soluciones de seguridad durante las implementaciones de malware.

Aquí hay un desglose detallado de la nueva táctica VM Ransomware adoptada por BlackCat, basada en los descubrimientos realizados por la Unidad 42:

1. Introducción a la utilidad Munchkin :
   • Los operadores de BlackCat anunciaron actualizaciones de su conjunto de herramientas, incluida una utilidad llamada Munchkin.
   • Munchkin facilita la propagación de cargas útiles de BlackCat a máquinas remotas y recursos compartidos dentro de la red de una organización víctima.
   • El uso de Munchkin marca una evolución significativa en el modelo de negocio de ransomware como servicio (RaaS) de BlackCat, haciéndolo más potente y esquivo para las medidas de seguridad.
2. Uso personalizado de Alpine VM :
   • Munchkin es único en su implementación, ya que aprovecha una máquina virtual Alpine personalizada.
   • Esta táctica de VM permite a los actores de ransomware eludir las soluciones de seguridad, ya que la mayoría de los controles de seguridad en el sistema operativo host no tienen introspección dentro del sistema operativo virtualizado integrado.
   • Una vez que el malware se implementa mediante la máquina virtual, puede ejecutarse sin ser interrumpido por las soluciones de seguridad en la máquina host.
3. Ejecución Técnica :
   • La utilidad Munchkin se entrega como un archivo ISO, cargado en una instancia recién instalada del producto de virtualización VirtualBox que representa una implementación personalizada del sistema operativo Alpine.
   • Al ejecutar el sistema operativo, se ejecutan comandos específicos para cambiar la contraseña raíz de la VM a una elegida por los actores de amenazas, generando una nueva sesión de terminal a través de la utilidad tmux incorporada para ejecutar el controlador binario de malware llamado. Después de la ejecución, apaga la VM.
   • Dentro del sistema operativo VM, se alojan archivos importantes que desempeñan funciones cruciales en el funcionamiento del malware, como la utilidad de malware Munchkin, el archivo de configuración serializado utilizado por Munchkin y una plantilla de muestra de malware BlackCat personalizada por Munchkin en tiempo de ejecución.
4. Amenaza creciente :
   • El uso de máquinas virtuales para la implementación de malware es una tendencia creciente en la comunidad de ransomware.
   • También se ha informado que otras organizaciones de ransomware aprovechan esta nueva táctica, lo que indica un cambio de paradigma en la forma en que se implementa y administra el ransomware en las redes.
5. Sindicato de cibercrimen ALPHV/BlackCat :
   • El sindicato de cibercrimen ALPHV, también conocido como BlackCat, inició el despliegue de esta novedosa herramienta.
   • Este desarrollo subraya la evolución continua de las tácticas empleadas por el sindicato BlackCat, lo que marca un paso significativo en su sofisticación operativa.
6. Implicaciones de seguridad :
   • La evolución de las tácticas de BlackCat, incluido el uso de máquinas virtuales, subraya una necesidad creciente de medidas de seguridad mejoradas para mitigar amenazas tan avanzadas.
   • Los investigadores de la Unidad 42 esperan que arrojar luz sobre estas tácticas motive mayores esfuerzos dentro de la industria de la seguridad de la información para defenderse mejor contra esta amenaza en evolución.
7. La evolución de BlackCat :
   • Con el tiempo, BlackCat ha evolucionado desde el uso de configuraciones no ofuscadas hasta el empleo de mecanismos de ofuscación y parámetros de línea de comandos para mayor seguridad, lo que ilustra su panorama dinámico de amenazas.

La explicación detallada de la utilidad Munchkin y su táctica VM Ransomware proporciona información crucial sobre las metodologías avanzadas de BlackCat y operadores de ransomware similares. Al comprender estas tácticas en evolución, las partes interesadas en el ámbito de la ciberseguridad pueden prepararse y defenderse mejor contra amenazas tan sofisticadas.

Cómo proteger su red de ‘Sliver’: la famosa herramienta utilizada por los hackers después de Cobalt Strike

El FBI y otras agencias han publicado indicadores de compromiso (IOC) asociados con el ransomware BlackCat/ALPHV, una entidad de ransomware como servicio (RaaS), que supuestamente ha comprometido al menos 60 entidades en todo el mundo. Si bien los IOC específicos fueron mencionados en un informe Flash del FBI.

INDICADORES DE COMPROMISO (IOC):

La Oficina Federal de Investigaciones (FBI) ha descrito indicadores específicos de compromiso (IOC) relacionados con las actividades del ransomware BlackCat/ALPHV. Aunque los detalles exactos estaban contenidos en un informe Flash del FBI, la preocupación general es el compromiso mundial de al menos 60 entidades a través de este modelo de Ransomware-as-a-Service (RaaS). Estos IOC son fundamentales para que las organizaciones identifiquen amenazas potenciales y tomen las medidas de mitigación necesarias para prevenir o responder a los ataques de ransomware orquestados por BlackCat/ALPHV. Al comprender y monitorear estos IOC, las organizaciones pueden mejorar significativamente su postura de ciberseguridad contra este vector de amenazas en evolución.

Es recomendable que las organizaciones y los profesionales de la ciberseguridad revisen los avisos e informes oficiales del FBI y otras agencias de ciberseguridad para mantenerse actualizados sobre los últimos COI y estrategias de mitigación relacionados con BlackCat/ALPHV Ransomware y su nueva táctica VM Ransomware que involucra la utilidad Munchkin.

Los IOC publicados por organismos autorizados como el FBI proporcionan una hoja de ruta crucial para que las organizaciones evalúen sus redes en busca de posibles compromisos y refuercen sus defensas contra las tácticas en evolución de BlackCat/ALPHV Ransomware, particularmente con la introducción de la utilidad Munchkin y el nuevo Ransomware.

El cargo Esta nueva técnica permite instalar ransomware y evitar EDR en cualquier sistema apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

La aterradora realidad de la vulnerabilidad CVE-2023-4966 de Citrix “Parche no puede ayudar”

En un ámbito digital donde la seguridad constituye la base de las operaciones fluidas, las vulnerabilidades actúan como bombas de tiempo, a la espera de ser explotadas. Una de esas vulnerabilidades críticas, denominada CVE-2023-4966, apareció recientemente en los dispositivos Citrix NetScaler ADC y Gateway, lo que puso a multitud de organizaciones en un estado de alerta máxima. Este artículo aclara la esencia, el impacto y las contramedidas que rodean esta importante laguna de seguridad.

El fallo de seguridad, identificado como CVE-2023-4966, se refiere principalmente a la divulgación de información confidencial. El dispositivo debe configurarse como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA para ser susceptible a esta vulnerabilidad. El meollo del problema radica en la Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria (CWE-119), con una puntuación CVSS de 9,4, lo que destaca su naturaleza crítica.

Explotación en el mundo real

Mandiant arrojó luz sobre la explotación activa de esta vulnerabilidad desde agosto, enfatizando la criticidad de la situación. La explotación implicó vulnerabilidades no autenticadas relacionadas con la zona de amortiguamiento, lo que subraya la urgencia de adoptar medidas de mitigación más allá del simple parche.

Contramedidas adoptadas:

En un intento por frenar la explotación, Citrix lanzó un parche el 10 de octubre de 2023. Sin embargo, el parche resultó ser una medida a medias, ya que las organizaciones que habían parcheado sus sistemas continuaron enfrentándose a ataques. Esta revelación subrayó la necesidad de tomar acciones adicionales además de aplicar parches para abordar a fondo la vulnerabilidad. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) acentuó aún más la necesidad de que los usuarios y administradores revisen los boletines de seguridad de Citrix y apliquen las actualizaciones necesarias para protegerse contra posibles exploits.

Citrix, el 10 de octubre de 2023, difundió un boletín de seguridad sobre la vulnerabilidad de divulgación de información confidencial, instando a los usuarios a tomar medidas correctivas. Mandiant identificó la explotación de día cero de esta vulnerabilidad en la naturaleza, que comenzó a fines de agosto de 2023. Una explotación exitosa podría tener importantes implicaciones para la seguridad, lo que requeriría acciones correctivas inmediatas.

Los dispositivos vulnerables afectados por CVE-2023-4966 incluyen:

1. NetScaler ADC y NetScaler Gateway versiones 14.1-8.50 y versiones posteriores.
2. NetScaler ADC y NetScaler Gateway versiones 13.1-49.15 y versiones posteriores de 13.1.
3. NetScaler ADC y NetScaler Gateway versiones 13.0-92.19 y versiones posteriores de 13.0.
4. NetScaler ADC 13.1-FIPS versiones 13.1-37.164 y versiones posteriores de 13.1-FIPS.

La aparición de CVE-2023-4966 revela los incesantes desafíos de seguridad que aquejan al panorama digital. La vulnerabilidad no sólo subraya la necesidad de contar con marcos de seguridad sólidos, sino también de identificar y remediar proactivamente las lagunas de seguridad. A medida que las organizaciones lidian con esta amenaza a la seguridad, los esfuerzos de colaboración entre proveedores, agencias de ciberseguridad y la comunidad de usuarios serán fundamentales para fomentar un ecosistema digital más seguro.

El cargo La aterradora realidad de la vulnerabilidad CVE-2023-4966 de Citrix “Parche no puede ayudar” apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Sin Parche y Expuesto: La Oscura Realidad de CVE-2023-20198, nueva vulnerabilidad en Cisco IOS XE con CVSS 10

Cisco IOS XE es un sistema operativo robusto y flexible, optimizado para el panorama evolutivo de las redes empresariales y la tecnología. Permite la programabilidad impulsada por modelos, el alojamiento de aplicaciones y la gestión de configuración automatizada, simplificando así muchas tareas cotidianas. IOS XE es integral para proporcionar consistencia en la gama de dispositivos de conmutación, enrutamiento y redes inalámbricas de Cisco.

La Vulnerabilidad: CVE-2023-20198
Ha surgido una nueva vulnerabilidad crítica de día cero, etiquetada como CVE-2023-20198. Esta vulnerabilidad, con una calificación de severidad máxima de CVSS 10, afecta predominantemente a los dispositivos que ejecutan el software Cisco IOS XE y actualmente no tiene un parche, dejando los sistemas vulnerables a posibles explotaciones. La falla puede ser explotada por un atacante no autenticado para crear una cuenta de usuario con el nivel de privilegio más alto, lo que lleva a un acceso no autorizado al sistema.

Más de 60 vulnerabilidades críticas afectan productos Cisco

Explotación en el Campo
Los atacantes ya han comenzado a explotar esta vulnerabilidad en el campo, utilizándola para entregar implantes maliciosos. Se aconseja a las organizaciones que utilizan los dispositivos afectados que apliquen medidas de mitigación con prontitud para defenderse contra estas explotaciones.

Dispositivos y Sistemas Afectados
La vulnerabilidad, CVE-2023-20198, afecta a todos los dispositivos Cisco IOS XE que tienen habilitada la función Web UI, especialmente cuando están expuestos a internet o a redes no confiables. Para determinar si un sistema es vulnerable, los administradores deben:

1. Utilizar el comando show running-config | include ip http server|secure|active para verificar la presencia de los comandos ip http server o ip http secure-server en la configuración global.
2. Inspeccionar la configuración para ip http active-session-modules none o ip http secure-active-session-modules none para determinar si la vulnerabilidad es explotable a través de HTTP o HTTPS respectivamente.

Respuesta de Cisco
Cisco ha reconocido la vulnerabilidad, confirmando su presencia en dispositivos que ejecutan el software Cisco IOS XE. La compañía proporcionó pasos para identificar sistemas afectados y señaló los siguientes Indicadores de Compromiso (IoCs):

1. Registros del sistema que contienen mensajes que indican configuración programática por usuarios desconocidos, como:

• %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line.
• %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address].

1. Registros del sistema que contienen mensajes sobre acciones de instalación de archivos desconocidos, como:

• %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename.

1. Presencia de un implante, comprobada al emitir el siguiente comando desde una estación de trabajo con acceso al sistema afectado:

• curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1", si se devuelve una cadena hexadecimal, el implante está presente.

Cisco, junto con otras empresas de ciberseguridad como Tenable, ha proporcionado complementos para identificar sistemas afectados. Mientras se espera un parche, estos complementos y las verificaciones mencionadas anteriormente pueden ayudar a identificar y mitigar intentos de acceso no autorizado.

CVE-2023-20198 representa una amenaza significativa para la ciberseguridad debido a su calificación de severidad máxima y la ausencia de un parche. Las organizaciones que utilizan dispositivos Cisco IOS XE afectados deben permanecer vigilantes y aplicar las medidas de mitigación necesarias para proteger sus sistemas contra posibles explotaciones.

El cargo Sin Parche y Expuesto: La Oscura Realidad de CVE-2023-20198, nueva vulnerabilidad en Cisco IOS XE con CVSS 10 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¡Entra al Campo de Batalla Cibernético: Reveladas las Nuevas Armamentas de ToddyCat APT!

Análisis Exhaustivo: El Avanzado Conjunto de Herramientas de ToddyCat y las Tácticas Sigilosas de Espionaje Cibernético

ToddyCat, un grupo de Amenaza Persistente Avanzada (APT), ha captado la atención por sus operaciones clandestinas de espionaje cibernético, utilizando un sofisticado conjunto de herramientas diseñado para el robo y exfiltración de datos. El grupo emplea una miríada de técnicas para moverse lateralmente dentro de las redes y llevar a cabo operaciones de espionaje con un alto grado de secreto y eficiencia. Este artículo, que incorpora perspectivas del artículo y otras fuentes, tiene como objetivo proporcionar una visión detallada del conjunto de herramientas y tácticas operativas de ToddyCat.

Sigilo y Sofisticación: Modus Operandi de ToddyCat

ToddyCat emplea malware desechable, asegurando que no haya superposiciones claras de código con conjuntos de herramientas conocidos, mejorando así su capacidad para permanecer indetectado. El malware está diseñado para robar y exfiltrar datos, mientras que el grupo emplea varias técnicas para moverse lateralmente dentro de las redes y realizar operaciones de espionaje.

Cómo proteger su red de ‘Sliver’: la famosa herramienta utilizada por los hackers después de Cobalt Strike

Técnicas de Explotación y Utilización de Malware

• Malware Desechable: Utilizado para mejorar las capacidades de sigilo y evasión.
• Exfiltración de Datos: Malware diseñado para acceder y extraer información sensible.
• Movimiento Lateral: Técnicas empleadas para expandir el alcance y acceso dentro de los entornos comprometidos.

Resumen del Conjunto de Herramientas

1. Dropbox Exfiltrator: Una herramienta diseñada para exfiltrar datos, asegurando que la información robada pueda ser transferida de manera segura y encubierta a los atacantes.
2. LoFiSe: Una herramienta que podría ser utilizada para el movimiento lateral y la explotación adicional dentro de las redes comprometidas.
3. Pcexter: Una herramienta que podría ser utilizada para enviar archivos específicos o datos a servidores externos, facilitando la exfiltración de datos.
4. Dropper: Una herramienta que podría ser utilizada para desplegar cargas útiles adicionales o malware dentro de entornos comprometidos.

Detalles Detallados sobre el Conjunto de Herramientas

1. Cargadores

• Cargadores Estándar: ToddyCat utiliza bibliotecas de 64 bits, invocadas por rundll32.exe o cargadas lateralmente con archivos ejecutables legítimos, para cargar el Troyano Ninja durante la fase de infección. Se han observado tres variantes de estos cargadores, cada una diferenciando en aspectos como la biblioteca cargada por, donde reside el código malicioso, el archivo cargado y la siguiente etapa.
• Cargador Personalizado: Una variante del cargador estándar, este está personalizado para sistemas específicos, empleando un esquema de descifrado único y almacenando archivos cifrados en una ubicación y nombre de archivo diferente (%CommonApplicationData%\Local\user.key).

2. Troyano Ninja

El Troyano Ninja, un malware sofisticado escrito en C++, es una herramienta potente en el arsenal de ToddyCat. Proporciona funcionalidades como:

• Gestión de procesos en ejecución
• Gestión del sistema de archivos
• Gestión de múltiples sesiones de shell inverso
• Inyección de código en procesos arbitrarios
• Carga de módulos adicionales durante la ejecución
• Funcionalidad de proxy para reenviar paquetes TCP entre el C2 y un host remoto

3. LoFiSe

LoFiSe es un componente diseñado para encontrar y recoger archivos de interés en sistemas objetivo. Rastrea cambios en el sistema de archivos, filtrando archivos basados en tamaño, ubicación y extensión, y recoge archivos adecuados para su posterior acción.

4. Cargador de DropBox

Este cargador genérico, no exclusivo de ToddyCat, se utiliza para exfiltrar documentos robados a DropBox, aceptando un token de acceso de usuario de DropBox como argumento y subiendo archivos con extensiones específicas.

5. Pcexter

Pcexter es otro cargador utilizado para exfiltrar archivos de archivo a Microsoft OneDrive. Se distribuye como un archivo DLL y se ejecuta utilizando la técnica de carga lateral de DLL.

Actividades Post-Explotación

Las actividades post-explotación de ToddyCat involucran la recopilación y exfiltración de datos, utilizando herramientas como LoFiSe para rastrear cambios en el sistema de archivos y recoger archivos, que luego son archivados y preparados para la exfiltración utilizando herramientas como el cargador genérico de DropBox y Pcexter.

Impacto Potencial y Panorama de Amenazas

La aparición del nuevo conjunto de herramientas de ToddyCat y sus TTPs sofisticados presenta una amenaza significativa para las organizaciones, con impactos potenciales que incluyen violaciones de datos, acceso no autorizado a información sensible y compromiso de la red.

Estrategias de Mitigación y Defensa

• Monitoreo Mejorado: Implementación de soluciones de monitoreo para detectar actividades anómalas.
• Educación del Usuario: Asegurarse de que los usuarios estén educados sobre posibles amenazas y mejores prácticas de ciberseguridad.
• Parcheo Regular: Mantener todos los sistemas parcheados y actualizados regularmente.
• Inteligencia de Amenazas: Aprovechar la inteligencia para mantenerse al tanto de los últimos TTPs empleados por los actores de amenazas.

El avanzado conjunto de herramientas y las operaciones sigilosas de ToddyCat subrayan la naturaleza evolutiva y sofisticada de las amenazas cibernéticas. Las organizaciones y los profesionales de la ciberseguridad deben permanecer vigilantes y adoptar prácticas avanzadas de ciberseguridad para defenderse contra las herramientas y tácticas sofisticadas empleadas por actores de amenazas como ToddyCat.

El cargo ¡Entra al Campo de Batalla Cibernético: Reveladas las Nuevas Armamentas de ToddyCat APT! apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo la vulnerabilidad de Chrome puede poner en peligro a millones de usuarios: ¡proteja sus datos ahora!

ANÁLISIS EN PROFUNDIDAD: NAVEGANDO POR LOS PELIGROS DE CVE-2023-5218 EN GOOGLE CHROME

El ámbito digital, si bien ofrece posibilidades ilimitadas, también es un terreno fértil para innumerables amenazas a la ciberseguridad. Uno de esos peligros que ha salido a la luz recientemente es la vulnerabilidad User-After-Free en Google Chrome , identificada específicamente como CVE-2023-5218. Esta vulnerabilidad no sólo representa una amenaza significativa para los datos de los usuarios y la integridad del sistema, sino que también abre una caja de Pandora de posibles ciberataques y explotaciones.

DESCUBRIENDO LA VULNERABILIDAD DEL USUARIO DESPUÉS DE LA LIBERACIÓN

La vulnerabilidad User-After-Free es un tipo de falla de ciberseguridad que surge cuando un programa continúa utilizando espacio de memoria después de haber sido liberado o eliminado. Esta falla permite a los atacantes ejecutar código arbitrario o potencialmente obtener acceso no autorizado a un sistema. Se observó que CVE-2023-5218, identificado en Google Chrome, era potencialmente explotable para realizar este tipo de acciones maliciosas, poniendo así en riesgo sustancial los datos y la privacidad de los usuarios.

Vulnerabilidad en Google Chrome y navegadores basados en Chromium permite robo de información, billeteras, criptomonedas y credencias de millones de usuarios

CRONOLOGÍA Y DESCUBRIMIENTO

CVE-2023-5218 se dio a conocer al público a través de varias plataformas de ciberseguridad e investigadores que detectaron actividades inusuales y posibles rastros de explotación que conducían a esta falla en particular. Se identificó que esta vulnerabilidad estaba presente en un componente específico de Chrome, lo que llevó a Google a lanzar una serie de actualizaciones y parches para mitigar los riesgos asociados.

LA MECÁNICA DE EXPLOTACIÓN

La explotación de CVE-2023-5218 permite a los atacantes manipular el espacio de memoria “liberado” antes mencionado, permitiéndoles ejecutar código arbitrario dentro del contexto de la aplicación afectada. En el contexto de Chrome, esto podría permitir a los atacantes acceder no autorizados a datos confidenciales del usuario, como contraseñas guardadas o información personal, o incluso navegar por el navegador a sitios web cargados de malware sin el consentimiento del usuario.

EL IMPACTO POTENCIAL

La explotación de CVE-2023-5218 podría tener múltiples impactos:

• Robo de datos : los datos confidenciales del usuario, incluidas las credenciales de inicio de sesión, la información personal y los detalles financieros, podrían verse comprometidos.
• Control del sistema : los atacantes podrían obtener control sobre el sistema afectado y utilizarlo para lanzar más ataques o para otros fines maliciosos.
• Propagación de malware : al redirigir los navegadores a sitios web maliciosos, se podría inyectar malware en los sistemas de los usuarios, ampliando aún más el impacto del ataque.

INFORMACIÓN TÉCNICA SOBRE CVE-2023-5218

• Clase de vulnerabilidad : uso gratuito
• Impacto : confidencialidad, integridad y disponibilidad
• Fecha de divulgación : 11/10/2023
• Aviso : Blog de lanzamientos de Chrome

SINOPSIS TÉCNICA

La vulnerabilidad tiene su origen en el manejo inadecuado de la memoria en el componente Site Isolation de Google Chrome. La falla surge al hacer referencia a la memoria después de que se ha liberado, lo que puede provocar fallas del programa, utilización inesperada de valores o ejecución de código arbitrario. La vulnerabilidad está clasificada en CWE-416 y CWE-119, lo que indica su potencial para restringir incorrectamente operaciones dentro de los límites de un búfer de memoria y su susceptibilidad de uso después de exploits gratuitos.

MITIGACIÓN Y CONTRAMEDIDAS

La principal estrategia de mitigación recomendada es actualizar a la versión 118.0.5993.70 de Google Chrome, que elimina esta vulnerabilidad. Sin embargo, considerando los riesgos potenciales asociados con dichas vulnerabilidades, se recomienda a las organizaciones y a los usuarios individuales que:

• Actualice y parchee el software periódicamente para protegerlo contra vulnerabilidades conocidas.
• Emplear prácticas sólidas de ciberseguridad, incluido el uso de software de seguridad y el cumplimiento de prácticas de navegación segura.
• Eduque a los usuarios sobre cómo reconocer y evitar posibles intentos de phishing o sitios maliciosos que podrían explotar dichas vulnerabilidades.

CONCLUSIÓN

La identificación y posterior mitigación de CVE-2023-5218 subraya la batalla perpetua entre los profesionales de la ciberseguridad y los ciberadversarios. Si bien esta vulnerabilidad se ha abordado en la última actualización de Chrome, sirve como un potente recordatorio de la importancia de mantener los sistemas actualizados y emplear prácticas prudentes de ciberseguridad. A medida que navegamos por la era digital, la complejidad y la sofisticación de las amenazas cibernéticas continúan evolucionando, lo que hace que la vigilancia y la preparación sean cruciales para garantizar interacciones digitales seguras.

El cargo Cómo la vulnerabilidad de Chrome puede poner en peligro a millones de usuarios: ¡proteja sus datos ahora! apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Desenmascarando el Cobalt Strike 4.9 crackeado: la herramienta preferida del ciberdelincuente

Cobalt Strike, una herramienta comercial legítima de prueba de penetración, ha llegado a ser inadvertidamente un instrumento favorecido entre los cibercriminales por su eficacia en la infiltración de la seguridad de redes. Inicialmente lanzado en 2012 por Fortra (anteriormente conocido como Help Systems), Cobalt Strike fue diseñado para ayudar a los equipos rojos a identificar vulnerabilidades dentro de las infraestructuras organizacionales. A pesar de un riguroso proceso de selección de clientes y licencias para uso legal únicamente, los actores malintencionados han obtenido y distribuido exitosamente versiones crackeadas del software, convirtiéndolo en una herramienta prevalente en ciberataques que involucran robo de datos y ransomware.

Ya está disponible Cobalt Strike 4.9. Esta versión ve una revisión de las capacidades de post-explotación de Cobalt Strike para apoyar a los cargadores reflexivos definidos por el usuario (UDRLs), la capacidad de exportar Beacon sin un cargador reflexivo que añade soporte oficial para UDRLs de estilo prepend, soporte para callbacks en varias funciones incorporadas, una nueva tienda de datos in-Beacon y más.

CARACTERÍSTICAS DE COBALT STRIKE 4.9

La última versión, la versión 4.9, presenta varias características y mejoras importantes:

• Cargadores reflectantes definidos por el usuario (UDRL): esta característica mejora las capacidades posteriores a la explotación al permitir a los usuarios definir y usar sus cargadores reflectantes, brindando más flexibilidad y control sobre el proceso de carga de la carga útil de Beacon.
• Exportar Beacon sin cargador: los usuarios ahora pueden exportar la carga útil de Beacon sin un cargador reflectante, que admite oficialmente UDRL de estilo antepuesto, lo que permite una implementación y ejecución más versátil de la carga útil de Beacon en diversos entornos.
• Soporte de devolución de llamadas: la versión 4.9 introduce soporte para devoluciones de llamadas, lo que permite a los usuarios implementar y manejar rutinas de devolución de llamadas personalizadas de manera efectiva.
• Mejora de las estructuras de datos del usuario de Beacon: estas estructuras se han mejorado para evitar fallas y proporcionar más estabilidad durante las operaciones. También permiten que un cargador reflectante resuelva y pase información de llamadas del sistema a Beacon, anulando el solucionador de llamadas del sistema predeterminado de Beacon.
• Compatibilidad con perfiles de host para escuchas HTTP(S): esta función soluciona las limitaciones en el procesamiento HTTP(S) mediante la introducción de un nuevo grupo de perfiles Maleable C2 denominado http-host-profiles.
• Compatibilidad con WinHTTP: la actualización agrega compatibilidad con la biblioteca WinHTTP al oyente HTTP(S) de Beacon.
• Beacon Data Store: esta función permite a los usuarios almacenar Buffer Overflow Frameworks (BOF) y ensamblados .NET de forma estructurada.

VERSIONES CRACKEADAS EN LA NATURALEZA

Investigadores de Google han identificado recientemente 34 diferentes versiones crackeadas del kit de herramientas de hacking Cobalt Strike siendo utilizadas activamente en el salvaje. Estas versiones crackeadas son explotadas por cibercriminales para diversas actividades maliciosas, destacando la popularidad de la herramienta y su uso ilícito generalizado en la comunidad cibercriminal. El descubrimiento de la versión crackeada 4.9 de Cobalt Strike resalta los desafíos y riesgos significativos asociados con el uso ilícito de este potente kit de herramientas.

LA REPRESIÓN

Microsoft, en colaboración con Fortra y el Centro de Análisis e Intercambio de Información de Salud (Health-ISAC), ha iniciado una ofensiva legal generalizada contra los servidores que alojan estas copias descifradas. Este esfuerzo concertado tiene como objetivo desmantelar la infraestructura maliciosa e interrumpir las operaciones de los actores de amenazas que utilizan Cobalt Strike con fines nefastos.

¿POR QUÉ EL ATAQUE DE COBALTO?

Cobalt Strike ha ganado notoriedad entre los ciberdelincuentes por sus capacidades posteriores a la explotación. Una vez implementadas las balizas, proporcionan acceso remoto persistente a los dispositivos comprometidos, lo que permite la recopilación de datos confidenciales o la eliminación de cargas útiles maliciosas adicionales.

LOS USUARIOS

Las versiones descifradas de Cobalt Strike son utilizadas por grupos criminales no identificados, actores de amenazas respaldados por el estado y grupos de piratería que actúan en nombre de gobiernos extranjeros. Estos actores han sido vinculados a numerosos ataques de ransomware que afectan a diversas industrias y causan importantes daños financieros y operativos.

ESFUERZOS DE REMEDIACIÓN

Para contrarrestar el uso malicioso de Cobalt Strike, varias entidades han proporcionado recursos para ayudar a los defensores de la red a identificar los componentes de Cobalt Strike dentro de sus redes. Estos recursos incluyen reglas YARA de código abierto y una colección de indicadores de compromiso (IOC).

Cómo proteger su red de ‘Sliver’: la famosa herramienta utilizada por los hackers después de Cobalt Strike

El uso ilícito de Cobalt Strike representa una amenaza importante para la ciberseguridad global. La represión en curso liderada por Microsoft, Fortra y Health-ISAC representa un paso crucial para mitigar los riesgos asociados con Cobalt Strike, lo que subraya la importancia de los esfuerzos de colaboración en la lucha contra el delito cibernético.

El cargo Desenmascarando el Cobalt Strike 4.9 crackeado: la herramienta preferida del ciberdelincuente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Depredador Silencioso: Decodificando WebWyrm Malware Sigiloso que Desestabiliza la Ciberseguridad Globalmente

En el complejo panorama de la ciberseguridad global, el malware WebWyrm ha surgido como un adversario formidable, extendiendo su sombra ominosa a través de 50 naciones y dejando tras de sí más de 100,000 víctimas comprometidas. Este insidioso flagelo digital emula con éxito a más de 1000 empresas de renombre a nivel mundial, con una pérdida financiera potencial estimada que supera los asombrosos $100 millones. Es imperativo para los profesionales y organizaciones de ciberseguridad comprender la naturaleza multifacética de esta amenaza para idear e implementar estrategias defensivas robustas y efectivas.

Trayectoria Evolutiva de WebWyrm

En el reino dinámico de las amenazas cibernéticas, los actores maliciosos refinan incesantemente sus Tácticas, Técnicas y Procedimientos (TTPs), explotando vulnerabilidades existentes y aumentando la eficacia de sus campañas maliciosas. WebWyrm epitomiza esta búsqueda incansable de evolución, encarnando un nivel de sofisticación que recuerda a infames amenazas cibernéticas del pasado, como el notorio ‘Desafío de la Ballena Azul’.

Modus Operandi Refinado

El malware WebWyrm orquesta una narrativa compleja y engañosa diseñada para engañar a los buscadores de empleo para que renuncien a su criptomoneda. Iniciando contacto predominantemente a través de WhatsApp, los malhechores probablemente utilizan datos obtenidos de portales de empleo para identificar y comprometer a individuos predispuestos a sus ofertas engañosas. Se les promete a las víctimas prospectivas una remuneración semanal lucrativa, que oscila entre $1200 y $1500, dependiendo de la finalización de “paquetes” o “resets” diarios de tareas.

La vulnerabilidad crítica XSS en Microsoft Teams permite robar las credenciales (usuarios y contraseñas) almacenadas en sus navegadores. Actualizar inmediatamente

Facilitadores de la Campaña: Perspectivas Técnicas

La campaña de WebWyrm se caracteriza por su sofisticación, adaptabilidad y marco operativo elusivo. La iniciativa emplea personal dedicado que interactúa con las víctimas a través de varias plataformas, otorgando un aura de legitimidad y apoyo a sus esfuerzos. Los orquestadores han creado meticulosamente aproximadamente 6000 sitios web falsos, dirigiendo a las víctimas a registrar sus cuentas. Estas plataformas están diseñadas expertamente para imitar a empresas legítimas, con un enfoque en la geolocalización y números de contacto asociados que reflejan la ubicación geográfica respectiva de la víctima.

Industrias en la Mira

WebWyrm ha apuntado indiscriminadamente a una plétora de industrias, incluyendo:

• Servicios de TI
• Desarrollo de Software
• Desarrollo de Aplicaciones Móviles
• Diseño de Experiencia del Usuario
• Marketing Digital
• Desarrollo Web
• SEO
• Comercio Electrónico

Contramedidas Defensivas

La defensa efectiva contra WebWyrm requiere la adopción de varias contramedidas:

• Rastreo del Origen de los Malhechores a través de Portales de Empleo
• Iniciativas Defensivas Colaborativas
• Despliegue de Equipos de Respuesta Rápida
• Implementación de Protocolos de Lista Negra de Dominios
• Incautación de Activos
• Lanzamiento de Campañas Educativas de Concienciación

Con la incorporación de estas perspectivas técnicas mejoradas, queda claro que WebWyrm representa una operación meticulosamente orquestada y sofisticada con el objetivo singular de explotar a los buscadores de empleo. La comprensión matizada de los malhechores sobre las víctimas potenciales, combinada con una infraestructura altamente adaptativa y elusiva, convierte a esto en una amenaza significativa que requiere contramedidas coordinadas e informadas para proteger a las víctimas potenciales. La concienciación, la educación y el despliegue proactivo de mecanismos de defensa son fundamentales para mitigar los riesgos asociados con la campaña de malware WebWyrm.

El cargo Depredador Silencioso: Decodificando WebWyrm Malware Sigiloso que Desestabiliza la Ciberseguridad Globalmente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ciberataque de Vishing a MGM Resorts: Un Desastre Financiero de $100 millones

MGM Resorts sufrió recientemente un devastador ciberataque, incurriendo en pérdidas financieras aproximadas de $100 millones. Descubierto el 11 de septiembre, este ataque digital llevó al cierre temporal de múltiples sistemas dentro de varias propiedades de MGM, interrumpiendo operaciones e infligiendo significativas pérdidas monetarias.

Detalles del Ataque

El embate digital en MGM Resorts no estuvo limitado a una sola propiedad sino que se extendió a través de su resort insignia y otras propiedades prestigiosas como Mandalay Bay, Bellagio, The Cosmopolitan y Aria. Los cibercriminales lograron interrumpir una serie de operaciones, desde el funcionamiento de las máquinas tragamonedas y los sistemas de gestión de restaurantes hasta la tecnología detrás de las tarjetas llave de las habitaciones. A pesar de los esfuerzos de contención de MGM, los atacantes exfiltraron un conjunto diverso de datos de clientes, incluidos nombres, direcciones, números de teléfono, números de licencia de conducir, números de Seguridad Social y detalles de pasaportes. Afortunadamente, los detalles de las tarjetas de crédito permanecieron seguros e intactos.

Repercusiones Económicas

La intrusión cibernética tuvo un profundo impacto económico en MGM Resorts, con pérdidas estimadas en alrededor de $100 millones. Se anticipa que este golpe financiero afectará las ganancias del tercer y cuarto trimestre fiscal. Sin embargo, MGM permanece optimista, proyectando una tasa de ocupación del 93% en octubre y planeando una recuperación operativa completa en Las Vegas para noviembre. Los gastos relacionados con el ciberataque, incluidos los honorarios de consultoría, servicios legales y otros costos relacionados, ascendieron a menos de $10 millones.

Compromiso de Datos de Clientes

Una amplia gama de datos de clientes, desde números de Seguridad Social hasta detalles de pasaportes, fueron robados durante el ataque cibernético. El conteo total de individuos afectados por esta brecha sigue siendo incierto ya que MGM no ha emitido comentarios al respecto. MGM Resorts ha iniciado medidas proactivas para asistir a las víctimas de esta brecha de datos, incluida la creación de líneas telefónicas dedicadas y sitios web informativos. La empresa también tiene la intención de comunicarse con los afectados por correo electrónico, ofreciendo servicios de protección de identidad.

Identidad de los Atacantes

Inicialmente, el ciberataque fue atribuido a hackers afiliados a un grupo conocido como Scattered Spider. Este grupo luego unió fuerzas con un colectivo de ransomware ruso conocido como Black Cat/AlphV. Scattered Spider tiene una reputación notoria, siendo implicado en varios ciberataques importantes durante el último año, apuntando a entidades como Reddit, Riot Games, Coinbase y incluso otro jugador importante en la industria de los casinos, Caesars Entertainment.

Hackean MGM en Las Vegas; detalles de más de 10 millones de huéspedes expuestos en línea

Recuperación y Respuesta

En respuesta al ciberataque, MGM Resorts tomó medidas inmediatas cerrando todos sus sistemas para evitar un mayor acceso no autorizado a los datos de los clientes. Desde estas contramedidas iniciales, las propiedades domésticas de la empresa han visto un retorno a la normalidad en las operaciones, con la mayoría de los sistemas que interactúan con los huéspedes restaurados. Los esfuerzos continúan para reactivar los sistemas afectados restantes, con una restauración completa anticipada en un futuro cercano.

Conclusión e Implicaciones Futuras

El ciberataque experimentado por MGM Resorts resalta los riesgos sustanciales y los daños financieros potenciales asociados con las brechas de seguridad digital en el sector de la hospitalidad. Con el compromiso de información sensible del cliente y la incurrancia de grandes pérdidas financieras, este incidente sirve como un recordatorio severo para todas las empresas en la industria de reforzar su infraestructura de ciberseguridad para protegerse contra futuras amenazas digitales. El episodio subraya la imperativa necesidad de inversiones continuas en mecanismos y protocolos de ciberseguridad de vanguardia para mitigar proactivamente los riesgos de futuros ciberataques y proteger los datos sensibles de los clientes.

El cargo Ciberataque de Vishing a MGM Resorts: Un Desastre Financiero de $100 millones apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Riesgos de ciberseguridad: Navegando entre Estafas BEC

Las estafas de Compromiso del Correo Electrónico Empresarial (BEC) se han convertido en una preocupación significativa en el mundo digital, causando pérdidas financieras considerables para empresas de todos los tamaños. De acuerdo con empresas del servicio de seguridad informática, las estafas BEC han experimentado un aumento significativo en el 2022. 

El Centro de Quejas de Delitos en Internet (IC3) del FBI dice que las estafas de Compromiso de Correo Electrónico Empresarial (BEC), también conocidas como Fraude de CEO, continúan creciendo cada año, con un aumento del 100% en las pérdidas expuestas globales identificadas entre mayo de 2018 y julio de 2019.

Además, entre junio de 2016 y julio de 2019, IC3 recibió quejas de víctimas sobre 166,349 incidentes nacionales e internacionales, con una pérdida total expuesta en dólares de más de $26 mil millones. “Una variación implica comprometer cuentas de correo electrónico comerciales legítimas y solicitar formularios de información de identificación personal o declaración de salarios e impuestos (W-2) de los empleados”, agrega IC3.

Aunque el número de estafas BEC también ha aumentado, la mayor conciencia sobre este tipo de esquema de fraude también ha contribuido a que haya más informes provenientes de víctimas de todo el mundo, lo que también se sumó al aumento de las pérdidas expuestas reportadas durante los últimos doce meses.

Se han reportado estafas BEC en todos los estados de EE. UU. y en 177 países alrededor del mundo según IC3, y se han enviado transferencias relacionadas con estafas a bancos de aproximadamente 140 países.

Si bien las cuentas de bancos de China y Hong Kong fueron las destinatarias de la mayor parte de transferencias fraudulentas, el empresas de seguridad informática como Cisco, Norton, Accenture and Genexus Consulting también han observado “un aumento de transferencias fraudulentas enviadas al Reino Unido, México y Turquía”.

Entendiendo las Estafas BEC

Las estafas BEC son técnicas de fraude en las cuales el atacante se hace pasar por un ejecutivo o socio comercial para engañar a los empleados, clientes o proveedores. A través de mensajes de correo electrónico cuidadosamente diseñados, los estafadores manipulan a las víctimas para realizar transferencias de fondos indebidas o compartir información confidencial.

 Riesgos Principales:

Financieros:Las empresas pueden enfrentar pérdidas monetarias significativas debido a transferencias fraudulentas.

Reputacionales:La confianza de clientes y socios puede verse afectada negativamente, deteriorando la imagen corporativa.

Legales:Dependiendo de la jurisdicción, las empresas podrían enfrentar litigios y sanciones por no proteger adecuadamente la información.

Tácticas Comunes

Las estafas BEC se caracterizan por ser sofisticadas y personalizadas:

-Ingeniería Social: Los estafadores investigan a sus víctimas para crear mensajes creíbles.

Spoofing:Se falsifican direcciones de correo para simular comunicaciones legítimas.

Malware:Se utilizan programas maliciosos para infiltrarse en sistemas y obtener información.

Medidas de Prevención

Para mitigar los riesgos, es fundamental adoptar medidas proactivas:

Capacitación:Educar a los empleados sobre las tácticas de las estafas BEC y cómo identificarlas.

Autenticación Multifactor:Implementar sistemas de verificación avanzados para acceder a cuentas corporativas.

Filtros Anti-Phishing:Utilizar herramientas tecnológicas para identificar y bloquear correos electrónicos sospechosos.

Respuesta ante Incidentes

Tener un plan estructurado de respuesta rápida puede limitar el daño en caso de una estafa exitosa:

Monitoreo:Vigilar constantemente las comunicaciones y transacciones inusuales.

Recuperación: Trabajar con entidades financieras y autoridades para intentar recuperar fondos transferidos fraudulentamente.

Notificación:Informar a los afectados y a las autoridades competentes de manera oportuna.

En un entorno digital en el que las estafas BEC están en aumento, las empresas deben tomar seriamente los riesgos de ciberseguridad. Mediante la adopción de medidas preventivas y estrategias de respuesta rápida, es posible minimizar los impactos negativos y proteger tanto los activos corporativos como la información sensible de clientes y socios.

Las estafas BEC no solo afectan la estabilidad financiera de las empresas, sino que también comprometen su integridad y credibilidad en el mercado. En este sentido, invertir en ciberseguridad y capacitación del personal no es una opción, sino una necesidad imperante para navegar con seguridad en el ciberespacio empresarial.

El cargo Riesgos de ciberseguridad: Navegando entre Estafas BEC apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

5 consejos para escribir un buen curriculum vitae de tecnología

La tecnología está en auge, es el boom. Suena cliché, pero es así. 

No estamos hablando de una simple moda, estamos hablando de una realidad, de una disciplina que forma parte de nuestros días, desde tareas básicas hasta complejas son controladas por herramientas tecnológicas.

Es por eso que las empresas que se quieren mantener a la vanguardia están en continua búsqueda de profesionales tecnológicos para facilitar sus procesos corporativos.

Así que si te has formado en un perfil tecnológico y quieres crear o impulsar tu carrera profesional en este medio, Ejemplos-Currículum te enseña a escribir un buen currículum.

1. Consigue la atención con un buen resumen profesional

El resumen profesional no siempre es una sección ‘obligatoria’; sin embargo, es imprescindible porque presenta una síntesis de tu currículum, resaltando los aspectos más interesantes de tu candidatura (experiencia, habilidades, logros, etc.).

Así que utiliza este fragmento inicial a tu favor para conseguir la atención del contratante e invitarle a seguir leyendo más de tu postulación. Para ello, revisa con detenimiento la oferta de trabajo para saber qué perfil tecnológico están buscando, con qué virtudes profesionales, qué nivel de experiencia… Redacta tu candidatura en torno a estos elementos clave.

2. Resume tus mejores experiencias laborales

Nuevamente, básate en la oferta de trabajo para saber cuáles de tus experiencias laborales se relacionan más con ese puesto de trabajo que estás solicitando, en cuanto a responsabilidades y logros obtenidos. Escoge las mejores para describirlas.

Un aspecto a tener en cuenta…

Si bien el área tecnológica es un poco técnica, dependiendo del puesto, procura usar un lenguaje sencillo, que sea entendible para todos, porque los reclutadores podrían no comprender tu jerga profesional, lo que dificultaría la valoración de tu postulación.

Por supuesto, puedes incluir experiencias como autónomo o freelancer.

3. Respalda tu cualificación con tus estudios

Aunque hay muchas disciplinas informáticas que puedes aprenderse de manera autodidacta, que es válido, algunos puestos de trabajo ameritan una formación oficial de respaldo.

Por lo tanto, revisa si el contratante exige contar con estudios profesionales o superiores en el área del empleo, así sabrás si tu perfil se ajusta a ese trabajo.

Ojo…

Las formaciones complementarias (cursos, talleres, etc.) también cuentan, no las subestimes, son un respaldo completamente válido para argumentar la cualificación.

4. Enlista tus mejores habilidades de tecnología

En una sección independiente debes resumirles a los reclutadores tus mejores competencias profesionales como especialista en tecnología, siempre teniendo en cuenta las necesidades del puesto de trabajo (según el anuncio de empleo).

Además, no olvides incluir tanto habilidades técnicas como habilidades interpersonales, ambas son indispensables para desempeñar cualquier trabajo.

Si no tienes ninguna experiencia laboral en el área, puedes darles más protagonismo a tus habilidades, posicionándolas como la primera sección, describiendo las mejores. También puedes añadir un breve listado al final del CV con otras habilidades complementarias.

5. Incluye datos adicionales de interés

Aparte de las secciones básicas, que son el resumen profesional, la experiencia laboral, los estudios y las habilidades, puedes añadir otros datos que sean de interés para tu candidatura. Eso sí, que realmente aporten valor a tu perfil, nunca contenido de relleno.

Algunas de estas secciones complementarias podrían ser:

• Idiomas.
• Cursos.
• Referencias laborales.
• Otros datos de interés (disponibilidad de contratación, disponibilidad horaria, etc.).
• Publicación en medios digitales y/o impresos.
• Premios.
• Intereses profesionales.

PLUS: incluye tus redes sociales y/o porfolio profesional

Si has creado una marca personal como profesional en tecnología, no dudes en incluir los enlaces a tus redes sociales (Instagram y LinkedIn, sobre todo), siempre que mantengas tus perfiles optimizados, que demuestren tu nivel de experticia en el área del empleo.

Asimismo, si tienes porfolio profesional, también incluye el enlace para que el contratante pueda apreciar tus habilidades profesionales.

Y como el diseño también es importante, presenta tu curriculum vitae en un soporte atractivo, profesional y minimalista, porque, en este caso, menos es más.

El cargo 5 consejos para escribir un buen curriculum vitae de tecnología apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente