sábado, 30 de noviembre de 2019

Como cargan saldo pirata en nuevas tarjetas de metro y burlan el sistema

Presentamos cómo venden las nuevas tarjetas multimodal con saldo pirata del transporte público de la CDMX: metro, metrobus, ecobici, tren ligero y próximamente Trolebús y Cablebús. Supuestamente serán inhabilitadas al hacer recargas externas ilícitas, pero ¿de verdad pasará?

The post Como cargan saldo pirata en nuevas tarjetas de metro y burlan el sistema appeared first on Noticias de seguridad informática.



Ver Fuente

viernes, 29 de noviembre de 2019

4 millones de tarjetas de crédito usadas en restaurantes a la venta en foros de hacking

Un grupo de hackers ha publicado una nueva base de datos de tarjetas de pago robadas en Joker’s Stash, un popular foro de dark web. Acorde a especialistas en seguridad de aplicaciones web que analizaron la nueva publicación, esta ocasión la información robada parece estar relacionada con el hackeo a cuatro grandes cadenas de restaurantes en E.U.

Este nuevo lote apareció en el foro de hacking durante la semana pasada, mostrando información de las cadenas de comida Krystal , Moe’s Southwest Grill, McAlister’s Deli y Schlotzsky’s, mencionan los especialistas de la firma de seguridad Gemini Advisory.

El incidente de seguridad habría ocurrido el pasado mes de agosto, impactando a múltiples sucursales en todo E.U. En total, mil 500 sucursales habrían podido ser afectadas por la brecha de datos. El caso de Krystal es un poco diferente, pues el robo de datos habría ocurrido entre julio y septiembre de este año. Más de 350 sucursales de esta cadena habrían sido potencialmente afectadas.

Los expertos en seguridad de aplicaciones web de Gemini mencionan que, de los más de 1700 restaurantes pertenecientes a estas cadenas, cerca del 50% habrían sido víctimas de la brecha de datos. En otras palabras, se calcula que al menos 4 millones de clientes y sus respectivas tarjetas de pago fueron comprometidos. La mayor concentración de sucursales afectadas se encuentra en los estados de Carolina del Norte, Carolina del Sur, Florida y Georgia, mencionan los especialistas.

Pasaron meses para que los hackers revelaran la información robada en Joker’s Stash; acorde a los expertos, esta es una medida estratégica para no saturar la plataforma con demasiadas ofertas, lo que reduce el margen de ganancias para los actores de amenazas. Otra posible razón por la que los hackers habrían esperado hasta noviembre para publicar el anuncio en Joker’s Stash es debido al inicio de la temporada de compras navideñas, que dará inicio con el popular Black Friday.

Acorde a los expertos en seguridad de aplicaciones web, Joker’s Stash sigue siendo una de las plataformas ilegales más activas, especializándose en la venta de detalles bancarios robados. Hace algunas semanas se publicó un anuncio en la plataforma sobre una base de datos con más de 1.2 millones de registros de tarjetas de pago robadas de múltiples bancos, principalmente en India.

Uno de los sectores que más ha sufrido el impacto de estos incidentes recientemente es la industria de los servicios de hotelería, pues los actores de amenaza han descubierto que, la mayoría de las veces, el personal que labora en estas compañías no cuenta con los conocimientos requeridos para detectar y abordar una amenaza de seguridad informática.

Recientemente, especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) reportaron la detección de una campaña masiva de phishing apuntando contra cadenas de hoteles y agencias de viaje en línea. Empleando emails con archivos adjuntos, los hackers entregan malware en las computadoras objetivo, descargan y ejecutan un malware, y finalmente acceden a las redes de estas compañías para extraer los datos de tarjetas de pago de los clientes.

The post 4 millones de tarjetas de crédito usadas en restaurantes a la venta en foros de hacking appeared first on Noticias de seguridad informática.



Ver Fuente

Nuevo malware transfiere dinero desde su app de banca móvil a la cuenta de los hackers

Actualmente existen múltiples variantes de malware para dispositivos móviles empleados con diferentes fines. Expertos en forense digital mencionan que, durante los meses más recientes, se ha detectado una campaña de infección contra dispositivos con sistema operativo Android que emplea un malware para infiltrarse en la app de banca móvil de las víctimas y extraer sus activos.

En su reporte, la firma de seguridad Group-IB menciona que este troyano es capaz de realizar transferencias bancarias de forma automática a las cuentas controladas por los hackers. La etapa más compleja del ataque es el envío de la carga útil maliciosa; posteriormente, los actores de amenazas realizarían el reenvío de fondos sin mayores contratiempos.   

Acorde a los expertos en forense digital, al menos dos grandes bancos rusos ya han identificado algunos casos de ataque exitoso. Los representantes de estas instituciones bancarias mencionan que son realmente pocos los casos de infección con este virus, aunque destacan que es importante enfrentar esta amenaza antes de que el alcance del ataque crezca.

A diferencia de anteriores variantes de malware para sistemas operativos móviles, que sólo podían mostrar ventanas emergentes para capturar credenciales de inicio de sesión, este troyano es capaz de analizar el dispositivo objetivo en busca de apps de banca móvil, capturar información financiera de la víctima y realizar operaciones a través de la app.

“Estos programas maliciosos se parecen cada vez más a los troyanos bancarios empleados en ataques a gran escala contra equipos de escritorio y redes bancarias”, mencionan los expertos en forense digital. Cabe recordar que este tipo de virus es capaz de robar información de sistemas de banca electrónica, tarjetas físicas y terminales de pago.

Respecto al método de infección, los hackers suelen hacer pasar estos virus como apps sencillas (algunos juegos o navegadores móviles), aunque también se ocultan en sitios web para adultos, plataformas de descarga de contenido pirata e incluso vía mensajes SMS. Aunque este tipo de desarrollos datan de hace un par de años, los expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que la actividad relacionada con el malware para Android incrementó de forma considerable durante todo el 2019, no obstante, la mayoría de las ocasiones estos ataques no fructifican.

Algunos miembros de la comunidad de la ciberseguridad consideran que el incremento de esta actividad está ligado a la desintegración de una de las botnets más grandes registradas. Los operadores, presuntamente hackers rusos, habrían elegido comprometer dispositivos Android en sus siguientes ataques.

The post Nuevo malware transfiere dinero desde su app de banca móvil a la cuenta de los hackers appeared first on Noticias de seguridad informática.



Ver Fuente

jueves, 28 de noviembre de 2019

¿Cómo se hackea un hotel? Un método utilizado por los cibercriminales

Múltiples empleados de cadenas de hoteles reciben constantemente emails que probablemente deban ignorar, pues podrían ser víctimas de una campaña de phishing masiva dirigida específicamente contra la industria de la hotelería. Especialistas en ciberseguridad de la firma de seguridad Kaspersky han publicado un informe donde detallan una campaña de hacking identificada como RevengeHotels que tiene como propósito obtener datos de tarjetas de crédito de millones de clientes de cadenas de hoteles, así como información financiera registrada en agencias de viajes en línea, como Booking.com y otras similares.

La actividad principal de los operadores de esta campaña se registra en Brasil, no obstante, también se han encontrado indicios de actividad en Argentina, Bolivia, Chile, México, e incluso en algunos sectores de Europa, incluyendo España, Portugal, Francia e Italia.

Países con registros de ataques de RevengeHotels
FUENTE: Kaspersky Lab

La vía principal de ataque es a través del envío de emails con documentos de Word, Excel o archivos PDF adjuntos cargados de malware para explotar algunas vulnerabilidades conocidas, principalmente CVE-2017-0199. Los expertos en ciberseguridad afirman que esta campaña ha estado activa desde 2015, aunque la actividad ha incrementado de forma considerable durante el último año.

El ataque comienza con un email de spear phishing, presuntamente enviado por una compañía interesada en reservar en el hotel objetivo. Los hackers se toman el tiempo para elaborar mensajes altamente detallados y de apariencia legítima.

El archivo adjunto (usualmente llamado AdvogadosAssociados.docx, con algunas variaciones según el país) contiene un archivo malicioso de Word que entrega un objeto OLE a través de una inyección de plantilla para ejecutar código macro; este código macro dentro del documento OLE contiene comandos de PowerShell para descargar y ejecutar la carga útil final.

Acorde a los expertos en ciberseguridad, los archivos descargados son binarios .NET protegidos con Yoda Obfuscator; después de ser desempacados, se identifica el código como RevengeRAT. Posteriormente aparece un módulo adicional identificado como ScreenBooking, con el que los hackers capturan los datos de las tarjetas de crédito.

Los expertos en ciberseguridad monitorearon algunos foros de hacking, donde descubrieron que los operadores de esta campaña se enfocan principalmente en los equipos de cómputo de las recepciones de los hoteles para acceder a las redes de una compañía y robar los datos de tarjetas de crédito. Otra vía de ataque es la venta de accesos remotos a estos sistemas, lo que involucra a otros grupos de hacking.

Después de extraer los datos de tarjetas de crédito, los hackers comienzan a ofertar esta información en foros ilegales, lo que resulta atractivo para los grupos de criminales interesados en esta información, pues las cadenas hoteleras son consideradas fuentes de información confiables en el mundo del cibercrimen.

Anuncio colocado en foros de hacking
FUENTE: Kaspersky Lab

Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que esta campaña seguirá activa por largo tiempo, puesto que las vulnerabilidades explotadas por los hackers no serán parcheadas completamente, por lo que es necesario que los viajeros tomen algunas precauciones antes de que su información se vea comprometida.

Una forma de prevención realmente funcional es el uso de tarjetas de pago virtuales para el pago de servicios en agencias de viaje en línea, puesto que los datos de estas tarjetas caducarán después de un tiempo determinado, protegiendo los datos financieros del usuario. El uso de servicios como Apple Pay o Google Pay también es una buena alternativa.

The post ¿Cómo se hackea un hotel? Un método utilizado por los cibercriminales appeared first on Noticias de seguridad informática.



Ver Fuente

Magento Marketplace es hackeada; una plataforma realmente insegura

Expertos en protección de datos reportan una intrusión que ha impactado a los usuarios de Magento Marketplace de Adobe, empleado para la compra, venta y descarga de temas y plugins para tiendas en línea basadas en Magento.

A través de un email, la compañía notificó a sus clientes, señalando que los hackers se aprovecharon de una vulnerabilidad en el sitio web de Magento Marketplace para acceder a los sistemas comprometidos, lo que derivó en un acceso no autorizado a las cuentas de los usuarios registrados.

En el reporte, los expertos en protección de datos mencionan que fueron afectados tanto los usuarios registrados en el sitio como los desarrolladores de plugins y temas que usan esta plataforma para ofertar sus creaciones y ganar algo de dinero.

Adobe no ha mencionado más detalles técnicos del ataque, como el tipo de vulnerabilidad explotada por los actores de amenazas, pues sólo se ha limitado a afirmar que la intrusión fue detectada hace una semana. Lo que sí se sabe es que la falla permitió a los hackers acceder a múltiples detalles como:

  • Nombres completos
  • Nombre de usuario en la plataforma (MageID)
  • Dirección email
  • Número de teléfono

La compañía señala que los datos financieros y las contraseñas de los usuarios no se vieron comprometidos durante este incidente, además de que los usuarios potencialmente afectados ya han sido notificados.

En el mensaje enviado a los usuarios, firmado por Jason Woosley, Vicepresidente comercial de Adobe, no se menciona el número total de cuentas afectadas. “Magento Marketplace fue puesto fuera de línea tan pronto como detectamos la intrusión, por lo que esperamos haber cortado el alcance del incidente”, concluye Woosley.

Respecto a los productos y plataformas principales de Adobe, se menciona que el incidente no tuvo repercusión alguna en estos recursos, además no existen indicios que sugieran que los actores de amenazas lograron comprometer el backend central de Magento o los plugins y temas alojados al momento de la intrusión.

Cabe recordar que Magento es un sistema de gestión de contenido para la creación de tiendas en línea; es una variante de servicio basado en la nube, aunque también puede ser alojado por sí mismo. Acorde a los expertos en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS), después de Shopify, Magento es la plataforma de e-commerce más popular actualmente.

The post Magento Marketplace es hackeada; una plataforma realmente insegura appeared first on Noticias de seguridad informática.



Ver Fuente

Palo Alto sufre violación de datos. ¿Están aseguradas las redes de sus clientes?

Especialistas en seguridad informática reportan que Palo Alto Networks, importante firma de seguridad con sede en California, E.U., ha sido víctima de una brecha de datos que derivó en la exposición de información personal de empleados antiguos y actuales. Entre los datos comprometidos se encuentran detalles como nombres, fechas de nacimiento y números de seguridad social de los empleados.

A través de un mensaje dirigido a sus empleados y usuarios, la compañía afirma que el incidente se produjo debido a errores de seguridad en una compañía de servicios externa, añadiendo que se ha disuelto el contrato con dicha compañía, cuyo nombre no fue revelado. Esta decisión, tomada por Nikesh Arora, CEO de Palo Alto Networks, generó controversia entre la comunidad de la ciberseguridad, pues no es una medida que se acostumbre en esta clase de incidentes.

Aunque el incidente está relacionado con una base de datos que almacenaba información de empleados de la compañía, los especialistas en seguridad informática consideran que esta clase de inconvenientes ponen en alerta a los más de 60 mil clientes de Palo Alto Networks, distribuidos en más de 150 países. Actualmente la firma cuenta con un capital cercano a los 22 mil millones de dólares, aunque un incidente relacionado con la seguridad informática podría poner en riesgo su nivel actual de ingresos debido a posibles multas por incumplimiento a las leyes de protección de datos.

La plataforma especializada Business Insider obtuvo el testimonio de un antiguo empleado que prefirió permanecer anónimo. En su declaración menciona que la compañía reveló a los empleados y antiguos empleados sobre la exposición de su información, afirmando que el incidente llevaba meses sin ser detectado, lo que brindó a los hackers tiempo necesario para completar su tarea maliciosa.

Del mismo modo que el proveedor afectado, Palo Alto Networks declinó mencionar si la información comprometida había sido filtrada en algún foro de dark web. Aún se esperan mayores informes de la compañía.

En declaraciones para Business Insider, un portavoz de Palo Alto aseguró que: “el pasado 2 de febrero detectamos que la información de siete empleados fue expuesta por un proveedor externo. Nuestros equipos tomaron medidas inmediatas para eliminar cualquier forma de acceso a esta información y rescindir el contrato con la compañía responsable”.

No obstante, especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) consideran que Palo Alto está traicionando a la confianza de sus antiguos  y actuales empleados al ocultar la información relacionada con este incidente, principalmente el nombre de la compañía responsable de la exposición de información confidencial.

The post Palo Alto sufre violación de datos. ¿Están aseguradas las redes de sus clientes? appeared first on Noticias de seguridad informática.



Ver Fuente

Firma de seguridad Prosegur cierra operaciones tras ataque de ransomware

Acorde a especialistas en hacking ético, la firma multinacional de seguridad privada Prosegur fue víctima de un ataque de ransomware masivo que forzó el cierre de operaciones en su plataforma de telecomunicaciones. La compañía, con sede en España, reconoció el incidente a través de un comunicado publicado alrededor del mediodía de hoy (hora local).

Como medida de seguridad, la compañía decidió restringir las comunicaciones con sus clientes con la intención de detener la propagación de la infección. Prosegur no ha hecho declaraciones oficiales sobre el alcance del incidente, aunque acorde a la plataforma especializada BleepingComputer, el ransomware afectó a todas las instalaciones de la compañía en Europa.

Derecho de la Red, un sitio web español dedicado a temas de ciberseguridad, afirmó horas después del incidente que la variante de malware de cifrado utilizado durante el ataque a Prosegur era Ryuk, un potente ransomware surgido hace un par de años. Además, en este sitio se menciona que toda la red de la compañía fue paralizada, por lo que no hubo forma de trabajar durante horas. Según estas primeras versiones, el ransomware habría sido enviado vía el virus Emotet, un software malicioso utilizad en múltiples variantes de ciberataque.

Firmas de seguridad y especialistas en hacking ético reportaron un reciente incremento en las infecciones de Ryuk en Europa, principalmente en España. Prosegur no reveló en qué momento fue detectado el incidente, aunque se reporta que las redes de la compañía habrían estado inactivas desde la madrugada del miércoles, hora local.

La compañía publicó las primeras declaraciones oficiales hasta pasadas algunas horas de la detección del incidente, lo que generó la molestia de múltiples usuarios que aún ignoraban el ataque contra Prosegur: “No puedo iniciar sesión en la app de usuario ni conectarme al sitio web para clientes”, mencionó a través de Twitter el usuario @bigmickt.

En la primera declaración oficinal sobre el incidente, la compañía mencionó: “Prosegur informa que se ha producido un incidente de seguridad informática en sus sistemas de telecomunicaciones. Después de la detección del incidente se iniciaron los protocolos de seguridad correspondientes; trataremos de establecer las medidas necesarias para restaurar todos nuestros servicios a la brevedad”.

En la más reciente actualización del incidente, Prosegur reconoce que se trata de una infección de Ryuk: “Hemos implementado las más estrictas medidas de seguridad para detener la propagación del ransomware al interior y al exterior de nuestras redes”. Expertos en hacking ético mencionan que las comunicaciones de la compañía seguirán interrumpidas durante un tiempo aún no determinado. Prosegur se encuentra trabajando a marchas forzadas para evitar la pérdida de datos, el peor escenario posible durante esta clase de incidentes.  

Hace algunas semanas, especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) reportaron un incidente similar en Everis, una firma de servicios de gestión, así como en Cadena SER, una importante radiodifusora de España. Ambas compañías fueron infectadas con Bitpaymer, otra popular variante de ransomware; hasta ahora se ignora si las compañías accedieron a pagar el rescate a los hackers o si restablecieron sus sistemas a partir de respaldos de seguridad.

The post Firma de seguridad Prosegur cierra operaciones tras ataque de ransomware appeared first on Noticias de seguridad informática.



Ver Fuente

miércoles, 27 de noviembre de 2019

10 regalos que no debe comprar este Black Friday sin importar que estén en oferta

Las ofertas por el Black Friday están por comenzar, sobre todo a través de tiendas en línea, aunque dejarnos llevar por precios atractivos en dispositivos tecnológicos tal vez no sea la mejor idea. Especialistas en protección de datos han señalado de forma continua la gran cantidad de fallas de seguridad en equipos como smart speakers, tabletas, sistemas de vigilancia, entre otros, y un incremento en el uso de estos productos sólo incrementaría el riesgo para la seguridad de la información de sus usuarios.

La seguridad de la información y la privacidad de los usuarios es vital en el uso de dispositivos inteligentes, por lo que a continuación se muestra una lista de los 10 dispositivos que no debería comprar en esta temporada de ofertas.

Amazon Echo

Hace un par de semanas, especialistas en protección de datos reportaron que múltiples generaciones de estos smart speakers eran afectadas por una antigua vulnerabilidad que, de ser explotada, permitía desplegar ataques Man-in-The-Middle (MiTM) para acceder a redes WiFi WPA2, por lo que un hacker podría acceder a su red doméstica mediante un dispositivo Amazon Echo.

Google Nest

El principal uso de los dispositivos Google Nest es el control de otros dispositivos de Internet de las Cosas (IoT); al contar con un acceso y capacidad de control tan amplio, estos equipos deberían contar con las mejores protecciones. No obstante, investigadores y hackers maliciosos han demostrado en múltiples ocasiones lo fácil que es comprometer estos dispositivos, por lo que tal vez la mejor opción sea evitar su uso.

Google Home

De todos los dispositivos Google Nest el más destacado es Home, el smart speaker que incluye el asistente de voz de la compañía. Recientemente se reveló que Google permite que terceros tengan acceso a algunas grabaciones registradas por Google Home; la compañía argumenta motivos de control de calidad y desarrollo del asistente, pero esta es una clara violación a la privacidad de los usuarios.

Apple HomePod

Esta es una bocina integrada con Siri y seis potentes micrófonos inteligentes. Aunque ofrece muy buena calidad de sonido, a los especialistas en protección de datos les preocupa la gran capacidad de escucha que tiene este dispositivo. Apple afirma que cualquier solicitud registrada por HomePod es cifrada antes de enviarse a sus servidores, no obstante, otros inconvenientes de privacidad podrían surgir en el futuro.

Timbres Ring

Estos timbres con cámara integrada carecen de medidas de seguridad confiables, incluso se descubrió una vulnerabilidad en el software de estos dispositivos que permitía extraer el nombre y la contraseña de la red WiFi a la que están conectados.

Facebook Portal

Este altavoz inteligente con pantalla y cámara web no fue bien recibido por el público, que aún tenía un recuerdo reciente del escándalo de privacidad de Cambridge Analytica. Facebook puso manos a la obra para tratar de generar confianza en Portal, no obstante, el producto sigue siendo visto como una amenaza a la privacidad.

Comederos inteligentes (smart feeders)

Xiaomi, en colaboración con Furrytail, lanzó este año un dispensador de alimento para mascota operable a través de una app. Si bien el dispositivo causó expectación, poco después de su salida al mercado una hacker descubrió que las limitadas medidas de seguridad le permitían tomar control de estos aparatos de forma realmente fácil, por lo que tal vez sea mejor alimentar a su mascota del modo tradicional.

Smart Watch para niños

Estos dispositivos se emplean principalmente para conocer la localización del infante usuario. No obstante, existen casos en los que estos registros confidenciales son expuestos, poniendo en riesgo a los niños e incluso a los padres., afirman especialistas en protección de datos.

Cámaras Ring (para interiores y exteriores)

Las deficiencias de seguridad en estos dispositivos podrían permitir a usuarios maliciosos acceder al software de la cámara, lo que les permitiría recolectar información sobre las víctimas e incluso capturar la transmisión en vivo de estos dispositivos.

Collar inteligente Link AKC

Este dispositivo permite conocer la ubicación de una mascota, ya sea vía Bluetooth o a través de GPS. Aunque parece útil para proteger a una mascota, poco se sabe sobre sus medidas de seguridad, pues los desarrolladores ni siquiera especifican si cuenta con cifrado. En caso de no contar con esta protección, el collar podría exponer al propietario.

Los especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) aseguran que, a pesar de que estos equipos se actualizan de forma constante, los riesgos de seguridad también evolucionan, por lo que es bueno que, como usuarios de tecnología, tratemos de no depender completamente de estos dispositivos en nuestra vida cotidiana.

The post 10 regalos que no debe comprar este Black Friday sin importar que estén en oferta appeared first on Noticias de seguridad informática.



Ver Fuente

Este malware infecta su dispositivo cuando encuentra un anuncio de Facebook

Especialistas en hacking ético de la firma de seguridad ESET reportan la aparición de un nuevo troyano bancario en múltiples lugares de América Latina. Identificado como Mispadu, este programa malicioso emplea anuncios falsos de McDonald’s para engañar a las víctimas a través de páginas web y plataformas de redes sociales, principalmente Facebook.

Además de publicidad maliciosa, también es posible encontrar este malware en una extensión maliciosa de Google Chrome empleada por los operadores de la campaña para el robo de credenciales e información bancaria.

En su informe, los especialistas afirman que la mayor actividad de Mispadu ha sido registrada en Brasil y México; escrito en Delphi, este troyano infecta a las víctimas de un modo similar a otras variantes de malware, desplegando ventanas emergentes de contenido malicioso para tratar de obtener información confidencial, principalmente detalles financieros.

Además, Mispadu cuenta con una función de backdoor que le permite tomar capturas de pantalla, simular clics e incluso tomar registros de las pulsaciones del teclado. El troyano también cuenta con un módulo de actualización mediante un archivo Visual Basic Script (VBS) descargable y ejecutable de forma automática.

Empleando Mispadu, los actores de amenaza recopilan múltiples detalles sobre las víctimas, incluyendo:

  • Versión del sistema operativo
  • Nombre del dispositivo
  • Lista de herramientas de seguridad instaladas en el sistema objetivo
  • En el caso de Brasil, el troyano verifica si el dispositivo tiene instalada Diebold Varsovia GAS Tech, una popular app usada para controlar el acceso a servicios de banca en línea

En cuanto a la distribución de Mispadu, los expertos en hacking ético mencionan que existen dos principales métodos: el spam y la publicidad maliciosa (también conocida como malvertising). Los especialistas afirman que el malvertising no suele ser un método de distribución de troyanos bancarios muy común.

En el ejemplo siguiente, se muestran dos diferentes emails de phishing utilizados por los operadores de Mispadu, dirigidos a habitantes de Brasil y México.

Ejemplos de emails de phishing usados en esta campaña
FUENTE: ESET

Otro de los vectores de ataque es la colocación de publicidad pagada en Facebook; en este caso, los atacantes decidieron usar anuncios falsos de cupones de descuento para McDonald’s. Al interactuar con esta falsa publicidad, la víctima es redirigida a una página web desde donde se le sugiere hacer clic en el botón “Generar cupón”, lo que iniciará la descarga de un archivo ZIP que incluye el instalador MSI.


Ejemplo de la publicidad y página falsa
FUENTE: ESET

Acorde a los expertos en hacking ético, cuando la víctima ejecuta el instalador, inicia una cadena de tres secuencias de comandos:

  • El primer script descifra y ejecuta el siguiente script
  • El segundo script recupera el tercer script para su ejecución
  • El tercer script verifica algunos datos del dispositivo infectado para identificar el país donde reside la víctima para después configurar la persistencia, creando un enlace en la carpeta de inicio y ejecutando un inyector que localizará el troyano para su descifrado y ejecución

Acorde a los especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), Mispadu extrae información escaneando el contenido del portapapeles del dispositivo infectado, incluso se ha detectado que el troyano es capaz de identificar carteras de criptomoneda usadas por la víctima para después reemplazarlas con una dirección controlada por los hackers, aunque este no es el principal medio de ganancias para los criminales.

Por seguridad se recomienda a los usuarios identificar cualquier posible mensaje malicioso recibido por email, además de nunca hacer clic en un enlace adjunto, así como ignorar cualquier anuncio en línea que prometa cosas gratis o que simplemente parezca demasiado bueno para ser verdad.

The post Este malware infecta su dispositivo cuando encuentra un anuncio de Facebook appeared first on Noticias de seguridad informática.



Ver Fuente

Plataforma de criptomonedas Upbit es hackeada; 50 millones de dólares robados

A pesar de sus avanzadas medidas de seguridad, las plataformas de intercambio de criptomoneda siguen siendo uno de los objetivos predilectos de los hackers. Según reportan especialistas en forense digital, Upbit, plataforma de intercambio con sede en Corea del Sur, ha sido víctima de un ciberataque que derivó en el robo de 342 mil unidades de Ethereum, equivalentes a 48.5 millones de dólares.

Rumores sobre el incidente comenzaron a circular la madrugada de este martes; un par de horas más tarde, Lee Seok-woo, CEO de Upbit, confirmó el robo a través de un comunicado en el sitio web de la plataforma: “Alrededor de las 13:06 (tiempo local) de este martes 27 de noviembre, fueron transferidos 342 mil ETH de la hot wallet (término que se refiere a una cartera de criptomoneda conectada a Internet) de Ethereum en Upbit a una dirección desconocida”, menciona el comunicado.

En la página web de Upbit se muestra una captura de pantalla con la dirección a la que fueron transferidos los activos; hasta el momento los responsables del ataque no han realizado ningún movimiento en esta cartera en línea, aseguran los expertos en forense digital.

Dirección a la que fueron transferidos los activos
FUENTE: TheNextWeb

La plataforma de intercambio asegura que será financiado cualquier reemplazo de Ethereum derivado de este incidente, por lo que los usuarios afectados deben permanecer en comunicación con la compañía para conocer el proceso de recuperación de sus activos digitales.

Como medida de seguridad, el equipo de forense digital de Upbit mencionó que se han transferido todos los activos de la plataforma a sus cold wallets (término empleado para referirse a carteras de criptomoneda que no están conectadas a Internet, por lo que están a salvo de ciberataques por esta vía), al menos hasta que puedan asegurar que la amenaza ha sido eliminada.

Es importante señalar que, mientras una hot wallet es una implementación de almacenamiento de activos virtuales basada en software (generalmente son apps móviles o programas de computadora), las cold wallet están basadas en hardware, gracias a lo cual pueden mantenerse fuera de línea mientras no son utilizadas, por lo que un actor de amenazas requeriría acceso físico a estos recursos para intentar robarlos.

La investigación seguirá en curso al menos durante las próximas dos semanas. Mientras tanto, se encuentran suspendidas todas las operaciones en Upbit. La plataforma solicita encarecidamente a sus usuarios abstenerse de enviar criptomonedas hasta nuevo aviso. 

Hace algunos días, especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) reportaron un incidente de ciberseguridad relacionado con la criptomoneda Monero. Un usuario notó que, al descargar un binario de Linux de 64 bits para trabajar con esta moneda virtual, el hash SHA256 no coincidía con el que se mostraba en el sitio web oficial. Después de una investigación interna, el equipo detrás de Monero determinó que el archivo había sido alterado por un usuario malicioso con la intención de robar algunas unidades del activo virtual.

Como medida de seguridad, la plataforma recomendó a sus usuarios que descargaron este archivo verificar los hash del binario, además de eliminarlos y descargarlos de nuevo en caso de detectar cualquier anomalía. A pesar de que el incidente fue detectado a tiempo, al parecer sí hubo robos de criptomoneda derivados de este incidente, aunque hasta ahora Monero no ha revelado mayores detalles.

The post Plataforma de criptomonedas Upbit es hackeada; 50 millones de dólares robados appeared first on Noticias de seguridad informática.



Ver Fuente

Netflix, Prime y otras plataformas de streaming consideran verificación de huellas dactilares para evitar uso compartido de contraseñas

Con el anuncio de la creación de Disney+, muchos especialistas y entusiastas anticipaban el inicio de una guerra entre las diversas plataformas de streaming existentes que al final beneficiaría a los consumidores. Según una investigación realizada por Wall Street Journal, Netflix podría perder hasta el 30% de sus suscriptores ante Apple TV y Disney+. No obstante, especialistas en seguridad de aplicaciones web consideran que la verdadera guerra de las plataformas de streaming será librada contra su enemigo común: la piratería.

El combate a la piratería ha sido uno de los principales problemas para la industria del entretenimiento; además, a medida que avanza el mercado audiovisual, también evolucionan las formas de acceder al contenido sin pagar. En el caso de los servicios de streaming, los principales problemas son el hackeo y el uso compartido de contraseñas, prácticas que representan una pérdida de miles de millones de dólares para estas compañías.

Los primeros esfuerzos conjuntos para combatir estas prácticas se remontan a hace un par de años, con la creación de Alliance for Creativity and Entertainment (ACE), una asociación integrada por compañías como Sony, Warner, Netflix, HBO, Disney y Amazon, que en el futuro cercano centrará sus esfuerzos en eliminar el uso compartido de contraseñas.  

Acorde a los especialistas en seguridad de aplicaciones web, una de las posibles soluciones planteadas por ACE es el establecimiento de una política de reinicio de contraseñas periódico para reducir el impacto de posibles incidentes de hacking. Otra medida a la que las plataformas de streaming podrían recurrir es la implementación de autenticación multi factor para que los propietarios de las cuentas ingresen un código (recibido vía SMS) para poder acceder iniciar sesión. Además, las compañías de streaming planean establecer controles más estrictos en el límite de dispositivos conectados a una misma cuenta.

Para esto, las compañías podrían recurrir a indicadores como dirección IP o a la distancia entre dispositivos inteligentes que intenten iniciar sesión. En caso de que estas medidas no fueran fructíferas, los servicios de streaming podrían jugar una última carta: la implementación de identificación biométrica. El uso de identificadores de huellas dactilares, o incluso de reconocimiento facial, aseguraría que sólo los propietarios de las cuentas puedan acceder a los servicios de streaming, limitando en amplia medida cualquier truco que los usuarios o hackers pudieran emplear.

Aunque esta medida pareciera una buena idea tiene múltiples inconvenientes. El primer problema es que, acorde a los expertos en seguridad de aplicaciones web, no todos los dispositivos inteligentes cuentan con la capacidad para registrar datos biométricos, puesto que este aún no es un recurso estándar en la industria.

Por otra parte, muchos usuarios de estos servicios podrían encontrar estas medidas demasiado invasivas, lo que podría alejarlos de las plataformas de streaming, además de impactar también en el interés de potenciales clientes futuros, principalmente la gente más joven.

Finalmente, especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) señalan que resguardar de forma adecuada millones de registros biométricos sería una labor demasiado compleja para las plataformas de streaming y, de no contar con las medidas de seguridad pertinentes, podrían exponer a sus usuarios a peligrosas variantes de ataque y fraude electrónico.

The post Netflix, Prime y otras plataformas de streaming consideran verificación de huellas dactilares para evitar uso compartido de contraseñas appeared first on Noticias de seguridad informática.



Ver Fuente

martes, 26 de noviembre de 2019

Vulnerabilidad crítica de inyección SQL en phpMyAdmin

Especialistas en análisis de vulnerabilidades reportan el hallazgo de una falla de seguridad en phpMyAdmin, una de las aplicaciones de administración de bases de datos MySQL más utilizadas del mundo, presente en múltiples versiones de la herramienta (desde 4.7.7 hasta 4.9.2).

Acorde al reporte, se trata de una vulnerabilidad de inyección SQL ejecutable a través de la función de diseñador usando un nombre de usuario especialmente creado para la explotación de la falla.

La vulnerabilidad, identificada como CVE-2019-18622, ya ha sido notificada al equipo detrás de phpMyAdmin, que recibió el reporte y comenzó a trabajar en las posibles soluciones de inmediato.

Los servidores Plesk no se ven afectados en su configuración por defecto. Por otra parte, Plesk no permite crear usuarios de bases de datos que usen caracteres especiales para su nombre de usuario, lo que es parte fundamental de este ataque.

Acorde a los especialistas en análisis de vulnerabilidades, solamente las implementaciones de DB Server Admin permiten la creación de usuarios de bases de datos de forma directa a través de MySQL, además, es necesario resaltar que la inyección SQL sólo es posible en la base de datos de phpMyAdmin.

En su informe sobre el error, el equipo detrás de phpMyAdmin reconoce que la vulnerabilidad es de gravedad elevada, por lo que instan a los usuarios potencialmente afectados a implementar las medidas de seguridad necesarias a la brevedad.

Para prevenir cualquier escenario de explotación, se recomienda actualizar a phpMyAdmin 4.9.2 o a cualquier versión posterior; el parche para versiones anteriores se encuentra disponible en el siguiente enlace de GitHub. En caso de dudas o comentarios, se recomienda ponerse en contacto directamente con el equipo de phpMyAdmin a través de su sitio web. Respecto a los usuarios creados a través de Plesk, no se requieren medidas de seguridad adicionales.

Múltiples problemas de seguridad se han reportado recientemente en esta herramienta. Hace un par de meses, especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) reportaron la presencia de una vulnerabilidad día cero sin corregir en phpMyAdmin; esta vulnerabilidad de falsificación de solicitudes entre sitios (XSRF) dependía de engañar a un usuario autenticado para ejecutar acciones maliciosas en el sistema objetivo.

Identificada como CVE-2019-12922, la falla fue considerada como de severidad media, debido a su limitado alcance, pues la explotación sólo permitía a los hackers eliminar servidores configurados en la página de configuración de un panel phpMyAdmin en el servidor de la víctima.

The post Vulnerabilidad crítica de inyección SQL en phpMyAdmin appeared first on Noticias de seguridad informática.



Ver Fuente

Residencias de ancianos afectadas por infección de ransomware. Hackers exigen pago de $14MDD

Más de cien asilos de ancianos en E.U. se encuentran paralizados debido a que la compañía que les presta servicios de tecnología ha sido víctima de una severa infección de ransomware. Acorde a especialistas en seguridad informática, los actores de amenazas, presuntamente hackers rusos, exigen un rescate de más de 14 millones de dólares.

La compañía afectada es Virtual Care Provider, con sede en Wisconsin, que proporciona servicios de conexión a Internet y almacenamiento de información a estos centros de cuidado para personas mayores. En algunas de las instalaciones afectadas, el personal se encuentra imposibilitado para usar Internet, acceder a los sistemas de nómina y de historial médico.

A través de un comunicado en su página web, la compañía mencionó que sus equipos de seguridad informática se encuentran trabajando en el restablecimiento de los servicios interrumpidos desde el pasado 17 de noviembre, día que la infección se desencadenó: “Alrededor de 80 mil computadoras fueron infectadas por este ransomware“, menciona el comunicado, firmado por Karen Christianson, directora ejecutiva de Virtual Care Provider.

La directora ejecutiva añadió que es altamente probable que algunas de las instalaciones afectadas deban cerrar, forzando un traslado de los pacientes a otros centros de cuidado, pues muchos requieren cuidados especiales que no pueden ser brindados en estas instalaciones.

El especialista en seguridad informática Alex Holden, de la firma de seguridad Hold Security, es uno de los principales encargados de la investigación de este incidente, y afirma que un conocido grupo de hackers rusos está detrás del ataque, que tuvo éxito después de una campaña de phishing de más de un año: “Algunos empleados de la compañía interactuaron con estos correos fraudulentos durante meses; finalmente, el malware se infiltró en las redes de la compañía, brindando a los hackers acceso completo a sus sistemas para explotar sus debilidades de seguridad”, menciona el experto.

En su reporte, Holden menciona que los hackers incluso se tomaron el tiempo de inhabilitar algunas medidas de seguridad en las redes de la compañía, como las herramientas antivirus, para propagar la infección a una gran cantidad de máquinas. Finalmente, los atacantes accedieron a las cuentas de administrador de la compañía, obteniendo control total de sus sistemas para eliminar copias de seguridad, tratando de evitar que la compañía pudiera restablecer sus sistemas sin pagar el rescate.

Al completarse la infección, los atacantes enviaron una nota de rescate a la compañía, revelando su exigencia de 14 millones de dólares en Bitcoin a cambio de recuperar el acceso a sus sistemas. “Prácticamente toda la información resguardada por la compañía fue eliminada”, menciona Holden.

Acorde a especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS), este es un escenario catastrófico para Virtual Care, pues los hackers seguramente dedujeron que se trataba de una gran empresa. En realidad se trata de una compañía pequeña que trabaja con las computadoras de muchas otras compañías, por lo que pagar un rescate de 14 millones de dólares está fuera de sus posibilidades. Por si fuera poco, los atacantes eliminaron sus respaldos, de modo que la compañía perderá toda su información y los hackers no obtendrán ganancia alguna, pues Virtual Care simplemente no cuenta con recursos suficientes.

Por lo pronto, Virtual Care ya ha notificado a sus clientes que cien servidores físicos deberán ser reconstruidos, proceso que tomará un tiempo considerable, además de ser costoso; no obstante, esta es la única opción viable para la compañía, pues ya no hay forma de recuperar la información perdida.  

The post Residencias de ancianos afectadas por infección de ransomware. Hackers exigen pago de $14MDD appeared first on Noticias de seguridad informática.



Ver Fuente

Vulnerabilidad crítica en Apache Solr; parches ya disponibles

Acorde a especialistas en pruebas de penetración, hace algunas semanas se reportó el hallazgo de una vulnerabilidad día cero en Apache Solr, una plataforma de búsqueda empresarial de código abierto usada por algunas grandes compañías como Adobe, Bloomber, eBay, Instagram y Netflix. A pesar de incluso existe una prueba de concepto, el riesgo de explotación sigue presente.

Además de este reporte han surgido dos nuevas vulnerabilidades de ejecución remota de código. La primera de estas fallas, identificada como CVE-2019-12409, fue corregida por el equipo de Apache Solr. Por otra parte, la segunda vulnerabilidad (que aún no cuenta con código de identificación) sigue sin ser corregida.

La primera vulnerabilidad, reportada por el experto en pruebas de penetración John Ryan en julio pasado, había sido considerada de gravedad media al inicio. No obstante, el investigador Matei Badanoiu acabad e demostrar que la vulnerabilidad podría ser explotada para desplegar un ataque de ejecución remota de código, por lo que fue reclasificada como una vulnerabilidad de alta gravedad.

La crítica de la comunidad de la ciberseguridad no se hizo esperar, pues muchos consideran que el diagnóstico inicial puso en riesgo a decenas, o incluso cientos de compañías. Debido a que el código de la prueba de concepto fue publicado en GitHub al alcance de cualquiera, era altamente probable que comenzaran a reportarse ataques en escenarios reales.

Al respecto, Apache Solr publicó un comunicado mencionando: “Las versiones 8.1.1 y 8.2.0 de Solr se ven afectadas por una configuración insegura para la opción de configuración ENABLE_REMOTE_JMX_OPTS en el archivo de configuración predeterminado solr.in.sh; las implementaciones de Windows no se ven afectadas por esta falla”.

Acorde a los expertos en pruebas de penetración, si se usa un archivo predeterminado solr.in.sh en las versiones afectadas, el monitoreo JMX será habilitado, exponiendo RMI_PORT sin autenticación. Este escenario permitiría a un actor de amenazas acceder a JMX, cargar código malicioso y ejecutarlo en el servidor Solr.

En cuanto a la segunda vulnerabilidad, fue publicada una prueba de concepto como un GitHub Gist (fragmentos de código publicados en la plataforma); según reportaron los expertos de la firma de seguridad Tenable, la prueba de concepto fue publicada indebidamente, pues se ignoraba si la compañía ya había desarrollado una corrección.

Se ha confirmado que las versiones de Apache Solr entre 7.2.2 y 8.3, la versión más reciente, son vulnerables. Además, los investigadores de Tenable creen que es posible que algunas versiones anteriores que incluyan la API de configuración también pudieran ser vulnerables.

Acorde a los especialistas en pruebas de penetración del Instituto Internacional de Seguridad Cibernética (IICS), es altamente probable que los actores de amenazas ya hayan accedido a la prueba de concepto, por lo que estamos en la antesala de una campaña masiva de explotación de esta falla. A pesar de que la prueba de concepto ya no se encuentre en GitHub, debe ser posible encontrarla en alguno de los muchos foros de hacking en dark web.

Por precaución, los administradores de servidores deben actualizar sus configuraciones de seguridad según las recomendaciones emitidas por cada proveedor, además de realizar algunas pruebas para comprobar que sus sistemas no hayan sido atacados con anterioridad e implementar la autenticación.

The post Vulnerabilidad crítica en Apache Solr; parches ya disponibles appeared first on Noticias de seguridad informática.



Ver Fuente

Vulnerabilidad crítica del lado del servidor en Jira afecta implementaciones en la nube; actualice ahora

Recientemente han surgido múltiples reportes sobre serias fallas de seguridad afectando implementaciones en la nube. En esta ocasión, expertos en forense digital de la firma de seguridad Palo Alto Networks reportan una vulnerabilidad crítica del lado del servidor en Jira, un producto de seguimiento de problemas de Atlassian Corp. que, de ser explotada, podría exponer los datos almacenados de los usuarios.

Para ser precisos, se trata de una vulnerabilidad de falsificación de solicitudes del lado del servidor cuya explotación está relacionada con una aplicación web de redirección de solicitudes del atacante a una red interna detrás de un firewall determinado.

Al explotar esta falla un actor de amenazas podría usar una aplicación para acceder a información subyacente en la estructura de la implementación en la nube (registros, credenciales de acceso, configuraciones, etc). A pesar de que la API de metadatos es sólo accesible de forma local, esta falla funciona como una puerta de acceso a este recurso desde Internet pública, además de que los actores de amenaza pueden esquivar el entorno de sandbox al ejecutarla, mencionan los expertos en forense digital.

Empleando herramientas de análisis personalizadas, los expertos de Palo Alto descubrieron que al menos 7 mil implementaciones de Jira se encuentran expuestas vía Internet pública; además, se reporta que cerca del 45% de las implementaciones expuestas son vulnerables a esta falla crítica, mientras que el 56% de los más de 3 mil hosts vulnerables están filtrando metadatos de la infraestructura de la nube.

Entre las implementaciones con mayor índice de filtración de datos por esta vulnerabilidad se encuentran:

  • Digital Ocean (93%)
  • Google Cloud (80%)
  • Alibaba (70%)
  • Amazon Web Services (68%)

Acorde a los expertos en forense digital, Microsoft Azure tiene un índice de exposición de datos de 0% puesto que esta implementación bloquea las solicitudes del lado del servidor falsas de la API de metadatos por defecto. Al parecer esta vulnerabilidad es realmente similar a la que fue explotada en el ataque a las redes de Capital One Financial Corporation hace unos meses, incidente que derivó en el robo de más de 100 millones de registros almacenados por la compañía.

Esta variante de ataque es realmente seria, pues permite el reconocimiento de redes internas, la explotación de fallas de canal lateral e incluso la ejecución remota de código. En su reporte, los expertos mencionan que la información confidencial, como credenciales o arquitectura de las redes, podría estar expuesta, comprometiendo a su vez los servicios internos.

Acorde a los especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) el problema se deriva directamente de la inadecuada desinfección implementada por los desarrolladores; como recomendación de seguridad, los desarrolladores podrían validar de forma más estricta el formato y el patrón de la entrada de los usuarios antes de integrarse a la lógica de la aplicación.

Otras recomendaciones para los administradores de sistemas incluyen la integración de una lista blanca de dominios, el establecimiento de principios de red de confianza cero, uso de firewall para aplicaciones web y la instalación de los parches de seguridad correspondientes.

The post Vulnerabilidad crítica del lado del servidor en Jira afecta implementaciones en la nube; actualice ahora appeared first on Noticias de seguridad informática.



Ver Fuente

lunes, 25 de noviembre de 2019

Policía de Nueva York pierde base de datos de huellas dactilares debido a una infección de malware

Acorde a especialistas en forense digital, una compañía que presta servicios de TI al Departamento de Policía de Nueva York (NYPD) desconectó accidentalmente la base de datos de huellas dactilares por horas, todo debido al uso de una mini computadora infectada con una variante de malware.

Uno de los empleados de esta compañía se encontraba instalando una pantalla digital en las instalaciones de la academia de policía de Queens el año pasado, para ello usaba la mini computadora infectada. Después de conectar el dispositivo a la red de la academia, el malware se propagó a otras 23 computadoras, todas conectadas al sistema de rastreo de huellas dactilares de NYPD, impulsado por la tecnología LiveScan.

Jessica Tisch, del departamento de Tecnología de la Información de la ciudad de Nueva York, mencionó que apenas unas horas después NYPD detectó el incidente y determinó que se trataba de la intrusión de un software malicioso.  

Posteriormente, los expertos en forense digital de la policía de Nueva York notificaron el incidente a agencias federales de ciberseguridad y anti terrorismo, pues es un protocolo de protección establecido ante cualquier actividad que pudiera comprometer la estructura de TI de las agencias de policía en E.U.

En cuanto al malware que infectó las computadoras de NYPD, Tisch mencionó que se trataba de una variante de ransomware, el cual no pudo ser activado, por lo que los archivos almacenados en los equipos comprometidos no fueron cifrados. Como medida de precaución, el equipo de TI de NYPD decidió cerrar sus sistemas de huellas dactilares.   

Además del cierre temporal de este sistema, se actualizó el software de al menos 200 máquinas de la policía de Nueva York: “Estamos tomando todas las precauciones posibles”, mencionó Tisch. El cierre del sistema duró casi un día completo.

Por otra parte, un portavoz de NYPD mencionó que menos del 0.1% de las computadoras del departamento fueron afectadas durante este incidente. NYPD no reveló el nombre de la persona involucrada, mencionando sólo que fue interrogado sobre sus acciones, aunque no enfrentará un proceso penal por ahora.

Expertos en forense digital consideran que este tipo de incidentes deben ser investigados a fondo, pues la exposición de información confidencial podría derivar en miles de usuarios recibiendo emails de phishing o incluso siendo víctimas de actividades mucho más peligrosas, como el robo de identidad. Al parecer el sistema de huellas dactilares de NYPD está vinculado a alrededor de siete millones de archivos, por lo que un acceso no autorizado a esta información podría poner en riesgo a muchísimas personas.

Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS), este año han surgido frecuentemente reportes de hackers accediendo a bases de datos administradas por entidades públicas, por lo que no es infundado pesar en que algún actor de amenazas haya conseguido acceso a la información de NYPD durante este incidente.

The post Policía de Nueva York pierde base de datos de huellas dactilares debido a una infección de malware appeared first on Noticias de seguridad informática.



Ver Fuente

37 vulnerabilidades críticas encontradas en las soluciones VNC. Parches ya disponibles

Malas noticias para los programadores de software de todo el mundo. Investigadores de análisis de vulnerabilidades reportan el hallazgo de 37 fallas de seguridad que afectan cuatro importantes implementaciones del software de código abierto Virtual Network Computing (VNC).

Pavel Cheremushkin, investigador de Kaspersky Labs, fue el encargado de encontrar las vulnerabilidades en los productos LibVNC, TightVNC 1.x, TurboVNC y UltraVNC. En su reporte, el experto especificó que RealVNC, probablemente la más popular implementación de este software, no fue sometida a análisis puesto que no permite la ingeniería inversa.

El alcance de las vulnerabilidades es amplio, pues estos sistemas pueden ser ejecutados en una amplia variedad de sistemas operativos, incluyendo los más populares, como Windows, Linux, macOS, iOS y Android.

Según expertos en análisis de vulnerabilidades, una implementación VNC se compone de dos partes: cliente y servidor. Su composición permite a los usuarios de VNC acceder de forma remota a una máquina que ejecute un servidor VNC con la ayuda de un cliente empleando un protocolo RFB de transmisión de imágenes en pantalla, movimiento del mouse y envío de registros en el teclado.

En su reporte, el experto menciona que descubrió más de 600 mil servidores VNC accesibles de forma remota a través de Internet público usando Shodan. Al parecer todas las vulnerabilidades reportadas por Cheremushkin tienen que ver con el uso incorrecto de la memoria y su explotación conduce a condiciones de denegación de servicio (DoS), funcionamiento incorrecto, acceso no autorizado a la información de los usuarios e incluso ejecución de código malicioso en el sistema objetivo.

La mayoría de las fallas de seguridad ya han sido corregidas, aunque existen casos en los que hasta ahora no se han lanzado parches de seguridad. Uno de estos casos es el de TightVNC 1.x, pues sus desarrolladores consideran innecesario lanzar parches para la primera versión del software, que ha dejado de recibir soporte para el sistema TightVNC.

En resumen, las vulnerabilidades encontradas por el experto en análisis de vulnerabilidades son:

  • LibVNC: Se descubrieron desbordamientos de búfer en la biblioteca LibVNC que podrían permitir a un hacker esquivar algunas medidas de seguridad para ejecutar código de forma remota en el lado del cliente
  • ThightVNC: Se encontró una desreferencia de puntero que conduce a estados de denegación de servicio (DoS) y desbordamientos de búfer que podrían permitir la ejecución remota de código
  • TurboVNC: Existe una vulnerabilidad de desbordamiento de búfer en el servidor de TurboVNC que podría permitir la ejecución remota de código. Este ataque requiere autorización en el servidor o control sobre el cliente antes de comenzar la conexión
  • UltraVNC: Esta es la implementación donde más fallas descubrió el experto, desde desbordamientos de búfer hasta vulnerabilidades poco comunes y explotables en escenarios reales. El hallazgo más destacado es una vulnerabilidad que conduce a condiciones DoS y, en otros casos, a ejecución remota de códig

A pesar de que algunas fallas son de gravedad considerable, no todo son malas noticias, pues Cheremushkin añade que es necesario que un atacante cuente con autenticación para explotar cualquiera de las vulnerabilidades descubiertas del lado del servidor, por lo que se mitiga ampliamente el riesgo de explotación.

Especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que una medida de protección posible para los clientes es evitar conectarse a servidores VNC desconocidos; además, los administradores podrían configurar la autenticación en el servidor para evitar explotaciones desde ese vector.

The post 37 vulnerabilidades críticas encontradas en las soluciones VNC. Parches ya disponibles appeared first on Noticias de seguridad informática.



Ver Fuente

Hackers filtran información personal de los clientes de OnePlus

Actualmente cualquier compañía está expuesta a incidentes de seguridad informática. En esta ocasión, expertos en seguridad de aplicaciones web reportan que OnePlus, compañía fabricante de smartphones con sede en China, ha sufrido una brecha de datos que derivó en la exposición de algunos detalles de sus clientes.

A través de un comunicado, la compañía mencionó que: “un actor no autorizado accedió a la información de los pedidos recientes de algunos clientes”. En el mensaje se especifica que estos registros incluyen datos como:

  • Nombres completos
  • Número telefónico para contacto
  • Domicilio de envío
  • Dirección email

OnePlus también afirma que los datos de tarjetas de pago de los usuarios no fueron expuestos durante este incidente, además de que todos los usuarios afectados serán notificados durante esta semana.

Los expertos en seguridad de aplicaciones web afirman que la brecha de datos fue reportada la semana pasada, notificando en tiempo y forma a la compañía. Por otra parte, OnePlus menciona que se han realizado continuos monitoreos en su sitio web y redes internas para determinar que el incidente ha finalizado. Los expertos consideran que, de forma implícita, OnePlus menciona en su comunicado que los atacantes accedieron a esta información a través de su sitio web.

En su mensaje la compañía también afirma que, inmediatamente después de detectar el incidente, se tomaron las medidas de seguridad adecuadas para detener la intrusión y asegurarse de que no existieran vulnerabilidades similares; no obstante, aún se desconocen otros detalles, como el número de clientes afectados. Al respecto, OnePlus sólo volvió a publicar el mismo mensaje, añadiendo que la investigación sigue en curso. Tampoco se sabe por qué la compañía tardó casi diez días en revelar el incidente.

En la sección de preguntas frecuentes del sitio web de OnePlus se menciona que el mayor riesgo para los usuarios afectados es recibir un email de phishing o spam publicitario. Sin embargo, los expertos en seguridad de aplicaciones web consideran que, debido a la gran cantidad de detalles personales expuestos, los usuarios afectados se enfrentan a escenarios de riesgo mucho más complejos, como robo de identidad, spear phishing, fraude telefónico, entre otros.

Esta no es la primera ocasión en la que OnePlus revela un incidente de seguridad informática. A inicios de 2018, la compañía china reveló que una brecha de seguridad en sus redes internas derivó en la exposición de los datos de hasta 40 mil clientes, incluyendo detalles de tarjetas de pago.

En esa ocasión, la compañía aseguró a los usuarios y autoridades que actualizarían sus políticas y prácticas de seguridad en un periodo no mayor a un mes, además de anunciar la creación de un programa de recompensas, aunque acorde a expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) no se han realizado cambios importantes en cuanto a la protección de los datos de sus usuarios.

The post Hackers filtran información personal de los clientes de OnePlus appeared first on Noticias de seguridad informática.



Ver Fuente

Más de mil millones de registros personales filtrados. La mayor brecha de datos de la historia

Las brechas de datos se han convertido en algo rutinario, aunque cada nuevo incidente reportado parece afectar de forma más seria a una cantidad más grande de usuarios. Especialistas en protección de datos afirman que, la mayoría de las ocasiones, los datos comprometidos terminan en manos de compañías de marketing e incluso de actores de amenazas.

Actualmente existen decenas de compañías dedicadas a recopilar enormes cantidades de datos desde perfiles de redes sociales, foros en línea o redes de trabajo; esto representa un problema de seguridad, pues muchas de estas compañías no cuentan con las implementaciones de protección de la información adecuadas, siendo propensas a las brechas de datos.

Bob Diachenko, experto en protección de datos dedicado principalmente a la búsqueda y reporte de bases de datos expuestas en Internet, en colaboración con el investigador Vinny Troia, reveló el descubrimiento de más de mil millones de registros expuestos en una implementación de Elasticsearch. Según reportan los investigadores los registros expuestos vienen de dos diferentes compañías de recolección de datos (conocidas como “data brokers”).

La primera de estas compañías, People Data Labs, con sede en California, no ha podido demostrar que cuenta con consentimiento expreso de las personas para el uso con fines comerciales de su información. En total, la compañía expuso 622 millones de direcciones email, cerca de 50 millones de números telefónicos y perfiles de personas elaboradas a partir de la búsqueda de información en plataformas como Facebook, LinkedIn, Twitter, entre otras. Al parecer no existen elementos duplicados, por lo que cada registro es único.

Los especialistas en protección de datos conocen a este tipo de recolección como “enriquecimiento de datos”, y consiste en la búsqueda de información personal de un usuario a partir de un solo dato (como nombre completo, nombre de usuario en alguna plataforma en línea, lugar de trabajo, etc.); posteriormente, los data brokers generan perfiles de cada usuario para ofrecerlos a las compañías de marketing.

En total los investigadores encontraron cuatro índices de datos, tres de los cuales pertenecían a People Data Labs. Estos tres índices abarcaban detalles de más de mil millones de personas, incluyendo direcciones email y otros datos de contacto.

Por otra parte, el cuarto índice pertenece a OxyData.io, y parece albergar información recolectada sólo de LinkedIn. Las dos compañías ya se han puesto en contacto con los investigadores, afirmando que ninguna de las bases de datos fue expuesta por usuarios maliciosos.

Al respecto, Carl Wearn, jefe de investigación de crímenes electrónicos en la firma de seguridad Mimecast, mencionó: “Estos datos no sólo son útiles para las compañías de marketing digital, sino que los cibercriminales también utilizan estos recursos para desplegar campañas de phishing, relleno de credenciales, entre otras variantes de ataque”.

El panorama es sin dudas complejo y los data brokers prefieren no hacer grandes cambios en sus prácticas para brindar mejores protecciones a los usuarios, por lo que especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) consideran que corresponde a los legisladores y autoridades de cada país establecer límites, tanto en plataformas de redes sociales como en las compañías de recolección de datos, para evitar que esta clase de detalles personales queden expuestos al alcance de cualquiera.

The post Más de mil millones de registros personales filtrados. La mayor brecha de datos de la historia appeared first on Noticias de seguridad informática.



Ver Fuente

sábado, 23 de noviembre de 2019

Prevención de ataques DoS – Una guía paso por paso

El ataque de denegación de servicio (DoS) es una de las técnicas más comunes entre los actores de amenazas. Durante este ataque, los hackers inundan el ancho de banda del usuario objetivo con paquetes de datos con el propósito de interrumpir los servicios de la dirección IP o URL de la víctima. Expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) demuestran continuamente formas de desplegar ataques DoS para desarrollar métodos de prevención eficientes, como bloqueo de dirección IP, con la ayuda de algunas herramientas.

Fail2Ban es una herramienta utilizada para bloquear direcciones IP sospechosas cuando éstas envían múltiples solicitudes a un servidor específico. Esta herramienta escanea el archivo de registros y bloquea las direcciones IP que realizan tareas repetitivas contra una misma dirección, actualizando la política de firewall del usuario para negar nuevas conexiones de direcciones IP potencialmente maliciosas.

Kali Linux – 192.168.1.9
Ubuntu – 192.168.1.8

Ataque DoS desde un sistema operativo Ubuntu

  • Aquí ejecutaremos un ataque DOS usando Slowloris, una herramienta muy comúnmente utilizada en esta clase de ataques
  • Abra terminal en su máquina Ubuntu (del lado del atacante)
    • Escriba sudo apt-get update
    • Escriba sudo apt-get install python3
    • Escriba sudo apt-get install python3-pip
  • Escriba pip3 –version
root@ubuntu:/home/iicybersecurity# pip3 --version
 pip 9.0.1 from /usr/lib/python3/dist-packages (python 3.6)
  • Escriba pip3 install Slowloris
root@ubuntu:/home/iicybersecurity# pip3 install slowloris
 Collecting slowloris
   Downloading https://files.pythonhosted.org/packages/a6/37/5ae3d027727122039f52a22d278f1d73f564e03e5fdb93f10e3a2f26aa06/Slowloris-0.2.0.tar.gz
 Building wheels for collected packages: slowloris
   Running setup.py bdist_wheel for slowloris … done
   Stored in directory: /root/.cache/pip/wheels/bd/a1/f1/35dd5184db4e890b6ff5c992ff1f7a1b8b30e9bcd89aa6f7ba
 Successfully built slowloris
 Installing collected packages: slowloris
 Successfully installed slowloris-0.2.0
  • Escriba slowloris –help
root@ubuntu:/home/iicybersecurity# slowloris --help
 usage: slowloris [-h] [-p PORT] [-s SOCKETS] [-v] [-ua] [-x]
                  [--proxy-host PROXY_HOST] [--proxy-port PROXY_PORT] [--https]
                  [--sleeptime SLEEPTIME]
                  [host]
 Slowloris, low bandwidth stress test tool for websites
 positional arguments:
   host                  Host to perform stress test on
 optional arguments:
   -h, --help            show this help message and exit
   -p PORT, --port PORT  Port of webserver, usually 80
   -s SOCKETS, --sockets SOCKETS
                         Number of sockets to use in the test
   -v, --verbose         Increases logging
   -ua, --randuseragents
                         Randomizes user-agents with each request
   -x, --useproxy        Use a SOCKS5 proxy for connecting
   --proxy-host PROXY_HOST
                         SOCKS5 proxy host
   --proxy-port PROXY_PORT
                         SOCKS5 proxy port
   --https               Use HTTPS for the requests
   --sleeptime SLEEPTIME
                         Time to sleep between each header sent.
  • Escriba slowloris 192.168.1.9; este comando iniciará dos ataques normales contra la máquina víctima (máquina Kali)
Captura de pantalla de Wireshark en la máquina de la vícitma  – 192.168.1.9
  • La captura de pantalla anterior de Wireshark muestra la recepción de los paquetes TCP mientras la víctima ejecuta el servicio apache2. Por defecto, Slowloris envía múltiples paquetes de datos en el puerto 80
  • Arriba se muestra un escenario muy simple de cómo se despliega un ataque DoS. Utilizaremos Fail2Ban como defensa contra estos ataques

Máquina de la víctima (Con sistema operativo Kali Linux)

Instalación de Fail2Ban

  • Vamos a realizar las pruebas en distintas distribuciones de Linux. Al atacar usaremos Ubuntu 18.04 y para defender usaremos Kali Linux en:
  • Kali Linux (víctima/defensor) – 192.168.1.9
  • Ubuntu (atacante) – 192.168.1.8
  • Para instalación en Kali Linux, abra el terminal
    • Escriba sudo apt-get update
    • Escriba sudo apt-get install fail2ban
  • Escriba sudo service apache2 start
  • Escriba sudo systemctl status apache2
root@kali:/etc/fail2ban# sudo systemctl status apache2
 ● apache2.service - The Apache HTTP Server
    Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled)
    Active: active (running) since Tue 2019-11-05 02:09:37 EST; 2h 47min ago
   Process: 4749 ExecStart=/usr/sbin/apachectl start (code=exited, status=0/SUCCESS)
  Main PID: 4753 (/usr/sbin/apach)
     Tasks: 152 (limit: 4662)
    Memory: 91.3M
    CGroup: /system.slice/apache2.service
            ├─4753 /usr/sbin/apache2 -k start
            ├─4754 /usr/sbin/apache2 -k start
            ├─6073 /usr/sbin/apache2 -k start
            ├─6074 /usr/sbin/apache2 -k start
            ├─6075 /usr/sbin/apache2 -k start
            ├─6077 /usr/sbin/apache2 -k start
            ├─6079 /usr/sbin/apache2 -k start
            ├─6080 /usr/sbin/apache2 -k start
            ├─6081 /usr/sbin/apache2 -k start
            ├─6083 /usr/sbin/apache2 -k start
            ├─6084 /usr/sbin/apache2 -k start
            ├─6085 /usr/sbin/apache2 -k start
            ├─6086 /usr/sbin/apache2 -k start
            ├─6087 /usr/sbin/apache2 -k start
            ├─6088 /usr/sbin/apache2 -k start
            ├─6089 /usr/sbin/apache2 -k start
            ├─6090 /usr/sbin/apache2 -k start
            ├─6091 /usr/sbin/apache2 -k start
            ├─6092 /usr/sbin/apache2 -k start
            ├─6093 /usr/sbin/apache2 -k start
            ├─6094 /usr/sbin/apache2 -k start
  • Presione Ctrl+c
  • Antes de iniciar el servicio de Fail2Ban tenemos que configurarlo. Para eso:
    • Escriba cd/etc/fail2ban
    • Escriba nano jail.conf
  • Aquí cambie:
    • bantime = 30
    • findtime = 50
    • maxretry = 10
  • Luego ingrese enabled = true después de [apache-auth], [apache-badbots], [apache-noscript] y [apache-overflows] como se muestra a continuación:
ignorecommand = /path/to/command 
 ignorecommand =
 "bantime" is the number of seconds that a host is banned.
 bantime  = 30
 A host is banned if it has generated "maxretry" during the last "findtime"
 seconds.
 findtime  = 50
 "maxretry" is the number of failures before a host get banned.
 maxretry = 10

HTTP servers
 #
 [apache-auth]
 enabled  = true
 port     = http,https
 logpath  = %(apache_error_log)s

 [apache-badbots]
 Ban hosts which agent identifies spammer robots crawling the web
 for email addresses. The mail outputs are buffered.
 enabled  = true
 port     = http,https
 logpath  = %(apache_access_log)s
 bantime  = 48h
 maxretry = 1

[apache-noscript]
 enabled  = true
 port     = http,https
 logpath  = %(apache_error_log)s

 [apache-overflows]
 enabled  = true
 port     = http,https
 logpath  = %(apache_error_log)s
 maxretry = 2
  • Escriba sudo nano /etc/fail2ban/jail.local y copie el texto mostrado a continuación. También puede cambiar maxretry, findtime en la sección [apache]
 [apache]
enabled  = true 
port     = http,https 
filter   = apache-auth 
logpath  = /var/log/apache2/*error.log 
maxretry = 2
findtime = 50
ignoreip =  
  • Escriba sudo /etc/init.d/fail2ban start
root@kali:/etc/fail2ban# sudo /etc/init.d/fail2ban start
 [ ok ] Starting fail2ban (via systemctl): fail2ban.service.
 root@kali:/etc/fail2ban#
  • Guarde el archivo y escriba sudo systemctl status fail2ban.service
root@kali:/etc/fail2ban# sudo systemctl status fail2ban.service
 ● fail2ban.service - Fail2Ban Service
    Loaded: loaded (/lib/systemd/system/fail2ban.service; disabled; vendor preset: disabled)
    Active: active (running) since Tue 2019-11-05 05:02:20 EST; 3s ago
      Docs: man:fail2ban(1)
   Process: 6475 ExecStartPre=/bin/mkdir -p /var/run/fail2ban (code=exited, status=0/SUCCESS)
  Main PID: 6476 (fail2ban-server)
     Tasks: 13 (limit: 4662)
    Memory: 17.9M
    CGroup: /system.slice/fail2ban.service
            └─6476 /usr/bin/python3 /usr/bin/fail2ban-server -xf start
 Nov 05 05:02:20 kali systemd[1]: Starting Fail2Ban Service…
 Nov 05 05:02:20 kali systemd[1]: Started Fail2Ban Service.
 Nov 05 05:02:21 kali fail2ban-server[6476]: Server ready

Máquina del atacante (Con sistema operativo Ubuntu)

  • Escriba slowloris 192.168.1.9 -p 80; el programa comenzará a enviar los paquetes a la IP seleccionada para el ataque
  • 192.168.1.9 es la IP objetivo
  • -p se usa para indicar el número de puerto. Usar el puerto 80 genera el tráfico
root@ubuntu:/home/iicybersecurity# slowloris 192.168.1.9 -p 80
 [05-11-2019 02:08:59] Attacking 192.168.1.9 with 150 sockets.
 [05-11-2019 02:08:59] Creating sockets…
 [05-11-2019 02:08:59] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:09:14] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:09:29] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:09:44] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:09:59] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:10:14] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:10:29] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:10:44] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:11:00] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:11:15] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:11:30] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:11:45] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:12:00] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:12:15] Sending keep-alive headers… Socket count: 150
 [05-11-2019 02:12:30] Sending keep-alive headers… Socket count: 150

Máquina de la víctima

  • Ahora vaya a la máquina víctima con sistema operativo Kali Linux. En Wireshark, se aprecia el ataque DoS desde la máquina atacante a la dirección IP de destino, mencionan los expertos en hacking ético
  • Escriba sudo fail2ban-client set apache banip 192.168.1.8
  • Este comando bloqueará la dirección IP de destino. La captura de pantalla siguiente muestra que 192.168.1.8 ha sido bloqueada
  • Acorde a los expertos en hacking ético, la captura de pantalla anterior muestra que ninguno de los paquetes está siendo recibido
  • Ahora, si verifica el estado de Fail2Ban notará que la IP del atacante ha sido bloqueada
  • Para verificar el estado, abra otro terminal y escriba sudo fail2ban-client status apache
root@kali:/var/log/apache2# sudo fail2ban-client status apache
 Status for the jail: apache
 |- Filter
 |  |- Currently failed: 0
 |  |- Total failed:     1
 |  - File list:        /var/log/apache2/error.log - Actions
    |- Currently banned: 1
    |- Total banned:     1
    `- Banned IP list:   192.168.1.8
  • Arriba se muestra como bloqueado el estado de la máquina atacante (Ubuntu) 192.168.1.8, mecnionan los expertos en hacking ético

The post Prevención de ataques DoS – Una guía paso por paso appeared first on Noticias de seguridad informática.



Ver Fuente