Lo + Nuevo
Author

Adal Paredes

Visitando

Hay un montón de sistemas operativos de prueba de penetración de código abierto disponibles para pruebas forenses. Cada sistema operativo se puede descargar de forma gratuita y ofrece una gran variedad de personalizaciones a los usuarios finales.

Aunque estos sistemas operativos pueden parecer complejos al principio, no obstante, ofrecen una vista panorámica de los diversos segmentos requeridos dentro de las pruebas forenses. Si es un principiante en el mundo de las pruebas forenses, entonces es hora de investigar un poco antes de abordar cualquier herramienta complicada.

  • Kali Linux (Debian)
  • ArchStrike (ex ArchAssault)
  • BackArch (Arch)
  • Demon Linux (Debian)
  • BackBox (Ubuntu)
  • Parrot OS (Debian)
  • CAINE
  • Pentoo
  • Cyborg Hawk

Kali Linux

Kali Linux deriva su raíz de Debian y es una de las distribuciones de Linux de pruebas de penetración más populares y avanzadas. El sistema operativo está disponible en 32 y 64 bits. Los usuarios que quieran probar el sistema operativo pueden descargar archivos ISO e imágenes virtuales para Kali Linux.

Kali es un sistema operativo de código abierto mantenido por Offensive Security. El sistema operativo ofrece más de 350 herramientas en las siguientes categorías:

  • Ingeniería inversa
  • Ataques inalámbricos y de hardware
  • Análisis de vulnerabilidad
  • Recopilación de información
  • Olfatear y suplantar
  • Pruebas de estrés e informes

Más información: https://www.kali.org/ 

ArchStrike 

ArchStrike es el nuevo nombre que recibirá el viejo ArchAssault, una distribución basada en ArchLinux pero modificada para penetración y seguridad

ArchStrike, una distribución de Linux relacionada con la seguridad basada en Arch Linux, es muy utilizada por los profesionales de la ciberseguridad.

Con sus raíces en Arch Linux, ofrece una amplia gama de opciones en lo que respecta a la gestión de paquetes. La facilidad de instalación y eliminación de los paquetes disponibles hace que este sistema operativo sea perfecto para los usuarios finales.

ArchStrike destaca por ofrecer más de 1400 herramientas de penetración y seguridad, entre las cuales tenemos algunas muy famosas como aircrack-ng,dumpzilla o nmap entre muchas otras. Tenéis el listado de todas las herramientas que ofrece pinchando en este enlace.

Hay más de 5000 herramientas disponibles en este sistema relacionadas con explotación, ingeniería social, suplantación de identidad, malware, fuerza bruta, redes, análisis forense, DDoS y enumeración.

Más información: https://archstrike.org/ 

Search and buy domains from Namecheap. Lowest prices!

BlackArch

BlackArch Linux es una distribución de pruebas de penetración basada en Arch Linux para quienes realizan pruebas de penetración e investigaciones de seguridad. El repositorio contiene 2116 herramientas (y sigue aumentando). Puede instalar las herramientas individualmente o en grupos. BlackArch Linux es compatible con las instalaciones existentes de ArchLinux o distribuciones basadas en ArchLinux.

 SCon soporte para múltiples arquitecturas. Esto es algo que otras ya tienen pero vale la pena mencionarlo, a pesar de que es un proyecto nuevo, BlackArch tiene soporte para: x64, ARMv6, ARMv7, Aarch64 e imágenes listas para usar en máquinas virtuales como VirtualBox, WMware, Qemu, sin necesidad de realizar ninguna instalación.

 BlackArch Linux es una distribución basada en ArchLinux, ofrece una cantidad de herramientas increíble, muchas de las cuales no se encuentran en los repositorios de distribuciones como Kali Linux o Parrot Security, las herramientas están siempre en su versión más reciente y tiene una comunidad de desarrolladores muy activa. Es una distribución completamente enfocada a la seguridad informática y el hacking, por lo tanto no tiene entornos de escritorio, no tiene aplicaciones innecesarias preinstaladas, todo lo que trae es un arsenal de herramientas para lo que está hecha: el hacking y el pentesting. Para mitigar la falta de entorno de escritorio, BlackArch Linux utiliza Window Managers, los cuales le dan un aspecto, velocidad y eficiencia única al no tener elementos distractores como se puede ver en las imágenes, esto la convierte en una máquina para el mundo de la seguridad informática al punto que muchas empresas la están tomando como única distribución para la realización de pruebas de seguridad.


Más información: https://blackarch.org/

Demon Linux

Demon Linux, como su nombre indica acertadamente, es un sistema operativo basado en Linux que se usa comúnmente para el hacking ético. A pesar de su tema oscuro, sigue siendo una distribución ligera y fácil de usar para los profesionales de la seguridad. Su verdadera simplicidad pasa a primer plano, ya que puede abrir cualquier aplicación con una sola tecla.

Además, Demon Linux consta de un diseño de base simple que funciona sin esfuerzo. Los usuarios pueden grabar su escritorio y tomar capturas de pantalla fácilmente desde la barra de menú de acceso rápido.

Más información: https://www.demonlinux.com/ 

BackBox

BackBox es un sistema operativo de código abierto basado en Ubuntu, que se ha convertido rápidamente en uno de los nombres más populares en el mundo de la piratería ética.

Además, proporciona a los usuarios un conjunto de herramientas de análisis de red, que es bastante útil en el mundo de las pruebas de penetración. BackBox se envía con 70 herramientas; sin embargo, antes de ejecutar cualquier herramienta, asegúrese de tener un buen conocimiento de la herramienta que planea utilizar. De lo contrario, es posible que se pierda en el laberinto de comandos.

Algunas herramientas comunes preinstaladas incluyen Metasploit, SQLmap, Aircrack-ng, Nmap, Scapy, w3af y Wireshark, entre muchas otras.

Más información: https://linux.backbox.org/

Parrot OS

Parrot Security, basado en Debian, está hecho a medida para expertos en seguridad, usuarios preocupados por la privacidad y desarrolladores. Hereda sus repositorios de código de Debian y se desarrolla en colaboración con CAINE. Es compatible con navegadores de privacidad y software criptográfico como I2P y Tor.

Parrot Security, como sistema operativo, viene equipado con un arsenal completo de herramientas para seguridad informática y análisis forense digital. Incluso puede desarrollar sus propios programas y mantener su privacidad mientras navega por Internet. Parrot se envía con el escritorio MATE (por defecto) y proporciona diferentes sabores a sus usuarios finales.

Parrot se actualiza periódicamente, es bastante seguro y está completamente protegido. Dado que es de código abierto, puede ver el código fuente fácilmente y personalizarlo según sus requisitos.

Descargar: https://www.parrotsec.org/ 

CAINE

El entorno de investigación asistido por computadora, más comúnmente conocido como CAINE, es una distribución de Linux reconocida y popular que ofrece un menú y una interfaz gráficos fáciles de usar. CAINE Linux tiene sus raíces en Ubuntu y es un gran actor en el mundo de la ciencia forense de sistemas.

La interfaz gráfica de CAINE ofrece un entorno forense completo, que puede integrar con las herramientas de software existentes. Si está buscando un informe significativo y bien estructurado que lo ayude con una mejor investigación y fomente la comunicación con su equipo, CAINE debe ser su primera opción.

Algunas herramientas forenses comunes dentro de este sistema operativo incluyen: 

  • Autopsy, The Sleuth Kit, Wireshark, PhotoRec, fsstat, RegRipper y tinfoleak.

Descarga: https://www.caine-live.net/ 

Pentoo

Pentoo es un sistema operativo de código abierto basado en Linux, disponible en arquitecturas de 32 y 64 bits. Si ha usado Gentoo Linux en el pasado, encontrará que Pentoo es relativamente fácil de instalar y usar.

Pentoo está disponible con UEFI completo y viene bien equipado con UNetbootin, un software de soporte de arranque seguro. Gracias a la función de ejecución en vivo del sistema operativo, puede ejecutarlo directamente desde una memoria USB.

Esta distribución viene con Xfce como entorno de escritorio predeterminado. Xfce es una computadora de escritorio liviana y confiable y ofrece un montón de opciones personalizables. Algunas categorías de herramientas adicionales incluyen explotación, fuzzers MitM, análisis forense, crackers y base de datos. También ofrece una serie de aplicaciones vitales que incluyen GPGPU, OpenCL, CUDA, John the Ripper y Hashcat.

Descarga: https://www.pentoo.ch/ 

Cyborg Hawk

Cyborg Hawk es una distribución basada en Ubuntu que alberga más de 750 herramientas de código abierto. Si eres un aficionado a Ubuntu, este sistema operativo te complacerá muchísimo.

Cyborg Hawk ocupa un lugar bastante alto en la lista de sistemas operativos de evaluación y seguridad de red. Tenga la seguridad de que incluso puede realizar pruebas precisas de seguridad móvil e infraestructura inalámbrica dentro de este sistema operativo.

Por el contrario, puede que no sea tan bueno como Kali; sin embargo, hace bastante bien su trabajo.

Algunas características incluyen:

  • Acceso a más de 750 herramientas de prueba de penetración.
  • Dado que es una distribución de Linux de código abierto, es de uso gratuito e incluso puede usarlo como un sistema operativo en vivo.
  • Algunos servicios incluyen pruebas de resistencia, kit de herramientas de explotación, ingeniería inversa, seguridad móvil e inalámbrica, etc.
  • Cyborg Hawk es un sistema operativo confiable, estable y confiable, que viene con su propio repositorio de software.

Atención: Última actualización en 2016

Más información: https://sourceforge.net/projects/cyborghawk1/ 

Fuente (s) :

Un mes después del ataque informático del ransomware Pysa a la Universidad Autónoma de Barcelona, y del reciente ataque ransomware Hive a la multinacional MediaMarkt.  de ​​este jueves hay una nueva víctima: la cervecera Damm víctima del ransomware Conti. El fabricante de cerveza tiene todos los centros de trabajo parados y los pedidos se están sirviendo gracias al stock, pero ya avisan de que si los problemas se alargan la principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días.

Un ataque informático obliga a detener la producción de cerveza Damm

  • El fabricante de cerveza tiene todos los centros de trabajo parados
  • La principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días
  • El Prat, donde trabajan alrededor de 400 personas 

Los atacantes pidieron un rescate para dejar que la compañía vuelva a la normalidad. Aparte de la fábrica de El Prat, Damm también produce cerveza, en menor cantidad, en las otras dos plantas que tiene en España, en Murcia y en Alicante.

Un ataque informático ha obligado a detener la producción de cerveza Damm en la fábrica que tiene en El Prat de Llobregat, la más importante de la compañía. Fuentes cercanas a la empresa han explicado que si la situación se alarga la planta puede quedarse sin stock en cuestión de días. Para librarse del ataque la compañía debe pagar un rescate por importe que este diario no ha podido confirmar.

Las mismas fuentes explican que si el ataque se hubiera producido en los meses de verano las consecuencias aún hubieran sido más catastróficas, ya que debido al aumento del consumo de cerveza el stock suele durar escasamente tres días.

Search and buy domains from Namecheap. Lowest prices!

Portavoces de Damm se han limitado a decir este diario que desde el miércoles por la mañana tienen una “incidencia informática en el sistema operativo” pero sin especificar las causas. “Se están investigando”, aseguraron añadiendo que no descartan ninguna hipótesis. Los propios portavoces explicaron que desde el primer momento se ha activado el protocolo establecido ante “este tipo de incidencia” y que se está trabajando para “restablecer” toda la producción. También insistieron en que de momento se está haciendo con “normalidad” la distribución a los canales alimentación y de horeca (hoteles, restaurantes y cafeterías) y que desconocen cuándo se volverá a la normalidad.

Aparte de la fábrica de El Prat, que es la más importante tanto en dimensiones como en producción, Damm también produce cerveza, pero en menor cantidad, en las otras dos plantas que tiene en España: una ubicada en Murcia y otra en Alicante .

Los técnicos de la empresa están trabajando para restablecer todo el sistema y analizar el grado de afectación de este problema informático. El objetivo es reanudar la operativa diaria “lo antes posible”, según fuentes de la compañía. La compañía tendría asegurado el stock de sus productos durante los siguientes días, pero si la incidencia se prolongara podría haber dificultades en la distribución a partir de la semana que viene.

Ciberataques de ransomware

El goteo de ataques informáticos a empresas e instituciones es cada vez más constante. Dos de los últimos que se han producido han afectado a la Universidad Autónoma de Barcelona (UAB) o a la multinacional germánica MediaMarkt. En el caso de la UAB los autores inutilizó hace un mes los servicios informáticos creando un caos en el campus, afectando a más de 650.000 archivos y pidiendo un rescate de 3 millones de euros. De hecho esta misma semana han amenazado con hacer pública la información conseguida de empresas y entidades gracias al ciberataque. En cuanto a MediaMarkt afectó de forma directa a sus tiendas de Alemania, Bélgica y Países Bajos y, en menor medida, a las de otros países como algunas de España. Concretamente el ataque afectó a 3.100 servidores y provocó que las cajas registradoras funcionaran mal. 

Fuente (s) :

Tor Browser ha llegado a una nueva versión, en su versión 11 podremos ver la interfaz de Tor con base de Firefox, hasta ahora Tor poseía una interfaz algo anticuada o clásica, pero ahora podremos ver un nuevo rediseño que además viene acompañado de algunas novedades, a continuación, te mostramos todos los detalles y su descarga.


Para quien no sepa qué es Tor, Tor Browser es un navegador con el que podremos podremos mantenernos conectados a Internet de una manera totalmente anónima, ninguna web sabrá quien eres cuando la visites, Tor te conectará a través de una serie de “proxys” para que tu anonimato siempre se mantenga y así puedas navegar seguro y a cualquiera web. 

Tras más de un año de desarrollo, y aunque han lanzado actualizaciones intermedias en todo este tiempo, ya tenemos nueva versión del navegador basado en Firefox más seguro. Estamos hablando de Tor Browser 11, y entre los cambios más destacados hay uno que destaca sobre el resto, más que nada porque es lo primero que veremos al iniciarlo: llega con una interfaz de usuario nueva para proporcionar nuevas sensaciones, es decir, a lo que en inglés se refieren como «look and feel».

Hace unos meses, Mozilla estrenó nuevo diseño para su navegador web. Aunque nunca llueve a gusto de todos, de hecho hay usuarios que afirman que el cambio es «un dolor», sí que ofrece una experiencia más moderna, con formas y colores que podemos ver parecidos en otros navegadores como Google Chrome. Ese nuevo diseño está presente en Firefox 91 ESR, versión del navegador en el que se basa el nuevo Tor Browser 11.

Novedades más destacadas de Tor Browser 11

También relacionado con la nueva imagen y el cambio de base a la v91 ESR de Firefox, la 11ª versión del navegador Tor ha hecho retoques por todo para que nada del diseño desentone; es decir, los retoques se han hecho basándose en lo que Mozilla introdujo en Firefox 89, por lo que no hay que preocuparse porque unas cosas se vean de una manera y otras de otra. Entre estos cambios tenemos los colores, la tipografía, los botones y los iconos. Todas las novedades que Mozilla introdujo desde su anterior versión ESR también están presentes en Tor Browser 11.

Search and buy domains from Namecheap. Lowest prices!

El diseño de Tor Browser basado en Firefox

Fin del soporte de los servicios “onion V2”

En Tor Browser 11 se han desechado los servicios V2 Onion, por completo. Es algo de lo que estaban avisando desde el lanzamiento de Tor 10.5, y ese día ya ha llegado. Al actualizar, ya no se puede acceder los servicios Tor 0.4.6.8 v2 y los usuarios recibirán el error «Invalid Onion Site Address».

Para saber si algunas de las direcciones onion que tienes guardadas en tu navegador Tor son V2 o V3 tan solo tendrás que ver que las direcciones onion v2 solamente poseen 16 caracteres y las nuevas direcciones onion v3 poseen 56 caracteres.

Pero no todos los cambios son buenos. Tor Browser 11 es una versión punto-cero (11.0), lo que significa que es una actualización mayor que aún no ha recibido correcciones. Por lo tanto, se conocen varios errores/bugs:

  • DocumentFreezer y esquema de archivos
  • Las fuentes no se renderizan
  • Faltan funciones al iniciar por primera vez en esr91 en macOS
  • Cambiar el método HTTP del proveedor de Blockchair Search
  • Los vídeos de AV1 se muestran como archivos corruptos en Windows 8.1
  • Desde la actualización a 11.0a9 algunos addons están inactivos y necesitan ser deshabilitados-rehabilitados en cada inicio
  • El cambio de svg.disable afecta a la configuración de NoScript
  • El navegador Chrome se rompe cuando se desactiva el modo de navegación privada

Tor Browser ya se puede descargar desde la página web de descargas, disponible en este enlace.

Fuente (s):

Más de un centenar de personas participó en un entramado para desvalijar la cuenta corriente de una anciana tras detectar una debilidad en su protección y realizar 240 envíos de 999€

El inspector jefe Andrés Román, responsable del Grupo de Ciberdelincuencia de la Comisaría Provincial de Málaga, lideró una investigación con ramificaciones en esta provincia, Madrid y Cataluña y que desveló una organización estratificada que supuestamente empleaba una empresa de transformación de divisas en criptomonedas para blanquear los beneficios de sus golpes en Sudamérica. 

El mando policial recuerda que la operación Marima -acrónimo de una de las protagonistas- se activó tras recibir una denuncia de una mujer de avanzada edad a la que le habían sustraído de su cuenta corriente un total de 240.000 euros. Como suele ocurrir en este tipo de casos, la víctima no recordaba haber hecho nada extraño o inusual.

La debilidad, el vector de ataque, fue la cuenta de una hermana que picó con un phishing

 una hermana de la anciana que picó en un ‘phishing’ clásico y que fue el punto de partida de una puesta en escena mucho más ambiciosa. La mujer recibió un mensaje supuestamente enviado por su entidad bancaria y que realmente era falso. Contenía un enlace que le redirigió a una web en la que debía aportar el nombre de usuario y la clave de seguridad de su depósito. Así lo hizo y, “de esta forma, vencieron la primera de las capas de seguridad”, señala Román, que explica que, a partir de ese momento, los delincuentes “lograron el control total” de su dinero. Pero no encontraron lo que esperaban… Inicialmente. 

Duplicado SIM en una tienda de telefonía

Los ladrones comprobaron que la mujer no disponía de muchos ahorros, aunque se percataron de que estaba autorizada para acceder a la cuenta de su hermana, donde había 240.000 euros. La cuestión era hacerse con él sin ser descubiertos, y para ello necesitaban las firmas digitales que iban a llegar al teléfono de la mujer para validar las operaciones bancarias. “¿Cómo vencen esta segunda capa de seguridad? Con un ‘SIM Swapping’”, que es una suplantación de la tarjeta SIM de un móvil. ‘Clonarían’ el dispositivo y todas las notificaciones llegarían a los ladrones. 

Para lograrlo, confeccionaron un DNI y una denuncia falsa, además de contar con el escaso celo de los empleados de una tienda de telefonía, que proporcionaron la tarjeta duplicada sin advertir ningún reparo. 

Contaban con que, al pertenecer a la misma entidad, el traspaso del dinero entre las cuentas de las hermanas sería inmediato, pero debían realizar una segunda, y definitiva, transferencia al ‘exterior’ que fuese sigilosa. “Sabían que no debían ordenar transferencias ordinarias porque los mismos algoritmos del banco podían alertar de una operación de riesgo, pero aprovecharon que la mujer tenía habilitado el Bizum para obtener el dinero”, manifiesta el inspector jefe, que detalla que realizaron 240 envíos de 999 euros a ‘mulas’ en un corto espacio de tiempo”. Las certificaciones de esos pagos llegaban al teléfono duplicado, por lo que la víctima no era consciente de que estaban usando su cuenta para robar a su hermana. “El síntoma de que estaba sufriendo un ‘atraco virtual’ es que su móvil dejó de funcionar temporalmente”, pero al no asociarlo con un acto delictivo, no reaccionó con rapidez. Por esta circunstancia, el mando policial recomienda que, “ante un mal pronóstico, llamar rápidamente a la compañía para anular todos los servicios”. 

“Todos iban a comisión”, afirma Andrés Román, que agrega que se produjeron más de 100 detenciones en 16 provincias del país. Un total de 92 eran ‘mulas’, personas -en la mayoría de los casos- de origen sudamericano que eran el eslabón más débil, pero necesario, de esta cadena delictiva. En este rol se han detectado dos perfiles claros: “El intermediario que vive al día y quien es engañado creyendo, por ejemplo, que opta a un empleo”. “En portales como Infojobs o Milancuncios se insertan ofertas laborales cuyo único objetivo es obtener datos para realizar estos movimientos de dinero”, cuenta el responsable policial, que precisa que “piden a los aspirantes documentos como una nómina o una factura con la que se abren cuentas corrientes online o se obtienen números de teléfono para hacer transferencias por Bizum”. “Reclutan información personal para realizar ataques de ‘spoofing’, operaciones de blanqueo o desfalcos con sistemas de pago”. Y esos ciudadanos a los que han engañado acaban en listas de morosos como el Registro de Aceptaciones Impagadas (RAI), reclamaciones de créditos o en mitad de procesos judiciales. “Ese es el momento en el que descubren que tenían un depósito a su nombre por el que había pasado un montón de dinero”. 

Fuente (s):

En una semana típica, interrumpe al menos 34.600 correos maliciosos dirigidos al equipo —tres por minuto—; además, evita otro tipo de amenazas y vela por el buen funcionamiento del equipo. Las escuderías son más vulnerables en fin de semana, especialmente cuando hay carreras. según afirma La empresa de ciberseguridad basada en Inteligencia Artificial (IA) socia de la escudería McLaren desde 2020,

Search and buy domains from Namecheap. Lowest prices!

Si bien las brechas de seguridad pueden ocurrir en cualquier momento, “los equipos de F1 son más vulnerables a los ciberataques durante un fin de semana de carreras, los periodos de mayor actividad para cada equipo de F1”, comenta Darktrace.

Las escuderías son propensas a amenazas como filtración de datos, ataques a través de la cadena de suministros y, cada vez más, el ransomware. 

“El vector de ataque o punto de entrada más común para estas violaciones es la bandeja de entrada del correo electrónico. A medida que los correos electrónicos de phishing y las solicitudes de terceros proveedores se vuelven más convincentes y direccionadas, incluso las defensas perimetrales más robustas son susceptibles de un error humano razonable, y los atacantes lo saben”, dice la empresa a Business Insider México.  

Durante un fin de semana de carreras, el tráfico general de correos electrónicos aumenta entre 18% y 24%, con un incremento del 3% al 7.5% de amenazas serias, asegura Darktrace.

Tras los datos de telemetría

Los ciberdelincuentes que atacan a las escuderías de Fórmula 1 habitualmente tienen un objetivo en mente: hacerse con los datos de telemetría.

“En McLaren, ningún monoplaza sale a la pista si el equipo no tiene total visibilidad sobre los datos producidos. Estos datos incluyen información sobre los daños sufridos por los vehículos durante una carrera o las necesidades del piloto en tiempo real. Los ataques disruptivos como el ransomware, en el que los agresores tratan de cifrar estos datos, no solo pueden interrumpir la carrera, sino también poner en peligro a los pilotos”, comenta Darktrace.

Los monoplazas de McLaren generan 1 terabyte de datos (más de 1.5 millones de megabytes) en los fines de semana de carreras. Esta información va desde los circuitos hasta la sede de McLaren Racing en Reino Unido, y de vuelta, en 55 milisegundos, lo que permite al equipo tomar decisiones rápidas.

“Los atacantes que buscan maximizar la interrupción del negocio a menudo apuntan a los equipos de F1 por esta riqueza de datos de telemetría disponibles durante una carrera. Cualquier interrupción del acceso de un equipo a estos datos críticos podría significar la pérdida de la ventaja competitiva e incluso resultar en un peligro para los pilotos en la pista”.

Las IA no solo ayuda a la ciberseguridad, sino también a la innovación

McLaren, por ejemplo, dice crear una pieza nueva para sus monoplazas cada 17 minutos. Eso significa que al final de cada temporada, 80% de los vehículos será distinto, lo que obliga a la innovación constante. 

“El coche más rápido en la primera carrera de la temporada estaría hoy en día en la cola del pelotón o cerca de ella. Los equipos de F1 están innovando, y los coches de F1 mejoran ampliamente de carrera a carrera. Las preocupaciones en torno a la propiedad intelectual se han duplicado de cara a la temporada 2022, ya que los cambios en el reglamento exigen cambios tecnológicos significativos en los coches”, dice Darktrace. 

En este sentido, los datos generados por la tecnología da a los equipos visibilidad y posibilidad de mejorar. Además, en caso de una amenaza, la IA puede defender y contener amenazas a máxima velocidad.

Fuente (s) :

El Departamento de Justicia  de Estados Unidos anuncia la detención de varios ciberdelincuente, por supuestamente estar vinculado con el grupo cibercriminal REvil. Uno de los arrestados se llama Yaroslav Vasinskyi y es un ciudadano ucraniano de 22 años.

 

Estados Unidos ha acusado a un ucraniano de 22 años arrestado en Polonia de formar parte de una red internacional a la que responsabiliza por el sonado jaqueo de julio pasado contra la empresa de software informático Kaseya, además de otros secuestros informáticos (“ransomware”), informaron las autoridades.

  • Interpol dijo que la operación de cuatro años llamada “Quicksand” o “GoldDust” fue llevada a cabo por 19 agencias estatales en 17 países.
  • El Departamento de Justicia de Estados Unidos dio a conocer la acusación por fraude y lavado de dinero en contra de Vasinskyi, así como el decomiso de 6,1 millones de dólares de presuntos rescates pagados a Yevgyeniy Polyanin. 
  • Vasinskyi y Polyanin se enfrentan a penas de más de 100 años de prisión en caso de ser hallados culpables.

Según una conferencia de prensa, Vasinskyi fue relacionado con la banda a raíz de una investigación internacional que buscaba a los actores de los ataques que protagonizaban. En total, 17 países, Interpol, Europol y Eurojust han trabajado para la operación, a la que han llamado ‘GoldDust’

Search and buy domains from Namecheap. Lowest prices!

REvil hizo su primera aparición en 2019 y, desde entonces, ha sido responsable de un sinfín de ciberamenazas de ransomware. Según los documentos de GoldDust, Vasinskyi ayudó en el ataque contra el proveedor global de TI Kaseya el pasado julio, un suceso que afectó a unas 1.500 empresas del mundo.

El ciberdelincuente se había trasladado de Ucrania hasta Polonia, donde fue arrestado por las autoridades. Ahora, los funcionarios estadounidenses piden que Vasinskyi sea extraditado a EE UU.

Sin embargo, esta no ha sido la única detención que ha tenido lugar últimamente. La Europol y Eurojust hablaron de cargos contra otros dos criminales que se encontraban en Rumanía por, presuntamente, usar el software REvil para sus ataques.

Estos delincuentes están acusados de atacar a aproximadamente 7.000 empresas y organizaciones con un software que bloqueaba el contenido de los ordenadores. Para liberar dichos datos, las instituciones debían pagar un rescate.

Por otro lado, los funcionarios de justicia estadounidense también comunicaron los cargos contra Yevgeniy Polyanin, un ciudadano ruso de 28 años acusado de “realizar ataques de ransomware Sodinokibi / REvil contra múltiples víctimas”. De sus ataques, destaca uno realizado en Texas en 2019.

Estos ataques [los ransomware] se han dirigido a nuestra infraestructura crítica, agencias de aplicación de la ley, hospitales, escuelas, municipios y empresas de todos los tamaños ha apuntado Merrick Gerland, Fiscal General de los Estados Unidos-. Junto con nuestros socios, el Departamento de Justicia no escatima recursos para identificar y llevar ante la justicia a cualquier persona, en cualquier lugar, que se dirija a los Estados Unidos con un ataque de ransomware”.

Sobre esta situación, el Departamento de Estado estadounidense ha ofrecido también este lunes una recompensa de un millón de dólares (aproximadamente 860.000 euros) a quienes faciliten pistas que permitan la identificación o el arresto de los líderes detrás de REvil.

De momento, Europol ha señalado que hay un total de siete sospechosos de llevar a cabo ataques de ransomware. De ellos, cinco serían supuestos miembros de REvil.

Polyanin, ruso de 28 años, es acusado de conspirar para cometer fraude, por los ataques cibernéticos realizados por REvil/Sodinokibi contra empresas y entidades gubernamentales de Texas en agosto de 2019. El FBI cree que se encuentra en Barnaul, Rusia.

MediaMarkt y Saturn han sufrido un ataque de ransomware del grupo Hive en la madrugada del domingo al lunes, que desde las 7 de la mañana afecta a sus operaciones en varios países europeos, principalmente Alemania, Holanda y Bélgica. Las tiendas permanecen abiertas y es posible comprar productos que estén físicamente en tienda, pero resulta imposible la recogidas de productos de la web y hacer devoluciones. Con una demanda inicial de rescate de 240 millones dólares podría ser el precio más alto pedido hasta el momento. Reducido ya a la mitad. No en vano, MediaMarkt tiene 53 mil empleados, y más de 1.000 tiendas en 13 países.

MediaMarkt es el minorista de electrónica de consumo más grande de Europa con más de 1.000 tiendas en 13 países. MediaMarkt emplea aproximadamente a 53.000 empleados y tiene unas ventas totales de 20.800 millones de euros.El gigante minorista de productos electrónicos MediaMarkt ha sufrido un ataque de ransomware que ha provocado el cierre de los sistemas de TI y la interrupción de las operaciones de las tiendas en los Países Bajos y Alemania.
Hive, un grupo de ransomware activo desde al menos junio de 2021, ya ha atacado a más de 30 organizaciones, contando solo a las víctimas que se negaron a pagar el rescate.
Las nuevas variantes de Hive están escritas en el lenguaje de programación Golang, pero las cadenas, nombres de los paquetes y nombre de las funciones han sido ofuscadas, probablemente con la herramienta Gobfuscate.

¿Qué ha ocurrido?

Un ataque de ransomware ha afectado a 3.100 servidores de MediaMarkt en varios países del centro y el norte de Europa, según han informado fuentes de la multinacional alemana de productos electrónicos. El ataque se ha producido a primera hora de esta mañana y tiene consecuencias en tiendas de Holanda, Bélgica y Alemania, aunque aún no hay información oficial sobre el alcance de la intrusión. 

El ataque afecta a distintos establecimientos de España y provoca que solo se puedan vender productos que estén físicamente en los locales, impidiendo realizar los servicios de devolución, recogida y otras gestiones online. 

Los empleados están realizando sus procedimientos de forma manual. Se puede seguir comprando en tienda, pero los empleados deben rellenar una plantilla de forma escrita, a mano, para cualquier transacción en la que sea necesaria una factura. Por si fuera poco, dichas fuentes afirman que este problema durará días.

¿Qué sabemos hasta ahora?

Un correo interno publicado en Twitter habla de 3.100 servidores Windows afectados. La compañía habría pedido a los empleados que desconecten los ordenadores, incluyendo cajas registradoras, de la red para evitar la extensión del ataque.

El problema podría está afectando también a las tiendas situadas en España, en las que no es posible acceder a los pedidos, no se pueden hacer devoluciones de productos o pagar mediante datáfono.

  • Cajas registradoras  no funcionan
  • No se puede pagar con tarjetas de crédito
  • No se pueden realizar devoluciones.

Un ataque de ransomware de fin de semana

MediaMarkt sufrió un ataque de ransomware el fin de semana que cifró servidores y estaciones de trabajo y provocó el cierre de los sistemas de TI para evitar la propagación del ataque.

Si bien las ventas en línea continúan funcionando como se esperaba, las cajas registradoras no pueden aceptar tarjetas de crédito ni imprimir recibos en las tiendas afectadas. La interrupción de los sistemas también impide las devoluciones debido a la imposibilidad de buscar compras anteriores.

Search and buy domains from Namecheap. Lowest prices!


Los medios locales informan que las comunicaciones internas de MediaMarkt les dicen a los empleados que eviten los sistemas cifrados y desconecten las cajas registradoras de la red.

Hive, además de cifrar archivos, Hive también roba datos confidenciales de las redes, amenazando con publicar todo en su sitio web HiveLeak, alojado en la web profunda, que es una práctica común entre el ransomware que trabaja en este esquema de doble extorsión.

Hay dos sitios web mantenidos por el grupo, el primero está protegido por el nombre de usuario y la contraseña, accesible solo por las víctimas que obtienen las credenciales en la nota de rescate. 

Entre los métodos que utiliza la banda para obtener acceso inicial y moverse lateralmente en la red se encuentran los correos electrónicos de phishing con archivos adjuntos maliciosos y el Protocolo de escritorio remoto (RDP).

Antes de implementar la rutina de cifrado, el ransomware Hive roba los archivos que considera valiosos para engañar a la víctima para que pague el rescate bajo la amenaza de pérdida de datos.

Ejemplo nota de rescate Hive

Your network has been breached and all data were encrypted.

Personal data, financial reports and important documents are ready to disclose.

To decrypt all the data or to prevent exfiltrated files to be disclosed at

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/

you will need to purchase our decryption software.

Please contact our sales department at:

REDACTED

Login: REDACTED

Password: REDACTED

To get access to .onion websites download and install Tor Browser at:

https://www.torproject.org/ (Tor Browser is not related to us)

Follow the guidelines below to avoid losing your data:

– Do not shutdown or reboot your computers, unmount external storages.

– Do not try to decrypt data using third party software. It may cause

irreversible damage.

– Do not fool yourself. Encryption has perfect secrecy and it’s impossible

to decrypt without knowing the key.

– Do not modify, rename or delete *.key.k6thw files. Your

data will be undecryptable.

– Do not modify or rename encrypted files. You will lose them.

– Do not report to authorities. The negotiation process will be terminated

immediately and the key will be erased.

– Do not reject to purchase. Your sensitive data will be publicly disclosed.

El FBI señala que el autor de la amenaza también se basa en servicios de intercambio de archivos, muchos de ellos anónimos, como Anonfiles, MEGA, Send.Exploit, Ufile o SendSpace.

Una víctima reciente del ransomware Hive es Memorial Health System, que ofrece una red de servicios que incluye tres hospitales y proveedores que representan a 64 clínicas.
Esta es una historia en desarrollo y se actualizará a medida que haya más información disponible.

Fuente (s):

El gobierno de Estados Unidos ofrece recompensas de hasta 10 millones de dólares por información que permita identificar o localizar a cibercriminales operadores del ransomware DarkSide. ransomware que opera bajo un modelo conocido como ransomware-as-a-service, en el cual los desarrolladores del malware se encargan de la infraestructura, mientras que los afiliados son quienes se ocupan de llevar adelante los ataques para distribuir el ransomware a cambio de un porcentaje de las ganancias que obtienen por el pago del rescate.

En julio el gobierno norteamericano anunciaba que ofrecía recompensas de hasta 10 millones de dólares por información que permita identificar o localizar a cibercriminales involucrados en ataques a infraestructuras críticas del país u operando bajo el apoyo de un gobierno extranjero. Ahora, las autoridades lanzaron esta recompensa más específica y ofrece importantes sumas de dinero por información que permita identificar o arrestar a los operadores del ransomware DarkSide.

“Al ofrecer esta recompensa, Estados Unidos demuestra su compromiso de proteger a las víctimas de ransomware en todo el mundo”, explicó el Departamento de Estado en el comunicado.

Además, se ofrecen recompensas de hasta 5 millones de dólares por información que permita dar con el paradero de afiliados al grupo, explica el comunicado del Departamento de Estado. Vale recordar que muchas familias de ransomware operan bajo un modelo conocido como ransomware-as-a-service, en el cual los desarrolladores del malware se encargan de la infraestructura, mientras que los afiliados son quienes se ocupan de llevar adelante los ataques para distribuir el ransomware a cambio de un porcentaje de las ganancias que obtienen por el pago del rescate.

El ransomware DarkSide fue el responsable del ataque a la compañía de oleoducto más importante de los Estados Unidos, Colonial Pipeline, que se ocupa de abastecer el 45% del combustible que se consume en la Costa Este del país y a más de 50 millones de habitantes. A raíz del ataque, Colonial Pipeline se vio obligada a interrumpir sus operaciones y esto tuvo un impacto importante, amenazando incluso con provocar un aumento del precio del combustible y largas filas en las estaciones de servicio/gasolineras.

Colonial ha asegurado que pagó a los piratas informáticos casi 5 millones de dólares (cerca de 4,33 millones de euros) en bitcoin para recuperar el acceso a sus sistemas. El Departamento de Justicia de Estados Unidos recuperó en junio alrededor de 2,3 millones de dólares (casi 40.000 euros) del rescate.

Luego de ese ataque el propio presidente de los Estados Unidos manifestó su preocupación por el ransomware y su escalada global en el último tiempo y anunciaba que tomarían medidas para luchar contra el avance. Entre las consecuencias de esas medidas, hace unos días más de 30 países se comprometieron a trabajar de forma conjunta en la lucha contra el ransomware a través de compartir información sobre las víctimas, fuerzas de seguridad y centros de respuesta ante incidentes de seguridad, entre otras acciones.

Fuente (s) :

Estados Unidos ha agregado a NSO Group a una lista negra comercial tras considerar que sus actividades son contrarias a la seguridad nacional del país. Se trata de la compañía israelí detrás del software Pegasus utilizado para hackear y poder espiar los teléfonos de periodistas, empresarios, activistas y funcionarios gubernamentales.

NSO, la compañía tras el software espía Pegasus, en la lista negra por ser una amenaza a la seguridad nacional de EE. UU. 

  •  Pegasus, el software espía de NSO, ha sido utilizado para espiar a periodistas, empresarios, activistas y funcionarios gubernamentales.

Según la la Oficina de Industria y Seguridad (BIS) del Departamento de Comercio, tanto Pegasus como una otra empresa llamada Candiru han sido utilizadas para realizar ataques maliciosos. En esa línea, asegura que también “han permitido a gobiernos extranjeros llevar a cabo la represión transnacional” y así han amenazado el orden internacional basado en reglas.

Positive Technologies (Rusia) y Computer Security Initiative Consultancy (Singapur) también se agregaron a la lista negra comercial del BIS. La BIS dice que su comportamiento amenaza la privacidad y la seguridad de las personas y organizaciones en todo el mundo. Principalmente se las acusa de poseer herramientas cibernéticas utilizadas para obtener acceso no autorizado a sistemas

El Gobierno de Estados Unidos sanciona la empresa NSO Group responsable del spyware Pegasus

La administración de Joe Biden también incluyó en la lista a la compañía israelí Candiru, al Computer Security Initiative Consultancy PTE (COSEINC) de Singapur y a Positive Technologies, de Rusia.

Israel

• Candiru; and

  • NSO Group

Russia

  • Positive Technologies

Singapore

  • Computer Security Initiative Consultancy PTE. LTD.

Al estar en lista negra, cualquier empresa que negocie con el NSO Group será sancionada. Además, restringe la exportación, reexportación y transferencia dentro del país de artículos de las empresas castigadas.

“La acción de hoy es parte de los esfuerzos de la Administración Biden-Harris para poner los derechos humanos en el centro de la política exterior de Estados Unidos, incluso trabajando para detener la proliferación de herramientas digitales utilizadas para la represión”.—  Comunicado del Departamento de Comercio de Estados Unidos

¿En qué consiste la lista negra comercial de Estados Unidos?

Pegasus, Candiru, Positive Technologies y Computer Security Initiative Consultancy ahora forman parte de una lista negra comercial. Esta restringe las exportaciones, reexportaciones y transferencias en dentro de Estados Unidos. Sin embargo, existe una política de revisión de las licencias que en el futuro podría llegar a revertir la denegación recientemente adjudicada a estas entidades.

“Este esfuerzo tiene como objetivo mejorar la seguridad digital de los ciudadanos combatir las amenazas cibernéticas y mitigar la vigilancia ilegal. Esta sigue una regla final provisional reciente publicada por el Departamento de Comercio que establece controles sobre la exportación”.

Gina Raimondo, secretaria de Comercio de Estados Unidos, afirmó en el comunicado:

“Estados Unidos está comprometido a utilizar agresivamente los controles de exportación para responsabilizar a las empresas que desarrollan, trafican o utilizan tecnologías para llevar a cabo actividades maliciosas que amenazan la ciberseguridad de los miembros de la sociedad civil, disidentes, funcionarios gubernamentales y organizaciones aquí y en el extranjero”.

Referencia (s) :

Rufus es un conocido programa para poder crear unidades de arranque booteables, es decir, para poder arrancar el equipo desde estos medios. Ya sea para usar algunas herramientas que necesitan usarse de esta manera, o para instalar sistemas operativos en PCs y SBCs.  Aplicación es gratuita y de código abierto (bajo licencia GPU GPLv3), por lo que mejora a la citada herramienta a la que pretendía sustituir. Su GUI es muy sencilla de utilizar, y no necesita de conocimientos profundos para poder generar el medio de arranque booteable.

Rufus es una utilidad que le ayuda a formatear y crear soportes USB de arranque, como «pendrives», tarjetas de memoria, etcétera.

La función de Rufus es la de crear USBs de arranque. Con ellos puedes hacer varias cosas, como crear medios de instalación de otros sistemas operativos mediante sus imágenes ISO. También puedes montar el sistema operativo en el USB para trabajar con él en cualquier ordenador que no lo tenga, e incluso grabar datos con los que actualizar el firmware o la BIOS de un ordenador desde DOS.

  • Aplicación extremadamente ligera que sólo ocupa 1 MB de espacio, lo que hace que puedas utilizarla 
  • Rufus utiliza una Licencia Pública General de GNU (GPL) versión 3 o posterior. Esto quiere decir que su código es libre, y cualquiera puede acceder a él para compartirla o modificar la aplicación, siempre y cuando la herramienta resultante aplique también la licencia GPLv3. El código fuente de la aplicación lo puedes encontrar en Github.

Es especialmente útil en casos donde:

  • necesitas crear medios de instalación USB a partir de ISOs arrancables (Windows, Linux, UEFI, etc.)
  • necesitas trabajar en un equipo que no tenga un sistema operativo instalado
  • necesitas actualizar el firmware o BIOS de un ordenador desde DOS
  • quieres ejecutar una utilidad de bajo nivel

A pesar de su pequeño tamaño, Rufus ofrece todo lo que necesita.

Rufus es rápido. Por ejemplo, es casi dos veces más rápido que UNetbootinUniversal USB Installer o la herramienta de descarga a USB de Windows 7, en la creación de un instalador USB de Windows 7 desde una ISO. También es ligeramente más rápido en la creación de USB de arranque de Linux a partir de ISO.

Rufus fue lanzado oficialmente el 14 de diciembre de 2011. Nació de la necesidad que su creador empezó a sentir de reemplazar la aplicación HP USB Disk Storage Format Tool para Windows, que una vez fue una de las alternativas más rápidas y sencillas para crear un disco de arranque. Frente a ella, Rufus esgrimía el no tener que instalarse y el contar con una interfaz mucho más moderna que otras alternativas.

 Características generales

  • Formatea USB, tarjeta flash y unidades virtuales a FAT / FAT32 / NTFS / UDF / exFAT / ReFS / ext2 / ext3
  • Crear unidades USB de arranque de DOS, utilizando FreeDOS o MS-DOS (Windows 8.1 o anterior)
  • Crear unidades de arranque BIOS o UEFI, incluido NTFS de arranque UEFI
  • Crear unidades de arranque a partir de ISO de arranque (Windows, Linux, etc.)
  • Crear unidades de arranque a partir de imágenes de disco de arranque, incluidas las comprimidas
  • Crear unidades de instalación de Windows 11 para PC que no tienen TPM
  • Crear unidades de Windows To Go
  • Crear particiones persistentes de Linux
  • Crear imágenes VHD / DD de una unidad
  • Calcular las sumas de comprobación MD5, SHA-1, SHA-256 y SHA-512 de la imagen seleccionada
  • Realizar comprobaciones de bloques defectuosos, incluida la detección de unidades flash “falsas”
  • Descargar los ISO minoristas oficiales de Microsoft Windows 7, Windows 8, Windows 10 o Windows 11
  • Descargar UEFI Shell ISO
  • Interfaz de usuario moderna y familiar, con 38 idiomas compatibles de forma nativa
  • Pequeña No requiere instalación.
  • Portátil (portable) Compatible con arranque seguro.
  • Software 100% libre (GPL v3) 

El objetivo de crear un medio USB de arranque puede ser:

  • Crear medios de instalación para sistemas operativos
  • Crear herramientas que puedan arrancar sin el sistema operativo, como Hiren’s Boot, GParted, incluso Live USBs, etc.
  • Crear medios arrancables con firmware para actualizar la BIOS
  • Hacer medios de recuperación

Opciones Rufus

  • Dispositivo: En este menú se elige la unidad USB a la cual se va a usar como unidad de arranque, la opción a elegir depende de los dispositivos conectados al PC, ojo en seleccionar la que realmente es, que en el proceso se borraran todos los datos
  • Tipo de la partición y del sistema destino:
    • Si se quiere arrancar una LiveCD o sistema Linux, se escoge Tipo de partición MBR para placas con arranque BIOS o UEFI.
    • Si se quiere arrancar una imagen de Windows 7/8/8.1/10 en modo BIOS, tienes que escoger partición MBR para placas con arranque BIOS o UEFI.
    • Si arrancar una imagen de Windows 7/8/8.1/10 en modo UEFI, tienes que escoger partición GPT para computadora UEFI.
    • Para otro caso no mencionado, siempre se debe de escoger la primera opción que os he comentado al principio.
  • Sistema de archivos: Puede ser FAT32 o NTFS para placas con modo BIOS. Para placas UEFI se debe usar FAT32 obligatoriamente.
  • Tamaño del clúster: Es recomendable dejarlo en el valor por defecto.
  • Etiqueta nueva: El nombre que le vamos a dar al PenDrive, yo siempre lo dejo el que viene por defecto
  • Opciones de formateo: Solo debéis de tener seleccionadas:
    • Crear disco de arranque
    • Añadir etiquetas extendidas e iconos

En el caso de Windows 10 o Windows 11 se puede proceder a su instalación de forma completamente legal en Media Creation Tool de Microsoft, aunque también existe la posibilidad de descargarla directamente de la página web.

Rufus facilita actualizar a Windows 11 en PCs no soportados: elimina los requisitos de TPM, RAM y Secure Boot automáticamente

instalación extendida de Windows 11“. Esto es básicamente la opción de deshabilitar los requisitos:

  • de 8GB de RAM
  • TPM 
  • Secure Boot

Descarga la imagen ISO de Windows 11

MediaCreationTool.bat: descarga la ISO de Windows 11 y omite las comprobaciones de compatibilidad del sistema

MediaCreationTool.bat, una herramienta gratuita que te permite descargar casi cualquier imagen ISO de Windows desde los propios servidores de Microsoft. 

Windows To Go es una característica de Windows 10 Enterprise y Windows 10 Education que permite la creación de un área de trabajo Windows To Go que puede arrancar desde una unidad externa conectada al puerto USB en un equipo.

Search and buy domains from Namecheap. Lowest prices!

Diferencias entre Windows To Go y una instalación típica de Windows

El área de trabajo de Windows To Go funciona igual que cualquier otra instalación de Windows con algunas pocas excepciones. Estas excepciones son las siguientes:

  • Los discos internos están sin conexión. Para asegurarse de que los datos no se divulguen por accidente, los discos duros internos en el equipo host están desconectados de manera predeterminada cuando se arranca dentro de un área de trabajo de Windows To Go. De igual manera, si se inserta una unidad de Windows To Go en un sistema en ejecución, la unidad de Windows To Go no se incluirá en el Explorador de Windows.
  • El módulo de plataforma segura (TPM) no se usa. Cuando se use el Cifrado de unidad BitLocker, se usará una contraseña de arranque de sistema preoperativo por razones de seguridad en lugar del TPM dado que este está vinculado con un equipo específico y las unidades de Windows To Go se moverán entre equipos.
  • La hibernación está deshabilitada de manera predeterminada. Para asegurarse de que el área de trabajo de Windows To Go pueda moverse entre equipos con facilidad, la hibernación está deshabilitada de manera predeterminada. Pueden volver a habilitarse mediante la configuración de directiva de grupo.
  • El entorno de recuperación de Windows no está disponible. En el extraño caso de que necesite recuperar su unidad de Windows To Go, debe recrear la imagen con una imagen nueva de Windows.
  • No se admite la actualización ni el restablecimiento de un área de trabajo de Windows To Go. No corresponde realizar el restablecimiento a los estándares del fabricante para el equipo cuando se ejecuta un área de trabajo de Windows To Go. Por ello, esta característica se ha deshabilitado.
  • No se admite la actualización de un área de trabajo de Windows To Go. Las áreas de trabajo de Windows To Go anteriores de Windows 8 o Windows 8.1 no se pueden actualizar a áreas de trabajo de Windows 10. Las áreas de trabajo de Windows To Go Windows 10 tampoco se pueden actualizar a versiones futuras de Windows 10. Para las versiones nuevas, el área de trabajo debe recrearse con la imagen nueva de Windows.