Lo + Nuevo
Tag

ciberseguridad

Browsing
Cripto Casino - Stake
Conoce Stake Cripto Casino

Escucha lo más importante de esta noticia aquí :

Una red masiva de routers y otros dispositivos ha sido atrapada en las redes de un malware controlado por actores chinos, y sí, España no ha salido indemne. Según un informe publicado este miércoles por el FBI, todo tipo de dispositivos IoT, esos cacharros que tenemos por casa y que siempre pensamos que “no pasa nada”, podrían haber caído en las garras de esta botnet.

Raptor Train, una botnet que ha logrado infectar más de 260.000 dispositivos de red a lo largo de varios años.
Raptor Train, una botnet que ha logrado infectar más de 260.000 dispositivos de red a lo largo de varios años.

El “villano” de esta historia se llama Raptor Train, una botnet que ha logrado infectar más de 260.000 dispositivos de red a lo largo de varios años. Aunque los principales afectados han sido Estados Unidos y Taiwán, España también ha recibido su dosis, con un 0,8% de dispositivos afectados. ¿Y qué es una botnet? Básicamente, es una red de dispositivos zombis (ordenadores, routers, cámaras, etc.) que han sido infectados y controlados a distancia por los malos de la película para hacer cosas como robar datos, atacar servidores o, quién sabe, programar la cafetera para preparar un espresso cuando menos lo esperas (vale, lo último no, pero te haces una idea).

Desde que empezó a operar en mayo de 2020, Raptor Train ha evolucionado como una auténtica amenaza, desarrollando una estructura cada vez más compleja, afectando a routers caseros, módems, cámaras IP, servidores NAS y demás dispositivos que, generalmente, uno tiene para ver Netflix en paz. Este malware ha infectado principalmente routers SOHO, esos que se usan en las pequeñas oficinas o en los hogares, y ha encontrado formas creativas para mantenerse en la sombra, mientras controla una red global de gadgets desprevenidos.

El FBI, siempre atento, ha estado siguiendo la pista de este tren (o mejor dicho, tren descarrilado) desde 2023, cuando lo descubrieron por primera vez. A lo largo de estos años, Raptor Train ha alcanzado su punto álgido, controlando simultáneamente más de 60.000 dispositivos a la vez. En total, desde 2020, se calcula que más de 200.000 dispositivos han sido convertidos en agentes involuntarios de esta botnet. No es una cifra pequeña, y lo peor es que muchos de estos dispositivos ni siquiera sabían que estaban involucrados en semejante trama.

En el informe que el FBI publicó el miércoles, aparece una lista de 19 países que han sido afectados, y, por suerte (o quizás por desgracia), España aparece en el último puesto con “apenas” unos 2.000 dispositivos comprometidos. Aunque la cifra suena grande, solo representa un 0,8% del total de la red. Si te consuela, toda Europa cuenta con unos 65.600 dispositivos infectados en total, así que podríamos decir que España no ha sido el principal objetivo. ¡Menos mal!

Y, ¿qué hacen los chicos malos con esta red de dispositivos zombi? Pues, básicamente, la usan como escudo para ocultar su identidad mientras lanzan ataques de denegación de servicio (DDoS) o comprometen redes específicas en Estados Unidos, todo ello, aparentemente, con la bendición (o al menos la indiferencia) del gobierno chino, según los investigadores.

A nivel global, América del Norte se lleva el trofeo como el continente más afectado, seguido de Europa, Asia y África. Pero, si hablamos de los procesadores más vulnerables, los dispositivos con arquitectura x86 y MIPS son los más frecuentemente comprometidos.

Finalmente, el FBI señala que los cerebros detrás de la operación manejan la botnet desde servidores que alojan una aplicación llamada “Sparrow”. Este software permite a los actores interactuar con la red infectada, y para acceder a ella, usan direcciones IP registradas en China Unicom Beijing Province Network. Así que sí, este tren llamado Raptor Train parece tener un boleto de ida desde China.

Donaciones y Apoyo

Fuente(s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino

La organización conocida como la “Mexican Mafia” ha llevado a cabo su amenaza al filtrar datos sensibles del Poder Judicial de la Ciudad de México (PJCDMX). Este ataque cibernético, encabezado por un hacker que se hace llamar “Pancho Villa”, ha expuesto la información personal de más de 162,000 abogados, además de datos de varios funcionarios públicos y otros usuarios del sistema judicial.

El atacante, conocido como Pancho Villa, liberó la información confidencial del PJCDMX tras un plazo de 72 horas que había dado previamente.

Entre los datos filtrados se encuentran el código fuente del sistema de citas, credenciales de acceso, correos electrónicos, contraseñas de usuarios, y detalles relacionados con reclamaciones legales, citas, asignaciones de actuarios, pensiones y recibos. Esta filtración pone en serio peligro la seguridad y privacidad de las personas afectadas.

La información ha sido divulgada en foros de hackers y está accesible para quienes compartan otras filtraciones. Entre las instituciones más afectadas destacan el Tribunal Superior de Justicia de la Ciudad de México (TSJCDMX), el Instituto Mexicano del Seguro Social (IMSS) y la Suprema Corte de Justicia de la Nación. Este ataque ha revelado importantes fallos en la ciberseguridad del PJCDMX, lo que permitió a los hackers explotar vulnerabilidades en cuestión de minutos.

El ataque se ejecutó a inicios de agosto de 2024, utilizando técnicas avanzadas de escalada de privilegios que permitieron a los hackers desplazarse lateralmente dentro del sistema y extraer información valiosa sin ser detectados. También se sospecha que emplearon malware para asegurar su permanencia dentro de la red.

Este incidente ha provocado duras críticas hacia la gestión de la ciberseguridad por parte del gobierno. Expertos en seguridad informática, como Víctor Ruiz de SILIKN, han subrayado la necesidad urgente de mejorar las medidas de protección y concienciación sobre ciberseguridad en las instituciones gubernamentales.

Además de la filtración, la Mexican Mafia ha anunciado la venta de estas bases de datos en la web oscura, lo que podría derivar en usos maliciosos de la información, como fraudes, extorsiones y manipulaciones de juicios. La creciente desconfianza en la seguridad de los sistemas gubernamentales podría complicar la relación entre los ciudadanos y el gobierno, especialmente en lo que respecta a la compartición de información personal para acceder a servicios públicos.

El gobierno de la Ciudad de México y las instituciones afectadas están trabajando para contener el daño y reforzar sus sistemas de ciberseguridad. Sin embargo, la posibilidad de más filtraciones de datos sigue siendo una preocupación, y las autoridades han aconsejado a los usuarios afectados que tomen precauciones, como cambiar sus contraseñas y estar atentos a posibles intentos de fraude a través de correos electrónicos.

Donaciones y Apoyo

Fuente (s) :

Amper, víctima de ciberataque: 650 GB de datos robados por Black Basta

La empresa española de ingeniería y tecnología Amper, conocida por su labor en los sectores de defensa, seguridad, energía y telecomunicaciones, ha sufrido un significativo ciberataque. Los ciberdelincuentes se han apoderado de 650 gigabytes de datos, que incluyen información de proyectos, usuarios y empleados, como nóminas y datos financieros.

Empresa de Ingeniería y Tecnología en Riesgo

Aunque Amper aún no ha confirmado oficialmente la magnitud del ataque, se cree que el grupo de ciberdelincuentes conocido como Black Basta está detrás del incidente. Este grupo es conocido por su ‘ransomware’, una herramienta que ha causado estragos en organizaciones de todo el mundo desde su aparición en la primavera de 2022.

Black Basta: Un Actor Global en el Ransomware como Servicio (RaaS)

Black Basta ha emergido rápidamente como uno de los actores más destacados en el ámbito del ransomware como servicio (RaaS). Según el Instituto Nacional de Ciberseguridad de España (Incibe), más de 500 organizaciones a nivel global han sido afectadas, desde pequeñas empresas hasta grandes corporaciones, evidenciando la seriedad de esta amenaza.

Métodos y Herramientas Utilizadas por Black Basta

El éxito de Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos. Utilizan una combinación de herramientas y técnicas sofisticadas para infiltrarse en las redes y moverse lateralmente dentro de ellas. Entre las herramientas empleadas se encuentran:

  • SoftPerfect Network Scanner
  • BITSAdmin
  • Cobalt Strike
  • ConnectWise ScreenConnect
  • PsExec

Además, utilizan Mimikatz para la escalada de privilegios y RClone para la exfiltración de datos antes del cifrado. Para obtener privilegios elevados, aprovechan vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527).

Técnicas de Infección y Propagación

Black Basta emplea técnicas de phishing para infiltrarse en las redes de sus objetivos. Un método común es el envío de correos electrónicos que incitan a las víctimas a descargar un archivo ZIP que contiene una imagen ISO, diseñada para evadir los mecanismos de seguridad. La imagen ISO suele incluir una DLL maliciosa infectada con Qakbot, un troyano conocido que permite a los atacantes ejecutar código malicioso en el sistema de la víctima, reduciendo las posibilidades de detección.

Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos
Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos

Una vez dentro, el malware realiza diversas acciones maliciosas, como monitorizar y registrar pulsaciones de teclas, recolectar credenciales de acceso y propagarse a otros sistemas de la red mediante técnicas de movimiento lateral. Utiliza nombres engañosos dentro de la unidad raíz, como “C:\Dell” o “C:\Intel”, para desplegar parte de su arsenal malicioso.

Relación con el Grupo FIN7

Investigaciones recientes sugieren una conexión entre Black Basta y los ciberdelincuentes rusos FIN7, también conocidos como Carbanak. SentinelLabs ha analizado varias herramientas personalizadas utilizadas por Black Basta, indicando que podrían compartir integrantes o trabajar juntos. Entre las herramientas se encuentra WindefCheck.exe, diseñada para clonar la interfaz de seguridad de Windows y mostrar falsamente que los sistemas están protegidos.

Cifrado y Desencriptado

Black Basta cifra los datos de sus víctimas utilizando una combinación de ChaCha20 y RSA-4096. Genera claves de cifrado con la función de C++ rand_s, resultando en una salida hexadecimal aleatoria. El ransomware cifra los primeros 64 bytes de cada fragmento de datos, dejando 128 bytes sin cifrar, y cambia la extensión de los archivos a ‘.basta’. Aunque existe una herramienta de descifrado llamada ‘Black Basta Buster’, basada en scripts de Python, la recuperación de archivos no siempre es posible debido a la complejidad del cifrado.

El ciberataque a Amper es un recordatorio de la creciente sofisticación de los ciberdelincuentes y la necesidad de robustecer las defensas digitales. Black Basta sigue siendo una amenaza significativa, y la relación con FIN7 solo añade más complejidad a un panorama ya de por sí desafiante. La seguridad cibernética debe ser una prioridad constante para proteger la información crítica y mantener la integridad de nuestras infraestructuras digitales.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino

En la era digital, la seguridad cibernética se ha convertido en una preocupación primordial para empresas de todos los tamaños. La evolución constante de las tecnologías trae consigo nuevos riesgos y vulnerabilidades que pueden ser explotados por ciberdelincuentes. En este contexto, la inteligencia artificial (IA) emerge como una herramienta poderosa para reforzar la ciberseguridad y prevenir ataques. Este artículo explora cómo la IA está transformando la ciberseguridad y su impacto a lo largo del tiempo.

La Importancia de la Ciberseguridad en la Era Digital

La ciberseguridad es esencial para proteger los datos sensibles y la infraestructura digital de las organizaciones. Los ataques cibernéticos pueden tener consecuencias devastadoras, desde pérdidas financieras hasta daños a la reputación de la empresa. Con el aumento de la digitalización, la superficie de ataque se expande, haciendo que la protección de la información sea más compleja y desafiante.

 Con el aumento de la digitalización, la superficie de ataque se expande, haciendo que la protección de la información sea más compleja y desafiante.
Con el aumento de la digitalización, la superficie de ataque se expande, haciendo que la protección de la información sea más compleja y desafiante.

El Papel de la Inteligencia Artificial en la Ciberseguridad

Detección de Amenazas en Tiempo Real

Algoritmos avanzados de aprendizaje automático pueden identificar patrones anómalos que indican actividades sospechosas.
Algoritmos avanzados de aprendizaje automático pueden identificar patrones anómalos que indican actividades sospechosas.

Uno de los mayores desafíos en ciberseguridad es la detección temprana de amenazas. La IA, con su capacidad para analizar grandes volúmenes de datos en tiempo real, está revolucionando este aspecto. Algoritmos avanzados de aprendizaje automático pueden identificar patrones anómalos que indican actividades sospechosas. Esto permite a los equipos de seguridad responder de manera proactiva antes de que se produzcan daños significativos.

Análisis Predictivo

La IA no solo detecta amenazas actuales, sino que también predice posibles ataques futuros. Utilizando técnicas de análisis predictivo, los sistemas de IA pueden anticipar comportamientos maliciosos basados en datos históricos y tendencias emergentes. Esto es crucial para desarrollar estrategias preventivas y fortalecer las defensas cibernéticas.

Automatización de la Respuesta a Incidentes

La velocidad de respuesta es crítica en la ciberseguridad. Los sistemas de IA pueden automatizar la respuesta a incidentes, permitiendo una mitigación rápida y eficiente de las amenazas. Por ejemplo, pueden bloquear automáticamente el acceso a una red comprometida o aislar dispositivos infectados, minimizando el impacto de un ataque.

Casos de Uso de la IA en la Prevención de Hackeos

Empresas Financieras

Las instituciones financieras son un objetivo principal para los ciberdelincuentes debido a la naturaleza sensible de los datos que manejan. La IA se utiliza para monitorear transacciones en tiempo real y detectar fraudes. Algoritmos de aprendizaje profundo analizan patrones de comportamiento de los usuarios para identificar actividades inusuales y prevenir fraudes antes de que ocurran.

Sector Salud

 Los algoritmos de IA pueden detectar y bloquear intentos de acceso no autorizado, garantizando la confidencialidad y la integridad de la información médica.
Los algoritmos de IA pueden detectar y bloquear intentos de acceso no autorizado, garantizando la confidencialidad y la integridad de la información médica.

En el sector salud, la protección de los datos de los pacientes es crucial. La IA ayuda a proteger los sistemas de gestión de la salud y los registros médicos electrónicos. Los algoritmos de IA pueden detectar y bloquear intentos de acceso no autorizado, garantizando la confidencialidad y la integridad de la información médica.

Comercio Electrónico

Las plataformas de comercio electrónico manejan grandes volúmenes de datos de usuarios, incluidas informaciones financieras. La IA se utiliza para proteger estos datos mediante la detección de patrones de fraude y la implementación de medidas de seguridad avanzadas. Los sistemas de recomendación basados en IA también mejoran la experiencia del usuario, aumentando la satisfacción del cliente y la seguridad.

Retos y Consideraciones Éticas

Falsos Positivos y Negativos

Aunque la IA ha demostrado ser efectiva en la ciberseguridad, no está exenta de desafíos. Uno de los principales problemas es la generación de falsos positivos y negativos. Un falso positivo ocurre cuando el sistema identifica erróneamente una actividad legítima como una amenaza, mientras que un falso negativo es cuando no detecta una actividad maliciosa real. La calibración de los algoritmos para minimizar estos errores es un reto continuo.

Privacidad y Transparencia

El uso de IA en la ciberseguridad también plantea cuestiones de privacidad y transparencia. Los sistemas de IA requieren acceso a grandes cantidades de datos para funcionar eficazmente, lo que puede comprometer la privacidad de los usuarios. Además, la naturaleza opaca de algunos algoritmos de IA puede dificultar la comprensión de cómo se toman las decisiones de seguridad. Es crucial abordar estas preocupaciones mediante políticas claras y tecnologías de IA explicables.

Impacto de la IA en la Ciberseguridad a lo Largo del Tiempo

Evolución Tecnológica

La IA ha evolucionado significativamente en los últimos años, mejorando su capacidad para enfrentar amenazas cibernéticas. Inicialmente, los sistemas de ciberseguridad se basaban en reglas predefinidas y firmas de malware conocidas. Con la introducción de la IA, se ha pasado a un enfoque más dinámico y adaptativo, capaz de aprender y evolucionar con el tiempo.

Futuro de la Ciberseguridad con IA

El futuro de la ciberseguridad está estrechamente ligado a la evolución de la IA. Se espera que los sistemas de IA se vuelvan aún más sofisticados, utilizando técnicas avanzadas como el aprendizaje profundo y las redes neuronales para detectar y prevenir amenazas. Además, la integración de IA con tecnologías emergentes como el blockchain podría ofrecer nuevas formas de proteger la información.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Kali Linux ha lanzado su versión 2024.2, la primera actualización del año, que incluye dieciocho nuevas herramientas y soluciona el error Y2038. Kali Linux, reconocida por ser una herramienta vital para profesionales de la ciberseguridad y hackers éticos, sigue mejorando para mantener su relevancia en el ámbito de la seguridad informática.

La versión 2024.2 de Kali, que se numera como la segunda actualización del 2024, ahora ofrece GNOME 46 como una opción, con todos los temas y extensiones actualizados para esta versión del entorno gráfico. Además, el escritorio Xfce ha recibido mejoras, específicamente en los modos Kali-Undercover y HiDPI, que mejoran la estabilidad y corrigen varios errores, asegurando un mejor soporte para las últimas mejoras en el escritorio.

Innovaciones Visuales

Como es habitual en el primer lanzamiento del año, el equipo de Kali ha introducido nuevos elementos visuales, incluyendo fondos de pantalla renovados, y mejoras en el menú de inicio y la pantalla de inicio de sesión, mejorando no solo la estética del sistema operativo sino también la experiencia del usuario.

Nuevas Herramientas en Kali Linux 2024.2

La versión 2024.2 de Kali Linux incorpora dieciocho nuevas herramientas, ampliando su ya extenso arsenal de software de seguridad. Algunas de las herramientas más destacadas incluyen:

  • autorecon: Herramienta multiproceso para reconocimiento de redes.
  • coercer: Obliga a un servidor Windows a autenticarse en una máquina arbitraria.
  • dploot: Reescritura en Python de SharpDPAPI.
  • getsploit: Utilidad de línea de comandos para buscar y descargar exploits.
  • gowitness: Herramienta para captura de pantalla web con Chrome Headless.
  • horst: Herramienta de escaneo de radio altamente optimizada.
  • ligolo-ng: Herramienta avanzada de tunelización/pivotación.
  • mitm6: Pwned IPv4 a través de IPv6.
  • netexec: Herramienta para explotación de servicios de red.
  • pspy: Monitorea procesos de Linux sin permisos de root.
  • pyinstaller: Convierte programas Python en ejecutables independientes.
  • pyinstxtractor: Extractor de PyInstaller.
  • sharpshooter: Marco para generación de carga útil.
  • sickle: Herramienta de desarrollo de carga útil.
  • snort: Sistema de detección de intrusiones en la red.
  • sploitscan: Búsqueda de información CVE.
  • vopono: Ejecuta aplicaciones a través de túneles VPN.
  • waybackpy: Accede a la API de Wayback Machine usando Python.

Corrección del Error del Año 2038

El ‘problema del año 2038’, similar al error Y2K, afecta a los sistemas Linux que utilizan variables enteras de 32 bits para marcas de tiempo UNIX, que cambiarán a una fecha incorrecta en 1901 después del 19 de enero de 2038. Para solucionar esto, se han adoptado enteros de 64 bits, pero esto requiere que las aplicaciones y bibliotecas que usan variables de 32 bits se recompilen.

En Kali Linux, las arquitecturas ARM de 32 bits (armhf y armel) son las más afectadas. Kali ha completado su transición a t64, y se recomienda a los usuarios realizar una actualización completa para obtener los paquetes actualizados.

Actualizaciones en el Escritorio

Esta versión de Kali Linux incluye GNOME 46, con todos los temas y extensiones actualizados. También se han implementado nuevas correcciones de estabilidad y rendimiento en el escritorio Xfce, asegurando una interfaz más robusta y eficiente.

Cómo Obtener Kali Linux 2024.2

Para comenzar a usar Kali Linux 2024.2, puedes actualizar tu instalación existente o descargar las imágenes ISO para nuevas instalaciones. Los comandos para actualizar desde una versión anterior son los siguientes:

echo “deb http://http.kali.org/kali kali-rolling main contrib non-free non-free-firmware” | sudo tee /etc/apt/sources.list
sudo apt update && sudo apt -y full-upgrade
cp -vrbi /etc/skel/. ~/
[ -f /var/run/reboot-required ] && sudo reboot -f

Si ejecutas Kali en el Subsistema de Windows para Linux (WSL), actualiza a WSL2 para una mejor experiencia, incluida la capacidad de usar aplicaciones gráficas. Verifica la versión de WSL con el comando wsl -l -v.

Después de la actualización, confirma que se realizó correctamente con:

grep VERSION /etc/os-release

Kali Linux 2024.2 no solo introduce nuevas herramientas y mejoras visuales, sino que también aborda problemas críticos como el error Y2038. Esta versión sigue mejorando la utilidad y funcionalidad de Kali Linux, asegurando que siga siendo una herramienta esencial para los profesionales de la ciberseguridad. Puedes ver el registro de cambios completo en el sitio web de Kali para más detalles.

Esta versión de Kali Linux refleja un compromiso continuo con la innovación y la seguridad, proporcionando a los usuarios herramientas avanzadas para enfrentar los desafíos modernos en ciberseguridad.

Fuente (s) :

BingX exchange confiable de Criptomonedas

El FBI hace un llamado a las víctimas anteriores de los ataques del ransomware LockBit para que se presenten después de anunciar que ha recuperado más de 7.000 claves de descifrado, las cuales pueden ser utilizadas para recuperar los datos cifrados sin costo alguno.

Bryan Vorndran, Director Adjunto de la División Cibernética del FBI, hizo este anuncio el miércoles durante la Conferencia de Ciberseguridad de Boston 2024.

“Como resultado de nuestras acciones continuas contra LockBit, ahora tenemos en nuestro poder más de 7.000 claves de descifrado y estamos en posición de ayudar a las víctimas a recuperar sus datos y restablecer sus sistemas”, declaró Vorndran en su discurso.

“Estamos contactando a las víctimas conocidas de LockBit y alentando a cualquier persona que sospeche haber sido afectada a que visite nuestro Centro de Denuncias de Delitos en Internet en ic3.gov”.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Este llamamiento se produce tras el desmantelamiento de la infraestructura de LockBit en febrero de 2024 en una operación internacional denominada “Operación Cronos”.

Durante esa operación, las fuerzas del orden incautaron 34 servidores que contenían más de 2.500 claves de descifrado, lo cual permitió la creación de un descifrador gratuito para el ransomware LockBit 3.0 Black.

Después de analizar los datos obtenidos, la Agencia Nacional contra el Crimen del Reino Unido y el Departamento de Justicia de Estados Unidos estiman que la organización y sus afiliados han recaudado hasta mil millones de dólares en rescates a través de 7.000 ataques dirigidos a organizaciones de todo el mundo entre junio de 2022 y febrero de 2024.

A pesar de los esfuerzos de las autoridades para desmantelar sus operaciones, LockBit continúa activo y ha migrado a nuevos servidores y dominios en la Dark Web.

Siguen atacando a víctimas globalmente y, en represalia por el reciente desmantelamiento de su infraestructura, han estado publicando grandes cantidades de datos robados, tanto antiguos como nuevos, en la dark web.

Recientemente, LockBit se atribuyó el ciberataque de abril de 2024 contra la cadena de farmacias canadiense London Drugs, después de otra operación policial que involucró al líder de la banda, un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev, conocido en línea como “LockBitSupp”.

En los últimos años, varios responsables del ransomware LockBit han sido detenidos e imputados, incluyendo a Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023), Mikhail Pavlovich Matveev alias Wazawaka (mayo de 2023), Artur Sungatov e Ivan Gennadievich Kondratiev alias Bassterlord (febrero de 2024).

El Departamento de Estado de EE.UU. ofrece ahora una recompensa de 10 millones de dólares por información que conduzca a la detención o condena de los líderes de LockBit y una recompensa adicional de 5 millones de dólares por pistas que lleven a la detención de los afiliados de LockBit.

Fuente (s) :

BingX exchange confiable de Criptomonedas

Se ha anunciado un cambio trascendental con la reescritura completa de YARA en Rust, resultando en la creación de YARA-X. Esta versión mejorada promete ofrecer una experiencia de usuario superior, mayor compatibilidad con las reglas existentes, mejor rendimiento, fiabilidad y robustez, así como una integración más sencilla con otros proyectos.

¿Qué es YARA?

Desde hace más de 15 años, Yet Another Ridiculous Acronym (YARA) ha sido una herramienta esencial para los investigadores de malware, evolucionando constantemente con nuevas actualizaciones y características. YARA es una herramienta de código abierto diseñada para ayudar a identificar y clasificar muestras de malware mediante la creación de reglas basadas en patrones textuales y binarios. Esta herramienta multiplataforma funciona en Linux, Windows y Mac OS X, y puede ser utilizada tanto a través de su interfaz de línea de comandos como mediante scripts de Python con la extensión YARA-Python.

YARA se ha consolidado como un estándar en la ciberseguridad, siendo ampliamente utilizada para la caracterización y detección de malware y otras amenazas.
YARA se ha consolidado como un estándar en la ciberseguridad, siendo ampliamente utilizada para la caracterización y detección de malware y otras amenazas.

YARA se ha consolidado como un estándar en la ciberseguridad, siendo ampliamente utilizada para la caracterización y detección de malware y otras amenazas. Su creador, Víctor M. Álvarez, quien actualmente forma parte del equipo de VirusTotal de Google, decidió reescribir la herramienta para implementar mejoras significativas que requerían cambios profundos en su diseño. Rust fue elegido por su facilidad de mantenimiento y sus robustas garantías de fiabilidad, tal como se explica en un comunicado sobre esta nueva fase de la herramienta.

Estado Actual de YARA-X

YARA-X, actualmente en fase beta, ha demostrado ser estable y efectiva. El equipo de VirusTotal ha estado utilizando YARA-X para escanear millones de archivos, detectando discrepancias y errores. Aunque YARA seguirá recibiendo mantenimiento, las nuevas funcionalidades y mejoras se centrarán en YARA-X.

Una de las novedades más destacadas de YARA-X es su capacidad para analizar varios formatos de archivo, como PE, .NET, ELF, Mach-O y LNK, creando estructuras de datos detalladas. El comando yr dump [FILE] permite a los usuarios acceder a esta información de manera sencilla, en formato YAML o JSON, mejorando significativamente la funcionalidad anterior de YARA.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Al ejecutar este comando, YARA-X analiza el archivo especificado utilizando todos los módulos relevantes y muestra las estructuras de datos generadas, proporcionando la salida en formato YAML por defecto para una mejor legibilidad y facilidad de uso. Anteriormente, YARA ofrecía una opción similar pero más compleja, que requería el paso de un archivo fuente YARA e importaba los módulos deseados. La introducción del comando dump en YARA-X simplifica enormemente este proceso, ofreciendo a los usuarios una forma más eficiente de acceder a información detallada sobre varios formatos de archivo.

Objetivos de YARA-X

El objetivo de YARA-X es superar a YARA en todos los aspectos, facilitando que los usuarios migren de forma natural debido a sus claras ventajas. La versión actualizada de YARA-X aprovecha el conocimiento acumulado para mejorar sus capacidades, enfrentando sus limitaciones y simplificando su mantenimiento y desarrollo futuro.

  • Mejorar la experiencia de usuario: Interfaz moderna y reportes de errores explicativos.
  • Mantener la compatibilidad a nivel de reglas: 99% de compatibilidad con YARA.
  • Mejor rendimiento: Mayor velocidad con reglas complejas.
  • Mayor fiabilidad y seguridad: Beneficios de la implementación en Rust.
  • Facilidad de integración: APIs oficiales en Python, Golang y C.

YARA-X marca una nueva era en la detección de malware, aprovechando su base de conocimiento para ofrecer una herramienta más potente y fácil de mantener.

Fuente (s) :

BingX exchange confiable de Criptomonedas

Atlas, una de las mayores distribuidoras de combustible en EE.UU., hackeada por BlackBasta

Atlas es una de las mayores distribuidoras nacionales de combustible en 49 estados continentales de EE.UU., con más de mil millones de galones por año.

El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según reportó el investigador Dominic Alvieri.

El grupo afirma haber robado 730GB de datos de Atlas, incluyendo información corporativa: cuentas, recursos humanos, finanzas, datos de ejecutivos y departamentos, así como datos de usuarios y empleados.

Cripto Casino - Stake
Conoce Stake Cripto Casino

El grupo publicó una serie de documentos como prueba del hackeo, incluyendo tarjetas de identificación, hojas de datos, solicitudes de pago de nómina y una imagen de la carpeta extraída de los sistemas de la víctima.

La empresa petrolera aún no ha revelado el supuesto incidente.

Black Basta ha estado activo desde abril de 2022 y, al igual que otras operaciones de ransomware, implementa un modelo de ataque de doble extorsión.

En noviembre de 2022, investigadores de Sentinel Labs informaron haber encontrado pruebas que vinculan al grupo de ransomware Black Basta con el grupo de hackers FIN7, motivado por fines financieros.

En noviembre de 2022, expertos del equipo de Cybereason Global SOC (GSOC) observaron un aumento en las infecciones de Qakbot como parte de una campaña agresiva de malware que lleva a infecciones de ransomware Black Basta en EE.UU.

La cadena de ataque comienza con una infección de QBot. Los operadores usan la herramienta de post-explotación Cobalt Strike para tomar el control de la máquina y finalmente desplegar el ransomware Black Basta. Los ataques comienzan con un correo electrónico de spam/phishing que contiene enlaces URL maliciosos.

Los investigadores notaron que una vez obtenida la accesibilidad a la red, el actor de la amenaza se mueve extremadamente rápido. En algunos casos observados por Cybereason, el actor de la amenaza obtuvo privilegios de administrador de dominio en menos de dos horas y desplegó el ransomware en menos de 12 horas.

Fuente (s) :

BingX exchange confiable de Criptomonedas

Una operación internacional de las fuerzas del orden, coordinada por el FBI, resultó en la incautación del infame foro de hackers BreachForums.

Este foro de ciberdelincuencia era utilizado por actores malintencionados para comprar, vender e intercambiar datos robados, incluyendo credenciales e información personal y financiera. Las autoridades también incautaron la página de Telegram asociada al foro de hackers.

Actualmente, el sitio web muestra un mensaje informando a los visitantes de su incautación por parte de las autoridades.
Actualmente, el sitio web muestra un mensaje informando a los visitantes de su incautación por parte de las autoridades.

Actualmente, el sitio web muestra un mensaje informando a los visitantes de su incautación por parte de las autoridades. El sitio también exhibe los logotipos de las agencias de seguridad involucradas en la operación, incluidas la NCA del Reino Unido, la Policía Federal Australiana, la Policía de Nueva Zelanda y la policía suiza.

“Este sitio web ha sido desmantelado por el FBI y el Departamento de Justicia con la asistencia de socios internacionales”, se lee en el mensaje publicado en el sitio incautado. “Estamos revisando los datos del backend del sitio. Si tiene información sobre actividades cibercriminales en BreachForums, por favor contáctenos”.

Según la declaración publicada por las fuerzas del orden en el sitio breachforums.ic3.gov, el FBI está investigando los foros de hackers conocidos como BreachForums y Raidforums.
Según la declaración publicada por las fuerzas del orden en el sitio breachforums.ic3.gov, el FBI está investigando los foros de hackers conocidos como BreachForums y Raidforums.

Según la declaración publicada por las fuerzas del orden en el sitio breachforums.ic3.gov, el FBI está investigando los foros de hackers conocidos como BreachForums y Raidforums.

Desde junio de 2023 hasta mayo de 2024, BreachForums (hospedado en breachforums.st/.cx/.is/.vc) fue administrado por el notorio actor ShinyHunters.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Desde marzo de 2022 hasta marzo de 2023, una versión separada de BreachForums (hospedada en breached.vc/.to/.co) fue gestionada por el actor de amenazas Pompompurin. En julio de 2023, el propietario de BreachForums, Conor Brian Fitzpatrick, alias Pompompurin, se declaró culpable de cargos de hacking.

En marzo de 2023, las fuerzas del orden estadounidenses arrestaron a Pompompurin; los agentes pasaron horas dentro y fuera de la casa del sospechoso y fueron vistos retirando varias bolsas de evidencia de la vivienda.

El hombre ha sido acusado de solicitar individuos con el propósito de vender dispositivos de acceso no autorizados. Fitzpatrick fue liberado bajo una fianza de $300,000 firmada por sus padres.

El foro de hackers BreachForums se lanzó en 2022 después de que las autoridades incautaran RaidForums como resultado de la Operación TORNIQUETE. Pompompurin siempre declaró que él “no estaba afiliado con RaidForums de ninguna manera.”

BingX exchange confiable de Criptomonedas

RaidForums (hospedado en raidforums.com y gestionado por Omnipotent) fue el foro de hacking predecesor de ambas versiones de BreachForums y funcionó desde principios de 2015 hasta febrero de 2022.

Las personas que tengan información que pueda ayudar en las investigaciones contra BreachForums v2, BreachForums v1, o Raidforums pueden llenar el cuestionario en el sitio web.

Fuente (s) :

BingX exchange confiable de Criptomonedas

“Black Hat Hackers” (Actores de amenazas) están explotando una vulnerabilidad crítica en el complemento LiteSpeed Cache para WordPress, permitiendo tomar control de sitios web. Investigadores de WPScan informaron que esta vulnerabilidad de alta gravedad está siendo aprovechada activamente.

BingX exchange confiable de Criptomonedas

LiteSpeed Cache para WordPress (LSCWP) es un complemento integral de aceleración de sitios que incluye una caché a nivel de servidor y un conjunto de características de optimización. Este complemento cuenta con más de 5 millones de instalaciones activas. La vulnerabilidad, identificada como CVE-2023-40000 con un puntaje CVSS de 8.3, se refiere a la Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web (‘Cross-site Scripting’ o XSS), permitiendo un XSS almacenado.

Los atacantes han explotado esta vulnerabilidad para crear cuentas de administrador falsas en sitios vulnerables, bajo los nombres de usuario wpsupp‑user y wp‑configuser. Al crear cuentas de administrador, los actores de amenazas pueden obtener control total sobre el sitio web. Patchstack descubrió la vulnerabilidad de XSS almacenado en febrero de 2024.

Las URLs maliciosas a menudo incluyen https[:]//dns[.]startservicefounds.com/service/f[.]php, https[:]//api[.]startservicefounds[.]com, https[:]//cache[.]cloudswiftcdn[.]com.
Ten cuidado con las IPs asociadas con el malware, como la 45.150.67.235.
El malware JavaScript remoto decodificado frecuentemente crea usuarios administradores como wpsupp‑user:
Las URLs maliciosas a menudo incluyen https[:]//dns[.]startservicefounds.com/service/f[.]php, https[:]//api[.]startservicefounds[.]com, https[:]//cache[.]cloudswiftcdn[.]com. Ten cuidado con las IPs asociadas con el malware, como la 45.150.67.235. El malware JavaScript remoto decodificado frecuentemente crea usuarios administradores como wpsupp‑user:

Un usuario no autenticado puede explotar esta vulnerabilidad para elevar privilegios mediante solicitudes HTTP especialmente diseñadas. WPScan reportó que los actores de amenazas podrían inyectar un script malicioso en versiones vulnerables del complemento LiteSpeed. Los investigadores observaron un aumento en el acceso a una URL maliciosa el 2 y el 27 de abril.

Las direcciones IP más comunes que probablemente estaban escaneando sitios vulnerables fueron 94.102.51.144, con 1,232,810 solicitudes, y 31.43.191.220, con 70,472 solicitudes.

La vulnerabilidad se corrigió en octubre de 2023 con la liberación de la versión 5.7.0.1.

Los investigadores proporcionaron indicadores de compromiso para estos ataques, incluyendo URLs maliciosas involucradas en la campaña: https[:]//dns[.]startservicefounds.com/service/f[.]php, https[:]//api[.]startservicefounds[.]com, y https[:]//cache[.]cloudswiftcdn[.]com. También recomiendan estar alerta a IPs asociadas con el malware, como 45.150.67.235.

Fuente(s) :

BingX exchange confiable de Criptomonedas