Lo + Nuevo
Tag

cybersecurity news

Browsing

Atlas, una de las mayores distribuidoras de combustible en EE.UU., hackeada por BlackBasta

Atlas es una de las mayores distribuidoras nacionales de combustible en 49 estados continentales de EE.UU., con más de mil millones de galones por año.

El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según reportó el investigador Dominic Alvieri.

El grupo afirma haber robado 730GB de datos de Atlas, incluyendo información corporativa: cuentas, recursos humanos, finanzas, datos de ejecutivos y departamentos, así como datos de usuarios y empleados.

Cripto Casino - Stake
Conoce Stake Cripto Casino

El grupo publicó una serie de documentos como prueba del hackeo, incluyendo tarjetas de identificación, hojas de datos, solicitudes de pago de nómina y una imagen de la carpeta extraída de los sistemas de la víctima.

La empresa petrolera aún no ha revelado el supuesto incidente.

Black Basta ha estado activo desde abril de 2022 y, al igual que otras operaciones de ransomware, implementa un modelo de ataque de doble extorsión.

En noviembre de 2022, investigadores de Sentinel Labs informaron haber encontrado pruebas que vinculan al grupo de ransomware Black Basta con el grupo de hackers FIN7, motivado por fines financieros.

En noviembre de 2022, expertos del equipo de Cybereason Global SOC (GSOC) observaron un aumento en las infecciones de Qakbot como parte de una campaña agresiva de malware que lleva a infecciones de ransomware Black Basta en EE.UU.

La cadena de ataque comienza con una infección de QBot. Los operadores usan la herramienta de post-explotación Cobalt Strike para tomar el control de la máquina y finalmente desplegar el ransomware Black Basta. Los ataques comienzan con un correo electrónico de spam/phishing que contiene enlaces URL maliciosos.

Los investigadores notaron que una vez obtenida la accesibilidad a la red, el actor de la amenaza se mueve extremadamente rápido. En algunos casos observados por Cybereason, el actor de la amenaza obtuvo privilegios de administrador de dominio en menos de dos horas y desplegó el ransomware en menos de 12 horas.

Fuente (s) :

BingX exchange confiable de Criptomonedas

Según un informe de la empresa de ciberseguridad ThreatFabric, ha surgido una nueva variante de un troyano bancario para Android llamado Xenomorph.

La versión actualizada, denominada “Xenomorph 3rd generation” por Hadoken Security Group, ha recibido nuevas funciones, incluido un motor de ejecución mejorado basado en el Servicio de accesibilidad de Android que utilizan los hackers informáticos para implementar el Servicio de transferencia automatizada (ATS).

Paises más atacados ó con dispositivos infectados por Xenomorph 3rd G.
Cripto Casino - Stake
Conoce Stake Cripto Casino

El Xenomorph se dió a conocer por primera vez en febrero de 2022. Se dirigió a 56 bancos europeos que usaban aplicaciones cuentagotas que se publicaron en Google Play Store. La última versión de Xenomorph apunta a más de 400 instituciones bancarias y financieras, incluidas varias billeteras de criptomonedas. Las muestras detectadas se distribuyen a través de Discord Content Delivery Network (CDN), según ThreatFabric.

“Xenomorph v3 se está implementando utilizando la aplicación cuentagotas Zombinder, que simula un convertidor de moneda, que descarga una aplicación que se hace pasar por Google Play Protect (Google Play Protect) como una actualización. Las aplicaciones de Zombinder se desarrollan utilizando el servicio Google Bound.

El impacto de la campaña descubierta se está expandiendo de las empresas europeas a las instituciones financieras belgas y canadienses.

Xenomorph, como cualquier troyano bancario, abusa del Servicio de Accesibilidad de Android para llevar a cabo ataques de superposición. El troyano también puede completar automáticamente transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistemas de Transferencia Automatizados (ATS).

BingX exchange confiable de Criptomonedas

A medida que los bancos pasan de los SMS para la autenticación de dos factores (2FA) a las aplicaciones de autenticación, el troyano Xenomorph incluye un módulo ATS que le permite ejecutarse para extraer códigos de autenticación de las aplicaciones de autenticación.

Xenomorph v3 también tiene una función de robo de cookies que permite que un hacker se apodere de una cuenta. Las cookies de sesión permiten al usuario mantener una sesión de navegador abierta sin tener que volver a introducir sus credenciales. Al robar la cookie de sesión, el atacante obtiene acceso a la sesión de la víctima que ha iniciado sesión.

Con nuevas funciones, Xenomorph ahora puede automatizar por completo toda la cadena de ataque, desde la infección hasta el robo de fondos, lo que lo convierte en uno de los troyanos de malware más avanzados y peligrosos para Android.

En Resumen, Xenomorph v3 es capaz de realizar toda la cadena de fraude, desde la infección, con la ayuda de Zombinder, hasta la transferencia automatizada mediante ATS, pasando por la exfiltración de PII mediante ataques Keylogging y Overlay. Además, el Threat Actor detrás de esta familia de malware ha comenzado a publicitar activamente su producto, lo que indica una clara intención de expandir el alcance de este malware. ThreatFabric espera que Xenomorph aumente en volumen, con la probabilidad de que se distribuya nuevamente a través de cuentagotas en Google Play Store.

Se sugiere tener extrema precaución con las aplicaciónes que se vayan a descargar, se sugiere utilizar un dispositivo extra o solo para la banca en linea o transferencias de criptomonedas.

Fuente (s):

La pandilla de ransomware Black Cat, también conocida como ALPHV, ha confirmado que son ex miembros de la notoria operación de ransomware BlackMatter/DarkSide.

BlackCat/ALPHV es una nueva operación de ransomware rica en funciones lanzada en noviembre de 2021 y desarrollada en el lenguaje de programación Rust, lo cual es inusual para las infecciones de ransomware.

El ejecutable del ransomware es altamente personalizable, con diferentes métodos y opciones de encriptación que permiten ataques en una amplia gama de entornos corporativos.

Mientras que la pandilla de ransomware se hace llamar ALPHV, el investigador de seguridad MalwareHunterTeam nombró al ransomware BlackCat por la imagen de un gato negro que se usa en la página de pago Tor de cada víctima.

Desde entonces, la operación de ransomware se conoce como BlackCat cuando se comenta en los medios o por investigadores de seguridad.

Una breve historia sobre los cambios de marca de ransomware
Muchas operaciones de ransomware se ejecutan como Ransomware-as-a-Service (RaaS), donde los miembros principales están a cargo de desarrollar la infección de ransomware y administrar los servidores, mientras que los afiliados (también conocidos como “anuncios”) son reclutados para violar las redes corporativas y realizar ataques. .

Como parte de este acuerdo, los desarrolladores principales ganan entre el 10 y el 30 % del pago del rescate, mientras que el afiliado gana el resto. Los porcentajes cambian según la cantidad de ingresos por rescate que un afiliado en particular aporta a la operación.

Si bien ha habido muchas operaciones de RaaS en el pasado, ha habido algunas pandillas de primer nivel que comúnmente se cierran cuando las fuerzas del orden público les están pisando el cuello y luego cambian de marca con nuevos nombres.

Estas operaciones de Ransomware-as-a-Service de primer nivel y sus cambios de marca son:

GandCrab to REvil: la operación de ransomware GandCrab se lanzó en enero de 2018 y se cerró en junio de 2019 después de afirmar haber ganado $ 2 mil millones en pagos de rescate. Se relanzaron como REvil en septiembre de 2019, que finalmente cerraron en octubre de 2021 después de que las fuerzas del orden secuestraran su infraestructura.
Maze to Egregor: el ransomware Maze comenzó a operar en mayo de 2019 y anunció formalmente su cierre en octubre de 2020. Sin embargo, se cree que los afiliados, y probablemente los operadores, cambiaron su nombre en septiembre a Egregor, que luego desapareció después de que los miembros fueran arrestados en Ucrania.


DarkSide a BlackMatter: la operación de ransomware DarkSide se lanzó en agosto de 2022 y se cerró en mayo de 2021 debido a las operaciones policiales impulsadas por el ataque ampliamente publicitado de la pandilla en Colonial Pipeline. Regresaron como BlackMatter el 31 de julio, pero pronto cerraron en noviembre de 2021 después de que Emsisoft explotara una debilidad para crear un descifrador y se incautaran los servidores.
Algunos creen que Conti fue un cambio de marca de Ryuk, pero las fuentes le dicen a BleepingComputer que ambas son operaciones discretas dirigidas por TrickBot Group y que no están afiliadas entre sí.

Si bien algunos afiliados tienden a asociarse con una sola operación de RaaS, es común que los afiliados y los evaluadores de penetración se asocien con varias pandillas a la vez.

Por ejemplo, un afiliado de ransomware le dijo a BleepingComputer que trabajaba con las operaciones de ransomware Ragnar Locker, Maze y REvil simultáneamente.

BlackCat resurge de las cenizas de BlackMatter
Desde que se lanzó el ransomware BlackCat en noviembre, el representante de la pandilla de ransomware LockBit ha declarado que ALPHV/BlackCat es un cambio de marca de DarkSide/BlackMatter.

Representante de LockBit afirmando que ALPH es un cambio de marca de DarkSide

The Record publicó una entrevista con la pandilla ALPHV/BlackCat, quienes confirmaron las sospechas de que estaban afiliados a la pandilla DarkSide/BlackMatter.

“Como anuncios de materia oscura [DarkSide / BlackMatter], sufrimos la intercepción de las víctimas para su posterior descifrado por parte de Emsisoft”, dijo ALPHV a The Record, refiriéndose al lanzamiento del descifrador de Emsisoft.

Si bien los operadores de ransomware BlackCat afirman que solo fueron afiliados de DarkSide/BlackMatter que lanzaron su propia operación de ransomware, algunos investigadores de seguridad no lo creen.

El analista de amenazas de Emsisoft, Brett Callow, cree que BlackMatter reemplazó a su equipo de desarrollo después de que Emsisoft explotara una debilidad que permitía a las víctimas recuperar sus archivos de forma gratuita y perdía a la banda de ransomware millones de dólares en rescates.

“Aunque Alphv afirma ser antiguos afiliados de DS/BM, es más probable que sean DS/BM pero intenten distanciarse de esa marca debido al golpe reputacional que recibió después de cometer un error que costó a los afiliados varios millones de dólares, Callow tuiteó ayer.

En el pasado, era posible probar que diferentes operaciones de ransomware estaban relacionadas buscando similitudes de código en el código del cifrador.

Como el encriptador BlackCat se creó desde cero en el lenguaje de programación Rust, Fabian Wosar de Emsisoft le dijo a BleepingComputer que estas similitudes de codificación ya no existen.

Sin embargo, Wosar dijo que hay similitudes en las características y los archivos de configuración, lo que respalda que es el mismo grupo detrás de las operaciones de ransomware BlackCat y DarkSide/BlackMatter.

Independientemente de si son afiliados anteriores que decidieron lanzar su propia operación de ransomware o un cambio de marca de DarkSide/BlackMatter, han demostrado ser capaces de llevar a cabo grandes ataques corporativos y están acumulando víctimas rápidamente.

BlackCat va a ser una operación de ransomware que todas las fuerzas del orden, los defensores de la red y los profesionales de la seguridad deben vigilar de cerca.

Gang repite sus errores
Irónicamente, lo que condujo a la caída de las operaciones de DarkSide/BlackMatter puede ser, en última instancia, lo que cause una rápida desaparición de BlackCat/ALPHV.

Después de que DarkSide atacara el Oleoducto Colonial, el oleoducto de combustible más grande de los Estados Unidos, comenzó a sentir toda la presión de las fuerzas del orden internacionales y del gobierno de los Estados Unidos.

Esta presión continuó después de que cambiaron su nombre a BlackMatter, y las fuerzas del orden confiscaron sus servidores y provocaron que se apagaran nuevamente.

Lo que puede haber llevado al ransomware BlackCat al centro de atención es, irónicamente, otro ataque a los proveedores de petróleo y las empresas de distribución, lo que lleva a problemas en la cadena de suministro.

Search and buy domains from Namecheap. Lowest prices!

Esta semana, BlackCat atacó a Oiltanking, un distribuidor alemán de gasolina, ya Mabanaft GmbH, un proveedor de petróleo.

Estos ataques volvieron a afectar la cadena de suministro de combustible y provocaron escasez de gas.

Sin embargo, los operadores de BlackCat le dijeron a The Record que no podían controlar a quién atacan sus afiliados y prohibir a aquellos que no cumplen con las políticas de la pandilla. Estas políticas establecen que los afiliados no deben apuntar a agencias gubernamentales, entidades de salud o educativas.

Sin embargo, parece que la pandilla Darkside no aprendió de sus errores anteriores y una vez más atacó la infraestructura crítica, lo que probablemente los colocará firmemente en la mira de las fuerzas del orden.

Fuente (s) :

En 2021, la cantidad de infecciones de malware dirigidas a dispositivos que ejecutan Linux aumentó en un 35 %. En la mayoría de los casos, los ciberdelincuentes piratearon dispositivos IoT para llevar a cabo ataques DDoS.

Según Crowdstrike, XorDDoS, Mirai y Mozi fueron las familias de malware más comunes. Representaron el 22% de todos los ataques de malware dirigidos a sistemas que ejecutan Linux en 2021.

Mozi, en particular, ha mostrado un crecimiento explosivo en su actividad. Durante el año pasado, se identificaron diez veces más muestras que en 2020.

La actividad del malware XorDDoS también aumentó notablemente en comparación con el año pasado, en un 123 %. XorDDoS es un troyano genérico de Linux que funciona en varias arquitecturas de sistemas Linux. Utiliza encriptación XOR para comunicarse con el C&C. Al atacar dispositivos IoT, XorDDoS enumera los dispositivos vulnerables a través del protocolo de red SSH. En máquinas Linux, el malware usa el puerto 2375 para obtener acceso de root al sistema sin contraseña.

Mozi es una red de bots P2P que utiliza un sistema de búsqueda de tablas hash distribuidas (DHT) para ocultar los mensajes C&C sospechosos de las soluciones de seguridad para monitorear el tráfico de la red. Los operadores de botnets explotan constantemente nuevas vulnerabilidades, ampliando el alcance de su aplicación.

Mirai es un malware muy conocido que ha generado muchas variantes nuevas debido a su código fuente disponible públicamente. Las diferentes variantes del malware implementan diferentes protocolos para comunicarse con el servidor de comando y control, pero todos usan credenciales que no son de confianza para los ataques de fuerza bruta. En 2021, los expertos identificaron varias variantes notables de Mirai, como Dark Mirai, que apunta a enrutadores domésticos, y Moobot, que se usa para atacar cámaras de seguridad.

“Algunas de las opciones más comunes incluyen Sora, IZIH9 y Rekai. En comparación con 2020, la cantidad de muestras identificadas para las tres variantes aumentó en un 33 %, 39 % y 83 % respectivamente en 2021”, dijeron los investigadores en el informe.


Fuente (s) :


Escucha la noticia dando click en el audio 🙂

Estados Unidos había ofrecido una recompensa de hasta $ 10 millones (£ 7,3 millones) por información que conduzca a los pandilleros, luego de ataques de ransomware.

La oficina de inteligencia de Rusia FSB dijo que el grupo había “dejado de existir”.

Sin embargo, no parece que ningún miembro ruso de la pandilla sea extraditado a Estados Unidos.

La agencia dijo que había actuado después de que Estados Unidos le proporcionara información sobre la pandilla REvil.

Las autoridades en Rusia dicen que han desmantelado el grupo criminal de ransomware REvil y acusado a varios de sus miembros.

Según el servicio de noticias estatal ruso Tass, REvil “desarrolló software malicioso” y “organizó el robo de dinero de las cuentas bancarias de ciudadanos extranjeros”.

El FSB dijo que había incautado más de 426 millones de rublos (4 millones de libras esterlinas), incluidas alrededor de 440 000 libras esterlinas en criptomonedas.

También incautó más de 20 “automóviles premium” que habían sido comprados con el producto del delito.

“La asociación criminal organizada ha dejado de existir y la infraestructura de información utilizada con fines delictivos fue neutralizada”, dijo el FSB en un comunicado.

El anuncio de Rusia se produce durante un enfrentamiento entre Estados Unidos y Rusia.

Moscú exige garantías occidentales, incluida la de que la OTAN no se expandirá más. También ha acumulado sus tropas cerca de la frontera con Ucrania.

Estos arrestos son un momento monumental en el cibercrimen y las ciberrelaciones entre EE. UU. y Rusia.

Durante años, Rusia ha ignorado y negado las acusaciones de que a los piratas informáticos de ransomware rusos se les permite un puerto seguro en el país para atacar objetivos occidentales.

En su Cumbre de Ginebra del verano pasado, el presidente de Rusia, Putin, y el presidente de los Estados Unidos, Biden, acordaron abrir debates sobre cómo combatir el flagelo del ransomware, pero incluso los expertos más optimistas se dieron por vencidos al ver que las conversaciones fructificaban.

Que las autoridades rusas arresten a la pandilla REvil en suelo ruso es un gran resultado que pocos hubieran previsto.

Aunque en gran parte se disolvió desde septiembre del año pasado, REvil fue una de las pandillas de ransomware más prolíficas, y este arresto envía un gran mensaje a los equipos rusos de ciberdelincuencia: la fiesta ha terminado.

La operación también es la primera vez en años que EE. UU. y Rusia colaboran en una operación de ciberdelincuencia.

Puede apuntar a un deshielo de las relaciones, que ya se celebra ampliamente en el mundo de la seguridad cibernética.

Fuente (s) :

Como funciona Ransomware ?

Créditos Música :

Beach by KV | https://www.youtube.com/c/KVmusicprod
Music promoted by https://www.free-stock-music.com
Attribution 4.0 International (CC BY 4.0)
https://creativecommons.org/licenses/by/4.0/


Escucha la noticia dando click en el audio 🙂

El FBI ahora cree que los hackers rusos del grupo FIN7, que están detrás de las operaciones de ransomware Darkside y BlackMatter, son responsables de la operación.

Según la agencia estadounidense, los paquetes del grupo se enviaban a través del Servicio Postal de los Estados Unidos o United Parcel Service y aparecían como empresas oficiales.

Agregaron que los hackers (piratas informáticos) generalmente fingían ser del Departamento de Salud y Servicios Humanos de EE. UU. O de Amazon como un medio para engañar a sus objetivos de ransomware.

Desde entonces, el FBI ha emitido una advertencia a las empresas de que estos paquetes fueron certificados como falsos y peligrosos.

Su declaración decía: “Desde agosto de 2021, el FBI ha recibido informes de varios paquetes que contienen estos dispositivos USB, enviados a empresas estadounidenses en las industrias de transporte, seguros y defensa”.

“Los paquetes se enviaron a través del Servicio Postal de los Estados Unidos y el Servicio United Parcel.

“Hay dos variaciones de paquetes: los que imitan al HHS suelen ir acompañados de cartas que hacen referencia a las pautas de COVID-19 adjuntas a un USB; y los que imitaban a Amazon llegaron en una caja de regalo decorativa que contenía una carta de agradecimiento fraudulenta, una tarjeta de regalo falsificada y un USB “.

El FBI también confirmó que todos los paquetes contenían USB de la marca LilyGO que, si se conectaban al dispositivo, podrían ejecutar un ataque “BadUSB” e infectarlo con el software malicioso peligroso.

The Record agregó que, en la mayoría de los casos investigados por la agencia estadounidense, el grupo obtendría acceso administrativo y luego “se movería lateralmente a otros sistemas locales”.


La última advertencia se produce después de que un malware ruso similar se infiltrara en una gran cantidad de empresas en los EE. UU. En julio pasado.

La violación, que es el ataque de ransomware más grande registrado, supuestamente afectó los sistemas de TI de hasta un millón de empresas en todo el mundo durante un período de 24 horas, al apuntar a los sistemas de la empresa de software con sede en EE. UU. Kaseya.

Dos días después, los piratas informáticos rusos REvil exigieron un pago de $ 70 millones en Bitcoin por una clave de descifrado.




Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!

 En unas declaraciones realizadas a la Comisión de Bolsa y Valores norteamericana, la empresa de registro y alojamiento web GoDaddy ha revelado que ha descubierto que ha sido hackeada. La empresa dice que descubrió que un «tercero no autorizado» había accedido a su entorno de alojamiento de WordPress gestionado.

GoDaddy, una de las plataformas de hosting y registro de dominios más importantes del mundo, ha sido víctima de un incidente de seguridad
El problema ha salido a la luz este lunes en una presentación de GoDaddy ante la Comisión de Bolsa y Valores de Estados Unidos. La compañía dijo que una persona no autorizada utilizó una contraseña comprometida para acceder a su entorno de alojamiento de WordPress el 6 de septiembre de este año.
Sin embargo, GoDaddy descubrió el incidente de seguridad el pasado 17 de noviembre tras detectar actividad sospechosa e iniciar una investigación que aún está en curso. Una vez identificadas las contraseñas de acceso comprometidas, fueron renovadas, pero los datos habrían sido filtrados.
La presentación habla de la filtración de direcciones de correo electrónico y números de cliente de 1,2 millones de usuarios de GoDaddy que usan el sistema WordPress administrado. Esto puede presentar un mayor riesgo de ataques de phishing para las víctimas de la violación de datos.

  •  La filtración de datos de GoDaddy dada a conocer este lunes afecta a 1,2 millones de clientes que utilizan WordPress administrado.   

Hasta 1,2 millones de usuarios han visto expuestos su dirección de correo electrónico y su número de cliente, así como las contraseñas de administrador de los dos sitios de WordPress alojados en la plataforma, además de las contraseñas de los sFTP, las bases de datos y las claves privadas SSL.

El documento dice que GoDaddy cree que la brecha se produjo por primera vez el 6 de septiembre de 2021, y la investigación está actualmente en curso. 

  • Up to 1.2 million active and inactive Managed WordPress customers had their email address and customer number exposed. The exposure of email addresses presents risk of phishing attacks.
  • The original WordPress Admin password that was set at the time of provisioning was exposed. If those credentials were still in use, we reset those passwords.
  • For active customers, sFTP and database usernames and passwords were exposed. We reset both passwords.
  • For a subset of active customers, the SSL private key was exposed. We are in the process of issuing and installing new certificates for those customers.

Demetrius Comes, Director de Seguridad de la Información, reconoce que GoDaddy está trabajando actualmente con las fuerzas de seguridad y con una empresa forense privada. Además, dice que ha restablecido las credenciales pertinentes y trabajará con los usuarios para emitir nuevos certificados SSL. Comes finaliza su declaración diciendo que la empresa, quizás demasiado tarde, «aprenderá de este incidente» y tomará medidas para evitar que se produzca una brecha de este tipo en el futuro.

Search and buy domains from Namecheap. Lowest prices!

Esta no es ni mucho menos la primera vez que se habla de GoDaddy en la misma frase que de una brecha de seguridad en los últimos años. En 2018, un error de AWS expuso los datos de los servidores de GoDaddy, y en 2020, 28.000 cuentas de usuarios fueron vulneradas por un individuo no autorizado. Más tarde, el año pasado, GoDaddy también fue mencionado como parte de un hack que derribó una serie de sitios en el espacio de la criptomoneda.

Fuentes:

Según comunicaron desde la agencia de investigación estadounidense, el hardware afectado fue apagado en cuanto se descubrió lo que estaba ocurriendo.

 Hackean sistema de correos del FBI para enviar advertencias falsas sobre ciberataques

  • Los servidores de correos electrónicos del FBI fueron hackeados para distribuir spam. Las advertencias fraudulentas avisaban al recipiente de una supuesta brecha de datos en su red.

 El FBI confirmó que los correos electrónicos enviados este sábado desde su servidor que alertaban de un posible ataque cibernético son falsos.

Horas antes, la organización Spamhause Project, que rastrea actividades de ‘spam’ y ‘malware’, advirtió en su cuenta de Twitter que piratas informáticos habían hackeado el sistema de correos electrónicos del FBI para enviar a través de este múltiples ‘emails’ con alertas.

“Hemos sido notificados de correos electrónicos ‘alarmantes’ enviados en las últimas horas que pretenden parecer haber llegado desde el FBI o el DHS [Departamento de Seguridad Nacional de EE.UU.]”, escribió Spamhause Project, señalando que los mensajes se estaban enviando realmente desde los sistemas de ambos organismos, pero se trataba de notificaciones “falsas”.

Según la organización, las alertas se enviaron a los contactos indicados en la base de datos del Registro Norteamericano de Números de Internet (ARIN, por sus siglas en inglés). “Causan perturbación porque los encabezamientos son reales, de verdad llegan desde la infraestructura del FBI”, agregaron.

En un tuit separado, Spamhause indicó que es posible que el alcance del ataque no se limitara al ARIN. La organización publicó asimismo un gráfico que muestra los drásticos aumentos de tráfico provocados por las alertas falsas.

Por su parte, el FBI confirmó que estaba al tanto del envío de correos falsos desde su dirección @ic.fbi.gov.

“Es una situación en curso y de momento no podemos proporcionar ninguna información. El ‘hardware’ afectado fue apagado en cuanto se descubrió el asunto”, señaló en un comunicado la agencia de investigación estadounidense.

La Oficina Federal de Investigaciones (FBI) confirmóque su nombre de dominio fbi.gov y su dirección de Internet se utilizaron para enviar miles de correos electrónicos falsos sobre una investigación de delito cibernético. Según una entrevista con la persona que se atribuyó la responsabilidad del engaño, los mensajes de spam se enviaron abusando de un código inseguro en un portal en línea del FBI diseñado para compartir información con las autoridades policiales estatales y locales.


A última hora de la noche del 12 de noviembre ET, decenas de miles de correos electrónicos comenzaron a fluir desde la dirección del FBI eims@ic.fbi.gov, advirtiendo sobre ciberataques falsos.

Según el Departamento de Justicia, “CJIS administra y opera varios sistemas nacionales de información sobre delitos utilizados por la comunidad de seguridad pública con fines tanto penales como civiles. Los sistemas CJIS están disponibles para la comunidad de justicia penal, incluidas las fuerzas del orden, las cárceles, los fiscales, los tribunales, así como los servicios de libertad condicional y antes del juicio “.




“El FBI y CISA [la Agencia de Seguridad de Infraestructura y Ciberseguridad] están al tanto del incidente de esta mañana que involucra correos electrónicos falsos de una cuenta de correo electrónico @ ic.fbi.gov”, se lee en el comunicado del FBI. “Esta es una situación en curso y no podemos proporcionar ninguna información adicional en este momento. El hardware afectado se desconectó rápidamente al descubrir el problema. Continuamos alentando al público a ser cauteloso con los remitentes desconocidos y lo instamos a informar cualquier actividad sospechosa en www.ic3.gov o www.cisa.gov ”.


“Podría haber usado esto al 1000% para enviar correos electrónicos de apariencia más legítima, engañar a las empresas para que entreguen datos, etc.”, dijo Pompompurin. “Y esto nunca lo habría encontrado nadie que lo divulgara responsablemente, debido al aviso que los federales tienen en su sitio web”.

Pompompurin dice que el acceso ilícito al sistema de correo electrónico del FBI comenzó con una exploración de su Portal Empresarial de Aplicación de la Ley (LEEP), que la oficina describe como “una puerta de entrada que proporciona a las agencias de aplicación de la ley, grupos de inteligencia y entidades de justicia penal acceso a recursos beneficiosos”.

Portal empresarial de aplicación de la ley del FBI (LEEP).

“¡Estos recursos fortalecerán el desarrollo de casos para los investigadores, mejorarán el intercambio de información entre agencias y serán accesibles en una ubicación centralizada!”, Dice entusiasmado el sitio del FBI.

Hasta en algún momento de esta mañana, el portal LEEP permitía a cualquier persona solicitar una cuenta. De manera útil, las instrucciones paso a paso para registrar una nueva cuenta en el portal LEEP también están disponibles en el sitio web del DOJ. [Cabe señalar que el “Paso 1” de esas instrucciones es visitar el sitio en Internet Explorer de Microsoft, un navegador web obsoleto que incluso Microsoft ya no anima a las personas a usar por razones de seguridad.]

Gran parte de ese proceso implica completar formularios con la información personal y de contacto del solicitante y la de su organización. Un paso crítico en ese proceso dice que los solicitantes recibirán una confirmación por correo electrónico de eims@ic.fbi.gov con un código de acceso único, aparentemente para validar que el solicitante puede recibir correo electrónico en el dominio en cuestión.

Pero según Pompompurin, el propio sitio web del FBI filtró ese código de acceso único en el código HTML de la página web.

Pompompurin dijo que pudieron enviarse un correo electrónico desde eims@ic.fbi.gov editando la solicitud enviada a su navegador y cambiando el texto en los campos “Asunto” y “Contenido de texto” del mensaje.

“Básicamente, cuando solicitó el código de confirmación, se generó en el lado del cliente y luego se le envió a través de una solicitud POST”, dijo Pompompurin. “Esta solicitud de publicación incluye los parámetros para el asunto del correo electrónico y el contenido del cuerpo”.

Pompompurin dijo que un script simple reemplazó esos parámetros con su propio asunto y cuerpo del mensaje, y automatizó el envío del mensaje falso a miles de direcciones de correo electrónico.


Fuente (s) :

Un mes después del ataque informático del ransomware Pysa a la Universidad Autónoma de Barcelona, y del reciente ataque ransomware Hive a la multinacional MediaMarkt.  de ​​este jueves hay una nueva víctima: la cervecera Damm víctima del ransomware Conti. El fabricante de cerveza tiene todos los centros de trabajo parados y los pedidos se están sirviendo gracias al stock, pero ya avisan de que si los problemas se alargan la principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días.

Un ataque informático obliga a detener la producción de cerveza Damm

  • El fabricante de cerveza tiene todos los centros de trabajo parados
  • La principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días
  • El Prat, donde trabajan alrededor de 400 personas 

Los atacantes pidieron un rescate para dejar que la compañía vuelva a la normalidad. Aparte de la fábrica de El Prat, Damm también produce cerveza, en menor cantidad, en las otras dos plantas que tiene en España, en Murcia y en Alicante.

Un ataque informático ha obligado a detener la producción de cerveza Damm en la fábrica que tiene en El Prat de Llobregat, la más importante de la compañía. Fuentes cercanas a la empresa han explicado que si la situación se alarga la planta puede quedarse sin stock en cuestión de días. Para librarse del ataque la compañía debe pagar un rescate por importe que este diario no ha podido confirmar.

Las mismas fuentes explican que si el ataque se hubiera producido en los meses de verano las consecuencias aún hubieran sido más catastróficas, ya que debido al aumento del consumo de cerveza el stock suele durar escasamente tres días.

Search and buy domains from Namecheap. Lowest prices!

Portavoces de Damm se han limitado a decir este diario que desde el miércoles por la mañana tienen una “incidencia informática en el sistema operativo” pero sin especificar las causas. “Se están investigando”, aseguraron añadiendo que no descartan ninguna hipótesis. Los propios portavoces explicaron que desde el primer momento se ha activado el protocolo establecido ante “este tipo de incidencia” y que se está trabajando para “restablecer” toda la producción. También insistieron en que de momento se está haciendo con “normalidad” la distribución a los canales alimentación y de horeca (hoteles, restaurantes y cafeterías) y que desconocen cuándo se volverá a la normalidad.

Aparte de la fábrica de El Prat, que es la más importante tanto en dimensiones como en producción, Damm también produce cerveza, pero en menor cantidad, en las otras dos plantas que tiene en España: una ubicada en Murcia y otra en Alicante .

Los técnicos de la empresa están trabajando para restablecer todo el sistema y analizar el grado de afectación de este problema informático. El objetivo es reanudar la operativa diaria “lo antes posible”, según fuentes de la compañía. La compañía tendría asegurado el stock de sus productos durante los siguientes días, pero si la incidencia se prolongara podría haber dificultades en la distribución a partir de la semana que viene.

Ciberataques de ransomware

El goteo de ataques informáticos a empresas e instituciones es cada vez más constante. Dos de los últimos que se han producido han afectado a la Universidad Autónoma de Barcelona (UAB) o a la multinacional germánica MediaMarkt. En el caso de la UAB los autores inutilizó hace un mes los servicios informáticos creando un caos en el campus, afectando a más de 650.000 archivos y pidiendo un rescate de 3 millones de euros. De hecho esta misma semana han amenazado con hacer pública la información conseguida de empresas y entidades gracias al ciberataque. En cuanto a MediaMarkt afectó de forma directa a sus tiendas de Alemania, Bélgica y Países Bajos y, en menor medida, a las de otros países como algunas de España. Concretamente el ataque afectó a 3.100 servidores y provocó que las cajas registradoras funcionaran mal. 

Fuente (s) :

Cuidado, si tu móvil deja de tener cobertura, ten miedo: un nuevo fraude telefónico conocido como ‘SIM swapping’ está siendo utilizado para que hackers duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentique en nuestro banco y nos robe todo el dinero.

Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta en el servicio con ese mismo sistema, lo que una vez más deja en evidencia la debilidad de mecanismos como el de los mensajes SMS para los sistemas de autenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, y no los SMS que cada vez son más vulnerables en este ámbito.

Cuidado, esta historia de terror te podría ocurrir a ti

En El País contaban recientemente un caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó que alguien se había hecho pasar por él para solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.

Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esa tendencia al alza de los casos de SIM swapping.

Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.

Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta tras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.

Hay aquí dos problemas claros: en primer lugar, que pedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

El SIM swapping permite suplantar la identidad de cualquiera, incluido el CEO de Twitter

Esta técnica permite burlar las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino también en otros muchos escenarios.

Se demostró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó que de repente en su cuenta de Twitter (@jackaparecieran mensajes ofensivos y racistas que fueron posteriormente eliminados.

El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacante usara la función de publicar en Twitter mediante mensajes SMS que fue una de las características originales del servicio.

Los mensajes ofensivos provocaron una reacción inmediata en Dorsey, que anunció que Twitter deshabilitaba el envío de mensajes a la plataforma a través de SMS.

La solución está en nuestras manos (pero también en la de las operadoras y los bancos)

Como decíamos anteriormente, el problema de este ciberataque —que no es el único que afecta a las tarjetas SIM— es que tiene dos caras muy separadas, ambas con su propia solución interdependiente: si no se solucionan los dos, el problema seguirá presente.

El primero está en quienes manejan esa información, las operadoras, que deberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM. Las verificaciones de identidad aquí deben ser exhaustivas para evitar los problemas que se han producido con estos casos.

También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha visto es muy vulnerable desde hace ya tiempo, como apuntaba el experto en seguridad Bruce Schneier. Es por esta razón por la que todas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.

Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Microsoft Authenticator, Google Authenticator o Authy están entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.

Search and buy domains from Namecheap. Lowest prices!

Aún más interesantes son las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android podía convertirse también en una llave de seguridad.

Fuente (s) :