Lo + Nuevo
Tag

cybersecurity news

Visitando

La pandilla de ransomware Black Cat, también conocida como ALPHV, ha confirmado que son ex miembros de la notoria operación de ransomware BlackMatter/DarkSide.

BlackCat/ALPHV es una nueva operación de ransomware rica en funciones lanzada en noviembre de 2021 y desarrollada en el lenguaje de programación Rust, lo cual es inusual para las infecciones de ransomware.

El ejecutable del ransomware es altamente personalizable, con diferentes métodos y opciones de encriptación que permiten ataques en una amplia gama de entornos corporativos.

Mientras que la pandilla de ransomware se hace llamar ALPHV, el investigador de seguridad MalwareHunterTeam nombró al ransomware BlackCat por la imagen de un gato negro que se usa en la página de pago Tor de cada víctima.

Desde entonces, la operación de ransomware se conoce como BlackCat cuando se comenta en los medios o por investigadores de seguridad.

Una breve historia sobre los cambios de marca de ransomware
Muchas operaciones de ransomware se ejecutan como Ransomware-as-a-Service (RaaS), donde los miembros principales están a cargo de desarrollar la infección de ransomware y administrar los servidores, mientras que los afiliados (también conocidos como “anuncios”) son reclutados para violar las redes corporativas y realizar ataques. .

Como parte de este acuerdo, los desarrolladores principales ganan entre el 10 y el 30 % del pago del rescate, mientras que el afiliado gana el resto. Los porcentajes cambian según la cantidad de ingresos por rescate que un afiliado en particular aporta a la operación.

Si bien ha habido muchas operaciones de RaaS en el pasado, ha habido algunas pandillas de primer nivel que comúnmente se cierran cuando las fuerzas del orden público les están pisando el cuello y luego cambian de marca con nuevos nombres.

Estas operaciones de Ransomware-as-a-Service de primer nivel y sus cambios de marca son:

GandCrab to REvil: la operación de ransomware GandCrab se lanzó en enero de 2018 y se cerró en junio de 2019 después de afirmar haber ganado $ 2 mil millones en pagos de rescate. Se relanzaron como REvil en septiembre de 2019, que finalmente cerraron en octubre de 2021 después de que las fuerzas del orden secuestraran su infraestructura.
Maze to Egregor: el ransomware Maze comenzó a operar en mayo de 2019 y anunció formalmente su cierre en octubre de 2020. Sin embargo, se cree que los afiliados, y probablemente los operadores, cambiaron su nombre en septiembre a Egregor, que luego desapareció después de que los miembros fueran arrestados en Ucrania.


DarkSide a BlackMatter: la operación de ransomware DarkSide se lanzó en agosto de 2022 y se cerró en mayo de 2021 debido a las operaciones policiales impulsadas por el ataque ampliamente publicitado de la pandilla en Colonial Pipeline. Regresaron como BlackMatter el 31 de julio, pero pronto cerraron en noviembre de 2021 después de que Emsisoft explotara una debilidad para crear un descifrador y se incautaran los servidores.
Algunos creen que Conti fue un cambio de marca de Ryuk, pero las fuentes le dicen a BleepingComputer que ambas son operaciones discretas dirigidas por TrickBot Group y que no están afiliadas entre sí.

Si bien algunos afiliados tienden a asociarse con una sola operación de RaaS, es común que los afiliados y los evaluadores de penetración se asocien con varias pandillas a la vez.

Por ejemplo, un afiliado de ransomware le dijo a BleepingComputer que trabajaba con las operaciones de ransomware Ragnar Locker, Maze y REvil simultáneamente.

BlackCat resurge de las cenizas de BlackMatter
Desde que se lanzó el ransomware BlackCat en noviembre, el representante de la pandilla de ransomware LockBit ha declarado que ALPHV/BlackCat es un cambio de marca de DarkSide/BlackMatter.

Representante de LockBit afirmando que ALPH es un cambio de marca de DarkSide

The Record publicó una entrevista con la pandilla ALPHV/BlackCat, quienes confirmaron las sospechas de que estaban afiliados a la pandilla DarkSide/BlackMatter.

“Como anuncios de materia oscura [DarkSide / BlackMatter], sufrimos la intercepción de las víctimas para su posterior descifrado por parte de Emsisoft”, dijo ALPHV a The Record, refiriéndose al lanzamiento del descifrador de Emsisoft.

Si bien los operadores de ransomware BlackCat afirman que solo fueron afiliados de DarkSide/BlackMatter que lanzaron su propia operación de ransomware, algunos investigadores de seguridad no lo creen.

El analista de amenazas de Emsisoft, Brett Callow, cree que BlackMatter reemplazó a su equipo de desarrollo después de que Emsisoft explotara una debilidad que permitía a las víctimas recuperar sus archivos de forma gratuita y perdía a la banda de ransomware millones de dólares en rescates.

“Aunque Alphv afirma ser antiguos afiliados de DS/BM, es más probable que sean DS/BM pero intenten distanciarse de esa marca debido al golpe reputacional que recibió después de cometer un error que costó a los afiliados varios millones de dólares, Callow tuiteó ayer.

En el pasado, era posible probar que diferentes operaciones de ransomware estaban relacionadas buscando similitudes de código en el código del cifrador.

Como el encriptador BlackCat se creó desde cero en el lenguaje de programación Rust, Fabian Wosar de Emsisoft le dijo a BleepingComputer que estas similitudes de codificación ya no existen.

Sin embargo, Wosar dijo que hay similitudes en las características y los archivos de configuración, lo que respalda que es el mismo grupo detrás de las operaciones de ransomware BlackCat y DarkSide/BlackMatter.

Independientemente de si son afiliados anteriores que decidieron lanzar su propia operación de ransomware o un cambio de marca de DarkSide/BlackMatter, han demostrado ser capaces de llevar a cabo grandes ataques corporativos y están acumulando víctimas rápidamente.

BlackCat va a ser una operación de ransomware que todas las fuerzas del orden, los defensores de la red y los profesionales de la seguridad deben vigilar de cerca.

Gang repite sus errores
Irónicamente, lo que condujo a la caída de las operaciones de DarkSide/BlackMatter puede ser, en última instancia, lo que cause una rápida desaparición de BlackCat/ALPHV.

Después de que DarkSide atacara el Oleoducto Colonial, el oleoducto de combustible más grande de los Estados Unidos, comenzó a sentir toda la presión de las fuerzas del orden internacionales y del gobierno de los Estados Unidos.

Esta presión continuó después de que cambiaron su nombre a BlackMatter, y las fuerzas del orden confiscaron sus servidores y provocaron que se apagaran nuevamente.

Lo que puede haber llevado al ransomware BlackCat al centro de atención es, irónicamente, otro ataque a los proveedores de petróleo y las empresas de distribución, lo que lleva a problemas en la cadena de suministro.

Search and buy domains from Namecheap. Lowest prices!

Esta semana, BlackCat atacó a Oiltanking, un distribuidor alemán de gasolina, ya Mabanaft GmbH, un proveedor de petróleo.

Estos ataques volvieron a afectar la cadena de suministro de combustible y provocaron escasez de gas.

Sin embargo, los operadores de BlackCat le dijeron a The Record que no podían controlar a quién atacan sus afiliados y prohibir a aquellos que no cumplen con las políticas de la pandilla. Estas políticas establecen que los afiliados no deben apuntar a agencias gubernamentales, entidades de salud o educativas.

Sin embargo, parece que la pandilla Darkside no aprendió de sus errores anteriores y una vez más atacó la infraestructura crítica, lo que probablemente los colocará firmemente en la mira de las fuerzas del orden.

Fuente (s) :

En 2021, la cantidad de infecciones de malware dirigidas a dispositivos que ejecutan Linux aumentó en un 35 %. En la mayoría de los casos, los ciberdelincuentes piratearon dispositivos IoT para llevar a cabo ataques DDoS.

Según Crowdstrike, XorDDoS, Mirai y Mozi fueron las familias de malware más comunes. Representaron el 22% de todos los ataques de malware dirigidos a sistemas que ejecutan Linux en 2021.

Mozi, en particular, ha mostrado un crecimiento explosivo en su actividad. Durante el año pasado, se identificaron diez veces más muestras que en 2020.

La actividad del malware XorDDoS también aumentó notablemente en comparación con el año pasado, en un 123 %. XorDDoS es un troyano genérico de Linux que funciona en varias arquitecturas de sistemas Linux. Utiliza encriptación XOR para comunicarse con el C&C. Al atacar dispositivos IoT, XorDDoS enumera los dispositivos vulnerables a través del protocolo de red SSH. En máquinas Linux, el malware usa el puerto 2375 para obtener acceso de root al sistema sin contraseña.

Mozi es una red de bots P2P que utiliza un sistema de búsqueda de tablas hash distribuidas (DHT) para ocultar los mensajes C&C sospechosos de las soluciones de seguridad para monitorear el tráfico de la red. Los operadores de botnets explotan constantemente nuevas vulnerabilidades, ampliando el alcance de su aplicación.

Mirai es un malware muy conocido que ha generado muchas variantes nuevas debido a su código fuente disponible públicamente. Las diferentes variantes del malware implementan diferentes protocolos para comunicarse con el servidor de comando y control, pero todos usan credenciales que no son de confianza para los ataques de fuerza bruta. En 2021, los expertos identificaron varias variantes notables de Mirai, como Dark Mirai, que apunta a enrutadores domésticos, y Moobot, que se usa para atacar cámaras de seguridad.

“Algunas de las opciones más comunes incluyen Sora, IZIH9 y Rekai. En comparación con 2020, la cantidad de muestras identificadas para las tres variantes aumentó en un 33 %, 39 % y 83 % respectivamente en 2021”, dijeron los investigadores en el informe.


Fuente (s) :


Escucha la noticia dando click en el audio 🙂

Estados Unidos había ofrecido una recompensa de hasta $ 10 millones (£ 7,3 millones) por información que conduzca a los pandilleros, luego de ataques de ransomware.

La oficina de inteligencia de Rusia FSB dijo que el grupo había “dejado de existir”.

Sin embargo, no parece que ningún miembro ruso de la pandilla sea extraditado a Estados Unidos.

La agencia dijo que había actuado después de que Estados Unidos le proporcionara información sobre la pandilla REvil.

Las autoridades en Rusia dicen que han desmantelado el grupo criminal de ransomware REvil y acusado a varios de sus miembros.

Según el servicio de noticias estatal ruso Tass, REvil “desarrolló software malicioso” y “organizó el robo de dinero de las cuentas bancarias de ciudadanos extranjeros”.

El FSB dijo que había incautado más de 426 millones de rublos (4 millones de libras esterlinas), incluidas alrededor de 440 000 libras esterlinas en criptomonedas.

También incautó más de 20 “automóviles premium” que habían sido comprados con el producto del delito.

“La asociación criminal organizada ha dejado de existir y la infraestructura de información utilizada con fines delictivos fue neutralizada”, dijo el FSB en un comunicado.

El anuncio de Rusia se produce durante un enfrentamiento entre Estados Unidos y Rusia.

Moscú exige garantías occidentales, incluida la de que la OTAN no se expandirá más. También ha acumulado sus tropas cerca de la frontera con Ucrania.

Estos arrestos son un momento monumental en el cibercrimen y las ciberrelaciones entre EE. UU. y Rusia.

Durante años, Rusia ha ignorado y negado las acusaciones de que a los piratas informáticos de ransomware rusos se les permite un puerto seguro en el país para atacar objetivos occidentales.

En su Cumbre de Ginebra del verano pasado, el presidente de Rusia, Putin, y el presidente de los Estados Unidos, Biden, acordaron abrir debates sobre cómo combatir el flagelo del ransomware, pero incluso los expertos más optimistas se dieron por vencidos al ver que las conversaciones fructificaban.

Que las autoridades rusas arresten a la pandilla REvil en suelo ruso es un gran resultado que pocos hubieran previsto.

Aunque en gran parte se disolvió desde septiembre del año pasado, REvil fue una de las pandillas de ransomware más prolíficas, y este arresto envía un gran mensaje a los equipos rusos de ciberdelincuencia: la fiesta ha terminado.

La operación también es la primera vez en años que EE. UU. y Rusia colaboran en una operación de ciberdelincuencia.

Puede apuntar a un deshielo de las relaciones, que ya se celebra ampliamente en el mundo de la seguridad cibernética.

Fuente (s) :

Como funciona Ransomware ?

Créditos Música :

Beach by KV | https://www.youtube.com/c/KVmusicprod
Music promoted by https://www.free-stock-music.com
Attribution 4.0 International (CC BY 4.0)
https://creativecommons.org/licenses/by/4.0/


Escucha la noticia dando click en el audio 🙂

El FBI ahora cree que los hackers rusos del grupo FIN7, que están detrás de las operaciones de ransomware Darkside y BlackMatter, son responsables de la operación.

Según la agencia estadounidense, los paquetes del grupo se enviaban a través del Servicio Postal de los Estados Unidos o United Parcel Service y aparecían como empresas oficiales.

Agregaron que los hackers (piratas informáticos) generalmente fingían ser del Departamento de Salud y Servicios Humanos de EE. UU. O de Amazon como un medio para engañar a sus objetivos de ransomware.

Desde entonces, el FBI ha emitido una advertencia a las empresas de que estos paquetes fueron certificados como falsos y peligrosos.

Su declaración decía: “Desde agosto de 2021, el FBI ha recibido informes de varios paquetes que contienen estos dispositivos USB, enviados a empresas estadounidenses en las industrias de transporte, seguros y defensa”.

“Los paquetes se enviaron a través del Servicio Postal de los Estados Unidos y el Servicio United Parcel.

“Hay dos variaciones de paquetes: los que imitan al HHS suelen ir acompañados de cartas que hacen referencia a las pautas de COVID-19 adjuntas a un USB; y los que imitaban a Amazon llegaron en una caja de regalo decorativa que contenía una carta de agradecimiento fraudulenta, una tarjeta de regalo falsificada y un USB “.

El FBI también confirmó que todos los paquetes contenían USB de la marca LilyGO que, si se conectaban al dispositivo, podrían ejecutar un ataque “BadUSB” e infectarlo con el software malicioso peligroso.

The Record agregó que, en la mayoría de los casos investigados por la agencia estadounidense, el grupo obtendría acceso administrativo y luego “se movería lateralmente a otros sistemas locales”.


La última advertencia se produce después de que un malware ruso similar se infiltrara en una gran cantidad de empresas en los EE. UU. En julio pasado.

La violación, que es el ataque de ransomware más grande registrado, supuestamente afectó los sistemas de TI de hasta un millón de empresas en todo el mundo durante un período de 24 horas, al apuntar a los sistemas de la empresa de software con sede en EE. UU. Kaseya.

Dos días después, los piratas informáticos rusos REvil exigieron un pago de $ 70 millones en Bitcoin por una clave de descifrado.




Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!

 En unas declaraciones realizadas a la Comisión de Bolsa y Valores norteamericana, la empresa de registro y alojamiento web GoDaddy ha revelado que ha descubierto que ha sido hackeada. La empresa dice que descubrió que un «tercero no autorizado» había accedido a su entorno de alojamiento de WordPress gestionado.

GoDaddy, una de las plataformas de hosting y registro de dominios más importantes del mundo, ha sido víctima de un incidente de seguridad
El problema ha salido a la luz este lunes en una presentación de GoDaddy ante la Comisión de Bolsa y Valores de Estados Unidos. La compañía dijo que una persona no autorizada utilizó una contraseña comprometida para acceder a su entorno de alojamiento de WordPress el 6 de septiembre de este año.
Sin embargo, GoDaddy descubrió el incidente de seguridad el pasado 17 de noviembre tras detectar actividad sospechosa e iniciar una investigación que aún está en curso. Una vez identificadas las contraseñas de acceso comprometidas, fueron renovadas, pero los datos habrían sido filtrados.
La presentación habla de la filtración de direcciones de correo electrónico y números de cliente de 1,2 millones de usuarios de GoDaddy que usan el sistema WordPress administrado. Esto puede presentar un mayor riesgo de ataques de phishing para las víctimas de la violación de datos.

  •  La filtración de datos de GoDaddy dada a conocer este lunes afecta a 1,2 millones de clientes que utilizan WordPress administrado.   

Hasta 1,2 millones de usuarios han visto expuestos su dirección de correo electrónico y su número de cliente, así como las contraseñas de administrador de los dos sitios de WordPress alojados en la plataforma, además de las contraseñas de los sFTP, las bases de datos y las claves privadas SSL.

El documento dice que GoDaddy cree que la brecha se produjo por primera vez el 6 de septiembre de 2021, y la investigación está actualmente en curso. 

  • Up to 1.2 million active and inactive Managed WordPress customers had their email address and customer number exposed. The exposure of email addresses presents risk of phishing attacks.
  • The original WordPress Admin password that was set at the time of provisioning was exposed. If those credentials were still in use, we reset those passwords.
  • For active customers, sFTP and database usernames and passwords were exposed. We reset both passwords.
  • For a subset of active customers, the SSL private key was exposed. We are in the process of issuing and installing new certificates for those customers.

Demetrius Comes, Director de Seguridad de la Información, reconoce que GoDaddy está trabajando actualmente con las fuerzas de seguridad y con una empresa forense privada. Además, dice que ha restablecido las credenciales pertinentes y trabajará con los usuarios para emitir nuevos certificados SSL. Comes finaliza su declaración diciendo que la empresa, quizás demasiado tarde, «aprenderá de este incidente» y tomará medidas para evitar que se produzca una brecha de este tipo en el futuro.

Search and buy domains from Namecheap. Lowest prices!

Esta no es ni mucho menos la primera vez que se habla de GoDaddy en la misma frase que de una brecha de seguridad en los últimos años. En 2018, un error de AWS expuso los datos de los servidores de GoDaddy, y en 2020, 28.000 cuentas de usuarios fueron vulneradas por un individuo no autorizado. Más tarde, el año pasado, GoDaddy también fue mencionado como parte de un hack que derribó una serie de sitios en el espacio de la criptomoneda.

Fuentes:

Según comunicaron desde la agencia de investigación estadounidense, el hardware afectado fue apagado en cuanto se descubrió lo que estaba ocurriendo.

 Hackean sistema de correos del FBI para enviar advertencias falsas sobre ciberataques

  • Los servidores de correos electrónicos del FBI fueron hackeados para distribuir spam. Las advertencias fraudulentas avisaban al recipiente de una supuesta brecha de datos en su red.

 El FBI confirmó que los correos electrónicos enviados este sábado desde su servidor que alertaban de un posible ataque cibernético son falsos.

Horas antes, la organización Spamhause Project, que rastrea actividades de ‘spam’ y ‘malware’, advirtió en su cuenta de Twitter que piratas informáticos habían hackeado el sistema de correos electrónicos del FBI para enviar a través de este múltiples ‘emails’ con alertas.

“Hemos sido notificados de correos electrónicos ‘alarmantes’ enviados en las últimas horas que pretenden parecer haber llegado desde el FBI o el DHS [Departamento de Seguridad Nacional de EE.UU.]”, escribió Spamhause Project, señalando que los mensajes se estaban enviando realmente desde los sistemas de ambos organismos, pero se trataba de notificaciones “falsas”.

Según la organización, las alertas se enviaron a los contactos indicados en la base de datos del Registro Norteamericano de Números de Internet (ARIN, por sus siglas en inglés). “Causan perturbación porque los encabezamientos son reales, de verdad llegan desde la infraestructura del FBI”, agregaron.

En un tuit separado, Spamhause indicó que es posible que el alcance del ataque no se limitara al ARIN. La organización publicó asimismo un gráfico que muestra los drásticos aumentos de tráfico provocados por las alertas falsas.

Por su parte, el FBI confirmó que estaba al tanto del envío de correos falsos desde su dirección @ic.fbi.gov.

“Es una situación en curso y de momento no podemos proporcionar ninguna información. El ‘hardware’ afectado fue apagado en cuanto se descubrió el asunto”, señaló en un comunicado la agencia de investigación estadounidense.

La Oficina Federal de Investigaciones (FBI) confirmóque su nombre de dominio fbi.gov y su dirección de Internet se utilizaron para enviar miles de correos electrónicos falsos sobre una investigación de delito cibernético. Según una entrevista con la persona que se atribuyó la responsabilidad del engaño, los mensajes de spam se enviaron abusando de un código inseguro en un portal en línea del FBI diseñado para compartir información con las autoridades policiales estatales y locales.


A última hora de la noche del 12 de noviembre ET, decenas de miles de correos electrónicos comenzaron a fluir desde la dirección del FBI eims@ic.fbi.gov, advirtiendo sobre ciberataques falsos.

Según el Departamento de Justicia, “CJIS administra y opera varios sistemas nacionales de información sobre delitos utilizados por la comunidad de seguridad pública con fines tanto penales como civiles. Los sistemas CJIS están disponibles para la comunidad de justicia penal, incluidas las fuerzas del orden, las cárceles, los fiscales, los tribunales, así como los servicios de libertad condicional y antes del juicio “.




“El FBI y CISA [la Agencia de Seguridad de Infraestructura y Ciberseguridad] están al tanto del incidente de esta mañana que involucra correos electrónicos falsos de una cuenta de correo electrónico @ ic.fbi.gov”, se lee en el comunicado del FBI. “Esta es una situación en curso y no podemos proporcionar ninguna información adicional en este momento. El hardware afectado se desconectó rápidamente al descubrir el problema. Continuamos alentando al público a ser cauteloso con los remitentes desconocidos y lo instamos a informar cualquier actividad sospechosa en www.ic3.gov o www.cisa.gov ”.


“Podría haber usado esto al 1000% para enviar correos electrónicos de apariencia más legítima, engañar a las empresas para que entreguen datos, etc.”, dijo Pompompurin. “Y esto nunca lo habría encontrado nadie que lo divulgara responsablemente, debido al aviso que los federales tienen en su sitio web”.

Pompompurin dice que el acceso ilícito al sistema de correo electrónico del FBI comenzó con una exploración de su Portal Empresarial de Aplicación de la Ley (LEEP), que la oficina describe como “una puerta de entrada que proporciona a las agencias de aplicación de la ley, grupos de inteligencia y entidades de justicia penal acceso a recursos beneficiosos”.

Portal empresarial de aplicación de la ley del FBI (LEEP).

“¡Estos recursos fortalecerán el desarrollo de casos para los investigadores, mejorarán el intercambio de información entre agencias y serán accesibles en una ubicación centralizada!”, Dice entusiasmado el sitio del FBI.

Hasta en algún momento de esta mañana, el portal LEEP permitía a cualquier persona solicitar una cuenta. De manera útil, las instrucciones paso a paso para registrar una nueva cuenta en el portal LEEP también están disponibles en el sitio web del DOJ. [Cabe señalar que el “Paso 1” de esas instrucciones es visitar el sitio en Internet Explorer de Microsoft, un navegador web obsoleto que incluso Microsoft ya no anima a las personas a usar por razones de seguridad.]

Gran parte de ese proceso implica completar formularios con la información personal y de contacto del solicitante y la de su organización. Un paso crítico en ese proceso dice que los solicitantes recibirán una confirmación por correo electrónico de eims@ic.fbi.gov con un código de acceso único, aparentemente para validar que el solicitante puede recibir correo electrónico en el dominio en cuestión.

Pero según Pompompurin, el propio sitio web del FBI filtró ese código de acceso único en el código HTML de la página web.

Pompompurin dijo que pudieron enviarse un correo electrónico desde eims@ic.fbi.gov editando la solicitud enviada a su navegador y cambiando el texto en los campos “Asunto” y “Contenido de texto” del mensaje.

“Básicamente, cuando solicitó el código de confirmación, se generó en el lado del cliente y luego se le envió a través de una solicitud POST”, dijo Pompompurin. “Esta solicitud de publicación incluye los parámetros para el asunto del correo electrónico y el contenido del cuerpo”.

Pompompurin dijo que un script simple reemplazó esos parámetros con su propio asunto y cuerpo del mensaje, y automatizó el envío del mensaje falso a miles de direcciones de correo electrónico.


Fuente (s) :

Un mes después del ataque informático del ransomware Pysa a la Universidad Autónoma de Barcelona, y del reciente ataque ransomware Hive a la multinacional MediaMarkt.  de ​​este jueves hay una nueva víctima: la cervecera Damm víctima del ransomware Conti. El fabricante de cerveza tiene todos los centros de trabajo parados y los pedidos se están sirviendo gracias al stock, pero ya avisan de que si los problemas se alargan la principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días.

Un ataque informático obliga a detener la producción de cerveza Damm

  • El fabricante de cerveza tiene todos los centros de trabajo parados
  • La principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días
  • El Prat, donde trabajan alrededor de 400 personas 

Los atacantes pidieron un rescate para dejar que la compañía vuelva a la normalidad. Aparte de la fábrica de El Prat, Damm también produce cerveza, en menor cantidad, en las otras dos plantas que tiene en España, en Murcia y en Alicante.

Un ataque informático ha obligado a detener la producción de cerveza Damm en la fábrica que tiene en El Prat de Llobregat, la más importante de la compañía. Fuentes cercanas a la empresa han explicado que si la situación se alarga la planta puede quedarse sin stock en cuestión de días. Para librarse del ataque la compañía debe pagar un rescate por importe que este diario no ha podido confirmar.

Las mismas fuentes explican que si el ataque se hubiera producido en los meses de verano las consecuencias aún hubieran sido más catastróficas, ya que debido al aumento del consumo de cerveza el stock suele durar escasamente tres días.

Search and buy domains from Namecheap. Lowest prices!

Portavoces de Damm se han limitado a decir este diario que desde el miércoles por la mañana tienen una “incidencia informática en el sistema operativo” pero sin especificar las causas. “Se están investigando”, aseguraron añadiendo que no descartan ninguna hipótesis. Los propios portavoces explicaron que desde el primer momento se ha activado el protocolo establecido ante “este tipo de incidencia” y que se está trabajando para “restablecer” toda la producción. También insistieron en que de momento se está haciendo con “normalidad” la distribución a los canales alimentación y de horeca (hoteles, restaurantes y cafeterías) y que desconocen cuándo se volverá a la normalidad.

Aparte de la fábrica de El Prat, que es la más importante tanto en dimensiones como en producción, Damm también produce cerveza, pero en menor cantidad, en las otras dos plantas que tiene en España: una ubicada en Murcia y otra en Alicante .

Los técnicos de la empresa están trabajando para restablecer todo el sistema y analizar el grado de afectación de este problema informático. El objetivo es reanudar la operativa diaria “lo antes posible”, según fuentes de la compañía. La compañía tendría asegurado el stock de sus productos durante los siguientes días, pero si la incidencia se prolongara podría haber dificultades en la distribución a partir de la semana que viene.

Ciberataques de ransomware

El goteo de ataques informáticos a empresas e instituciones es cada vez más constante. Dos de los últimos que se han producido han afectado a la Universidad Autónoma de Barcelona (UAB) o a la multinacional germánica MediaMarkt. En el caso de la UAB los autores inutilizó hace un mes los servicios informáticos creando un caos en el campus, afectando a más de 650.000 archivos y pidiendo un rescate de 3 millones de euros. De hecho esta misma semana han amenazado con hacer pública la información conseguida de empresas y entidades gracias al ciberataque. En cuanto a MediaMarkt afectó de forma directa a sus tiendas de Alemania, Bélgica y Países Bajos y, en menor medida, a las de otros países como algunas de España. Concretamente el ataque afectó a 3.100 servidores y provocó que las cajas registradoras funcionaran mal. 

Fuente (s) :

Cuidado, si tu móvil deja de tener cobertura, ten miedo: un nuevo fraude telefónico conocido como ‘SIM swapping’ está siendo utilizado para que hackers duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentique en nuestro banco y nos robe todo el dinero.

Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta en el servicio con ese mismo sistema, lo que una vez más deja en evidencia la debilidad de mecanismos como el de los mensajes SMS para los sistemas de autenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, y no los SMS que cada vez son más vulnerables en este ámbito.

Cuidado, esta historia de terror te podría ocurrir a ti

En El País contaban recientemente un caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó que alguien se había hecho pasar por él para solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.

Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esa tendencia al alza de los casos de SIM swapping.

Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.

Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta tras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.

Hay aquí dos problemas claros: en primer lugar, que pedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

El SIM swapping permite suplantar la identidad de cualquiera, incluido el CEO de Twitter

Esta técnica permite burlar las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino también en otros muchos escenarios.

Se demostró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó que de repente en su cuenta de Twitter (@jackaparecieran mensajes ofensivos y racistas que fueron posteriormente eliminados.

El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacante usara la función de publicar en Twitter mediante mensajes SMS que fue una de las características originales del servicio.

Los mensajes ofensivos provocaron una reacción inmediata en Dorsey, que anunció que Twitter deshabilitaba el envío de mensajes a la plataforma a través de SMS.

La solución está en nuestras manos (pero también en la de las operadoras y los bancos)

Como decíamos anteriormente, el problema de este ciberataque —que no es el único que afecta a las tarjetas SIM— es que tiene dos caras muy separadas, ambas con su propia solución interdependiente: si no se solucionan los dos, el problema seguirá presente.

El primero está en quienes manejan esa información, las operadoras, que deberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM. Las verificaciones de identidad aquí deben ser exhaustivas para evitar los problemas que se han producido con estos casos.

También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha visto es muy vulnerable desde hace ya tiempo, como apuntaba el experto en seguridad Bruce Schneier. Es por esta razón por la que todas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.

Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Microsoft Authenticator, Google Authenticator o Authy están entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.

Search and buy domains from Namecheap. Lowest prices!

Aún más interesantes son las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android podía convertirse también en una llave de seguridad.

Fuente (s) :

GriftHorse ha afectado hasta a 10 millones de usuarios en todo el mundo. Las víctimas del troyano están distribuidas en decenas de países, entre ellas España. Tras desaparecer de Google Play, sigue presente en muchos móviles en más de 70 países Las apps con GriftHorse están diseñadas para suscribir a los usuarios de Android a servicios premium sin su consentimiento.

  •  GriftHorse’ es un malware que está de incógnito en aplicaciones como traductores, brújulas, videojuegos e incluso apps de citas

 Expertos de la empresa de seguridad Zimperium zLabs descubrieron que un programa malicioso que contienen algunas aplicaciones de Google Play ha infectado a más de 10 millones de teléfonos inteligentes Android en más de 70 países.

Según la investigación, publicada, las apps infectadas por el troyano GriftHorse suscriben a los usuarios a servicios de pago sin que estos se den cuenta. Si el usuario instala una aplicación infectada, GriftHorse comienza a inundar el teléfono con notificaciones de premios. Cuando la persona hace clic en una de estas ventanas emergentes, es dirigido a una página en la que se le pide que confirme su número de teléfono para acceder al premio, pero al hacerlo, en realidad activa un servicio de SMS ‘premium’ con costo mensual.

La campaña es excepcionalmente versátil y se dirige a usuarios de dispositivos móviles de más de 70 países al cambiar el idioma de la aplicación y mostrar el contenido de acuerdo con la dirección IP del usuario actual. Según la información recopilada, GriftHorse ha infectado más de 10 millones de dispositivos de las víctimas en los últimos meses

Search and buy domains from Namecheap. Lowest prices!

“Después de ser infectada, la víctima es bombardeada con alertas en la pantalla informándoles que han ganado un premio y necesitan reclamarlo inmediatamente”, explica el reporte. Estas alertas aparecen no menos de cinco veces por hora hasta que el usuario acepte.

30€ al mes por usuario infectado

El grupo de ciberdelincuentes detrás de la campaña GriftHorse ha construido un flujo de efectivo estable de fondos ilícitos de estas víctimas, generando millones en ingresos recurrentes cada mes con la cantidad total robada potencialmente de cientos de millones. A cada una de las víctimas se le cobra más de 30 € al mes, lo que genera pérdidas financieras recurrentes hasta que logran solucionar el problema contactando con su operador SIM. 

La campaña se ha desarrollado activamente durante varios meses, a partir de noviembre de 2020, y la última hora actualizada se remonta a abril de 2021. Esto significa que una de sus primeras víctimas, si no ha cerrado la estafa, ha perdido más de 200 €. en el momento de escribir. La pérdida acumulada de víctimas se suma a una ganancia masiva para el grupo ciberdelincuente.

200 aplicaciones disponibles en la Play Store

Los responsables del ataque utilizaron más de 200 aplicaciones maliciosas de distinto tipo e iniciaron su campaña en noviembre de 2020, mientras que su última actualización data de abril de 2021. Tras reportar el descubrimiento a Google, el gigante informático eliminó las apps del catálogo de Google Play Store. 

¿Tienes alguna de estas apps? Bórrela de inmediato

Esta es la lista de apps que esconden GriftHorse.

Listado de Aplicaciones

Package NameApp Name
com.tra.nslat.orpro.htpHandy Translator Pro
com.heartratteandpulsetrackerHeart Rate and Pulse Tracker
com.geospot.location.gltGeospot: GPS Location Tracker
com.icare.fin.lociCare – Find Location
my.chat.translatorMy Chat Translator
com.bus.metrolis.sBus – Metrolis 2021
com.free.translator.photo.amFree Translator Photo
com.locker.tul.ltLocker Tool
com.fin.gerp.rint.fcFingerprint Changer
com.coll.rec.ord.erCall Recoder Pro
instant.speech.translationInstant Speech Translation
racers.car.driverRacers Car Driver
slime.simu.latorSlime Simulator
keyboard.the.mesKeyboard Themes
whats.me.stickerWhat’s Me Sticker
amazing.video.editorAmazing Video Editor
sa.fe.lockSafe Lock
heart.rhy.thmHeart Rhythm
com.sma.spot.loca.torSmart Spot Locator
cut.cut.proCutCut Pro
com.offroaders.surviveOFFRoaders – Survive
com.phon.fin.by.cl.apPhone Finder by Clapping
com.drive.bus.bdsBus Driving Simulator
com.finger.print.defFingerprint Defender
com.lifeel.scanandtestLifeel – scan and test
com.la.so.uncher.ioLauncher iOS 15
com.gunt.ycoon.dleIdle Gun Tycoo\u202an\u202c
com.scan.asdnScanner App Scan Docs & Notes
com.chat.trans.almChat Translator All Messengers
com.hunt.contact.roHunt Contact
com.lco.nylcoIcony
horoscope.fortune.comHoroscope : Fortune
fit.ness.pointFitness Point
com.qub.laQibla AR Pro
com.heartrateandmealtrackerHeart Rate and Meal Tracker
com.mneasytrn.slatorMine Easy Translator
com.phone.control.blockspamxPhoneControl Block Spam Calls
com.paral.lax.paper.threParallax paper 3D
com.photo.translator.sptSnapLens – Photo Translator
com.qibl.apas.dirQibla Pass Direction
com.caollerrrexCaller-x
com.cl.apClap
com.eff.phot.oproPhoto Effect Pro
com.icon.nec.ted.trac.keriConnected Tracker
com.smal.lcallrecorderSmart Call Recorder
com.hor.oscope.palDaily Horoscope & Life Palmestry
com.qiblacompasslocatoriqezQibla Compass (Kaaba Locator)
com.proo.kie.phot.edtrProokie-Cartoon Photo Editor
com.qibla.ultimate.quQibla Ultimate
com.truck.roud.offroad.zTruck – RoudDrive Offroad
com.gpsphonuetrackerfamilylocatorGPS Phone Tracker – Family Locator
com.call.recorder.criCall Recorder iCall
com.pikcho.editorPikCho Editor app
com.streetprocarsracingssStreet Cars: pro Racing
com.cinema.hallCinema Hall: Free HD Movies
com.ivlewepapallr.bkragonucdLive Wallpaper & Background
com.in1.tel.ligent.trans.lt.proIntelligent Translator Pro
com.aceana.lyzzerFace Analyzer
com.tueclert.ruercder*TrueCaller & TrueRecoder
*This fake app is not to be confused by the legitimate Truecaller, by True Software Scandinavia AB
com.trans.lator.txt.voice.phtiTranslator_ Text & Voice & Photo
com.puls.rat.monikPulse App – Heart Rate Monitor
com.vidphoremangerVideo & Photo Recovery Manager 2
online.expresscredit.comБыстрые кредиты 24\7
fit.ness.trainerFitness Trainer
com.clip.buddyClipBuddy
vec.tor.artVector arts
ludo.speak.v2Ludo Speak v2.0
battery.live.wallpaperhdBattery Live Wallpaper 4K
com.heartrateproxhealthmonitorHeart Rate Pro Health Monitor
com.locatorqiafindlocationLocatoria – Find Location
com.gtconacerGetContacter
ph.oto.labPhoto Lab
com.phonebosterAR Phone Booster – Battery Saver
com.translator.arabic.enEnglish Arabic Translator direct
com.vpn.fast.proxy.fepVPN Zone – Fast & Easy Proxy
com.projector.mobile.phone100% Projector for Mobile Phone
com.forza.mobile.ult.edForza H Mobile 4 Ultimate Edition
com.sticky.slime.sim.asmr.nwsAmazing Sticky Slime Simulator ASMR\u200f
com.clap.t.findz.m.phoneClap To Find My Phone
com.mirror.scree.n.cast.tvvScreen Mirroring TV Cast
com.frcallworwidFree Calls WorldWide
locator.plus.myMy Locator Plus
com.isalamqciqciSalam Qibla Compass
com.lang.tra.nslate.ltefLanguage Translator-Easy&Fast
com.wifi.unlock.pas.pro.xWiFi Unlock Password Pro X
com.chat.live.stream.pvcPony Video Chat-Live Stream
com.zodiac.handZodiac : Hand
com.lud.gam.eclLudo Game Classic
com.locx.findx.locxLoca – Find Location
com.easy.tv.show.etsEasy TV Show
com.qiblaquranQibla correct Quran Coran Koran
com.dat.ing.app.sw.mtDating App – Sweet Meet
com.circ.leloca.fi.nderR Circle – Location Finder
com.taggsskconattcTagsContact
com.ela.salaty.musl.qiblaEla-Salaty: Muslim Prayer Times & Qibla Direction
com.qiblacompassrtviQibla Compass
com.soul.scanner.check.yhSoul Scanner – Check Your
com.chat.video.live.ciaoCIAO – Live Video Chat
com.plant.camera.identifier.pciPlant Camera Identifier
com.call.colop.chan.ccColor Call Changer
com.squishy.pop.itSquishy and Pop it
com.keyboard.virt.projector.appKeyboard: Virtual Projector App
com.scanr.gdp.docScanner Pro App: PDF Document
com.qrrea.derproQR Reader Pro
com.f.x.key.bo.ardFX Keyboard
photoeditor.frame.comYou Frame
call.record.provCall Record Pro
com.isl.srick.ersFree Islamic Stickers 2021
com.qr.code.reader.scanQR Code Reader – Barcode Scanner
com.scan.n.rayBag X-Ray 100% Scanner
com.phone.caller.scrennPhone Caller Screen 2021
com.trnsteito.nneappTranslate It – Online App
com.mobthinfindMobile Things Finder
com.piriufffcaerProof-Caller
com.hones.earcy.laofPhone Search by Clap
com.secontranslaproSecond Translate PRO
cal.ler.idsCallerID
com.camera.d.plan3D Camera To Plan
com.qib.find.qib.diQibla Finder – Qibla Direction
com.stick.maker.wapsStickers Maker for WhatsApp
com.qbbl.ldironwachQibla direction watch (compass)
com.bo.ea.lesss.pianoPiano Bot Easy Lessons
com.seond.honen.umberCallHelp: Second Phone Number
com.faspulhearratmonFastPulse – Heart Rate Monitor
com.alleid.pam.lofhysCaller ID & Spam Blocker
com.free.coupon2021Free Coupons 2021
com.kfc.saudi.delivery.couponsKFC Saudi – Get free delivery and 50% off coupons
com.skycoach.ggSkycoach
com.live.chat.meet.hooHOO Live – Meet and Chat
easy.bass.boosterEasy Bass Booster
com.coupongiftsnstashopCoupons & Gifts: InstaShop
com.finnccontatFindContact
com.aunch.erios.drogLauncher iOS for Android
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.ivemobiberckerLive Mobile Number Tracker

Fuente (s) :

Escucha la noticia dando click en el audio 🙂

Un grupo de cibercriminales están vendiendo información muy valiosa referente a instalar malware en los sistemas, y es que este nuevo método esconde el malware en la memoria VRAM de las GPUs, siendo el mayor de los problemas que es imposible de detectar por los antivirus actuales, por lo que es imposible intentar averiguar si un sistema está infectado o no. Concretamente, el malware se oculta el buffer de la GPU para evitar la inspección de los antivirus, requiriendo para su funcionamiento “estaciones de trabajo Windows que soporten OpenCL 2.0 y superior”.


Venden herramienta para ocultar malware en GPU de AMD y NVIDIA

El malware utiliza el espacio de asignación de memoria gráfica para ejecutar el código malicioso. La tecnología utiliza la API OpenCL 2.0 en el sistema operativo Windows, ningún otro sistema es compatible con el código malicioso.

Eso sí, el mayor de los problemas es que todas las gráficas que puedan hacer uso de dicha API son vulnerables, ya que el hacker en cuestión que está vendiendo los conocimientos confirmó que es posible añadir el malware en la memoria de GPUs modernas como la AMD Radeon RX 5700 o la Nvidia GeForce GTX 1650, o modelos antiguos como la GeForce GTX 740M o las iGPUs Intel UHD 620/630.

Este método de ocultación habría sido probado exitosamente con tarjetas Intel UHD 620 y 630, Radeon RX 5700 y GeForce GTX 740M y 1650.

Encuentran la forma de añadir código malicioso empleando la VRAM de la GPU

El uso de la memoria gráfica para ejecutar código malicioso no es un tema totalmente nuevo. Ya en 2015 los investigadores demostraron una prueba de concepto de un keylogger basado en la GPU y troyanos de acceso remoto para Windows. El autor del nuevo malware afirma que su método es nuevo y no está asociado a esos métodos.

Se espera que en breve se revele más información, ya que los responsables de vx-underground, la mayor colección de código fuente de malware, muestras y documentos en Internet, ya ha asegurado que la GPU está ejecutando los binarios del malware desde el espacio de memoria VRAM de la GPU.

Si bien el método no es nuevo y el código de demostración se ha publicado antes, los proyectos hasta ahora provenían del mundo académico o estaban incompletos y sin refinar.

A principios de este mes, una prueba de concepto (PoC) se vendió en un for, lo que podría marcar la transición de los ciberdelincuentes a un nuevo nivel de sofisticación para sus ataques.

Código probado en GPU Intel, AMD y Nvidia

En una breve publicación, alguien ofreció vender la prueba de concepto (PoC) para una técnica que, según ellos, mantiene el código malicioso a salvo de las soluciones de seguridad que escanean la RAM del sistema.

El vendedor proporcionó solo una descripción general de su método, diciendo que usa el búfer de memoria de la GPU para almacenar código malicioso y ejecutarlo desde allí.

Según el anunciante, el proyecto funciona solo en sistemas Windows que admiten las versiones 2.0 y superiores del marco OpenCL para ejecutar código en varios procesadores, incluidas las GPU.

La publicación también mencionó que el autor probó el código en tarjetas gráficas de Intel (UHD 620/630), Radeon (RX 5700) y GeForce (GTX 740M (?), GTX 1650).

VX-Underground dijo que el código malicioso permite la ejecución binaria por parte de la GPU en su espacio de memoria. También agregaron que demostrarán la técnica en un futuro próximo.

Los mismos investigadores detrás del rootkit JellyFish también publicaron PoC para un keylogger basado en GPU y un troyano de acceso remoto basado en GPU para Windows. Los tres proyectos se publicaron en mayo de 2015 y han estado a disposición del público.

El vendedor rechazó la asociación con el malware JellyFish diciendo que su método es diferente y no depende de la asignación de código al espacio de usuario.

No hay detalles sobre el trato, quién lo compró y cuánto pagaron. Solo la publicación del vendedor de que vendió el software malicioso a un tercero desconocido.

Si bien la referencia al proyecto JellyFish sugiere que el malware basado en GPU es una idea relativamente nueva, la base para este método de ataque se estableció hace unos ocho años.

En 2013, investigadores del Institute of Computer Science – Foundation for Research and Technology (FORTH) en Grecia y de la Universidad de Columbia en Nueva York demostraron que las GPU pueden albergar el funcionamiento de un registrador de pulsaciones de teclas y almacenar las pulsaciones de teclas capturadas en su espacio de memoria [documento PDF aquí].

Anteriormente, los investigadores demostraron que los autores de malware pueden aprovechar la potencia computacional de la GPU para empaquetar el código con esquemas de cifrado muy complejos mucho más rápido que la CPU. 

Fuente (s) :

Créditos Música :

Endless Summer by Loxbeats | https://soundcloud.com/loxbeats
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License
https://creativecommons.org/licenses/by/3.0/deed.en_US