Lo + Nuevo
Adal Paredes
Tag

cybersecurity

Visitando
ciberseguridad

Operación fallida para detener a los reyes del Ransomware: los Rusos Bogachev y Yakubets

En 2010, los dos países europeos prometieron cooperar y ayudar a atrapar a los ciberdelincuentes más exitosos del mundo. Pero las cosas no salieron del todo según lo planeado y algunos de ellos siguen libres: retrasos en el desarrollo de operaciones y acusaciones a policías corruptos protagonizan una relación difícil entre los países. La idea era capturar a Yakubets, el cuál el FBI ofreció una recompensa de 5 millones de dólares y Bogachev, que el FBI también ofrece 3 millones de dólares (2,57 millones de euros) por cualquier información que conduzca a su arresto. Dos de los rusos precursores de toda la problemática del ransomware actual.

 El pasado mes de junio, Joe Biden y Vladímir Putin tuvieron como tema central de su primera cumbre cara a cara la crisis del ransomware, que ha afectado a varios gobiernos, hospitales e incluso a un gran oleoducto estadounidense. Ahora que la infraestructura crítica estaba siendo atacada, los estadounidenses han pedido a Moscú (Rusia) que controle a los criminales dentro de las fronteras del país. Durante esa reunión, en respuesta a la nueva presión de Washington (EE. UU.), Putin habló con Biden sobre qué más se podría hacer para encontrar a los ciberdelincuentes.

Search and buy domains from Namecheap. Lowest prices!

Operación Trident Breach

Los policías estadounidenses tomaron el tren más lento y barato de Kiev (Ucrania) a Donetsk (Rusia).

Después de viajar varias veces entre Ucrania y Estados Unidos, había formas más cómodas de realizar este último trayecto de 400 millas (645 kilómetros). Pero los cinco agentes del FBI se sentían como turistas de lujo en comparación con la mayoría de los viajeros a bordo

En 2019, el FBI ofreció una recompensa de 5 millones de dólares (4,26 millones de euros) por el arresto de Yakubets, y superó oficialmente la recompensa por Bogachev como la mayor recompensa estadounidense por un hacker.

Incluso con tal precio por su cabeza, Yakubets ha permanecido libre, e incluso expandió sus operaciones. En la actualidad, este hombre se busca por dirigir su propio imperio del ciberdelito, el grupo Evil Corp. Según una acusación de 2019, Yakubets es responsable de al menos 100 millones de dólares (85,9 millones de euros) robados. En los dos años transcurridos desde entonces, esa cantidad ha aumentado: hoy en día, la suya es una de las principales bandas de ransomware del mundo.

Al igual que Bogachev, Yakubets parece estar haciendo algo más que buscar ganancias. Según el Departamento del Tesoro de EE. UU., que ha dictado sanciones para Evil Corp, Yakubets había comenzado a trabajar para el FSB ruso en 2017. “Para reforzar sus ciberoperaciones maliciosas, el FSB promueve y capta a los hackers criminales”, ponía en el anuncio de las sanciones de 2019, “permitiéndoles participar en los ataques disruptivos de ransomware y campañas de phishing“.

Actualmente, el FBI ofrece una recompensa de 3 millones de dólares (2,57 millones de euros) por la información que conduzca al arresto de Bogachev. Es una pequeña fracción de la cantidad total que Bogachev ha robado, pero representa la segunda recompensa más alta para captar a un hacker. Bogachev sigue en libertad.

Evgeniy Bogachev, conocido como “Slavik”. Este ruso, que tenía un gusto contradictorio por el anonimato y el gran lujo, escribió el malware Zeus, que infectaba los ordenadores con el objetivo de abrir silenciosamente la puerta a las cuentas bancarias de las personas. Y fue un éxito: simple, sigiloso, efectivo, actualizado regularmente, capaz de comprometer todo tipo de objetivos y lo suficientemente flexible para adaptarse a cualquier tipo de operación de ciberdelito.

La investigación detalló cómo Bogachev había utilizado a Zeus para construir un imperio de ciberdelito opaco con el tipo de precisión y ambición más característico de una corporación multinacional.

El segundo en la lista de Trident Breach fue uno de los clientes más importantes de Bogachev, Vyacheslav Penchukov. Este ucraniano, conocido online como “Tank”, dirigía su propio grupo criminal de hackers utilizando el malware Zeus; lo compraba a Bogachev por miles de dólares por copia y obtenía millones en ganancias. Había creado un equipo que usaba un tipo especial del programa integrable con el software de mensajería instantánea Jabber y ofrecía a los hackers actualizaciones instantáneas sobre sus esfuerzos: cuando se producía un ataque, los clientes recibían un mensaje y luego movían el dinero como querían, muy fácilmente.

El tercer objetivo fue el ruso conocido como “Aqua”, Maksim Yakubets, que orquestaba la operación masiva de blanqueo. Con miles de cómplices y empresas ficticias, trasladaba a Europa del Este el dinero robado de las cuentas bancarias pirateadas.

En abril de 2010, mientras examinaba los datos, Passwaters vio un mensaje que nunca olvidaría. Otro hacker había escrito a Tank: “Estáis jodidos, chicos. El FBI os está observando. He visto los registros de entrada”.

El suegro de Yakubets es un ex oficial de una unidad de fuerzas especiales de élite del FSB, Eduard Bendersky.

Yakubets también tiene supuestos vínculos con el Kremlin, según apuntan medios como el New York Post o el Daily Mail, trabajó para el FSB en 2017 y solicitó una licencia al año siguiente para trabajar con información clasificada de la agencia de inteligencia rusa, dijeron funcionarios estadounidenses en diciembre.

Varios medios británicos lo describieron como un intocable en Moscú. Capaz de pasearse por las calles de la capital de Rusia haciendo trompos con el coche, junto a la policía, con total impunidad. Además, la matrícula de su coche, un Lamborghini Huracán personalizado nada discreto cuyo precio ronda los 250.000 dólares, es toda una declaración de intenciones luciendo la palabra ‘ladrón’ en ruso.

Bogachev siguió siendo un destacado empresario de ciberdelito incluso después de que las redadas de 2010 destruyeran una gran parte de su negocio. Formó una nueva red criminal denominada Business Club, que pronto se volvió gigante: robó más de 100 millones de dólares (más de 85 millones de euros) que se dividieron entre sus miembros. En 2013, el grupo pasó de piratear cuentas bancarias a implementar algunos de los primeros ransomware modernos, con la herramienta CryptoLocker. Una vez más, Bogachev estuvo en el centro de la evolución del nuevo tipo de ciberdelito.

Operación fallida

Craig admite: “Todo dependía del Día D y nos dejaron tirados. El SBU intentaba comunicarse [con los rusos]. El FBI hacía llamadas telefónicas a la embajada en Moscú. Fue un completo silencio. Al final hicimos la operación de todos modos, sin el FSB. Fueron meses de silencio. Nada”.

“La realidad es que la corrupción es un gran desafío para frenar el ciberdelito y puede llegar hasta bastante arriba, pero después de más de 10 años trabajando con los ucranianos para combatir el ciberdelito, puedo decir que hay mucha gente realmente buena en las trincheras trabajando silenciosamente en el lado correcto de esta batalla. Esas personas son la clave”.

Los llamamos los ‘viejos lobos’ del ciberdelito. Personalmente, creo que si Tank, Aqua y Slavik hubieran sido capturados en 2010, las cosas serían un poco diferentes hoy en día

 Pero la realidad es que el ciberdelito seguirá siendo un enorme problema hasta que sea aceptado como una seria amenaza a la seguridad nacional tal y como lo es de verdad”.

Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
ciberseguridad

Asociación Nacional del Rifle de Estados Unidos víctima del ransomware Grief

Grief (PayOrGrief) un grupo de ransomware vinculado a Evil Corp, con sede en Rusia, afirma haber robado datos del grupo de derechos de armas y ha publicado archivos en su oscuro sitio web.

El grupo de ransomware vinculado a Rusia afirma haber robado datos de la Asociación Nacional del Rifle (NRA) en un ataque de ransomware contra el controvertido grupo de derechos de armas, que se ha negado a comentar nada sobre la situación.

La banda de ransomware Grief incluyó a la NRA como víctima de su nefasta actividad en su sitio de filtración de datos. Brett Callow, analista de amenazas de la firma de ciberseguridad Emsisoft, publicó una captura de pantalla de la publicación de Grief en su cuenta de Twitter.

Grief tiene vínculos con la notoria organización ciberdelincuente rusa Evil Corp y recientemente ha surgido como una creciente amenaza de ransomware.

El grupo mostró capturas de pantalla de hojas de cálculo de Excel que contienen información fiscal de EE. UU. Y montos de inversiones en su sitio de filtración. También publicaron un archivo de 2,7 MB titulado “National Grants.zip”, según un informe de BleepingComputer. Grief supuestamente afirmó que el archivo contiene solicitudes de subvenciones de la NRA.

La NRA no comentará

La NRA es un grupo de derechos civiles cuyo objetivo es proteger los derechos de las personas de la segunda enmienda, o el derecho a portar armas. El grupo ha sido objeto de críticas políticas por parte de aquellos que buscan reducir la violencia con armas de fuego en los EE. UU. Por su postura contra las leyes de control de armas más estrictas, incluso en medio de las crecientes tasas de criminalidad y mortalidad relacionadas con las armas de fuego.

La NRA ha decidido guardar silencio sobre las afirmaciones de Grief por ahora. La organización publicó una declaración atribuida al Director Gerente de la NRA, Andrew Arulanandam, en su cuenta de Twitter, afirmando que “no discute asuntos relacionados con su seguridad física o electrónica”.

“Sin embargo, la NRA toma medidas extraordinarias para proteger la información sobre sus miembros, donantes y operaciones, y está alerta al hacerlo”, según el comunicado.

Al señalar que “es difícil salir disparado de un ciberataque”, un experto en seguridad sugirió que es posible que la NRA no haya ido lo suficientemente lejos al tomar medidas de seguridad defensivas para proteger sus datos confidenciales. 

¿Tácticas cambiantes?

En estos días, los grupos de ransomware se han vuelto cada vez más agresivos y exitosos en la disrupción de numerosas empresas de alto perfil y entidades de infraestructura crítica. Los expertos observaron que las posibilidades de Grief de realizar un ataque de ransomware en la NRA son probables, incluso si la organización opta por no revelar detalles o reconocer el incidente en este momento.

De hecho, quizás fue el manejo del asunto por parte del grupo lo que inspiró a Grief a revelar el ataque antes de que la NRA remediara la situación por sí sola, sugirió otro experto en seguridad. Los grupos de ransomware a menudo divulgan datos en sus sitios web si una organización objetivo se niega a pagar un rescate después de un cierto período de tiempo.

Este puede ser el caso, en particular, si la organización en cuestión “pudo haber querido manejar el incidente en silencio o si los documentos filtrados contienen información de conversaciones o acciones que fueron inferiores a las anteriores”, agregó.

    “La NRA no discute asuntos relacionados con su seguridad física o electrónica. Sin embargo, la NRA toma medidas extraordinarias para proteger la información sobre sus miembros, donantes y operaciones, y está atenta al hacerlo”. – Andrew Arulanandam, director ejecutivo, Asuntos Públicos de la NRA.

Evil Corp – BitPaymer – DoppelPaymer – Grief

Se cree que la banda de ransomware Grief está vinculada a un grupo de piratas informáticos ruso conocido como Evil Corp.

Evil Corp ha estado activo desde 2009 y ha estado involucrado en numerosas actividades cibernéticas maliciosas, incluida la distribución del troyano Dridex para robar credenciales bancarias en línea y robar dinero.

El grupo recurrió al ransomware en 2017, cuando lanzaron un ransomware conocido como BitPaymer. BitPaymer luego se transformó en la operación de ransomware DoppelPaymer en 2019.

Después de años de atacar los intereses de Estados Unidos, el Departamento de Justicia de Estados Unidos acusó a miembros de Evil Corp por robar más de $ 100 millones y agregó al grupo de piratería a la lista de sanciones de la Oficina de Control de Activos Extranjeros (OFAC).

Poco después, el Tesoro de los EE. UU. Advirtió que los negociadores de ransomware podrían enfrentar sanciones civiles por facilitar el pago de rescates a las pandillas en la lista de sanciones.

Desde entonces, Evil Corp ha estado lanzando de forma rutinaria nuevas cepas de ransomware con diferentes nombres para evadir las sanciones de EE. UU. Estas familias de ransomware incluyen WastedLocker, Hades, Phoenix CryptoLocker, PayLoadBin y, más recientemente, Macaw Locker.

Sin embargo, su ransomware original, DoppelPaymer, se ejecutó durante años con el mismo nombre hasta mayo de 2021, cuando dejaron de incluir nuevas víctimas en su sitio de filtración de datos.

Un mes después, surgió la banda de ransomware Grief, y los investigadores de seguridad creían que era un cambio de marca de DoppelPaymer basado en similitudes de código.

Como Grief está vinculado a Evil Corp, es probable que los negociadores de ransomware no faciliten el pago del rescate sin que la víctima obtenga primero la aprobación de la OFAC. 


Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
ciberseguridad

Desarrollador del malware TrickBot extraditado a EE. UU se enfrenta 60 años de prisión

Un ciudadano ruso que se cree que es miembro del equipo de desarrollo de malware TrickBot ha sido extraditado a los EE. UU. Y actualmente enfrenta cargos que podrían llevarlo a 60 años de prisión. Vladimir Dunaev, de 38 años, también conocido como FFX, era un desarrollador de malware que supervisó la creación del módulo de inyección de navegador de TrickBot, alega la acusación.

  • En los últimos cinco años, el troyano bancario Trickbot ha evolucionado hasta convertirse en una herramienta multifuncional para los ciberdelincuentes
  • Los autores de Trickbot se han aliado con varios socios nuevos con el fin de utilizar el malware para infectar la infraestructura corporativa con todo tipo de amenazas adicionales, como el ransomware Conti.

Es el segundo desarrollador de malware asociado con la pandilla TrickBot que el Departamento de Justicia arrestó este año. En febrero, la ciudadana letona Alla Witte, también conocida como Max, fue arrestada por escribir código relacionado con el control y despliegue de ransomware.

Dunaev fue arrestado en Corea del Sur en septiembre cuando intentaba salir del país. Se vio obligado a quedarse allí durante más de un año debido a las restricciones de viaje de Covid-19 y su pasaporte expiró. La extradición se completó el 20 de octubre.

Se cree que Vladimir Dunaev ha estado involucrado con la pandilla TrickBot desde mediados de 2016 luego de una prueba de reclutamiento que involucró la creación de una aplicación que simulaba un servidor SOCKS y la alteración de una copia del navegador Firefox.

Pasó ambas pruebas con gran éxito, mostrando las habilidades que necesitaba la pandilla TrickBot. “Es capaz de todo. Se necesita una persona así ”, se lee en una conversación entre dos miembros de la banda encargada de reclutar desarrolladores.

A partir de junio de 2016, el acusado creó, modificó y actualizó el código para la banda de malware TrickBot, alega la acusación.

Entre el 19 de octubre de 2017 y el 3 de marzo de 2018, los miembros de la pandilla TrickBot que incluía a Dunaev y Witte transfirieron con éxito más de $ 1.3 millones de las cuentas bancarias de las víctimas.

Según la acusación, la pandilla TrickBot tiene al menos 17 miembros, cada uno con atributos específicos dentro de la operación:

  • Malware Manager: que describe las necesidades de programación, administra las finanzas, implementa TrickBot
  • Desarrollador de malware: que desarrolla módulos TrickBot y se los entrega a otros para que los cifren.
  • Crypter: quién encripta los módulos de TrickBot para que eviten la detección del antivirus
  • Spammer: quienes utilizan distribuir TrickBot a través de campañas de spam y phishing.

Creado a partir de las cenizas del troyano bancario Dyre en 2015, TrickBot se centró en robar credenciales bancarias inicialmente, mediante inyección web y registrando las pulsaciones de teclas del usuario víctima.

Más tarde, se convirtió en un malware modular que también podría distribuir otras amenazas. En estos días, la pandilla tiene preferencia por lanzar ransomware en las redes de la empresa, Conti en particular.

Se cree que TrickBot ha infectado millones de computadoras, lo que permite a sus operadores robar información personal y confidencial (inicios de sesión, tarjetas de crédito, correos electrónicos, contraseñas, fechas de nacimiento, SSN, direcciones) y robar fondos de las cuentas bancarias de las víctimas.

El malware ha afectado a empresas de Estados Unidos, Reino Unido, Australia, Bélgica, Canadá, Alemania, India, Italia, México, España y Rusia.

Además de Dunaev y Witta, el Departamento de Justicia ha acusado a otros miembros de la pandilla TrickBot cuyos nombres no han sido revelados y se encuentran en varios países, entre ellos Rusia, Bielorrusia y Ucrania.

Dunaev se enfrenta actualmente a varios cargos de robo de identidad agravado, fraude electrónico, fraude bancario. así como conspiración para cometer fraude informático, robo de identidad agravado y blanqueo de capitales.

Todos los cargos en su contra vienen con una pena máxima de 60 años en una prisión federal.

Funciones de Trickbot

El objetivo principal del actual Trickbot es penetrar y propagarse en las redes locales. Sus operadores pueden utilizarlo para varias tareas, desde revender los accesos a la infraestructura corporativa a otros atacantes, hasta robar información confidencial. Todo esto es lo que el malware puede hacer:

  • Recopilar nombres de usuario, hashes para contraseñas y otra información útil para el movimiento lateral en la red desde el Active Directory y el registro.
  • Interceptar el tráfico de Internet en el ordenador infectado.
  • Proporcionar control remoto de dispositivos mediante el protocolo VNC.
  • Robar cookies de los navegadores.
  • Extraer las credenciales de inicio de sesión desde el registro, las bases de datos de varias aplicaciones y los archivos de configuración, así como robar claves privadas, certificados SSL y archivos de datos para monederos de criptomoneda.
  • Interceptar datos de autorrelleno desde los navegadores y la información que los usuarios introducen en los formularios de los sitios web.
  • Escanear los archivos en los servidores FTP y SFTP.
  • Incrustar scripts maliciosos en páginas web.
  • Redirigir el tráfico del navegador a través de un proxy local.
  • Secuestrar la API responsable de la verificación de la cadena del certificado para falsificar los resultados de la verificación.
  • Recopilar credenciales del perfil de Outlook, interceptar correos electrónicos y enviar spam mediante ellos.
  • Buscar el servicio OWA y entrar a la fuerza.
  • Obtener acceso de bajo nivel al hardware.
  • Proporcionar acceso al ordenador a nivel de hardware.
  • Escanear los dominios para vulnerabilidades.
  • Encontrar direcciones de servidores SQL y ejecutar consultas de búsqueda en ellos.
  • Esparcirse mediante los exploits EternalRomance y EternalBlue.
  • Crear conexiones VPN.

Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
ciberseguridad

L0phtCrack, la herramienta de auditoría y recuperación de contraseñas ya es open source

Se ha publicado el código fuente del kit de herramientas L0phtCrack, la cual es una herramienta diseñada para recuperar contraseñas de hashes, incluido el uso de la GPU para acelerar la adivinación de contraseñas.

Y es que a partir de dicha publicación el código fue de L0phtCrack ahora pasa a ser de código abierto bajo las licencias MIT y Apache 2.0. Además, de que se han publicado complementos para usar John the Ripper y hashcat como motores de descifrado de contraseñas en L0phtCrack.

Con ello la herramienta de recuperación y auditoría de contraseñas de hace décadas L0phtCrack ahora está finalmente disponible para que todos la utilicen como código abierto.

Historia de L0phtCrack

Para quienes desconocen de L0phtCrack, deben saber que esta utilidad nació en 1997 por un grupo de hackers llamado L0pht Heavy Industries. Específicamente, la creación de la herramienta se atribuye a Peiter C. Zatko (alias Mudge) quien más tarde trabajó para la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA), Google y, últimamente, Twitter.

L0phtCrack sirve como una herramienta dedicada para evaluar la seguridad de las contraseñas y recuperar contraseñas perdidas mediante fuerza bruta, ataque de diccionarios, ataque de arco iris y otras técnicas.

El producto se ha estado desarrollando desde 1997 y en 2004 se vendió a Symantec, pero en 2006 fue comprado por los tres fundadores del proyecto, ya que los desarrolladores continuaron manteniendo la herramienta a lo largo del tiempo, aunque con múltiples cambios en la propiedad luego de las adquisiciones.

En 2020, el proyecto fue absorbido por Terahash, pero en julio de este año, los derechos del código fueron devueltos a los autores originales debido a un incumplimiento del acuerdo.

Es por ello que L0pht Heavy Industries original finalmente volvió a adquirir la herramienta en julio de 2021. Y ahora, Christien Rioux (alias ‘DilDog’ en Twitter) ha anunciado el lanzamiento de esta herramienta como código abierto. Rioux también mencionó la necesidad de mantenedores y contribuyentes activos en el proyecto.

Como resultado, los creadores de L0phtCrack decidieron abandonar el suministro de herramientas en forma de producto propietario y abrir el código fuente.

A partir del 1 de julio de 2021, el software L0phtCrack ya no es propiedad de Terahash, LLC. Ha sido recuperado por los propietarios anteriores, anteriormente conocidos como L0pht Holdings, LLC por Terahash que incumplió con el préstamo de venta a plazos.

L0phtCrack ya no se vende. Los propietarios actuales no tienen planes de vender licencias o suscripciones de soporte para el software L0phtCrack. Todas las ventas cesaron a partir del 1 de julio de 2021. Se están procesando los reembolsos por cualquier renovación de suscripción después del 30 de junio de 2021. 

A partir del lanzamiento de L0phtCrack 7.2.0, el producto se desarrollará como un proyecto de código abierto con aportes de la comunidad.

En cuanto a los cambios que se destacan de dicha versión son el reemplazo de los enlaces con bibliotecas criptográficas comerciales para usar OpenSSL y LibSSH2, así como también las mejoras en la importación de SSH para admitir IPV6

Además de que entre los planes para un mayor desarrollo de L0phtCrack, se menciona la portabilidad del código a Linux y macOS (inicialmente solo se admitía la plataforma Windows). Cabe señalar que la migración no será difícil, ya que la interfaz se escribe utilizando la biblioteca multiplataforma de Qt.

Los propietarios actuales están explorando el código abierto y otras opciones para el software L0phtCrack. El código abierto llevará algún tiempo, ya que hay bibliotecas con licencia comercial incorporadas en el producto que deben eliminarse y / o reemplazarse. La activación de la licencia para las licencias existentes se ha vuelto a habilitar y debería funcionar como se esperaba hasta que esté disponible una versión de código abierto.

Finalmente para quienes estén interesados en conocer más al respecto o quieren revisar el código fuente de la herramienta, pueden encontrar más información y enlaces de interés en este enlace.
O de una forma más sencilla pueden clonar el repositorio con:

git clone –recurse-submodules git@gitlab.com:l0phtcrack/l0phtcrack.git


Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
Cheat Sheet

Hoja de comandos Nmap

NMAP es un escáner de seguridad gratuito y de código abierto. Se utiliza para descubrir hosts y servicios en una red informática, construyendo así un “mapa” de la red. Para lograr su objetivo, Nmap envía paquetes especialmente diseñados al host de destino y luego analiza las respuestas.

Funciones NMAP

  • Descubrimiento de host: identificación de hosts en una red. Por ejemplo, enumerar los hosts que responden a solicitudes de TCP y / o ICMP o que tienen un puerto en particular abierto.
  • Escaneo de puertos: enumera los puertos abiertos en los hosts de destino.
  • Detección de versión: interrogación de servicios de red en dispositivos remotos para determinar el nombre de la aplicación y el número de versión.
  • Detección de SO: determinación del sistema operativo y las características de hardware de los dispositivos de red.
  •  Interacción programable con el objetivo, utilizando Nmap Scripting Engine (NSE) y el lenguaje de programación Lua.
  •  Nmap puede proporcionar más información sobre los objetivos, incluidos los nombres DNS inversos, los tipos de dispositivos y las direcciones MAC.

Usos típicos de Nmap:

  • Auditar la seguridad de un dispositivo o firewall identificando las conexiones de red que se pueden realizar a través de él.
  • Identificación de puertos abiertos en un host de destino en preparación para la auditoría.
  • Inventario de redes, mapeo de redes, mantenimiento y gestión de activos.
  • Auditar la seguridad de una red mediante la identificación de nuevos servidores.
  • Generación de tráfico a hosts en una red, análisis de respuesta y medición del tiempo de respuesta.
  • Encontrar y explotar vulnerabilidades en una red.
  • Consultas DNS y búsqueda de subdominios 

Ejemplos comandos NMAP

Comandos básicos

ObjetivoComandoEjemplo
Scan a Single Targetnmap [target]nmap 192.168.0.1
Scan Multiple Targetsnmap [target1, target2, etc]nmap 192.168.0.1 192.168.0.2
Scan a List of Targetsnmap -iL [list.txt]nmap -iL targets.txt
Scan a Range of Hostsnmap [range of ip addresses]nmap 192.168.0.1-10
Scan an Entire Subnetnmap [ip address/cdir]nmap 192.168.0.1/24
Scan Random Hostsnmap -iR [number]nmap -iR 0
Excluding Targets from a Scannmap [targets] –exclude [targets]nmap 192.168.0.1/24 –exclude 192.168.0.100, 192.168.0.200
Excluding Targets Using a Listnmap [targets] –excludefile [list.txt]nmap 192.168.0.1/24 –excludefile notargets.txt
Perform an Aggressive Scannmap -A [target]nmap -A 192.168.0.1
Scan an IPv6 Targetnmap -6 [target]nmap -6 1aff:3c21:47b1:0000:0000:0000:0000:2afe

Opciones descubrimiento

ObjetivoComandoEjemplo
Perform a Ping Only Scannmap -sP [target]nmap -sP 192.168.0.1
Don’t Pingnmap -PN [target]nmap -PN 192.168.0.1
TCP SYN Pingnmap -PS [target]nmap -PS 192.168.0.1
TCP ACK Pingnmap -PA [target]nmap -PA 192.168.0.1
UDP Pingnmap -PU [target]nmap -PU 192.168.0.1
SCTP INIT Pingnmap -PY [target]nmap -PY 192.168.0.1
ICMP Echo Pingnmap -PE [target]nmap -PE 192.168.0.1
ICMP Timestamp Pingnmap -PP [target]nmap -PP 192.168.0.1
ICMP Address Mask Pingnmap -PM [target]nmap -PM 192.168.0.1
IP Protocol Pingnmap -PO [target]nmap -PO 192.168.0.1
ARP Pingnmap -PR [target]nmap -PR 192.168.0.1
Traceroutenmap –traceroute [target]nmap –traceroute 192.168.0.1
Force Reverse DNS Resolutionnmap -R [target]nmap -R 192.168.0.1
Disable Reverse DNS Resolutionnmap -n [target]nmap -n 192.168.0.1
Alternative DNS Lookupnmap –system-dns [target]nmap –system-dns 192.168.0.1
Manually Specify DNS Server(s)nmap –dns-servers [servers] [target]nmap –dns-servers 201.56.212.54 192.168.0.1
Create a Host Listnmap -sL [targets]nmap -sL 192.168.0.1/24

Advanced Scanning Options

ObjetivoComandoEjemplo
TCP SYN Scannmap -sS [target]nmap -sS 192.168.0.1
TCP Connect Scannmap -sT [target]nmap -sT 192.168.0.1
UDP Scannmap -sU [target]nmap -sU 192.168.0.1
TCP NULL Scannmap -sN [target]nmap -sN 192.168.0.1
TCP FIN Scannmap -sF [target]nmap -sF 192.168.0.1
Xmas Scannmap -sX [target]nmap -sX 192.168.0.1
TCP ACK Scannmap -sA [target]nmap -sA 192.168.0.1
Custom TCP Scannmap –scanflags [flags] [target]nmap –scanflags SYNFIN 192.168.0.1
IP Protocol Scannmap -sO [target]nmap -sO 192.168.0.1
Send Raw Ethernet Packetsnmap –send-eth [target]nmap –send-eth 192.168.0.1
Send IP Packetsnmap –send-ip [target]nmap –send-ip 192.168.0.1

Port Scanning Options

ObjetivoComandoEjemplo
Perform a Fast Scannmap -F [target]nmap -F 192.168.0.1
Scan Specific Portsnmap -p [port(s)] [target]nmap -p 21-25,80,139,8080 192.168.1.1
Scan Ports by Namenmap -p [port name(s)] [target]nmap -p ftp,http* 192.168.0.1
Scan Ports by Protocolnmap -sU -sT -p U:[ports],T:[ports] [target]nmap -sU -sT -p U:53,111,137,T:21-25,80,139,8080 192.168.0.1
Scan All Portsnmap -p ‘*’ [target]nmap -p ‘*’ 192.168.0.1
Scan Top Portsnmap –top-ports [number] [target]nmap –top-ports 10 192.168.0.1
Perform a Sequential Port Scannmap -r [target]nmap -r 192.168.0.1

Version Detection

ObjetivoComandoEjemplo
Operating System Detectionnmap -O [target]nmap -O 192.168.0.1
Submit TCP/IP Fingerprintswww.nmap.org/submit/
Attempt to Guess an Unknown OSnmap -O –osscan-guess [target]nmap -O –osscan-guess 192.168.0.1
Service Version Detectionnmap -sV [target]nmap -sV 192.168.0.1
Troubleshooting Version Scansnmap -sV –version-trace [target]nmap -sV –version-trace 192.168.0.1
Perform a RPC Scannmap -sR [target]nmap -sR 192.168.0.1

Timing Options

ObjetivoComandoEjemplo
Timing Templatesnmap -T[0-5] [target]nmap -T3 192.168.0.1
Set the Packet TTLnmap –ttl [time] [target]nmap –ttl 64 192.168.0.1
Minimum # of Parallel Operationsnmap –min-parallelism [number] [target]nmap –min-parallelism 10 192.168.0.1
Maximum # of Parallel Operationsnmap –max-parallelism [number] [target]nmap –max-parallelism 1 192.168.0.1
Minimum Host Group Sizenmap –min-hostgroup [number] [targets]nmap –min-hostgroup 50 192.168.0.1
Maximum Host Group Sizenmap –max-hostgroup [number] [targets]nmap –max-hostgroup 1 192.168.0.1
Maximum RTT Timeoutnmap –initial-rtt-timeout [time] [target]nmap –initial-rtt-timeout 100ms 192.168.0.1
Initial RTT Timeoutnmap –max-rtt-timeout [TTL] [target]nmap –max-rtt-timeout 100ms 192.168.0.1
Maximum Retriesnmap –max-retries [number] [target]nmap –max-retries 10 192.168.0.1
Host Timeoutnmap –host-timeout [time] [target]nmap –host-timeout 30m 192.168.0.1
Minimum Scan Delaynmap –scan-delay [time] [target]nmap –scan-delay 1s 192.168.0.1
Maximum Scan Delaynmap –max-scan-delay [time] [target]nmap –max-scan-delay 10s 192.168.0.1
Minimum Packet Ratenmap –min-rate [number] [target]nmap –min-rate 50 192.168.0.1
Maximum Packet Ratenmap –max-rate [number] [target]nmap –max-rate 100 192.168.0.1
Defeat Reset Rate Limitsnmap –defeat-rst-ratelimit [target]nmap –defeat-rst-ratelimit 192.168.0.1

Firewall Evasion Techniques

ObjetivoComandoEjemplo
Fragment Packetsnmap -f [target]nmap -f 192.168.0.1
Specify a Specific MTUnmap –mtu [MTU] [target]nmap –mtu 32 192.168.0.1
Use a Decoynmap -D RND:[number] [target]nmap -D RND:10 192.168.0.1
Idle Zombie Scannmap -sI [zombie] [target]nmap -sI 192.168.0.38 192.168.0.1
Manually Specify a Source Portnmap –source-port [port] [target]nmap –source-port 1025 192.168.0.1
Append Random Datanmap –data-length [size] [target]nmap –data-length 20 192.168.0.1
Randomize Target Scan Ordernmap –randomize-hosts [target]nmap –randomize-hosts 192.168.0.1-20
Spoof MAC Addressnmap –spoof-mac [MAC|0|vendor] [target]nmap –spoof-mac Cisco 192.168.0.1
Send Bad Checksumsnmap –badsum [target]nmap –badsum 192.168.0.1

Output options

ObjetivoComandoEjemplo
Save Output to a Text Filenmap -oN [scan.txt] [target]nmap -oN scan.txt 192.168.0.1
Save Output to a XML Filenmap -oX [scan.xml] [target]nmap -oX scan.xml 192.168.0.1
Grepable Outputnmap -oG [scan.txt] [targets]nmap -oG scan.txt 192.168.0.1
Output All Supported File Typesnmap -oA [path/filename] [target]nmap -oA ./scan 192.168.0.1
Periodically Display Statisticsnmap –stats-every [time] [target]nmap –stats-every 10s 192.168.0.1
133t Outputnmap -oS [scan.txt] [target]nmap -oS scan.txt 192.168.0.1

Troubleshooting And Debugging

ObjetivoComandoEjemplo
Getting Helpnmap -hnmap -h
Display Nmap Versionnmap -Vnmap -V
Verbose Outputnmap -v [target]nmap -v 192.168.0.1
Debuggingnmap -d [target]nmap -d 192.168.0.1
Display Port State Reasonnmap –reason [target]nmap –reason 192.168.0.1
Only Display Open Portsnmap –open [target]nmap –open 192.168.0.1
Trace Packetsnmap –packet-trace [target]nmap –packet-trace 192.168.0.1
Display Host Networkingnmap –iflistnmap –iflist
Specify a Network Interfacenmap -e [interface] [target]nmap -e eth0 192.168.0.1

NMAP Scripting Engine – NSE

ObjetivoComandoEjemplo
Execute Individual Scriptsnmap –script [script.nse] [target]nmap –script banner.nse 192.168.0.1
Execute Multiple Scriptsnmap –script [expression] [target]nmap –script ‘http-*’ 192.168.0.1
Script Categoriesall, auth, default, discovery, external, intrusive, malware, safe, vuln
Execute Scripts by Categorynmap –script [category] [target]nmap –script ‘not intrusive’ 192.168.0.1
Execute Multiple Script Categoriesnmap –script [category1,category2,etc]nmap –script ‘default or safe’ 192.168.0.1
Troubleshoot Scriptsnmap –script [script] –script-trace [target]nmap –script banner.nse –script-trace 192.168.0.1
Update the Script Databasenmap –script-updatedbnmap –script-updatedb

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Facebook denuncia al ucraniano que robó la información personal de 178 millones de usuarios

 El ciberdelincuente consiguió recopilar la información gracias a un sistema de importación de contactos, además, los puso a la venta en un mercado de datos robados para obtener beneficios.

Según los documentos judiciales que se han publicado en CourtListenerel ucraniano Alexander Alexandrovich Solonchenko ha abusado de la función ‘Contact Importer’ que forma parte del servicio de Facebook Messenger. Este servicio permite que los usuarios sincronicen sus agendas de contactos en sus teléfonos para averiguar qué usuarios poseen una cuenta en Facebook.

Entre enero de 2018 y septiembre de 2019, el ucraniano empleó una herramienta automatizada para hacerse pasar por dispositivos Android con el objetivo de alimentar a los servidores de Facebook con millones de números de teléfono aleatorios. Dichos datos recopilados se pusieron a la venta el pasado 1 de diciembre de 2020 en una publicación de RaidForums, un foro de ciberdelincuencia junto a un mercado de datos robados.

Solonchenko era un usuario en el foro donde realizaba sus acciones bajo el nombre de ‘Solomame’, aunque después se lo modificó a ‘barak_oabama’. Facebook afirma en los documentos judiciales que el ucraniano había vendido cientos de datos a millones de usuarios de múltiples compañías, extrayendo también datos del banco comercial más grande de Ucrania.

Este incidente es la segunda extracción de datos en Facebook que se han recopilado con la función Messenger Contact Importer para compartirla después en RaidForums. Finalmente, la app ha retirado dicho servicio para que otros ciberdelincuentes comentan la misma infracción.

Facebook demanda a ucraniano que obtuvo los datos de 178 millones de usuarios

  •  Facebook demanda a lexander Solonchenko, un programador de Kirovograd, Ucrania.
  • Facebook dice que Solonchenko rastreó sus servidores desde enero de 2018 hasta septiembre de 2019 al abusar de una función de Facebook Messenger.
  • La información robada, para 178 millones de usuarios de Facebook, se vendió más tarde en un foro


Facebook presentó una demanda contra un ciudadano ucraniano por supuestamente rastrear su sitio web y vender los datos personales de más de 178 millones de usuarios en un foro clandestino de delitos cibernéticos.Según documentos judiciales presentados, el hombre fue identificado como Alexander Alexandrovich Solonchenko, residente de Kirovograd, Ucrania.

Facebook alega que Solonchenko abusó de una función que forma parte del servicio Facebook Messenger llamada Contact Importer.

La función permitía a los usuarios sincronizar las libretas de direcciones de sus teléfonos y ver qué contactos tenían una cuenta de Facebook para permitir que los usuarios se comunicaran con sus amigos a través de Facebook Messenger.

Entre enero de 2018 y septiembre de 2019, Facebook dijo que Solonchenko usó una herramienta automatizada para hacerse pasar por dispositivos Android con el fin de alimentar los servidores de Facebook con millones de números de teléfono aleatorios.

Cuando los servidores de Facebook devolvieron información para los números de teléfono que tenían una cuenta en el sitio, Solonchenko recopiló los datos, que luego recopiló y ofreció a la venta el 1 de diciembre de 2020, en una publicación en RaidForums, un notorio foro de ciberdelincuencia y mercado de datos robados. .

Facebook dijo que Solonchenko era un usuario en el foro, donde operaba usando el nombre de usuario de Solomame (luego renombrado a barak_obama), y había vendido los datos de cientos de millones de usuarios de múltiples compañías.

“Desde 2020, Solonchenko ha vendido datos robados o extraídos del banco comercial más grande de Ucrania, el servicio de entrega privado más grande de Ucrania, y una empresa francesa de análisis de datos ”, dijo Facebook en documentos judiciales hoy.

Search and buy domains from Namecheap. Lowest prices!

Errores de OpSec vincularon a Solonchenko con la personalidad de Solomame


La red social dijo que pudo vincular a Solonchenko con el usuario de RaidForums después de que el acusado usó el mismo nombre de usuario y métodos de contacto en los portales de empleo y para las cuentas de correo electrónico.

“Solonchenko trabajó como programador informático independiente con experiencia trabajando con varios lenguajes de programación, incluidos Python, PHP y Xrumer, que es un software utilizado para enviar spam; automatizar tareas en emuladores de Android; y realizar marketing de afiliación ”, dijo Facebook.

“Hasta junio de 2019 o alrededor de esa fecha, Solonchenko también vendía zapatos en línea con el nombre comercial ‘Drop Top'”, agregó Facebook.

La red social ahora está pidiendo a un juez que emita medidas cautelares que prohibirían a Solonchenko acceder a los sitios de Facebook y vender más datos extraídos de Facebook. La red social también busca daños no especificados.

  • Facebook retiró la función de Importador de contactos en septiembre de 2019


El incidente de Solonchenko marca el segundo raspado de datos de Facebook que se recopiló utilizando la función Messenger Contact Importer y luego se compartió a través de RaidForums.

En abril de 2021, otro actor de amenazas filtró los números de teléfono de 533 millones de usuarios de Facebook, que Facebook también dijo que se recopilaron al abusar de la misma función.

Días después de este incidente, Facebook reveló que retiró la función de Importador de contactos de Messenger en septiembre de 2019 después de descubrir que Solonchenko y otros actores de amenazas abusaban de ella.

Fuente (s):

Seguir Leyendo
By
ciberseguridad

El ataque ransomware a la UAB habría afectado hasta 650.000 archivos

El ataque informático en la Universitat Autònoma de Barcelona (UAB) afecta a más de 650.000 carpetas y archivos. La UAB iba a tardar “días” en recuperarse del ciberataque de ransomware… ahora la expectativa es hacerlo a las puertas de 2022 

Durante la madrugada del día 11 de octubre, los sistemas informáticos de la Universidad Autónoma de Barcelona cayeron: de un día para otro, una de las mayores universidades españolas se quedó sin página web, sin conexiones WiFi, sin bases de datos ni servicio interno de e-mail.

El ataque afectó “al sistema de virtualización que aloja gran parte de los servicios corporativos”, lo que provoca que no se puedan usar estos servicios y aplicativos.

Q: What to tell my boss?

A: Protect Your System Amigo.

Fuentes de la UAB aseguran que han comunicado el incidente a la Autoridad Catalana de Protección de Datos. Según la Autoridad, siempre que hay una violación de seguridad se la tiene que avisar y, “si es probable que la violación de seguridad de los datos conlleve un riesgo alto para los derechos y libertades de las personas físicas”, también se les tiene que comunicar “sin dilaciones indebidas y en un lenguaje claro y sencillo”. Hernández explica que “por precaución” no se atreven a descartar del todo ninguna posible filtración, pero hoy por hoy la ven improbable. Asegura, además, que siguen “al dedillo” el protocolo para estos casos y las recomendaciones de la Agencia de Ciberseguridad y la Autoridad de Protección de Datos. 

El comisionado del rector para las Tecnologías de la Información y la Comunicación, Jordi Hernández, ha explicado al ARA que no tienen ninguna constancia de que toda esta documentación haya salido de sus servidores. “Tenemos una red informática que mantiene un registro de todo lo que pasa, si toda esta gran cantidad de datos hubiera salido habría quedado constancia en el registro, y no tenemos ninguna constancia”, ha insistido Hernández.

Al día siguiente, los medios hablaban únicamente de la suspensión de las clases virtuales, pero ya se recogían declaraciones de los técnicos informáticos de la UAB reconociendo que la normalidad podría tardar “horas, días o semanas” en restablecerse.

La ‘nueva normalidad’ podría extenderse hasta 2022

Pues bien: días después, la normalidad sigue sin restablecerse. Y ya no se habla de “días o semanas”, sino de meses, concretamente de diciembre o enero. Por ahora, la red eduroam sigue sin funcionar, pero se ha habilitado una WiFi abierta provisional.

Siguiendo las instrucciones difundidas por la UAB, se permite el uso de ordenadores en las aulas convencionales (las informatizadas siguen cerradas), pero siempre y cuando permanezcan desconectados en todo momento. En los primeros días muchos estudiantes tuvieron que volver al lápiz y al papel para tomar apuntes, y ahora su mayor problema radica en cómo pueden hacerles llegar los profesores los apuntes y documentos de clase.

Con ese fin, algunos profesores han puesto en marcha sistemas basados en Google Drive, a la espera de que el próximo 2 de noviembre se ponga en marcha un entorno online completo que Microsoft está poniendo en marcha, basado en OneDrive, Outlook y Teams (con este último sustituyendo al anterior Campus Virtual).

Entre los trabajos a realizar por el Servei d’Informàtica Distribuïda (SID) de la universidad destaca que tendrán que chequear unos 10.000 ordenadores portátiles para comprobar si han sido afectados.

El sistema de detección de los ordenadores infectados es un kit que consiste en un lápiz de memoria con un software que chequea el dispositivo. Se examinarán los aparatos del profesorado, investigadores, administrativos y personal de servicios. Se descarta que los ordenadores de los estudiantes, por el tipo de acceso externo al sistema que tienen, puedan haberse visto afectados por la infección.

Search and buy domains from Namecheap. Lowest prices!

Ransomware PYSA – Mespinoza

PYSA, el ransomware que ataca a las escuelas

El ransomware PYSA es una variante del ransomware Mespinoza.

PYSA, que significa “Protect Your System Amigo”, fue nombrada por primera vez en documentos de código abierto en diciembre de 2019, dos meses después de que Mespinoza fuera descubierto en estado salvaje . Mespinoza usó originalmente la .locked extensión en archivos cifrados y luego pasó a usar .pysa. Debido a esto, muchos usan los nombres PYSA y Mespinoza indistintamente.

PYSA, como muchas familias de ransomware conocidas, se clasifica como una herramienta de ransomware como servicio (RaaS) . Esto significa que sus desarrolladores han alquilado este ransomware listo para usar a organizaciones criminales, que pueden no ser lo suficientemente hábiles técnicamente para producir el suyo propio. Los clientes de PYSA pueden personalizarlo en función de las opciones proporcionadas por los grupos RaaS e implementarlo a su gusto. PYSA es capaz de extraer datos de sus víctimas antes de cifrar los archivos que se van a rescatar.

El ransomware PYSA tiene al menos tres vectores de infección conocidos: ataques de fuerza bruta contra consolas de administración y cuentas de Active Directory (AD) , correos electrónicos de phishing y conexiones no autorizadas de Protocolo de escritorio remoto ( RDP ) a controladores de dominio. Una vez dentro de una red, los actores de amenazas se toman su tiempo para escanear archivos usando Advanced Port Scanner y Advanced IP Scanner, ambos son software gratuito y se mueven lateralmente dentro de la red usando PsExec .

Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
ciberseguridad

‘SIM swapping’, qué es y como prevenir ser victima de este fraude

Cuidado, si tu móvil deja de tener cobertura, ten miedo: un nuevo fraude telefónico conocido como ‘SIM swapping’ está siendo utilizado para que hackers duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentique en nuestro banco y nos robe todo el dinero.

Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta en el servicio con ese mismo sistema, lo que una vez más deja en evidencia la debilidad de mecanismos como el de los mensajes SMS para los sistemas de autenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, y no los SMS que cada vez son más vulnerables en este ámbito.

Cuidado, esta historia de terror te podría ocurrir a ti

En El País contaban recientemente un caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó que alguien se había hecho pasar por él para solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.

Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esa tendencia al alza de los casos de SIM swapping.

Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.

Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta tras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.

Hay aquí dos problemas claros: en primer lugar, que pedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

El SIM swapping permite suplantar la identidad de cualquiera, incluido el CEO de Twitter

Esta técnica permite burlar las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino también en otros muchos escenarios.

Se demostró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó que de repente en su cuenta de Twitter (@jackaparecieran mensajes ofensivos y racistas que fueron posteriormente eliminados.

El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacante usara la función de publicar en Twitter mediante mensajes SMS que fue una de las características originales del servicio.

Los mensajes ofensivos provocaron una reacción inmediata en Dorsey, que anunció que Twitter deshabilitaba el envío de mensajes a la plataforma a través de SMS.

La solución está en nuestras manos (pero también en la de las operadoras y los bancos)

Como decíamos anteriormente, el problema de este ciberataque —que no es el único que afecta a las tarjetas SIM— es que tiene dos caras muy separadas, ambas con su propia solución interdependiente: si no se solucionan los dos, el problema seguirá presente.

El primero está en quienes manejan esa información, las operadoras, que deberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM. Las verificaciones de identidad aquí deben ser exhaustivas para evitar los problemas que se han producido con estos casos.

También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha visto es muy vulnerable desde hace ya tiempo, como apuntaba el experto en seguridad Bruce Schneier. Es por esta razón por la que todas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.

Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Microsoft Authenticator, Google Authenticator o Authy están entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.

Search and buy domains from Namecheap. Lowest prices!

Aún más interesantes son las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android podía convertirse también en una llave de seguridad.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

FontOnLake: nuevo malware dirigido a Linux con capacidades de troyano, backdoor y rootkit

Investigadores de ESET descubren FontOnLake, una familia de malware que utiliza herramientas personalizadas y bien diseñadas para atacar sistemas operativos que funcionan bajo Linux. La naturaleza  de las herramientas de FontOnLake en combinación con su diseño avanzado y baja prevalencia sugieren que ha sido diseñado para ataques dirigidos

Los investigadores de ESET han descubierto una familia de malware previamente desconocida que utiliza módulos personalizados y bien diseñados para atacar a sistemas que corren Linux. Los módulos utilizados por esta familia de malware, a la cual hemos denominado FontOnLake, están en constante desarrollo y brindan a los operadores acceso remoto, permite recopilar credenciales y sirven como un servidor proxy. En esta publicación, quedan resumidos los hallazgos que explican con más detalle en el whitepaper.

Para recopilar datos (por ejemplo, credenciales ssh) o realizar otra actividad maliciosa, esta familia de malware utiliza binarios legítimos modificados que son ajustados para cargar más componentes. De hecho, para ocultar su existencia, la presencia de FontOnLake siempre va acompañada de un rootkit. Estos binarios como cat, kill o sshd se utilizan comúnmente en sistemas Linux y, además, pueden servir como mecanismo de persistencia.

La naturaleza camaleónica de las herramientas de FontOnLake en combinación con un diseño avanzado y una baja prevalencia sugiere que son utilizadas en ataques dirigidos.

El primer archivo conocido de esta familia de malware apareció en VirusTotal en mayo pasado y se cargaron otras muestras a lo largo del año. La ubicación del servidor C&C y los países desde los que se cargaron las muestras en VirusTotal podrían indicar que sus objetivos incluyen el sudeste asiático.

Se cree que los operadores de FontOnLake son particularmente cautelosos, ya que casi todas las muestras analizadas utilizan servidores C&C únicos con diferentes puertos no estándar. Los autores utilizan principalmente C/C ++ y varias bibliotecas de terceros, como BoostPoco, o Protobuf. Ninguno de los servidores de C&C utilizados en las muestras cargadas a VirusTotal estaban activos al momento de escribir este artículo, lo que indica que podrían haberse desactivado debido a la carga.

Componentes conocidos de FontOnLake

Los componentes actualmente conocidos de FontOnLake se pueden dividir en tres grupos que interactúan entre sí:

  • Aplicaciones troyanizadas: binarios legítimos modificados que son utilizados para cargar más componentes, recopilar datos o realizar otras actividades maliciosas.
  • Backdoors: componentes en modo usuario que funcionan como el punto de comunicación principal para sus operadores.
  • Rootkits: componentes en modo kernel que en su mayoría ocultan y disfrazan su presencia, ayudan con las actualizaciones o proporcionan backdoors de respaldo.

Aplicaciones troyanizadas

Descubren múltiples aplicaciones troyanizadas; se utilizan principalmente para cargar módulos personalizados de backdoor o rootkit. Aparte de eso, también pueden recopilar datos confidenciales. Lo más probable es que los parches de las aplicaciones se apliquen a nivel de código fuente, lo que indica que las aplicaciones deben haber sido compiladas y reemplazadas por las originales.

Todos los archivos troyanizados son utilidades estándar de Linux y cada uno sirve como método de persistencia porque normalmente se ejecutan al iniciar el sistema. Se desconoce la forma en que inicialmente estas aplicaciones troyanizadas llegan a sus víctimas.

La comunicación de una aplicación troyanizada con su rootkit se ejecuta a través de un archivo virtual, el cual es creado y administrado por el rootkit. Como se muestra en la Imagen 1, los datos pueden leerse/escribirse desde/hacia el archivo virtual y exportarse con su componente de backdoor según solicite el operador.

Search and buy domains from Namecheap. Lowest prices!

Backdoors

Los tres backdoors diferentes que descubrimos están escritos en C++ y todos usan, aunque de forma ligeramente diferente, la misma biblioteca Asio de Boost para redes asíncronas y entradas/salidas de bajo nivel. También utilizan PocoProtobuf y funciones de STL como punteros inteligentes. Lo que es raro en el malware es el hecho de que estos backdoors también presentan una serie de patrones de diseño de software.

La funcionalidad que todos tienen en común es que cada uno exfiltra las credenciales recopiladas y su historial de comandos bash a su C&C.

Teniendo en cuenta la superposición de funciones, lo más probable es que estos diferentes backdoors no se utilicen juntos en un sistema comprometido.

Además, todos los backdoors utilizan comandos de heartbeat personalizados que son enviados y recibidos periódicamente para mantener activa la conexión.

La funcionalidad principal de estos backdoors consta de los siguientes métodos:

  • Exfiltrar los datos recopilados
  • Crear un puente entre un servidor ssh personalizado que se ejecuta localmente y su C&C
  • Manipular archivos (por ejemplo, cargar/descargar, crear/eliminar, listar directorios, modificar atributos, etc.)
  • Actuar como proxy
  • Ejecutar comandos de shell arbitrarios y scripts de Python

Rootkit

Descubrimos dos versiones diferentes del rootkit, utilizadas de a una a la vez, en cada uno de los backdoors. Existen diferencias significativas entre esos dos rootkits, sin embargo, ciertos aspectos de ellos se superponen. Aunque las versiones de rootkit se basan en el proyecto de código abierto suterusu, contienen varias de sus técnicas exclusivas y personalizadas.

La funcionalidad combinada de estas dos versiones del rootkit que descubrimos incluye:

  • Proceso de ocultación
  • Ocultación de archivos
  • Ocultación de sí mismo
  • Ocultación de conexiones de red
  • Exposición de las credenciales recopiladas a su backdoor
  • Reenvío de puertos
  • Recepción de paquetes mágicos (los paquetes mágicos son paquetes especialmente diseñados que pueden indicar al rootkit que descargue y ejecute otro backdoor)

Tras nuestro descubrimiento y mientras finalizamo el whitepaper sobre este tema, proveedores como Tencent Security Response CenterAvast y Lacework Labs publicaron su investigación sobre lo que parece ser el mismo malware.

Todos los componentes conocidos de FontOnLake son detectados por los productos ESET como Linux/FontOnLake. Las empresas o personas que deseen proteger sus terminales o servidores de Linux de esta amenaza deben utilizar un producto de seguridad de varias capas y una versión actualizada de su distribución de Linux. Algunas de las muestras que hemos analizado fueron creadas específicamente para CentOS y Debian.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Troyano GriftHorse para Android infecta 10 millones dispositivos en 70 países

GriftHorse ha afectado hasta a 10 millones de usuarios en todo el mundo. Las víctimas del troyano están distribuidas en decenas de países, entre ellas España. Tras desaparecer de Google Play, sigue presente en muchos móviles en más de 70 países Las apps con GriftHorse están diseñadas para suscribir a los usuarios de Android a servicios premium sin su consentimiento.

  •  GriftHorse’ es un malware que está de incógnito en aplicaciones como traductores, brújulas, videojuegos e incluso apps de citas

 Expertos de la empresa de seguridad Zimperium zLabs descubrieron que un programa malicioso que contienen algunas aplicaciones de Google Play ha infectado a más de 10 millones de teléfonos inteligentes Android en más de 70 países.

Según la investigación, publicada, las apps infectadas por el troyano GriftHorse suscriben a los usuarios a servicios de pago sin que estos se den cuenta. Si el usuario instala una aplicación infectada, GriftHorse comienza a inundar el teléfono con notificaciones de premios. Cuando la persona hace clic en una de estas ventanas emergentes, es dirigido a una página en la que se le pide que confirme su número de teléfono para acceder al premio, pero al hacerlo, en realidad activa un servicio de SMS ‘premium’ con costo mensual.

La campaña es excepcionalmente versátil y se dirige a usuarios de dispositivos móviles de más de 70 países al cambiar el idioma de la aplicación y mostrar el contenido de acuerdo con la dirección IP del usuario actual. Según la información recopilada, GriftHorse ha infectado más de 10 millones de dispositivos de las víctimas en los últimos meses

Search and buy domains from Namecheap. Lowest prices!

“Después de ser infectada, la víctima es bombardeada con alertas en la pantalla informándoles que han ganado un premio y necesitan reclamarlo inmediatamente”, explica el reporte. Estas alertas aparecen no menos de cinco veces por hora hasta que el usuario acepte.

30€ al mes por usuario infectado

El grupo de ciberdelincuentes detrás de la campaña GriftHorse ha construido un flujo de efectivo estable de fondos ilícitos de estas víctimas, generando millones en ingresos recurrentes cada mes con la cantidad total robada potencialmente de cientos de millones. A cada una de las víctimas se le cobra más de 30 € al mes, lo que genera pérdidas financieras recurrentes hasta que logran solucionar el problema contactando con su operador SIM. 

La campaña se ha desarrollado activamente durante varios meses, a partir de noviembre de 2020, y la última hora actualizada se remonta a abril de 2021. Esto significa que una de sus primeras víctimas, si no ha cerrado la estafa, ha perdido más de 200 €. en el momento de escribir. La pérdida acumulada de víctimas se suma a una ganancia masiva para el grupo ciberdelincuente.

200 aplicaciones disponibles en la Play Store

Los responsables del ataque utilizaron más de 200 aplicaciones maliciosas de distinto tipo e iniciaron su campaña en noviembre de 2020, mientras que su última actualización data de abril de 2021. Tras reportar el descubrimiento a Google, el gigante informático eliminó las apps del catálogo de Google Play Store. 

¿Tienes alguna de estas apps? Bórrela de inmediato

Esta es la lista de apps que esconden GriftHorse.

Listado de Aplicaciones

Package NameApp Name
com.tra.nslat.orpro.htpHandy Translator Pro
com.heartratteandpulsetrackerHeart Rate and Pulse Tracker
com.geospot.location.gltGeospot: GPS Location Tracker
com.icare.fin.lociCare – Find Location
my.chat.translatorMy Chat Translator
com.bus.metrolis.sBus – Metrolis 2021
com.free.translator.photo.amFree Translator Photo
com.locker.tul.ltLocker Tool
com.fin.gerp.rint.fcFingerprint Changer
com.coll.rec.ord.erCall Recoder Pro
instant.speech.translationInstant Speech Translation
racers.car.driverRacers Car Driver
slime.simu.latorSlime Simulator
keyboard.the.mesKeyboard Themes
whats.me.stickerWhat’s Me Sticker
amazing.video.editorAmazing Video Editor
sa.fe.lockSafe Lock
heart.rhy.thmHeart Rhythm
com.sma.spot.loca.torSmart Spot Locator
cut.cut.proCutCut Pro
com.offroaders.surviveOFFRoaders – Survive
com.phon.fin.by.cl.apPhone Finder by Clapping
com.drive.bus.bdsBus Driving Simulator
com.finger.print.defFingerprint Defender
com.lifeel.scanandtestLifeel – scan and test
com.la.so.uncher.ioLauncher iOS 15
com.gunt.ycoon.dleIdle Gun Tycoo\u202an\u202c
com.scan.asdnScanner App Scan Docs & Notes
com.chat.trans.almChat Translator All Messengers
com.hunt.contact.roHunt Contact
com.lco.nylcoIcony
horoscope.fortune.comHoroscope : Fortune
fit.ness.pointFitness Point
com.qub.laQibla AR Pro
com.heartrateandmealtrackerHeart Rate and Meal Tracker
com.mneasytrn.slatorMine Easy Translator
com.phone.control.blockspamxPhoneControl Block Spam Calls
com.paral.lax.paper.threParallax paper 3D
com.photo.translator.sptSnapLens – Photo Translator
com.qibl.apas.dirQibla Pass Direction
com.caollerrrexCaller-x
com.cl.apClap
com.eff.phot.oproPhoto Effect Pro
com.icon.nec.ted.trac.keriConnected Tracker
com.smal.lcallrecorderSmart Call Recorder
com.hor.oscope.palDaily Horoscope & Life Palmestry
com.qiblacompasslocatoriqezQibla Compass (Kaaba Locator)
com.proo.kie.phot.edtrProokie-Cartoon Photo Editor
com.qibla.ultimate.quQibla Ultimate
com.truck.roud.offroad.zTruck – RoudDrive Offroad
com.gpsphonuetrackerfamilylocatorGPS Phone Tracker – Family Locator
com.call.recorder.criCall Recorder iCall
com.pikcho.editorPikCho Editor app
com.streetprocarsracingssStreet Cars: pro Racing
com.cinema.hallCinema Hall: Free HD Movies
com.ivlewepapallr.bkragonucdLive Wallpaper & Background
com.in1.tel.ligent.trans.lt.proIntelligent Translator Pro
com.aceana.lyzzerFace Analyzer
com.tueclert.ruercder*TrueCaller & TrueRecoder
*This fake app is not to be confused by the legitimate Truecaller, by True Software Scandinavia AB
com.trans.lator.txt.voice.phtiTranslator_ Text & Voice & Photo
com.puls.rat.monikPulse App – Heart Rate Monitor
com.vidphoremangerVideo & Photo Recovery Manager 2
online.expresscredit.comБыстрые кредиты 24\7
fit.ness.trainerFitness Trainer
com.clip.buddyClipBuddy
vec.tor.artVector arts
ludo.speak.v2Ludo Speak v2.0
battery.live.wallpaperhdBattery Live Wallpaper 4K
com.heartrateproxhealthmonitorHeart Rate Pro Health Monitor
com.locatorqiafindlocationLocatoria – Find Location
com.gtconacerGetContacter
ph.oto.labPhoto Lab
com.phonebosterAR Phone Booster – Battery Saver
com.translator.arabic.enEnglish Arabic Translator direct
com.vpn.fast.proxy.fepVPN Zone – Fast & Easy Proxy
com.projector.mobile.phone100% Projector for Mobile Phone
com.forza.mobile.ult.edForza H Mobile 4 Ultimate Edition
com.sticky.slime.sim.asmr.nwsAmazing Sticky Slime Simulator ASMR\u200f
com.clap.t.findz.m.phoneClap To Find My Phone
com.mirror.scree.n.cast.tvvScreen Mirroring TV Cast
com.frcallworwidFree Calls WorldWide
locator.plus.myMy Locator Plus
com.isalamqciqciSalam Qibla Compass
com.lang.tra.nslate.ltefLanguage Translator-Easy&Fast
com.wifi.unlock.pas.pro.xWiFi Unlock Password Pro X
com.chat.live.stream.pvcPony Video Chat-Live Stream
com.zodiac.handZodiac : Hand
com.lud.gam.eclLudo Game Classic
com.locx.findx.locxLoca – Find Location
com.easy.tv.show.etsEasy TV Show
com.qiblaquranQibla correct Quran Coran Koran
com.dat.ing.app.sw.mtDating App – Sweet Meet
com.circ.leloca.fi.nderR Circle – Location Finder
com.taggsskconattcTagsContact
com.ela.salaty.musl.qiblaEla-Salaty: Muslim Prayer Times & Qibla Direction
com.qiblacompassrtviQibla Compass
com.soul.scanner.check.yhSoul Scanner – Check Your
com.chat.video.live.ciaoCIAO – Live Video Chat
com.plant.camera.identifier.pciPlant Camera Identifier
com.call.colop.chan.ccColor Call Changer
com.squishy.pop.itSquishy and Pop it
com.keyboard.virt.projector.appKeyboard: Virtual Projector App
com.scanr.gdp.docScanner Pro App: PDF Document
com.qrrea.derproQR Reader Pro
com.f.x.key.bo.ardFX Keyboard
photoeditor.frame.comYou Frame
call.record.provCall Record Pro
com.isl.srick.ersFree Islamic Stickers 2021
com.qr.code.reader.scanQR Code Reader – Barcode Scanner
com.scan.n.rayBag X-Ray 100% Scanner
com.phone.caller.scrennPhone Caller Screen 2021
com.trnsteito.nneappTranslate It – Online App
com.mobthinfindMobile Things Finder
com.piriufffcaerProof-Caller
com.hones.earcy.laofPhone Search by Clap
com.secontranslaproSecond Translate PRO
cal.ler.idsCallerID
com.camera.d.plan3D Camera To Plan
com.qib.find.qib.diQibla Finder – Qibla Direction
com.stick.maker.wapsStickers Maker for WhatsApp
com.qbbl.ldironwachQibla direction watch (compass)
com.bo.ea.lesss.pianoPiano Bot Easy Lessons
com.seond.honen.umberCallHelp: Second Phone Number
com.faspulhearratmonFastPulse – Heart Rate Monitor
com.alleid.pam.lofhysCaller ID & Spam Blocker
com.free.coupon2021Free Coupons 2021
com.kfc.saudi.delivery.couponsKFC Saudi – Get free delivery and 50% off coupons
com.skycoach.ggSkycoach
com.live.chat.meet.hooHOO Live – Meet and Chat
easy.bass.boosterEasy Bass Booster
com.coupongiftsnstashopCoupons & Gifts: InstaShop
com.finnccontatFindContact
com.aunch.erios.drogLauncher iOS for Android
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.ivemobiberckerLive Mobile Number Tracker

Fuente (s) :

Seguir Leyendo
By