Lo + Nuevo
Adal Paredes
Tag

cybersecurity

Visitando
ciberseguridad

El aumento de Ransomware se ha multiplicado por 10 en el último año

Escucha la noticia dando click en el audio 🙂

Un completo informe publicado por la firma de seguridad Fortinet, afirma que el ransomware se ha multiplicado por diez en el último año. Hace ya cerca de una década, la llegada del precursor llamado CryptoLocker cifraba los archivos del disco duro y exigía el pago de un rescate para obtener la clave con la que recuperarlos

Search and buy domains from Namecheap. Lowest prices!

Según el estudio de Fortinet, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por las administraciones públicas, los proveedores de servicios de seguridad gestionados, el sector de la automoción y el de la fabricación. Además, algunos operadores de ransomware cambiaron su estrategia de ataques iniciados a través del correo electrónico para centrarse en la obtención y venta de acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS), otro factor que ha contribuido de manera decisiva a su popularización.

Modelo de Secuestro + Extorsión

Los ciberdelincuentes, que ya eran conscientes de la importancia de los activos que estaban secuestrando mediante ransomware, llegaron a la conclusión de que robar dichos activos y amenazar con su difusión podía ser todavía más efectivo que el propio secuestro, además de plantear un problema que ya no es resoluble con las copias de seguridad. Ante la exfiltración y amenaza de difusión de los datos, se reduce sustancialmente la lista de soluciones, y el pago del rescate, algo que en realidad nunca es recomendable, se perfila sin embargo en muchos casos como la mejor para las víctimas de la extorsión.

Objetivos Favoritos

 Según un reciente análisis, la víctima ideal de los actores detrás de la mayoría de casos de ransomware sería una empresa ubicada en Estados Unidos, Canadá, Australia o la Unión Europea y con unos ingresos mínimos de 5 millones de dólares (y preferiblemente mayores de 100 millones). Esto es solo una guía, puesto que todos los días vemos casos de ataques protagonizados por ransomware en otras regiones y hacia empresas de todos los tamaños, pero sirve para hacerse una idea de lo que buscan los delincuentes.

 Además, es destacable observar como algunos grupos evitan atacar directamente o a través de sus afiliados a ciertos sectores como la educación, sanidad, gobierno u ONGs. Los motivos son variopintos y van desde la “ética profesional” hasta intentar evitar llamar demasiado la atención de las autoridades.

También es interesante destacar algo que es común con otros tipos de malware y es que muchas de las diferentes familias de ransomware evitan atacar sistemas que estén ubicados en países como Rusia o de la antigua órbita soviética. Además, también hay regiones como África o ciertas partes de Sudamérica en las que no se observa una elevada actividad del ransomware, debido a que los delincuentes no los consideran lo suficientemente rentables.

Horarios y técnicas preferidas

En lo que respecta a las técnicas preferidas por el ransomware actualmente, este es un tema que se ha tratado en varias ocasiones pero que nunca está de más repasar. Podemos ver como los accesos a través de RDP o VPN siguen siendo los favoritos por los delincuentes, habiéndose creado todo un mercado de compra/venta de accesos a redes corporativas donde ciertos delincuentes consiguen comprometer su seguridad para después vender este acceso a los operadores de ransomware o sus afiliados para que accedan, roben información y, seguidamente, la cifren.

También se aprovechan todo tipo de vulnerabilidades para hacerse con el control de sistemas clave como los servidores de correo Microsoft Exchange. Una vez se ha conseguido comprometer un sistema dentro de la red, lo normal es que se empleen varias herramientas como Mimikatz o Cobalt Strike para realizar movimientos laterales y conseguir acceder y comprometer otros sistemas importantes como los controladores de dominio, algo que facilita el robo de información confidencial y el posterior cifrado de todos los equipos de la red.

Otros métodos usados por los criminales son el uso del correo electrónico para adjuntar ficheros maliciosos o enlaces que inician la cadena de ejecución de este malware. También hemos visto como se realizan llamadas desde call centers para engañar a los usuarios y que estos descarguen malware desde ciertas páginas web e incluso se han llegado a realizar ofertas a posibles empleados descontentos para que infecten ellos mismos la red a cambio de un porcentaje de los beneficios obtenidos en el pago del rescate.

Tampoco podemos olvidar los ataques mediante la cadena de suministro, un tipo de ataques especialmente peligrosos por lo difícil que puede ser llegar a detectarlos y la gran cantidad de empresas que se pueden ver afectadas al comprometer a uno solo de sus proveedores de software y servicio.

Con respecto a los horarios favoritos de los delincuentes detrás de este tipo de campañas, recientemente el FBI confirmó algo que muchos ya habíamos observado desde hace tiempo, y es que los festivos y los fines de semana son los días favoritos por los delincuentes para realizar sus acciones maliciosas. Esto tiene mucha lógica puesto que son los días en los que menos usuarios están pendientes de las posibles alertas, lo que les da a los atacantes bastante ventaja.

No es nada raro que una intrusión en una red corporativa se produzca un viernes por la tarde o la víspera de un festivo y que los delincuentes realicen sus labores de reconocimiento de la red durante varios días, comprometan los sistemas, robando información y cifrando la que se guarda en los sistemas infectados. En no pocas ocasiones esta intrusión puede pasar semanas o incluso meses sin ser descubierta por los administradores de la red, por lo que resulta esencial contar con la suficiente visibilidad de lo que sucede en ella para poder adoptar medidas antes de que sea demasiado tarde.

Search and buy domains from Namecheap. Lowest prices!

Fuente (s) :

Créditos Música :

Never Say Always by Audionautix | http://audionautix.com
Music promoted by https://www.free-stock-music.com
Attribution-NoDerivs 3.0 Unported (CC BY-ND 3.0)
https://creativecommons.org/licenses/by-nd/3.0/

Seguir Leyendo
By
0 day exploit Office

Nueva y grave vulnerabilidad en documentos Office para Windows

Microsoft advierte sobre un nuevo grave fallo de día cero explotada activamente que afecta a Internet Explorer y que se utiliza para secuestrar sistemas Windows vulnerables al aprovechar documentos de Office dañinos. La vulnerabilidad funciona en Office 2019 y Office 365 en Windows 10. De momento no hay parche disponible, pero si algunas mitigaciones como abrir documento vista protegida o deshabilitar componente ActiveX.

Nuevo ataque 0-day dirigido a usuarios de Windows con documentos de Microsoft Office


Rastreado como CVE-2021-40444 (puntuación de gravedad CVSS: 8.8), la falla de ejecución remota de código tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador patentado para Internet Explorer ahora descontinuado y que se usa en Office para representar contenido web en su interior. Documentos de Word, Excel y PowerPoint.

“Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft está al tanto de ataques dirigidos que intentan explotar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados”,ha dicho Microsoft


“Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de procesamiento del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas estén configuradas para tener menos derechos de usuario en el sistema podría verse menos afectado que los usuarios que operan con derechos de usuario administrativo “, agregó.

El fabricante de Windows dio crédito a los investigadores de EXPMON y Mandiant por informar sobre la falla, aunque la compañía no reveló detalles adicionales sobre la naturaleza de los ataques, la identidad de los adversarios que explotan este día cero o sus objetivos a la luz de los ataques del mundo real. .

EXPMON, en un tweet, señaló que encontró la vulnerabilidad después de detectar un “ataque de día cero altamente sofisticado” dirigido a los usuarios de Microsoft Office, y agregó que transmitió sus hallazgos a Microsoft el domingo. “El exploit utiliza fallas lógicas, por lo que la explotación es perfectamente confiable (y peligrosa)”, dijeron los investigadores de EXPMON.

Sin embargo, vale la pena señalar que el ataque actual se puede evitar si Microsoft Office se ejecuta con configuraciones predeterminadas, donde los documentos descargados de la web se abren en Vista protegida o Application Guard for Office, que está diseñado para evitar que archivos no confiables accedan a recursos confiables. en el sistema comprometido.

Mitigaciones


Se espera que Microsoft, una vez finalizada la investigación, publique una actualización de seguridad como parte de su ciclo de lanzamiento mensual del martes de parches o emita un parche fuera de banda “según las necesidades del cliente”. Mientras tanto, el fabricante de Windows insta a los usuarios y organizaciones a deshabilitar todos los controles ActiveX en Internet Explorer para mitigar cualquier posible ataque.  

Deshabilitar ActiveX 

Deshabilitar la instalación de todos los controles ActiveX en Internet Explorer mitiga este ataque. Esto se puede lograr para todos los sitios actualizando el registro. Los controles ActiveX instalados anteriormente seguirán ejecutándose, pero no exponen esta vulnerabilidad.


Para deshabilitar los controles ActiveX en un sistema individual:

     Para deshabilitar la instalación de controles ActiveX en Internet Explorer en todas las zonas, pegue lo siguiente en un archivo de texto y guárdelo con la extensión de archivo .reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003

Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft tiene conocimiento de los ataques dirigidos que intentan aprovechar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados.

Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.

Microsoft Defender Antivirus y Microsoft Defender for Endpoint proporcionan detección y protección para la vulnerabilidad conocida. Los clientes deben mantener actualizados los productos antimalware. Los clientes que utilizan actualizaciones automáticas no necesitan realizar ninguna acción adicional. Los clientes empresariales que administran actualizaciones deben seleccionar la compilación de detección 1.349.22.0 o más reciente e implementarla en sus entornos. Las alertas de Microsoft Defender para Endpoint se mostrarán como: “Ejecución sospechosa de archivo Cpl”.

Una vez finalizada esta investigación, Microsoft tomará las medidas adecuadas para ayudar a proteger a nuestros clientes. Esto puede incluir proporcionar una actualización de seguridad a través de nuestro proceso de publicación mensual o proporcionar una actualización de seguridad fuera de ciclo, según las necesidades del cliente.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Filtran código fuente del Ransomware Babuk

Escucha la noticia dando click en el audio 🙂

Uno de los desarrolladores del grupo de ransomware Babuk, un joven de 17 años de Rusia, ha sido diagnosticado con cáncer de pulmón en etapa 4. Ha decidido filtrar TODO el código fuente de Babuk para Windows, ESXI, NAS. 

  • El ransomware de Babuk atacó a principios de año la tienda de telefonía Phone House y el Departamento de Policía de Washington, así como el equipo de la NBA, los Houston Rockets
  • Código fuente filtrado en sus repositorios. Están disponibles distintas versiones para ESXI, NAS y Windows.

Un presunto miembro del grupo publicó el código fuente completo del ransomware Babuk en un foro de piratería ruso. El autor de la publicación afirmó estar sufriendo una enfermedad terminal. Debido a eso decidió publicar los archivos sin ningún tipo de restricción para su descarga.

El grupo de investigación de seguridad vx-underground, un presunto miembro del grupo Babuk publicó el código fuente completo de su ransomware en un foro de habla rusa.

Este usuario afirmó estar sufriendo de cáncer terminal y decidió publicar todo el código fuente de Babuk mientras cumple su deseo de “vivir como un ser humano”

Las carpetas contienen varios proyectos de ransomware en Visual Studio para VMware ESXi,Windows  (en C++) y NAS (escrito en Golang). Además, como se menciona al principio, los archivos contienen el código fuente completo del cifrador y descifrador para sistemas operativos de Microsoft y, lo que parece ser un “keygen” de claves públicas y privadas.

Investigadores de la compañía de ciberseguridad Emsisoft y McAfee Enterprise han indicado que la filtración del ransomware Babuk parece legítima. Si bien los archivos pueden servir para descifrar los ordenadores de víctimas pasadas, también son un riesgo, ya que contienen todos los elementos necesarios para ejecutar ataques dirigidos.

En el pasado, precisamente, se filtró un generador de ransomware de Babuk en un sitio de descargas. Desafortunadamente este fue tomado por otro grupo de ciberdelincuentes que montó su propia operación de ataques. Estos cosecharon víctimas en distintas partes del mundo y las extorsionaron para no publicar sus archivos. 

De historias de traición y puñaladas por la espalda

Babuk Locker tiene una historia sórdida y pública de traiciones y puñaladas por la espalda que llevaron a la fragmentación del grupo.

Uno de los miembros de la banda de ransomware Babuk que el grupo se disolvió después del ataque al Departamento de Policía Metropolitana (MPD) en Washinton DC.

Tras el ataque, el “administrador” quiso divulgar los datos del MPD con fines publicitarios, mientras que los demás miembros de la pandilla se opusieron.

Después de la filtración de datos, el grupo se separó del administrador original formando el foro de ciberdelincuencia de Ramp y el resto mediante el lanzamiento de Babuk V2, donde continúan ejecutando ataques de ransomware.

Fuente (s) :

Créditos Música :

Love by LiQWYD | https://www.liqwydmusic.com
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By
ciberseguridad

Hackers Consiguen Ocultar Malware en la VRAM de tarjetas de video (GPUs)

Escucha la noticia dando click en el audio 🙂

Un grupo de cibercriminales están vendiendo información muy valiosa referente a instalar malware en los sistemas, y es que este nuevo método esconde el malware en la memoria VRAM de las GPUs, siendo el mayor de los problemas que es imposible de detectar por los antivirus actuales, por lo que es imposible intentar averiguar si un sistema está infectado o no. Concretamente, el malware se oculta el buffer de la GPU para evitar la inspección de los antivirus, requiriendo para su funcionamiento “estaciones de trabajo Windows que soporten OpenCL 2.0 y superior”.


Venden herramienta para ocultar malware en GPU de AMD y NVIDIA

El malware utiliza el espacio de asignación de memoria gráfica para ejecutar el código malicioso. La tecnología utiliza la API OpenCL 2.0 en el sistema operativo Windows, ningún otro sistema es compatible con el código malicioso.

Eso sí, el mayor de los problemas es que todas las gráficas que puedan hacer uso de dicha API son vulnerables, ya que el hacker en cuestión que está vendiendo los conocimientos confirmó que es posible añadir el malware en la memoria de GPUs modernas como la AMD Radeon RX 5700 o la Nvidia GeForce GTX 1650, o modelos antiguos como la GeForce GTX 740M o las iGPUs Intel UHD 620/630.

Este método de ocultación habría sido probado exitosamente con tarjetas Intel UHD 620 y 630, Radeon RX 5700 y GeForce GTX 740M y 1650.

Encuentran la forma de añadir código malicioso empleando la VRAM de la GPU

El uso de la memoria gráfica para ejecutar código malicioso no es un tema totalmente nuevo. Ya en 2015 los investigadores demostraron una prueba de concepto de un keylogger basado en la GPU y troyanos de acceso remoto para Windows. El autor del nuevo malware afirma que su método es nuevo y no está asociado a esos métodos.

Se espera que en breve se revele más información, ya que los responsables de vx-underground, la mayor colección de código fuente de malware, muestras y documentos en Internet, ya ha asegurado que la GPU está ejecutando los binarios del malware desde el espacio de memoria VRAM de la GPU.

Si bien el método no es nuevo y el código de demostración se ha publicado antes, los proyectos hasta ahora provenían del mundo académico o estaban incompletos y sin refinar.

A principios de este mes, una prueba de concepto (PoC) se vendió en un for, lo que podría marcar la transición de los ciberdelincuentes a un nuevo nivel de sofisticación para sus ataques.

Código probado en GPU Intel, AMD y Nvidia

En una breve publicación, alguien ofreció vender la prueba de concepto (PoC) para una técnica que, según ellos, mantiene el código malicioso a salvo de las soluciones de seguridad que escanean la RAM del sistema.

El vendedor proporcionó solo una descripción general de su método, diciendo que usa el búfer de memoria de la GPU para almacenar código malicioso y ejecutarlo desde allí.

Según el anunciante, el proyecto funciona solo en sistemas Windows que admiten las versiones 2.0 y superiores del marco OpenCL para ejecutar código en varios procesadores, incluidas las GPU.

La publicación también mencionó que el autor probó el código en tarjetas gráficas de Intel (UHD 620/630), Radeon (RX 5700) y GeForce (GTX 740M (?), GTX 1650).

VX-Underground dijo que el código malicioso permite la ejecución binaria por parte de la GPU en su espacio de memoria. También agregaron que demostrarán la técnica en un futuro próximo.

Los mismos investigadores detrás del rootkit JellyFish también publicaron PoC para un keylogger basado en GPU y un troyano de acceso remoto basado en GPU para Windows. Los tres proyectos se publicaron en mayo de 2015 y han estado a disposición del público.

El vendedor rechazó la asociación con el malware JellyFish diciendo que su método es diferente y no depende de la asignación de código al espacio de usuario.

No hay detalles sobre el trato, quién lo compró y cuánto pagaron. Solo la publicación del vendedor de que vendió el software malicioso a un tercero desconocido.

Si bien la referencia al proyecto JellyFish sugiere que el malware basado en GPU es una idea relativamente nueva, la base para este método de ataque se estableció hace unos ocho años.

En 2013, investigadores del Institute of Computer Science – Foundation for Research and Technology (FORTH) en Grecia y de la Universidad de Columbia en Nueva York demostraron que las GPU pueden albergar el funcionamiento de un registrador de pulsaciones de teclas y almacenar las pulsaciones de teclas capturadas en su espacio de memoria [documento PDF aquí].

Anteriormente, los investigadores demostraron que los autores de malware pueden aprovechar la potencia computacional de la GPU para empaquetar el código con esquemas de cifrado muy complejos mucho más rápido que la CPU. 

Fuente (s) :

Créditos Música :

Endless Summer by Loxbeats | https://soundcloud.com/loxbeats
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License
https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By
Tecnología

Grave vulnerabilidad afecta base datos Cosmos utilizada por los servicios en la nube de Azure de Microsoft


Un fallo de seguridad de Microsoft provoca que cientos de bases de datos de los clientes estén expuestos. La empresa de seguridad Wiz quien descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas.

ChaosDB, un fallo crítico de Cosmos DB afectó a miles de clientes de Microsoft Azure

Microsoft ha corregido un falla crítico en Cosmos DB que permitía a cualquier usuario de Azure hacerse cargo de forma remota de las bases de datos de otros usuarios sin ninguna autorización.

Investigadores de la empresa de seguridad en la nube Wiz revelaron detalles técnicos de una vulnerabilidad de la base de datos de Azure Cosmos ahora corregida, denominada ChaosDB, que podría haber sido potencialmente explotada por los atacantes para obtener acceso de administrador completo a las instancias de la base de datos de otros clientes sin ninguna autorización.

“#ChaosDB es una vulnerabilidad crítica sin precedentes en la plataforma en la nube de Azure que permite la toma de control de cuenta remota de la base de datos insignia de Azure: Cosmos DB. La vulnerabilidad, que fue revelada a Microsoft en agosto de 2021 por el equipo de investigación de Wiz, otorga a cualquier usuario de Azure acceso de administrador completo (lectura, escritura, eliminación) a las instancias de Cosmos DB de otros clientes sin autorización “. lee el post publicado por la firma de seguridad,

Azure Cosmos Darabase es el servicio de base de datos multimodelo distribuido globalmente de Microsoft.

Los expertos de Wiz descubrieron la vulnerabilidad el 9 de agosto y la informaron a Microsoft el día 12. El 14 de agosto de 2021, el equipo de investigación de Wiz observó que la falla se solucionó y el 16 de agosto MSRC reconoció la falla.

El mismo día, las credenciales obtenidas por el equipo de investigación de Wiz fueron revocadas y el 17 de agosto, MSRC otorgó una recompensa de $ 40,000 por el informe. Microsoft reveló públicamente la falla el 26 de agosto de 2021.

“Microsoft se ha dado cuenta recientemente de una vulnerabilidad en Azure Cosmos DB que podría permitir que un usuario obtenga acceso a los recursos de otro cliente mediante el uso de la clave principal de lectura y escritura de la cuenta. Esta vulnerabilidad nos la informó confidencialmente un investigador de seguridad externo. Una vez que nos dimos cuenta de este problema el 12 de agosto de 2021, mitigamos la vulnerabilidad de inmediato “. lee la declaración compartida por Microsoft con sus clientes. “No tenemos ninguna indicación de que entidades externas fuera del investigador tuvieran acceso a la clave principal de lectura y escritura asociada con su (s) cuenta (s) de Azure Cosmos DB. Además, no tenemos conocimiento de ningún acceso a datos debido a esta vulnerabilidad. Las cuentas de Azure Cosmos DB con vNET o firewall habilitado están protegidas por mecanismos de seguridad adicionales que evitan el riesgo de acceso no autorizado “.

Los expertos de Wiz identificaron un exploit que aprovecha una cadena de vulnerabilidades en la función Jupyter Notebook de Cosmos DB que permite a un atacante obtener las credenciales correspondientes a la cuenta de Cosmos DB de destino, incluida la clave principal. Estas credenciales permiten a los usuarios ver, modificar y eliminar datos en la cuenta de Cosmos DB de destino a través de múltiples canales.

Microsoft alerta a sus clientes de grave vulnerabilidad en BD Cosmos utilizada en los servicios cloud de Azure

La compañía Microsoft alerta a miles de clientes de su nube que atacantes podrían tener la posibilidad de acceder a las cuentas, e incluso leer y modificar el contenido de las bases de datos. Entre estos datos se encuentran algunas de las empresas más grandes del mundo. 

La empresa que ha descubierto el fallo pudo acceder a sus bases de datos y en su descubrimiento tenían la capacidad no solo de ver el contenido, sino también de cambiar y eliminar información de su base de datos Cosmos de Microsoft Azure.

Para llegar a la base de datos Cosmos, primero la firma de seguridad obtuvo acceso a las claves primarias de la base de datos de los clientes. Las claves primarias son “el santo grial para los atacantes” ya que son de larga duración y permiten un acceso completo de lectura, escritora y eliminación de los datos. Hay que recordar que en 2019, Microsoft añadió una función llamada Jupyter Notebook a Cosmos DB que permite a los clientes visualizar sus datos y crear vistas personalizadas y así fue como se llegó al objetivo. La función se activó automáticamente para todas las bases de datos de Cosmos en febrero de 2021.

Wiz recuerda que algunas de las empresas que utilizan esta base de datos Cosmos son gigantes como Coca-Cola, Exxon-Mobil y Citrix, como se puede ver en la propia web oficial de este servicio. 

Microsoft no puede cambiar esas claves por sí mismo, el jueves envió un correo electrónico a los clientes diciéndoles que crearan otras nuevas. Microsoft ha acordado pagar a Wiz 40.000 dólares por encontrar el fallo y denunciarlo, según un correo electrónico que envió a Wiz. Eso sí, los portavoces de Microsoft no han comentado nada más sobre este problema de seguridad.

Para mitigar la falla, las organizaciones deben regenerar su clave principal de la base de datos de Cosmos siguiendo la guía proporcionada por Microsoft. Los expertos también recomiendan revisar toda la actividad pasada en su cuenta de Cosmos DB. 

En un mail que la firma de Redmond remitió a Wiz lo que dicen desde la empresa es que Microsoft había corregido la vulnerabilidad y que no había pruebas de que el fallo hubiera sido explotado. “No tenemos indicios de que entidades externas al investigador (Wiz) hayan tenido acceso a la clave principal de lectura y escritura”, dice el correo.

“Esta es la peor vulnerabilidad en la nube que se pueda imaginar”, dijo Luttwak a Reuters. “Esta es la base de datos central de Azure, y en nuestra investigación pudimos acceder a cualquier base de datos de todos los clientes que quisiéramos“. El equipo de Luttwak encontró el problema, bautizado como ChaosDB, el 9 de agosto y lo notificó a Microsoft el 12 de agosto, dijo Luttwak, aunque no se ha conocido hasta hace unas horas. 


Fuente (s ) :

Seguir Leyendo
By
CiberFraudes

Guardia Civil desarticula red que desfalcaba cuentas bancarias a través del ‘SIM Swapping’

Escucha la noticia dando click en el audio 🙂

La Guardia Civil ha detenido a una organización criminal asentada en la provincia de A Coruña, vinculada con una organización internacional dedicada a las estafas bancarias. Utilizaban la metodología conocida como ‘SIM Swapping’ para retirar dinero de las cuentas de sus víctimas.

  • La Guardia Civil ha detenido a 8 personas, todos vecinos de distintas localidades de la provincia de A Coruña
  • Los estafadores duplicaban las tarjetas SIM de los teléfonos de las víctimas y se hacían con las claves de la banca online
  • Luego hacían trasferencias de dinero y, además, solicitaban préstamos a la entidad bancaria para obtener un mayor beneficio

Las investigaciones se iniciaron en febrero del año pasado, después de detectar una serie de estafas que comenzaban con el duplicado de las tarjetas SIM de los teléfonos de los perjudicados. El grupo criminal utilizaba el método ‘SIM Swapping’, que consiste en obtener las claves que utilizan las víctimas para acceder a la banca electrónica a través de métodos como el malware, pharming o phising.

Una vez obtenidas las contraseñas, duplicaban la tarjeta telefónica de la víctima para recibir los códigos de verificación de las transferencias que estas querían realizar, perdiendo de esta forma el control total de su línea telefónica y de sus cuentas bancarias.

A partir de ese momento, comenzaban a realizar transferencias fraudulentas desde la cuenta de la víctima a otras de terceras personas, de las que se servían para canalizar el dinero. En esta ocasión, además, solicitaban préstamos a la entidad bancaria con el fin de obtener un mayor beneficio económico.PUBLICIDAD

Un vecino de Camariñas, el jefe del grupo

Esta operación de la Guardia Civil, bautizada con el nombre de Albor, ha finalizado con la detención de 8 personas en las localidades coruñesas de A Coruña, Arteixo, Ferrol, Miño, Carballo, Camariñas y Malpica. La mayoría de ellos tenían antecedentes policiales por hechos similares.

Uno de los detenidos, natural de Camariñas, realizaba las funciones de jefe de grupo. Él era quien presuntamente captaba a las personas que realizaban los duplicados de las tarjetas SIM de las víctimas y a quienes ejercían la función de “mulero”, recibiendo el dinero defraudado en cuentas bancarias que luego hacían efectivo en cajeros automáticos o directamente en caja, para posteriormente remitirlo al contacto de la organización y cobrando una pequeña cantidad de dinero por ello.

Como consecuencia de las investigaciones, la Guardia Civil ha conseguido vincular a este grupo de delincuentes con otros de las provincias de Badajoz, Madrid, Málaga y Valencia. Todos dependían de una organización criminal internacional que tenía su sede en Brasil.

La Guardia Civil ha podido así esclarecer múltiples denuncias de estafa presentadas en Badajoz, Valladolid y Toledo por un valor de 49.500 euros. Todos los detenidos han sido puestos a disposición del Juzgado de Instrucción de guardia de A Coruña.

Referencia(s) :

Créditos Música :

Seguir Leyendo
By
ciberseguridad

Qué es el Spyware Pegasus y como funciona

Spyware Pegasus es un software espía de grado militar que fue (y tal vez todavia es ) vendido por una empresa israelí a los gobiernos para ” rastrear a terroristas y delincuentes” *( s aja y yo me chupo el dedo ) * , sin embargo, se convirtió en noticia cuando se empezó a filtrar objetivos que fueron acechados por este software de espionaje.

Pegasus fue utilizado para espiar desde activistas, políticos, periodistas y quien sabe que y cuantos ciudadanos mas en el mundo .

Esta noticia es vieja, fué publicado hace mucho. La primera vez que oímos hablar de Pegasus es en agosto de 2016, cuando los investigadores de Lookout y Citizen Lab descubrieron una “amenaza activa que utiliza tres vulnerabilidades críticas de zero-day para iOS que, cuando son explotadas, forman una cadena de ataques que subvierten incluso el sólido entorno de seguridad de Apple”.

En resumen, el Spyware Pegasus accedía y se podía prácticamente adueñar virtualmente de cualquier Iphone incluso sin tener que hace Jailbraik ( root – sudo access – permisos de administrador )

Este descubrimiento fue posible gracias a Ahmed Mansoor, un activista emiratí que lleva 10 años en la cárcel que empezó a recibir una serie de mensajes con links maliciosos. Y tanto que lo eran. Mansoor mandó los enlaces a Citizen Lab, que detectaron que al pulsar el enlace el iPhone se infectaba con un malware que, importante, no requería que el dispositivo tuviese jailbreak.


 Mito: “Solo Afecta a dispositivos iOS ”

– La realidad es que Afecta tanto a IOS como a Android

“Este es un software perverso, elocuentemente perverso”

Timothy Summers – exingeniero de seguridad cibernética de una agencia de inteligencia de EUA
  • Con Spyware Pegasus “uno podría espiar a casi toda la población mundial… no hay nada de malo en crear tecnologías que te permitan recopilar datos; a veces es necesario. Pero la humanidad no está en un lugar en el que podamos tener tanto poder al alcance de cualquiera”.

¿Por que el Malware Pegasus vuelve a ser noticia ?

Digamos que antes, se sabía de este software y de que algunos gobiernos habían contratado este software con el fin de espiar a sus adversarios .

La noticia es que hace unos días se publicó más de 50,000 números de teléfonos celulares, una lista de teléfonos concentrada en países conocidos por participar en la intrusión y vigilancia de sus ciudadanos y también conocidos por haber sido clientes de NSO Group ( la compañía israelí vendedora del Spyware Pegasus – líder mundial en la industria de la ciber vigilancia) Los números abarcan más de 50 países de todo el mundo.

En México esto volvió a hacer noticia ya que la mayor cantidad estaba en México, donde más de 15,000 números de teléfono, incluyendo algunos pertenecientes a políticos, representantes sindicales, periodistas y otros críticos del gobierno, estaban en la lista.

¿Cómo funciona Pegasus?

Esquema de Vectores de ataque y acceso de Pegasus / Fuente The Guardian
  • El Spyware Pegasus funciona a través de la infiltración en los teléfonos celulares.
  • Se extrae la información personal, así como la ubicación de los usuarios.
  • De manera oculta, se controlan los micrófonos y cámaras de los dispositivos.
  • Esto permite espiar las comunicaciones de los reporteros y periodistas.
  • Su diseño se basa en evitar la detección y ocultar su actividad.
  • Este programa se vende a 60 agencias militares, de inteligencia o de seguridad en 40 países de todo el mundo.

https://twitter.com/amnesty

Referencias:

Seguir Leyendo
By