Lo + Nuevo
Noticias de Ciberseguridad –
Tag

cybersecurity

Browsing
ciberseguridad

Troyano GriftHorse para Android infecta 10 millones dispositivos en 70 países

GriftHorse ha afectado hasta a 10 millones de usuarios en todo el mundo. Las víctimas del troyano están distribuidas en decenas de países, entre ellas España. Tras desaparecer de Google Play, sigue presente en muchos móviles en más de 70 países Las apps con GriftHorse están diseñadas para suscribir a los usuarios de Android a servicios premium sin su consentimiento.

  •  GriftHorse’ es un malware que está de incógnito en aplicaciones como traductores, brújulas, videojuegos e incluso apps de citas

 Expertos de la empresa de seguridad Zimperium zLabs descubrieron que un programa malicioso que contienen algunas aplicaciones de Google Play ha infectado a más de 10 millones de teléfonos inteligentes Android en más de 70 países.

Según la investigación, publicada, las apps infectadas por el troyano GriftHorse suscriben a los usuarios a servicios de pago sin que estos se den cuenta. Si el usuario instala una aplicación infectada, GriftHorse comienza a inundar el teléfono con notificaciones de premios. Cuando la persona hace clic en una de estas ventanas emergentes, es dirigido a una página en la que se le pide que confirme su número de teléfono para acceder al premio, pero al hacerlo, en realidad activa un servicio de SMS ‘premium’ con costo mensual.

La campaña es excepcionalmente versátil y se dirige a usuarios de dispositivos móviles de más de 70 países al cambiar el idioma de la aplicación y mostrar el contenido de acuerdo con la dirección IP del usuario actual. Según la información recopilada, GriftHorse ha infectado más de 10 millones de dispositivos de las víctimas en los últimos meses

Search and buy domains from Namecheap. Lowest prices!

“Después de ser infectada, la víctima es bombardeada con alertas en la pantalla informándoles que han ganado un premio y necesitan reclamarlo inmediatamente”, explica el reporte. Estas alertas aparecen no menos de cinco veces por hora hasta que el usuario acepte.

30€ al mes por usuario infectado

El grupo de ciberdelincuentes detrás de la campaña GriftHorse ha construido un flujo de efectivo estable de fondos ilícitos de estas víctimas, generando millones en ingresos recurrentes cada mes con la cantidad total robada potencialmente de cientos de millones. A cada una de las víctimas se le cobra más de 30 € al mes, lo que genera pérdidas financieras recurrentes hasta que logran solucionar el problema contactando con su operador SIM. 

La campaña se ha desarrollado activamente durante varios meses, a partir de noviembre de 2020, y la última hora actualizada se remonta a abril de 2021. Esto significa que una de sus primeras víctimas, si no ha cerrado la estafa, ha perdido más de 200 €. en el momento de escribir. La pérdida acumulada de víctimas se suma a una ganancia masiva para el grupo ciberdelincuente.

200 aplicaciones disponibles en la Play Store

Los responsables del ataque utilizaron más de 200 aplicaciones maliciosas de distinto tipo e iniciaron su campaña en noviembre de 2020, mientras que su última actualización data de abril de 2021. Tras reportar el descubrimiento a Google, el gigante informático eliminó las apps del catálogo de Google Play Store. 

¿Tienes alguna de estas apps? Bórrela de inmediato

Esta es la lista de apps que esconden GriftHorse.

Listado de Aplicaciones

Package NameApp Name
com.tra.nslat.orpro.htpHandy Translator Pro
com.heartratteandpulsetrackerHeart Rate and Pulse Tracker
com.geospot.location.gltGeospot: GPS Location Tracker
com.icare.fin.lociCare – Find Location
my.chat.translatorMy Chat Translator
com.bus.metrolis.sBus – Metrolis 2021
com.free.translator.photo.amFree Translator Photo
com.locker.tul.ltLocker Tool
com.fin.gerp.rint.fcFingerprint Changer
com.coll.rec.ord.erCall Recoder Pro
instant.speech.translationInstant Speech Translation
racers.car.driverRacers Car Driver
slime.simu.latorSlime Simulator
keyboard.the.mesKeyboard Themes
whats.me.stickerWhat’s Me Sticker
amazing.video.editorAmazing Video Editor
sa.fe.lockSafe Lock
heart.rhy.thmHeart Rhythm
com.sma.spot.loca.torSmart Spot Locator
cut.cut.proCutCut Pro
com.offroaders.surviveOFFRoaders – Survive
com.phon.fin.by.cl.apPhone Finder by Clapping
com.drive.bus.bdsBus Driving Simulator
com.finger.print.defFingerprint Defender
com.lifeel.scanandtestLifeel – scan and test
com.la.so.uncher.ioLauncher iOS 15
com.gunt.ycoon.dleIdle Gun Tycoo\u202an\u202c
com.scan.asdnScanner App Scan Docs & Notes
com.chat.trans.almChat Translator All Messengers
com.hunt.contact.roHunt Contact
com.lco.nylcoIcony
horoscope.fortune.comHoroscope : Fortune
fit.ness.pointFitness Point
com.qub.laQibla AR Pro
com.heartrateandmealtrackerHeart Rate and Meal Tracker
com.mneasytrn.slatorMine Easy Translator
com.phone.control.blockspamxPhoneControl Block Spam Calls
com.paral.lax.paper.threParallax paper 3D
com.photo.translator.sptSnapLens – Photo Translator
com.qibl.apas.dirQibla Pass Direction
com.caollerrrexCaller-x
com.cl.apClap
com.eff.phot.oproPhoto Effect Pro
com.icon.nec.ted.trac.keriConnected Tracker
com.smal.lcallrecorderSmart Call Recorder
com.hor.oscope.palDaily Horoscope & Life Palmestry
com.qiblacompasslocatoriqezQibla Compass (Kaaba Locator)
com.proo.kie.phot.edtrProokie-Cartoon Photo Editor
com.qibla.ultimate.quQibla Ultimate
com.truck.roud.offroad.zTruck – RoudDrive Offroad
com.gpsphonuetrackerfamilylocatorGPS Phone Tracker – Family Locator
com.call.recorder.criCall Recorder iCall
com.pikcho.editorPikCho Editor app
com.streetprocarsracingssStreet Cars: pro Racing
com.cinema.hallCinema Hall: Free HD Movies
com.ivlewepapallr.bkragonucdLive Wallpaper & Background
com.in1.tel.ligent.trans.lt.proIntelligent Translator Pro
com.aceana.lyzzerFace Analyzer
com.tueclert.ruercder*TrueCaller & TrueRecoder
*This fake app is not to be confused by the legitimate Truecaller, by True Software Scandinavia AB
com.trans.lator.txt.voice.phtiTranslator_ Text & Voice & Photo
com.puls.rat.monikPulse App – Heart Rate Monitor
com.vidphoremangerVideo & Photo Recovery Manager 2
online.expresscredit.comБыстрые кредиты 24\7
fit.ness.trainerFitness Trainer
com.clip.buddyClipBuddy
vec.tor.artVector arts
ludo.speak.v2Ludo Speak v2.0
battery.live.wallpaperhdBattery Live Wallpaper 4K
com.heartrateproxhealthmonitorHeart Rate Pro Health Monitor
com.locatorqiafindlocationLocatoria – Find Location
com.gtconacerGetContacter
ph.oto.labPhoto Lab
com.phonebosterAR Phone Booster – Battery Saver
com.translator.arabic.enEnglish Arabic Translator direct
com.vpn.fast.proxy.fepVPN Zone – Fast & Easy Proxy
com.projector.mobile.phone100% Projector for Mobile Phone
com.forza.mobile.ult.edForza H Mobile 4 Ultimate Edition
com.sticky.slime.sim.asmr.nwsAmazing Sticky Slime Simulator ASMR\u200f
com.clap.t.findz.m.phoneClap To Find My Phone
com.mirror.scree.n.cast.tvvScreen Mirroring TV Cast
com.frcallworwidFree Calls WorldWide
locator.plus.myMy Locator Plus
com.isalamqciqciSalam Qibla Compass
com.lang.tra.nslate.ltefLanguage Translator-Easy&Fast
com.wifi.unlock.pas.pro.xWiFi Unlock Password Pro X
com.chat.live.stream.pvcPony Video Chat-Live Stream
com.zodiac.handZodiac : Hand
com.lud.gam.eclLudo Game Classic
com.locx.findx.locxLoca – Find Location
com.easy.tv.show.etsEasy TV Show
com.qiblaquranQibla correct Quran Coran Koran
com.dat.ing.app.sw.mtDating App – Sweet Meet
com.circ.leloca.fi.nderR Circle – Location Finder
com.taggsskconattcTagsContact
com.ela.salaty.musl.qiblaEla-Salaty: Muslim Prayer Times & Qibla Direction
com.qiblacompassrtviQibla Compass
com.soul.scanner.check.yhSoul Scanner – Check Your
com.chat.video.live.ciaoCIAO – Live Video Chat
com.plant.camera.identifier.pciPlant Camera Identifier
com.call.colop.chan.ccColor Call Changer
com.squishy.pop.itSquishy and Pop it
com.keyboard.virt.projector.appKeyboard: Virtual Projector App
com.scanr.gdp.docScanner Pro App: PDF Document
com.qrrea.derproQR Reader Pro
com.f.x.key.bo.ardFX Keyboard
photoeditor.frame.comYou Frame
call.record.provCall Record Pro
com.isl.srick.ersFree Islamic Stickers 2021
com.qr.code.reader.scanQR Code Reader – Barcode Scanner
com.scan.n.rayBag X-Ray 100% Scanner
com.phone.caller.scrennPhone Caller Screen 2021
com.trnsteito.nneappTranslate It – Online App
com.mobthinfindMobile Things Finder
com.piriufffcaerProof-Caller
com.hones.earcy.laofPhone Search by Clap
com.secontranslaproSecond Translate PRO
cal.ler.idsCallerID
com.camera.d.plan3D Camera To Plan
com.qib.find.qib.diQibla Finder – Qibla Direction
com.stick.maker.wapsStickers Maker for WhatsApp
com.qbbl.ldironwachQibla direction watch (compass)
com.bo.ea.lesss.pianoPiano Bot Easy Lessons
com.seond.honen.umberCallHelp: Second Phone Number
com.faspulhearratmonFastPulse – Heart Rate Monitor
com.alleid.pam.lofhysCaller ID & Spam Blocker
com.free.coupon2021Free Coupons 2021
com.kfc.saudi.delivery.couponsKFC Saudi – Get free delivery and 50% off coupons
com.skycoach.ggSkycoach
com.live.chat.meet.hooHOO Live – Meet and Chat
easy.bass.boosterEasy Bass Booster
com.coupongiftsnstashopCoupons & Gifts: InstaShop
com.finnccontatFindContact
com.aunch.erios.drogLauncher iOS for Android
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.ivemobiberckerLive Mobile Number Tracker

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

El aumento de Ransomware se ha multiplicado por 10 en el último año

Escucha la noticia dando click en el audio 🙂

Un completo informe publicado por la firma de seguridad Fortinet, afirma que el ransomware se ha multiplicado por diez en el último año. Hace ya cerca de una década, la llegada del precursor llamado CryptoLocker cifraba los archivos del disco duro y exigía el pago de un rescate para obtener la clave con la que recuperarlos

Search and buy domains from Namecheap. Lowest prices!

Según el estudio de Fortinet, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por las administraciones públicas, los proveedores de servicios de seguridad gestionados, el sector de la automoción y el de la fabricación. Además, algunos operadores de ransomware cambiaron su estrategia de ataques iniciados a través del correo electrónico para centrarse en la obtención y venta de acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS), otro factor que ha contribuido de manera decisiva a su popularización.

Modelo de Secuestro + Extorsión

Los ciberdelincuentes, que ya eran conscientes de la importancia de los activos que estaban secuestrando mediante ransomware, llegaron a la conclusión de que robar dichos activos y amenazar con su difusión podía ser todavía más efectivo que el propio secuestro, además de plantear un problema que ya no es resoluble con las copias de seguridad. Ante la exfiltración y amenaza de difusión de los datos, se reduce sustancialmente la lista de soluciones, y el pago del rescate, algo que en realidad nunca es recomendable, se perfila sin embargo en muchos casos como la mejor para las víctimas de la extorsión.

Objetivos Favoritos

 Según un reciente análisis, la víctima ideal de los actores detrás de la mayoría de casos de ransomware sería una empresa ubicada en Estados Unidos, Canadá, Australia o la Unión Europea y con unos ingresos mínimos de 5 millones de dólares (y preferiblemente mayores de 100 millones). Esto es solo una guía, puesto que todos los días vemos casos de ataques protagonizados por ransomware en otras regiones y hacia empresas de todos los tamaños, pero sirve para hacerse una idea de lo que buscan los delincuentes.

 Además, es destacable observar como algunos grupos evitan atacar directamente o a través de sus afiliados a ciertos sectores como la educación, sanidad, gobierno u ONGs. Los motivos son variopintos y van desde la “ética profesional” hasta intentar evitar llamar demasiado la atención de las autoridades.

También es interesante destacar algo que es común con otros tipos de malware y es que muchas de las diferentes familias de ransomware evitan atacar sistemas que estén ubicados en países como Rusia o de la antigua órbita soviética. Además, también hay regiones como África o ciertas partes de Sudamérica en las que no se observa una elevada actividad del ransomware, debido a que los delincuentes no los consideran lo suficientemente rentables.

Horarios y técnicas preferidas

En lo que respecta a las técnicas preferidas por el ransomware actualmente, este es un tema que se ha tratado en varias ocasiones pero que nunca está de más repasar. Podemos ver como los accesos a través de RDP o VPN siguen siendo los favoritos por los delincuentes, habiéndose creado todo un mercado de compra/venta de accesos a redes corporativas donde ciertos delincuentes consiguen comprometer su seguridad para después vender este acceso a los operadores de ransomware o sus afiliados para que accedan, roben información y, seguidamente, la cifren.

También se aprovechan todo tipo de vulnerabilidades para hacerse con el control de sistemas clave como los servidores de correo Microsoft Exchange. Una vez se ha conseguido comprometer un sistema dentro de la red, lo normal es que se empleen varias herramientas como Mimikatz o Cobalt Strike para realizar movimientos laterales y conseguir acceder y comprometer otros sistemas importantes como los controladores de dominio, algo que facilita el robo de información confidencial y el posterior cifrado de todos los equipos de la red.

Otros métodos usados por los criminales son el uso del correo electrónico para adjuntar ficheros maliciosos o enlaces que inician la cadena de ejecución de este malware. También hemos visto como se realizan llamadas desde call centers para engañar a los usuarios y que estos descarguen malware desde ciertas páginas web e incluso se han llegado a realizar ofertas a posibles empleados descontentos para que infecten ellos mismos la red a cambio de un porcentaje de los beneficios obtenidos en el pago del rescate.

Tampoco podemos olvidar los ataques mediante la cadena de suministro, un tipo de ataques especialmente peligrosos por lo difícil que puede ser llegar a detectarlos y la gran cantidad de empresas que se pueden ver afectadas al comprometer a uno solo de sus proveedores de software y servicio.

Con respecto a los horarios favoritos de los delincuentes detrás de este tipo de campañas, recientemente el FBI confirmó algo que muchos ya habíamos observado desde hace tiempo, y es que los festivos y los fines de semana son los días favoritos por los delincuentes para realizar sus acciones maliciosas. Esto tiene mucha lógica puesto que son los días en los que menos usuarios están pendientes de las posibles alertas, lo que les da a los atacantes bastante ventaja.

No es nada raro que una intrusión en una red corporativa se produzca un viernes por la tarde o la víspera de un festivo y que los delincuentes realicen sus labores de reconocimiento de la red durante varios días, comprometan los sistemas, robando información y cifrando la que se guarda en los sistemas infectados. En no pocas ocasiones esta intrusión puede pasar semanas o incluso meses sin ser descubierta por los administradores de la red, por lo que resulta esencial contar con la suficiente visibilidad de lo que sucede en ella para poder adoptar medidas antes de que sea demasiado tarde.

Search and buy domains from Namecheap. Lowest prices!

Fuente (s) :

Créditos Música :

Never Say Always by Audionautix | http://audionautix.com
Music promoted by https://www.free-stock-music.com
Attribution-NoDerivs 3.0 Unported (CC BY-ND 3.0)
https://creativecommons.org/licenses/by-nd/3.0/

Seguir Leyendo
By
0 day exploit Office

Nueva y grave vulnerabilidad en documentos Office para Windows

Microsoft advierte sobre un nuevo grave fallo de día cero explotada activamente que afecta a Internet Explorer y que se utiliza para secuestrar sistemas Windows vulnerables al aprovechar documentos de Office dañinos. La vulnerabilidad funciona en Office 2019 y Office 365 en Windows 10. De momento no hay parche disponible, pero si algunas mitigaciones como abrir documento vista protegida o deshabilitar componente ActiveX.

Nuevo ataque 0-day dirigido a usuarios de Windows con documentos de Microsoft Office


Rastreado como CVE-2021-40444 (puntuación de gravedad CVSS: 8.8), la falla de ejecución remota de código tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador patentado para Internet Explorer ahora descontinuado y que se usa en Office para representar contenido web en su interior. Documentos de Word, Excel y PowerPoint.

“Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft está al tanto de ataques dirigidos que intentan explotar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados”,ha dicho Microsoft


“Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de procesamiento del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas estén configuradas para tener menos derechos de usuario en el sistema podría verse menos afectado que los usuarios que operan con derechos de usuario administrativo “, agregó.

El fabricante de Windows dio crédito a los investigadores de EXPMON y Mandiant por informar sobre la falla, aunque la compañía no reveló detalles adicionales sobre la naturaleza de los ataques, la identidad de los adversarios que explotan este día cero o sus objetivos a la luz de los ataques del mundo real. .

EXPMON, en un tweet, señaló que encontró la vulnerabilidad después de detectar un “ataque de día cero altamente sofisticado” dirigido a los usuarios de Microsoft Office, y agregó que transmitió sus hallazgos a Microsoft el domingo. “El exploit utiliza fallas lógicas, por lo que la explotación es perfectamente confiable (y peligrosa)”, dijeron los investigadores de EXPMON.

Sin embargo, vale la pena señalar que el ataque actual se puede evitar si Microsoft Office se ejecuta con configuraciones predeterminadas, donde los documentos descargados de la web se abren en Vista protegida o Application Guard for Office, que está diseñado para evitar que archivos no confiables accedan a recursos confiables. en el sistema comprometido.

Mitigaciones


Se espera que Microsoft, una vez finalizada la investigación, publique una actualización de seguridad como parte de su ciclo de lanzamiento mensual del martes de parches o emita un parche fuera de banda “según las necesidades del cliente”. Mientras tanto, el fabricante de Windows insta a los usuarios y organizaciones a deshabilitar todos los controles ActiveX en Internet Explorer para mitigar cualquier posible ataque.  

Deshabilitar ActiveX 

Deshabilitar la instalación de todos los controles ActiveX en Internet Explorer mitiga este ataque. Esto se puede lograr para todos los sitios actualizando el registro. Los controles ActiveX instalados anteriormente seguirán ejecutándose, pero no exponen esta vulnerabilidad.


Para deshabilitar los controles ActiveX en un sistema individual:

     Para deshabilitar la instalación de controles ActiveX en Internet Explorer en todas las zonas, pegue lo siguiente en un archivo de texto y guárdelo con la extensión de archivo .reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003

Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft tiene conocimiento de los ataques dirigidos que intentan aprovechar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados.

Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.

Microsoft Defender Antivirus y Microsoft Defender for Endpoint proporcionan detección y protección para la vulnerabilidad conocida. Los clientes deben mantener actualizados los productos antimalware. Los clientes que utilizan actualizaciones automáticas no necesitan realizar ninguna acción adicional. Los clientes empresariales que administran actualizaciones deben seleccionar la compilación de detección 1.349.22.0 o más reciente e implementarla en sus entornos. Las alertas de Microsoft Defender para Endpoint se mostrarán como: “Ejecución sospechosa de archivo Cpl”.

Una vez finalizada esta investigación, Microsoft tomará las medidas adecuadas para ayudar a proteger a nuestros clientes. Esto puede incluir proporcionar una actualización de seguridad a través de nuestro proceso de publicación mensual o proporcionar una actualización de seguridad fuera de ciclo, según las necesidades del cliente.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Filtran código fuente del Ransomware Babuk

Escucha la noticia dando click en el audio 🙂

Uno de los desarrolladores del grupo de ransomware Babuk, un joven de 17 años de Rusia, ha sido diagnosticado con cáncer de pulmón en etapa 4. Ha decidido filtrar TODO el código fuente de Babuk para Windows, ESXI, NAS. 

  • El ransomware de Babuk atacó a principios de año la tienda de telefonía Phone House y el Departamento de Policía de Washington, así como el equipo de la NBA, los Houston Rockets
  • Código fuente filtrado en sus repositorios. Están disponibles distintas versiones para ESXI, NAS y Windows.

Un presunto miembro del grupo publicó el código fuente completo del ransomware Babuk en un foro de piratería ruso. El autor de la publicación afirmó estar sufriendo una enfermedad terminal. Debido a eso decidió publicar los archivos sin ningún tipo de restricción para su descarga.

El grupo de investigación de seguridad vx-underground, un presunto miembro del grupo Babuk publicó el código fuente completo de su ransomware en un foro de habla rusa.

Este usuario afirmó estar sufriendo de cáncer terminal y decidió publicar todo el código fuente de Babuk mientras cumple su deseo de “vivir como un ser humano”

Las carpetas contienen varios proyectos de ransomware en Visual Studio para VMware ESXi,Windows  (en C++) y NAS (escrito en Golang). Además, como se menciona al principio, los archivos contienen el código fuente completo del cifrador y descifrador para sistemas operativos de Microsoft y, lo que parece ser un “keygen” de claves públicas y privadas.

Investigadores de la compañía de ciberseguridad Emsisoft y McAfee Enterprise han indicado que la filtración del ransomware Babuk parece legítima. Si bien los archivos pueden servir para descifrar los ordenadores de víctimas pasadas, también son un riesgo, ya que contienen todos los elementos necesarios para ejecutar ataques dirigidos.

En el pasado, precisamente, se filtró un generador de ransomware de Babuk en un sitio de descargas. Desafortunadamente este fue tomado por otro grupo de ciberdelincuentes que montó su propia operación de ataques. Estos cosecharon víctimas en distintas partes del mundo y las extorsionaron para no publicar sus archivos. 

De historias de traición y puñaladas por la espalda

Babuk Locker tiene una historia sórdida y pública de traiciones y puñaladas por la espalda que llevaron a la fragmentación del grupo.

Uno de los miembros de la banda de ransomware Babuk que el grupo se disolvió después del ataque al Departamento de Policía Metropolitana (MPD) en Washinton DC.

Tras el ataque, el “administrador” quiso divulgar los datos del MPD con fines publicitarios, mientras que los demás miembros de la pandilla se opusieron.

Después de la filtración de datos, el grupo se separó del administrador original formando el foro de ciberdelincuencia de Ramp y el resto mediante el lanzamiento de Babuk V2, donde continúan ejecutando ataques de ransomware.

Fuente (s) :

Créditos Música :

Love by LiQWYD | https://www.liqwydmusic.com
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By
ciberseguridad

Hackers Consiguen Ocultar Malware en la VRAM de tarjetas de video (GPUs)

Escucha la noticia dando click en el audio 🙂

Un grupo de cibercriminales están vendiendo información muy valiosa referente a instalar malware en los sistemas, y es que este nuevo método esconde el malware en la memoria VRAM de las GPUs, siendo el mayor de los problemas que es imposible de detectar por los antivirus actuales, por lo que es imposible intentar averiguar si un sistema está infectado o no. Concretamente, el malware se oculta el buffer de la GPU para evitar la inspección de los antivirus, requiriendo para su funcionamiento “estaciones de trabajo Windows que soporten OpenCL 2.0 y superior”.


Venden herramienta para ocultar malware en GPU de AMD y NVIDIA

El malware utiliza el espacio de asignación de memoria gráfica para ejecutar el código malicioso. La tecnología utiliza la API OpenCL 2.0 en el sistema operativo Windows, ningún otro sistema es compatible con el código malicioso.

Eso sí, el mayor de los problemas es que todas las gráficas que puedan hacer uso de dicha API son vulnerables, ya que el hacker en cuestión que está vendiendo los conocimientos confirmó que es posible añadir el malware en la memoria de GPUs modernas como la AMD Radeon RX 5700 o la Nvidia GeForce GTX 1650, o modelos antiguos como la GeForce GTX 740M o las iGPUs Intel UHD 620/630.

Este método de ocultación habría sido probado exitosamente con tarjetas Intel UHD 620 y 630, Radeon RX 5700 y GeForce GTX 740M y 1650.

Encuentran la forma de añadir código malicioso empleando la VRAM de la GPU

El uso de la memoria gráfica para ejecutar código malicioso no es un tema totalmente nuevo. Ya en 2015 los investigadores demostraron una prueba de concepto de un keylogger basado en la GPU y troyanos de acceso remoto para Windows. El autor del nuevo malware afirma que su método es nuevo y no está asociado a esos métodos.

Se espera que en breve se revele más información, ya que los responsables de vx-underground, la mayor colección de código fuente de malware, muestras y documentos en Internet, ya ha asegurado que la GPU está ejecutando los binarios del malware desde el espacio de memoria VRAM de la GPU.

Si bien el método no es nuevo y el código de demostración se ha publicado antes, los proyectos hasta ahora provenían del mundo académico o estaban incompletos y sin refinar.

A principios de este mes, una prueba de concepto (PoC) se vendió en un for, lo que podría marcar la transición de los ciberdelincuentes a un nuevo nivel de sofisticación para sus ataques.

Código probado en GPU Intel, AMD y Nvidia

En una breve publicación, alguien ofreció vender la prueba de concepto (PoC) para una técnica que, según ellos, mantiene el código malicioso a salvo de las soluciones de seguridad que escanean la RAM del sistema.

El vendedor proporcionó solo una descripción general de su método, diciendo que usa el búfer de memoria de la GPU para almacenar código malicioso y ejecutarlo desde allí.

Según el anunciante, el proyecto funciona solo en sistemas Windows que admiten las versiones 2.0 y superiores del marco OpenCL para ejecutar código en varios procesadores, incluidas las GPU.

La publicación también mencionó que el autor probó el código en tarjetas gráficas de Intel (UHD 620/630), Radeon (RX 5700) y GeForce (GTX 740M (?), GTX 1650).

VX-Underground dijo que el código malicioso permite la ejecución binaria por parte de la GPU en su espacio de memoria. También agregaron que demostrarán la técnica en un futuro próximo.

Los mismos investigadores detrás del rootkit JellyFish también publicaron PoC para un keylogger basado en GPU y un troyano de acceso remoto basado en GPU para Windows. Los tres proyectos se publicaron en mayo de 2015 y han estado a disposición del público.

El vendedor rechazó la asociación con el malware JellyFish diciendo que su método es diferente y no depende de la asignación de código al espacio de usuario.

No hay detalles sobre el trato, quién lo compró y cuánto pagaron. Solo la publicación del vendedor de que vendió el software malicioso a un tercero desconocido.

Si bien la referencia al proyecto JellyFish sugiere que el malware basado en GPU es una idea relativamente nueva, la base para este método de ataque se estableció hace unos ocho años.

En 2013, investigadores del Institute of Computer Science – Foundation for Research and Technology (FORTH) en Grecia y de la Universidad de Columbia en Nueva York demostraron que las GPU pueden albergar el funcionamiento de un registrador de pulsaciones de teclas y almacenar las pulsaciones de teclas capturadas en su espacio de memoria [documento PDF aquí].

Anteriormente, los investigadores demostraron que los autores de malware pueden aprovechar la potencia computacional de la GPU para empaquetar el código con esquemas de cifrado muy complejos mucho más rápido que la CPU. 

Fuente (s) :

Créditos Música :

Endless Summer by Loxbeats | https://soundcloud.com/loxbeats
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License
https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By
Tecnología

Grave vulnerabilidad afecta base datos Cosmos utilizada por los servicios en la nube de Azure de Microsoft


Un fallo de seguridad de Microsoft provoca que cientos de bases de datos de los clientes estén expuestos. La empresa de seguridad Wiz quien descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas.

ChaosDB, un fallo crítico de Cosmos DB afectó a miles de clientes de Microsoft Azure

Microsoft ha corregido un falla crítico en Cosmos DB que permitía a cualquier usuario de Azure hacerse cargo de forma remota de las bases de datos de otros usuarios sin ninguna autorización.

Investigadores de la empresa de seguridad en la nube Wiz revelaron detalles técnicos de una vulnerabilidad de la base de datos de Azure Cosmos ahora corregida, denominada ChaosDB, que podría haber sido potencialmente explotada por los atacantes para obtener acceso de administrador completo a las instancias de la base de datos de otros clientes sin ninguna autorización.

“#ChaosDB es una vulnerabilidad crítica sin precedentes en la plataforma en la nube de Azure que permite la toma de control de cuenta remota de la base de datos insignia de Azure: Cosmos DB. La vulnerabilidad, que fue revelada a Microsoft en agosto de 2021 por el equipo de investigación de Wiz, otorga a cualquier usuario de Azure acceso de administrador completo (lectura, escritura, eliminación) a las instancias de Cosmos DB de otros clientes sin autorización “. lee el post publicado por la firma de seguridad,

Azure Cosmos Darabase es el servicio de base de datos multimodelo distribuido globalmente de Microsoft.

Los expertos de Wiz descubrieron la vulnerabilidad el 9 de agosto y la informaron a Microsoft el día 12. El 14 de agosto de 2021, el equipo de investigación de Wiz observó que la falla se solucionó y el 16 de agosto MSRC reconoció la falla.

El mismo día, las credenciales obtenidas por el equipo de investigación de Wiz fueron revocadas y el 17 de agosto, MSRC otorgó una recompensa de $ 40,000 por el informe. Microsoft reveló públicamente la falla el 26 de agosto de 2021.

“Microsoft se ha dado cuenta recientemente de una vulnerabilidad en Azure Cosmos DB que podría permitir que un usuario obtenga acceso a los recursos de otro cliente mediante el uso de la clave principal de lectura y escritura de la cuenta. Esta vulnerabilidad nos la informó confidencialmente un investigador de seguridad externo. Una vez que nos dimos cuenta de este problema el 12 de agosto de 2021, mitigamos la vulnerabilidad de inmediato “. lee la declaración compartida por Microsoft con sus clientes. “No tenemos ninguna indicación de que entidades externas fuera del investigador tuvieran acceso a la clave principal de lectura y escritura asociada con su (s) cuenta (s) de Azure Cosmos DB. Además, no tenemos conocimiento de ningún acceso a datos debido a esta vulnerabilidad. Las cuentas de Azure Cosmos DB con vNET o firewall habilitado están protegidas por mecanismos de seguridad adicionales que evitan el riesgo de acceso no autorizado “.

Los expertos de Wiz identificaron un exploit que aprovecha una cadena de vulnerabilidades en la función Jupyter Notebook de Cosmos DB que permite a un atacante obtener las credenciales correspondientes a la cuenta de Cosmos DB de destino, incluida la clave principal. Estas credenciales permiten a los usuarios ver, modificar y eliminar datos en la cuenta de Cosmos DB de destino a través de múltiples canales.

Microsoft alerta a sus clientes de grave vulnerabilidad en BD Cosmos utilizada en los servicios cloud de Azure

La compañía Microsoft alerta a miles de clientes de su nube que atacantes podrían tener la posibilidad de acceder a las cuentas, e incluso leer y modificar el contenido de las bases de datos. Entre estos datos se encuentran algunas de las empresas más grandes del mundo. 

La empresa que ha descubierto el fallo pudo acceder a sus bases de datos y en su descubrimiento tenían la capacidad no solo de ver el contenido, sino también de cambiar y eliminar información de su base de datos Cosmos de Microsoft Azure.

Para llegar a la base de datos Cosmos, primero la firma de seguridad obtuvo acceso a las claves primarias de la base de datos de los clientes. Las claves primarias son “el santo grial para los atacantes” ya que son de larga duración y permiten un acceso completo de lectura, escritora y eliminación de los datos. Hay que recordar que en 2019, Microsoft añadió una función llamada Jupyter Notebook a Cosmos DB que permite a los clientes visualizar sus datos y crear vistas personalizadas y así fue como se llegó al objetivo. La función se activó automáticamente para todas las bases de datos de Cosmos en febrero de 2021.

Wiz recuerda que algunas de las empresas que utilizan esta base de datos Cosmos son gigantes como Coca-Cola, Exxon-Mobil y Citrix, como se puede ver en la propia web oficial de este servicio. 

Microsoft no puede cambiar esas claves por sí mismo, el jueves envió un correo electrónico a los clientes diciéndoles que crearan otras nuevas. Microsoft ha acordado pagar a Wiz 40.000 dólares por encontrar el fallo y denunciarlo, según un correo electrónico que envió a Wiz. Eso sí, los portavoces de Microsoft no han comentado nada más sobre este problema de seguridad.

Para mitigar la falla, las organizaciones deben regenerar su clave principal de la base de datos de Cosmos siguiendo la guía proporcionada por Microsoft. Los expertos también recomiendan revisar toda la actividad pasada en su cuenta de Cosmos DB. 

En un mail que la firma de Redmond remitió a Wiz lo que dicen desde la empresa es que Microsoft había corregido la vulnerabilidad y que no había pruebas de que el fallo hubiera sido explotado. “No tenemos indicios de que entidades externas al investigador (Wiz) hayan tenido acceso a la clave principal de lectura y escritura”, dice el correo.

“Esta es la peor vulnerabilidad en la nube que se pueda imaginar”, dijo Luttwak a Reuters. “Esta es la base de datos central de Azure, y en nuestra investigación pudimos acceder a cualquier base de datos de todos los clientes que quisiéramos“. El equipo de Luttwak encontró el problema, bautizado como ChaosDB, el 9 de agosto y lo notificó a Microsoft el 12 de agosto, dijo Luttwak, aunque no se ha conocido hasta hace unas horas. 


Fuente (s ) :

Seguir Leyendo
By
CiberFraudes

Guardia Civil desarticula red que desfalcaba cuentas bancarias a través del ‘SIM Swapping’

Escucha la noticia dando click en el audio 🙂

La Guardia Civil ha detenido a una organización criminal asentada en la provincia de A Coruña, vinculada con una organización internacional dedicada a las estafas bancarias. Utilizaban la metodología conocida como ‘SIM Swapping’ para retirar dinero de las cuentas de sus víctimas.

  • La Guardia Civil ha detenido a 8 personas, todos vecinos de distintas localidades de la provincia de A Coruña
  • Los estafadores duplicaban las tarjetas SIM de los teléfonos de las víctimas y se hacían con las claves de la banca online
  • Luego hacían trasferencias de dinero y, además, solicitaban préstamos a la entidad bancaria para obtener un mayor beneficio

Las investigaciones se iniciaron en febrero del año pasado, después de detectar una serie de estafas que comenzaban con el duplicado de las tarjetas SIM de los teléfonos de los perjudicados. El grupo criminal utilizaba el método ‘SIM Swapping’, que consiste en obtener las claves que utilizan las víctimas para acceder a la banca electrónica a través de métodos como el malware, pharming o phising.

Una vez obtenidas las contraseñas, duplicaban la tarjeta telefónica de la víctima para recibir los códigos de verificación de las transferencias que estas querían realizar, perdiendo de esta forma el control total de su línea telefónica y de sus cuentas bancarias.

A partir de ese momento, comenzaban a realizar transferencias fraudulentas desde la cuenta de la víctima a otras de terceras personas, de las que se servían para canalizar el dinero. En esta ocasión, además, solicitaban préstamos a la entidad bancaria con el fin de obtener un mayor beneficio económico.PUBLICIDAD

Un vecino de Camariñas, el jefe del grupo

Esta operación de la Guardia Civil, bautizada con el nombre de Albor, ha finalizado con la detención de 8 personas en las localidades coruñesas de A Coruña, Arteixo, Ferrol, Miño, Carballo, Camariñas y Malpica. La mayoría de ellos tenían antecedentes policiales por hechos similares.

Uno de los detenidos, natural de Camariñas, realizaba las funciones de jefe de grupo. Él era quien presuntamente captaba a las personas que realizaban los duplicados de las tarjetas SIM de las víctimas y a quienes ejercían la función de “mulero”, recibiendo el dinero defraudado en cuentas bancarias que luego hacían efectivo en cajeros automáticos o directamente en caja, para posteriormente remitirlo al contacto de la organización y cobrando una pequeña cantidad de dinero por ello.

Como consecuencia de las investigaciones, la Guardia Civil ha conseguido vincular a este grupo de delincuentes con otros de las provincias de Badajoz, Madrid, Málaga y Valencia. Todos dependían de una organización criminal internacional que tenía su sede en Brasil.

La Guardia Civil ha podido así esclarecer múltiples denuncias de estafa presentadas en Badajoz, Valladolid y Toledo por un valor de 49.500 euros. Todos los detenidos han sido puestos a disposición del Juzgado de Instrucción de guardia de A Coruña.

Referencia(s) :

Créditos Música :

Seguir Leyendo
By
ciberseguridad

Qué es el Spyware Pegasus y como funciona

Spyware Pegasus es un software espía de grado militar que fue (y tal vez todavia es ) vendido por una empresa israelí a los gobiernos para ” rastrear a terroristas y delincuentes” *( s aja y yo me chupo el dedo ) * , sin embargo, se convirtió en noticia cuando se empezó a filtrar objetivos que fueron acechados por este software de espionaje.

Pegasus fue utilizado para espiar desde activistas, políticos, periodistas y quien sabe que y cuantos ciudadanos mas en el mundo .

Esta noticia es vieja, fué publicado hace mucho. La primera vez que oímos hablar de Pegasus es en agosto de 2016, cuando los investigadores de Lookout y Citizen Lab descubrieron una “amenaza activa que utiliza tres vulnerabilidades críticas de zero-day para iOS que, cuando son explotadas, forman una cadena de ataques que subvierten incluso el sólido entorno de seguridad de Apple”.

En resumen, el Spyware Pegasus accedía y se podía prácticamente adueñar virtualmente de cualquier Iphone incluso sin tener que hace Jailbraik ( root – sudo access – permisos de administrador )

Este descubrimiento fue posible gracias a Ahmed Mansoor, un activista emiratí que lleva 10 años en la cárcel que empezó a recibir una serie de mensajes con links maliciosos. Y tanto que lo eran. Mansoor mandó los enlaces a Citizen Lab, que detectaron que al pulsar el enlace el iPhone se infectaba con un malware que, importante, no requería que el dispositivo tuviese jailbreak.


 Mito: “Solo Afecta a dispositivos iOS ”

– La realidad es que Afecta tanto a IOS como a Android

“Este es un software perverso, elocuentemente perverso”

Timothy Summers – exingeniero de seguridad cibernética de una agencia de inteligencia de EUA
  • Con Spyware Pegasus “uno podría espiar a casi toda la población mundial… no hay nada de malo en crear tecnologías que te permitan recopilar datos; a veces es necesario. Pero la humanidad no está en un lugar en el que podamos tener tanto poder al alcance de cualquiera”.

¿Por que el Malware Pegasus vuelve a ser noticia ?

Digamos que antes, se sabía de este software y de que algunos gobiernos habían contratado este software con el fin de espiar a sus adversarios .

La noticia es que hace unos días se publicó más de 50,000 números de teléfonos celulares, una lista de teléfonos concentrada en países conocidos por participar en la intrusión y vigilancia de sus ciudadanos y también conocidos por haber sido clientes de NSO Group ( la compañía israelí vendedora del Spyware Pegasus – líder mundial en la industria de la ciber vigilancia) Los números abarcan más de 50 países de todo el mundo.

En México esto volvió a hacer noticia ya que la mayor cantidad estaba en México, donde más de 15,000 números de teléfono, incluyendo algunos pertenecientes a políticos, representantes sindicales, periodistas y otros críticos del gobierno, estaban en la lista.

¿Cómo funciona Pegasus?

Esquema de Vectores de ataque y acceso de Pegasus / Fuente The Guardian
  • El Spyware Pegasus funciona a través de la infiltración en los teléfonos celulares.
  • Se extrae la información personal, así como la ubicación de los usuarios.
  • De manera oculta, se controlan los micrófonos y cámaras de los dispositivos.
  • Esto permite espiar las comunicaciones de los reporteros y periodistas.
  • Su diseño se basa en evitar la detección y ocultar su actividad.
  • Este programa se vende a 60 agencias militares, de inteligencia o de seguridad en 40 países de todo el mundo.

https://twitter.com/amnesty

Referencias:

Seguir Leyendo
By