Lo + Nuevo
Adal Paredes
Tag

cybersecurity

Browsing
ciberseguridad

Filtran código fuente del Ransomware Babuk

Escucha la noticia dando click en el audio 🙂

Uno de los desarrolladores del grupo de ransomware Babuk, un joven de 17 años de Rusia, ha sido diagnosticado con cáncer de pulmón en etapa 4. Ha decidido filtrar TODO el código fuente de Babuk para Windows, ESXI, NAS. 

  • El ransomware de Babuk atacó a principios de año la tienda de telefonía Phone House y el Departamento de Policía de Washington, así como el equipo de la NBA, los Houston Rockets
  • Código fuente filtrado en sus repositorios. Están disponibles distintas versiones para ESXI, NAS y Windows.

Un presunto miembro del grupo publicó el código fuente completo del ransomware Babuk en un foro de piratería ruso. El autor de la publicación afirmó estar sufriendo una enfermedad terminal. Debido a eso decidió publicar los archivos sin ningún tipo de restricción para su descarga.

El grupo de investigación de seguridad vx-underground, un presunto miembro del grupo Babuk publicó el código fuente completo de su ransomware en un foro de habla rusa.

Este usuario afirmó estar sufriendo de cáncer terminal y decidió publicar todo el código fuente de Babuk mientras cumple su deseo de “vivir como un ser humano”

Las carpetas contienen varios proyectos de ransomware en Visual Studio para VMware ESXi,Windows  (en C++) y NAS (escrito en Golang). Además, como se menciona al principio, los archivos contienen el código fuente completo del cifrador y descifrador para sistemas operativos de Microsoft y, lo que parece ser un “keygen” de claves públicas y privadas.

Investigadores de la compañía de ciberseguridad Emsisoft y McAfee Enterprise han indicado que la filtración del ransomware Babuk parece legítima. Si bien los archivos pueden servir para descifrar los ordenadores de víctimas pasadas, también son un riesgo, ya que contienen todos los elementos necesarios para ejecutar ataques dirigidos.

En el pasado, precisamente, se filtró un generador de ransomware de Babuk en un sitio de descargas. Desafortunadamente este fue tomado por otro grupo de ciberdelincuentes que montó su propia operación de ataques. Estos cosecharon víctimas en distintas partes del mundo y las extorsionaron para no publicar sus archivos. 

De historias de traición y puñaladas por la espalda

Babuk Locker tiene una historia sórdida y pública de traiciones y puñaladas por la espalda que llevaron a la fragmentación del grupo.

Uno de los miembros de la banda de ransomware Babuk que el grupo se disolvió después del ataque al Departamento de Policía Metropolitana (MPD) en Washinton DC.

Tras el ataque, el “administrador” quiso divulgar los datos del MPD con fines publicitarios, mientras que los demás miembros de la pandilla se opusieron.

Después de la filtración de datos, el grupo se separó del administrador original formando el foro de ciberdelincuencia de Ramp y el resto mediante el lanzamiento de Babuk V2, donde continúan ejecutando ataques de ransomware.

Fuente (s) :

Créditos Música :

Love by LiQWYD | https://www.liqwydmusic.com
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By
ciberseguridad

Hackers Consiguen Ocultar Malware en la VRAM de tarjetas de video (GPUs)

Escucha la noticia dando click en el audio 🙂

Un grupo de cibercriminales están vendiendo información muy valiosa referente a instalar malware en los sistemas, y es que este nuevo método esconde el malware en la memoria VRAM de las GPUs, siendo el mayor de los problemas que es imposible de detectar por los antivirus actuales, por lo que es imposible intentar averiguar si un sistema está infectado o no. Concretamente, el malware se oculta el buffer de la GPU para evitar la inspección de los antivirus, requiriendo para su funcionamiento “estaciones de trabajo Windows que soporten OpenCL 2.0 y superior”.


Venden herramienta para ocultar malware en GPU de AMD y NVIDIA

El malware utiliza el espacio de asignación de memoria gráfica para ejecutar el código malicioso. La tecnología utiliza la API OpenCL 2.0 en el sistema operativo Windows, ningún otro sistema es compatible con el código malicioso.

Eso sí, el mayor de los problemas es que todas las gráficas que puedan hacer uso de dicha API son vulnerables, ya que el hacker en cuestión que está vendiendo los conocimientos confirmó que es posible añadir el malware en la memoria de GPUs modernas como la AMD Radeon RX 5700 o la Nvidia GeForce GTX 1650, o modelos antiguos como la GeForce GTX 740M o las iGPUs Intel UHD 620/630.

Este método de ocultación habría sido probado exitosamente con tarjetas Intel UHD 620 y 630, Radeon RX 5700 y GeForce GTX 740M y 1650.

Encuentran la forma de añadir código malicioso empleando la VRAM de la GPU

El uso de la memoria gráfica para ejecutar código malicioso no es un tema totalmente nuevo. Ya en 2015 los investigadores demostraron una prueba de concepto de un keylogger basado en la GPU y troyanos de acceso remoto para Windows. El autor del nuevo malware afirma que su método es nuevo y no está asociado a esos métodos.

Se espera que en breve se revele más información, ya que los responsables de vx-underground, la mayor colección de código fuente de malware, muestras y documentos en Internet, ya ha asegurado que la GPU está ejecutando los binarios del malware desde el espacio de memoria VRAM de la GPU.

Si bien el método no es nuevo y el código de demostración se ha publicado antes, los proyectos hasta ahora provenían del mundo académico o estaban incompletos y sin refinar.

A principios de este mes, una prueba de concepto (PoC) se vendió en un for, lo que podría marcar la transición de los ciberdelincuentes a un nuevo nivel de sofisticación para sus ataques.

Código probado en GPU Intel, AMD y Nvidia

En una breve publicación, alguien ofreció vender la prueba de concepto (PoC) para una técnica que, según ellos, mantiene el código malicioso a salvo de las soluciones de seguridad que escanean la RAM del sistema.

El vendedor proporcionó solo una descripción general de su método, diciendo que usa el búfer de memoria de la GPU para almacenar código malicioso y ejecutarlo desde allí.

Según el anunciante, el proyecto funciona solo en sistemas Windows que admiten las versiones 2.0 y superiores del marco OpenCL para ejecutar código en varios procesadores, incluidas las GPU.

La publicación también mencionó que el autor probó el código en tarjetas gráficas de Intel (UHD 620/630), Radeon (RX 5700) y GeForce (GTX 740M (?), GTX 1650).

VX-Underground dijo que el código malicioso permite la ejecución binaria por parte de la GPU en su espacio de memoria. También agregaron que demostrarán la técnica en un futuro próximo.

Los mismos investigadores detrás del rootkit JellyFish también publicaron PoC para un keylogger basado en GPU y un troyano de acceso remoto basado en GPU para Windows. Los tres proyectos se publicaron en mayo de 2015 y han estado a disposición del público.

El vendedor rechazó la asociación con el malware JellyFish diciendo que su método es diferente y no depende de la asignación de código al espacio de usuario.

No hay detalles sobre el trato, quién lo compró y cuánto pagaron. Solo la publicación del vendedor de que vendió el software malicioso a un tercero desconocido.

Si bien la referencia al proyecto JellyFish sugiere que el malware basado en GPU es una idea relativamente nueva, la base para este método de ataque se estableció hace unos ocho años.

En 2013, investigadores del Institute of Computer Science – Foundation for Research and Technology (FORTH) en Grecia y de la Universidad de Columbia en Nueva York demostraron que las GPU pueden albergar el funcionamiento de un registrador de pulsaciones de teclas y almacenar las pulsaciones de teclas capturadas en su espacio de memoria [documento PDF aquí].

Anteriormente, los investigadores demostraron que los autores de malware pueden aprovechar la potencia computacional de la GPU para empaquetar el código con esquemas de cifrado muy complejos mucho más rápido que la CPU. 

Fuente (s) :

Créditos Música :

Endless Summer by Loxbeats | https://soundcloud.com/loxbeats
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License
https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By
Tecnología

Grave vulnerabilidad afecta base datos Cosmos utilizada por los servicios en la nube de Azure de Microsoft


Un fallo de seguridad de Microsoft provoca que cientos de bases de datos de los clientes estén expuestos. La empresa de seguridad Wiz quien descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas.

ChaosDB, un fallo crítico de Cosmos DB afectó a miles de clientes de Microsoft Azure

Microsoft ha corregido un falla crítico en Cosmos DB que permitía a cualquier usuario de Azure hacerse cargo de forma remota de las bases de datos de otros usuarios sin ninguna autorización.

Investigadores de la empresa de seguridad en la nube Wiz revelaron detalles técnicos de una vulnerabilidad de la base de datos de Azure Cosmos ahora corregida, denominada ChaosDB, que podría haber sido potencialmente explotada por los atacantes para obtener acceso de administrador completo a las instancias de la base de datos de otros clientes sin ninguna autorización.

“#ChaosDB es una vulnerabilidad crítica sin precedentes en la plataforma en la nube de Azure que permite la toma de control de cuenta remota de la base de datos insignia de Azure: Cosmos DB. La vulnerabilidad, que fue revelada a Microsoft en agosto de 2021 por el equipo de investigación de Wiz, otorga a cualquier usuario de Azure acceso de administrador completo (lectura, escritura, eliminación) a las instancias de Cosmos DB de otros clientes sin autorización “. lee el post publicado por la firma de seguridad,

Azure Cosmos Darabase es el servicio de base de datos multimodelo distribuido globalmente de Microsoft.

Los expertos de Wiz descubrieron la vulnerabilidad el 9 de agosto y la informaron a Microsoft el día 12. El 14 de agosto de 2021, el equipo de investigación de Wiz observó que la falla se solucionó y el 16 de agosto MSRC reconoció la falla.

El mismo día, las credenciales obtenidas por el equipo de investigación de Wiz fueron revocadas y el 17 de agosto, MSRC otorgó una recompensa de $ 40,000 por el informe. Microsoft reveló públicamente la falla el 26 de agosto de 2021.

“Microsoft se ha dado cuenta recientemente de una vulnerabilidad en Azure Cosmos DB que podría permitir que un usuario obtenga acceso a los recursos de otro cliente mediante el uso de la clave principal de lectura y escritura de la cuenta. Esta vulnerabilidad nos la informó confidencialmente un investigador de seguridad externo. Una vez que nos dimos cuenta de este problema el 12 de agosto de 2021, mitigamos la vulnerabilidad de inmediato “. lee la declaración compartida por Microsoft con sus clientes. “No tenemos ninguna indicación de que entidades externas fuera del investigador tuvieran acceso a la clave principal de lectura y escritura asociada con su (s) cuenta (s) de Azure Cosmos DB. Además, no tenemos conocimiento de ningún acceso a datos debido a esta vulnerabilidad. Las cuentas de Azure Cosmos DB con vNET o firewall habilitado están protegidas por mecanismos de seguridad adicionales que evitan el riesgo de acceso no autorizado “.

Los expertos de Wiz identificaron un exploit que aprovecha una cadena de vulnerabilidades en la función Jupyter Notebook de Cosmos DB que permite a un atacante obtener las credenciales correspondientes a la cuenta de Cosmos DB de destino, incluida la clave principal. Estas credenciales permiten a los usuarios ver, modificar y eliminar datos en la cuenta de Cosmos DB de destino a través de múltiples canales.

Microsoft alerta a sus clientes de grave vulnerabilidad en BD Cosmos utilizada en los servicios cloud de Azure

La compañía Microsoft alerta a miles de clientes de su nube que atacantes podrían tener la posibilidad de acceder a las cuentas, e incluso leer y modificar el contenido de las bases de datos. Entre estos datos se encuentran algunas de las empresas más grandes del mundo. 

La empresa que ha descubierto el fallo pudo acceder a sus bases de datos y en su descubrimiento tenían la capacidad no solo de ver el contenido, sino también de cambiar y eliminar información de su base de datos Cosmos de Microsoft Azure.

Para llegar a la base de datos Cosmos, primero la firma de seguridad obtuvo acceso a las claves primarias de la base de datos de los clientes. Las claves primarias son “el santo grial para los atacantes” ya que son de larga duración y permiten un acceso completo de lectura, escritora y eliminación de los datos. Hay que recordar que en 2019, Microsoft añadió una función llamada Jupyter Notebook a Cosmos DB que permite a los clientes visualizar sus datos y crear vistas personalizadas y así fue como se llegó al objetivo. La función se activó automáticamente para todas las bases de datos de Cosmos en febrero de 2021.

Wiz recuerda que algunas de las empresas que utilizan esta base de datos Cosmos son gigantes como Coca-Cola, Exxon-Mobil y Citrix, como se puede ver en la propia web oficial de este servicio. 

Microsoft no puede cambiar esas claves por sí mismo, el jueves envió un correo electrónico a los clientes diciéndoles que crearan otras nuevas. Microsoft ha acordado pagar a Wiz 40.000 dólares por encontrar el fallo y denunciarlo, según un correo electrónico que envió a Wiz. Eso sí, los portavoces de Microsoft no han comentado nada más sobre este problema de seguridad.

Para mitigar la falla, las organizaciones deben regenerar su clave principal de la base de datos de Cosmos siguiendo la guía proporcionada por Microsoft. Los expertos también recomiendan revisar toda la actividad pasada en su cuenta de Cosmos DB. 

En un mail que la firma de Redmond remitió a Wiz lo que dicen desde la empresa es que Microsoft había corregido la vulnerabilidad y que no había pruebas de que el fallo hubiera sido explotado. “No tenemos indicios de que entidades externas al investigador (Wiz) hayan tenido acceso a la clave principal de lectura y escritura”, dice el correo.

“Esta es la peor vulnerabilidad en la nube que se pueda imaginar”, dijo Luttwak a Reuters. “Esta es la base de datos central de Azure, y en nuestra investigación pudimos acceder a cualquier base de datos de todos los clientes que quisiéramos“. El equipo de Luttwak encontró el problema, bautizado como ChaosDB, el 9 de agosto y lo notificó a Microsoft el 12 de agosto, dijo Luttwak, aunque no se ha conocido hasta hace unas horas. 


Fuente (s ) :

Seguir Leyendo
By
CiberFraudes

Guardia Civil desarticula red que desfalcaba cuentas bancarias a través del ‘SIM Swapping’

Escucha la noticia dando click en el audio 🙂

La Guardia Civil ha detenido a una organización criminal asentada en la provincia de A Coruña, vinculada con una organización internacional dedicada a las estafas bancarias. Utilizaban la metodología conocida como ‘SIM Swapping’ para retirar dinero de las cuentas de sus víctimas.

  • La Guardia Civil ha detenido a 8 personas, todos vecinos de distintas localidades de la provincia de A Coruña
  • Los estafadores duplicaban las tarjetas SIM de los teléfonos de las víctimas y se hacían con las claves de la banca online
  • Luego hacían trasferencias de dinero y, además, solicitaban préstamos a la entidad bancaria para obtener un mayor beneficio

Las investigaciones se iniciaron en febrero del año pasado, después de detectar una serie de estafas que comenzaban con el duplicado de las tarjetas SIM de los teléfonos de los perjudicados. El grupo criminal utilizaba el método ‘SIM Swapping’, que consiste en obtener las claves que utilizan las víctimas para acceder a la banca electrónica a través de métodos como el malware, pharming o phising.

Una vez obtenidas las contraseñas, duplicaban la tarjeta telefónica de la víctima para recibir los códigos de verificación de las transferencias que estas querían realizar, perdiendo de esta forma el control total de su línea telefónica y de sus cuentas bancarias.

A partir de ese momento, comenzaban a realizar transferencias fraudulentas desde la cuenta de la víctima a otras de terceras personas, de las que se servían para canalizar el dinero. En esta ocasión, además, solicitaban préstamos a la entidad bancaria con el fin de obtener un mayor beneficio económico.PUBLICIDAD

Un vecino de Camariñas, el jefe del grupo

Esta operación de la Guardia Civil, bautizada con el nombre de Albor, ha finalizado con la detención de 8 personas en las localidades coruñesas de A Coruña, Arteixo, Ferrol, Miño, Carballo, Camariñas y Malpica. La mayoría de ellos tenían antecedentes policiales por hechos similares.

Uno de los detenidos, natural de Camariñas, realizaba las funciones de jefe de grupo. Él era quien presuntamente captaba a las personas que realizaban los duplicados de las tarjetas SIM de las víctimas y a quienes ejercían la función de “mulero”, recibiendo el dinero defraudado en cuentas bancarias que luego hacían efectivo en cajeros automáticos o directamente en caja, para posteriormente remitirlo al contacto de la organización y cobrando una pequeña cantidad de dinero por ello.

Como consecuencia de las investigaciones, la Guardia Civil ha conseguido vincular a este grupo de delincuentes con otros de las provincias de Badajoz, Madrid, Málaga y Valencia. Todos dependían de una organización criminal internacional que tenía su sede en Brasil.

La Guardia Civil ha podido así esclarecer múltiples denuncias de estafa presentadas en Badajoz, Valladolid y Toledo por un valor de 49.500 euros. Todos los detenidos han sido puestos a disposición del Juzgado de Instrucción de guardia de A Coruña.

Referencia(s) :

Créditos Música :

Seguir Leyendo
By
ciberseguridad

Qué es el Spyware Pegasus y como funciona

Spyware Pegasus es un software espía de grado militar que fue (y tal vez todavia es ) vendido por una empresa israelí a los gobiernos para ” rastrear a terroristas y delincuentes” *( s aja y yo me chupo el dedo ) * , sin embargo, se convirtió en noticia cuando se empezó a filtrar objetivos que fueron acechados por este software de espionaje.

Pegasus fue utilizado para espiar desde activistas, políticos, periodistas y quien sabe que y cuantos ciudadanos mas en el mundo .

Esta noticia es vieja, fué publicado hace mucho. La primera vez que oímos hablar de Pegasus es en agosto de 2016, cuando los investigadores de Lookout y Citizen Lab descubrieron una “amenaza activa que utiliza tres vulnerabilidades críticas de zero-day para iOS que, cuando son explotadas, forman una cadena de ataques que subvierten incluso el sólido entorno de seguridad de Apple”.

En resumen, el Spyware Pegasus accedía y se podía prácticamente adueñar virtualmente de cualquier Iphone incluso sin tener que hace Jailbraik ( root – sudo access – permisos de administrador )

Este descubrimiento fue posible gracias a Ahmed Mansoor, un activista emiratí que lleva 10 años en la cárcel que empezó a recibir una serie de mensajes con links maliciosos. Y tanto que lo eran. Mansoor mandó los enlaces a Citizen Lab, que detectaron que al pulsar el enlace el iPhone se infectaba con un malware que, importante, no requería que el dispositivo tuviese jailbreak.


 Mito: “Solo Afecta a dispositivos iOS ”

– La realidad es que Afecta tanto a IOS como a Android

“Este es un software perverso, elocuentemente perverso”

Timothy Summers – exingeniero de seguridad cibernética de una agencia de inteligencia de EUA
  • Con Spyware Pegasus “uno podría espiar a casi toda la población mundial… no hay nada de malo en crear tecnologías que te permitan recopilar datos; a veces es necesario. Pero la humanidad no está en un lugar en el que podamos tener tanto poder al alcance de cualquiera”.

¿Por que el Malware Pegasus vuelve a ser noticia ?

Digamos que antes, se sabía de este software y de que algunos gobiernos habían contratado este software con el fin de espiar a sus adversarios .

La noticia es que hace unos días se publicó más de 50,000 números de teléfonos celulares, una lista de teléfonos concentrada en países conocidos por participar en la intrusión y vigilancia de sus ciudadanos y también conocidos por haber sido clientes de NSO Group ( la compañía israelí vendedora del Spyware Pegasus – líder mundial en la industria de la ciber vigilancia) Los números abarcan más de 50 países de todo el mundo.

En México esto volvió a hacer noticia ya que la mayor cantidad estaba en México, donde más de 15,000 números de teléfono, incluyendo algunos pertenecientes a políticos, representantes sindicales, periodistas y otros críticos del gobierno, estaban en la lista.

¿Cómo funciona Pegasus?

Esquema de Vectores de ataque y acceso de Pegasus / Fuente The Guardian
  • El Spyware Pegasus funciona a través de la infiltración en los teléfonos celulares.
  • Se extrae la información personal, así como la ubicación de los usuarios.
  • De manera oculta, se controlan los micrófonos y cámaras de los dispositivos.
  • Esto permite espiar las comunicaciones de los reporteros y periodistas.
  • Su diseño se basa en evitar la detección y ocultar su actividad.
  • Este programa se vende a 60 agencias militares, de inteligencia o de seguridad en 40 países de todo el mundo.

https://twitter.com/amnesty

Referencias:

Seguir Leyendo
By