Lo + Nuevo
Adal Paredes
Tag

hackers

Visitando
ciberseguridad

¿Cuál es la diferencia entre VPN y Proxy? Guía Completa

Tanto la VPN como el proxy se utilizan para facilitar la conexión entre el cliente y el servidor al ocultar su dirección IP y son ligeramente diferentes en la forma en que manejan los datos.

En el mundo cibernético moderno, nos hemos enfrentado a muchas preocupaciones sobre nuestra privacidad, tanto las VPN como el proxy lo manejan de manera significativa.

Es bastante significativo tener el conocimiento de la diferencia entre VPN vs Proxy y el escenario donde podemos usar y donde no.

¿Qué es un Proxy?


El servidor proxy o proxy es un nodo intermedio entre el cliente e Internet que toma una solicitud del Cliente y la pasa a varios servidores y proporciona servicios de red indirectos al cliente. El propósito principal del proxy es filtrar el tráfico peligroso de Internet aplicando la regla estricta para garantizar el anonimato del cliente.

Nos permite ocultar la IP del cliente y la ubicación del sitio que visita. al conectarse a uno de los servidores proxy, la solicitud del cliente se reenvía al proxy, luego procesa la solicitud del cliente y el resultado se devolverá al cliente.

¿Qué es una VPN?


VPN o Virtual Private Network es una tecnología que se desarrolló para proporcionar acceso seguro a través de Internet para las solicitudes de los clientes a través de túneles encriptados. VPN redirige la solicitud del lado del cliente a través del servidor remoto que ejecutan los proveedores de servicios VPN. ayuda a garantizar que los datos confidenciales permanezcan privados durante la transmisión a través de Internet de un lugar a otro.

VPN Shield la actividad de navegación de los usuarios y eludiendo la censura de Internet. El software VPN encripta la solicitud del usuario incluso antes de que su proveedor de servicios de Internet la vea y la redirige a varios nodos VPN y responde al cliente.

Proxy vs Seguridad VPN


Cuando se trata de seguridad, VPN está por delante de los servidores proxy, las VPN tienen un túnel encriptado para transferir los datos de forma segura, pero ese no es el caso con Proxy.

Seguridad de red privada virtual (VPN)


Con la VPN, obtendrá una dirección IP única y un túnel seguro establecido entre usted y el objetivo al que se conectará.

El túnel de cifrado VPN admite el tráfico que se enruta con todos los protocolos de Internet con capacidades sofisticadas de privacidad y seguridad.

Las VPN son bien conocidas por su seguridad y confiabilidad, es fácil para cualquiera apagar o encender el servicio VPN.

Al tener un túnel encriptado, las VPN protegen sus datos de los piratas informáticos, incluso si está conectado con puntos de acceso WiFi abiertos.

La aplicación VPN es compatible con varias plataformas PlayStation, SmartTV, OS/X, iPhone, Windows, Android y también con otros dispositivos como AppleTV, Chromecast, Roku, Xbox y sus dispositivos de red compatibles.

Con el cifrado AES -256 y los certificados SSL, no hay posibilidad de que un atacante acceda a sus datos e incluso las autoridades gubernamentales no pueden acceder a sus datos. Para construir el túnel utiliza protocolos de alta seguridad PPTP, L2TP, SSTP, OpenVPN.

Ayuda a ocultar la ubicación real, y puede acceder a los sitios web bloqueados, videos y otro contenido bloqueado en su ubicación de forma segura.

Seguridad de proxy


Los servidores proxy conectan la conexión a Internet, solo enmascaran la dirección IP de su computadora y no cifrarán los contenidos.

Suelen comunicarse con el protocolo HTTP o SOCKS, por lo que hay cifrado con los servidores proxy, los ciberdelincuentes pueden rastrear los datos que viajan a través de un servidor proxy.

En algunos casos, incluso los ciberdelincuentes anuncian un servidor proxy para robar su identidad. Además, generalmente los servidores proxy están sobrecargados de visitantes y afectan terriblemente la velocidad de conexión.

Los proxies HTTP son más familiares y existen desde hace mucho tiempo y los proxies Socket Secure (SOCKS5) se utilizan para conectarse con servicios de torrent, FTP y servidores web. En comparación con el proxy normal SOCKS5 Seguridad mejorada.

El proxy SOCKS5 es muy bueno si vas a usar un torrent o un servicio P2P, pero carece de privacidad. Si navega mucho por la web y simplemente desea evitar los sitios web bloqueados geográficamente y a través del firewall, los servidores proxy son ideales para usted.

Velocidad de Internet Proxy vs VPN

  • Velocidad de VPN vs Velocidad de Proxy, esta ​​es una de las preocupaciones más importantes al acceder a Internet usando Proxy y VPN. Cuando hablamos de velocidad, el servidor Proxy siempre es más rápido que la VPN.


Costo de proxy frente a VPN

  • Múltiples ciudades y subredes, tiempo de inactividad mínimo, lista de proxy accesible mediante API y velocidad de enlace ascendente de todos los servidores proxy.

  • Los proxy de ayuda contienen muchos servidores que permiten a los usuarios elegir cualquier servidor en los países disponibles. En este caso, los proxies gratuitos son limitados y dan poco ancho de banda y ralentizan el acceso.

  • planee gastar desde $ 5 por mes para planes básicos y el precio también depende de la calidad de los servidores proxy y los proveedores.

Usabilidad de VPN y Proxy

  • Servidor proxy Proporcione una capa adicional de seguridad entre el punto final y el tráfico externo que se usa principalmente para mejorar la seguridad corporativa e institucional.

  • VPN encripta todo el flujo de tráfico entre Internet y su dispositivo para evitar que el ISP controle sus actividades y recopile sus datos de navegación.

  • Los proxies juegan un papel importante en el anonimato del tráfico web y agregan protección de identidad para funcionarios corporativos, reporteros y denunciantes.

  • VPN también proporciona anonimato de alto nivel y encripta la solicitud del usuario que pasó a través de varios servidores remotos que hace imposible rastrearlo.

  • La organización ejecuta sus redes internas en un servidor proxy para controlar el uso de Internet y evitar el uso inapropiado del sitio en las redes internas.

  • VPN pasa por alto la censura de Internet y le permite acceder a cualquier cosa que desee en Internet y completar sus actividades de las agencias gubernamentales y policiales.

  • Los servidores proxy brindan protección extrema contra los piratas informáticos mientras usan Wi-Fi público y rompen los sitios web censurados.

  • Las VPN son más lentas debido al cifrado, mientras que los servidores proxy son más rápidos ya que los Proxies no cifran el tráfico entre Internet y el dispositivo del usuario.

  • VPN le permite acceder a la red corporativa de forma segura desde fuera de la conectividad a Internet, como un hotel, una cafetería, etc.

  • Si no tiene una VPN corporativa, los proxies brindan acceso alternativo con alta seguridad y también proporciona un acceso muy fácil al software del cliente.

  • VPN proporciona un futuro de alta seguridad para acceder a las aplicaciones Secures y los programas de escritorio/portátil, pero los proxies no están muy familiarizados con este caso.

  • Los servidores proxy no utilizan ninguna operación de tunelización, pero el servidor proxy es una excelente manera de agregar una capa entre su empresa e Internet.

  • VPN Proporciona conexiones de túnel cuando los datos se envían de forma privada a través del paquete de Internet brinda una capa de seguridad que protege la sustancia contra la visibilidad general.

Las VPN son mejores para…

Las VPN protegen sus datos de miradas indiscretas, desde piratas informáticos hasta funcionarios gubernamentales que utilizan servicios de VPN para proteger los datos personales. Permite a los usuarios enviar y recibir datos y permanecer anónimos en Internet.

La mayoría de las VPN ofrecen múltiples conexiones simultáneas para que los usuarios puedan conectar todos los dispositivos del hogar a la VPN.

Con la VPN, todo su tráfico pasa a través de una red tunelada, por lo que ni siquiera el ISP puede ver el tráfico que va con la red tunelada.

Si es un empleado, puede conectarse con la red de su oficina de forma segura a través de un teléfono inteligente, una tableta y una computadora a través de una VPN.

  • VPN es mejor para proteger información valiosa en línea.
  • Permite comprar de forma segura en línea con tarjetas de crédito.
  • Le permite navegar de forma segura con puntos de acceso Wi-Fi públicos.
  • Al tener una VPN, puede comunicarse con sus sitios de películas favoritos, aunque esté bloqueado en su país.
  • Con la ca del usuario de VPN, evite la censura web y la vigilancia de contenido.
  • VPN le permite establecer comunicación entre sitios de forma segura.
  • Algunos de los proveedores de VPN también ofrecen bloqueadores de anuncios.
  • Protege mientras está conectado con los sitios de torrent.
  • Con la VPN instalada, puede acceder a los sitios web bloqueados geográficamente.
  • Las VPN brindan integridad, lo que garantiza que el paquete no se altere cuando está en tránsito.
  • Una VPN anonimizada permitiría el intercambio de archivos punto a punto, que está bloqueado en muchos países.

Decir técnicamente VPN es una red de área amplia que conserva la funcionalidad y la seguridad como en la red privada. Estos son los usos principales de la VPN y el uso varía según los requisitos del usuario.

Las VPN no son para…


Las VPN pueden alentar la conexión a Internet


Es posible que experimente una caída en la velocidad de su conexión a Internet cuando se enruta a través de VPN debido a su encriptación de 256 bits de alta calidad. A veces, la conexión VPN puede ralentizar la velocidad de Internet si hay demasiados usuarios activos en el servidor.

En general, la velocidad de VPN depende de su velocidad de Internet, si se encuentra en la India y usa un servidor VPN en los EE. UU., entonces su conexión pasa por un túnel a través de una serie de puntos finales que pueden ralentizar la conexión. Por lo tanto, se recomienda a los usuarios que no usen la VPN con prudencia.

Estoy bajo una VPN, así que puedo hacer cualquier cosa en línea


Si está bajo VPN, no podemos decir que es 100% anónimo, el proveedor de VPN puede ver sus registros de acceso y retendrá los registros durante un período de al menos 6 meses según la ubicación del país.

No todas las VPN son iguales y hay una serie de factores que deben tenerse en cuenta al clasificarlas según la necesidad, las plataformas compatibles y la cantidad de servidores disponibles.

Además, los usuarios deben saber que las VPN no lo protegerán del phishing o de los ataques de malware y ransomware.

Puede obtener la VPN gratuita, pero la conexión sería terrible y se ve gravemente afectada por las limitaciones del bajo ancho de banda y algunos proveedores incluso venden sus datos privados.

Los proxies son mejores para…


Los proxies se utilizan ampliamente para eludir los sitios web bloqueados en el ISP o en los niveles de la organización.

Servidores proxy utilizados en los entornos corporativos para proteger su infraestructura de red interna.

Los Proxies contienen un mecanismo de caché muy bueno, por lo que puede usarse para acelerar el proceso de navegación.

Oculta su dirección IP original y muestra la dirección IP suplantada, por lo que el sitio web de destino no puede leer su IP original.

El proxy te permite permanecer en el anonimato en línea, pero no encriptará el tráfico como lo hace la VPN.

Con algunos de los proxies puedes obtener doble protección ya que tienen el firewall incorporado que detiene las intrusiones.

Los administradores de servidores pueden usar servidores proxy para bloquear sitios web asociados a redes sociales, juegos, sitios para adultos para los empleados de la organización.

Hay miles de proxy gratuitos y de pago disponibles en Internet, al elegir un proxy debe considerar cuidadosamente el tiempo de inactividad.

Con la ayuda de los servidores proxy, uno puede llegar a los sitios web que han sido bloqueados geográficamente.

La implementación del proxy es muy simple y los proxies están tan limitados con los navegadores. Algunos de los proxies premium ahorrarían ancho de banda a las empresas.

Los proxies no son para…


Los servidores proxy no son seguros para la comunicación por correo electrónico y los protocolos de transferencia de archivos y los servidores proxy solo son buenos para la comunicación web.

Es menos seguro que almacenar todas las contraseñas de los usuarios en el directorio activo. No son compatibles con todos los protocolos de red.

Con los firewalls proxy, la configuración es muy difícil en comparación con otros firewalls modernos.

Si el servidor proxy está comprometido, existe la posibilidad de robo de identidad, entonces debe evitar ingresar las credenciales de inicio de sesión del banco cuando se conecta a través de un servidor proxy.

El administrador del servidor Proxy puede olfatear todos los detalles que viajan a través del servidor y también son deficientes en el manejo de cosas como Flash, Java y scripts de JavaScript.

Los servidores proxy tienen serias desventajas de seguridad si el puerto único se deja abierto con el servidor proxy y luego los atacantes pueden enumerar con él.

Si hay un problema al establecer una conexión, entonces con el servidor proxy es difícil de solucionar y no son compatibles con todos los protocolos de red.

Ya comentamos que el caché aumenta la velocidad, pero por otro lado, tiene algunas desventajas. El caché muestra la visualización de los contenidos antiguos.

No todos los proxies son buenos, debe dedicar mucho tiempo a encontrar un proxy adecuado. Una buena cadena de proxy solo proporciona un mejor rendimiento.

Conclusión


Simplemente, tanto el proxy como la VPN se crearon para ocultar el tráfico de Internet y, con la VPN, el tráfico pasará a través de un túnel de red, pero las VPN de baja calidad expondrían amenazas graves.

Los servidores proxy son muy difíciles de configurar y no encriptarán los datos, usar una VPN y un proxy puede ralentizar la conexión drásticamente. Cuando se trata de encriptación, las VPN son las mejores y ofrecen encriptación con el tamaño de clave estándar de la industria.

Se debe tener mucho cuidado al elegir un servidor proxy porque los atacantes también ejecutan los servidores proxy para rastrear el tráfico de la red.

Cuando se trata de un proxy, puede ocultar solo el tráfico HTTP, pero con las VPN, puede ocultar el tráfico enviado a través de todos los protocolos.

Si va a comparar VPN y Proxy cuál es mejor, depende completamente de sus requisitos. No importa si elige usar un servidor proxy o la VPN, pero debe asegurarse de que el servicio que seleccionó pueda resolver el requisito.

Fuente (s) :

Seguir Leyendo
By
Ciberfraude

La descarga de una película pirata con malware provocó en España el robo de 6 millones de € en criptomonedas

 La imprudencia de un empleado, un virus informático oculto en la copia pirata de una película de superhéroes y una paciencia de meses de los ladrones. Estos fueron los tres elementos claves que propiciaron, en el verano de 2020, el robo de seis millones de euros en criptomonedas, uno de los mayores de este tipo de activos conocidos hasta ahora en España.

  • La UCO ha detenido a cinco personas que en 2020 robaron las criptodivisas de 2gether, una compañía que custodiaba los ahorros de miles de clientes
  • La película venía con un regalo envenenado: un malware tipo RAT (Remote Access Trojan), lo que se conoce popularmente como un Troyano

Agentes de la Unidad Central Operativa (UCO) de la Guardia Civil han logrado resolver este asalto tras descubrir que los ciberdelincuentes consiguieron colarse en los sistemas de 2gether, una sociedad española de custodia de criptoactivos, a través de la descarga que un trabajador de esta compañía hizo de una película y, posteriormente, seguir el rastro de las criptomonedas.

La bautizada como operación 3Coin se ha saldado hasta ahora con cinco detenidos o investigados (cuatro de ellos de nacionalidad española y uno de un país del antiguo bloque del Este), entre ellos el considerado cerebro del asalto, y la recuperación de parte de lo sustraído, según detalla el instituto armado en una nota. Durante la investigación, los agentes han descubierto que uno de los arrestados controlaba a otros de los arrestados mediante el rito de brujería conocido como sapo bufo, consistente en inhalar vapores de veneno de este animal, considerados una sustancia alucinógena.

Las pesquisas se iniciaron el 31 de julio de 2020, cuando 2gether denunció haber sido víctima de un ataque informático mediante el cual le habían sustraído una importante cantidad de criptomonedas. En concreto, 114 bitcoins y 276 etherums, que en aquel momento tenían un valor de 1,2 millones de euros. El número de clientes afectados por la sustracción superaba los 5.500. El Departamento Contra el Cibercrimen de la UCO pudo determinar que el ataque informático había sido realizado mediante un sofisticado malware (programa informático malicioso) del tipo troyano denominado Nanocore, y que este había sido introducido a través de la descarga ilegal que, desde su puesto de trabajo, había hecho un empleado en enero de 2020 de una película de superhéroes de un portal de contenido multimedia pirata.

“Altamente sofisticado”, según la Guardia Civil, el virus informático se hizo a partir de ese momento con el control absoluto del equipo del empleado, donde permaneció siete meses instalado sin ser detectado. En ese tiempo, los cibercriminales descubrieron con detalle todos los procesos internos de la empresa y prepararon el ataque informático. Este se produjo, finalmente, el último día de julio de aquel año, para aprovechar que la compañía iba a reducir al mínimo su actividad al iniciarse las vacaciones de verano de la mayoría de sus trabajadores. Para ello, 24 horas antes accedieron al sistema y desactivaron las medidas de seguridad informática. Así, el día elegido para perpetrar el robo, pudieron dar las órdenes de transacción de moneda electrónica sin ser detectados a través de una red de ordenadores interpuestos y líneas de teléfono de terceros países. “En 15 o 20 minutos habían extraído las criptomonedas”, destacan fuentes cercanas a la investigación.

Las monedas electrónicas sustraídas fueron transferidas a billeteras virtuales bajo el control de los delincuentes, donde estos tuvieron inmovilizados los fondos durante más de seis meses para evitar llamar la atención policial. “Es la práctica habitual en este tipo de ciberrobos”, añaden estas mismas fuentes, que destacan que una vez pasado ese tiempo, comenzaron a mover las criptomonedas a través de un complejo entramado de billeteras electrónicas para blanquearlo. Fuentes de la Guardia Civil destacan que dos de los detenidos tenían ya antecedentes por ciberdelincuencia y que todos ellos tenían como única actividad este tipo de actividades. “Uno de ellos tenía una billetera por la que habían llegado a pasar 150 millones de euros en este tipo de activos”, señalan las fuentes consultadas.

Las pesquisas de los agentes especializados de la UCO permitieron, en un primer momento, identificar al supuesto operador de la página web de descargas ilegales desde donde se distribuyó el virus informático usado en el ataque. Este cobraba poco más de 200 euros por permitir a la red utilizar su plataforma para introducir virus informáticos entre el material audiovisual pirata que ofertaba. Además, la Guardia Civil identificó a otras tres personas, sin relación aparente entre ellos, que supuestamente habían recibido parte de las criptomonedas sustraídas. Eso propició que en noviembre del año pasado, los agentes detuvieran a estas cuatro personas, entre ellos el considerado cabecilla de la trama, en Tenerife (1), Bilbao (1) y Barcelona (2). Uno de los arrestados en esta última ciudad es un joven que tenía la consideración legal de menor por una discapacidad.

Sapo bufo

En el registro de las viviendas de estos cuatro presuntos implicados se recuperaron criptomonedas por valor de 900.000 euros procedentes del robo, además de abundante material informático. En uno de los equipos, los agentes también localizaron el malware utilizado así como detalles de los movimientos iniciales de las criptodivisas sustraídas. Con la información recuperada, los investigadores llegaron este martes a un quinto implicado, que había recibido, al menos, 500.000 euros en criptomoneda robada. Este individuo, detenido en Valencia, ejercía supuestamente un férreo control sobre otros miembros del grupo mediante rituales de brujería. Sus ordenadores, sin embargo, aparecieron prácticamente vacíos. El primer análisis de sus discos duros ha revelado que los había formateado dos días después del arresto de sus compañeros.

Fuente (s) :

Seguir Leyendo
By
Hackers

Hacker(s) utiliza ataque de phishing para robar 1,7 millones de dólares en NFTs a usuarios de OpenSea

Escucha la noticia dando click en el audio 🙂

OpenSea, uno de los mercados de NFT más grandes, dijo que a 32 usuarios les robaron NFT el sábado. Es posible que se hayan robado unos 254 tokens.

Un hacker llevó a cabo un ataque de phishing para robar potencialmente cientos de NFT de los usuarios de OpenSea, uno de los mercados de NFT más grandes de Internet, por un valor total de $ 1,7 millones el sábado. Los funcionarios de la compañía trataron el domingo de asegurar a los usuarios que era seguro acuñar, comprar, listar y vender NFT en OpenSea, aunque sostuvieron que se estaba llevando a cabo una investigación.

Durante el fin de semana, el cofundador y director ejecutivo de OpenSea, Devin Finzer, dijo que el pirata informático había engañado a 32 víctimas para que firmaran una carga maliciosa que autorizaba la transferencia de sus NFT al atacante de forma gratuita. Si bien Finzer dijo que la compañía confiaba en que se trataba de un ataque de phishing, explicó que no sabían dónde había ocurrido el phishing. Por el momento, el ataque parece haberse llevado a cabo desde fuera de OpenSea, según la empresa.

El ataque ocurrió durante la migración de OpenSea a su nuevo sistema de contrato inteligente Wyvern, que comenzó el viernes y se completará el 25 de febrero.

En una publicación de Twitter, el CEO descartó el sitio web de OpenSea como el punto de origen del ataque. Agregó que interactuar con un correo electrónico de OpenSea no fue un vector para el ataque y que ninguna de las víctimas informó haber hecho clic en enlaces de correos electrónicos sospechosos. También se determinó que hacer clic en el banner del sitio, firmar el nuevo contrato inteligente de Wyvern y usar la herramienta de migración de listas de OpenSea para mover las listas al nuevo sistema de contratos de Wyvern es seguro.


“Estamos trabajando activamente con los usuarios cuyos artículos fueron robados para reducir un conjunto de sitios web comunes con los que interactuaron que podrían haber sido responsables de las firmas maliciosas”, dijo Finzer el domingo. “Lo mantendremos informado a medida que aprendamos más sobre la naturaleza exacta del ataque de phishing”.

El director de tecnología de la compañía, Nadav Hollander, también proporcionó un resumen técnico del ataque el domingo. Hollander descartó la posibilidad de que el ataque estuviera relacionado con la migración al nuevo sistema de contratos Wyvern. Dijo que las órdenes maliciosas habían sido firmadas por las víctimas antes de que OpenSea llevara a cabo su migración y “es poco probable que estén relacionadas con el flujo de migración de OpenSea”.

El incidente, que ocurrió el sábado en el transcurso de unas pocas horas, sugiere que se trató de un ataque dirigido.

“A 32 usuarios les robaron NFT en un período de tiempo relativamente corto. Esto es extremadamente desafortunado, pero sugiere un ataque dirigido en lugar de un problema sistémico”, dijo Hollander.

Aunque el ataque parece haber ocurrido fuera de OpenSea, agregó Hollander, la compañía estaba “ayudando activamente a los usuarios afectados y discutiendo formas de brindarles asistencia adicional”.


Fuente (s) :

Creditos Musica:

Steadfast Boots by Artificial.Music | https://soundcloud.com/artificial-music
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License
https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By
Hacking

¿Qué es el SIM Swapping? Así pueden hackear tus cuentas bancarias para robarte el dinero

El SIM Swapping es un sistema muy práctico para los ciberdelincuentes. Advierten sobre el crecimiento del secuestro de líneas telefónicas mediante la clonación de tarjetas SIM que permite a los delincuentes obtener acceso a cuentas bancarias y de otro tipo de servicios online., ya que pueden acceder a tu cuenta bancaria incluso con el doble factor de autenticación  (2FA, MFA) ya que suele estar  activado por SMS, y los SMS no son seguros.

Una pérdida repentina de la señal de red en su teléfono inteligente debe tratarse como una señal de problema y, en la mayoría de los casos, el propietario de la cuenta tiene solo unos minutos para reaccionar y cambiar el método 2FA a correo electrónico o una aplicación de autenticación.

Si se ofrece la opción, siempre se debe usar una opción diferente al método 2FA por SMS. Si el SMS es la única forma, debe usar un número de teléfono privado que se use exclusivamente para ese propósito y evitar compartirlo con nadie.

  • La primera señal que identifican las víctimas de SIM swapping es la pérdida de señal de la red en sus equipos. Esto se debe a que una vez que los criminales activan la nueva tarjeta SIM en un nuevo dispositivo automáticamente se desactiva la línea.
  • Hay que intentar en la medida de lo posible, evitar la autenticación en dos pasos mediante SMS y en su lugar utilizar opciones como una app de autenticación o una clave de seguridad física
  • Los bancos han reforzado la seguridad de sus operaciones online con el uso de mensajes de SMS, uno de los peores métodos que se usan en los sistemas de autentificación en dos pasos

Crece el SIM Swapping: el fraude que permite robar acceso a cuentas bancarias duplicando tarjeta SIM

Para saber si estas siendo víctima de SIM Swapping es bastante sencillo. Si duplican tu tarjeta SIMtu móvil dejará de tener cobertura y la línea que tenías activada quedará sin servicio. Es decir, no podrán hacer llamadas, tampoco enviar SMSs. En ese caso, lo más recomendable es denunciarlo a la policía y a tu operador para que desactiven la línea y realicen el correspondiente proceso para poder recuperar tus datos. 

Esta práctica llega para hacer frente al sistema de verificación en dos pasos que algunas webs, portales y servicios utilizan como mecanismo de seguridad extra. Por ejemplo, cuando haces una compra en una tienda online, la pasarela de pago de tu banco puede solicitarte que introduzcas un código que te ha llegado mediante un SMS. Lo mismo sucede cuando inicias sesión en una cuenta de correo electrónico, en una red social o en una aplicación de mensajería. El objetivo de los hackers, por lo tanto, es obtener ese código de verificación, y la forma más sencilla es a través del acceso a tu línea telefónica. ¿Cómo consiguen ese acceso? Mediante el duplicado de la tarjeta SIM.  

El SIM Swapping, por lo tanto, es la técnica utilizada para obtener un duplicado físico de la tarjeta SIM de la víctima simplemente pidiéndolo a la operadora.. Gracias a las investigaciones de la Policía Nacional, que recientemente desarticuló una banda dedicada al SIM Swapping, podemos obtener datos más detallados de esta mecánica. La práctica, de hecho, suele combinarse con el phishing. Esto se debe a que para realizar un duplicado es necesario contar con los datos personales del usuario. Entre ellos, el número de teléfono, número DNI, nombre completo o, incluso, el carnet de identidad físico. Conseguirlos es sencillo si la víctima pica e introduce la información en ese correo o SMS fraudulento. 

Tal como señala el FBI, si bien esta modalidad de fraude no es nueva, las denuncias de víctimas del SIM swapping aumentaron considerablemente en el último año. Durante el 2021 en Estados Unidos se recibieron 1.611 denuncias de victimas que manifestaron haber sufrido el robo de dinero como consecuencia del secuestro de sus líneas telefónicas y las pérdidas alcanzaron una cifra cercana a los 68 millones de dólares. 

Protección de Datos multa a las operadoras con 5,8 millones por permitir el duplicado fraudulento de SIM

Protección de datos ha multado con 5,81 millones de euros a varias operadoras de telefonía española por facilitar la duplicación fraudulenta de tarjetas SIM a delincuentes y, por lo tanto, por no proteger bien la información personal de sus clientes.

Este tipo de fraude se conoce como ‘SIM Swapping’ y consiste en obtener un duplicado de una tarjeta SIM asociada a una línea de teléfono, todo ello sin el consentimiento de su titular y con el fin de suplantar su identidad, además de acceder a información confidencial como redes sociales, servicios de mensajería instantánea, correos electrónicos o incluso aplicaciones bancarias.

Para ello se presentan en una tienda de la operadora con documentación falsificada a partir de los datos personales del cliente. Normalmente presentan una falsa denuncia policial de que han sido víctimas del robo del móvil y la cartera con la documentación original, adjuntando una fotocopia del DNI con la foto cambiada por la del delincuente que se presenta en la tienda. El objetivo es hacerse con el control de la línea móvil, de forma que al hacer un movimiento bancario como una transferencia reciben el código de autorización necesario para completarla.

Para que el SIM swapping tenga éxito, previamente deben haber obtenido los datos personales y de acceso a la cuenta bancaria de la víctima mediante phishing, como ocurre con los famosos SMS fraudulentos. En los relatos recogidos por la AEPD se muestra como el primer indicio que detecta la víctima es que su móvil se queda sin cobertura, puesto que la operadora empieza a dar servicio a la SIM duplicada, desactivando la original.

El fraude del SIM swapping se da a nivel global. En España, por ejemplo, la semana pasada la Policía Nacional confirmó el arresto de al menos ocho personas que integraban una organización criminal que clonaba tarjetas SIM haciéndose pasar por clientes legítimos ante las compañías telefónicas utilizando incluso documentos falsificados.

En América Latina esta problemática también existe. En Argentina, en 2021 y lo que va de 2020, se han reportado varios casos de víctimas que dicen haber sufrido el robo de dinero como consecuencia de la clonación del chip. El mes pasado, por ejemplo, una persona perdió el dinero que habían depositado en su cuenta bancaria tras acceder a un crédito Procrear. En noviembre 2021 se conoció otro caso en el cual los criminales robaron los accesos a WhatsApp y redes sociales como Instagram y Facebook.

Fuente (s) :

Seguir Leyendo
By
Hackers

Grupo de Hackers Norcoreano Lazarus utiliza Windows Update para atacar con malware a empresa aerospacial

El grupo de APT Lazarus, conocidos por su vinculación con el ransomware WannaCry, o ataques a grandes firmas tales como Sony y múltiples bancos a nivel internacional, ha reaparecido con un nuevo método para difundir malware aprovechándose de Windows Update.

Military Cyber Hacking From North Koreans 3d Illustration. Shows Attack By North Korea And Confrontation Or Online Cybercrime Security Virus Vs America

El grupo  respaldado por Corea del Norte, Lazarus, agregó el cliente de Windows Update a su lista de archivos binarios presentes en Windows (LoLBins) que pueden ser usados para descargar malware y ahora lo está utilizando activamente para ejecutar código malicioso en los sistemas de Windows.

El nuevo método de implementación de malware fue descubierto por el equipo de Malwarebytes Threat Intelligence mientras analizaba una campaña de phishing de enero que se hacía pasar por la empresa aeroespacial y de seguridad estadounidense Lockheed Martin.

La víctima en este caso ha sido la empresa multinacional especializada en la industria aeroespacial Lockheed Martin, donde el grupo de hackers norcoreano se hizo pasar por esta empresa a través de una campaña de spearphishing, según menciona el análisis realizado por Malwarebytes.

Cómo Lazarus se aprovechó de Windows Update para inyectar malware

El proceso descrito por la firma de seguridad involucra a la apertura de un documento con código malicioso por parte de la víctima. Tras esto, se envía un archivo denominado ‘WindowsUpdateConf.lnk’ a la carpeta de inicio y un archivo DLL (wuaueng.dll) a la carpeta de Windows/System32.

Esto se puede hacer cargando una DLL arbitraria especialmente diseñada usando las siguientes opciones de línea de comandos (el comando que Lazarus usó para cargar su carga útil maliciosa):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITRE ATT & CK clasifica esta estrategia de evasión de defensa como Ejecución de proxy binario firmado a través de Rundll32, y permite a los atacantes eludir el software de seguridad, el control de aplicaciones y la protección de validación de certificados digitales.

El archivo LNK mencionado antes abre el cliente de Windows Update (wuauclt.exe), permitiendo ejecutar un comando que carga el archivo DLL malicioso del atacante. Como bien afirman desde Malwarebytes, esta técnica hace uso de Windows Update para esquivar todo tipo de mecanismos de detección y seguridad por parte del sistema, ocultándose y ejecutando el código. 

Desde el momento en el que Windows Update permite esto, el ejecutable se convierte en lo que se conoce como ‘LoLBins’ (del inglés living-off-the-land binaries). Estos son ejecutables firmados por Microsoft que pueden ser aprovechados para ejecutar código malicioso.

La investigación llevada a cabo por parte de Malwarebytes acusa al grupo Lazarus debido a ciertas evidencias y metadatos usados anteriormente por este grupo de hackers. Según afirma el medio BleepingComputereste método fue hallado por primera vez en octubre de 2020, cuando el investigador David Middlehurst descubrió que se podía aprovechar un agujero de seguridad en Windows Update para inyectar malware.

Search and buy domains from Namecheap. Lowest prices!

Notorio grupo Lazarus de Corea del Norte

El Grupo Lazarus (también rastreado como HIDDEN COBRA por las agencias de inteligencia de EE. UU.) es un grupo de piratería militar de Corea del Norte activo durante más de una década, al menos desde 2009.

Sus operadores coordinaron la campaña global de ransomware WannaCry de 2017 y han estado detrás de los ataques contra empresas de alto perfil como Sony Films y varios bancos en todo el mundo.

El año pasado, Google detectó a Lazarus apuntando a investigadores de seguridad en enero como parte de complejos ataques de ingeniería social y una campaña similar durante marzo.

El Tesoro de EE. UU. sancionó a tres grupos de hacking patrocinados por la RPDC (Lazarus, Bluenoroff y Andariel) en septiembre de 2019, y el gobierno de EE. UU. ofrece una recompensa de hasta $ 5 millones por información sobre la actividad de Lazarus.

Fuente (s) :

Seguir Leyendo
By
Hackers

Hackers Roban 80 millones de Dólares de DEX DefiQubit Finance

Los representantes del proyecto confirmaron el hecho del hack y dijeron que estaban rastreando los fondos robados.

Qubit Finance impulsado por Binance Smart Chain (BSC) ha sido hackeado. Según la empresa de análisis de blockchain y seguridad de la información PeckShield, los atacantes retiraron activos digitales por valor de unos 80 millones de dólares del grupo del proyecto.

Si bien se desconocen los detalles del ataque, los analistas señalaron que los hackers informáticos utilizaron un exploit del servicio de cadena cruzada QBridge, lo que les permitió emitir una cantidad “enorme” de tokens xETH. Estos últimos se utilizaron para garantizar un préstamo ilegítimo en la plataforma.

Los representantes del proyecto confirmaron el hecho de la piratería y dijeron que estaban rastreando los fondos robados, y también contactaron a los atacantes y ofrecieron la “recompensa máxima”.

Según el blog del proyecto, su equipo monitorea las acciones de los atacantes y “monitoriza los activos afectados”. Los desarrolladores están trabajando con socios de seguridad, incluidos los representantes de Binance. La mayoría de las funciones de la plataforma están temporalmente deshabilitadas.

Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
Cibersegurida

Malware de Linux aumentó un 35% en 2021

En 2021, la cantidad de infecciones de malware dirigidas a dispositivos que ejecutan Linux aumentó en un 35 %. En la mayoría de los casos, los ciberdelincuentes piratearon dispositivos IoT para llevar a cabo ataques DDoS.

Según Crowdstrike, XorDDoS, Mirai y Mozi fueron las familias de malware más comunes. Representaron el 22% de todos los ataques de malware dirigidos a sistemas que ejecutan Linux en 2021.

Mozi, en particular, ha mostrado un crecimiento explosivo en su actividad. Durante el año pasado, se identificaron diez veces más muestras que en 2020.

La actividad del malware XorDDoS también aumentó notablemente en comparación con el año pasado, en un 123 %. XorDDoS es un troyano genérico de Linux que funciona en varias arquitecturas de sistemas Linux. Utiliza encriptación XOR para comunicarse con el C&C. Al atacar dispositivos IoT, XorDDoS enumera los dispositivos vulnerables a través del protocolo de red SSH. En máquinas Linux, el malware usa el puerto 2375 para obtener acceso de root al sistema sin contraseña.

Mozi es una red de bots P2P que utiliza un sistema de búsqueda de tablas hash distribuidas (DHT) para ocultar los mensajes C&C sospechosos de las soluciones de seguridad para monitorear el tráfico de la red. Los operadores de botnets explotan constantemente nuevas vulnerabilidades, ampliando el alcance de su aplicación.

Mirai es un malware muy conocido que ha generado muchas variantes nuevas debido a su código fuente disponible públicamente. Las diferentes variantes del malware implementan diferentes protocolos para comunicarse con el servidor de comando y control, pero todos usan credenciales que no son de confianza para los ataques de fuerza bruta. En 2021, los expertos identificaron varias variantes notables de Mirai, como Dark Mirai, que apunta a enrutadores domésticos, y Moobot, que se usa para atacar cámaras de seguridad.

“Algunas de las opciones más comunes incluyen Sora, IZIH9 y Rekai. En comparación con 2020, la cantidad de muestras identificadas para las tres variantes aumentó en un 33 %, 39 % y 83 % respectivamente en 2021”, dijeron los investigadores en el informe.


Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Teléfonos iPhone de empleados del Departamento de Estado de EE. UU. hackeados por el spyware Pegasus

Search and buy domains from Namecheap. Lowest prices!

Los teléfonos de al menos 9 (primero se habló de 11) empleados del Departamento de Estado de EE. UU. fueron hackeados con software espía de NSO.

Los teléfonos de los empleados del Departamento de Estado de EE. UU. fueron hackeados s con software espía de NSO

Apple advirtió a los empleados del Departamento de Estado de EE. UU. que sus iPhones han sido hackeados por atacantes desconocidos que utilizan un exploit de iOS denominado ForcedEntry para implementar el software espía Pegasus desarrollado por la firma de vigilancia israelí NSO Group.

NSO Group afirma que Pegasus no puede espiar dispositivos con números de teléfono de Estados Unidos, y al parecer habría cumplido con dicha condición. Sin embargo, los funcionarios espiados habrían empleado teléfonos con números de teléfono de otros países (podemos inferir que al menos parte de ellos serían números de Uganda), y que por lo tanto la limitación de espionaje en Estados Unidos no se habría cumplido, y que por lo tanto Pegasus se habría visto involucrado en una acción de espionaje contra el gobierno de EEUU.

Los ataques afectaron a funcionarios estadounidenses (al menos 11 según el Washington Post) basados ​​o centrados en asuntos relacionados con Uganda, país de África oriental, y tuvieron lugar en los últimos meses, según fuentes anónimas citadas hoy por Reuters.

Pegasus fue empleado para espiar al Departamento de Estado de EEUU

Si bien NSO canceló las cuentas de los clientes detrás de estas intrusiones y prometió investigar los ataques, un portavoz dijo a Reuters, quien informó por primera vez de los ataques, que la compañía no sabe qué herramientas se utilizaron en el ataque. NSO también se negó a nombrar a los clientes suspendidos.

“Además de la investigación independiente, NSO cooperará con cualquier autoridad gubernamental relevante y presentará la información completa que tendremos”, dijo un portavoz de NSO por separado a Motherboard.

“Para aclarar, la instalación de nuestro software por parte del cliente se realiza a través de números de teléfono. Como se indicó anteriormente, las tecnologías de NSO están bloqueadas para que no funcionen en números de EE. UU. (+1). Una vez que el software se vende al cliente con licencia, NSO no tiene forma de saber quiénes son los destinatarios de los clientes, como tal, no estábamos ni podríamos haber tenido conocimiento de este caso “.

Declaración completa de NSO Group

NSO ha afirmado que la compañía no sabe a quién están espiando sus clientes con su software, así como que investigará lo ocurrido, y si encuentra algún cliente que está incumpliendo las condiciones aceptadas para emplearlo, verá cortado el acceso al mismo. Sonaría bien, de no ser porque el historial de Pegasus no es precisamente de matrícula de honor. Como ya pudimos saber gracias a Proyecto Pegasus, son múltiples los abusos cometidos mediante dicho software.

La noticia de que los teléfonos de los empleados del Departamento de Estado fueron hackeados para instalar el software espía Pegasus se produce inmediatamente después de que Estados Unidos sancionara a NSO Group y a otras tres empresas de Israel, Rusia y Singapur el mes pasado por el desarrollo de software espía y la venta de herramientas de piratería utilizadas por organizaciones patrocinadas por el estado. grupos de piratería.

NSO y Candiru se han agregado a la lista de entidades de la Oficina de Industria y Seguridad (BIS) del Departamento de Comercio por suministrar el software utilizado por los piratas informáticos estatales para espiar a funcionarios gubernamentales, periodistas y activistas.

Positive Technologies de Rusia y Consultoría de Iniciativa de Seguridad Informática PTE. LIMITADO. de Singapur fueron sancionados por el tráfico de hazañas y herramientas de piratería.

“Específicamente, la información de investigación ha demostrado que las empresas israelíes NSO y Candiru desarrollaron y suministraron software espía a gobiernos extranjeros que utilizaron esta herramienta para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas”, se lee en la final del Departamento de Comercio. decisión.

A principios de noviembre, Apple también presentó una demanda contra NSO y su empresa matriz por apuntar y espiar a los usuarios de Apple con tecnología de vigilancia.

Por ejemplo, atacantes estatales emplearon el exploit ForcedEntry de NSO (también utilizado para piratear a los nueve empleados del Departamento de Estado) para comprometer los dispositivos Apple e instalar el software espía Pegasus, como reveló el Citizen Lab en agosto.

Apple agregó en ese momento que notificará a todos los usuarios atacados mediante el exploit ForcedEntry (alertas que también se enviaron a los empleados del Departamento de Estado pirateados) y a aquellos que serán blanco de ataques de software espía patrocinados por el estado en el futuro “, de acuerdo con la industria. mejores prácticas.” 


Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
Conti Ransomware

Principales características del Ransomware Conti

Search and buy domains from Namecheap. Lowest prices!

Analizadas las principales características del ransomware Conti a partir del análisis de una muestra de mayo de 2021 e información pública sobre la metodología utilizada por sus afiliados.

Conti es un malware que pertenece a la familia de los ransomware. Fue visto por primera vez en entre octubre y diciembre de 2019 y opera como un Ransomware as a Service (RaaS, por sus siglas en ingles). Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.

Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido. De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras; por ejemplo, dañando su reputación. Esta modalidad se observó por primera vez en 2019 con el ransomware Maze y rápidamente fue adoptada por otras bandas criminales.

Similar al ransomware Ryuk, la larga lista de víctimas de Conti son organizaciones previamente elegidas por los criminales que cuentan con recursos suficientes para pagar importantes sumas de dinero o que necesitan de su información para poder operar con normalidad. Estas pueden ir desde grandes empresas de industrias como retail, manufactura, construcción, salud, tecnología o alimentos, hasta organismos gubernamentales.

Ha sido una de las familias de ransomware más activas durante 2021. Uno de los ataques más recordados fue el que afectó al sistema de salud público de Irlanda en mayo de 2021 en plena pandemia en el cual los criminales solicitaron el pago de 20 millones de dólares. En América Latina afectó a organizaciones de al menos cinco países diferentes, como Argentina, Brasil, Colombia, Nicaragua y República Dominicana.

¿Cómo se propaga Conti?

Según algunos reportes, Conti es capaz de obtener acceso inicial sobre las redes de sus víctimas a través de distintas técnicas. Por ejemplo:

  • Campañas de phishing especialmente dirigidas que contienen documentos adjuntos maliciosos (como un archivo Word) o enlaces. Estos adjuntos descargan malware como TrickBot, Bazar backdoor o incluso aplicaciones legítimas como Cobalt Strike que son utilizadas de forma maliciosa para realizar movimiento lateral dentro de la red de la víctima y luego descargar el ransomware.
  • Explotación de vulnerabilidades conocidas sobre equipos que están expuestos a Internet.
  • Ataques sobre equipos con el servicio de RDP expuesto a Internet

Al estar dentro de la categoría de los RaaS, Conti recluta afiliados que son quienes se ocupan de acceder a las redes de las víctimas, moverse lateralmente, escalar privilegios, exfiltrar información confidencial y ejecutar el ransomware en los equipos de las víctimas.

Como dijimos anteriormente, estos afiliados suelen obtener un porcentaje de las ganancias obtenidas —generalmente cerca del 70% —tras un ataque exitoso, pero a veces puede esto puede derivar en conflictos, que fue lo que al parecer ocurrió con Conti cuando un afiliado, molesto con los desarrolladores del ransomware, publicó información sobre las herramientas que utilizan.

Exfiltración de los manuales de Conti

Durante la primera semana del mes de agosto de 2021, un afiliado del grupo Conti publicó en un foro clandestino un archivo que contenía distintos manuales y herramientas que el propio grupo les daba a los operadores afiliados para que puedan realizar actividades cibercriminales sobre sus víctimas. Este acto de “venganza” fue llevado a cabo ya que, aparentemente, el grupo Conti no le había pagado el monto de dinero que el esperaba por uno de sus trabajos de “pentest”.

El archivo publicado contiene 37 manuales, la mayoría escritos en ruso, que son instructivos de cómo utilizar distintas herramientas para realizar las siguientes acciones:

  • Configurar y utilizar Cobalt Strike
  • Realizar ataques de fuerza bruta sobre el protocolo SMB, incluyendo un listado de algunas contraseñas básicas.
  • Lograr persistencia utilizando el software AnyDesk dentro de la máquina de una víctima.
  • Desactivar el Windows Defender de manera manual dentro de una máquina víctima
  • Enumerar usuarios dentro de una red
  • Realizar una copia de las Shadow copies
  • Exfiltrar archivos utilizando el software Rclone
  • Instalar el framework Metasploit dentro de un servidor privado virtual (VPS, por sus siglas en inglés)
  • Escalar privilegios
  • Utilizar el exploit de ZeroLogon en Cobalt Strike
  • Dumpear el proceso LSASS utilizando Cobalt Strike
  • Extraer la información de una base de datos SQL
  • Escanear una red por medio de la herramienta NetScan
  • Enlaces hacia repositorios públicos con exploits o guías de cómo realizar un pentest sobre una red de Active Directory

A su vez, incluye distintas herramientas que los afiliados pueden utilizar en sus ataques. Por ejemplo, el famoso Framework robado de Cobalt Strike, el software Rclone que permite sincronizar archivos de una computadora contra servicios de almacenamiento en la nube, entre otros.

Este archivo contiene 37 archivos de texto con instrucciones sobre cómo utilizar varias herramientas de hacking e incluso software legítimo durante una intrusión en la red.

Por ejemplo, los manuales filtrados contienen guías sobre cómo:

Técnicas Hacking ransomware Conti

  • Configurar el software Rclone con una cuenta MEGA para la exfiltración de datos
  • Configurar el software AnyDesk como una solución de persistencia y acceso remoto en la red de una víctima [una táctica conocida de Conti]
  • Configurar y usar el agente Cobalt Strike
  • Utilizar la herramienta NetScan para escanear redes internas
  • Instalar el marco de prueba pentesting Metasploit en un servidor privado virtual (VPS)
  •  Conectarse a redes hackeadas a través de RDP utilizando un túnel seguro de Ngrok
  • Elevar y obtener derechos de administrador dentro de la red hackeada de una empresa
  •  Hackear (elevar privilegios) de los controladores de dominio
  • Volcar contraseñas de directorios activos (volcado NTDS)
  • Realizar ataques de fuerza bruta SMB
  •  Ataques fuerza bruta routers, dispositivos NAS y cámaras de seguridad
  • Utilizar el exploit ZeroLogon
  •  Realizar un ataque Kerberoasting
  • Deshabilitar las protecciones de Windows Defender
  • Eliminar instantáneas de volumen
  • Cómo los afiliados pueden configurar sus propios sistemas operativos para usar la red de anonimato Tor, y más 

Descargar Manuales Conti

Es importante destacar que muchos de los comandos y algunas herramientas que se mencionan en estos manuales son comúnmente utilizadas a la hora de brindar un servicio de pentesting que una empresa solicita de forma legal. Esto demuestra que los cibercriminales no siempre utilizan técnicas sofisticadas o muy novedosas para lograr comprometer a sus víctimas, sino que muchas veces recurren a técnicas conocidas por el simple hecho de que siguen siendo efectivas.

Los manuales están explicados de forma muy detallada, permitiendo que una persona con conocimientos básicos sea capaz de poder llevar a cabo este tipo de ataques. Esto nos da la pauta de que el grupo Conti no necesariamente busca reclutar personas que tengan fuertes conocimientos técnicos en seguridad para hacer sus “trabajos”.

Una característica que diferencia a Conti de otros ransomware es que crea una cantidad considerable de hilos que permiten ejecutar en paralelo la rutina de cifrado. De esta forma logra cifrar los archivos de la máquina víctima de manera más rápida. A su vez, dependiendo del tamaño del archivo que va a ser cifrado, Conti no necesariamente cifra el archivo entero, sino que cifra una parte de este.

Otras características de Conti que observamos en la muestra analizada son:

  • Capacidad de ejecutarse con ciertos argumentos:
    • -p “carpeta” – cifra los archivos de una carpeta en particular
    • -m local – cifra la máquina víctima con múltiples hilos
    • -m net – cifra las carpetas compartidas con múltiples hilos
    • -m all – cifra todo el contenido de la máquina victima como también las carpetas compartidas con múltiples hilos
    • -m backups – No implementado (podría estar relacionado con el borrado de archivos de backups)
    • -size chunk – modo para cifrar archivos grandes
    • -log logfile – No implementado (parece ser que crea un archivo que registra la actividad del malware mientras se ejecuta)
    • -nomutex – No crea un mutex
  • Eliminar los archivos Shadow copies de la máquina víctima
  • Usa los algoritmos criptográficos ChaCha8 y RSA para el cifrado de los archivos
  • Posee código basura para complejizar el análisis, pero que no modifica la lógica principal del malware
  • Tanto las cadenas de caracteres como los nombres de las API de Windows se encuentran ofuscadas con distintos algoritmos, y las dos ofuscan en tiempo de ejecución
  • A los archivos cifrados se les añade la extensión .QTBHS
  • No cifra un archivo si termina con alguna de las siguientes extensiones:
    • .exe
    • .dll
    • .lnk
    • .sys
    • .msi
    • .bat
  • No cifra los archivos que se llamen readme.txt o CONTI_LOG.txt
  • No cifra los archivos que se encuentren en las siguientes carpetas:
    • tmp
    • winnt
    • temp
    • thumb
    • $Recycle.Bin
    • Boot
    • Windows
    • Trend Micro
    • perflogs
    • Sophos
    • HitmanPro

El proceso de cifrado de un archivo se puede resumir en los siguientes pasos:

  • Generar clave aleatoria para el algoritmo de cifrado simétrico ChaCha8
  • Cifrar el contenido dependiendo del tamaño del archivo
  • Cifrar la clave simétrica con la clave publica RSA, alojada en la sección .data del malware
  • Guardar la clave cifrada dentro del archivo modificado
  • Agregarle la extensión .QTBHS al archivo modificado

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Localizado en Siberia importante operador ruso del Ransomware REvil

Desenmascarado ruso Yeveniy Polyanin operador de REvil buscado por el FBI por ‘usar ransomware para saquear millones de dólares’ a los estadounidenses en su lujoso escondite en Siberia mientras el Kremlin hace la vista gorda

 
    DailyMail rastreó al presunto Yeveniy Polyanin, de 28 años, hasta una casa de 380.000 dólares en la ciudad siberiana de Barnaul, donde su esposa, Sofía, dirige abiertamente un negocio de panadería en las redes sociales.

  •  La mujer de Polyanin fue vista en Barnaul conduciendo un Toyota Land Cruiser de $ 74,000 y posee un BMW por valor de hasta $ 108,000
  •  El FBI lo busca por su participación en ataques de ransomware y actividades de lavado de dinero.
  • Se alega que es un afiliado de la pandilla REvil / Sodinokibi y, según los informes, el FBI le ha incautado $ 6.1 millones en fondos mal habidos, mientras que se ofreció una recompensa de hasta $ 5 millones por información que conduzca a su arresto.
  •  Los registros rusos muestran que en 2019, Polyanin fue registrado como un ‘empresario individual’ involucrado en el ‘desarrollo de software de computadora’ y ‘consultoría’ de TI
  •  El país tiene una prohibición para extraditar a sus propios ciudadanos, lo que significa que solo podría enfrentarse a los tribunales en Rusia.

Buscado por el FBI


Uno de los hombres más buscados por el FBI vinculado a la banda de ransomware REvil vive libremente en una ciudad siberiana sin señales de que las autoridades rusas estén actuando para detenerlo.


Search and buy domains from Namecheap. Lowest prices!


Su esposa Sofia, de 28 años, dirige abiertamente un exclusivo negocio de repostería en las redes sociales, que incluye pastelitos picantes de despedida de soltera decorados con genitales masculinos, mientras que las autoridades estadounidenses lo acusan de extorsionar millones de dólares a empresas estadounidenses.

La pareja disfruta de un estilo de vida de lujo, con paseos en helicóptero a las cercanas y pintorescas montañas de Altai.



Un segundo automóvil en el garaje del presunto ciberdelincuente es un BMW, con un valor de hasta 108.000 dólares.

Polyanin fue acusado este mes por el FBI de ‘participación en ataques de ransomware y actividades de lavado de dinero’.


Se alega que es un afiliado de la pandilla REvil / Sodinokibi y el FBI afirma haberle incautado $ 6.1 millones en fondos mal habidos, mientras que se ofreció una recompensa de hasta $ 5 millones por información que condujera a su arresto.

También es visto como un ‘caso de prueba’ clave de la demanda del presidente Joe Biden de que Vladimir Putin coopere con él para tomar medidas enérgicas contra los presuntos delincuentes cibernéticos.



Sin embargo, parece haber pocas posibilidades de que esto suceda, ya que los familiares y vecinos de Polyanin subrayan que no han tenido contactos sobre las acusaciones del FBI del servicio de contrainteligencia o la policía rusa FSB.

Rusia ha sido acusada por Occidente de hacer la vista gorda ante los piratas informáticos que atacan a Estados Unidos y Europa desde su territorio. DailyMail se ha puesto en contacto con el FBI para determinar qué pasará con el sospechoso ahora que ha sido encontrado.

Fuente (s) :

Seguir Leyendo
By