Lo + Nuevo
Noticias de Ciberseguridad –
Tag

Hacking

Browsing
ciberseguridad

Guía Sencilla: ¿Cómo Emplean los Hackers el Shellcode?

Descubre cómo los hackers utilizan shellcode para explotar vulnerabilidades. Aprende sobre este código malicioso y su evolución en esta guía.

Introducción al Shellcode

El shellcode es un código malicioso escrito en lenguaje máquina que los atacantes usan para explotar vulnerabilidades en software o hardware. Tradicionalmente, el término se refiere a código cuyo propósito es abrir una shell (una interfaz de línea de comandos) en el sistema objetivo, pero hoy en día se ha expandido para referirse a cualquier código ejecutable que logre objetivos maliciosos dentro de un sistema.

  1. Historia del Shellcode
    • Breve resumen de los primeros usos del shellcode en los ataques de desbordamiento de búfer.
    • Ejemplos históricos famosos, como el ataque Morris Worm de 1988, que utilizó shellcode para propagarse a través de una vulnerabilidad en un protocolo de red.
  2. Evolución del Shellcode en el Tiempo
    • Cómo ha evolucionado de ser código simple que abre una shell a incluir payloads más complejos, como cifrado, inyección de DLL y explotación de día cero.

Fundamentos Técnicos del Shellcode

Para entender el shellcode, es esencial comprender cómo se escribe y ejecuta dentro de un sistema. Aquí desglosamos los aspectos técnicos clave:

  1. Arquitectura y Lenguaje Ensamblador
    • Explicación de cómo el shellcode se escribe en ensamblador, que se traduce directamente a instrucciones del procesador.
    • Diferencias entre escribir shellcode para arquitecturas comunes como x86, x64, y ARM.
  2. Ejemplo de Shellcode Básico
    • Ejemplo de un código simple que abre una shell en Linux, incluyendo explicación línea por línea del ensamblador.
    • Descripción de los opcodes y cómo se ensamblan en un programa binario ejecutable.
  3. Restricciones Comunes
    • Bytes nulos: Qué son y por qué es importante evitarlos en shellcode. Técnicas para eliminarlos utilizando operaciones como XOR.
    • Instrucciones seguras: Cómo los atacantes evitan instrucciones que pueden interrumpir la ejecución del shellcode en el objetivo.

Técnicas Modernas de Explotación con Shellcode

En los últimos años, las técnicas de explotación de shellcode han avanzado de manera significativa. Las siguientes secciones cubren los métodos actuales utilizados por los atacantes y las defensas correspondientes.

  1. Ataques de Buffer Overflow
    • Descripción de cómo se usa el shellcode en un desbordamiento de búfer. Incluye detalles sobre el manejo de memoria en lenguajes como C/C++ y cómo las malas prácticas en la gestión de memoria permiten estos ataques.
    • Ejemplos de herramientas que automatizan la identificación de vulnerabilidades de buffer overflow, como AFL (American Fuzzy Lop) y Fuzzing.
  2. Shellcode y Fileless Attacks (Ataques sin Archivos)
    • Explicación de cómo los atacantes usan el shellcode en ataques sin archivos, donde el código malicioso no se escribe en el disco, sino que reside en la memoria.
    • LOLBins (Living Off the Land Binaries): Binarios legítimos del sistema operativo, como PowerShell o msiexec, que se utilizan para ejecutar shellcode sin necesidad de archivos maliciosos.
  3. Explotación Reflexiva y Carga de DLL
    • Detalles sobre cómo los atacantes usan técnicas avanzadas como la inyección de DLL reflexiva, donde cargan bibliotecas maliciosas en la memoria sin tocar el disco duro. Esta técnica es particularmente efectiva en sistemas Windows.
    • Ejemplo: Reflective DLL Injection en ataques como el utilizado por el malware Cobalt Strike

Herramientas y Kits de Explotación

En la actualidad, escribir shellcode no siempre requiere conocimientos avanzados de programación en ensamblador. Existen herramientas que facilitan su generación y ejecución:

  1. Metasploit Framework
    • Explicación sobre cómo esta herramienta facilita la creación de payloads personalizados, incluida la creación de shellcode. Metasploit proporciona plantillas listas para usar que cubren una amplia gama de vulnerabilidades conocidas.
  2. PowerSploit
    • Un kit post-explotación diseñado específicamente para ambientes Windows. Explicación de cómo PowerSploit se utiliza para cargar shellcode en procesos legítimos sin ser detectado.
  3. MSFVenom
    • Una de las herramientas más utilizadas para codificar y generar shellcode de manera que evite la detección por antivirus.
  4. Herramientas de Obfuscación y Polimorfismo
    • Ejemplo de herramientas como Shellter o Veil que permiten a los atacantes modificar el shellcode para evadir sistemas de detección y respuesta (EDR) o antivirus.

Técnicas de Defensa Contra Shellcode

Para protegerse contra el shellcode, las organizaciones han implementado diversas tecnologías. Sin embargo, los atacantes han encontrado maneras de sortear algunas de estas defensas. Aquí te describo algunas de las técnicas más efectivas y sus contramedidas actuales.

  1. DEP (Data Execution Prevention)
    • DEP es una tecnología de protección que evita la ejecución de código en áreas de memoria reservadas solo para datos. Sin embargo, los atacantes han desarrollado métodos para sortear esta protección, como ROP (Return-Oriented Programming).
  2. ASLR (Address Space Layout Randomization)
    • Esta técnica aleatoriza las direcciones de memoria de los procesos para hacer más difícil que los atacantes prevean dónde se encuentra el shellcode. Aunque es efectiva, algunos ataques, como los basados en leaks de memoria, pueden derrotar ASLR​.
  3. Monitorización de LOLBins
    • Explicación sobre cómo los administradores pueden monitorear el uso sospechoso de LOLBins y evitar que los atacantes los utilicen en ataques sin archivos. Herramientas como Sysmon de Microsoft pueden ayudar a detectar actividades maliciosas relacionadas con estos binarios.
  4. EDR y XDR (Extended Detection and Response)
    • Herramientas modernas como SentinelOne, CrowdStrike y otras soluciones de ciberseguridad avanzadas ofrecen capacidades para detectar shellcode en tiempo real analizando patrones de comportamiento y monitorizando eventos en el sistema​.

Casos de Estudio: Ataques Famosos Usando Shellcode

En esta sección, se detallan ejemplos de ataques notables que han utilizado shellcode como parte de su vector de ataque:

  1. WannaCry Ransomware
    • Explicación del ataque, cómo utilizó shellcode para propagarse rápidamente entre sistemas vulnerables aprovechando la vulnerabilidad de SMB.
  2. Stuxnet
    • Este ataque dirigido a las instalaciones nucleares iraníes usó shellcode para manipular el control de sistemas industriales. Explicación de cómo el shellcode se inyectó en las PLCs para sabotear operaciones industriales.
  3. Operación Aurora
    • Un ataque dirigido contra Google y otras grandes empresas, donde los atacantes usaron shellcode en conjunto con vulnerabilidades de día cero para robar información confidencial.

Futuro del Shellcode en el Panorama de Amenazas

Con la evolución de las tecnologías de defensa, los ataques de shellcode seguirán adaptándose. Algunos temas futuros que exploramos incluyen:

  1. Shellcode en el Entorno de la Nube
    • A medida que más organizaciones migran a la nube, se espera que los atacantes desarrollen shellcode específicamente diseñado para atacar entornos en la nube. Herramientas como container escape exploits y attacks on Kubernetes clusters ya están siendo desarrolladas.
  2. Evolución de Fileless Malware
    • Se espera que el malware sin archivos evolucione hacia técnicas aún más avanzadas de evasión, incluyendo el uso de memoria transitoria en procesadores modernos para ejecutar shellcode sin dejar rastro.
  3. Amenazas Basadas en Inteligencia Artificial
    • Los futuros atacantes podrían usar machine learning y AI para generar shellcode polimórfico que se adapte dinámicamente a las defensas del objetivo en tiempo real.

Donaciones y Apoyo

Cripto Casino - Stake
Conoce Stake Cripto Casino

Seguir Leyendo
By
Pentesting

Parrot 6.1: Soporte Mejorado para Raspberry Pi 5, Linux 6.6 y Herramientas de Ciberseguridad Actualizadas

Estas actualizaciones reflejan el compromiso continuo de Parrot OS con la seguridad y la funcionalidad, manteniéndose a la vanguardia.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Novedades de Parrot 6.1: Soporte Mejorado y Actualizaciones de Herramientas de Ciberseguridad

En el mundo de las distribuciones de hacking ético, Parrot y Kali son las más reconocidas. Si bien cada una tiene sus propias fortalezas, Parrot 6.1 ha llegado con importantes actualizaciones que merecen ser destacadas. A continuación, analizaremos las novedades más relevantes de esta versión.

Actualizaciones Principales:

  • Soporte para Raspberry Pi 5: Ahora con controladores añadidos y activados, mejorando significativamente la compatibilidad.
  • Kernel: Actualización al Linux 6.6.26, proporcionando mayor estabilidad y soporte para más dispositivos.
  • Corrección de WiFi: Solucionado un problema que impedía el funcionamiento del WiFi en la Raspberry Pi 400.

Herramientas de Seguridad:

  • Anonsurf 4.2: Mejora en estabilidad y corrección de errores en el script lanzador.
  • Actualización de Recordatorio: Reintroducción de la ventana emergente para mantener el sistema actualizado.
  • nmap: Corrección de errores en su script de escaneo lua.
  • burpsuite 2024.2.1.3: Actualización a la última versión con corrección de inconsistencias en Java.
  • sqlmap 1.8.3: Mejora en detección y comprobación de inyecciones SQL.
  • sslscan 2.1.3: Actualización a la versión más reciente.
  • zaproxy 2.14: Nuevas herramientas de comprobación de seguridad web.
  • netexec 1.1.1: Sustituto de crackmapexec con las mismas funciones.
  • metasploit 6.4.6: Nuevos exploits y herramientas mejoradas.
  • woeusb-ng 0.2.12: Mejoras en la creación de unidades USB de arranque desde archivos ISO de Windows.
  • volatility3 1.0.1: Capacidades forenses y de análisis de memoria mejoradas.
  • rizin 0.7.2: Herramientas y funciones mejoradas de ingeniería inversa.
  • powershell-empire 5.9.5: Capacidades mejoradas en el marco de trabajo posterior a la explotación.
  • instaloader 4.11: Mejoras en raspado y descarga de datos de Instagram.
  • gdb-gef 2024.1: Nuevas características y mejoras para el plugin GDB Enhanced Features.
  • evil-winrm 3.5: Interacción mejorada con Windows Remote Management.
  • bind9: Importante actualización de seguridad.
BingX exchange confiable de Criptomonedas

Paquetes Actualizados:

  • chromium y firefox: Últimas actualizaciones de seguridad.
  • webkit: Protección contra vulnerabilidades en el motor de renderizado web.
  • golang 1.21: Mejoras de rendimiento y nuevas funciones.
  • grub 2.12: Funcionalidad y seguridad del gestor de arranque mejoradas.
  • libc6 y glibc6: Mejoras en estabilidad y seguridad.
  • pipewire 1.0.5: Mejor manejo del audio y rendimiento.
  • libreoffice 24.2: Funciones mejoradas y seguridad en la suite ofimática.
  • openjdk y php8: Seguridad mejorada en el entorno de ejecución Java y desarrollo web.
  • ruby 3.1: Mejoras en seguridad y estabilidad en el desarrollo.

Actualización y Descarga:
Para actualizar a Parrot 6.1, los usuarios existentes pueden ejecutar sudo parrot-upgrade o sudo apt update && sudo apt full-upgrade. Para nuevas instalaciones, las imágenes están disponibles en su página web, que también ha sido mejorada para facilitar la lectura.

Estas actualizaciones reflejan el compromiso continuo de Parrot OS con la seguridad y la funcionalidad, manteniéndose a la vanguardia en el ámbito del hacking ético.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
Lockbit

Agencias de seguridad identifican y sancionan al administrador del ransomware LockBit

El FBI, la Agencia Nacional de Crimen del Reino Unido (UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit

El FBI, la Agencia Nacional de Crimen del Reino Unido (UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit, conocido también como ‘LockBitSupp’ y ‘putinkrab’. Por primera vez, se ha identificado públicamente al líder de este notorio grupo criminal.

Las autoridades han impuesto sanciones a Khoroshev, incluyendo congelación de activos y prohibiciones de viaje, anunciadas conjuntamente por el Departamento de Tesorería de los Estados Unidos y el Departamento de Asuntos Exteriores de Australia, entre otros. Khoroshev, quien valoraba el anonimato y llegó a ofrecer una recompensa de 10 millones de dólares por información sobre su identidad, ahora enfrenta restricciones significativas.

La información obtenida de los sistemas del grupo revela que desde junio de 2022 hasta febrero de 2024, se orquestaron más de 7,000 ataques, afectando principalmente a países como EE. UU., Reino Unido, Francia, Alemania y China. Los ataques se centraron especialmente en más de 100 hospitales y empresas de salud, sumando al menos 2,110 víctimas.

BingX exchange confiable de Criptomonedas

A pesar de intentos por reconstruir su red en febrero, una operación de cumplimiento de la ley internacional afectó significativamente a LockBit. Desde la intervención, los ataques en el Reino Unido han disminuido un 73%, con reducciones similares en otros países. La investigación también proporcionó detalles sobre la estructura y la red del grupo, identificando a 194 afiliados que usaron los servicios de LockBit hasta febrero de 2024, de los cuales 148 planificaron ataques y 119 negociaron con las víctimas, aunque 39 de estos últimos nunca recibieron un pago de rescate.

El director general de la NCA, Graeme Biggar, destacó la importancia de las sanciones y afirmó que no hay escondite para cibercriminales como Khoroshev. La investigación sobre LockBit continúa, y ahora se enfoca también en los afiliados que han utilizado los servicios del grupo para lanzar ataques devastadores de ransomware contra escuelas, hospitales y grandes empresas en todo el mundo.

Europol ha facilitado más de 2,500 claves de descifrado y está en contacto con las víctimas de LockBit para ofrecer asistencia. Con el apoyo de Europol, agencias como la Policía Japonesa, la NCA y el FBI han desarrollado herramientas de descifrado para recuperar archivos cifrados por el ransomware LockBit, ahora disponibles gratuitamente en el portal No More Ransom en 37 idiomas.


Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
Base De Datos

A la venta por 10.000$ base de datos con de 39,8 millones datos personales de Españoles

Un hacker asegura tener una base de datos de españoles nacidos entre 1962 y 2004 y los ofrece a otros ciberdelincuentes por $10,000 dólares.

Una base de datos que contiene información de 39,8 millones de datos de personas españolas nacidas entre 1926 y 2004. Esta base de datos contiene información como la fecha de nacimientonombreapellidosdirecciónciudad y código postal, por lo que básicamente pueden saber todo de nosotros si es cierto. De hecho, mirando los números, incluye casi la totalidad de ciudadanos del país y todo ocupando únicamente 40 MB.

BingX exchange confiable de Criptomonedas

Este documento de solo 40 MB que tiene los datos de casi 40 millones de ciudadanos españoles, se ha puesto a la venta en la Dark Web por 10.000 dólares. Este puede resultar un precio relativamente barato si tenemos en cuenta que es información de casi todos los ciudadanos del país. Ahora bien, no se trata de información crítica de una empresa importante, por lo que al final se limita a datos que pueden emplear para futuras campañas de engaño y fraude. Por ejemplo, pueden enfocarse en determinadas personas o grupos sabiendo su información a la hora de promocionar publicidad engañosa.

También puede ser de gran importancia para ciertas entidades tener estos datos y tal y salvo que quiera llevarlo a subasta, el primero en pagar se lleva el documento de 40 MB. Ahora bien, no sabemos si se trata de robo de datos real, por lo que la persona o institución que acabe pagando los 10.000 dólares sabrá la verdad.

https://twitter.com/DailyDarkWeb/status/1777374783019135341

Un conocido foro underground de habla rusa, en la que un usuario ha puesto a la venta por 10.000 dólares una base de datos “de los ciudadanos de España”.

No se ha revelado cómo ha obtenido esta base de datos

Un hacker asegura tener una base de datos de españoles nacidos entre 1962 y 2004 y los ofrece a otros ciberdelincuentes por $10,000 dólares.

la supuesta base de datos contiene el DNI, nombre, primer y segundo apellido, fecha de nacimiento, dirección, ciudad y código postal de los ciudadanos nacidos entre 1962 y 2004, y que la facilita en un archivo con un tamaño de 40 megas.

Es información que podría ser de utilidad para aquellos ciberdelincuentes que estén pensando realizar una campaña de phishing o similar, pues datos como la fecha de nacimiento o la dirección podrían ayudar a crear un ataque más personalizado y, por tanto, hacer que la víctima caiga en la trampa más fácilmente.

Afirma tener los datos de millones españoles no demuestra de ninguna forma que el contenido de esa base de datos es información real de los ciudadanos nacidos entre 1962 y 2004. Podría simplemente haber publicado el post en un foro de la dark web y esperar a ver si algún atacante cae en la trampa y paga 10.000 euros por la supuesta base de datos.


Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
ciberseguridad

Vulnerabilidad Crítica en Magento Facilita el Robo de Datos de Pago

Se ha descubierto que los actores de amenazas están explotando una falla crítica en Magento para inyectar una puerta trasera persistente en sitios web de comercio electrónico.

Se ha descubierto que los actores de amenazas están explotando una falla crítica en Magento para inyectar una puerta trasera persistente en sitios web de comercio electrónico.

El ataque aprovecha CVE-2024-20720 (puntuación CVSS: 9,1), que Adobe ha descrito como un caso de “neutralización inadecuada de elementos especiales” que podría allanar el camino para la ejecución de código arbitrario. 

La empresa lo abordó como parte de las actualizaciones de seguridad publicadas el 13 de febrero de 2024.

Sansec dijo que descubrió una “plantilla de diseño inteligentemente diseñada en la base de datos” que se utiliza para inyectar automáticamente código malicioso para ejecutar comandos arbitrarios. “Los atacantes combinan el analizador de diseño de Magento con el paquete beberlei/assert (instalado por defecto) para ejecutar comandos del sistema”, dijo la compañía. “Debido a que el bloque de diseño está vinculado al carrito de pago, este comando se ejecuta cada vez que se solicita /checkout/cart”.

El comando en cuestión es sed, que se utiliza para insertar una puerta trasera de ejecución de código que luego es responsable de entregar un skimmer de pagos para capturar y filtrar información financiera a otra tienda Magento comprometida. 

El desarrollo se produce cuando el gobierno ruso acusó a seis personas por usar malware skimmer para robar información de pagos y tarjetas de crédito de tiendas de comercio electrónico extranjeras al menos desde finales de 2017.

Los sospechosos son Denis Priymachenko, Alexander Aseyev, Alexander Basov, Dmitry Kolpakov, Vladislav Patyuk y Anton Tolmachev. Recorded Future News informó que los arrestos se realizaron hace un año, citando documentos judiciales.

“Como resultado, los miembros del grupo de atacantes informáticos se apoderaron ilegalmente de información sobre casi 160.000 tarjetas de pago de ciudadanos extranjeros y luego las vendieron a través de sitios web ocultos”dijo la Fiscalía General de la Federación de Rusia.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

En españa un joven de 17 años es condenado por hackear el correo de su profesora

hacker email noticia

El Juzgado de Menores número uno de Sevilla ha condenado a un adolescente de 17 años de edad a 55 horas de servicios en beneficio de la comunidad por un delito contra la intimidad, cometido al hackear la cuenta corporativa de Google de una profesora de su instituto de Gines, a la que él y sus padres habrán de indemnizar con mil euros.

En una sentencia emitida el pasado 13 de noviembre, dicha instancia judicial declara probado, de conformidad con el menor inculpado, que ha reconocido los hechos, que “desde el 14 de febrero hasta el 5 de abril del año 2022, sin consentimiento y violando las medidas de seguridad pertinentes”, él mismo “accedió desde su teléfono móvil en numerosas ocasiones a la cuenta drive/nube virtual vinculada a la cuenta de Google corporativa cuya titular es su profesora, donde ésta almacena información tanto de carácter personal como corporativa“.

En la vista, según la sentencia, el menor “manifestó ser el autor de los hechos y mostró su conformidad con la medida solicitada por el Ministerio Fiscal” para él, en este caso “la medida de 55 horas de prestación de servicios en beneficio de la comunidad, con la finalidad de que comprenda que actuó de forma incorrecta, que merece el reproche de la sociedad, que los hechos cometidos son graves, que se han causado perjuicios a una persona de manera injustificada y que la prestación de servicios que se le exige en beneficio de la comunidad constituye un acto de reparación justa”.

Cripto Casino - Stake
Conoce Stake Cripto Casino

 Por eso, el Juzgado de Menores número uno de Sevilla condena al adolescente a 55 horas de servicios en beneficio de la comunidad por un delito contra la intimidad, así como a una indemnización de mil euros en favor de la profesora, en concepto de daño moral, cuantía que habrán de pagar el menor y sus padres de forma conjunta y solidaria.

Fran Peláez, abogado del despacho sevillano PenalTech y profesional que ha defendido los intereses de la profesora en este caso, ha manifestado al respecto que “este tipo de delitos tecnológicos son extremadamente difíciles de perseguir por su complejidad a la hora de identificar al autor de los hechos”.

En este caso concreto, “se dedujo que el intruso podía ser alguien del entorno de la educadora que estuviese interesado en el tipo de información que guarda aquella en la nube”. Por tanto, ante tal escenario confuso, “solo cabía la posibilidad de identificar al autor de los hechos a través de la dirección IP que podría identificar a un dispositivo en Internet o en una red local”, según explica el letrado experto en delitos informáticos.

BingX exchange confiable de Criptomonedas

Fuente (s) :

Seguir Leyendo
By
Ransomware

Ring, la marca de cámaras inteligentes de Amazon es Víctima de un Ataque Ransomware

El grupo ALPHV,  aseguran haber hackeado Ring, la división de timbres, cámaras de seguridad y alarmas de Amazon, mediante un ataque de ransomware. Afirman haber obtenido datos privados y amenaza con publicarlos si la compañía no paga un rescate.

BingX exchange confiable de Criptomonedas

Como amenaza, ALPHV ha compartido en su sitio web una publicación en la que aparece una imagen del logotipo de Ring junto al asunto “Ring: sistemas de seguridad” y la frase “siempre hay una opción para permitirnos filtrar sus datos”. Según informa Vice, los empleados de Amazon han pedido a través de mensajes internos que no compartan información relacionada con este asunto. “No discutas nada sobre esto. Los equipos de seguridad adecuados están comprometidos”, ha escrito uno de los trabajadores.

Se desconoce, eso sí, qué datos han podido obtener ALPHV a través del ataque de ransomware a Ring. Es probable que entre la información se encuentren grabaciones de cámaras de seguridad, timbres y alarmas, así como información interna de la compañía. 

Ring no admite si fué hackeado,a pesar de que la crypto pandilla de Ransomware Alphv publica el ataque

El lunes, el grupo de hackers ransomware ALPHV incluyó al fabricante de videoporteros Ring como víctima en su oscuro sitio web. “Siempre hay una opción para permitirnos filtrar sus datos”, escribió el grupo vinculado a Rusia junto con la lista, vista por TechCrunch.

No se sabe a qué datos específicos tiene acceso ALPHV, y la crypto pandilla no ha compartido ninguna evidencia de robo de datos.

En una declaración dada a TechCrunch, la portavoz de Ring, Emma Daniels, dijo que la compañía actualmente “no tiene indicios de que Ring haya experimentado un evento de ransomware”, pero no dijo si la compañía tiene la capacidad técnica, como registros, para detectar si se usó algún dato. accedido o exfiltrado.

Según un comunicado compartido con Vice, Ring dijo que estaba al tanto de que un proveedor externo había sido objeto de un ataque de ransomware y que está trabajando con la empresa, que supuestamente no tiene acceso a los registros de los clientes, para obtener más información. Cuando TechCrunch lo contactó nuevamente, Daniels se negó a confirmar la violación de terceros o nombrar al proveedor involucrado, pero tampoco lo disputó.

Vice informa que el enlace a su informe se compartió en uno de los canales internos de Slack de Amazon junto con una advertencia: “No discuta nada sobre esto. Los equipos de seguridad adecuados están comprometidos”.

Al igual que otros grupos de ransomware, ALPHV no solo encripta los datos de la víctima, sino que primero los roba, con el objetivo de extorsionar a la víctima amenazándola con liberar los datos robados.

ALPHV, a menudo denominado BlackCat, ganó prominencia por primera vez en 2021 como uno de los primeros grupos de ransomware en utilizar el lenguaje de programación Rust y el primero en crear una búsqueda de datos específicos robados a sus víctimas. Otras víctimas de ALPHV incluyen Bandai Namco, Swissport y la Universidad Tecnológica de Munster (MTU) en Irlanda.

No es la primera vez que Ring sufre un hackeo

No es la primera vez, además, que Ring sufre un hackeo de estas características. En 2019, de hecho, la compañía fue demandada por una serie de ciberataques que afectaron a más de 3.000 clientes. Incluso fueron capaces de conectarse a la cámara de vigilancia del dormitorio de unos niños y hablar a través de ella. El hackeo, organizado a través de un servidor de Discord fue posible gracias al acceso a los sistemas a través de credenciales obsoletas. Amazon alegó que el problema fue el uso de contraseñas débiles por parte de los usuarios.Ring, reiteramos, era una startup especializada en dispositivos de seguridad inteligentes, tales como cámaras, timbres y alarmas. Fue comprada por Amazon en 2018 por 1.000 millones de dólares. Ahora, los productos de la marca pertenecen a la compañía fundada por Jeff Bezzos, y están disponibles en el portal con algunas funciones desarrolladas por la propia Amazon, como la compatibilidad con Alexa

 Por su parte, ALPHV es un grupo de ciberdelincuentes aparentemente vinculado a Rusia, y conocido por realizar hackeos a través de ransomwarede una magnitud considerable. Entre ellos, al de una red de atención médica de Estados Unidos. Los atacantes llegaron a publicar en su web fotografías de pacientes con cáncer e información médica como amenaza para exigir un rescate. ALPHV también ha hackeado los sistemas de la Universidad Tecnológica de Munster (MTU), en Irlanda, con 6 GB de datos en los que se incluye información de empleados y sus nóminas. 

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
ciberseguridad

Una nueva versión del troyano Xenomorph automatiza el robo de fondos de una cuenta bancaria

Según un informe de la empresa de ciberseguridad ThreatFabric, ha surgido una nueva variante de un troyano bancario para Android llamado Xenomorph.

La versión actualizada, denominada “Xenomorph 3rd generation” por Hadoken Security Group, ha recibido nuevas funciones, incluido un motor de ejecución mejorado basado en el Servicio de accesibilidad de Android que utilizan los hackers informáticos para implementar el Servicio de transferencia automatizada (ATS).

Paises más atacados ó con dispositivos infectados por Xenomorph 3rd G.
Cripto Casino - Stake
Conoce Stake Cripto Casino

El Xenomorph se dió a conocer por primera vez en febrero de 2022. Se dirigió a 56 bancos europeos que usaban aplicaciones cuentagotas que se publicaron en Google Play Store. La última versión de Xenomorph apunta a más de 400 instituciones bancarias y financieras, incluidas varias billeteras de criptomonedas. Las muestras detectadas se distribuyen a través de Discord Content Delivery Network (CDN), según ThreatFabric.

“Xenomorph v3 se está implementando utilizando la aplicación cuentagotas Zombinder, que simula un convertidor de moneda, que descarga una aplicación que se hace pasar por Google Play Protect (Google Play Protect) como una actualización. Las aplicaciones de Zombinder se desarrollan utilizando el servicio Google Bound.

El impacto de la campaña descubierta se está expandiendo de las empresas europeas a las instituciones financieras belgas y canadienses.

Xenomorph, como cualquier troyano bancario, abusa del Servicio de Accesibilidad de Android para llevar a cabo ataques de superposición. El troyano también puede completar automáticamente transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistemas de Transferencia Automatizados (ATS).

BingX exchange confiable de Criptomonedas

A medida que los bancos pasan de los SMS para la autenticación de dos factores (2FA) a las aplicaciones de autenticación, el troyano Xenomorph incluye un módulo ATS que le permite ejecutarse para extraer códigos de autenticación de las aplicaciones de autenticación.

Xenomorph v3 también tiene una función de robo de cookies que permite que un hacker se apodere de una cuenta. Las cookies de sesión permiten al usuario mantener una sesión de navegador abierta sin tener que volver a introducir sus credenciales. Al robar la cookie de sesión, el atacante obtiene acceso a la sesión de la víctima que ha iniciado sesión.

Con nuevas funciones, Xenomorph ahora puede automatizar por completo toda la cadena de ataque, desde la infección hasta el robo de fondos, lo que lo convierte en uno de los troyanos de malware más avanzados y peligrosos para Android.

En Resumen, Xenomorph v3 es capaz de realizar toda la cadena de fraude, desde la infección, con la ayuda de Zombinder, hasta la transferencia automatizada mediante ATS, pasando por la exfiltración de PII mediante ataques Keylogging y Overlay. Además, el Threat Actor detrás de esta familia de malware ha comenzado a publicitar activamente su producto, lo que indica una clara intención de expandir el alcance de este malware. ThreatFabric espera que Xenomorph aumente en volumen, con la probabilidad de que se distribuya nuevamente a través de cuentagotas en Google Play Store.

Se sugiere tener extrema precaución con las aplicaciónes que se vayan a descargar, se sugiere utilizar un dispositivo extra o solo para la banca en linea o transferencias de criptomonedas.

Fuente (s):

Seguir Leyendo
By
Ransomware

Hospital Clínic de Barcelona bajo ataque de ransomware, afecta a las urgencias, el laboratorio y la farmacia

ataque de ransomware a hospital clinic en barcelona

El Hospital Clínic de Barcelona ha sido víctima de un ciberataque, según ha notificado el mismo hospital a la Agencia de Ciberseguridad de Catalunya este domingo, en torno a las 11:17 horas. Se trata de un ciberataque de ransomware de Ransom House que cifran y suele robar y vender los datos de un sistema para solicitar un rescate, que está afectando a los servicios de urgencias, laboratorio y farmacia del centro.

Hacia las 11:30 horas se ha iniciado el despliegue del plan de actuación para dar respuesta al incidente, dentro del cual se encuentra conocer la afectación que ha comportado el ataque, según ha informado el Govern en un comunicado.

  • El ataque ha obligado a hacer todos los trámites informáticos a mano y complica el acceso a los historiales de los pacientes

RansomHouse es un grupo de ciberdelincuentes que se dedica a realizar ciberataques para robar los datos y extorsionar a sus víctimas. Aunque su nombre sugiere que operan con ransomware, han afirmado que su modelo de negocio no implica cifrar los datos secuestrados, sino que se dedican a mediar entre las empresas afectadas y hallazgos o extracciones de datos de grandes compañías.

Este grupo de hackers habría aparecido a finales de diciembre del 2021 y desde entonces han atacado compañías en Suecia, Canadá, Estados Unidos, varios países africanos, Colombia y Alemania. 

El ciberataque de ransomware ha afectado los servicios de urgencias, el laboratorio y la farmacia. El hospital se ha coordinado con el Servicio de Emergencias Médicas (SEM) para que no traslade enfermos al centro y los derive a otros hospitales de la ciudad, aunque si llegan por su propio pie les atiende. El centro hospitalaria precisa sobre el impacto del ataque que “muchas de las actividades que se hacían con sistemas hay que hacerlas a mano, como inventarios o registros de pacientes”, pero no informa si afecta a los datos o historiales de pacientes. El secretario general de CC OO en el hospital, Àlex Duque, asegura que los ciberdelincuentes no han robado datos de los pacientes.

Una enfermera del servicio de transfusiones, Mireia Gómez, en declaraciones a la ACN, ha lamentado la situación “no damos abasto. Es un riesgo para la gente que pueda venir aquí a tratarse y que no se la puede atender bien”. Según ella, los responsables de informática están intentando solucionar “todos los problemas” pero todavía no saben cuando lo podrán resolver: “Nos dicen que quizás tardan dos días o quizás una semana… de momento tenemos que trabajar así”. Los sanitarios no pueden acceder al historial de las personas que atienen y lo tienen que hacer “todo a mano”. Esto está generando algunas dificultades porque se tienen que fiar de los pacientes en cuanto a sus patologías, como pueden ser alergias a medicamentos, indica Gómez. Además, la enfermera ha afirmado que “hemos llegado esta mañana y nos han dicho que desde ayer noche no funciona el sistema informático”.

BingX exchange confiable de Criptomonedas

Coordinación para atender urgencias

Los servicios de urgencias siguen atendiendo a los pacientes que ya estaban ingresados, que no han sido trasladados a otros centros, pero el Sistema de Emergencias Médicas (SEM) sí que deriva nuevos pacientes en otros hospitales de la ciudad, así como los códigos por ictus o infarto. Según ha informado el Gobierno a través de un comunicado, mientras se soluciona el problema, los servicios afectados se han coordinado con la Conselleria de Salut de la Generalitat y otros hospitales de Barcelona para derivar a los pacientes de urgencias. En cambio, el centro sí que acepta pacientes que llegan por su propio pie en sus urgencias. Tampoco se ha trasladado ninguno de los pacientes que están ingresados en planta.

El Hospital Clínic solo mantendrá las urgencias

El Hospital Clínic sigue trabajando para resolver la incidencia, pero a través de un comunicado ha informado que este lunes solo se mantendrá la actividad a urgencias y de hospitalización en sus tres sedes (Villarroel, Platón y Maternidad). Así como también funcionará la hospitalización domiciliaria, los hospitales de día, radiología, pruebas endoscópicas, exploraciones radiológicas, diálisis y farmacia ambulatoria. El centro ha comunicado que se desprogramaran las cirugías electivas, el centro de extracciones y las consultas externas.

¿Qué es un ciberataque ‘ransomware’?

El ‘ransomware‘ o secuestro es un tipo de programa informático maligno para el sistema que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. Una vez se ha infectado el sistema, aparece una nota a la pantalla, ‘una nota de rescate’, en la que se informa de que los archivos han sido secuestrados y detallan como liberarlos, generalmente a través de un pago en criptomonedas, convirtiéndolo así en un delito difícil de rastrear.

Los métodos que se utilizan para que este ‘ransomware’ llegue a los dispositivos son diversos, pero el más común es a través de un correo electrónico, principalmente en el momento de descargar un fichero adjunto. Otras trampas que también se usan, pueden ser clicar en un enlace o instalar una aplicación a la que se le ha dado una apariencia normal. Las víctimas del secuestro de datos son tanto personas particulares como empresas. No es la primera vez que pasa en Catalunya, a finales de 2021 un ciberataque también afectó los servicios informáticos de la Universitat Autònoma de Barcelona (UAB), que afectó el entorno virtual del centro durante semanas. El último ataque registrado fue el pasado mes de octubre, cuando un ciberataque afectó tres hospitales y algunos CAP del Baix Llobregat y Barcelona.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino

 

Seguir Leyendo
By
ciberseguridad

Rusia tiene un Nuevo Sistema Operativo llamado M OS para ordenadores

 La cancelación de Windows en Rusia en junio de 2022, que se produjo como sanción contra Moscú tras la invasión de Ucrania, ha obligado a los desarrolladores del país a dar a luz a un nuevo sistema operativo «Made in Russia» llamado M OS.

Cripto Casino - Stake
Conoce Stake Cripto Casino
Rusia tiene nuevo sistema operativo para Gobierno e Instituciones

Moscú ya había iniciado un plan de autosuficiencia a nivel de hardware para depender lo mínimo posible de incidencias externas y no «caer en chantajes en forma de sanciones». Este es su primer gran resultado.

Así es M OS, el nuevo sistema operativo ruso

El mercado de software ruso ha dado la bienvenida a un nuevo sistema operativo llamado «M OS», que se basa en el kernel de Linux. El sistema operativo está diseñado específicamente para su uso en instituciones educativas y está siendo desarrollado por el Departamento de Tecnologías de la Información de la ciudad de Moscú. El equipo responsable del desarrollo de servicios electrónicos y sistemas de tecnologías de la información en la capital ha colaborado con desarrolladores rusos para crear «M OS».

Un equipo de 25 desarrolladores ha trabajado en el desarrollo de “M OS” y el kit de distribución tardó seis meses en desarrollarse. El producto ya se suministra a las escuelas de Moscú como parte de ordenadores personales, portátiles y pizarras digitales/paneles interactivos.

Entre las ventajas del sistema operativo se encuentran: una interfaz simple e intuitiva, un funcionamiento estable y confiable, así como un alto nivel de ciberseguridad. M OS viene preinstalado con un paquete de software de ofimática en ruso (editor de texto y hojas de cálculo, etc.), así como aplicaciones integradas y programas especiales para profesores y estudiantes. La idea es que sustituya completamente el uso de Microsoft Office para Estudiantes.

Apostando por el código abierto

Para evitar la utilización de software sin licencia, aunque el llamado «Plan de acción prioritario para garantizar el desarrollo de la economía rusa en condiciones de presión de sanciones externas» permite la “cancelación de responsabilidad por el uso de software (SW) sin licencia en la Federación Rusa, propiedad de un titular de derechos de autor de países que han apoyado las sanciones”, en este diseño bastante limpio que parece un híbrido entre Windows y macOS, encontramos navegadores como Chromium y Mozilla Firefox, además de clientes de correo electrónico como Mozilla Thunderbird y suites ofimáticas como LibreOffice en suma a la suite ofimática rusa.

Por lo tanto, el kit de aplicaciones de código abierto ya está integrado y diseñado específicamente para profesores y estudiantes. Moscú ya urgió a los desarrolladores del país a encontrar medidas de autosuficiencia en materia informática una vez que comenzaron a llegar sanciones de diferentes empresas internacionales como Microsoft.

Ahora van un paso más allá con la primera piedra de lo que se espera que sea una evolución de este sistema operativo destinado a permanecer en Rusia durante mucho tiempo, incluso si finaliza la guerra y se levantan las sanciones, apostando por el sistema operativo nacional.

Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By