Lo + Nuevo
Noticias de Ciberseguridad –
Tag

Hacking

Browsing
Noticias

Uber es hackeado, presuntamente por “un joven de 18 años” – solo por diversión

Puedes escuchar la noticia dando click aqui 🙂

Presuntamente un hacker, joven de 18 años atacó a Uber y obtuvo acceso al código fuente de la empresa, así como a canales de comunicación internos (dashboards) y herramientas de administración de la compañía. Según declaraciones al New York Times , realizó este ciberataque solo por diversión. Asegura que ha atacado Uber porque la compañía tiene una seguridad muy débil. Además, en el mensaje de Slack que anunció la brecha, también ha señalado que a los conductores de Uber tendrían que pagarles más.

El atacante habría conseguido acceder a sistemas IT críticos de la compañía consiguiendo las credenciales de Slack de uno de sus empleados.

@adalparedes1

♬ [News coverage] Inorganic: Flat: 12(1011945) – 8.864

Después de hackear Uber, el atacante envió una notificación vía Slack a todos los trabajadores informándoles del hackeo de la empresa  Los empleados pensaron que era una broma.

Este jueves por la tarde Uber ha sufrido un ciberataque que involucra una violación de sus sistemas informáticos y que ha desconectado sus sistemas internos de comunicaciones y de ingeniería, según han informado al New York Times y fue confirmado por la misma empresa Uber unas horas después.

“Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con la policía y publicaremos actualizaciones adicionales aquí a medida que estén disponibles”, ha señalado Uber en una de sus cuentas oficiales de Twitter.

Este mensaje es lo único que ha comunicado Uber sobre el ciberataque del que ha sido víctima en el momento de escribir estas líneas. No obstante, el New York Times explica que esta brecha de seguridad sería el resultado de un ataque de ingeniería social dirigido contra uno de los trabajadores del gigante de la movilidad, de quien habría conseguido robar las credenciales de su cuenta de Slack, el servicio de comunicación que emplean a nivel interno, y así habría obtenido acceso a los sistemas internos de Uber.

Siguiendo la información del New York Times, el primer medio que ha informado del ciberataque, Uber desconectó el sistema de Slack después de que los empleados recibieran un mensaje. “Anuncio que soy un hacker y Uber ha sido completamente hackeado”, decía el mensaje, que continuaba enumerando varias bases de datos internas que supuestamente habían sido comprometidas.

Así han asaltado Uber: -Credenciales de la VPN obtenidas por Ingeniería social. -Escaneo de la red interna encuentra una carpeta compartida con scripts PowerShell que contienen user/pass de admin del PAM. -Domain Admin y “Game Over” 

Después de obtener acceso a las credenciales, el actor de amenazas le dijo a Leo que iniciaron sesión en la red interna a través de la VPN corporativa y comenzaron a escanear la intranet de la empresa en busca de información confidencial.

Como parte de estos escaneos, dice que encontró un script de PowerShell que contiene credenciales de administrador para la plataforma de administración de acceso privilegiado (PAM) Thycotic de la empresa, que se utilizó para acceder a los secretos de inicio de sesión para otros servicios internos de la empresa.

    “Está bien, básicamente Uber tenía un recurso compartido de red \\[redactado] puntos. El recurso compartido contenía algunos scripts de PowerShell.

    uno de los scripts de PowerShell contenía el nombre de usuario y la contraseña de un usuario administrador en Thycotic (PAM) Con esto pude extraer secretos para todos los servicios, DA, DUO, Onelogin, AWS, Gsuite”

Según el medio estadounidense, la persona que se ha atribuido este ciberataque  dijo tener 18 años y que decidió hackear los sistemas de Uber porque “tenían poca seguridad”. Al parecer, logró las credenciales de Slack del empleado haciéndose pasar por una persona de TI corporativa, lo que le permitió acceder a sistemas internos de Uber.

Habría tenido acceso a muchos sistemas críticos de IT de Uber

La cuenta de Twitter @vxunderground, especializada en temas de ciberseguridad, ha publicado un hilo sobre este ciberataque en el que señala que “afirma haber comprometido completamente Uber” y ha compartido varias capturas de pantalla de los sistemas que habría vulnerado, algunos de ellos críticos que van más allá de Slack. Y es que también incluirían datos de las finanzas de la compañía, de vSphere, de AWS y de Google Workspace.

Además, Bleeping Computer asegura haber visto otras capturas de pantalla compartidas por el pirata informático que muestran que también ha conseguido acceder al software de seguridad de Uber y a su dominio de Windows.

Por el momento esto es todo lo que se sabe sobre este ciberataque del que ha sido víctima Uber, del que por ahora la compañía se ha limitado a confirmar que está “respondiendo a un incidente de ciberseguridad” y que lo están investigando en colaboración con la Policía. No obstante, lo cierto es que todo apunta a que es un hackeo de gran magnitud y seriedad y que no es la primera vez que Uber se ve afectada por problemas de ciberseguridad.

El más importante fue el que experimentó en 2016, cuando sufrió otra violación de datos que afectaba a 57 millones de pasajeros y conductores en un incidente que vio la luz a finales de 2017, con la compañía saliendo muy mal parada al revelarse que había pagado 100.000 dólares a los atacantes para ocultar la violación. Asimismo, cabe recordar que Uber también se ha visto salpicada este verano por la investigación de “Uber Files”, que desvela, a partir del análisis de 124.000 archivos internos de la compañía, las estrategias que ha utilizado para implantarse en decenas de países y presionar a políticos de primer nivel. Sin embargo, más allá del escándalo, lo cierto es que no ha tenido mayores consecuencias, como valoraron para Escudo Digital Carles Mur y Juan Varela, profesores de EAE Business School.

Cómo se realizó el ciberataque a Uber

The New York Times, que fue el primero en informar sobre el ciberataque a Uber, explica que el mismo se realizó mediante ingeniería social contra un empleado de alto perfil y en concreto comprometiendo su cuenta del servicio de comunicación empresarial, Slack. 

La ingeniería social se ha convertido en una técnica muy popular entre los ciberdelincuentes y lo hemos visto en ataques recientes contra otras empresas como Twitter , MailChimp, Robinhood y Okta. El usuario siempre es el eslabón más «débil» de la cadena de seguridad y es el principio que sustenta este tipo de ataques informáticos.

Como la cuenta de Uber estaba protegida con autenticación multifactor, el atacante supuestamente usó un ataque de fatiga de MFA y fingió ser el soporte de TI de Uber para convencer al empleado de que aceptara la solicitud de MFA.

Fuente: Kevin Beaumont

Los ataques de fatiga de MFA se producen cuando un actor de amenazas tiene acceso a las credenciales de inicio de sesión corporativas, pero la autenticación multifactor bloquea el acceso a la cuenta. Luego emiten repetidas solicitudes de MFA al objetivo hasta que las víctimas se cansan de verlos y finalmente aceptan la notificación.

Esta táctica de ingeniería social se ha vuelto muy popular en los recientes ataques contra empresas conocidas, como Twitter, MailChimp, Robinhood y Okta.

The New York Times informa que el atacante afirmó haber accedido a las bases de datos de Uber y al código fuente como parte del ataque.

Además del compromiso de sistemas críticos TI y del programa de recompensas por errores de seguridad HackerOne (muy grave por los motivos citados), no es descartable que los datos personales de usuarios hayan sido comprometidos.

Para Uber, no es el primer incidente de este tipo. En 2018, acordó el pago de 148 millones de dólares por una violación de datos de 2016 que el servicio de transporte compartido ocultó incumpliendo la normativa al respecto. El jefe de seguridad de Uber entonces, fue acusado de encubrir la violación.

En aquella ocasión, los piratas informáticos robaron datos de 57 millones de conductores y pasajeros, incluida información personal como nombres, direcciones de correo electrónico y número de licencia de conducir. Uber encubrió ilegalmente el caso, pagó a los piratas informáticos 100.000 dólares para eliminar la información y les pidió que firmaran un acuerdo de confidencialidad. El ciberataque actual parece más grave aún, aunque no hay información oficial que podamos valorar. 

Fuente (s) :

Seguir Leyendo
By
Ransomware

Principales características del Ransomware LockBit 2.0

El ransomware LockBit es una de las grandes amenazas actuales. Actualmente es el grupo con más víctimas públicas y con diferencia. Además está considerado el más rápido del mundo, puede cifrar 53 GB de datos en solo 4 minutos. En un informe realizado por la plataforma de analítica de datos Splunk, en el que analizaron los ransomware actuales más peligrosos sobre víctimas en Windows 10 y Windows Server 2019, la mejor marca ha sido para una muestra de LockBit 2.0, que ha tardado 4 minutos y 9 segundo para cifrar 53 GB de datos en todo tipo de formatos: PDF, Word, fotos, vídeos, etc.

Después de 400 ejecuciones de ransomware, los tiempos que tardaban en cifrar datos procedentes de 98.561 archivos han dejado constancia de las diferencias en los tiempos para completarlo. 

   Sin embargo, de media, el resto de muestras de la misma familia tampoco es que hayan tardado mucho más, ya que el tiempo que han necesitado es de 5 minutos y 50 segundos.

Pero, después de LockBit, el segundo ransomware más rápido es el de la familia Babuk, que ha tardado una media de 6 minutos y 34 segundos para cifrar la misma cantidad de datos. En tercer lugar se ha situado Avaddon, cuyo promedio de tiempo ha sido de 13 minutos y 15 segundos. 

   De todas las familias de ransomware analizadas, Mespinoza ha sido la que más ha tardado en llevar a cabo el secuestro de estos datos, con un tiempo de una hora, 54 minutos y 54 segundos.

LockBit 2.0 y el uso de las políticas de grupo en Windows

Una de las familias de ransomware como servicio más populares, observada por primera vez en septiembre de 2019, y que ha tenido cierto protagonismo afectando a sistemas de control industrial lanza ahora una nueva versión. Recordemos que la primera versión 1.0 contenía un bug con el cuál se podían descifrar los archivos, no así en la versión 2.0

Después de que las temáticas relacionadas con el ransomware fueran prohibidas en algunos de los principales foros usados por los ciberdelincuentes para evitar atraer la atención de las autoridades, algunos grupos como LockBit empezaron a promocionar su servicio en busca de afiliados en las webs que tienen preparadas para filtrar los datos que roban de las empresas a las que atacan.

LockBit 2.0 está promocionando sus características entre aquellos delincuentes que quieran formar parte de este esquema criminal para repartirse los beneficios. Este tipo de grupos se encarga de desarrollar el malware y de proporcionar soporte a los criminales que lo utilicen para cifrar los datos de sus víctimas. Cuando las víctimas pagan el rescate, este se reparte entre los afiliados encargados de acceder a las redes corporativas, robar la información y cifrarla y los desarrolladores del malware.

Normalmente, cuando los delincuentes acceden a una red corporativa y consiguen hacerse con el controlador del dominio, estos suelen utilizar software de terceros para desplegar scripts que tratan de desactivar el software antivirus que esté instalado, y así evitar que la ejecución del ransomware sea detectada y bloqueada.

Sin embargo, en las nuevas muestras detectadas se observa una automatización de este proceso mediante el cual el ransomware se distribuye de forma automática por la red corporativa cuando se ejecuta en un controlador de dominio. Para conseguirlo, el ransomware genera una nueva política de grupo en el controlador del dominio que luego es enviada a todos los dispositivos de la red.

powershell.exe -Command “Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}”

Imprimir la nota de rescate

Además, esta nueva versión de LockBit también incluye una interesante funcionalidad (vista anteriormente en otras muestras de ransomware como Egregor) que consiste en la impresión de las notas de rescate en todas las impresoras de red que estén conectadas para así llamar la atención de las víctimas.

Condiciones para los “socios” de LockBit 2.0

LockBit dice que es el ransomware más rápido cifrando

Y el más rápido exfiltrando información:

Cómo funciona LockBit

La capacidad y peligrosidad de LockBit ha ido in crescendo desde su aparición en septiembre 2019 y funciona como ransomware como servicio (RaaS) en el que se contratan ataques en un marco de afiliados. Posteriormente, el rescate obtenido por el secuestro de datos se reparte entre el equipo de desarrolladores de LockBit y los atacantes afiliados, que reciben hasta tres cuartas partes de los fondos conseguidos.

Las autoridades consideran que el ransomware LockBit forma parte de la familia de malware “LockerGoga & MegaCortex“. Esto simplemente significa que comparte comportamientos con estas formas establecidas de ransomware dirigido. Como explicación rápida, entendemos que estos ataques son:

  • Autodifusión dentro de una organización en lugar de requerir un direccionamiento manual.
  • Dirigido, en lugar de propagarse de forma dispersa como el malware de spam.
  • Usando herramientas similares para propagarse, como Windows Powershell y Server Message Block (SMB).

Lo más significativo es su capacidad de autopropagación, lo que significa que se propaga por sí solo. En su programación, LockBit está dirigido por procesos automatizados prediseñados. Esto lo hace único de muchos otros ataques de ransomware que son impulsados ​​​​de forma manual en la red, a veces durante semanas, para completar el reconocimiento y la vigilancia.

De esta forma, tras explorar las debilidades de una red, consigue infiltrarse realizando toda la actividad automáticamente y desactiva los programas de seguridad. Una vez conseguido, implementa la carga de cifrado. Las víctimas solo podrán recuperar esa información y desbloquear los sistemas si pagan el rescate solicitado para obtener la clave de acceso.

Después de que el atacante haya infectado manualmente un solo host, puede encontrar otros hosts accesibles, conectarlos a los infectados y compartir la infección mediante un script. Esto se completa y repite completamente sin intervención humana.

Además, utiliza herramientas en patrones que son nativos de casi todos los sistemas informáticos de Windows. Los sistemas de seguridad de puntos finales tienen dificultades para marcar actividades maliciosas. También oculta el archivo de cifrado ejecutable al disfrazarlo como el formato de archivo de imagen común .PNG, engañando aún más las defensas del sistema.

Etapas de los ataques de LockBit

Los ataques de LockBit se pueden entender en aproximadamente tres etapas:Etapa 1: Explotar las debilidades en una red. La brecha inicial se parece mucho a otros ataques maliciosos. Una organización puede ser explotada por tácticas de ingeniería social como el phishing, en el que los atacantes se hacen pasar por personal o autoridades de confianza para solicitar credenciales de acceso. Igualmente viable es el uso de ataques de fuerza bruta en los servidores de intranet y sistemas de red de una organización. Sin una configuración de red adecuada, las pruebas de ataque pueden tardar solo unos días en completarse. Una vez que LockBit se ha “parado” en una red, el ransomware prepara el sistema para liberar su carga útil de cifrado en todos los dispositivos que pueda. Sin embargo, es posible que un atacante deba asegurarse de que se completen algunos pasos adicionales antes de que pueda realizar su movimiento final.Etapa 2: infiltrar. Infíltrarse más profundo para completar la configuración del ataque si es necesario. A partir de este momento, el programa LockBit dirige todas las actividades de forma independiente. Está programado para usar herramientas de “post-explotación” para obtener escalamiento de privilegios.Es en esta etapa que LockBit toma las medidas necesarias para su funcionamiento. Esto incluye deshabilitar los programas de seguridad y cualquier otra infraestructura que pueda permitir la recuperación del sistema. El objetivo es hacer que la recuperación sin asistencia sea imposible o lo suficientemente lenta como para que sucumbir al rescate del atacante sea la única solución práctica. Cuando la víctima está desesperada por que las operaciones vuelvan a la normalidad, es cuando pagará la tarifa del rescate.Etapa 3: cifrado. Una vez que la red se haya preparado para que LockBit se movilice por completo, el ransomware comienza su propagación a través de cualquier máquina que pueda tocar. Como se indicó anteriormente, LockBit no necesita mucho para completar esta etapa. Una sola unidad del sistema con alto acceso puede enviar comandos a otras unidades de la red para descargar LockBit y ejecutarlo   

El cifrado “bloquea” todos los archivos del sistema. Las víctimas solo pueden desbloquear sus sistemas a través de una clave personalizada creada por la herramienta de descifrado de LockBit. El proceso también deja copias de un archivo de texto de nota de rescate simple en cada carpeta del sistema. Proporciona a la víctima instrucciones para restaurar su sistema e incluso ha incluido amenazas de chantaje en algunas versiones de LockBit.

Después de que los atacantes obtienen acceso a la red y alcanzan el controlador de dominio, ejecutan su malware en él, creando nuevas políticas de grupo de usuarios, que luego se envían automáticamente a cada dispositivo en la red. Las políticas primero deshabilitan la tecnología de seguridad integrada del sistema operativo. Luego, otras políticas crean una tarea programada en todas las máquinas con Windows para ejecutar el ejecutable del ransomware. 

 Este ransomware usa la API de Windows Active Directory para realizar consultas LDAP para obtener una lista de computadoras. LockBit 2.0 luego pasa por alto el Control de cuentas de usuario (UAC) y se ejecuta en silencio, sin activar ninguna alerta en el dispositivo que se está cifrando.

Aparentemente, esto representa la primera propagación de malware de mercado masivo a través de políticas de grupos de usuarios. Además, LockBit 2.0 entrega notas de rescate de manera bastante caprichosa, imprimiendo la nota en todas las impresoras conectadas a la red.

Diferentes versiones de LockBit

Detectar las variantes de LockBit puede ayudar a identificar exactamente a lo que se enfrenta.

  • Variante 1 – extensión “.abcd”. La versión original de LockBit cambia el nombre de los archivos con el nombre de extensión “.abcd”. Además, incluye una nota de rescate con demandas e instrucciones para supuestas restauraciones en el archivo “Restore-My-Files.txt” y en cada carpeta afectada.
  • Variante 2 – Extensión “.LockBit”. La segunda versión conocida de este ransomware adoptó la extensión de archivo “.LockBit”, dándole el nombre actual. Sin embargo, las víctimas encontrarán que otras características de esta versión parecen en su mayoría idénticas a pesar de algunas revisiones del back-end.
  • Variante 3 – LockBit versión 2.0. Esta versión ya no requiere descargar el navegador Tor con sus instrucciones de rescate. En cambio, envía a las víctimas a un sitio web alternativo a través del acceso a la web tradicional. Recientemente, ha mejorado con características más nefastas, como la negación de acceso a equipos con permisos administrativos; desactivar las indicaciones de seguridad que los usuarios pueden ver cuando una aplicación intenta ejecutarse como administrador.

Además, el malware ahora está configurado para robar copias de los datos del servidor e incluye líneas adicionales de chantaje incluidas en la nota de rescate. En caso de que la víctima no siga las instrucciones, LockBit ahora amenaza con la divulgación pública de los datos privados de la víctima (doble extorsión). 

Mejores prácticas

Dada su persistencia, velocidad de propagación y métodos de intrusión, es probable que LockBit 2.0 cause un daño significativo a sus víctimas, ya sea financiero o de reputación. Estas son algunas de las mejores prácticas de los marcos establecidos por el Centro de Seguridad de Internet y el Instituto Nacional de Estándares y Tecnología (NIST) que pueden ayudar a las organizaciones a prevenir y mitigar el impacto de los ataques que involucran ransomware como LockBit 2.0.


Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Ciberdelincuencia: un jugoso negocio que equivaldría a la tercera economía mundial

Ring cámara de seguridad compatible con alexa de amazon

La ciberdelincuencia aumenta, incluso se ofrece como servicio y los costos asociados a ésta podrían ser de 10.5 trillones de dólares en 2025.

Escucha la noticia dando click en el audio 🙂

La ciberdelincuencia es un negocio multimillonario que está en ascenso en todo el mundo. Conforme se hace más robusta la transformación digital de las empresas y la convivencia de las personas es más propensa al espacio digital, crece la superficie que los ciberdelincuentes pueden atacar. De acuerdo con el director de Operaciones de Kio Cybersecurity, José García Sabbagh, hoy existen 25 billones de dispositivos conectados a internet contra 7.7 billones de habitantes.

En 2015, los costos globales asociados a la ciberdelincuencia se estimaron en 3 trillones de dólares. Para 2021 aumentó 100%. Citando datos de Cybersecurity Ventures, el CEO de Cisco, Chuck Robbins, dijo en mayo del año pasado que “si pensamos en el cibercrimen como pensamos en el PIB (Producto Interno Bruto) de los países, sería la tercera economía más grande del mundo después de Estados Unidos y China con 6 trillones de dólares en daños globales”.

En enero pasado, Cybersecurity Ventures calculó que los costos globales anuales asociados a la ciberdelincuencia aumentarán un 15% por año durante los próximos cinco años, alcanzando los 10.5 trillones de dólares anuales, que mantendrían al negocio del cibercrimen en un rango equivalente a la tercera economía mundial, por encima de países como Japón, Alemania, Reino Unido o India. De hecho, sería casi similar al PIB de Japón y Alemania juntos.

Desde marzo de 2012, el entonces director del FBI de Estados Unidos, Robert Mueller previó lo que venía. En aquel año declaró que estaba convencido de que solo hay “dos tipos de empresas: las que ya han sido hackeadas y las que lo serán. E incluso están convergiendo en una sola categoría: empresas que ya han sido pirateadas y lo serán nuevamente”.

Solo en el primer semestre de 2021 en México se detectaron 60,000 millones de ciberataques, según Fortinet.

De acuerdo con el dato proporcionado por dicha empresa de ciberseguridad, México es el primer país de Latinoamérica con más intentos de ciberataques, con un promedio de 320 millones al día en los primeros seis meses del año pasado. Muchos de estas acciones, dice José García Sabbagh a Forbes México durante un taller para periodistas, vienen de grupos de ciberdelincuencia locales, pero también, y en su mayoría, de organizaciones internacionales, principalmente de China y Rusia.

DATOS

  • Más 91,000 millones de intentos de ciberataques se registraron en América Latina en la primera mitad del 2021.
  • México ocupó el primer lugar con 60.8 mil millones.
  • Estuvo seguido de Brasil (16.2 mil millones), Perú (4.7 mil millones) y Colombia (3.7 mil millones).

Secuestro de información

“¿Por qué aumentan los ataques cibernéticos?  Hoy toda la información está en la nube y esto aumenta la superficie de ataque, entre más dispositivos estén conectadas entonces hay más superficie que atacar, hay más oportunidades para los atacantes”, refiere José García de Kio Networks, quien apunta que una de las principales tendencias en la ciberdelincuencia es el uso del ransomware, es decir, el secuestro de información sensible por la que se pide una recompensa.

“A partir del crecimiento que ha representado la pandemia y de la transformación digital, cada 11 segundos una empresa recibe un ataque de ransomware. Aparte de que secuestran los datos y piden una recompensa, antes realizan una copia de los datos y te hacen una doble extorsión para que ellos no publiquen la información confidencial e inclusive hasta la información de los clientes”, comenta García Sabbagh.

De acuerdo con datos FortiGuard Labs, de Fortinet, en el primer semestre de 2021 los ataques con ransomware fueron 10 veces mayores en comparación con el mismo periodo del año previo. “A nivel mundial, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por el gobierno y los sectores automotriz y manufacturero”. No obstante, esta técnica de ciberdelincuencia es un riesgo latente para todo tipo de industria y empresa.

Incluso Fortinet detectó un crecimiento del llamado Ransomware-as-a-Service (RaaS), “donde algunos ciberdelincuentes se enfocan en obtener y vender acceso inicial a redes corporativas, lo que alimenta aún más el crimen cibernético”, ya que estos accesos pueden ser vendidos a terceros, generando así un mercado negro que perjudica a las compañías, sus clientes y usuarios.

En julio del año pasado “FortiGuard Labs encontró un RaaS llamado ‘Blackmatter’, que incluye un ‘paquete’ de ransomware, sitios de pago y manuales operativos para que sus miembros y afiliados puedan infectar el objetivo con las herramientas proporcionadas. Se ofreció acceso a redes corporativas en los Estados Unidos, Canadá, Australia y el Reino Unido, que potencialmente provenían de los empleados de las empresas, por valores que iban desde los 3,000 a los 100,000 dólares”.

El Informe de riesgo global 2020 del Foro Económico Mundial señala que “el ciberdelito como servicio es un modelo de negocio en crecimiento, como la creciente sofisticación de herramientas en la darknet (red oscura) hace que los servicios maliciosos sean más asequibles y fácilmente accesibles para cualquiera”.

Otra modalidad de ciberdelincuencia destacada fue el malvertising, o publicidad maliciosa. “Una de cada cuatro organizaciones detectó intentos de malvertising, es decir, el uso de publicidad online para la distribución de malware, siendo Cryxos el más prevalente”, señaló Fortinet en su reporte de 2021. La publicidad maliciosa se oculta entre los anuncios de internet e infecta la computadora o celular sin necesidad de clics de por medio.

A decir de José García, la anonimidad de la ciberdelincuencia reduce los riesgos para los atacantes y aumenta sus utilidades en este multimillonario negocio. “Los atacantes están conectados en un lugar y después se pueden esconder brincando de un país a otro, de un dispositivo a otro para que sean irrastreables, por lo tanto baja el riesgo y la rentabilidad sube porque las utilidades para los ciberdelincuentes son altas y los costos, al ser todo esto remoto y automatizado, bajan”.

Aunado a esto, los delitos cibernéticos no se denuncian. De acuerdo con Cybersecurity Ventures esto se debe “a la vergüenza (de las compañías que son víctimas), el temor al daño de la reputación y la noción de que las fuerzas del orden no pueden ayudar”. El Informe de riesgo global 2020 del Foro Económico Mundial indica que “las organizaciones de ciberdelincuencia están uniendo fuerzas y su probabilidad de detección y enjuiciamiento es de 0.05% en Estados Unidos”.

BingX exchange confiable de Criptomonedas

Ciberdelincuencia vs. cadenas de producción

José García de Kio Networks apunta que las organizaciones de ciberdelincuencia “también están atacando las cadenas de producción. Por ejemplo, las máquinas que producen pan, refrigeradores o electrodomésticos, antes no estaban conectadas a la red, pero ahora ya están conectadas por el beneficio de los datos y la nube, (por eso) están siendo muy atacadas. Ya hemos visto ataques a sistemas de países como cuando tiraron el sistema de energía de Ucrania antes de la guerra”.

A finales de 2016 la red eléctrica de Ucrania sufrió un ciberataque que provocó un apagón en el 20% de Kiev. En esa ocasión se sospechó que en el ataque se habría usado el malware Industroyer, un juego de palabras que hace referencia a la destrucción de industrias, el cual fue calificado como la mayor amenaza para los sistemas de control de industrias desde Stuxnet, un virus que tomó el control de 1,000 máquinas de una planta nuclear de Irán y les ordenó autodestruirse.

“Por el otro lado, todas las empresas compramos tecnología, (los ciberdelincuentes) están haciendo como un caballo de troya, están atacando a las empresas fabricantes de software para que nosotros cuando la adquirimos ya venga vulnerable, con un software malicioso”, advierte José García Sabbag.

Otra de las tendencias actuales de los ciberdelincuentes, apunta el experto, es la suplantación de identidad a través del correo electrónico. “Por ejemplo, al director de finanzas le llega un correo que parece ser del director general de la empresa con los nombres y apellidos, con la redacción adecuada, diciendo que transfiera una cantidad de dinero a tal cuenta y eso lo están haciendo y obteniendo muchas ganancias a través de email”.

Ante el incremento de la ciberdelincuencia, José García recomendó a las empresas e industrias de todo tipo y tamaño reforzar sus escudos. Para ello deben realizar acciones de seguridad activa, preventiva y proactiva. “La preventiva son medidas, controles y tecnologías para elevar el nivel de seguridad de la organización antes de que sucedan los ataques; la activa es en el momento de los ataques con monitoreo y tecnología que pueda detectar y proteger, y la seguridad proactiva es adelantándose a los ataques con el uso de información y datos de las tendencias de los ataques y poder cerrar las brechas antes de que nos llegue un ataque”, comentó.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
ciberseguridad

El mayor hackeo de criptomonedas de la historia acaba con el robo de 600 millones dólares

 

Escucha la noticia dando click en el audio 🙂

El último hackeo de criptomonedas ha tenido como objetivo una red de blockchain centrada en juegos, sobre la que se basa el popular videojuego Axie Infinity. Se sabe que consiguieron robar unos 625 millones de dólares en Ethereum y USDC, dos criptodivisas. Este ataque se ha definido como uno de los mayores hackeos de criptografía de todos los tiempos.

Para conseguir su objetivo, los hackers vulneraron la Ronin Network, una cadena de blockchain independiente y compatible con Ethereum desarrollada por el editor de Axie Infinity, Sky Mavis.

El cofundador de Axie Infinity, Jeff Zirlin, habló del hackeo durante un discurso de apertura en la conferencia NFT LA que estos días se está celebrando en la ciudad de Los Angeles en Estados Unidos. Cabe recordar que ‘Axie Infinity’ es de los juegos con mayor crecimiento de ingresos de la historia desde su llegada al mercado. Es como un “Pokémon de los NFT” que vende que podemos ganar dinero jugando.

Nos dimos cuenta de que la red Ronin ha sido explotada con el robo de 173.000 [Ethereum] y alrededor de 25 millones de dólares en USDC”, dijo Zirlin. El USDC es una denominada stablecoin cuyo valor está vinculado al dólar estadounidense. “Es uno de los mayores hackeos de la historia”, añadió.

Cabe recordar que el año pasado, un hacker anónimo robó aproximadamente 610 millones de dólares en criptodivisas de Poly Network, una red financiera descentralizada, en lo que se denominó el mayor robo de criptodivisas de la historia. El pirata informático los devolvió más tarde y recibió una oportunidad laboral.

Desde el 23 de marzo, los atacantes comprometieron las claves privadas que se usan para validar las transacciones en la red, según Ronin. Estas claves permitieron a los actores maliciosos falsificar retiros. La actividad pasó desapercibida hasta que un usuario no pudo retirar fondos y presentó una denuncia.

Este incidente ya ha servido para levantar la voz de quienes recuerdan a menudo los riesgos de este mercado descentralizado. Por ejemplo, John Reed Stark, antiguo jefe de la Oficina de Cumplimiento de Internet de la Comisión de Seguridad e Intercambio, dijo a CNN que el último hackeo “es un recordatorio aleccionador de lo vulnerables que son los mercados Web3 a los ciberataques“. Web3 se refiere a la idea de una Internet descentralizada impulsada por blockchain, la tecnología que sustenta varias criptodivisas.

El mismo Stark dijo que “el mercado de Web3 está tan cargado de caos y anarquía, que es posible que nunca sepamos la verdad de lo ocurrido”. “A diferencia de las empresas financieras estadounidenses que deben informar de los ciberataques de forma justa, precisa, rápida, etc., NFT y otros mercados de Web3 no tienen que informar de nada en absoluto”, recordó.

Axie Infinity es un juego de Web3 en el que los jugadores utilizan mascotas digitales de NFT, llamadas Axies, para interactuar con otros jugadores. Cada persona puede utilizar sus Axies para luchar contra otras y para criar nuevos Axies. En 2021, el creador del juego recaudó 152 millones de dólares en una financiación de serie B dirigida por el famoso fondo de capital riesgo Andreessen Horowitz.

Según una publicación de la red Ronin, el sistema ha detenido la actividad en las redes que permiten a los jugadores convertir activos en el universo Axie Infinity y convertir moneda entre las blockchains. Los jugadores que mantienen fondos digitales en la red Ronin no pueden actualmente realizar transacciones.


Fuente (s) :

Seguir Leyendo
By
ciberseguridad

10 señales de que su Computadora a está Infectada con Malware

Escucha la noticia dando click en el audio 🙂


A nadie le gusta los siguientes escenarios, pero lamentablemente, a cualquiera podría sucederle en cualquier momento. Imagínate que estás trabajando en un proyecto importante y de repente empiezas a ver molestas ventanas emergentes en tu computadora. ¿Ó que tal cuando nos da uno de esos “ataques de desesperación” por archivos o aplicaciones que tardan demasiado en cargarse? Sigues esperando hasta que empiezas a preguntarte: “¿Mi computadora está infectada con malware?”

Desafortunadamente, la respuesta podría ser “sí” y su PC ya podría estar infectada con un virus o malware de próxima generación que está alentando o perjudicando su rendimiento.

Esta es una de las muchas señales de advertencia que muestran que su PC podría sufrir una infección de malware. Pero hay mucho más que debe conocer y comprender, para que pueda tomar medidas rápidamente.

En este artículo, le mostraremos las señales de advertencia más frecuentes de infección de malware en computadoras que ejecutan Microsoft Windows y qué puede hacer al respecto.

Primero recomiendo conocer por lo menos las bases de malware, virus etc. Si sabemos como funciona, podemos también aprender a evitarlos o desinfectarlos.

Tipos de virus informáticos


Según la empresa de seguridad cibernética Kaspersky, las cosas que no desea en su computadora incluyen virus y todo tipo de malware y spyware. Estas son algunas amenazas comunes:

  • Virus diseñados para atacar su sistema: Se propagan de máquina a máquina a través de enlaces compartidos y archivos cargados y descargados. Las personas difunden estos programas cuando vinculan y comparten sin cuidado y no utilizan la protección antivirus adecuada.
  • Gusanos (Worms) : Son similares a los virus. Estos programas no necesitan la ayuda de la gente para difundirse. Están programados para moverse a través de redes informáticas por su cuenta. En si están hechos para propagarse para crear daño a archivos o saturar por completo un disco duro, almacenamiento etc.
  • Troyanos / Trojans: En resumen, este es un malware que se oculta detrás de otro programa, imagina que descargas un programa para escuchar música pero este está infectado con un troyano, es decir tiene un virus oculto que al ejecutar el programa descargado ( en este caso de ejemplo un programa para escuchar música ) este troyano será ejecutado también. El troyano genera una clase de backdoor o puerta trasera que permite al hacker o atacante obtener acceso al dispositivo puede borrar información, copiarla, o descargarle nueva. Puede tomar screenshots, activar keyloggers etc. Sus funciones varían bastantes. A diferencia de los virus y los gusanos informáticos, los troyanos no pueden multiplicarse.
  • Adware, spyware: Estos programas están diseñados para rastrear lo que hace en línea, recopilar datos privados, a veces bancarios y toda información personal sobre usted o de su equipo, dispositivo etc.
  • Ransomware: Este tipo de malware esta diseñado para encriptar 1 solo archivo privado o de mucha importancia, hasta todos los archivos o un dispositivo por completo. El objetivo de este malware este mantener como rehen tu equipo hasta que pagues cierta cantidad de criptomonedas para obtener una llave de desencriptación y volver tener acceso a los archivos, dispositivo(s) etc.

1. PopUps involuntarios – Ventanas emergentes inesperadas


Los cuadros de diálogo y ventanas inesperados o inusuales pueden ser una mala señal. Las advertencias de virus falsas dicen que tiene amenazas de seguridad en su computadora y, por lo general, le piden que haga clic en un enlace o que llame a un número.

El software de protección legítimo, como Windows Defender y varios programas de detección de virus, nunca le pedirá que llame a un número de atención al cliente aleatorio.

2. Sonidos aleatorios


Las computadoras infectadas a menudo están programadas para responder con una señal de audio a cosas que no puedes controlar.

Pueden ser como ” pitidos de advertencia” .

Si escucha regularmente campanillas y campanas de su computadora que parecen ser fantasmas, su computadora puede tener un virus o malware.

3. Cambios inexplicables de archivos o carpetas

Cambios repentinos en nombres carpetas o archivos

4. Operación lenta


Es posible que falten sus archivos o que los íconos y el contenido de sus archivos sean diferentes. Su computadora no hará este tipo de cambios en sus archivos a menos que tenga un virus o un problema técnico.


Preste atención a si su computadora está funcionando más lentamente de lo normal.

Hay mlwares que pondran cosas en tu computadora para luego influir, persistir o casi forzar a que descargues o incluso compres cierto software que promete mejor rendimiento o limpiarte tu pc de virus pero ha sido el malware que ha influido en todo esto.

5. Conexiones aleatorias a sitios web desconocidos

En general, su computadora no hace sus propias conexiones; alguien tiene que iniciarlos. Si no inició estas conexiones, el software problemático podría estar haciéndolo por usted. Para detectar esto necesita uno saber un poco mas sobre redes y comandos como netstat o saber leer wireshark. Uno si sabe de esto puede descubrir o dar con puertos, conexiones abiertas de malware (s).

6. Imágenes inesperadas


Es posible que vea aparecer imágenes pornográficas o reemplazar imágenes benignas, como fotos en sitios de noticias. Una señal relacionada de que su computadora está infectada es la aparición constante de anuncios emergentes de sitios que normalmente no visita.


Otro signo de infección es cuando su software antivirus legítimo le advierte que una aplicación está intentando conectarse a un sitio web del que nunca ha oído hablar.

7. Incapacidad para descargar programas antivirus o actualizaciones


Los virus informáticos no son seres vivos, pero algunos están programados para tener un instinto de conservación. Para el usuario promedio de computadoras, la forma número 1 de matar un virus es a través de un escaneo con un software antivirus. Si tiene problemas para descargar e instalar el software, o si no puede actualizar su programa actual, es posible que se deba al diseño del virus. Aunque esto puede ser una molestia, algunas soluciones de software antivirus pueden crear discos de rescate para escanear y limpiar una PC infectada.

8. Spam enviado desde su dirección de correo electrónico o redes sociales


El malware puede funcionar de muchas maneras diferentes. Un método que se ha vuelto más común con la proliferación de mensajes de correo electrónico y redes sociales es una marca de malware que envía mensajes aleatorios a su lista de contactos. Este tipo de infección se propaga por Internet engañando a las personas para que hagan clic en un enlace infectado. Luego, el enlace propaga el malware a esa persona, quien, sin darse cuenta, lo propaga a través de su lista de amigos. Al cerrar sesión en sus cuentas, crear nuevas contraseñas seguras e implementar medidas de seguridad como la autenticación de dos factores, puede frustrar cualquier intrusión adicional.

9. Falta repentina de espacio en el disco duro


¿Te has quedado sin espacio en tu disco duro de repente? Los virus o gusanos autorreplicantes, a menudo llamados “bombas de disco”, pueden causar todo tipo de estragos en un sistema informático llenando rápidamente los discos duros con copias de sí mismos. En muchos casos, los archivos que inyecta en un disco duro son invisibles en la configuración predeterminada de exploración de archivos.

10. Procesos en ejecución extraños


Si eres un poco más experto en tecnología que el usuario promedio, es probable que conozcas el Administrador de tareas de Windows. De vez en cuando, si su computadora está actuando de manera extraña o no funciona tan bien como esperaba, es posible que le convenga verificar el Administrador de tareas de Windows en busca de procesos no autorizados que se estén ejecutando en segundo plano. Si el nombre de un proceso se parece mucho a un proceso legítimo de Windows pero no cuadra, es posible que esté infectado.

10 sencillos pasos para limpiar su computadora con virus

1. Primero, lo mas recomendable es usar protección: ingrese al modo seguro.

Retire los CD y DVD y desconecte las unidades USB de su computadora. * (lo ideal solo mouse, teclado,monitor) Luego apaga.
Cuando reinicie, presione la tecla F8 repetidamente. Esto debería mostrar el menú Opciones de arranque avanzadas.
Seleccione Modo seguro con funciones de red y presione Entrar. En este modo, solo se utilizan los programas y servicios mínimos. Si algún malware está programado para cargarse automáticamente cuando se inicia Windows, ingresar al modo seguro puede bloquear el intento.

2. Haga una copia de seguridad de sus archivos.

Esto incluye documentos, fotos y videos. Especialmente videos de gatos.
No haga una copia de seguridad de los archivos del programa, ya que es ahí donde se esconden las infecciones. Siempre puede descargar estos programas nuevamente si se pierden los archivos.

3. Descargue un escáner de malware bajo demanda como Malwarebytes.

Si no tuvo problemas para conectarse a Internet antes de sospechar la infección, puede salir del modo seguro después de haber realizado una copia de seguridad de sus archivos y volver a usar su sistema “normal”.


Si su Internet se atascó debido a una sospecha de infección, intente usar la computadora de un amigo para descargar su escáner y moverlo a su máquina usando una unidad USB.
Siga las instrucciones de configuración e instale el programa.

4. Ejecute el escaneo.

Si realmente cree que está infectado, no pase, no cobre $ 100. Simplemente vaya directamente al escaneo. Si tienes una infección, tu escáner bajo demanda debería hacerte saber que estás en peligro, niña. Una lista de resultados de análisis le indica qué malware se encontró y eliminó.
Algunos programas de ciberseguridad también marcan los programas potencialmente no deseados (PUP) y los colocan en la esquina con Baby. Si desea mantener un programa que su escáner de malware considera sospechoso, puede agregarlo a una lista de exclusiones y continuar con su día.

5. Reinicie su computadora.

Después de todo, todos merecen una segunda oportunidad.

6. Confirme los resultados de su análisis antimalware ejecutando un análisis completo con otro programa de detección de malware.

Puede probar un programa como AdwCleaner, que apunta a PUP y adware (esas ventanas emergentes desagradables que ensucian su navegador).
Reinicie nuevamente si el programa encontró infecciones adicionales.

7. Actualice su sistema operativo, navegador y aplicaciones.

Si hay una actualización disponible en cualquiera de sus programas, continúe y hágalo. Algunas de las formas más peligrosas de malware se entregan mediante exploits que aprovechan el software desactualizado.

8. Restablezca todas sus contraseñas.

Antes de ser eliminado, el malware podría haber capturado sus contraseñas y reenviarlas a los delincuentes. Cambia todas y cada una de las contraseñas que se te ocurran y asegúrate de que sean seguras. Nada de esto de 1, 2, 3, 4, 5 negocios. Esa es la combinación que un idiota usaría en su equipaje.

9. Si, después de todos estos pasos, todavía tiene problemas con una posible infección, no dude en publicar su pregunta en nuestro foro público.

10. Verificar y Revisar smartphones y tablet: a veces un hackeo o virus de esos dispositivos podría filtrar contraseñas o información sensible o importante. Y si desea que su teléfono Mac, iPhone o Android esté tan brillante y nuevo como su PC después de una limpieza, también puede ejecutar análisis antimalware en estos dispositivos.

Fuente (s) :

Herramientas Extras :

Seguir Leyendo
By
ciberseguridad

¿Cuál es la diferencia entre VPN y Proxy? Guía Completa

Tanto la VPN como el proxy se utilizan para facilitar la conexión entre el cliente y el servidor al ocultar su dirección IP y son ligeramente diferentes en la forma en que manejan los datos.

En el mundo cibernético moderno, nos hemos enfrentado a muchas preocupaciones sobre nuestra privacidad, tanto las VPN como el proxy lo manejan de manera significativa.

Es bastante significativo tener el conocimiento de la diferencia entre VPN vs Proxy y el escenario donde podemos usar y donde no.

¿Qué es un Proxy?


El servidor proxy o proxy es un nodo intermedio entre el cliente e Internet que toma una solicitud del Cliente y la pasa a varios servidores y proporciona servicios de red indirectos al cliente. El propósito principal del proxy es filtrar el tráfico peligroso de Internet aplicando la regla estricta para garantizar el anonimato del cliente.

Nos permite ocultar la IP del cliente y la ubicación del sitio que visita. al conectarse a uno de los servidores proxy, la solicitud del cliente se reenvía al proxy, luego procesa la solicitud del cliente y el resultado se devolverá al cliente.

¿Qué es una VPN?


VPN o Virtual Private Network es una tecnología que se desarrolló para proporcionar acceso seguro a través de Internet para las solicitudes de los clientes a través de túneles encriptados. VPN redirige la solicitud del lado del cliente a través del servidor remoto que ejecutan los proveedores de servicios VPN. ayuda a garantizar que los datos confidenciales permanezcan privados durante la transmisión a través de Internet de un lugar a otro.

VPN Shield la actividad de navegación de los usuarios y eludiendo la censura de Internet. El software VPN encripta la solicitud del usuario incluso antes de que su proveedor de servicios de Internet la vea y la redirige a varios nodos VPN y responde al cliente.

Proxy vs Seguridad VPN


Cuando se trata de seguridad, VPN está por delante de los servidores proxy, las VPN tienen un túnel encriptado para transferir los datos de forma segura, pero ese no es el caso con Proxy.

Seguridad de red privada virtual (VPN)


Con la VPN, obtendrá una dirección IP única y un túnel seguro establecido entre usted y el objetivo al que se conectará.

El túnel de cifrado VPN admite el tráfico que se enruta con todos los protocolos de Internet con capacidades sofisticadas de privacidad y seguridad.

Las VPN son bien conocidas por su seguridad y confiabilidad, es fácil para cualquiera apagar o encender el servicio VPN.

Al tener un túnel encriptado, las VPN protegen sus datos de los piratas informáticos, incluso si está conectado con puntos de acceso WiFi abiertos.

La aplicación VPN es compatible con varias plataformas PlayStation, SmartTV, OS/X, iPhone, Windows, Android y también con otros dispositivos como AppleTV, Chromecast, Roku, Xbox y sus dispositivos de red compatibles.

Con el cifrado AES -256 y los certificados SSL, no hay posibilidad de que un atacante acceda a sus datos e incluso las autoridades gubernamentales no pueden acceder a sus datos. Para construir el túnel utiliza protocolos de alta seguridad PPTP, L2TP, SSTP, OpenVPN.

Ayuda a ocultar la ubicación real, y puede acceder a los sitios web bloqueados, videos y otro contenido bloqueado en su ubicación de forma segura.

Seguridad de proxy


Los servidores proxy conectan la conexión a Internet, solo enmascaran la dirección IP de su computadora y no cifrarán los contenidos.

Suelen comunicarse con el protocolo HTTP o SOCKS, por lo que hay cifrado con los servidores proxy, los ciberdelincuentes pueden rastrear los datos que viajan a través de un servidor proxy.

En algunos casos, incluso los ciberdelincuentes anuncian un servidor proxy para robar su identidad. Además, generalmente los servidores proxy están sobrecargados de visitantes y afectan terriblemente la velocidad de conexión.

Los proxies HTTP son más familiares y existen desde hace mucho tiempo y los proxies Socket Secure (SOCKS5) se utilizan para conectarse con servicios de torrent, FTP y servidores web. En comparación con el proxy normal SOCKS5 Seguridad mejorada.

El proxy SOCKS5 es muy bueno si vas a usar un torrent o un servicio P2P, pero carece de privacidad. Si navega mucho por la web y simplemente desea evitar los sitios web bloqueados geográficamente y a través del firewall, los servidores proxy son ideales para usted.

Velocidad de Internet Proxy vs VPN

  • Velocidad de VPN vs Velocidad de Proxy, esta ​​es una de las preocupaciones más importantes al acceder a Internet usando Proxy y VPN. Cuando hablamos de velocidad, el servidor Proxy siempre es más rápido que la VPN.


Costo de proxy frente a VPN

  • Múltiples ciudades y subredes, tiempo de inactividad mínimo, lista de proxy accesible mediante API y velocidad de enlace ascendente de todos los servidores proxy.

  • Los proxy de ayuda contienen muchos servidores que permiten a los usuarios elegir cualquier servidor en los países disponibles. En este caso, los proxies gratuitos son limitados y dan poco ancho de banda y ralentizan el acceso.

  • planee gastar desde $ 5 por mes para planes básicos y el precio también depende de la calidad de los servidores proxy y los proveedores.

Usabilidad de VPN y Proxy

  • Servidor proxy Proporcione una capa adicional de seguridad entre el punto final y el tráfico externo que se usa principalmente para mejorar la seguridad corporativa e institucional.

  • VPN encripta todo el flujo de tráfico entre Internet y su dispositivo para evitar que el ISP controle sus actividades y recopile sus datos de navegación.

  • Los proxies juegan un papel importante en el anonimato del tráfico web y agregan protección de identidad para funcionarios corporativos, reporteros y denunciantes.

  • VPN también proporciona anonimato de alto nivel y encripta la solicitud del usuario que pasó a través de varios servidores remotos que hace imposible rastrearlo.

  • La organización ejecuta sus redes internas en un servidor proxy para controlar el uso de Internet y evitar el uso inapropiado del sitio en las redes internas.

  • VPN pasa por alto la censura de Internet y le permite acceder a cualquier cosa que desee en Internet y completar sus actividades de las agencias gubernamentales y policiales.

  • Los servidores proxy brindan protección extrema contra los piratas informáticos mientras usan Wi-Fi público y rompen los sitios web censurados.

  • Las VPN son más lentas debido al cifrado, mientras que los servidores proxy son más rápidos ya que los Proxies no cifran el tráfico entre Internet y el dispositivo del usuario.

  • VPN le permite acceder a la red corporativa de forma segura desde fuera de la conectividad a Internet, como un hotel, una cafetería, etc.

  • Si no tiene una VPN corporativa, los proxies brindan acceso alternativo con alta seguridad y también proporciona un acceso muy fácil al software del cliente.

  • VPN proporciona un futuro de alta seguridad para acceder a las aplicaciones Secures y los programas de escritorio/portátil, pero los proxies no están muy familiarizados con este caso.

  • Los servidores proxy no utilizan ninguna operación de tunelización, pero el servidor proxy es una excelente manera de agregar una capa entre su empresa e Internet.

  • VPN Proporciona conexiones de túnel cuando los datos se envían de forma privada a través del paquete de Internet brinda una capa de seguridad que protege la sustancia contra la visibilidad general.

Las VPN son mejores para…

Las VPN protegen sus datos de miradas indiscretas, desde piratas informáticos hasta funcionarios gubernamentales que utilizan servicios de VPN para proteger los datos personales. Permite a los usuarios enviar y recibir datos y permanecer anónimos en Internet.

La mayoría de las VPN ofrecen múltiples conexiones simultáneas para que los usuarios puedan conectar todos los dispositivos del hogar a la VPN.

Con la VPN, todo su tráfico pasa a través de una red tunelada, por lo que ni siquiera el ISP puede ver el tráfico que va con la red tunelada.

Si es un empleado, puede conectarse con la red de su oficina de forma segura a través de un teléfono inteligente, una tableta y una computadora a través de una VPN.

  • VPN es mejor para proteger información valiosa en línea.
  • Permite comprar de forma segura en línea con tarjetas de crédito.
  • Le permite navegar de forma segura con puntos de acceso Wi-Fi públicos.
  • Al tener una VPN, puede comunicarse con sus sitios de películas favoritos, aunque esté bloqueado en su país.
  • Con la ca del usuario de VPN, evite la censura web y la vigilancia de contenido.
  • VPN le permite establecer comunicación entre sitios de forma segura.
  • Algunos de los proveedores de VPN también ofrecen bloqueadores de anuncios.
  • Protege mientras está conectado con los sitios de torrent.
  • Con la VPN instalada, puede acceder a los sitios web bloqueados geográficamente.
  • Las VPN brindan integridad, lo que garantiza que el paquete no se altere cuando está en tránsito.
  • Una VPN anonimizada permitiría el intercambio de archivos punto a punto, que está bloqueado en muchos países.

Decir técnicamente VPN es una red de área amplia que conserva la funcionalidad y la seguridad como en la red privada. Estos son los usos principales de la VPN y el uso varía según los requisitos del usuario.

Las VPN no son para…


Las VPN pueden alentar la conexión a Internet


Es posible que experimente una caída en la velocidad de su conexión a Internet cuando se enruta a través de VPN debido a su encriptación de 256 bits de alta calidad. A veces, la conexión VPN puede ralentizar la velocidad de Internet si hay demasiados usuarios activos en el servidor.

En general, la velocidad de VPN depende de su velocidad de Internet, si se encuentra en la India y usa un servidor VPN en los EE. UU., entonces su conexión pasa por un túnel a través de una serie de puntos finales que pueden ralentizar la conexión. Por lo tanto, se recomienda a los usuarios que no usen la VPN con prudencia.

Estoy bajo una VPN, así que puedo hacer cualquier cosa en línea


Si está bajo VPN, no podemos decir que es 100% anónimo, el proveedor de VPN puede ver sus registros de acceso y retendrá los registros durante un período de al menos 6 meses según la ubicación del país.

No todas las VPN son iguales y hay una serie de factores que deben tenerse en cuenta al clasificarlas según la necesidad, las plataformas compatibles y la cantidad de servidores disponibles.

Además, los usuarios deben saber que las VPN no lo protegerán del phishing o de los ataques de malware y ransomware.

Puede obtener la VPN gratuita, pero la conexión sería terrible y se ve gravemente afectada por las limitaciones del bajo ancho de banda y algunos proveedores incluso venden sus datos privados.

Los proxies son mejores para…


Los proxies se utilizan ampliamente para eludir los sitios web bloqueados en el ISP o en los niveles de la organización.

Servidores proxy utilizados en los entornos corporativos para proteger su infraestructura de red interna.

Los Proxies contienen un mecanismo de caché muy bueno, por lo que puede usarse para acelerar el proceso de navegación.

Oculta su dirección IP original y muestra la dirección IP suplantada, por lo que el sitio web de destino no puede leer su IP original.

El proxy te permite permanecer en el anonimato en línea, pero no encriptará el tráfico como lo hace la VPN.

Con algunos de los proxies puedes obtener doble protección ya que tienen el firewall incorporado que detiene las intrusiones.

Los administradores de servidores pueden usar servidores proxy para bloquear sitios web asociados a redes sociales, juegos, sitios para adultos para los empleados de la organización.

Hay miles de proxy gratuitos y de pago disponibles en Internet, al elegir un proxy debe considerar cuidadosamente el tiempo de inactividad.

Con la ayuda de los servidores proxy, uno puede llegar a los sitios web que han sido bloqueados geográficamente.

La implementación del proxy es muy simple y los proxies están tan limitados con los navegadores. Algunos de los proxies premium ahorrarían ancho de banda a las empresas.

Los proxies no son para…


Los servidores proxy no son seguros para la comunicación por correo electrónico y los protocolos de transferencia de archivos y los servidores proxy solo son buenos para la comunicación web.

Es menos seguro que almacenar todas las contraseñas de los usuarios en el directorio activo. No son compatibles con todos los protocolos de red.

Con los firewalls proxy, la configuración es muy difícil en comparación con otros firewalls modernos.

Si el servidor proxy está comprometido, existe la posibilidad de robo de identidad, entonces debe evitar ingresar las credenciales de inicio de sesión del banco cuando se conecta a través de un servidor proxy.

El administrador del servidor Proxy puede olfatear todos los detalles que viajan a través del servidor y también son deficientes en el manejo de cosas como Flash, Java y scripts de JavaScript.

Los servidores proxy tienen serias desventajas de seguridad si el puerto único se deja abierto con el servidor proxy y luego los atacantes pueden enumerar con él.

Si hay un problema al establecer una conexión, entonces con el servidor proxy es difícil de solucionar y no son compatibles con todos los protocolos de red.

Ya comentamos que el caché aumenta la velocidad, pero por otro lado, tiene algunas desventajas. El caché muestra la visualización de los contenidos antiguos.

No todos los proxies son buenos, debe dedicar mucho tiempo a encontrar un proxy adecuado. Una buena cadena de proxy solo proporciona un mejor rendimiento.

Conclusión


Simplemente, tanto el proxy como la VPN se crearon para ocultar el tráfico de Internet y, con la VPN, el tráfico pasará a través de un túnel de red, pero las VPN de baja calidad expondrían amenazas graves.

Los servidores proxy son muy difíciles de configurar y no encriptarán los datos, usar una VPN y un proxy puede ralentizar la conexión drásticamente. Cuando se trata de encriptación, las VPN son las mejores y ofrecen encriptación con el tamaño de clave estándar de la industria.

Se debe tener mucho cuidado al elegir un servidor proxy porque los atacantes también ejecutan los servidores proxy para rastrear el tráfico de la red.

Cuando se trata de un proxy, puede ocultar solo el tráfico HTTP, pero con las VPN, puede ocultar el tráfico enviado a través de todos los protocolos.

Si va a comparar VPN y Proxy cuál es mejor, depende completamente de sus requisitos. No importa si elige usar un servidor proxy o la VPN, pero debe asegurarse de que el servicio que seleccionó pueda resolver el requisito.

Fuente (s) :

Seguir Leyendo
By
Ciberfraude

La descarga de una película pirata con malware provocó en España el robo de 6 millones de € en criptomonedas

 La imprudencia de un empleado, un virus informático oculto en la copia pirata de una película de superhéroes y una paciencia de meses de los ladrones. Estos fueron los tres elementos claves que propiciaron, en el verano de 2020, el robo de seis millones de euros en criptomonedas, uno de los mayores de este tipo de activos conocidos hasta ahora en España.

  • La UCO ha detenido a cinco personas que en 2020 robaron las criptodivisas de 2gether, una compañía que custodiaba los ahorros de miles de clientes
  • La película venía con un regalo envenenado: un malware tipo RAT (Remote Access Trojan), lo que se conoce popularmente como un Troyano

Agentes de la Unidad Central Operativa (UCO) de la Guardia Civil han logrado resolver este asalto tras descubrir que los ciberdelincuentes consiguieron colarse en los sistemas de 2gether, una sociedad española de custodia de criptoactivos, a través de la descarga que un trabajador de esta compañía hizo de una película y, posteriormente, seguir el rastro de las criptomonedas.

La bautizada como operación 3Coin se ha saldado hasta ahora con cinco detenidos o investigados (cuatro de ellos de nacionalidad española y uno de un país del antiguo bloque del Este), entre ellos el considerado cerebro del asalto, y la recuperación de parte de lo sustraído, según detalla el instituto armado en una nota. Durante la investigación, los agentes han descubierto que uno de los arrestados controlaba a otros de los arrestados mediante el rito de brujería conocido como sapo bufo, consistente en inhalar vapores de veneno de este animal, considerados una sustancia alucinógena.

Las pesquisas se iniciaron el 31 de julio de 2020, cuando 2gether denunció haber sido víctima de un ataque informático mediante el cual le habían sustraído una importante cantidad de criptomonedas. En concreto, 114 bitcoins y 276 etherums, que en aquel momento tenían un valor de 1,2 millones de euros. El número de clientes afectados por la sustracción superaba los 5.500. El Departamento Contra el Cibercrimen de la UCO pudo determinar que el ataque informático había sido realizado mediante un sofisticado malware (programa informático malicioso) del tipo troyano denominado Nanocore, y que este había sido introducido a través de la descarga ilegal que, desde su puesto de trabajo, había hecho un empleado en enero de 2020 de una película de superhéroes de un portal de contenido multimedia pirata.

“Altamente sofisticado”, según la Guardia Civil, el virus informático se hizo a partir de ese momento con el control absoluto del equipo del empleado, donde permaneció siete meses instalado sin ser detectado. En ese tiempo, los cibercriminales descubrieron con detalle todos los procesos internos de la empresa y prepararon el ataque informático. Este se produjo, finalmente, el último día de julio de aquel año, para aprovechar que la compañía iba a reducir al mínimo su actividad al iniciarse las vacaciones de verano de la mayoría de sus trabajadores. Para ello, 24 horas antes accedieron al sistema y desactivaron las medidas de seguridad informática. Así, el día elegido para perpetrar el robo, pudieron dar las órdenes de transacción de moneda electrónica sin ser detectados a través de una red de ordenadores interpuestos y líneas de teléfono de terceros países. “En 15 o 20 minutos habían extraído las criptomonedas”, destacan fuentes cercanas a la investigación.

Las monedas electrónicas sustraídas fueron transferidas a billeteras virtuales bajo el control de los delincuentes, donde estos tuvieron inmovilizados los fondos durante más de seis meses para evitar llamar la atención policial. “Es la práctica habitual en este tipo de ciberrobos”, añaden estas mismas fuentes, que destacan que una vez pasado ese tiempo, comenzaron a mover las criptomonedas a través de un complejo entramado de billeteras electrónicas para blanquearlo. Fuentes de la Guardia Civil destacan que dos de los detenidos tenían ya antecedentes por ciberdelincuencia y que todos ellos tenían como única actividad este tipo de actividades. “Uno de ellos tenía una billetera por la que habían llegado a pasar 150 millones de euros en este tipo de activos”, señalan las fuentes consultadas.

Las pesquisas de los agentes especializados de la UCO permitieron, en un primer momento, identificar al supuesto operador de la página web de descargas ilegales desde donde se distribuyó el virus informático usado en el ataque. Este cobraba poco más de 200 euros por permitir a la red utilizar su plataforma para introducir virus informáticos entre el material audiovisual pirata que ofertaba. Además, la Guardia Civil identificó a otras tres personas, sin relación aparente entre ellos, que supuestamente habían recibido parte de las criptomonedas sustraídas. Eso propició que en noviembre del año pasado, los agentes detuvieran a estas cuatro personas, entre ellos el considerado cabecilla de la trama, en Tenerife (1), Bilbao (1) y Barcelona (2). Uno de los arrestados en esta última ciudad es un joven que tenía la consideración legal de menor por una discapacidad.

Sapo bufo

En el registro de las viviendas de estos cuatro presuntos implicados se recuperaron criptomonedas por valor de 900.000 euros procedentes del robo, además de abundante material informático. En uno de los equipos, los agentes también localizaron el malware utilizado así como detalles de los movimientos iniciales de las criptodivisas sustraídas. Con la información recuperada, los investigadores llegaron este martes a un quinto implicado, que había recibido, al menos, 500.000 euros en criptomoneda robada. Este individuo, detenido en Valencia, ejercía supuestamente un férreo control sobre otros miembros del grupo mediante rituales de brujería. Sus ordenadores, sin embargo, aparecieron prácticamente vacíos. El primer análisis de sus discos duros ha revelado que los había formateado dos días después del arresto de sus compañeros.

Fuente (s) :

Seguir Leyendo
By
Hacking

¿Qué es el SIM Swapping? Así pueden hackear tus cuentas bancarias para robarte el dinero

El SIM Swapping es un sistema muy práctico para los ciberdelincuentes. Advierten sobre el crecimiento del secuestro de líneas telefónicas mediante la clonación de tarjetas SIM que permite a los delincuentes obtener acceso a cuentas bancarias y de otro tipo de servicios online., ya que pueden acceder a tu cuenta bancaria incluso con el doble factor de autenticación  (2FA, MFA) ya que suele estar  activado por SMS, y los SMS no son seguros.

Una pérdida repentina de la señal de red en su teléfono inteligente debe tratarse como una señal de problema y, en la mayoría de los casos, el propietario de la cuenta tiene solo unos minutos para reaccionar y cambiar el método 2FA a correo electrónico o una aplicación de autenticación.

Si se ofrece la opción, siempre se debe usar una opción diferente al método 2FA por SMS. Si el SMS es la única forma, debe usar un número de teléfono privado que se use exclusivamente para ese propósito y evitar compartirlo con nadie.

  • La primera señal que identifican las víctimas de SIM swapping es la pérdida de señal de la red en sus equipos. Esto se debe a que una vez que los criminales activan la nueva tarjeta SIM en un nuevo dispositivo automáticamente se desactiva la línea.
  • Hay que intentar en la medida de lo posible, evitar la autenticación en dos pasos mediante SMS y en su lugar utilizar opciones como una app de autenticación o una clave de seguridad física
  • Los bancos han reforzado la seguridad de sus operaciones online con el uso de mensajes de SMS, uno de los peores métodos que se usan en los sistemas de autentificación en dos pasos

Crece el SIM Swapping: el fraude que permite robar acceso a cuentas bancarias duplicando tarjeta SIM

Para saber si estas siendo víctima de SIM Swapping es bastante sencillo. Si duplican tu tarjeta SIMtu móvil dejará de tener cobertura y la línea que tenías activada quedará sin servicio. Es decir, no podrán hacer llamadas, tampoco enviar SMSs. En ese caso, lo más recomendable es denunciarlo a la policía y a tu operador para que desactiven la línea y realicen el correspondiente proceso para poder recuperar tus datos. 

Esta práctica llega para hacer frente al sistema de verificación en dos pasos que algunas webs, portales y servicios utilizan como mecanismo de seguridad extra. Por ejemplo, cuando haces una compra en una tienda online, la pasarela de pago de tu banco puede solicitarte que introduzcas un código que te ha llegado mediante un SMS. Lo mismo sucede cuando inicias sesión en una cuenta de correo electrónico, en una red social o en una aplicación de mensajería. El objetivo de los hackers, por lo tanto, es obtener ese código de verificación, y la forma más sencilla es a través del acceso a tu línea telefónica. ¿Cómo consiguen ese acceso? Mediante el duplicado de la tarjeta SIM.  

El SIM Swapping, por lo tanto, es la técnica utilizada para obtener un duplicado físico de la tarjeta SIM de la víctima simplemente pidiéndolo a la operadora.. Gracias a las investigaciones de la Policía Nacional, que recientemente desarticuló una banda dedicada al SIM Swapping, podemos obtener datos más detallados de esta mecánica. La práctica, de hecho, suele combinarse con el phishing. Esto se debe a que para realizar un duplicado es necesario contar con los datos personales del usuario. Entre ellos, el número de teléfono, número DNI, nombre completo o, incluso, el carnet de identidad físico. Conseguirlos es sencillo si la víctima pica e introduce la información en ese correo o SMS fraudulento. 

Tal como señala el FBI, si bien esta modalidad de fraude no es nueva, las denuncias de víctimas del SIM swapping aumentaron considerablemente en el último año. Durante el 2021 en Estados Unidos se recibieron 1.611 denuncias de victimas que manifestaron haber sufrido el robo de dinero como consecuencia del secuestro de sus líneas telefónicas y las pérdidas alcanzaron una cifra cercana a los 68 millones de dólares. 

Protección de Datos multa a las operadoras con 5,8 millones por permitir el duplicado fraudulento de SIM

Protección de datos ha multado con 5,81 millones de euros a varias operadoras de telefonía española por facilitar la duplicación fraudulenta de tarjetas SIM a delincuentes y, por lo tanto, por no proteger bien la información personal de sus clientes.

Este tipo de fraude se conoce como ‘SIM Swapping’ y consiste en obtener un duplicado de una tarjeta SIM asociada a una línea de teléfono, todo ello sin el consentimiento de su titular y con el fin de suplantar su identidad, además de acceder a información confidencial como redes sociales, servicios de mensajería instantánea, correos electrónicos o incluso aplicaciones bancarias.

Para ello se presentan en una tienda de la operadora con documentación falsificada a partir de los datos personales del cliente. Normalmente presentan una falsa denuncia policial de que han sido víctimas del robo del móvil y la cartera con la documentación original, adjuntando una fotocopia del DNI con la foto cambiada por la del delincuente que se presenta en la tienda. El objetivo es hacerse con el control de la línea móvil, de forma que al hacer un movimiento bancario como una transferencia reciben el código de autorización necesario para completarla.

Para que el SIM swapping tenga éxito, previamente deben haber obtenido los datos personales y de acceso a la cuenta bancaria de la víctima mediante phishing, como ocurre con los famosos SMS fraudulentos. En los relatos recogidos por la AEPD se muestra como el primer indicio que detecta la víctima es que su móvil se queda sin cobertura, puesto que la operadora empieza a dar servicio a la SIM duplicada, desactivando la original.

El fraude del SIM swapping se da a nivel global. En España, por ejemplo, la semana pasada la Policía Nacional confirmó el arresto de al menos ocho personas que integraban una organización criminal que clonaba tarjetas SIM haciéndose pasar por clientes legítimos ante las compañías telefónicas utilizando incluso documentos falsificados.

En América Latina esta problemática también existe. En Argentina, en 2021 y lo que va de 2020, se han reportado varios casos de víctimas que dicen haber sufrido el robo de dinero como consecuencia de la clonación del chip. El mes pasado, por ejemplo, una persona perdió el dinero que habían depositado en su cuenta bancaria tras acceder a un crédito Procrear. En noviembre 2021 se conoció otro caso en el cual los criminales robaron los accesos a WhatsApp y redes sociales como Instagram y Facebook.

Fuente (s) :

Seguir Leyendo
By
Ransomware

Ransomware BlackCat (ALPHV) vinculado a bandas BlackMatter y DarkSide

La pandilla de ransomware Black Cat, también conocida como ALPHV, ha confirmado que son ex miembros de la notoria operación de ransomware BlackMatter/DarkSide.

BlackCat/ALPHV es una nueva operación de ransomware rica en funciones lanzada en noviembre de 2021 y desarrollada en el lenguaje de programación Rust, lo cual es inusual para las infecciones de ransomware.

El ejecutable del ransomware es altamente personalizable, con diferentes métodos y opciones de encriptación que permiten ataques en una amplia gama de entornos corporativos.

Mientras que la pandilla de ransomware se hace llamar ALPHV, el investigador de seguridad MalwareHunterTeam nombró al ransomware BlackCat por la imagen de un gato negro que se usa en la página de pago Tor de cada víctima.

Desde entonces, la operación de ransomware se conoce como BlackCat cuando se comenta en los medios o por investigadores de seguridad.

Una breve historia sobre los cambios de marca de ransomware
Muchas operaciones de ransomware se ejecutan como Ransomware-as-a-Service (RaaS), donde los miembros principales están a cargo de desarrollar la infección de ransomware y administrar los servidores, mientras que los afiliados (también conocidos como “anuncios”) son reclutados para violar las redes corporativas y realizar ataques. .

Como parte de este acuerdo, los desarrolladores principales ganan entre el 10 y el 30 % del pago del rescate, mientras que el afiliado gana el resto. Los porcentajes cambian según la cantidad de ingresos por rescate que un afiliado en particular aporta a la operación.

Si bien ha habido muchas operaciones de RaaS en el pasado, ha habido algunas pandillas de primer nivel que comúnmente se cierran cuando las fuerzas del orden público les están pisando el cuello y luego cambian de marca con nuevos nombres.

Estas operaciones de Ransomware-as-a-Service de primer nivel y sus cambios de marca son:

GandCrab to REvil: la operación de ransomware GandCrab se lanzó en enero de 2018 y se cerró en junio de 2019 después de afirmar haber ganado $ 2 mil millones en pagos de rescate. Se relanzaron como REvil en septiembre de 2019, que finalmente cerraron en octubre de 2021 después de que las fuerzas del orden secuestraran su infraestructura.
Maze to Egregor: el ransomware Maze comenzó a operar en mayo de 2019 y anunció formalmente su cierre en octubre de 2020. Sin embargo, se cree que los afiliados, y probablemente los operadores, cambiaron su nombre en septiembre a Egregor, que luego desapareció después de que los miembros fueran arrestados en Ucrania.


DarkSide a BlackMatter: la operación de ransomware DarkSide se lanzó en agosto de 2022 y se cerró en mayo de 2021 debido a las operaciones policiales impulsadas por el ataque ampliamente publicitado de la pandilla en Colonial Pipeline. Regresaron como BlackMatter el 31 de julio, pero pronto cerraron en noviembre de 2021 después de que Emsisoft explotara una debilidad para crear un descifrador y se incautaran los servidores.
Algunos creen que Conti fue un cambio de marca de Ryuk, pero las fuentes le dicen a BleepingComputer que ambas son operaciones discretas dirigidas por TrickBot Group y que no están afiliadas entre sí.

Si bien algunos afiliados tienden a asociarse con una sola operación de RaaS, es común que los afiliados y los evaluadores de penetración se asocien con varias pandillas a la vez.

Por ejemplo, un afiliado de ransomware le dijo a BleepingComputer que trabajaba con las operaciones de ransomware Ragnar Locker, Maze y REvil simultáneamente.

BlackCat resurge de las cenizas de BlackMatter
Desde que se lanzó el ransomware BlackCat en noviembre, el representante de la pandilla de ransomware LockBit ha declarado que ALPHV/BlackCat es un cambio de marca de DarkSide/BlackMatter.

Representante de LockBit afirmando que ALPH es un cambio de marca de DarkSide

The Record publicó una entrevista con la pandilla ALPHV/BlackCat, quienes confirmaron las sospechas de que estaban afiliados a la pandilla DarkSide/BlackMatter.

“Como anuncios de materia oscura [DarkSide / BlackMatter], sufrimos la intercepción de las víctimas para su posterior descifrado por parte de Emsisoft”, dijo ALPHV a The Record, refiriéndose al lanzamiento del descifrador de Emsisoft.

Si bien los operadores de ransomware BlackCat afirman que solo fueron afiliados de DarkSide/BlackMatter que lanzaron su propia operación de ransomware, algunos investigadores de seguridad no lo creen.

El analista de amenazas de Emsisoft, Brett Callow, cree que BlackMatter reemplazó a su equipo de desarrollo después de que Emsisoft explotara una debilidad que permitía a las víctimas recuperar sus archivos de forma gratuita y perdía a la banda de ransomware millones de dólares en rescates.

“Aunque Alphv afirma ser antiguos afiliados de DS/BM, es más probable que sean DS/BM pero intenten distanciarse de esa marca debido al golpe reputacional que recibió después de cometer un error que costó a los afiliados varios millones de dólares, Callow tuiteó ayer.

En el pasado, era posible probar que diferentes operaciones de ransomware estaban relacionadas buscando similitudes de código en el código del cifrador.

Como el encriptador BlackCat se creó desde cero en el lenguaje de programación Rust, Fabian Wosar de Emsisoft le dijo a BleepingComputer que estas similitudes de codificación ya no existen.

Sin embargo, Wosar dijo que hay similitudes en las características y los archivos de configuración, lo que respalda que es el mismo grupo detrás de las operaciones de ransomware BlackCat y DarkSide/BlackMatter.

Independientemente de si son afiliados anteriores que decidieron lanzar su propia operación de ransomware o un cambio de marca de DarkSide/BlackMatter, han demostrado ser capaces de llevar a cabo grandes ataques corporativos y están acumulando víctimas rápidamente.

BlackCat va a ser una operación de ransomware que todas las fuerzas del orden, los defensores de la red y los profesionales de la seguridad deben vigilar de cerca.

Gang repite sus errores
Irónicamente, lo que condujo a la caída de las operaciones de DarkSide/BlackMatter puede ser, en última instancia, lo que cause una rápida desaparición de BlackCat/ALPHV.

Después de que DarkSide atacara el Oleoducto Colonial, el oleoducto de combustible más grande de los Estados Unidos, comenzó a sentir toda la presión de las fuerzas del orden internacionales y del gobierno de los Estados Unidos.

Esta presión continuó después de que cambiaron su nombre a BlackMatter, y las fuerzas del orden confiscaron sus servidores y provocaron que se apagaran nuevamente.

Lo que puede haber llevado al ransomware BlackCat al centro de atención es, irónicamente, otro ataque a los proveedores de petróleo y las empresas de distribución, lo que lleva a problemas en la cadena de suministro.

Search and buy domains from Namecheap. Lowest prices!

Esta semana, BlackCat atacó a Oiltanking, un distribuidor alemán de gasolina, ya Mabanaft GmbH, un proveedor de petróleo.

Estos ataques volvieron a afectar la cadena de suministro de combustible y provocaron escasez de gas.

Sin embargo, los operadores de BlackCat le dijeron a The Record que no podían controlar a quién atacan sus afiliados y prohibir a aquellos que no cumplen con las políticas de la pandilla. Estas políticas establecen que los afiliados no deben apuntar a agencias gubernamentales, entidades de salud o educativas.

Sin embargo, parece que la pandilla Darkside no aprendió de sus errores anteriores y una vez más atacó la infraestructura crítica, lo que probablemente los colocará firmemente en la mira de las fuerzas del orden.

Fuente (s) :

Seguir Leyendo
By
Hackers

Grupo de Hackers Norcoreano Lazarus utiliza Windows Update para atacar con malware a empresa aerospacial

El grupo de APT Lazarus, conocidos por su vinculación con el ransomware WannaCry, o ataques a grandes firmas tales como Sony y múltiples bancos a nivel internacional, ha reaparecido con un nuevo método para difundir malware aprovechándose de Windows Update.

Military Cyber Hacking From North Koreans 3d Illustration. Shows Attack By North Korea And Confrontation Or Online Cybercrime Security Virus Vs America

El grupo  respaldado por Corea del Norte, Lazarus, agregó el cliente de Windows Update a su lista de archivos binarios presentes en Windows (LoLBins) que pueden ser usados para descargar malware y ahora lo está utilizando activamente para ejecutar código malicioso en los sistemas de Windows.

El nuevo método de implementación de malware fue descubierto por el equipo de Malwarebytes Threat Intelligence mientras analizaba una campaña de phishing de enero que se hacía pasar por la empresa aeroespacial y de seguridad estadounidense Lockheed Martin.

La víctima en este caso ha sido la empresa multinacional especializada en la industria aeroespacial Lockheed Martin, donde el grupo de hackers norcoreano se hizo pasar por esta empresa a través de una campaña de spearphishing, según menciona el análisis realizado por Malwarebytes.

Cómo Lazarus se aprovechó de Windows Update para inyectar malware

El proceso descrito por la firma de seguridad involucra a la apertura de un documento con código malicioso por parte de la víctima. Tras esto, se envía un archivo denominado ‘WindowsUpdateConf.lnk’ a la carpeta de inicio y un archivo DLL (wuaueng.dll) a la carpeta de Windows/System32.

Esto se puede hacer cargando una DLL arbitraria especialmente diseñada usando las siguientes opciones de línea de comandos (el comando que Lazarus usó para cargar su carga útil maliciosa):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITRE ATT & CK clasifica esta estrategia de evasión de defensa como Ejecución de proxy binario firmado a través de Rundll32, y permite a los atacantes eludir el software de seguridad, el control de aplicaciones y la protección de validación de certificados digitales.

El archivo LNK mencionado antes abre el cliente de Windows Update (wuauclt.exe), permitiendo ejecutar un comando que carga el archivo DLL malicioso del atacante. Como bien afirman desde Malwarebytes, esta técnica hace uso de Windows Update para esquivar todo tipo de mecanismos de detección y seguridad por parte del sistema, ocultándose y ejecutando el código. 

Desde el momento en el que Windows Update permite esto, el ejecutable se convierte en lo que se conoce como ‘LoLBins’ (del inglés living-off-the-land binaries). Estos son ejecutables firmados por Microsoft que pueden ser aprovechados para ejecutar código malicioso.

La investigación llevada a cabo por parte de Malwarebytes acusa al grupo Lazarus debido a ciertas evidencias y metadatos usados anteriormente por este grupo de hackers. Según afirma el medio BleepingComputereste método fue hallado por primera vez en octubre de 2020, cuando el investigador David Middlehurst descubrió que se podía aprovechar un agujero de seguridad en Windows Update para inyectar malware.

Search and buy domains from Namecheap. Lowest prices!

Notorio grupo Lazarus de Corea del Norte

El Grupo Lazarus (también rastreado como HIDDEN COBRA por las agencias de inteligencia de EE. UU.) es un grupo de piratería militar de Corea del Norte activo durante más de una década, al menos desde 2009.

Sus operadores coordinaron la campaña global de ransomware WannaCry de 2017 y han estado detrás de los ataques contra empresas de alto perfil como Sony Films y varios bancos en todo el mundo.

El año pasado, Google detectó a Lazarus apuntando a investigadores de seguridad en enero como parte de complejos ataques de ingeniería social y una campaña similar durante marzo.

El Tesoro de EE. UU. sancionó a tres grupos de hacking patrocinados por la RPDC (Lazarus, Bluenoroff y Andariel) en septiembre de 2019, y el gobierno de EE. UU. ofrece una recompensa de hasta $ 5 millones por información sobre la actividad de Lazarus.

Fuente (s) :

Seguir Leyendo
By