Lo + Nuevo
Noticias de Ciberseguridad –
Tag

Informatica

Browsing
Lockbit

Capturan en Madrid al responsable de alojar el ransomware ruso Lockbit

Ley obtiene acceso a nueve servidores cruciales que podrían llevar directamente a los cabecillas del grupo de ransomware lockbit.

Escucha la noticia aquí :

En una jugada digna de una película de espías, la Guardia Civil española ha puesto fin a la escapada de un maestro del cibercrimen en el aeropuerto de Madrid-Barajas. Este personaje no es otro que uno de los cerebros detrás de Lockbit, un notorio programa malicioso de origen, se dice, ruso, que ha puesto de cabeza a más de 2.500 entidades en unos 120 países. Imagínate, ¡todo un recordatorio de que no solo las celebridades son perseguidas internacionalmente!

Cripto Casino - Stake
Conoce Stake Cripto Casino

El protagonista de nuestro thriller cibernético es un ciudadano bielorruso. Su captura en España es solo una pieza del dominó, con otros cómplices recogidos por las fuerzas del orden en Francia y Reino Unido, todo bajo la atenta mirada de Europol y una coreografía que incluye registros en 12 países.

¿Qué tan importante es este tipo? Bueno, resulta que él era el jefe del internet clandestino para Lockbit, administrando un servicio de internet que prometía anonimato y privacidad, conocido en los círculos de sombrero negro como “Bullet Proof Hosting”. Al caer él, los agentes lograron hacerse con nueve servidores cruciales que podrían llevar directamente a los cabecillas del grupo de ransomware.

Lockbit no es cualquier virus de computadora; es un innovador en el rentable mundo del ransomware, permitiendo incluso a los novatos en tecnología lanzar ciberataques desde finales de 2019. Hasta el propio Tío Sam ha puesto precio a la cabeza de su supuesto creador, Dimitry Yuryevich Khoroshev, ofreciendo la nada despreciable suma de 10 millones de dólares por información que lleve a su captura y/o condena. ¿Quién necesita la lotería con esos números?

Por si fuera poco, Lockbit, que emergió en 2019 como una especie de “franquicia” de ransomware, había llegado a lanzar cientos de ataques mensuales y a difundir los datos de aquellos que se negaban a pagar el rescate. Entre sus víctimas se cuentan gigantes como Boeing, Royal Mail, un hospital infantil en Canadá y el Banco Industrial y Comercial de China.

Después de una épica infiltración de la policía británica que desembocó en detenciones y el corte de sus servidores, parece que este episodio de “Ciberdelincuentes Sin Fronteras” podría estar llegando a su fin. Pero, como en todo buen thriller, nunca se sabe cuándo puede surgir un giro inesperado. Manténganse atentos.

Fuente (s) :

Donaciones y Apoyo

Seguir Leyendo
By
ciberseguridad

Microsoft Impedirá Keyloggers en Windows, Incluso sin Antivirus Activo

La magia de la inteligencia artificial entra en juego, permitiendo a Microsoft Defender bloquear el malware en milisegundos.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Microsoft ha anunciado que su confiable antivirus, Defender, protegerá a los usuarios de Windows 10 y Windows 11 contra esos molestos keyloggers. ¿Te suena? Esos programas sigilosos que intentan robar todo lo que escribes. Pues bien, el gigante tecnológico asegura que su software de seguridad ya está preparado para detectar y bloquear estos malwares, además de otro software malicioso que quiera echarle un vistazo a tus datos personales. Y lo mejor: la nueva versión de Microsoft Defender ahora cuenta con inteligencia artificial para detener el malware antes de que pueda hacer su trabajo sucio.

En un reciente comunicado en su blog, Microsoft explicó que la protección comienza desde el momento en que enciendes tu ordenador. Windows se vale de funciones de arranque seguro para verificar que el kernel y otros componentes del sistema no hayan sido alterados por algún hacker travieso. Así, el sistema evita que algún malware modifique la secuencia de arranque y haga de las suyas desde el principio.

Inteligencia Artificial al Rescate

La magia de la inteligencia artificial entra en juego, permitiendo a Microsoft Defender bloquear el malware en milisegundos, según la propia empresa. ¡Sí, así de rápido! El software utiliza motores de detección que, o bien impiden la ejecución del malware a simple vista, o lo aíslan si logra colarse. ¿El resultado? La nueva versión de Defender es capaz de detener no solo keyloggers, sino también esos raspadores de pantalla que, además de registrar tus pulsaciones, se toman la libertad de grabar lo que ves en tu monitor. ¿Qué siguen? ¿Espiar tu cafetera inteligente?

¿Y si Deshabilitas el Antivirus? No te Preocupes

Incluso si eres uno de esos rebeldes que decide desactivar la protección en tiempo real (quizá para darle emoción a tu vida), Microsoft afirma que Defender aún bloqueará los keyloggers. Así que, aunque desactives el antivirus, tu teclado estará a salvo de miradas indiscretas.

La compañía puso algunos ejemplos de keyloggers que han sido bloqueados en Windows por defecto. El primero trató de hacer un reconocimiento antes de ejecutarse, como un ninja mal entrenado, pero fue detenido de inmediato. El segundo fue un poco más creativo y generó archivos adicionales con comportamientos sospechosos, pero también fue bloqueado antes de que lograra algo significativo. Finalmente, en el tercer caso, un usuario permitió la ejecución del keylogger con permisos de administrador (¡claro, porque todos necesitamos aventuras!), pero incluso con eso, el malware no pudo registrar las pulsaciones ni capturar la pantalla. Microsoft: 3, Keyloggers: 0.

Keyloggers: Esos Viejos Conocidos

Por si no lo sabías, los keyloggers son programas maliciosos diseñados para registrar las teclas que presionas en tu dispositivo. Se disfrazan de archivos inofensivos y capturan todo lo que escribes: desde tu nombre de usuario y contraseña, hasta esa búsqueda embarazosa en Google que preferirías olvidar.

Lo curioso es que los keyloggers no son algo nuevo; de hecho, tienen un pasado tan oscuro como la Guerra Fría. La primera evidencia de uno de estos bichos se remonta a los años 70, cuando la Unión Soviética desarrolló un dispositivo que podía registrar las pulsaciones en una máquina de escribir eléctrica. Este primer keylogger, conocido como Selectric, afectó a las máquinas IBM que se usaban en las embajadas de EE.UU. ¡Espionaje a la vieja usanza!

Con el tiempo, los keyloggers evolucionaron en variantes de software, como Ghost y Zeus, que hicieron de las suyas en la década de 2000. Estas versiones se centraron en atacar organizaciones financieras, aunque luego decidieron expandir su mercado y empezaron a robar contraseñas y datos de usuarios comunes. Muy inclusivo de su parte.

La magia de la inteligencia artificial entra en juego, permitiendo a Microsoft Defender bloquear el malware en milisegundos.
La magia de la inteligencia artificial entra en juego, permitiendo a Microsoft Defender bloquear el malware en milisegundos.

Un Ejemplo Memorables de Keyloggers

Uno de los incidentes más sonados ocurrió en 2015, cuando hackers escondieron un keylogger en un mod de GTA V llamado Angry Planes. Este mod hacía que los pilotos fueran más agresivos, pero en realidad lo agresivo era el software escondido, que registraba toda la actividad del usuario y enviaba los datos a sus creadores. Afortunadamente, un usuario con ojo de halcón en los foros de GTA descubrió el truco y desató el caos entre los jugadores.

Según Microsoft, este tipo de amenazas ya no tendrán cabida en Windows 10 y Windows 11, incluso si decides apagar el antivirus para instalar algún software pirata (sí, te estamos mirando a ti, que todavía usas cracks para la Adobe Creative Suite). Así que, si planeabas hacer algo travieso, mejor piénsalo dos veces.

Donaciones y Apoyo

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Desmantelan red de phishing en América Latina: más de 480.000 víctimas afectadas

Escucha lo más importante de esta noticia aquí :

En un golpe certero contra el cibercrimen, Europol y el Centro Especializado en Ciberdelincuencia de Ameripol lograron desarticular una organización criminal internacional que se dedicaba a desbloquear teléfonos móviles robados o extraviados, utilizando técnicas de phishing a través de una ingeniosa plataforma.

La banda operaba en seis países y, según los informes, dejó a su paso un rastro de cerca de medio millón de víctimas. Al menos 17 personas fueron detenidas, incluyendo cinco en Argentina, entre las que destaca el presunto líder (con las iniciales I.D.C.), quien resulta ser un viejo conocido de la justicia. Este santafesino ya había sido condenado previamente por ciberdelitos, y esta vez fue acusado de montar una plataforma para vender un servicio que ayudaba a otros delincuentes a enviar mensajes de phishing para obtener las credenciales de acceso a los dispositivos robados. Curiosamente, este “emprendedor” del cibercrimen ya había pasado tres años tras las rejas por intentar extorsionar a una diputada argentina con fotos privadas.

La organización ofrecía, por la módica suma de 120 dólares al mes, no solo un servicio para robar credenciales, sino también cursos en Telegram sobre las últimas técnicas de phishing. Todo un combo cibercriminal que incluía una falsa plataforma para iPhones llamada iServer, que hacía creer a las víctimas que estaban a punto de recuperar sus teléfonos robados. Pero, como es de esperar, todo era un engaño: los desafortunados ingresaban sus credenciales en el sitio falso, pensado para imitar el entorno de Apple, y adiós a sus datos.

El truco era más simple de lo que parece: la organización enviaba mensajes SMS haciéndose pasar por el fabricante del celular, notificando a la víctima que su teléfono robado había sido localizado. Llenos de esperanza, los damnificados accedían a la falsa plataforma iServer, introducían sus datos de acceso… y ¡zas!, caían en la trampa.

Según las autoridades, unas 483.000 personas de todo el mundo intentaron desesperadamente recuperar sus móviles y, en el proceso, fueron víctimas de esta estafa. Las principales víctimas eran hispanohablantes de países europeos, norteamericanos y sudamericanos, con Chile y Colombia encabezando la lista de afectados.

La operación, que implicó a fuerzas policiales y judiciales de España, Argentina, Chile, Colombia, Ecuador y Perú, fue el resultado de una investigación que se extendió por más de un año. Durante este tiempo, las autoridades realizaron 28 allanamientos en varios países, incautando más de 600 celulares, 8 computadoras, 34 discos duros, 53 memorias portátiles, 11 tablets, 3 vehículos, 2 armas de fuego, un dron, criptomonedas, dinero en efectivo de distintas divisas e incluso pastillas de éxtasis (porque ¿por qué no?).

En cuanto a las detenciones, 17 personas de diversas nacionalidades cayeron en manos de la justicia, con cinco arrestos en Argentina, realizados en Buenos Aires, Santa Fe, Córdoba y Jujuy. Aunque, como siempre sucede en estas historias, un sexto sospechoso argentino sigue prófugo, con orden de captura.

El cerebro detrás de esta operación de phishing llevaba activo desde 2018, y durante los últimos cinco años se dedicó a ofrecer servicios para desbloquear teléfonos móviles robados. Su plataforma se volvió un negocio muy lucrativo, atrayendo a más de 2.000 “desbloqueadores” registrados. Estos desbloqueadores vendían sus servicios a otros delincuentes que habían conseguido hacerse con teléfonos robados y necesitaban acceso a los dispositivos.

Las autoridades estiman que la red criminal desbloqueó más de 1,2 millones de teléfonos móviles. La investigación también reveló que la organización generaba ingresos de unos 250.000 dólares al año. No está nada mal para un negocio ilegal, aunque el precio fue alto para sus 483.000 víctimas.

Esta operación fue la primera en la que el Centro Europeo de Ciberdelincuencia (EC3) de Europol coordinó esfuerzos con Ameripol, lo que demostró la importancia de la colaboración internacional en la lucha contra el cibercrimen. La semana de acción, que comenzó en septiembre de 2022, fue el resultado de meses de trabajo en los que Europol proporcionó apoyo analítico a los países implicados, enviando incluso expertos sobre el terreno para facilitar las acciones policiales.

La operación Kaerb ha marcado un hito en la lucha contra las redes criminales especializadas en phishing y desbloqueo de teléfonos robados. Aunque el cibercrimen parece estar siempre un paso adelante, operaciones como esta demuestran que la colaboración internacional y el uso de tecnología avanzada pueden inclinar la balanza a favor de la justicia.

Donaciones y Apoyo

Fuente(s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
ciberseguridad

Filtran datos de 162,000 abogados tras hackeo al Poder Judicial de CDMX, en presunta represalia de la Mafia Mexicana

Filtran datos de 162,000 abogados tras hackeo al Poder Judicial de CDMX, en presunta represalia de la Mafia Mexicana
Cripto Casino - Stake
Conoce Stake Cripto Casino

La organización conocida como la “Mexican Mafia” ha llevado a cabo su amenaza al filtrar datos sensibles del Poder Judicial de la Ciudad de México (PJCDMX). Este ataque cibernético, encabezado por un hacker que se hace llamar “Pancho Villa”, ha expuesto la información personal de más de 162,000 abogados, además de datos de varios funcionarios públicos y otros usuarios del sistema judicial.

El atacante, conocido como Pancho Villa, liberó la información confidencial del PJCDMX tras un plazo de 72 horas que había dado previamente.

Entre los datos filtrados se encuentran el código fuente del sistema de citas, credenciales de acceso, correos electrónicos, contraseñas de usuarios, y detalles relacionados con reclamaciones legales, citas, asignaciones de actuarios, pensiones y recibos. Esta filtración pone en serio peligro la seguridad y privacidad de las personas afectadas.

La información ha sido divulgada en foros de hackers y está accesible para quienes compartan otras filtraciones. Entre las instituciones más afectadas destacan el Tribunal Superior de Justicia de la Ciudad de México (TSJCDMX), el Instituto Mexicano del Seguro Social (IMSS) y la Suprema Corte de Justicia de la Nación. Este ataque ha revelado importantes fallos en la ciberseguridad del PJCDMX, lo que permitió a los hackers explotar vulnerabilidades en cuestión de minutos.

El ataque se ejecutó a inicios de agosto de 2024, utilizando técnicas avanzadas de escalada de privilegios que permitieron a los hackers desplazarse lateralmente dentro del sistema y extraer información valiosa sin ser detectados. También se sospecha que emplearon malware para asegurar su permanencia dentro de la red.

Este incidente ha provocado duras críticas hacia la gestión de la ciberseguridad por parte del gobierno. Expertos en seguridad informática, como Víctor Ruiz de SILIKN, han subrayado la necesidad urgente de mejorar las medidas de protección y concienciación sobre ciberseguridad en las instituciones gubernamentales.

Además de la filtración, la Mexican Mafia ha anunciado la venta de estas bases de datos en la web oscura, lo que podría derivar en usos maliciosos de la información, como fraudes, extorsiones y manipulaciones de juicios. La creciente desconfianza en la seguridad de los sistemas gubernamentales podría complicar la relación entre los ciudadanos y el gobierno, especialmente en lo que respecta a la compartición de información personal para acceder a servicios públicos.

El gobierno de la Ciudad de México y las instituciones afectadas están trabajando para contener el daño y reforzar sus sistemas de ciberseguridad. Sin embargo, la posibilidad de más filtraciones de datos sigue siendo una preocupación, y las autoridades han aconsejado a los usuarios afectados que tomen precauciones, como cambiar sus contraseñas y estar atentos a posibles intentos de fraude a través de correos electrónicos.

Donaciones y Apoyo

Fuente (s) :

Seguir Leyendo
By
Ransomware

El grupo Amper sufre ciberataque de Black Basta: 650GB de datos privados comprometidos

Amper, víctima de ciberataque: 650 GB de datos robados por Black Basta

La empresa española de ingeniería y tecnología Amper, conocida por su labor en los sectores de defensa, seguridad, energía y telecomunicaciones, ha sufrido un significativo ciberataque. Los ciberdelincuentes se han apoderado de 650 gigabytes de datos, que incluyen información de proyectos, usuarios y empleados, como nóminas y datos financieros.

Empresa de Ingeniería y Tecnología en Riesgo

Aunque Amper aún no ha confirmado oficialmente la magnitud del ataque, se cree que el grupo de ciberdelincuentes conocido como Black Basta está detrás del incidente. Este grupo es conocido por su ‘ransomware’, una herramienta que ha causado estragos en organizaciones de todo el mundo desde su aparición en la primavera de 2022.

Black Basta: Un Actor Global en el Ransomware como Servicio (RaaS)

Black Basta ha emergido rápidamente como uno de los actores más destacados en el ámbito del ransomware como servicio (RaaS). Según el Instituto Nacional de Ciberseguridad de España (Incibe), más de 500 organizaciones a nivel global han sido afectadas, desde pequeñas empresas hasta grandes corporaciones, evidenciando la seriedad de esta amenaza.

Métodos y Herramientas Utilizadas por Black Basta

El éxito de Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos. Utilizan una combinación de herramientas y técnicas sofisticadas para infiltrarse en las redes y moverse lateralmente dentro de ellas. Entre las herramientas empleadas se encuentran:

  • SoftPerfect Network Scanner
  • BITSAdmin
  • Cobalt Strike
  • ConnectWise ScreenConnect
  • PsExec

Además, utilizan Mimikatz para la escalada de privilegios y RClone para la exfiltración de datos antes del cifrado. Para obtener privilegios elevados, aprovechan vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527).

Técnicas de Infección y Propagación

Black Basta emplea técnicas de phishing para infiltrarse en las redes de sus objetivos. Un método común es el envío de correos electrónicos que incitan a las víctimas a descargar un archivo ZIP que contiene una imagen ISO, diseñada para evadir los mecanismos de seguridad. La imagen ISO suele incluir una DLL maliciosa infectada con Qakbot, un troyano conocido que permite a los atacantes ejecutar código malicioso en el sistema de la víctima, reduciendo las posibilidades de detección.

Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos
Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos

Una vez dentro, el malware realiza diversas acciones maliciosas, como monitorizar y registrar pulsaciones de teclas, recolectar credenciales de acceso y propagarse a otros sistemas de la red mediante técnicas de movimiento lateral. Utiliza nombres engañosos dentro de la unidad raíz, como “C:\Dell” o “C:\Intel”, para desplegar parte de su arsenal malicioso.

Relación con el Grupo FIN7

Investigaciones recientes sugieren una conexión entre Black Basta y los ciberdelincuentes rusos FIN7, también conocidos como Carbanak. SentinelLabs ha analizado varias herramientas personalizadas utilizadas por Black Basta, indicando que podrían compartir integrantes o trabajar juntos. Entre las herramientas se encuentra WindefCheck.exe, diseñada para clonar la interfaz de seguridad de Windows y mostrar falsamente que los sistemas están protegidos.

Cifrado y Desencriptado

Black Basta cifra los datos de sus víctimas utilizando una combinación de ChaCha20 y RSA-4096. Genera claves de cifrado con la función de C++ rand_s, resultando en una salida hexadecimal aleatoria. El ransomware cifra los primeros 64 bytes de cada fragmento de datos, dejando 128 bytes sin cifrar, y cambia la extensión de los archivos a ‘.basta’. Aunque existe una herramienta de descifrado llamada ‘Black Basta Buster’, basada en scripts de Python, la recuperación de archivos no siempre es posible debido a la complejidad del cifrado.

El ciberataque a Amper es un recordatorio de la creciente sofisticación de los ciberdelincuentes y la necesidad de robustecer las defensas digitales. Black Basta sigue siendo una amenaza significativa, y la relación con FIN7 solo añade más complejidad a un panorama ya de por sí desafiante. La seguridad cibernética debe ser una prioridad constante para proteger la información crítica y mantener la integridad de nuestras infraestructuras digitales.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
ciberseguridad

Increíble aumento del 700% en el robo de cuentas de WhatsApp en México

En México, especialmente la Ciudad de México, ha experimentado un aumento en el robo de cuentas de WhatsApp, con un incremento del 672%.

Aumento Alarma de 700% en el Robo de Cuentas de WhatsApp en México

En los últimos meses, México, y especialmente la Ciudad de México, ha experimentado un alarmante aumento en el robo de cuentas de WhatsApp, con un incremento del 672% en los primeros meses de 2024 en comparación con el mismo periodo del año anterior. Este fenómeno ha sido documentado por el Consejo Ciudadano para la Seguridad y Justicia (CCPSJ), que reportó un aumento de tan solo 18 casos en los primeros meses de 2023 a 139 en el mismo periodo de 2024.

Métodos de los Estafadores

Los delincuentes utilizan técnicas de ingeniería social para engañar a los usuarios y robar sus cuentas de WhatsApp. La falta de denuncias ha permitido que este tipo de delitos prospere. Uno de los métodos más comunes es el timo de los seis dígitos: los estafadores envían mensajes solicitando con engaños un código que la víctima ha recibido en su teléfono y que es necesario para iniciar sesión en WhatsApp desde otro dispositivo. Luego, contactan a las víctimas alegando que han enviado el código por error o haciéndose pasar por un familiar o amigo en apuros. Si la víctima comparte este código, pierde acceso inmediato a su cuenta. Una vez que los estafadores obtienen control de la cuenta, suelen pedir un rescate para devolverla.

Los delincuentes utilizan técnicas de ingeniería social para engañar a los usuarios y robar sus cuentas de WhatsApp.
Los delincuentes utilizan técnicas de ingeniería social para engañar a los usuarios y robar sus cuentas de WhatsApp.

Impacto y Respuesta de las Autoridades

Salvador Guerrero Chiprés, presidente del CCPSJ, ha destacado que este modelo criminal está diseñado para desalentar las denuncias. Los estafadores buscan obtener pequeñas sumas de dinero de muchas víctimas, lo que les permite generar ingresos significativos sin atraer demasiada atención.

“El 42% de las veces los montos solicitados son menores a 3,000 pesos, el 39% de las veces piden entre 3,000 y 5,000 pesos; el 7% solicita entre 15,000 y 30,000 pesos y otro 7% más de 30,000 pesos”.

Según Guerrero Chiprés, cada célula delincuencial, compuesta por tres personas, puede llegar a obtener hasta 60,000 pesos diarios si logran engañar a 20 personas con demandas de 3,000 pesos cada una.

Medidas de Protección y Prevención

Para protegerse de este tipo de estafas, es crucial tomar varias medidas de seguridad. Una de las más efectivas es habilitar la verificación en dos pasos en WhatsApp. Este sistema requiere que, además del código de seis dígitos enviado por SMS, se introduzca un código PIN previamente configurado por el usuario. De esta manera, aunque el estafador obtenga el código de seis dígitos, no podrá acceder a la cuenta sin el PIN adicional.

Además de activar la autenticación en dos pasos, se recomienda:

  • No compartir códigos de verificación: Nunca proporcionar el código de registro de WhatsApp a nadie, ni siquiera a amigos o familiares.
  • Desconfiar de mensajes sospechosos: Ser cauteloso con cualquier mensaje que solicite información personal o códigos de verificación, especialmente si proviene de un número desconocido o incluso si parece ser de un contacto conocido pero con un comportamiento inusual.
  • Evitar enlaces sospechosos: No abrir enlaces ni descargar archivos de fuentes desconocidas.
  • Reportar inmediatamente: En caso de recibir un mensaje sospechoso o ser víctima de una estafa, reportar inmediatamente a WhatsApp y a las autoridades correspondientes.

La Importancia de Denunciar

A pesar de la tendencia de no denunciar estos incidentes debido a las sumas relativamente bajas involucradas, es fundamental que las víctimas reporten los hackeos. El CCPSJ ofrece recursos para ayudar a las víctimas, como la aplicación ‘No + Extorsiones’, que cuenta con una base de datos de teléfonos dedicados a extorsionar, y un número de atención para reportar incidentes (55 5533 5533). (México)

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
Linux

Kali Linux 2024.2 se lanza con GNOME 46 y nuevas herramientas para hacking ético

Kali Linux ha lanzado su versión 2024.2, la primera actualización del año, que incluye dieciocho nuevas herramientas y soluciona el error Y2038.
Cripto Casino - Stake
Conoce Stake Cripto Casino

Kali Linux ha lanzado su versión 2024.2, la primera actualización del año, que incluye dieciocho nuevas herramientas y soluciona el error Y2038. Kali Linux, reconocida por ser una herramienta vital para profesionales de la ciberseguridad y hackers éticos, sigue mejorando para mantener su relevancia en el ámbito de la seguridad informática.

La versión 2024.2 de Kali, que se numera como la segunda actualización del 2024, ahora ofrece GNOME 46 como una opción, con todos los temas y extensiones actualizados para esta versión del entorno gráfico. Además, el escritorio Xfce ha recibido mejoras, específicamente en los modos Kali-Undercover y HiDPI, que mejoran la estabilidad y corrigen varios errores, asegurando un mejor soporte para las últimas mejoras en el escritorio.

Innovaciones Visuales

Como es habitual en el primer lanzamiento del año, el equipo de Kali ha introducido nuevos elementos visuales, incluyendo fondos de pantalla renovados, y mejoras en el menú de inicio y la pantalla de inicio de sesión, mejorando no solo la estética del sistema operativo sino también la experiencia del usuario.

Nuevas Herramientas en Kali Linux 2024.2

La versión 2024.2 de Kali Linux incorpora dieciocho nuevas herramientas, ampliando su ya extenso arsenal de software de seguridad. Algunas de las herramientas más destacadas incluyen:

  • autorecon: Herramienta multiproceso para reconocimiento de redes.
  • coercer: Obliga a un servidor Windows a autenticarse en una máquina arbitraria.
  • dploot: Reescritura en Python de SharpDPAPI.
  • getsploit: Utilidad de línea de comandos para buscar y descargar exploits.
  • gowitness: Herramienta para captura de pantalla web con Chrome Headless.
  • horst: Herramienta de escaneo de radio altamente optimizada.
  • ligolo-ng: Herramienta avanzada de tunelización/pivotación.
  • mitm6: Pwned IPv4 a través de IPv6.
  • netexec: Herramienta para explotación de servicios de red.
  • pspy: Monitorea procesos de Linux sin permisos de root.
  • pyinstaller: Convierte programas Python en ejecutables independientes.
  • pyinstxtractor: Extractor de PyInstaller.
  • sharpshooter: Marco para generación de carga útil.
  • sickle: Herramienta de desarrollo de carga útil.
  • snort: Sistema de detección de intrusiones en la red.
  • sploitscan: Búsqueda de información CVE.
  • vopono: Ejecuta aplicaciones a través de túneles VPN.
  • waybackpy: Accede a la API de Wayback Machine usando Python.

Corrección del Error del Año 2038

El ‘problema del año 2038’, similar al error Y2K, afecta a los sistemas Linux que utilizan variables enteras de 32 bits para marcas de tiempo UNIX, que cambiarán a una fecha incorrecta en 1901 después del 19 de enero de 2038. Para solucionar esto, se han adoptado enteros de 64 bits, pero esto requiere que las aplicaciones y bibliotecas que usan variables de 32 bits se recompilen.

En Kali Linux, las arquitecturas ARM de 32 bits (armhf y armel) son las más afectadas. Kali ha completado su transición a t64, y se recomienda a los usuarios realizar una actualización completa para obtener los paquetes actualizados.

Actualizaciones en el Escritorio

Esta versión de Kali Linux incluye GNOME 46, con todos los temas y extensiones actualizados. También se han implementado nuevas correcciones de estabilidad y rendimiento en el escritorio Xfce, asegurando una interfaz más robusta y eficiente.

Cómo Obtener Kali Linux 2024.2

Para comenzar a usar Kali Linux 2024.2, puedes actualizar tu instalación existente o descargar las imágenes ISO para nuevas instalaciones. Los comandos para actualizar desde una versión anterior son los siguientes:

echo “deb http://http.kali.org/kali kali-rolling main contrib non-free non-free-firmware” | sudo tee /etc/apt/sources.list
sudo apt update && sudo apt -y full-upgrade
cp -vrbi /etc/skel/. ~/
[ -f /var/run/reboot-required ] && sudo reboot -f

Si ejecutas Kali en el Subsistema de Windows para Linux (WSL), actualiza a WSL2 para una mejor experiencia, incluida la capacidad de usar aplicaciones gráficas. Verifica la versión de WSL con el comando wsl -l -v.

Después de la actualización, confirma que se realizó correctamente con:

grep VERSION /etc/os-release

Kali Linux 2024.2 no solo introduce nuevas herramientas y mejoras visuales, sino que también aborda problemas críticos como el error Y2038. Esta versión sigue mejorando la utilidad y funcionalidad de Kali Linux, asegurando que siga siendo una herramienta esencial para los profesionales de la ciberseguridad. Puedes ver el registro de cambios completo en el sitio web de Kali para más detalles.

Esta versión de Kali Linux refleja un compromiso continuo con la innovación y la seguridad, proporcionando a los usuarios herramientas avanzadas para enfrentar los desafíos modernos en ciberseguridad.

Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
ciberseguridad

YARA-X: Revolución en la Detección de Malware con el Poder de Rust

YARA-X marca una nueva era en la detección de malware, con su conocimiento convirtiendose en una herramienta más potente y fácil de mantener.

Se ha anunciado un cambio trascendental con la reescritura completa de YARA en Rust, resultando en la creación de YARA-X. Esta versión mejorada promete ofrecer una experiencia de usuario superior, mayor compatibilidad con las reglas existentes, mejor rendimiento, fiabilidad y robustez, así como una integración más sencilla con otros proyectos.

¿Qué es YARA?

Desde hace más de 15 años, Yet Another Ridiculous Acronym (YARA) ha sido una herramienta esencial para los investigadores de malware, evolucionando constantemente con nuevas actualizaciones y características. YARA es una herramienta de código abierto diseñada para ayudar a identificar y clasificar muestras de malware mediante la creación de reglas basadas en patrones textuales y binarios. Esta herramienta multiplataforma funciona en Linux, Windows y Mac OS X, y puede ser utilizada tanto a través de su interfaz de línea de comandos como mediante scripts de Python con la extensión YARA-Python.

YARA se ha consolidado como un estándar en la ciberseguridad, siendo ampliamente utilizada para la caracterización y detección de malware y otras amenazas.
YARA se ha consolidado como un estándar en la ciberseguridad, siendo ampliamente utilizada para la caracterización y detección de malware y otras amenazas.

YARA se ha consolidado como un estándar en la ciberseguridad, siendo ampliamente utilizada para la caracterización y detección de malware y otras amenazas. Su creador, Víctor M. Álvarez, quien actualmente forma parte del equipo de VirusTotal de Google, decidió reescribir la herramienta para implementar mejoras significativas que requerían cambios profundos en su diseño. Rust fue elegido por su facilidad de mantenimiento y sus robustas garantías de fiabilidad, tal como se explica en un comunicado sobre esta nueva fase de la herramienta.

Estado Actual de YARA-X

YARA-X, actualmente en fase beta, ha demostrado ser estable y efectiva. El equipo de VirusTotal ha estado utilizando YARA-X para escanear millones de archivos, detectando discrepancias y errores. Aunque YARA seguirá recibiendo mantenimiento, las nuevas funcionalidades y mejoras se centrarán en YARA-X.

Una de las novedades más destacadas de YARA-X es su capacidad para analizar varios formatos de archivo, como PE, .NET, ELF, Mach-O y LNK, creando estructuras de datos detalladas. El comando yr dump [FILE] permite a los usuarios acceder a esta información de manera sencilla, en formato YAML o JSON, mejorando significativamente la funcionalidad anterior de YARA.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Al ejecutar este comando, YARA-X analiza el archivo especificado utilizando todos los módulos relevantes y muestra las estructuras de datos generadas, proporcionando la salida en formato YAML por defecto para una mejor legibilidad y facilidad de uso. Anteriormente, YARA ofrecía una opción similar pero más compleja, que requería el paso de un archivo fuente YARA e importaba los módulos deseados. La introducción del comando dump en YARA-X simplifica enormemente este proceso, ofreciendo a los usuarios una forma más eficiente de acceder a información detallada sobre varios formatos de archivo.

Objetivos de YARA-X

El objetivo de YARA-X es superar a YARA en todos los aspectos, facilitando que los usuarios migren de forma natural debido a sus claras ventajas. La versión actualizada de YARA-X aprovecha el conocimiento acumulado para mejorar sus capacidades, enfrentando sus limitaciones y simplificando su mantenimiento y desarrollo futuro.

  • Mejorar la experiencia de usuario: Interfaz moderna y reportes de errores explicativos.
  • Mantener la compatibilidad a nivel de reglas: 99% de compatibilidad con YARA.
  • Mejor rendimiento: Mayor velocidad con reglas complejas.
  • Mayor fiabilidad y seguridad: Beneficios de la implementación en Rust.
  • Facilidad de integración: APIs oficiales en Python, Golang y C.

YARA-X marca una nueva era en la detección de malware, aprovechando su base de conocimiento para ofrecer una herramienta más potente y fácil de mantener.

Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
Ransomware

El Grupo BlackBasta Afirma Haber Hackeado a Atlas, Uno de los Mayores Distribuidores de Petróleo en EE.UU.

El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según un reporte.

Atlas, una de las mayores distribuidoras de combustible en EE.UU., hackeada por BlackBasta

Atlas es una de las mayores distribuidoras nacionales de combustible en 49 estados continentales de EE.UU., con más de mil millones de galones por año.

El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según reportó el investigador Dominic Alvieri.

El grupo afirma haber robado 730GB de datos de Atlas, incluyendo información corporativa: cuentas, recursos humanos, finanzas, datos de ejecutivos y departamentos, así como datos de usuarios y empleados.

Cripto Casino - Stake
Conoce Stake Cripto Casino

El grupo publicó una serie de documentos como prueba del hackeo, incluyendo tarjetas de identificación, hojas de datos, solicitudes de pago de nómina y una imagen de la carpeta extraída de los sistemas de la víctima.

La empresa petrolera aún no ha revelado el supuesto incidente.

Black Basta ha estado activo desde abril de 2022 y, al igual que otras operaciones de ransomware, implementa un modelo de ataque de doble extorsión.

En noviembre de 2022, investigadores de Sentinel Labs informaron haber encontrado pruebas que vinculan al grupo de ransomware Black Basta con el grupo de hackers FIN7, motivado por fines financieros.

En noviembre de 2022, expertos del equipo de Cybereason Global SOC (GSOC) observaron un aumento en las infecciones de Qakbot como parte de una campaña agresiva de malware que lleva a infecciones de ransomware Black Basta en EE.UU.

La cadena de ataque comienza con una infección de QBot. Los operadores usan la herramienta de post-explotación Cobalt Strike para tomar el control de la máquina y finalmente desplegar el ransomware Black Basta. Los ataques comienzan con un correo electrónico de spam/phishing que contiene enlaces URL maliciosos.

Los investigadores notaron que una vez obtenida la accesibilidad a la red, el actor de la amenaza se mueve extremadamente rápido. En algunos casos observados por Cybereason, el actor de la amenaza obtuvo privilegios de administrador de dominio en menos de dos horas y desplegó el ransomware en menos de 12 horas.

Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
Ransomware

Akira Ransomware Recibió $42 Millones en pagos de Rescate de más de 250 Víctimas

Agencias gubernamentales y de inteligencia de varios paises, reunieron información y reportes donde revelaron que el ransomware Akira ha perjudicado a más de 250 entidades en todo el mundo y ha recibido más de 42 millones de dólares en pagos de rescate.

Agencias gubernamentales y de inteligencia de varios paises, reunieron información y reportes donde revelaron que el ransomware Akira ha perjudicado a más de 250 entidades en todo el mundo y ha recibido más de 42 millones de dólares en pagos de rescate.

Agencias de Inteligencia de varios paises revelaron que el ransomware Akira ha recibido más de 42 millones de dólares en pagos de rescate.
Agencias de Inteligencia de varios paises revelaron que el ransomware Akira ha recibido más de 42 millones de dólares en pagos de rescate.


Un aviso conjunto publicado por CISA, el FBI, Europol y el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL) reveló que desde principios de 2023, los operadores de ransomware Akira recibieron 42 millones de dólares en pagos de rescate de más de 250 víctimas en todo el mundo.

El ransomware Akira ha estado activo desde marzo de 2023; los actores de amenazas detrás del malware afirman haber pirateado varias organizaciones en múltiples industrias, incluidas la educación, las finanzas y el sector inmobiliario. Al igual que otras bandas de ransomware, el grupo ha desarrollado un cifrador de Linux para apuntar a servidores VMware ESXi.

BingX exchange confiable de Criptomonedas

Los operadores del ransomware Akira implementan un modelo de doble extorsión al exfiltrar los datos de las víctimas antes de cifrarlos.


Las versiones anteriores del ransomware se escribieron en C++ y el malware agregaba la extensión .akira a los archivos cifrados. Sin embargo, a partir de agosto de 2023, ciertos ataques de Akira comenzaron a utilizar Megazord, que emplea código basado en Rust y cifra archivos con una extensión .powerranges. Los actores de amenazas de Akira han persistido en emplear tanto Megazord como Akira, incluido Akira_v2, identificados por investigaciones independientes, indistintamente.


Los investigadores de ciberseguridad observaron que los actores de amenazas obtenían acceso inicial a las organizaciones a través de un servicio de red privada virtual (VPN) sin autenticación multifactor (MFA) configurada. Los atacantes utilizaron principalmente las vulnerabilidades de Cisco CVE-2020-3259 y CVE-2023-20269.

También se observó que los operadores de Akira utilizaban servicios externos como el Protocolo de escritorio remoto (RDP), phishing y el abuso de credenciales válidas.

Después del acceso inicial, se observó que los actores de amenazas explotaban las funciones del controlador de dominio generando nuevas cuentas de dominio para establecer la persistencia. En algunos ataques, los actores de amenazas crearon una cuenta administrativa denominada itadm.

“Según el FBI y los informes de código abierto, los actores de amenazas de Akira aprovechan técnicas de ataque posteriores a la explotación, como Kerberoasting, para extraer las credenciales almacenadas en la memoria de proceso del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS). Los actores de amenazas de Akira también utilizan herramientas de extracción de credenciales como Mimikatz y LaZagne para ayudar en la escalada de privilegios”. lee el informe. “Herramientas como SoftPerfect y Advanced IP Scanner se utilizan a menudo con fines de descubrimiento (reconocimiento) de dispositivos de red y los comandos net de Windows se utilizan para identificar controladores de dominio y recopilar información sobre las relaciones de confianza del dominio”.

Se ha observado que los operadores de Akira implementan dos variantes distintas de ransomware contra diferentes arquitecturas de sistemas dentro del mismo ataque. Fue esta primera vez que los operadores adoptaron esta táctica.


Los operadores frecuentemente desactivan el software de seguridad para evadir la detección y para el movimiento lateral. Los expertos del gobierno observaron el uso de PowerTool por parte de los actores de amenazas de Akira para explotar el controlador Zemana AntiMalware y finalizar los procesos relacionados con el antivirus.


Los actores de amenazas utilizan FileZilla, WinRAR, WinSCP y RClone para la filtración de datos. Los atacantes utilizan AnyDesk, Cloudflare Tunnel, RustDesk, Ngrok y Cloudflare Tunnel para comunicarse con el comando y control (C&C).


“Los actores de amenazas de Akira utilizan un sofisticado esquema de cifrado híbrido para bloquear datos. Esto implica combinar un cifrado de flujo ChaCha20 con un criptosistema de clave pública RSA para un intercambio de claves rápido y seguro. Este enfoque de múltiples capas adapta los métodos de cifrado según el tipo y tamaño del archivo y es capaz de realizar un cifrado total o parcial”. concluye el aviso que incluye indicadores de compromiso (IoC)”.


Fuente (s) :

Seguir Leyendo
By