Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Dragora

#1

Microsoft ha dejado oficialmente de usar la autenticación NTLM en Windows y los servidores de Windows, lo que indica que los desarrolladores deben realizar la transición a la autenticación Kerberos o Negotiation para evitar problemas en el futuro.

Nueva tecnología LAN Manager, más conocido como NTLM, es un protocolo de autenticación lanzado por primera vez en 1993 como parte de Windows NT 3.1 y como sucesor del protocolo LAN Manager (LM).

Microsoft dice que los protocolos NTLM, que todavía se usan ampliamente en la actualidad, ya no están en desarrollo activo a partir de junio y se eliminarán gradualmente en favor de alternativas más seguras.

Este movimiento no es sorprendente, ya que Microsoft anunció por primera vez su intención de eliminar el protocolo de autenticación obsoleto en octubre de 2023, instando a los administradores a pasar a Kerberos y otros sistemas de autenticación contemporáneos, como Negotiate.

Se ha abusado ampliamente de NTLM en ciberataques conocidos como ataques 'NTLM Relay', en los que se toman el control de los controladores de dominio de Windows obligándolos a autenticarse contra servidores maliciosos.

A pesar de que Microsoft introdujo nuevas medidas para defenderse de esos ataques, como la firma de seguridad SMB, los ataques a la autenticación NTLM continúan.

Por ejemplo, los hashes de contraseñas aún pueden ser arrebatados y utilizados en ataques de "pasar el hash", obtenidos en ataques de phishing o extraídos directamente de bases de datos robadas de Active Directory o de la memoria de un servidor. A continuación, los atacantes pueden descifrar los hashes para obtener la contraseña de texto sin formato de un usuario.

Aparte del cifrado más débil utilizado en NTLM, en comparación con protocolos más modernos como Kerberos, el rendimiento del protocolo es deficiente, requiere más viajes de ida y vuelta a la red y no es compatible con las tecnologías de inicio de sesión único (SSO).

Dicho todo esto, NTLM se considera muy obsoleto según los estándares de seguridad y autenticación de 2024, por lo que Microsoft lo está desutilizando.

Proceso de eliminación gradual de NTLM

NTLM seguirá funcionando en la próxima versión de Windows Server y en la próxima versión anual de Windows. Aun así, los usuarios y los desarrolladores de aplicaciones deben realizar la transición a 'Negociar', que intenta autenticarse primero con Kerberos y recurre a NTLM solo cuando es necesario.

Microsoft recomienda que los administradores del sistema usen herramientas de auditoría para comprender cómo se usa NTLM en su entorno e identificar todas las instancias que deben tenerse en cuenta al formular un plan de transición.

Para la mayoría de las aplicaciones, la sustitución de NTLM por Negotiate se puede lograr mediante un cambio de una línea en la solicitud "AcquireCredentialsHandle" a la interfaz del proveedor de soporte técnico de seguridad (SSPI). Sin embargo, hay excepciones en las que es posible que se requieran cambios más extensos.

Negotiate tiene una reserva integrada en NTLM para mitigar los problemas de compatibilidad durante el período de transición.

Los administradores atascados con problemas de autenticación pueden consultar la guía de solución de problemas de Kerberos de Microsoft.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#2
Imagen: Midjourney

La cuenta oficial de Microsoft India en Twitter, con más de 211.000 seguidores, fue secuestrada por estafadores de criptomonedas para hacerse pasar por Roaring Kitty, el nombre de usuario utilizado por el famoso comerciante de acciones de memes Keith Gill.

La cuenta X de Microsoft India tiene un cheque de oro como organización oficialmente verificada en la plataforma, lo que le da más legitimidad a las publicaciones de los secuestradores.

Los actores de amenazas aprovechan el reciente regreso de Gill para atraer a víctimas potenciales e infectarlas con malware de drenaje de billeteras de criptomonedas.

Ahora están usando la cuenta secuestrada de Microsoft India para responder a los tweets, atrayendo a los seguidores de la compañía y a otras personas en X a un sitio web malicioso (presaIe-roaringkitty[.] com) que supuestamente les permitiría comprar criptomonedas GameStop (GME) como parte de una llamada preventa.


Sin embargo, los actores de amenazas robarían los activos de cualquier persona que conecte sus billeteras de criptomonedas al sitio y autorice transacciones al servicio de drenaje.

Muchas cuentas de bots ahora también están retuiteando los tweets de la cuenta secuestrada, una táctica diseñada para aumentar artificialmente el alcance de las publicaciones maliciosas y atrapar aún más víctimas.


En los últimos meses, los usuarios de X han sido objeto de una ola masiva de secuestros de cuentas, lo que ha llevado a que las organizaciones verificadas sean víctimas de hackeos que promueven estafas de criptomonedas y drenadores de billeteras.

La cuenta @SECGov de la Comisión de Bolsa y Valores de EE. UU. también se vio comprometida después de un ataque de intercambio de SIM. La cuenta comprometida se utilizó más tarde para publicar un anuncio falso sobre la tan esperada aprobación de los fondos cotizados en bolsa (ETF) de Bitcoin en los exchanges de valores, lo que provocó un aumento temporal de los precios de Bitcoin.

Más tarde, el equipo de seguridad de X también atribuyó la violación a un ataque de intercambio de SIM que secuestró un número de teléfono asociado con la cuenta de @SECGov, señalando que la cuenta de la SEC no tenía habilitada la autenticación de dos factores (2FA) en el momento del hackeo.

Anteriormente, las cuentas X de Netgear y Hyundai MEA también fueron hackeadas para promocionar sitios diseñados para impulsar los drenadores de billeteras criptográficas, mientras que la cuenta de la empresa de seguridad Web3 CertiK también se vio comprometida días antes con fines maliciosos similares.

Desde principios de año, los actores de amenazas se han dirigido cada vez más a las cuentas X gubernamentales y empresariales verificadas con marcas de verificación "doradas" y "grises" para dar credibilidad a los tuits que redirigen a los usuarios a sitios de phishing que promueven estafas de criptomonedas o propagan drenadores de criptomonedas.

Los usuarios de X también se enfrentan a un aluvión incesante de anuncios maliciosos de criptomonedas, lo que da lugar a estafas, lanzamientos aéreos falsos y drenadores de criptomonedas y NFT.

Según los expertos en amenazas de blockchain de ScamSniffer, una campaña publicitaria de X utilizó un solo drenador de billetera conocido como 'MS Drainer' para robar aproximadamente USD 59 millones en criptomonedas de 63,000 personas entre marzo y noviembre.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#3

La compañía de computación en la nube y análisis Snowflake dijo que un "número limitado" de sus clientes han sido señalados como parte de una campaña dirigida.

"No hemos identificado evidencia que sugiera que esta actividad fue causada por una vulnerabilidad, configuración incorrecta o violación de la plataforma de Snowflake", dijo la compañía en un comunicado conjunto junto con CrowdStrike y Mandiant, propiedad de Google.

"No hemos identificado evidencia que sugiera que esta actividad fue causada por credenciales comprometidas del personal actual o anterior de Snowflake".

Además, dijo que la actividad está dirigida contra los usuarios con autenticación de un solo factor, y que los actores de amenazas no identificados aprovechan las credenciales compradas u obtenidas previamente a través de malware que roba información.

"Los actores de amenazas están comprometiendo activamente a los inquilinos de los clientes de Snowflake de las organizaciones mediante el uso de credenciales robadas obtenidas mediante el robo de malware de información y el inicio de sesión en bases de datos que están configuradas con autenticación de un solo factor", dijo el CTO de Mandiant, Charles Carmakal, en una publicación en LinkedIn.

Snowflake también insta a las organizaciones a habilitar la autenticación multifactor (MFA) y limitar el tráfico de red solo desde ubicaciones confiables.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés), en una alerta emitida el lunes, recomendó a las organizaciones que sigan la guía descrita por Snowflake para buscar signos de actividad inusual y tomar medidas para evitar el acceso de usuarios no autorizados.

Un aviso similar del Centro Australiano de Seguridad Cibernética (ACSC) de la Dirección de Señales de Australia advirtió sobre "compromisos exitosos de varias empresas que utilizan entornos Snowflake".

Algunos de los indicadores incluyen conexiones maliciosas originadas por clientes que se identifican como "rapeflake" y "DBeaver_DBeaverUltimate".

El desarrollo se produce días después de que la compañía reconociera que ha observado un aumento en la actividad maliciosa dirigida a las cuentas de los clientes en su plataforma de datos en la nube.

Si bien un informe de la firma de ciberseguridad Hudson Rock insinuó anteriormente que la violación de Ticketmaster y Santander Bank puede haberse derivado de actores de amenazas que usaron las credenciales robadas de un empleado de Snowflake, desde entonces ha sido eliminado, citando una carta que recibió del asesor legal de Snowflake.

Actualmente no se sabe cómo se robó la información de las dos compañías, que son clientes de Snowflake. ShinyHunters, la persona que se atribuyó la responsabilidad de las violaciones gemelas en los ahora resucitados BreachForums, le dijo a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta que la explicación de Hudson Rock era incorrecta y que es "desinformación".

"Los ladrones de información son un problema importante, hace tiempo que superaron a las botnets, etc., en el mundo real, y la única solución real es la autenticación multifactor robusta", dijo el investigador de seguridad independiente Kevin Beaumont. Se cree que un grupo criminal adolescente está detrás del incidente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#4

Se ha observado un nuevo y sofisticado ataque cibernético dirigido a los puntos finales geolocalizados en Ucrania con el objetivo de desplegar Cobalt Strike y tomar el control de los hosts comprometidos.

La cadena de ataque, según Fortinet FortiGuard Labs, involucra un archivo de Microsoft Excel que lleva una macro VBA incrustada para iniciar la infección.

"El atacante utiliza una estrategia de malware de varias etapas para entregar la notoria carga útil 'Cobalt Strike' y establecer comunicación con un servidor de comando y control (C2)", dijo la investigadora de seguridad Cara Lin en un informe del lunes. "Este ataque emplea varias técnicas de evasión para garantizar el éxito de la entrega de la carga útil".

Cobalt Strike, desarrollado y mantenido por Fortra, es un conjunto de herramientas de simulación de adversarios legítimo utilizado para operaciones de red teaming. Sin embargo, a lo largo de los años, las versiones crackeadas del software han sido ampliamente explotadas por los actores de amenazas con fines maliciosos.

El punto de partida del ataque es el documento de Excel que, cuando se inicia, muestra contenido en ucraniano e insta a la víctima a "Habilitar contenido" para activar las macros. Vale la pena señalar que Microsoft ha bloqueado las macros de forma predeterminada en Microsoft Office a partir de julio de 2022.

Una vez que se habilitan las macros, el documento supuestamente muestra contenido relacionado con la cantidad de fondos asignados a las unidades militares, mientras que, en segundo plano, la macro codificada en HEX implementa un descargador basado en DLL a través de la utilidad del servidor de registro (regsvr32).

El descargador ofuscado supervisa los procesos en ejecución en busca de los relacionados con Avast Antivirus y Process Hacker, y se cierra rápidamente si detecta uno.

Suponiendo que no se identifique tal proceso, se comunica con un servidor remoto para obtener la carga útil codificada de la siguiente etapa, pero solo si el dispositivo en cuestión se encuentra en Ucrania. El archivo decodificado es una DLL que es la principal responsable de lanzar otro archivo DLL, un inyector crucial para extraer y ejecutar el malware final.

El procedimiento de ataque culmina con el despliegue de una baliza de ataque de cobalto que establece contacto con un servidor C2 ("simonandschuster[.] tienda").

"Al implementar comprobaciones basadas en la ubicación durante las descargas de la carga útil, el atacante tiene como objetivo enmascarar la actividad sospechosa, eludiendo potencialmente el escrutinio de los analistas", dijo Lin. "Al aprovechar las cadenas codificadas, el VBA oculta cadenas de importación cruciales, lo que facilita la implementación de archivos DLL para la persistencia y el descifrado de cargas útiles posteriores".

"Además, la función de autoeliminación ayuda a las tácticas de evasión, mientras que el inyector de DLL emplea tácticas de demora y termina los procesos principales para evadir los mecanismos de sandboxing y antidepuración, respectivamente".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#5


Hace unos días, Microsoft presentó su nueva gama Surface con procesadores Qualcomm ARM, que incluyen un NPU de 45 TOPS, superando las especificaciones mínimas de 40 TOPS para un PC con IA según Microsoft. Durante el evento, se anunciaron nuevas funciones exclusivas para estos dispositivos, destacando la polémica función Recall.

Función Recall: Capturas de Pantalla y Búsquedas con IA

La función Recall toma capturas de pantalla cada pocos segundos, almacenándolas localmente para que el usuario pueda revisarlas a través de un registro de actividad. Gracias a la inteligencia artificial, es posible realizar búsquedas en el contenido, ya sea texto o imágenes. Esta característica es exclusiva de los dispositivos con NPU integrada y opera sin conexión a Internet, lo que debería proteger la privacidad del usuario al evitar que los datos se suban a los servidores de Microsoft.

Controversia y Preocupaciones de Privacidad

A pesar de las medidas de seguridad, muchos expertos han expresado preocupaciones sobre la función Recall. La Oficina de Protección de Datos del Reino Unido ha solicitado a Microsoft más información sobre cómo funciona y qué se hace con los datos. Microsoft asegura que Recall está diseñada para proteger la privacidad, no capturando contenido protegido por DRM y usando BitLocker para cifrar los datos, especialmente con la próxima actualización 24H2 de Windows 11.

El problema principal no es la función Recall en sí, sino el riesgo de que capturas de pantalla confidenciales puedan ser accedidas por terceros, ya sea de forma remota o local. Esto podría incluir información sensible como números de cuenta y contraseñas.

Microsoft permite desactivar la función Recall en las opciones de configuración de Windows, lo que ofrece a los usuarios preocupados por la privacidad una solución. Sin embargo, el riesgo de privacidad persiste si terceras personas obtienen acceso al equipo.

Personalmente, considerando que todo el proceso de Recall se realiza localmente y está protegido, no veo un problema significativo con esta función. La posibilidad de acceso no autorizado a un equipo siempre representará un riesgo de privacidad, independientemente de la presencia de Recall.

Conclusión

La nueva gama Surface con procesadores Qualcomm ARM y la función Recall representan un avance en la tecnología de PC con IA. Sin embargo, las preocupaciones sobre la privacidad deben ser abordadas adecuadamente para garantizar la seguridad de los usuarios. Microsoft ha tomado medidas para proteger los datos, pero la capacidad de desactivar la función proporciona una capa adicional de control para los usuarios cautelosos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#6

A pesar de no fabricar ni vender chips a terceros, Google es un líder en el negocio de procesadores para centros de datos. La corporación de Mountain View tiene una cuota de mercado significativa, que está en crecimiento gracias a la explosión de la inteligencia artificial (IA).

Una investigación de Tech Insights posiciona a Google como uno de los mayores diseñadores de chips para centros de datos. Gracias a su experiencia en la cadena de suministro de semiconductores y el mercado de ASIC, Tech Insights señala que la cuota de mercado de Google es comparable a la de Intel y AMD.

Google fue pionera en aceleradores de IA personalizados con sus Unidades de Procesamiento Tensorial (TPU) lanzadas en 2015, superando a competidores como Microsoft y Amazon. Solo Nvidia e Intel tienen una cuota de mercado superior a la de Google en este sector.

En 2023, Google envió dos millones de TPU a sus centros de datos globales. Este negocio creció significativamente en 2021 con la TPU v4, coincidiendo con el auge de los grandes modelos de lenguaje. Broadcom, socio clave de Google en el diseño de ASIC, se benefició enormemente de la TPU v4.

Google utiliza TPU para acelerar cargas de trabajo internas, mientras que las GPU de Nvidia manejan tareas de computación en la nube. Tech Insights reportó que en 2023, Google tenía la mayor base instalada de aceleradores de IA y la mayor infraestructura informática de IA.

La sexta generación de TPU de Google, llamada Trillium, está diseñada para mejorar la arquitectura de hipercomputadoras de IA. Además, Tech Insights observó una corrección significativa del inventario en el mercado de servidores el año pasado, con hiperescaladores invirtiendo en nuevos aceleradores y GPU de Nvidia AI.

Microsoft y Amazon también desarrollan aceleradores de IA personalizados, con Azure Cobalt y Graviton, respectivamente, ambos basados en la arquitectura Arm. Google presentó recientemente el procesador Axion, también basado en Arm, para complementar sus TPU. Según Bernstein Research, la arquitectura Arm se usa en el 10% de los servidores del mundo, con más del 50% en los centros de datos de AWS de Amazon.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#7

Al instalar un disipador sobre el procesador, es esencial aplicar pasta térmica para garantizar una transferencia de calor eficiente. Tradicionalmente, este compuesto suele ser blanco o grisáceo. Sin embargo, Cooler Master ha decidido romper con la monotonía y ha desarrollado la pasta térmica CryoFuze 5 AI, disponible en seis vibrantes colores.

Históricamente, la pasta térmica ha presentado tonalidades simples debido a su composición. Las pastas térmicas cerámicas suelen ser blancas, mientras que las metálicas, basadas en óxido de zinc o cobre, son grises. Estas pastas, ocultas bajo el disipador junto con el procesador, no han visto la necesidad de variar su color. Su diseño ha priorizado siempre la eficiencia en la transferencia de calor.

Cooler Master, innovando en el mercado, ha creado la primera pasta térmica con colores RGB. Los fabricantes han enfocado siempre sus esfuerzos en mejorar la conductividad térmica, un parámetro crucial para la disipación del calor. Ahora, Cooler Master ha introducido la pasta térmica CryoFuze 5 AI, que no solo promete alta eficiencia, sino también una gama de colores nunca vista.

El catálogo de Cooler Master ahora incluye el nuevo compuesto CryoFuze 5 AI, que utiliza tecnología de nanodiamantes para ofrecer seis tonalidades distintas. Este lanzamiento, descubierto en la versión china de la página web de Cooler Master, no ha sido anunciado oficialmente por la compañía.

La CryoFuze 5 AI, desarrollada en colaboración con inteligencia artificial, incorpora una combinación de polvo de aluminio y óxido de zinc. Su coeficiente de conductividad térmica es de 12.6 W/mK, posicionándola entre las mejores opciones del mercado. Además, soporta un rango de temperatura de -50 ºC a 240 ºC, lo que la hace ideal para overclocking.

Sorprendentemente, la CryoFuze 5 AI está disponible en negro, azul, verde, blanco, amarillo y rojo. Si todas las variantes mantienen la misma conductividad térmica, los colores serían únicamente un elemento estético, ya que la pasta térmica no se verá una vez instalado el disipador.

A pesar de las dudas sobre la utilidad de los colores y la colaboración con inteligencia artificial, el valor de conductividad térmica es impresionante. Estamos a la espera de un anuncio oficial por parte de Cooler Master para aclarar todas las incertidumbres sobre este innovador producto. Ojalá que los colores no influyan en el precio final del compuesto.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#8

Zoom ha anunciado la disponibilidad global del cifrado poscuántico de extremo a extremo (E2EE) para Zoom Meetings, con planes de extenderlo a Zoom Phone y Zoom Rooms próximamente.

Detalles del Cifrado Poscuántico

Zoom Meetings es una popular plataforma de videoconferencia que ofrece video y audio de alta definición, uso compartido de pantalla, chat y administración de participantes. Ahora, Zoom ha incorporado el cifrado resistente a la cuántica Kyber768 en sus comunicaciones cifradas de extremo a extremo, asegurando que todos los datos transmitidos entre sus servidores y clientes sean indescifrables, incluso para las computadoras cuánticas más avanzadas.

Funcionamiento del E2EE Poscuántico

Cuando los usuarios habilitan E2EE para sus reuniones, solo los participantes tienen acceso a las claves de cifrado. Los servidores de Zoom no poseen la clave de descifrado, por lo que los datos transmitidos permanecen indescifrables.

Importancia del Cifrado Poscuántico

El sector de la criptografía avanza rápidamente, y se espera que las computadoras cuánticas futuras puedan romper los esquemas de cifrado actuales. Zoom aborda este riesgo introduciendo algoritmos resistentes a la cuántica, protegiendo a los usuarios contra ataques "cosechar ahora, descifrar después", donde los datos interceptados hoy podrían descifrarse en el futuro con tecnología más avanzada.

Comparación con Otras Plataformas

Al igual que plataformas como Signal, Apple iMessage, Tutanota, y Google Chrome, Zoom utiliza el algoritmo Kyber recomendado por el NIST. Este movimiento coloca a Zoom a la vanguardia de la seguridad en comunicaciones unificadas, siendo el primer proveedor de UCaaS en ofrecer videoconferencias resistentes a la cuántica.

Historial y Compromiso con la Seguridad

Zoom fue criticado anteriormente por la falta de cifrado de extremo a extremo, especialmente durante el auge de su popularidad en la era COVID-19. La empresa introdujo E2EE en Zoom Meetings en 2020 y en Zoom Phone en 2022. Ahora, con la implementación del cifrado poscuántico, Zoom demuestra su compromiso con la seguridad y liderazgo en el sector.

Para más información sobre las versiones y plataformas compatibles con E2EE poscuántico, los usuarios pueden visitar la página oficial de Zoom.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#9

GitHub ha corregido una vulnerabilidad de omisión de autenticación de gravedad máxima, rastreada como CVE-2024-4985, que afecta a las instancias de GitHub Enterprise Server (GHES) que utilizan la autenticación de inicio de sesión único (SSO) de SAML. Con una puntuación CVSS v4 de 10.0, esta falla permitía a los atacantes forjar una respuesta SAML y obtener privilegios de administrador, proporcionando acceso sin restricciones al contenido de la instancia sin necesidad de autenticación.

Detalles de la Vulnerabilidad

Afecta a: Instancias de GHES con SSO de SAML y aserciones cifradas.
Impacto: Permite a los atacantes obtener privilegios de administrador.
Corrección: Implementada en las versiones 3.12.4, 3.11.10, 3.10.12 y 3.9.15 de GHES, lanzadas el 20 de mayo de 2024.

Qué es GHES

GitHub Enterprise Server es una versión autohospedada de GitHub, diseñada para organizaciones que prefieren almacenar repositorios en sus propios servidores o entornos de nube privada. Es ideal para grandes empresas, equipos de desarrollo que requieren un mayor control sobre sus activos, y organizaciones que manejan datos confidenciales.

Explotación y Mitigación

La vulnerabilidad afecta únicamente a las instancias de GHES que han habilitado la función opcional de aserciones cifradas en SSO de SAML. Esta configuración no es predeterminada, por lo que solo impacta a aquellos administradores que la hayan activado.

La explotación de la falla permitiría a un actor de amenazas forjar una respuesta SAML para obtener acceso de administrador. Para mitigar este riesgo, es crucial actualizar a las versiones corregidas de GHES.


Las actualizaciones incluyen algunas problemáticas conocidas:

  • Borrado de reglas de firewall personalizadas.
  • Error "No such object" durante la validación de la configuración para los servicios Notebook y Viewscreen.
  • La cuenta de administrador raíz de la consola de administración no se desbloquea automáticamente después del bloqueo.
  • Error en el reenvío de registros habilitado para TLS.
  • Error "mbind: Operación no permitida" en los registros de MySQL.
  • Desincronización de la hora del sistema en instancias de AWS tras reinicio.
  • Todas las direcciones IP de cliente aparecen como 127.0.0.1 en los registros de auditoría.
  • Archivos .adoc grandes no se representan en la interfaz de usuario web.
  • Error en la restauración de copia de seguridad con ghe-restore si Redis no se reinicia correctamente.
  • Los repositorios importados mediante ghe-migrator no rastrean correctamente las contribuciones de Advanced Security.
  • Error en los flujos de trabajo de GitHub Actions para GitHub Pages.


A pesar de estos problemas, se recomienda encarecidamente que aquellos que utilicen la configuración vulnerable (SSO SAML + aserciones cifradas) actualicen inmediatamente a una versión segura de GHES para protegerse contra posibles ataques.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#10

Una reciente campaña de malware dirigida a usuarios de Android busca extraer datos de cuentas bancarias a través de páginas phishing que se abren cuando el usuario accede a una aplicación en su móvil. La empresa de seguridad informática Cyble ha identificado un nuevo troyano, llamado "Antidote", diseñado para robar credenciales bancarias.

Cómo Funciona el Troyano "Antidote"

Los hackers han creado páginas falsas que simulan ser actualizaciones de la Google Play Store. Al engañar a los usuarios para que instalen este falso paquete de actualización, logran introducir el troyano en los smartphones.

  • Instalación del Troyano: Una vez instalado, el malware muestra una ventana emergente que solicita al usuario completar una actualización de la Play Store, pidiendo acceso a los ajustes de accesibilidad del dispositivo.
  • Robo de Información: Con este acceso, los ciberdelincuentes pueden registrar pulsaciones de teclas, bloquear o desbloquear el teléfono, acceder a contactos y SMS, entre otras funciones. Además, usan la función MediaProjection de Android para acceder al contenido de la pantalla mediante VNC (Virtual Network Computing).
  • Ataque de Superposición (Overlay Attack): El malware envía la lista de aplicaciones instaladas al servidor de comando y control (C&C). Cuando el usuario abre una app bancaria, se despliega una página phishing que simula ser legítima, facilitando el robo de credenciales.


El troyano "Antidote" no solo roba datos bancarios sino que también puede:

  • Grabar la pantalla.
  • Registrar pulsaciones de teclas (keylogging).
  • Hacer peticiones USSD.
  • Desviar llamadas.
  • Permitir comunicación bidireccional entre el servidor y el dispositivo del usuario.


El malware "Antidote" está dirigido a usuarios que hablan español, alemán, ruso, portugués, francés, rumano e inglés, indicando una campaña amplia y multilingüe.

Recomendaciones de Seguridad

  • Descargar aplicaciones únicamente desde fuentes oficiales, como la Google Play Store o la App Store de Apple.
  • Revisar cuidadosamente los permisos solicitados por las aplicaciones.
  • Activar el servicio Google Play Protect en dispositivos Android.

El troyano "Antidote" representa una seria amenaza para la privacidad y seguridad financiera de los usuarios de Android. Mantente informado y toma medidas preventivas para proteger tus datos personales y financieros.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#11

Google sigue sorprendiéndonos con sus constantes innovaciones. Después de varios días de pruebas con desarrolladores y usuarios registrados en el programa beta, ya está disponible la versión oficial de Android Auto 12.0. A partir de hoy, puedes descargarla y disfrutar de todas sus novedades. Aquí te detallamos las características principales de esta actualización y cómo descargarla de manera sencilla y rápida.

Innovaciones en Android Auto 12.0

Si eres conductor, es probable que hayas utilizado Android Auto en tus viajes. Esta aplicación está diseñada para facilitar tu experiencia al volante, ofreciendo mayor accesibilidad y seguridad. Con la nueva versión 12.0, Google introduce mejoras significativas:

  • Interfaz Material You: Android Auto 12.0 adopta el lenguaje de diseño único de Google, conocido como Material You. Esto proporciona un acabado visual renovado con una paleta de colores llamativa y nuevas opciones de personalización. La aplicación será más compatible con otras apps y se adaptará mejor a las pantallas de los coches, aunque estos cambios se aprecian principalmente en la app móvil por ahora.
  • Ajustes para Coches Eléctricos: Una de las novedades más prácticas es la implementación de ajustes específicos para vehículos eléctricos. Ahora, podrás encontrar puntos de recarga cercanos directamente a través de Google Maps, facilitando tus desplazamientos sin preocuparte por la batería.

¿Cómo Actualizar a Android Auto 12.0?

La actualización a Android Auto 12.0 ya está disponible y puedes instalarla desde la Google Play Store. Sin embargo, si aún no aparece la opción de actualización, es posible que tarde unas horas en estar disponible para todos los usuarios.

Para actualizar:

  • Revisa la Google Play Store: Abre la tienda de aplicaciones y busca Android Auto. Si la versión 12.0 ya está disponible, simplemente selecciona "Actualizar".
  • Descarga el APK: Si prefieres no esperar, puedes descargar el archivo APK desde un enlace fiable. Este archivo es seguro y oficial de Google. Después de la descarga, instala el APK en tu dispositivo y comienza a disfrutar de las nuevas funciones de Android Auto.


Google continúa mejorando la experiencia de Android Auto con cada actualización. La versión 12.0 promete una interfaz más atractiva y funcionalidades útiles para conductores de coches eléctricos. No esperes más y actualiza tu aplicación para aprovechar todas estas innovaciones. Mantente al día con las mejoras que Google implementa regularmente para ofrecerte una experiencia de conducción más segura y práctica.

¡Descarga Android Auto 12.0 hoy mismo y disfruta de todas sus novedades!

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#12

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) agregó el jueves dos fallas de seguridad que afectan a los enrutadores D-Link a su catálogo de vulnerabilidades explotadas conocidas (KEV, por sus siglas en inglés), basadas en evidencia de explotación activa.

La lista de vulnerabilidades es la siguiente:

  • CVE-2014-100005 - Una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) que afecta a los routers D-Link DIR-600 y que permite a un atacante cambiar las configuraciones de los routers secuestrando una sesión de administrador existente
  • CVE-2021-40655: una vulnerabilidad de divulgación de información que afecta a los routers D-Link DIR-605 que permite a los atacantes obtener un nombre de usuario y una contraseña mediante la falsificación de una solicitud HTTP POST a la página /getcfg.php

Actualmente no hay detalles sobre cómo se explotan estas deficiencias en la naturaleza, pero se ha instado a las agencias federales a aplicar mitigaciones proporcionadas por el proveedor antes del 6 de junio de 2024.

Vale la pena señalar que CVE-2014-100005 afecta a los productos heredados de D-Link que han alcanzado el estado de fin de vida útil (EoL), lo que requiere que las organizaciones que aún los usan retiren y reemplacen los dispositivos.

El desarrollo se produce cuando el equipo de SSD Secure Disclosure reveló problemas de seguridad sin parches en los enrutadores DIR-X4860 que podrían permitir a los atacantes remotos no autenticados acceder al puerto HNAP para obtener permisos elevados y ejecutar comandos como root.

"Al combinar una omisión de autenticación con la ejecución de comandos, el dispositivo puede verse completamente comprometido", dijo, y agregó que los problemas afectan a los enrutadores que ejecutan la versión de firmware DIRX4860A1_FWV1.04B03.

SSD Secure Disclosure también ha puesto a disposición un exploit de prueba de concepto (PoC), que emplea una solicitud de inicio de sesión HNAP especialmente diseñada para la interfaz de administración del enrutador para eludir las protecciones de autenticación y lograr la ejecución de código aprovechando una vulnerabilidad de inyección de comandos.

Desde entonces, D-Link ha reconocido el problema en un boletín propio, afirmando que una solución está "pendiente de lanzamiento / en desarrollo". Describió la vulnerabilidad como un caso de falla en la ejecución de comandos no autenticados del lado de la LAN.

Ivanti corrige múltiples fallos en Endpoint Manager Mobile (EPMM)

Los investigadores de ciberseguridad también han publicado un exploit de PoC para una nueva vulnerabilidad en Ivanti EPMM (CVE-2024-22026, puntuación CVSS: 6,7) que podría permitir a un usuario local autenticado eludir la restricción de shell y ejecutar comandos arbitrarios en el dispositivo.

"Esta vulnerabilidad permite a un atacante local obtener acceso root al sistema explotando el proceso de actualización de software con un paquete RPM malicioso desde una URL remota", dijo Bryan Smith de Redline Cyber Security.

El problema se deriva de un caso de validación inadecuada en el comando de instalación de la interfaz de línea de comandos de EPMM, que puede obtener un paquete RPM arbitrario de una URL proporcionada por el usuario sin verificar su autenticidad.

CVE-2024-22026 afecta a todas las versiones de EPMM anteriores a la 12.1.0.0. Ivanti también ha parcheado otros dos fallos de inyección SQL en el mismo producto (CVE-2023-46806 y CVE-2023-46807, puntuaciones CVSS: 6,7) que podrían permitir a un usuario autenticado con los privilegios adecuados acceder a los datos de la base de datos subyacente o modificarlos.

Si bien no hay evidencia de que se hayan explotado estas fallas, se recomienda a los usuarios que actualicen a la última versión para mitigar las posibles amenazas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#13

El grupo de hackers Kimsuky, vinculado a Corea del Norte, ha sido atribuido a un nuevo ataque de ingeniería social que emplea cuentas ficticias de Facebook a objetivos a través de Messenger y, en última instancia, entrega malware.

"El actor de amenazas creó una cuenta de Facebook con una identidad falsa disfrazada de funcionario público que trabaja en el campo de los derechos humanos de Corea del Norte", dijo la compañía de ciberseguridad surcoreana Genians en un informe publicado la semana pasada.

La campaña de ataque de varias etapas, que se hace pasar por un individuo legítimo, está diseñada para atacar a activistas en los sectores de derechos humanos y anti-Corea del Norte de Corea del Norte, señaló.

El enfoque se aleja de la típica estrategia de spear-phishing basada en el correo electrónico, ya que aprovecha la plataforma de redes sociales para acercarse a los objetivos a través de Facebook Messenger y engañarlos para que abran documentos aparentemente privados escritos por la persona.

Los documentos señuelo, alojados en OneDrive, son un documento de Microsoft Common Console que se hace pasar por un ensayo o contenido relacionado con una cumbre trilateral entre Japón, Corea del Sur y EE. UU., "My_Essay(prof).msc" o "NZZ_Interview_Kohei Yamamoto.msc", y este último se subió a la plataforma VirusTotal el 5 de abril de 2024 desde Japón.

Esto plantea la posibilidad de que la campaña esté orientada a dirigirse a personas específicas en Japón y Corea del Sur.

El uso de archivos MSC para llevar a cabo el ataque es una señal de que Kimsuky está utilizando tipos de documentos poco comunes para pasar desapercibidos. En un intento adicional de aumentar la probabilidad de éxito de la infección, el documento se disfraza como un archivo de Word inocuo utilizando el icono del procesador de textos.

Si una víctima inicia el archivo MSC y da su consentimiento para abrirlo mediante Microsoft Management Console (MMC), se le muestra una pantalla de consola que contiene un documento de Word que, cuando se inicia, activa la secuencia de ataque.

Esto implica ejecutar un comando para establecer una conexión con un servidor controlado por el adversario ("brandwizer.co[.] in") para mostrar un documento alojado en Google Drive ("Ensayo sobre la resolución del trabajo forzoso coreano Claims.docx"), mientras que se ejecutan instrucciones adicionales en segundo plano para configurar la persistencia, así como para recopilar información sobre la batería y el proceso.

A continuación, la información recopilada se filtra al servidor de comando y control (C2), que también es capaz de recopilar direcciones IP, cadenas de agente de usuario e información de marca de tiempo de las solicitudes HTTP, y entregar cargas útiles relevantes según sea necesario.

Genians dijo que algunas de las tácticas, técnicas y procedimientos (TTP) adoptados en la campaña se superponen con la actividad anterior de Kimsuky que difunde malware como ReconShark, que fue detallado por SentinelOne en mayo de 2023.

"En el primer trimestre de este año, los ataques de spear phishing fueron el método más común de ataques APT reportados en Corea del Sur", señaló la compañía. "Aunque no se informa comúnmente, también se están produciendo ataques encubiertos a través de las redes sociales".

"Debido a su naturaleza personalizada e individual, no son fácilmente detectados por el monitoreo de seguridad y rara vez se informan externamente, incluso si la víctima los conoce. Por lo tanto, es muy importante detectar estas amenazas personalizadas en una etapa temprana".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#14

A partir de julio, Microsoft comenzará a aplicar gradualmente la autenticación multifactor (MFA) para todos los usuarios que inicien sesión en Azure para administrar recursos.

Después de completar por primera vez el lanzamiento de Azure Portal, la aplicación de MFA verá un lanzamiento similar para la CLI, PowerShell y Terraform.

Redmond dice que los clientes también recibirán información adicional por correo electrónico y notificaciones oficiales antes de la aplicación de la MFA.

"Se excluyen las entidades de servicio, las identidades administradas, las identidades de carga de trabajo y las cuentas similares basadas en tokens que se usan para la automatización. Microsoft todavía está recopilando información de los clientes para ciertos escenarios, como cuentas de ruptura y otros procesos de recuperación especiales", explicó el gerente de producto de Azure, Naj Shahid.

"Los estudiantes, los usuarios invitados y otros usuarios finales solo se verán afectados si inician sesión en Azure Portal, CLI, PowerShell o Terraform para administrar los recursos de Azure. Esta directiva de cumplimiento no se extiende a las aplicaciones, los sitios web o los servicios hospedados en Azure. La política de autenticación para ellos seguirá siendo controlada por los propietarios de la aplicación, el sitio web o el servicio".

Microsoft también instó a los administradores a habilitar MFA en sus inquilinos antes de la implementación mediante el asistente de MFA para Microsoft Entra. También pueden supervisar qué usuarios se han registrado para MFA mediante el informe de registro de métodos de autenticación y este script de PowerShell para obtener un informe del estado de MFA en toda la base de usuarios.


Según un estudio de Microsoft centrado en analizar el rendimiento de seguridad de los métodos de MFA en un gran conjunto de datos de usuarios de Azure Active Directory que muestran actividad sospechosa, MFA ofrece un gran impulso de protección para las cuentas de usuario contra los ciberataques, ya que más del 99,99 % de todas las cuentas habilitadas para MFA resisten los intentos de piratería.

Como descubrieron los analistas de la compañía, MFA también reduce el riesgo de compromiso en un 98,56%, incluso cuando los atacantes intentaron violar las cuentas utilizando credenciales robadas.

Esto se produce después de que Redmond anunciara en noviembre que pronto implementaría directivas de acceso condicional que requerirían MFA para todos los administradores al iniciar sesión en portales de administración de Microsoft (por ejemplo, Entra, Microsoft 365, Exchange y Azure), para los usuarios de todas las aplicaciones en la nube y para los inicios de sesión de alto riesgo (esta última opción solo está disponible para los clientes de Microsoft Entra ID Premium Plan 2).

"Nuestro objetivo es la autenticación multifactor al 100 por ciento. Dado que los estudios formales muestran que la autenticación multifactor reduce el riesgo de apropiación de cuentas en más del 99 por ciento, cada usuario que se autentique debe hacerlo con una autenticación fuerte moderna", dijo Weinert en ese momento.

Como parte del mismo movimiento para impulsar la adopción de MFA, GitHub, propiedad de Microsoft, también requiere que todos los desarrolladores activos habiliten la autenticación de dos factores (2FA) a partir de enero de 2024.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#15

El troyano bancario para Android "Grandoreiro" se está propagando en una campaña de phishing a gran escala en más de 60 países, dirigida a cuentas de clientes de aproximadamente 1.500 bancos.

En enero de 2024, una operación policial internacional en la que participaron Brasil, España, Interpol, ESET y Caixa Bank anunció la interrupción de la operación de malware, que se dirigía a países de habla hispana desde 2017 y causó pérdidas por valor de 120 millones de dólares.

Al mismo tiempo, se produjeron cinco detenciones y trece acciones de registro e incautación en todo Brasil. Sin embargo, no se proporcionó información sobre el papel de las personas detenidas en la operación.

El equipo X-Force de IBM informa de que Grandoreiro parece haber vuelto a las operaciones a gran escala desde marzo de 2024, probablemente alquiladas a los ciberdelincuentes a través de un modelo de Malware-as-a-Service (MaaS), y ahora también dirigidas a los países de habla inglesa.


Además, el troyano en sí se ha sometido a una renovación técnica que agregó muchas características nuevas y poderosas y mejoras, lo que indica que sus creadores evadieron el arresto y no fueron disuadidos por la represión anterior.

Nuevas campañas de phishing

Dado que varios actores de amenazas alquilan el malware, los señuelos de phishing son diversos y están diseñados específicamente para las organizaciones a las que se dirige un ciberdelincuente en particular.

Los correos electrónicos de phishing vistos por IBM se hacen pasar por entidades gubernamentales en México, Argentina y Sudáfrica, principalmente organizaciones de administración tributaria, servicios de ingresos y comisiones federales de electricidad.

Los correos electrónicos están escritos en el idioma nativo del destinatario, incorporan logotipos y formatos oficiales y contienen una llamada a la acción, como hacer clic en enlaces para ver facturas, estados de cuenta o documentos fiscales.


Cuando los destinatarios hacen clic en esos correos electrónicos, son redirigidos a una imagen de un PDF que desencadena la descarga de un archivo ZIP que contiene un ejecutable inflado (100 MB), que es el cargador Grandoreiro.

Novedades de Grandoreiro

IBM X-Force notó varias características nuevas y actualizaciones significativas en la última variante del troyano bancario Grandoreiro, lo que lo convierte en una amenaza más evasiva y efectiva.

Estos se pueden resumir en lo siguiente:

  • Algoritmo de descifrado de cadenas reelaborado y mejorado utilizando una combinación de AES CBC y decodificador personalizado.
  • Actualizaciones en el algoritmo de generación de dominios (DGA) que ahora incluye múltiples semillas para separar las comunicaciones de comando y control (C2) con las tareas del operador.
  • Nuevo mecanismo que se dirige a los clientes de Microsoft Outlook, deshabilitando las alertas de seguridad y usándolas para enviar phishing a nuevos objetivos.
  • Nuevo mecanismo de persistencia que se basa en la creación de claves de ejecución del Registro ('HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run' y 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run')
  • Expansión de las aplicaciones bancarias de orientación e inclusión de billeteras de criptomonedas.
  • Ampliación del conjunto de comandos, que ahora incluye control remoto, carga/descarga de archivos, registro de teclas y manipulación del navegador a través de comandos JavaScript.

Otra novedad notable es la capacidad de Grandoreiro para realizar un perfil detallado de las víctimas y decidir si se ejecutará o no en el dispositivo, lo que brinda a los operadores un mejor control del alcance de su objetivo.

Los analistas de IBM informan que la última versión del troyano evita la ejecución en países específicos como Rusia, Chequia, Países Bajos y Polonia, así como en máquinas con Windows 7 en los Estados Unidos donde no hay ningún antivirus activo.

Lo anterior indica claramente que, a pesar de la reciente acción de las fuerzas del orden, Grandoreiro está vivo y coleando y, desafortunadamente, parece más fuerte que nunca.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#16
Noticias Informáticas / MITRE presenta EMB3D
Mayo 14, 2024, 02:11:26 AM

MITRE Corporation ha puesto oficialmente a disposición un nuevo marco de modelado de amenazas llamado EMB3D para los fabricantes de dispositivos integrados utilizados en entornos de infraestructura crítica.

"El modelo proporciona una base de conocimiento cultivada de las amenazas cibernéticas a los dispositivos integrados, proporcionando una comprensión común de estas amenazas con los mecanismos de seguridad necesarios para mitigarlas", dijo la organización sin fines de lucro en una publicación anunciando la medida.

El 13 de diciembre de 2023 se publicó previamente una versión preliminar del modelo, que ha sido concebida en colaboración con Niyo 'Little Thunder' Pearson, Red Balloon Security y Narf Industries.

Se espera que EMB3D, al igual que el marco ATT&CK, sea un "marco vivo", con nuevas mitigaciones agregadas y actualizadas con el tiempo a medida que surjan nuevos actores, vulnerabilidades y vectores de ataque, pero con un enfoque específico en los dispositivos integrados.

El objetivo final es proporcionar a los proveedores de dispositivos una imagen unificada de las diferentes vulnerabilidades en sus tecnologías que son propensas a los ataques y los mecanismos de seguridad para mitigar esas deficiencias.

De manera análoga a cómo ATT&CK ofrece un mecanismo uniforme para rastrear y comunicar amenazas, EMB3D tiene como objetivo ofrecer una base de conocimiento central de amenazas dirigidas a dispositivos integrados.

"El modelo EMB3D proporcionará un medio para que los fabricantes de dispositivos ICS comprendan el panorama de amenazas en evolución y las posibles mitigaciones disponibles en una etapa más temprana del ciclo de diseño, lo que dará como resultado dispositivos más inherentemente seguros", señaló Pearson en ese momento.

"Esto eliminará o reducirá la necesidad de 'atornillar' la seguridad después del hecho, lo que resultará en una infraestructura más segura y costos de seguridad reducidos".

Al lanzar el marco, la idea es adoptar un enfoque seguro por diseño, lo que permite a las empresas lanzar productos que tienen un número reducido de fallas explotables listas para usar y tienen configuraciones seguras habilitadas de forma predeterminada.

La investigación que la empresa de ciberseguridad de tecnología operativa (OT) Nozomi Networks publicó el año pasado reveló que los actores de amenazas se han dirigido de manera oportunista a entornos industriales explotando vulnerabilidades, abusando de credenciales y phishing para el acceso inicial, intentos de DDoS y ejecución de troyanos.

Los adversarios, dijo la compañía, han intensificado particularmente los ataques dirigidos a las fallas descubiertas en los dispositivos OT e IoT utilizados en los sectores de alimentos y agricultura, químicos, tratamiento de agua, fabricación y energía.

"EMB3D proporciona una base de conocimiento cultivada de amenazas cibernéticas a los dispositivos, incluidas las observadas en el entorno de campo o demostradas a través de pruebas de concepto y/o investigación teórica", dijo la organización sin fines de lucro.

"Estas amenazas se asignan a las propiedades del dispositivo para ayudar a los usuarios a desarrollar y adaptar modelos de amenazas precisos para dispositivos integrados específicos. Para cada amenaza, las mitigaciones sugeridas se centran exclusivamente en los mecanismos técnicos que los proveedores de dispositivos deben implementar para protegerse contra la amenaza dada, con el objetivo de crear seguridad en el dispositivo".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#17

Un ciberdelincuente que utiliza el nombre de "salfetka" afirma estar vendiendo el código fuente de INC Ransom, una operación de ransomware como servicio (RaaS) lanzada en agosto de 2023.

INC ha apuntado anteriormente a la división estadounidense de Xerox Business Solutions (XBS), Yamaha Motor Filipinas y, más recientemente, al Servicio Nacional de Salud (NHS) de Escocia.

Simultáneamente con la supuesta venta, la operación INC Ransom está experimentando cambios que podrían sugerir una ruptura entre los miembros de su equipo principal o planes para pasar a un nuevo capítulo que implicará el uso de un nuevo cifrador.

Venta de código fuente

El actor de amenazas anunció la venta de las versiones de INC para Windows y Linux/ESXi en los foros de piratería Exploit y XSS, pidiendo 300.000 dólares y limitando el número de compradores potenciales a sólo tres.

Según la información proporcionada a BleepingComputer por los expertos en inteligencia de amenazas de KELA, que detectaron la venta, los detalles técnicos mencionados en la publicación del foro, como el uso de AES-128 en modo CTR y los algoritmos Curve25519 Donna, se alinean con el análisis público de las muestras de INC Ransom.



KELA también le dijo a BleepingComputer que "salfetka" ha estado activo en los foros de piratería desde marzo de 2024. Anteriormente, el actor de amenazas buscaba comprar acceso a la red por hasta USD 7,000 y ofreció una parte a los corredores de acceso inicial de las ganancias del ataque de ransomware.

Otro punto que agrega legitimidad a la venta es que "salfetka" incluye las URL de la página de INC Ransom antiguas y nuevas en su firma, lo que indica que están afiliados a la operación de ransomware.

Aún así, la venta podría ser una estafa, ya que el actor de amenazas ha curado cuidadosamente la cuenta "salfetka" durante los últimos meses, declarando su interés en comprar acceso a la red y estableciendo un precio alto para que la oferta parezca legítima.

Actualmente, no hay anuncios públicos en el sitio antiguo o nuevo de INC sobre la venta del código fuente del proyecto.

INC Ransom se muda a un nuevo sitio

El 1 de mayo de 2024, INC Ransom anunció en su antiguo sitio de filtraciones que se trasladaría a un nuevo "blog" de extorsión de fugas de datos y compartió una nueva dirección TOR, afirmando que el antiguo sitio se cerraría en dos o tres meses.


El antiguo sitio de INC Ransom anunciando el cambio a una nueva URL
Fuente: BleepingComputer

El nuevo sitio ya está en funcionamiento, y hay cierta superposición en las listas de víctimas con el portal anterior, y doce nuevas víctimas que no se ven en el sitio anterior.

En total, el nuevo sitio enumera 64 víctimas (12 nuevas), mientras que el antiguo tiene 91 publicaciones, por lo que aproximadamente la mitad de las víctimas pasadas de INC están desaparecidas.

"Las discrepancias entre los dos sitios pueden sugerir que una operación puede haber experimentado un cambio de liderazgo o una división en diferentes grupos", comentaron los analistas de KELA.

"Sin embargo, el hecho de que 'salfetka' haya hecho referencia a ambos sitios como sus supuestos proyectos sugiere que el actor no está relacionado con una sola parte de la operación".

"En este caso, es posible que el nuevo blog haya sido creado en un intento de obtener más ganancias de la venta".

También vale la pena señalar que el nuevo diseño de la página de extorsión de INC se asemeja visualmente al de Hunters International, lo que podría indicar una conexión con la otra operación de RaaS.


El nuevo sitio de extorsión INC RansomFuente: BleepingComputer

A diferencia de una filtración pública que permite a los analistas de seguridad descifrar el cifrado de una cepa de ransomware, las ventas de código fuente privado de cepas para las que no hay un descifrador disponible tienen el potencial de crear más problemas para las organizaciones de todo el mundo.

Estos creadores de ransomware son comprados por actores de amenazas altamente motivados que acaban de ingresar al espacio o grupos semiestablecidos que buscan mejorar su juego utilizando un cifrado más robusto y bien probado.

Esto es especialmente cierto cuando se ofrece una versión de Linux/ESXi, que generalmente es más difícil de desarrollar y más costosa de adquirir.

Cuando las bandas de ransomware cambian de marca, suelen reutilizar gran parte del código fuente de sus antiguos encriptadores, lo que permite a los investigadores vincular a las bandas más antiguas con las nuevas operaciones.

El uso de los encriptadores de otras operaciones de ransomware también puede ayudar a cambiar la marca, ya que enturbia el camino para las fuerzas del orden y los investigadores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#18

Apple ha retroportado parches de seguridad lanzados en marzo a iPhones y iPads más antiguos, arreglando un kernel de día cero de iOS etiquetado como explotado en ataques.

En los avisos de seguridad publicados hoy, Apple dijo una vez más que están al tanto de los informes de que esta vulnerabilidad "puede haber sido explotada activamente".

La falla es un problema de corrupción de memoria en el sistema operativo en tiempo real RTKit de Apple que permite a los atacantes con capacidad arbitraria de lectura y escritura del kernel eludir las protecciones de memoria del kernel. La compañía aún no ha atribuido el descubrimiento de esta vulnerabilidad de seguridad a un investigador de seguridad.

El 5 de marzo, la compañía abordó la vulnerabilidad de día cero (rastreada como CVE-2024-23296) para los modelos más nuevos de iPhone, iPad y Mac.

Hoy, Apple ha presentado las actualizaciones de seguridad de marzo para solucionar este fallo de seguridad en iOS 16.7.8, iPadOS 16.7.8 y macOS Ventura 13.6.7 con una validación de entrada mejorada.

La lista de dispositivos parcheados hoy incluye iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación.

Tres días cero explotados en ataques parcheados en 2024

Apple aún no ha revelado quién reveló el día cero o si fue descubierto internamente, y no ha proporcionado información sobre la naturaleza de los ataques que lo explotan en la naturaleza.

Aunque Apple no ha publicado detalles sobre la explotación CVE-2024-23296, los días cero de iOS se utilizan comúnmente en ataques de software espía patrocinados por el estado dirigidos a personas de alto riesgo, incluidos periodistas, disidentes y políticos de la oposición.

Si bien es probable que este día cero solo se haya utilizado en ataques dirigidos, se recomienda encarecidamente instalar las actualizaciones de seguridad de hoy lo antes posible para bloquear posibles intentos de ataque si está utilizando un modelo de iPhone o iPad más antiguo.

Desde principios de año, Apple ha fijado tres días cero: dos en marzo (CVE-2024-23225 y CVE-2024-23296) y uno en enero (CVE-2024-23222).

En enero, Apple también presentó parches para dos WebKit de día cero (CVE-2023-42916 y CVE-2023-42917), que se parchearon en noviembre para dispositivos más nuevos.

Con la actualización de iOS 17.5 de hoy, Apple también ha agregado soporte para alertas de seguimiento no deseadas (Google lanzó la misma capacidad en dispositivos Android 6.0+).

Estas alertas advertirán a los usuarios si se están utilizando dispositivos de rastreo Bluetooth (AirTag, accesorio Find My u otro rastreador Bluetooth compatible con las especificaciones de la industria) para rastrear su ubicación.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#19

Microsoft tiene previsto restringir el acceso a más de cincuenta productos en la nube para las organizaciones rusas para finales de marzo, como parte de las sanciones impuestas contra el país por los reguladores de la UE en diciembre pasado.

Inicialmente, la suspensión estaba programada para el 20 de marzo de 2024, pero se pospuso para finales de mes con el fin de brindar a las entidades afectadas más tiempo para encontrar soluciones alternativas.

La primera noticia sobre estas suspensiones próximas fue reportada por el Grupo de Empresas Softline, uno de los principales proveedores de servicios de tecnología de la información que operan en Rusia.

"El Grupo de Empresas Softline confirma haber recibido información oficial de Microsoft y Amazon sobre la suspensión del acceso a los productos en la nube en Rusia a partir del 20 de marzo de 2024", se cita en la publicación traducida automáticamente de Softline.

"En este contexto, el Grupo de Empresas Softline advierte sobre posibles limitaciones funcionales en la operación de productos y servicios en la nube de Microsoft, Amazon y Google".

Softline compartió la carta de Microsoft en Telegram, que señala que las suspensiones se deben al Reglamento 2023/2873 del Consejo de la UE, promulgado en diciembre pasado.

Recientemente, la Unión Europea ha impuesto nuevas sanciones económicas que, a partir del 20 de marzo de 2024, prohíben a Microsoft suministrar cierto software de gestión o diseño, incluidas las soluciones basadas en la nube, a entidades constituidas en Rusia.

Microsoft ha identificado que una o varias de sus suscripciones o paquetes de servicios están sujetos a estas prohibiciones. La empresa se compromete a cumplir con las leyes y regulaciones comerciales de la UE, así como con todas las demás jurisdicciones en las que opera.

En cumplimiento de estos mandatos gubernamentales, Microsoft debe finalizar estas suscripciones antes del 20 de marzo de 2024, a menos que haya futuras directrices de la UE que modifiquen esta determinación o una autorización general o específica de los reguladores de la UE.

Después del 20 de marzo de 2024, no será posible acceder a esos productos o servicios de Microsoft, ni a ningún dato almacenado en ellos,

Se informa que, luego de dialogar con Softline, Microsoft ha acordado retrasar la suspensión de los servicios hasta finales de marzo.

La carta de Microsoft no especificó qué servicios serían retirados, pero TASS ha compilado una lista de más de 50 productos que no estarán disponibles a fines de marzo.

Algunos de los productos más importantes a los que se les invalidarán las claves de licencia son:

  • Microsoft Azure: plataforma en la nube para servicios informáticos, analíticos, de almacenamiento y de redes.
  • Dynamics 365: Aplicaciones ERP y CRM para la gestión de procesos de negocio y relaciones con los clientes.
  • Microsoft Teams: Plataforma de colaboración y comunicación para lugares de trabajo modernos.
  • Power BI: Herramienta de analítica empresarial para la visualización de datos y la toma de decisiones informadas.
  • SQL Server: Un sistema de administración de bases de datos para el almacenamiento, la administración y el análisis de datos seguros y confiables.
  • Visual Studio: Entorno de desarrollo integrado (IDE) para el desarrollo de software en varios lenguajes.
  • Power Automate: Herramienta de automatización del flujo de trabajo en varias aplicaciones y servicios para aumentar la eficiencia.
  • SharePoint: Plataforma de gestión documental y colaboración para procesos centrados en proyectos y documentos.
  • Intune: solución de administración de puntos de conexión para administrar dispositivos móviles y aplicaciones de forma segura.
  • Dynamics AX/NAV: Soluciones ERP para la gestión financiera, de RRHH y de operaciones en medianas y grandes empresas.
  • Microsoft 365: Suite que incluye aplicaciones de Office, servicios en la nube y seguridad para una productividad y colaboración integrales.
  • OneDrive: Servicio de almacenamiento en la nube para guardar archivos y fotos, facilitando el uso compartido y el acceso desde cualquier lugar.
  • Excel: Aplicación de hoja de cálculo para el análisis de datos, la visualización y las capacidades de cálculo integrales.

Además de lo mencionado, Microsoft bloqueará el acceso al software relacionado con LinkedIn y a los kits de desarrollo de Media Player.

Se ha explicado que la invalidación de las licencias afectará a las empresas y organizaciones rusas dedicadas a la arquitectura, diseño, construcción, fabricación, medios de comunicación, educación, entretenimiento, modelado de información de construcción (BIM), diseño asistido por ordenador (CAD) y fabricación asistida por ordenador (CAM).

Sin embargo, no se han anunciado planes para restringir el acceso a los particulares, lo que sugiere que los productos mencionados seguirán disponibles para los usuarios normales.

Aunque este cambio no fue del todo sorpresivo dadas las circunstancias actuales en Ucrania, muchas entidades rusas anteriormente optaron por adquirir suscripciones a productos de Microsoft utilizando cuentas extranjeras u otros métodos.

Hasta el momento, Microsoft no ha respondido a múltiples correos electrónicos solicitando información sobre las suspensiones.

Al parecer, se espera un destino similar para los servicios en la nube de Amazon, Google y Oracle, que están incluidos en el mismo conjunto de sanciones (2023/2873), según usuarios rusos que compartieron un correo electrónico de Amazon Web Services en Telegram.


Se espera que esta reciente medida impulse a los consumidores y empresas rusas hacia la utilización de alternativas desarrolladas localmente, sustituyendo así a los productos fabricados en Occidente.

Este cambio está en línea con los esfuerzos del gobierno ruso para fomentar el uso de soluciones internas mediante diversas estrategias.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#20

Santiago Pedraz, magistrado de la Audiencia Nacional, ha emitido una orden de bloqueo provisional de Telegram en España. Según informes de Telecinco, esta medida temporal responde a una demanda presentada por Mediaset España (la empresa matriz de dicho canal de televisión), EGEDA, A3 Media y Movistar Plus, alegando la presunta difusión de contenido sin autorización en la plataforma.

Se indica que la suspensión del servicio de mensajería debe ser llevada a cabo por las compañías telefónicas que operan en el país. Hasta el momento de redactar este artículo, sin embargo, Telegram sigue siendo accesible y funcional. Se informa que el juez tomó esta medida cautelar luego de no recibir cierta información solicitada a la empresa responsable de la aplicación.

Telegram podría ser bloqueado en las próximas horas

Según informantes familiarizados con el asunto consultados por Xataka, la Audiencia Nacional está enviando la orden judicial a los proveedores de servicios para que ejecuten la medida en un plazo máximo de tres horas desde su notificación. Por lo tanto, es probable que los proveedores aún no hayan recibido la orden judicial, lo que explica por qué Telegram sigue funcionando.

No se dispone de información sobre la duración prevista del bloqueo, aunque se indica desde la cadena de televisión mencionada que el juez Pedraz "requiere más tiempo" para investigar el asunto. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, citando fuentes jurídicas, confirma esta información y afirma que el bloqueo ocurrirá "en las próximas horas y no más tarde de dos días".

Telegram es una de las aplicaciones de mensajería instantánea más utilizadas en España. Según datos de Statista, el 39,6% de la población española utiliza la aplicación de la empresa liderada por Pavel Durov para comunicarse. WhatsApp, propiedad de la multinacional estadounidense Meta, es la aplicación de mensajería más popular en España, con un 95,5% de uso entre los españoles.

A pesar de que Pavel Durov nació en la década de 1980 en lo que antes era la URSS y ahora es San Petersburgo, afirma haber dejado Rusia en 2014. Su empresa tampoco opera desde ese país. Según lo indicado en su página web, Telegram FZ LLC cuenta con servidores ubicados en varias partes del mundo, pero tiene su sede en Dubái, Emiratos Árabes Unidos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta