Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - Dragora

#1

Microsoft tiene previsto restringir el acceso a más de cincuenta productos en la nube para las organizaciones rusas para finales de marzo, como parte de las sanciones impuestas contra el país por los reguladores de la UE en diciembre pasado.

Inicialmente, la suspensión estaba programada para el 20 de marzo de 2024, pero se pospuso para finales de mes con el fin de brindar a las entidades afectadas más tiempo para encontrar soluciones alternativas.

La primera noticia sobre estas suspensiones próximas fue reportada por el Grupo de Empresas Softline, uno de los principales proveedores de servicios de tecnología de la información que operan en Rusia.

"El Grupo de Empresas Softline confirma haber recibido información oficial de Microsoft y Amazon sobre la suspensión del acceso a los productos en la nube en Rusia a partir del 20 de marzo de 2024", se cita en la publicación traducida automáticamente de Softline.

"En este contexto, el Grupo de Empresas Softline advierte sobre posibles limitaciones funcionales en la operación de productos y servicios en la nube de Microsoft, Amazon y Google".

Softline compartió la carta de Microsoft en Telegram, que señala que las suspensiones se deben al Reglamento 2023/2873 del Consejo de la UE, promulgado en diciembre pasado.

Recientemente, la Unión Europea ha impuesto nuevas sanciones económicas que, a partir del 20 de marzo de 2024, prohíben a Microsoft suministrar cierto software de gestión o diseño, incluidas las soluciones basadas en la nube, a entidades constituidas en Rusia.

Microsoft ha identificado que una o varias de sus suscripciones o paquetes de servicios están sujetos a estas prohibiciones. La empresa se compromete a cumplir con las leyes y regulaciones comerciales de la UE, así como con todas las demás jurisdicciones en las que opera.

En cumplimiento de estos mandatos gubernamentales, Microsoft debe finalizar estas suscripciones antes del 20 de marzo de 2024, a menos que haya futuras directrices de la UE que modifiquen esta determinación o una autorización general o específica de los reguladores de la UE.

Después del 20 de marzo de 2024, no será posible acceder a esos productos o servicios de Microsoft, ni a ningún dato almacenado en ellos,

Se informa que, luego de dialogar con Softline, Microsoft ha acordado retrasar la suspensión de los servicios hasta finales de marzo.

La carta de Microsoft no especificó qué servicios serían retirados, pero TASS ha compilado una lista de más de 50 productos que no estarán disponibles a fines de marzo.

Algunos de los productos más importantes a los que se les invalidarán las claves de licencia son:

  • Microsoft Azure: plataforma en la nube para servicios informáticos, analíticos, de almacenamiento y de redes.
  • Dynamics 365: Aplicaciones ERP y CRM para la gestión de procesos de negocio y relaciones con los clientes.
  • Microsoft Teams: Plataforma de colaboración y comunicación para lugares de trabajo modernos.
  • Power BI: Herramienta de analítica empresarial para la visualización de datos y la toma de decisiones informadas.
  • SQL Server: Un sistema de administración de bases de datos para el almacenamiento, la administración y el análisis de datos seguros y confiables.
  • Visual Studio: Entorno de desarrollo integrado (IDE) para el desarrollo de software en varios lenguajes.
  • Power Automate: Herramienta de automatización del flujo de trabajo en varias aplicaciones y servicios para aumentar la eficiencia.
  • SharePoint: Plataforma de gestión documental y colaboración para procesos centrados en proyectos y documentos.
  • Intune: solución de administración de puntos de conexión para administrar dispositivos móviles y aplicaciones de forma segura.
  • Dynamics AX/NAV: Soluciones ERP para la gestión financiera, de RRHH y de operaciones en medianas y grandes empresas.
  • Microsoft 365: Suite que incluye aplicaciones de Office, servicios en la nube y seguridad para una productividad y colaboración integrales.
  • OneDrive: Servicio de almacenamiento en la nube para guardar archivos y fotos, facilitando el uso compartido y el acceso desde cualquier lugar.
  • Excel: Aplicación de hoja de cálculo para el análisis de datos, la visualización y las capacidades de cálculo integrales.

Además de lo mencionado, Microsoft bloqueará el acceso al software relacionado con LinkedIn y a los kits de desarrollo de Media Player.

Se ha explicado que la invalidación de las licencias afectará a las empresas y organizaciones rusas dedicadas a la arquitectura, diseño, construcción, fabricación, medios de comunicación, educación, entretenimiento, modelado de información de construcción (BIM), diseño asistido por ordenador (CAD) y fabricación asistida por ordenador (CAM).

Sin embargo, no se han anunciado planes para restringir el acceso a los particulares, lo que sugiere que los productos mencionados seguirán disponibles para los usuarios normales.

Aunque este cambio no fue del todo sorpresivo dadas las circunstancias actuales en Ucrania, muchas entidades rusas anteriormente optaron por adquirir suscripciones a productos de Microsoft utilizando cuentas extranjeras u otros métodos.

Hasta el momento, Microsoft no ha respondido a múltiples correos electrónicos solicitando información sobre las suspensiones.

Al parecer, se espera un destino similar para los servicios en la nube de Amazon, Google y Oracle, que están incluidos en el mismo conjunto de sanciones (2023/2873), según usuarios rusos que compartieron un correo electrónico de Amazon Web Services en Telegram.


Se espera que esta reciente medida impulse a los consumidores y empresas rusas hacia la utilización de alternativas desarrolladas localmente, sustituyendo así a los productos fabricados en Occidente.

Este cambio está en línea con los esfuerzos del gobierno ruso para fomentar el uso de soluciones internas mediante diversas estrategias.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#2

Santiago Pedraz, magistrado de la Audiencia Nacional, ha emitido una orden de bloqueo provisional de Telegram en España. Según informes de Telecinco, esta medida temporal responde a una demanda presentada por Mediaset España (la empresa matriz de dicho canal de televisión), EGEDA, A3 Media y Movistar Plus, alegando la presunta difusión de contenido sin autorización en la plataforma.

Se indica que la suspensión del servicio de mensajería debe ser llevada a cabo por las compañías telefónicas que operan en el país. Hasta el momento de redactar este artículo, sin embargo, Telegram sigue siendo accesible y funcional. Se informa que el juez tomó esta medida cautelar luego de no recibir cierta información solicitada a la empresa responsable de la aplicación.

Telegram podría ser bloqueado en las próximas horas

Según informantes familiarizados con el asunto consultados por Xataka, la Audiencia Nacional está enviando la orden judicial a los proveedores de servicios para que ejecuten la medida en un plazo máximo de tres horas desde su notificación. Por lo tanto, es probable que los proveedores aún no hayan recibido la orden judicial, lo que explica por qué Telegram sigue funcionando.

No se dispone de información sobre la duración prevista del bloqueo, aunque se indica desde la cadena de televisión mencionada que el juez Pedraz "requiere más tiempo" para investigar el asunto. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, citando fuentes jurídicas, confirma esta información y afirma que el bloqueo ocurrirá "en las próximas horas y no más tarde de dos días".

Telegram es una de las aplicaciones de mensajería instantánea más utilizadas en España. Según datos de Statista, el 39,6% de la población española utiliza la aplicación de la empresa liderada por Pavel Durov para comunicarse. WhatsApp, propiedad de la multinacional estadounidense Meta, es la aplicación de mensajería más popular en España, con un 95,5% de uso entre los españoles.

A pesar de que Pavel Durov nació en la década de 1980 en lo que antes era la URSS y ahora es San Petersburgo, afirma haber dejado Rusia en 2014. Su empresa tampoco opera desde ese país. Según lo indicado en su página web, Telegram FZ LLC cuenta con servidores ubicados en varias partes del mundo, pero tiene su sede en Dubái, Emiratos Árabes Unidos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#3

Podman Desktop 1.8 representa la última versión de esta herramienta gráfica diseñada para simplificar la gestión de contenedores y trabajar con Kubernetes. Esta actualización se centra en mejorar el soporte para Kubernetes y en ofrecer una experiencia más fluida para los desarrolladores.

Una de las características destacadas de Podman Desktop 1.8 es su explorador de Kubernetes, que ahora ofrece una amplia funcionalidad para trabajar con Despliegues, Servicios, Ingresos y Rutas, además del soporte existente para pods. Proporciona información en tiempo real sobre el estado de los recursos en el clúster y permite crear o actualizar recursos directamente desde la interfaz con la opción "Apply YAML".

Además, el explorador de Kubernetes ofrece páginas de Resumen, Inspección y Kube, que permiten al usuario realizar ediciones y aplicar cambios de manera eficiente.

Para simplificar la configuración del entorno local, Podman Desktop 1.8 introduce un nuevo flujo basado en un asistente que guía a los desarrolladores a través de la configuración de herramientas como Compose, kubectl CLI y Podman.

Otra novedad es el Centro de Aprendizaje incluido en el Panel, que proporciona recursos educativos para ayudar a los desarrolladores a familiarizarse con distintas tecnologías y temas relacionados con los contenedores. Este centro ofrece guías accesibles y fáciles de seguir para utilizar Podman Desktop con algunas de las tecnologías más populares del sector.


Podman Desktop está diseñado con la intención de ser ampliable mediante extensiones, lo que implica la disponibilidad de una API específica para este propósito. En la versión 1.8, se han realizado mejoras significativas en esta API, especialmente en lo que respecta a las capacidades que pueden ser respaldadas por las extensiones y su integración con la aplicación. Entre las nuevas funcionalidades introducidas se incluye la capacidad de crear contenedores dentro de un pod, la apertura de diálogos para operaciones de apertura y guardado, y la posibilidad de utilizar iconos personalizados para acciones contribuidas.

Además de estas mejoras destacadas, la versión 1.8 de Podman Desktop presenta una serie de otras novedades, como la opción de habilitar una máquina Podman en sistemas Linux, mejoras en las alertas de actualización, la compatibilidad con rutas para OpenShift y el uso de HTTPS al implementarse en un clúster de Kubernetes. En las versiones para Windows y macOS de Podman Desktop, se incluye Podman 4.9.3, mientras que en Linux, el motor de contenedores debe ser instalado por separado utilizando el gestor de paquetes tradicional de la distribución utilizada.

Para obtener más información sobre Podman Desktop 1.8, los detalles completos están disponibles en el anuncio oficial y en la entrada correspondiente en el blog de Red Hat. La aplicación puede descargarse desde la sección de descargas del sitio web oficial, disponible para Linux, Windows y macOS. Para sistemas Linux, existe una compilación oficial en formato Flatpak y un archivo tarball en formato tar.gz, aunque la opción más conveniente suele ser buscarla en Flathub, un repositorio que suele estar configurado automáticamente en la mayoría de las instalaciones de Linux que utilizan Flatpak.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#4

Red Hat ha comunicado a través de las listas de correo del kernel Linux el lanzamiento de Nova, un nuevo controlador diseñado específicamente para las tarjetas gráficas de NVIDIA y con la meta de reemplazar a Nouveau.

Dado que Nova acaba de ser anunciado, todavía queda un extenso trabajo por realizar antes de que esté listo para su implementación, y esto depende de que Red Hat logre concretar el proyecto. La intención es desarrollarlo en Rust, con la condición de que funcione exclusivamente con el firmware GSP, lo que permitiría reducir la complejidad que caracteriza a Nouveau.

Danilo Krummich, quien anunció la creación de Nova, ha destacado que la arquitectura histórica de Nouveau, particularmente en torno a nvif/nvkm, es compleja e inflexible, y requiere una revisión significativa para resolver ciertos problemas técnicos. Además, al contar con un controlador que solo opera sobre GSP, no sería necesario mantener la compatibilidad con versiones anteriores.

La elección de Rust como lenguaje de programación se basa en su reputación por la seguridad a nivel de memoria, y también busca aumentar su prominencia dentro de la comunidad de Linux, lo que se espera fomente una mejor mantenibilidad y una mayor participación en el desarrollo del proyecto.

Sin embargo, los desarrolladores de Nova se han enfrentado al desafío de la falta de abstracciones del binding de C para la infraestructura integral del kernel Linux. Por el momento, están utilizando árboles downstream que cuentan con muchas de estas abstracciones, aunque se anticipan ajustes necesarios debido al estado inicial del desarrollo de Nova.

En cuanto a sus aspiraciones de suceder a Nouveau, Nova se centrará en las generaciones más recientes de GPU NVIDIA, ya que se apoya en el firmware GSP introducido en la generación Turing de gráficas de NVIDIA. Esto implica que Nova y Nouveau coexistirán, con Nouveau enfocado en modelos más antiguos y Nova en los más recientes.

En resumen, Nova se encuentra en una etapa inicial y representa más una promesa que una realidad establecida. Aunque puede mejorar el soporte para las generaciones de gráficas más recientes de NVIDIA, se espera que inicialmente ofrezca soporte principalmente para escritorio y, en el mejor de los casos, algunos videojuegos. La compatibilidad con NVK aún está por determinarse y es demasiado pronto para hacer afirmaciones definitivas al respecto.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#5

GitHub ha anunciado el lanzamiento de una función llamada corrección automática de escaneo de código en versión beta pública, disponible para todos los clientes de Advanced Security. Esta función proporciona recomendaciones específicas para evitar la introducción de nuevos problemas de seguridad.

Impulsada por GitHub Copilot y CodeQL, la corrección automática de escaneo de código abarca más del 90% de los tipos de alertas en JavaScript, Typescript, Java y Python. Según Pierre Tempel y Eric Tooley de GitHub, ofrece sugerencias de código que han demostrado remediar más de dos tercios de las vulnerabilidades encontradas con poca o ninguna edición.

Esta capacidad, presentada por primera vez en noviembre de 2023, aprovecha una combinación de CodeQL, la API de Copilot y OpenAI GPT-4 para generar sugerencias de código. GitHub, una subsidiaria de Microsoft, también ha anunciado planes para agregar soporte para más lenguajes de programación, como C# y Go, en el futuro.

La función de corrección automática del escaneo de código está diseñada para ayudar a los desarrolladores a abordar vulnerabilidades mientras codifican, generando posibles correcciones y proporcionando explicaciones en lenguaje natural cuando se detecta un problema en un lenguaje compatible.

Estas recomendaciones pueden extenderse más allá del archivo actual e incluir cambios en varios otros archivos, así como las dependencias necesarias para corregir el problema.

"La función de corrección automática del escaneo de código reduce la dificultad para los desarrolladores al proporcionar información sobre las mejores prácticas junto con detalles del código base y alertas, sugiriendo así posibles soluciones", afirmó la compañía.

"En lugar de iniciar con una investigación sobre la vulnerabilidad, los desarrolladores comienzan con una sugerencia de código que presenta una posible solución para su código base".

Sin embargo, se deja en manos del desarrollador evaluar las recomendaciones y determinar si constituyen la solución adecuada, asegurándose de que no se aparten del comportamiento previsto.


GitHub también resaltó las restricciones presentes en las sugerencias de corrección automática de código, por lo tanto, es crucial que los desarrolladores revisen minuciosamente los cambios y las dependencias antes de aceptarlos.

  • Proponer soluciones que no sean cambios de código sintácticamente correctos.
  • Proponer correcciones que, aunque sean sintácticamente correctas, se sugieran en la ubicación incorrecta.
  • Proponer soluciones que sean sintácticamente válidas pero que alteren la semántica del programa.
  • Presentar soluciones que no aborden la causa raíz del problema o que introduzcan nuevas vulnerabilidades.
  • Ofrecer soluciones que solo resuelvan parcialmente la falla subyacente.
  • Recomendar dependencias no admitidas o consideradas inseguras.
  • Sugerir dependencias arbitrarias, lo que podría dar lugar a posibles ataques a la cadena de suministro.

La empresa señaló que el sistema carece de información completa sobre las dependencias publicadas en el ecosistema más amplio. Esto podría resultar en sugerencias que añadan una nueva dependencia de software malicioso publicada por atacantes bajo un nombre de dependencia estadísticamente probable

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#6

"Atlassian ha emitido parches para más de veinticuatro vulnerabilidades de seguridad, entre las cuales se incluye un error crítico que afecta a Bamboo Data Center and Server y que podría ser explotado sin necesidad de interacción por parte del usuario.

Identificada como CVE-2024-1597, esta vulnerabilidad posee una puntuación CVSS de 10,0, indicando su máxima gravedad.

Se describe como una vulnerabilidad de inyección SQL, con origen en una dependencia llamada org.postgresql:postgresql. A pesar de su criticidad, la compañía ha señalado que presenta un riesgo evaluado como más bajo."

Atlassian comunicó que esta vulnerabilidad asociada a la dependencia org.postgresql:postgresql podría posibilitar que un atacante no autenticado exponga activos en el entorno, susceptibles de ser explotados, lo que ocasionaría un alto impacto en la confidencialidad, integridad y disponibilidad de los sistemas afectados, sin requerir interacción por parte del usuario.

Según una descripción de la falla en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, "pgjdbc, el controlador JDBC de PostgreSQL, permite al atacante inyectar SQL si usa PreferQueryMode=SIMPLE". Las versiones del controlador anteriores a las siguientes se ven afectadas:

  • 42.7.2
  • 42.6.1
  • 42.5.5
  • 42.4.4
  • 42.3.9, y
  • 42.2.28 (también corregido en 42.2.28.jre7)

Los mantenedores informaron en un comunicado el mes pasado que la inyección SQL se vuelve factible cuando se emplea la propiedad de conexión preferQueryMode=simple, que no es la predeterminada, junto con el código de la aplicación que contiene una vulnerabilidad SQL que niega un valor de parámetro.

Aclararon que no hay ninguna vulnerabilidad en el controlador cuando se utiliza el modo de consulta predeterminado. Por lo tanto, los usuarios que no modifican el modo de consulta no se ven afectados."

Se informa que la vulnerabilidad en Atlassian ha sido introducida en las siguientes versiones de Bamboo Data Center y Server:

  • 8.2.1
  • 9.0.0
  • 9.1.0
  • 9.2.1
  • 9.3.0
  • 9.4.0, y
  • 9.5.0

La empresa también destacó que Bamboo y otros productos de Atlassian Data Center no se ven impactados por CVE-2024-1597, ya que no utilizan PreferQueryMode=SIMPLE en su configuración de conexión de base de datos SQL.

El investigador de seguridad de SonarSource, Paul Gerste, es acreditado por descubrir y notificar la falla. Se recomienda a los usuarios actualizar sus instancias a la versión más reciente como medida de protección contra posibles amenazas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#7

Nissan Oceanía advierte sobre una filtración de datos que ha afectado a 100,000 personas después de sufrir un ciberataque en diciembre de 2023, el cual fue reivindicado por la operación de ransomware Akira.

A principios de diciembre, la división regional del fabricante japonés de automóviles que abarca la distribución, el marketing, las ventas y los servicios en Australia y Nueva Zelanda anunció que estaba investigando un ciberataque a sus sistemas. Aunque en ese momento no se confirmó una violación de datos, Nissan sugirió a sus clientes mantener vigilancia sobre sus cuentas y estar atentos a posibles intentos de estafa.

Dos semanas más tarde, la banda de ransomware Akira se atribuyó el ataque y afirmó haber robado 100 GB de datos, incluyendo documentos con información personal de empleados, acuerdos de confidencialidad, datos de proyectos e información sobre socios y clientes.

La última actualización de Nissan confirma algunas de las afirmaciones de Akira, admitiendo que los piratas informáticos robaron datos de algunos empleados actuales y anteriores, así como de clientes de los concesionarios Nissan, Mitsubishi, Renault, Skyline, Infiniti, LDV y RAM en la región.

"Nissan espera notificar formalmente a aproximadamente 100,000 personas sobre la violación cibernética en las próximas semanas", se lee en el comunicado actualizado de Nissan. "Este número podría reducirse a medida que se validen los datos de contacto y se eliminen los nombres duplicados de la lista".

Hasta el 10% de estas personas tenían su identificación gubernamental comprometida, incluyendo tarjetas de Medicare, licencias de conducir, pasaportes y números de archivo de impuestos. "El tipo de información involucrada será diferente para cada persona. Las estimaciones actuales son que hasta el 10% de las personas han visto comprometida alguna forma de identificación gubernamental", continúa el comunicado de Nissan. "El conjunto de datos incluye aproximadamente 4,000 tarjetas de Medicare, 7,500 licencias de conducir, 220 pasaportes y 1,300 números de archivos de impuestos".

El 90% restante tenía otra información personal afectada, como documentos relacionados con préstamos, detalles de empleo y fechas de nacimiento. Nissan se ha comprometido a notificar individualmente a los clientes afectados para informarles exactamente qué información fue expuesta, qué acciones pueden tomar y qué formas de soporte están disponibles.

Lamentablemente, Akira ya ha filtrado los datos robados a través de su página de extorsión en la web oscura.


Para brindar apoyo a los clientes afectados, Nissan ofrece acceso gratuito a IDCARE y servicios gratuitos de monitoreo de crédito a través de Equifax en Australia y Centrix en Nueva Zelanda. Además, proporciona reembolso por el reemplazo de identificaciones gubernamentales comprometidas.

El fabricante de automóviles también aconseja a los clientes que estén atentos a cualquier actividad sospechosa en sus cuentas y que la informen a las autoridades pertinentes. Se recomienda habilitar la autenticación multifactor siempre que sea posible y actualizar las contraseñas con regularidad.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#8

Microsoft está decidida a promover sus productos incluso si eso significa incomodar a los usuarios que eligen otras alternativas. Esto ha quedado evidenciado con los mensajes a pantalla completa en Windows 10 instando a la actualización a Windows 11, y ahora con la aparición de anuncios emergentes en Chrome, animando a cambiar al motor de búsqueda Bing.

Varios usuarios de Google Chrome han reportado encontrarse con avisos considerables en la esquina inferior derecha mientras navegaban. A primera vista, estos mensajes podrían ser confundidos con malware, pero al leerlos se descubre que son invitaciones para probar Bing.

Con estas acciones, Microsoft parece obsesionada con promocionar todos sus productos, incluso si esto implica incomodar a quienes prefieren otras opciones. Según informa Windows Latest, al contactar a Microsoft por correo electrónico, la empresa explicó que estos anuncios ofrecen la posibilidad de configurar Bing como el buscador principal en Chrome, destacando la tecnología de inteligencia artificial (IA) desarrollada en colaboración con OpenAI.

Si se hace clic en "Sí" en el aviso emergente, se instalará automáticamente una extensión que cambiará la configuración para realizar todas las búsquedas con Bing. Este proceso involucra dos avisos para evitar las medidas de seguridad de Chrome, y se realiza a través de archivos almacenados localmente y firmados por Microsoft.


Esta es una notificación única que brinda a las personas la opción de configurar Bing como su motor de búsqueda predeterminado en Chrome. Para aquellos que eligen configurar Bing como su motor de búsqueda predeterminado en Chrome, cuando inician sesión con su MSA también obtienen más turnos de chat en Copilot y el historial de chat.


Investigaciones posteriores revelaron que estos cambios no provienen de una actualización, sino que se integran en archivos como BCILauncher.EXE o BingChatInstaller.EXE, agregados anteriormente y ubicados en la ruta C:\windows\temp\mubstemp. Aunque Microsoft asegura que el anuncio no volverá a aparecer si se selecciona "No, gracias", esto está sujeto a comprobación.

En resumen, Microsoft, a pesar de sus esfuerzos por mejorar Bing y su navegador, no ha logrado igualar la cuota de mercado de Google Chrome. Estas tácticas podrían generar molestia entre los usuarios, en lugar de convencerlos de utilizar las opciones de la empresa.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#9

A continuación presentamos las novedades de la última versión del gestor de contraseñas KeePassXC, que llega con cambios significativos. Aunque sean pocas, solo tres, una en particular merece atención: el soporte para Passkey.

KeePassXC es uno de los gestores de contraseñas más destacados en la actualidad, a pesar de no seguir el modelo de software como servicio. Es una aplicación local que ofrece una amplia gama de funciones, adaptándose a las necesidades de sus usuarios.

La versión 2.7.7 de KeePassXC trae consigo algunas mejoras importantes junto con las correcciones habituales. Destaca el soporte para Passkey, una característica crucial en el ámbito de la autenticación que está siendo adoptada ampliamente en la industria.

La autenticación con Passkey, también conocida como autenticación de contraseña de un solo uso (OTP), proporciona una capa adicional de seguridad al generar contraseñas temporales válidas únicamente para una sesión de inicio de sesión o transacción específica.

Por otro lado, KeePassXC 2.7.7 ha mejorado el asistente de importación para trabajar con las últimas versiones de bases de datos de 1Password y Bitwarden, así como para gestionar de manera más eficiente los archivos CSV utilizados para exportar contraseñas. Además, se ha simplificado la interfaz de desbloqueo de la aplicación, que ahora puede detectar automáticamente la presencia de llaves Yubikey u OnlyKey conectadas.

Estas actualizaciones son parte del compromiso de KeePassXC con la mejora continua y la adaptación a las necesidades cambiantes de los usuarios. Para descargar la última versión de KeePassXC, visita el siguiente enlace y elige la opción que más te convenga.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#10

Hace aproximadamente un año, Elon Musk prometió liberar el algoritmo de Twitter "en una semana", pero tomó más tiempo del esperado, y no lo hizo de la manera más efectiva. Esta situación se asemeja ahora con Grok, el chatbot basado en inteligencia artificial de X (Twitter), que busca rivalizar con opciones más populares como ChatGPT y Gemini.

El multimillonario sudafricano, cofundador de OpenAI, la desarrolladora de ChatGPT, ha demandado a esta última por "incumplimiento de acuerdo fundacional", acusándola de priorizar el beneficio económico sobre los principios del proyecto.

Musk ha expresado su apoyo hacia Grok, llamándola la IA "antiwoke". Este es el primer proyecto de xAI, la nueva empresa de inteligencia artificial de Musk. Aunque Grok ha estado disponible para el público desde hace tiempo, su adopción ha sido limitada debido a que forma parte de las características exclusivas del plan Premium+ de X.

Recientemente, Musk anunció en un tuit fechado el pasado lunes 11 de marzo que @xAI abrirá el código fuente de Grok. El tiempo que llevará esta acción y su impacto aún son inciertos, pero es crucial para el progreso de la IA. Sin embargo, es importante destacar que la apertura del código no garantiza su actualización ni su implementación efectiva, como ocurrió con el algoritmo de Twitter.

A pesar de ello, Musk merece reconocimiento por esta iniciativa, que supera lo que han hecho otros actores en el ámbito tecnológico, incluyendo a la competencia directa de X y xAI, como OpenAI y Microsoft. Sin embargo, la verdadera independencia, tanto ideológica como técnica, parece ser un desafío aún pendiente en este contexto.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#11


La disputa contra TikTok se intensifica nuevamente en Estados Unidos debido a las preocupaciones sobre la gestión de datos por parte de ByteDance, una empresa china. La Cámara de Representantes ha aprobado un proyecto de ley destinado a prohibir el uso de TikTok en todo el país. Con la aprobación de Joe Biden, la propuesta será debatida en el Senado de Estados Unidos, con la posibilidad de que se implemente un bloqueo dentro de aproximadamente seis meses después de la prohibición.

Hace unos años, TikTok y el Gobierno de Estados Unidos se vieron envueltos en un conflicto destacado, con Trump intentando bloquear la aplicación en todo el país y surgieron serios rumores sobre la posible adquisición por parte de una empresa estadounidense. A pesar de que ByteDance nunca ha sido bien vista por la política del país, parecía que la aplicación continuaría siendo descargada y utilizada sin problemas en los millones de dispositivos móviles en Estados Unidos. Sin embargo, esto resultó ser un error.

Así como en China prohíben las aplicaciones de Estados Unidos, los estadounidenses buscan hacer lo mismo.

El Gobierno chino ha prohibido la mayoría de las aplicaciones y redes sociales desarrolladas por empresas estadounidenses en todo su territorio, incluyendo servicios como Google y Facebook. Esta prohibición llevó a China a replicar todos estos servicios y herramientas occidentales adaptándolos a sus propias necesidades. Por ejemplo, Weibo surgió como la versión china de Twitter, mientras que Baidu se convirtió en el equivalente de Google, entre otros ejemplos. Además, las empresas chinas incluso llegaron a adquirir aplicaciones populares en Occidente, como ByteDance comprando No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para crear el omnipresente TikTok.

Debido a que TikTok es una de las plataformas de redes sociales más importantes y populares a nivel mundial, y dado que su gestión de datos personales plantea una serie de interrogantes, varios gobiernos occidentales han estado considerando bloquear la aplicación en sus respectivos territorios durante algún tiempo. Entre estos países, Estados Unidos ha avanzado más en la idea de prohibirla, incluso intentando separar la empresa mediante una división exclusiva para el país, administrada por una compañía estadounidense. Esta es precisamente la medida que están tratando de implementar nuevamente.

Bajo una propuesta conocida como "Ley de Protección de los Estadounidenses contra las Aplicaciones Controladas por Adversarios Extranjeros", en la que solo TikTok estaba específicamente mencionada, y que fue aprobada por 352 votos a favor de los 435 representantes en la Cámara baja, ByteDance enfrenta la posibilidad de un bloqueo total en Estados Unidos si el Senado ratifica la ley. Aunque algunos congresistas han expresado dudas sobre el proyecto, aún existe la posibilidad de su aprobación.

En caso de que el Senado apruebe la ley, TikTok dispondría de seis meses para buscar un comprador estadounidense que se encargue de gestionar la red social en el país. Si no se llega a un acuerdo en ese período, los ciudadanos de Estados Unidos dejarían de tener acceso a la red social, y esta sería eliminada de las tiendas de aplicaciones.

Después de la aprobación de la propuesta de ley, ByteDance, la empresa matriz de TikTok, emitió el siguiente comunicado:

"Esperamos que el Senado considere los hechos, escuche a sus electores y comprenda el impacto en la economía, en 7 millones de pequeñas empresas y en los 170 millones de estadounidenses que utilizan nuestro servicio".

En la actualidad, TikTok opera de manera distinta tanto en China como en otros países. En principio, ambas divisiones no comparten datos de usuario ni estadísticas, a pesar de que TikTok ha sido acusada previamente de obtener datos de usuarios occidentales. Además, el posible bloqueo de la red social intensifica la tensión en la guerra comercial entre Estados Unidos y China.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#12

NVIDIA lidera el mercado de las GPU para inteligencia artificial (IA) con una participación aproximada del 80%. Sin embargo, no es la única empresa que ofrece chips de vanguardia para IA. La compañía californiana Cerebras, de hecho, posee los procesadores más avanzados para este escenario de uso. Su chip WSE-2, por ejemplo, integra impresionantes 2,6 billones de transistores contabilizados en la escala numérica larga y 850,000 núcleos optimizados específicamente para IA.

Cerebras ofrece a sus clientes estos procesadores, integrados en una plataforma para IA conocida como CS-2. Una de las empresas que utiliza esta tecnología es la compañía de Emiratos Árabes, G42. Esta última está desarrollando seis superordenadores para IA capaces de superar la barrera de la exaescala, los cuales incluirán una gran cantidad de sistemas CS-2. Según la CIA, algunas de estas máquinas se destinarán a grandes empresas tecnológicas chinas. Pero eso no es todo. Cerebras ha anunciado recientemente un procesador para IA aún más potente que su WSE-2.

El procesador WSE-3 es tan potente como 62 GPU H100 de NVIDIA. Cerebras ya ha lanzado su procesador WSE-3 (Wafer Scale Engine 3), un producto que, como su nombre sugiere, está destinado a suceder al también ambicioso WSE-2. Ambos procesadores se fabrican a partir de una oblea completa de silicio, lo que permite a Cerebras integrar muchos más bloques funcionales y núcleos en la lógica que una GPU convencional, como las que producen NVIDIA, AMD o Huawei. Las especificaciones de este procesador son realmente impresionantes.

El procesador WSE-3 de Cerebras es una verdadera bestia con impresionantes especificaciones. Aglutina 4 billones de transistores (en escala numérica larga), tiene una superficie de 46.225 mm², integra 900.000 núcleos optimizados para IA y alcanza una potencia de cálculo de 125 petaflops. Sin lugar a dudas, es una auténtica maravilla tecnológica.

Además, este procesador se fabrica en TSMC utilizando su tecnología de integración de 5 nm. Aunque este fabricante de semiconductores taiwanés tiene nodos más avanzados, posiblemente no estén optimizados para producir procesadores del tamaño de una oblea.

Según Cerebras, su procesador WSE-3 es el doble de potente que el WSE-2. De hecho, según las especificaciones publicadas, equivale al rendimiento conjunto de 62 GPU H100 de NVIDIA. Es importante destacar que este procesador es el más potente de la compañía, al menos hasta que se lance la GPU H200.

Cerebras ofrece sus procesadores WSE-3 integrados en un superordenador conocido como CS-3, capaz de entrenar grandes modelos de IA con hasta 24 billones de parámetros. El mapa de memoria externa de este superordenador varía entre 1,5 TB y 1,2 PB, lo que proporciona un espacio de almacenamiento descomunal para modelos de lenguaje masivos en un solo espacio lógico.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#13

Un ciudadano ruso-canadiense de 34 años ha sido condenado a casi cuatro años de cárcel en Canadá por su participación en la operación global de ransomware LockBit.

Mikhail Vasiliev, residente de Ontario, fue arrestado originalmente en noviembre de 2022 y acusado por el Departamento de Justicia de Estados Unidos (DoJ) de "conspirar con otros para dañar intencionalmente computadoras protegidas y transmitir demandas de rescate en relación con hacerlo".

La noticia de la pena de cárcel de Vasiliev fue reportada por primera vez por CTV News.

Se dice que el acusado, cuya casa fue registrada por las autoridades policiales canadienses en agosto y octubre de 2022, mantuvo una lista de víctimas "potenciales o históricas" y capturas de pantalla de las comunicaciones intercambiadas con "LockBitSupp" en la plataforma de mensajería Tox.

La redada también descubrió un archivo de texto con instrucciones para implementar el ransomware LockBit, el código fuente del ransomware y un panel de control utilizado por el grupo de delitos electrónicos para entregar el malware de bloqueo de archivos.

Vasiliev, según CTV News, se declaró culpable de ocho cargos de extorsión cibernética, travesuras y cargos de armas el mes pasado. Durante la sentencia, fue caracterizado por la jueza Michelle Fuerst como un "terrorista cibernético" que estaba "motivado por su propia codicia".

Se cree que se convirtió en un ciberdelincuente mientras estaba en casa durante la pandemia de COVID-19, intentando solicitar el pago de rescates de tres empresas canadienses entre 2021 y 2022 robando sus datos y manteniéndolos como rehenes.

Vasiliev, quien ha dado su consentimiento para ser extraditado a Estados Unidos, también ha recibido la orden de devolver más de 860.000 dólares en restitución.

LockBit, uno de los grupos de ransomware más prolíficos de la historia, sufrió un duro golpe en febrero de 2024, cuando su infraestructura fue incautada en una operación coordinada de aplicación de la ley. La interrupción fue acompañada por el arresto de tres afiliados de LockBit en Polonia y Ucrania.

Aunque el grupo resurgió con un nuevo sitio de filtración de datos, hay evidencia que sugiere que las nuevas víctimas que se enumeran son antiguas o falsas, diseñadas para dar la impresión de que el grupo está de nuevo en funcionamiento.

El desarrollo llega cuando un jurado federal en Washington, D.C., condenó a Roman Sterlingov, de doble nacionalidad rusa y sueca, por su operación de Bitcoin Fog desde 2011 hasta 2021, facilitando el lavado de ganancias obtenidas de la venta de narcóticos ilegales, delitos informáticos, identidades robadas y material de abuso sexual infantil.

Ilya Lichtenstein, quien se declaró culpable en agosto de 2023 del robo de unos 120.000 bitcoins en relación con el hackeo del exchange de criptomonedas Bitfinex, testificó el mes pasado cómo había utilizado Bitcoin Fog 10 veces para lavar los activos virtuales, informó Bloomberg.

"Bitcoin Fog fue el 'mezclador' de criptomonedas de más larga duración, ganando notoriedad como un servicio de lavado de dinero para los delincuentes que buscan ocultar sus ganancias ilícitas de las fuerzas del orden", dijo el Departamento de Justicia.

"En el transcurso de su operación de una década, Bitcoin Fog movió más de 1.2 millones de bitcoins, que estaban valorados en aproximadamente USD 400 millones en el momento de las transacciones".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#14

Fortinet ha advertido de una falla de seguridad crítica que afecta a su software FortiClientEMS que podría permitir a los atacantes lograr la ejecución de código en los sistemas afectados.

"Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') [CWE-89] en FortiClientEMS puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes específicamente diseñadas", dijo la compañía en un aviso.

La vulnerabilidad, rastreada como CVE-2023-48788, tiene una calificación CVSS de 9,3 sobre un máximo de 10. Afecta a las siguientes versiones:

  • FortiClientEMS 7.2.0 a 7.2.2 (actualización a 7.2.3 o superior)
  • FortiClientEMS 7.0.1 a 7.0.10 (actualización a 7.0.11 o superior)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que planea publicar detalles técnicos adicionales y un exploit de prueba de concepto (PoC) la próxima semana, dijo que la deficiencia podría explotarse para obtener la ejecución remota de código como SYSTEM en el servidor.

Fortinet ha dado crédito a Thiago Santana del equipo de desarrollo de ForticlientEMS y al Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) por descubrir y reportar la falla.

La compañía también corrigió otros dos errores críticos en FortiOS y FortiProxy (CVE-2023-42789 y CVE-2023-42790, puntuaciones CVSS: 9.3) que podrían permitir a un atacante con acceso al portal cautivo ejecutar código arbitrario o comandos a través de solicitudes HTTP especialmente diseñadas.

Las siguientes versiones del producto se ven afectadas por las fallas:

  • FortiOS versión 7.4.0 a 7.4.1 (Actualización a FortiOS versión 7.4.2 o superior)
  • FortiOS versión 7.2.0 a 7.2.5 (Actualización a FortiOS versión 7.2.6 o superior)
  • FortiOS versión 7.0.0 a 7.0.12 (Actualice a FortiOS versión 7.0.13 o superior)
  • FortiOS versión 6.4.0 a 6.4.14 (Actualice a FortiOS versión 6.4.15 o superior)
  • FortiOS versión 6.2.0 a 6.2.15 (Actualice a FortiOS versión 6.2.16 o superior)
  • FortiProxy versión 7.4.0 (Actualización a FortiProxy versión 7.4.1 o superior)
  • FortiProxy versión 7.2.0 a 7.2.6 (Actualización a FortiProxy versión 7.2.7 o superior)
  • FortiProxy versión 7.0.0 a 7.0.12 (Actualización a FortiProxy versión 7.0.13 o superior)
  • FortiProxy versión 2.0.0 a 2.0.13 (Actualización a FortiProxy versión 2.0.14 o superior)

Si bien no hay evidencia de que las fallas antes mencionadas hayan sido explotadas activamente, los actores de amenazas han abusado repetidamente de los dispositivos Fortinet sin parches, lo que hace imperativo que los usuarios se muevan rápidamente para aplicar las actualizaciones.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#15

El correcto funcionamiento del Internet global depende en gran medida de la integridad de su infraestructura crítica. Recientemente, este equilibrio se vio amenazado cuando varios cables de comunicaciones submarinos en el Mar Rojo, fundamentales para el flujo de datos entre Asia y Europa, fueron cortados.

Los sistemas afectados incluyen 'Asia-Africa-Europe 1', 'Europe India Gateway', y 'Seacom-TGN-Gulf', representando un golpe significativo al tráfico de datos en la región. Según informes de Seacom, la interrupción podría deberse al arrastre de anclas en las jurisdicciones marítimas yemeníes.

La repercusión ha sido notable:

Cerca del 25% del tráfico entre ambos continentes se ha visto afectado, provocando una disminución en la velocidad de Internet, especialmente en áreas cercanas como África oriental. Este incidente destaca la crítica dependencia de los enlaces submarinos para la economía global y la seguridad de las comunicaciones.

Para mitigar el impacto, los operadores de telecomunicaciones están buscando rutas alternativas a través de China continental y el Océano Pacífico hacia Estados Unidos, además de solicitar servicios temporales de conectividad satelital. La necesidad de redes híbridas, que combinen conexiones submarinas y satelitales, se ha destacado para garantizar la resiliencia ante este tipo de incidentes.

Este suceso tiene profundas implicaciones geopolíticas, especialmente en el contexto del conflicto en Yemen. La guerra civil entre el gobierno y los hutíes, respaldados respectivamente por Arabia Saudita e Irán, se ha internacionalizado con el ataque a embarcaciones en el Mar Rojo. Aunque los hutíes niegan su responsabilidad, el gobierno yemení pro-saudita había advertido sobre posibles sabotajes a estas infraestructuras. La situación, complicada y tensa, promete continuar, incluso después de la reparación de los cables, que será un proceso lento y delicado que requerirá la cooperación de las autoridades regionales.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#16
Noticias Informáticas / Anuncian cierre de Taringa
Marzo 12, 2024, 10:02:11 PM


Hace 20 años nacía uno de los sitios web más destacados de habla hispana. En una era en la que las redes sociales aún estaban en pañales, Taringa emergió como un espacio para compartir cualquier cosa con el mundo. Durante sus primeros años, se convirtió en un lugar tremendamente concurrido. Ahora, sus responsables anuncian su despedida definitiva.

"20 años de historia no es un logro del que cualquier sitio, plataforma o comunidad pueda presumir, ni de lejos. taringa! ha sido el lugar de fantásticas historias, memes, trolleadas, inteligencia colectiva por doquier, pero sobre todo, siempre ha sido un lugar donde la libertad de expresión está presente," admitían sus responsables en la publicación.

Taringa tuvo una gran repercusión durante sus primeros años, siendo una web y un foro que seguramente recordarás con añoranza si naciste en los noventa o antes. Además, era el lugar donde muchos encontrábamos enlaces de descarga de prácticamente cualquier cosa, formándose la idea del "taringuero".

La red social tuvo su origen en Argentina, creada por el porteño Fernando Sanz durante sus años de secundaria como inspiración de otra web que sigue existiendo a día de hoy, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Dos años más tarde fue adquirida por los emprendedores Matías y Hernán Botbol y Alberto Nakayama por 5.000 dólares, una venta que se realizó a través de Windows Messenger. En la década de 2010 la web dejó de tener la presencia que poseía años antes, y en 2017 toda su base de datos de usuarios fue hackeada, comprometiendo a casi 29 millones de usuarios.

En Taringa podíamos encontrar todo tipo de contenido, incluyendo noticias de actualidad, tutoriales, trucos para videojuegos, y mucho más. Aunque los usuarios también entraban para conseguir enlaces de descarga de películas, música, juegos y más.

La gran competencia en las redes sociales de hoy día, y el giro que ha tomado el mercado durante los últimos años han sido difíciles de sobrellevar para Taringa. "taringa! diseñó un producto que buscaba lo que otras plataformas no podían lograr, un espacio de libertad donde se pueda monetizar el contenido. Sin embargo, debido a las condiciones del mercado y la competitividad de las redes sociales, este sueño se ha frustrado," comentaban en la publicación.

Según sus responsables, la web cerrará el próximo 24 de marzo. Desde la publicación han explicado que más adelante darán detalles sobre cómo se llevará a cabo el proceso. Muere una pequeña parte de Internet, aunque los recuerdos de esta época seguirán con nosotros.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#17


Marzo destaca como un mes crucial en el ámbito tecnológico debido a la implementación de la nueva DMA (Digital Markets Act). Esta iniciativa, la Ley Europea de Mercados Digitales, busca fomentar la competencia justa, instando a gigantes como Apple, Google y Meta a tomar acciones estratégicas. En el caso de Apple, a partir de iOS 17.4, se permite el sideloading de aplicaciones desde tiendas alternativas a la App Store, lo cual marca un cambio significativo en un sistema que históricamente ha sido cerrado.

No obstante, este cambio no es el único que llega en relación con la instalación de aplicaciones. A lo largo de la próxima primavera, será posible instalar aplicaciones directamente desde la web de los desarrolladores, lo cual representa un avance aún más notable que el sideloading desde tiendas alternativas. Los desarrolladores podrán subir archivos directamente a sus sitios web, y los usuarios podrán instalarlos en sus dispositivos iPhone. Pero estos no son los únicos cambios que se avecinan.

Apple ha anunciado tres importantes modificaciones en su cumplimiento con la DMA, todas relacionadas con las nuevas libertades que tendrán los desarrolladores para distribuir sus aplicaciones y métodos de pago:

Aplicaciones exclusivas del desarrollador:

Apple permitirá que los marketplaces de terceros ofrezcan un catálogo compuesto únicamente por las aplicaciones de un desarrollador, lo que abre la puerta a la creación de tiendas donde los grandes desarrolladores distribuyan exclusivamente sus propias aplicaciones, sin presencia de otras.

Más libertad para precios promocionales: Los desarrolladores tendrán más control sobre cómo diseñan las promociones dentro de sus aplicaciones, con tres opciones de pago disponibles: Apple Pay en la App Store, la interfaz del desarrollador dentro de la aplicación y la web del desarrollador.

Instalación de aplicaciones desde la web:

Esta es la novedad más significativa, ya que permitirá la instalación de aplicaciones directamente desde la web del desarrollador, además de los marketplaces alternativos.

Si bien esta apertura podría sugerir la disponibilidad de aplicaciones para ver contenido premium de forma gratuita, como Spotify Premium, es importante destacar que Apple ha establecido criterios estrictos para garantizar la seguridad y la integridad del ecosistema. La elegibilidad para subir aplicaciones a la web del desarrollador está sujeta a requisitos específicos, como tener una cuenta con al menos dos años de antigüedad y un negocio de aplicaciones establecido en la UE con más de 1 millón de primeras instalaciones anuales.

Además, las aplicaciones alojadas en las webs de los desarrolladores deben tener su dominio registrado en App Store Connect para garantizar su legitimidad y seguridad. Los archivos deben ser descargados y firmados a través de App Store Connect por los desarrolladores antes de ser alojados en sus sitios web.

Aunque Apple aún no ha proporcionado detalles visuales sobre cómo funcionará esta función, se espera que los usuarios puedan autorizar la instalación de aplicaciones directamente desde los ajustes de sus dispositivos iPhone. Esta nueva política entrará en vigor en primavera, lo que podría marcar el inicio de la disponibilidad de las primeras aplicaciones alojadas en páginas web.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#18

Los usuarios brasileños son el blanco de un reciente troyano bancario denominado CHAVECLOAK, que se disemina a través de correos electrónicos de phishing que incorporan archivos PDF. Cara Lin, investigadora de Fortinet FortiGuard Labs, describió el ataque como intrincado, detallando que implica que el PDF descargue un archivo ZIP y, posteriormente, emplee tácticas de carga lateral de DLL para ejecutar el malware. La cadena de ataque utiliza señuelos con temática de contrato de DocuSign para persuadir a los usuarios a abrir archivos PDF que contienen un botón para revisar y firmar documentos. No obstante, al clicar en el botón, se recupera un archivo de instalación de un enlace remoto acortado mediante el servicio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Dentro del instalador, se encuentra un ejecutable denominado "Lightshot.exe", aprovechando la carga lateral de DLL para cargar "Lightshot.dll", que es el malware CHAVECLOAK responsable del robo de información confidencial. Este proceso incluye la recopilación de metadatos del sistema y la realización de comprobaciones para verificar la ubicación en Brasil de la máquina comprometida, seguido por la supervisión regular de la ventana en primer plano para compararla con una lista predefinida de cadenas relacionadas con entidades bancarias.

En caso de coincidencia, se establece una conexión con un servidor de comando y control (C2), y posteriormente se procede a recopilar diversos tipos de información, filtrándola hacia diferentes puntos finales en el servidor, adaptándose según la institución financiera correspondiente.

Cara Lin indicó que el malware presenta varias funcionalidades diseñadas para robar las credenciales de la víctima, permitiendo al operador bloquear la pantalla, registrar pulsaciones de teclas y mostrar ventanas emergentes engañosas. Además, mencionó que el malware monitorea activamente el acceso de la víctima a portales financieros específicos, abarcando tanto entidades bancarias convencionales como plataformas de criptomonedas como varios bancos y Mercado Bitcoin.

Fortinet también informó sobre el descubrimiento de una variante Delphi de CHAVECLOAK, subrayando una vez más la prevalencia del malware basado en Delphi orientado a América Latina.



La presencia del troyano bancario CHAVECLOAK destaca la evolución en curso del panorama de amenazas cibernéticas dirigidas al sector financiero, con un enfoque particular en los usuarios brasileños, según la conclusión de Lin.

Estos descubrimientos se producen en medio de una campaña continua de fraude bancario móvil dirigida al Reino Unido, España e Italia. Esta campaña utiliza tácticas de smishing y vishing (es decir, mensajes de texto y suplantación de voz) para implementar un malware de Android llamado Copybara. El objetivo de este malware es llevar a cabo transferencias bancarias no autorizadas hacia una red de cuentas bancarias gestionadas por mulas de dinero.

"Los actores de amenazas han sido detectados utilizando una metodología estructurada para gestionar todas las campañas de phishing en curso a través de un panel web centralizado conocido como 'Mr. Robot'", según informó Cleafy en un informe publicado la semana pasada.



Con esta plataforma, los usuarios tienen la capacidad de activar y gestionar diversas campañas de phishing dirigidas a diferentes instituciones financieras según sus necesidades.

Además, el marco C2 posibilita que los atacantes coordinen ataques personalizados contra distintas instituciones financieras mediante kits de phishing diseñados para replicar la interfaz de usuario de la entidad objetivo, al mismo tiempo que aplican métodos de evasión de detección mediante geocercas y huellas dactilares de dispositivos, restringiendo las conexiones exclusivamente a dispositivos móviles.


El conjunto de phishing, actuando como una interfaz de inicio de sesión falsa, se encarga de capturar las credenciales y números de teléfono de los clientes de la banca minorista, enviando estos detalles a un grupo de Telegram.

Una parte de la infraestructura maliciosa empleada en la campaña está específicamente diseñada para distribuir Copybara. Este malware es gestionado a través de un panel de control (C2) denominado JOKER RAT, que proporciona una visualización en tiempo real de todos los dispositivos infectados y su ubicación geográfica en un mapa interactivo.

Además, permite a los actores de amenazas interactuar remotamente en tiempo real con dispositivos infectados mediante un módulo VNC. También posibilita la inserción de superposiciones falsas en la parte superior de las aplicaciones bancarias para redirigir credenciales, registrar pulsaciones de teclas mediante el abuso de servicios de accesibilidad de Android e interceptar mensajes SMS.

Adicionalmente, JOKER RAT incluye un generador de APK que posibilita la personalización del nombre, el nombre del paquete y los íconos de la aplicación maliciosa.

"Otra característica disponible en el panel es la 'Notificación Push', presumiblemente empleada para enviar notificaciones push falsas a los dispositivos infectados, simulando ser una alerta bancaria y atrayendo al usuario a abrir la aplicación del banco, facilitando así el robo de credenciales", informaron los investigadores de Cleafy, Francesco Iubatti y Federico Valentini.

La creciente complejidad de los esquemas de fraude en dispositivos (ODF) se destaca aún más en una reciente campaña de TeaBot (también conocida como Anatsa) que logró infiltrarse en la tienda Google Play bajo la apariencia de aplicaciones de lectura de PDF.

"Esta aplicación actúa como un cuentagotas, simplificando la descarga de un troyano bancario perteneciente a la familia TeaBot a través de múltiples fases", indicó Iubatti. "Antes de la descarga del troyano bancario, el dropper implementa técnicas avanzadas de evasión, como la ofuscación y eliminación de archivos, junto con diversas verificaciones basadas en los países objetivos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#19

Un actor de amenazas centrado en incentivos financieros, conocido como Magnet Goblin, está incorporando rápidamente exploits de día cero a su repertorio para aprovechar de manera oportunista dispositivos de borde y servicios públicos, implementando malware en hosts comprometidos.
Check Point destacó la capacidad distintiva de Magnet Goblin para aprovechar rápidamente vulnerabilidades recién reveladas, especialmente dirigidas a servidores públicos y dispositivos de borde. En algunos casos, el despliegue de exploits ocurre en tan solo 1 día después de la publicación de una prueba de concepto, aumentando significativamente el nivel de amenaza.

Los ataques de este actor se han dirigido a servidores Ivanti Connect Secure VPN, Magento, Qlik Sense y posiblemente Apache ActiveMQ sin parches, utilizándolos como vectores de infección inicial para obtener acceso no autorizado. Magnet Goblin ha estado activo desde al menos enero de 2022.

Tras una explotación exitosa, se despliega Nerbian RAT, un troyano de acceso remoto (RAT) multiplataforma revelado por Proofpoint en mayo de 2022, junto con su variante simplificada MiniNerbian. La versión Linux de Nerbian RAT ya había sido resaltada por Darktrace por su utilización.


Ambas cepas permiten la ejecución de comandos arbitrarios recibidos de un servidor de comando y control (C2), así como la exfiltración de resultados respaldados en él.

Magnet Goblin también utiliza otras herramientas, como el ladrón de credenciales JavaScript WARPWIRE, el software de tunelización basado en Go, Ligolo, y soluciones legítimas de escritorio remoto como AnyDesk y ScreenConnect.

"Magnet Goblin, con campañas motivadas financieramente, se destaca por adoptar rápidamente vulnerabilidades de día cero para distribuir su malware personalizado de Linux, Nerbian RAT y MiniNerbian", señaló la compañía. "Estas herramientas operan en gran medida en dispositivos de borde, siendo parte de la tendencia continua de los actores de amenazas de dirigirse a áreas previamente desprotegidas".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#20


Change Healthcare de Optum está retomando la normalidad tras enfrentar un devastador ataque de ransomware BlackCat el mes pasado, que generó una amplia interrupción en el sistema de salud de EE. UU. como resultado. United Health Group (UHG), la mayor compañía de seguros de salud en Estados Unidos, opera la plataforma Change Healthcare a través de su subsidiaria, Optum Solutions.

El 21 de febrero de 2024, Optum Solutions fue víctima de un ataque de ransomware perpetrado por ALPHV/BlackCat, desencadenando extensas interrupciones al cifrar los servidores y apagar los sistemas informáticos. Esta situación afectó gravemente a farmacias y consultorios médicos, impidiendo el envío de reclamaciones y obligando a algunos pacientes a pagar el precio completo de sus medicamentos.

En una reciente actualización, UHG informó a BleepingComputer que la plataforma de recetas electrónicas volvió a estar completamente operativa a partir del 7 de marzo. La compañía asegura que las funciones de presentación de reclamos y transmisión de pagos también están disponibles. Se tomaron medidas para garantizar el acceso a medicamentos, incluso mediante las farmacias Optum Rx que envían los medicamentos a los miembros según sea necesario.

La plataforma de pagos electrónicos se espera que regrese gradualmente a la normalidad a partir del 15 de marzo, mientras que las pruebas para restablecer el sistema de reclamos médicos comenzarán el 18 de marzo de 2024. Actualmente, hay soluciones temporales para procesar reclamaciones médicas con un rendimiento del 90%, y se espera que alcance el 95% la próxima semana con soluciones adicionales implementadas por UHG.

La empresa insta a todas las partes interesadas a utilizar soluciones alternativas hasta que los sistemas se restauren por completo, recomendando mantenerlas incluso después de la restauración para redundancia. Las fechas estimadas son inciertas, y la disponibilidad del sistema puede no ser estable durante un período específico. Para conocer el estado actual del sistema, se proporcionan actualizaciones a través de la página de estado en la plataforma Change Healthcare.

A principios de mes, Optum lanzó un programa de asistencia financiera temporal para ayudar a los proveedores de atención médica a operar sin problemas mientras los sistemas de pago estaban inactivos. El 5 de marzo, el Departamento de Salud y Servicios Humanos de EE. UU. anunció medidas adicionales para mitigar el impacto en las organizaciones afectadas. Sin embargo, la Asociación Americana de Hospitales solicitó más acción, calificando el incidente como el más significativo en la historia del sistema de atención médica de EE. UU.

En cuanto al presunto rescate pagado, un afiliado de la banda BlackCat afirmó que Optum desembolsó 22 millones de dólares para evitar la fuga de 6 TB de datos robados y obtener un descifrador de archivos. Aunque el atacante afirma poseer datos de Change Healthcare y amenaza con más extorsiones, si se pagó el rescate, significa que la empresa tiene acceso al descifrador, facilitando la restauración más rápida de sistemas y servidores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#21

El Centro Nacional de Seguridad Cibernética (NCSC) de Suiza ha emitido un informe detallado sobre el análisis de una violación de datos desencadenada por un ataque de ransomware en Xplain. Este incidente crítico tuvo un impacto significativo en miles de archivos confidenciales pertenecientes al gobierno federal suizo.

Xplain, reconocido como un proveedor suizo líder en tecnología y soluciones de software, atiende a diversos departamentos gubernamentales, unidades administrativas e incluso a la fuerza militar del país. La organización se vio vulnerada el 23 de mayo de 2023, cuando la banda de ransomware Play logró infiltrarse.

Durante el ataque, el actor de amenazas afirmó haber sustraído documentos que contenían información altamente confidencial. A principios de junio de 2023, cumpliendo con sus amenazas, publicó los datos robados en su portal en la darknet.

El informe del NCSC ofrece una visión profunda de las implicaciones y consecuencias de este incidente de seguridad, destacando la necesidad crítica de reforzar las medidas de ciberseguridad en organizaciones clave como Xplain.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#22

Actualización: El título y el contenido se actualizaron para aclarar que se trata de un ataque de phishing MiTM realizado con un Flipper Zero, pero que podría ser realizado por otros dispositivos.

Los investigadores demostraron cómo podían llevar a cabo un ataque de phishing Man-in-the-Middle (MiTM) para comprometer las cuentas de Tesla, desbloquear automóviles y ponerlos en marcha. El ataque funciona en la última aplicación de Tesla, la versión 4.30.6, y la versión 11.1 del software de Tesla 2024.2.7.

Como parte de este ataque, los investigadores de seguridad Talal Haj Bakry y Tommy Mysk registran una nueva "llave telefónica" que podría usarse para acceder al Tesla.

Los investigadores informaron sus hallazgos a Tesla diciendo que vincular un automóvil a un teléfono nuevo carece de la seguridad de autenticación adecuada. Sin embargo, el fabricante de automóviles determinó que el informe estaba fuera del alcance.

Si bien los investigadores realizaron este ataque de phishing utilizando un Flipper Zero, podría hacerse fácilmente con otros dispositivos, como una computadora, una Raspberry Pi o teléfonos Android.

Ataque de phishing

Un atacante en una estación de supercargadores de Tesla podría desplegar una red WiFi llamada "Tesla Guest", un SSID que se encuentra comúnmente en los centros de servicio de Tesla y los propietarios de automóviles están familiarizados con él.

Mysk usó un Flipper Zero para transmitir la red WiFi, pero señala que se puede lograr lo mismo usando una Raspberry Pi u otros dispositivos que vienen con capacidades de punto de acceso WiFi.

Una vez que la víctima se conecta a la red falsificada, se le muestra una página de inicio de sesión falsa de Tesla en la que se le pide que inicie sesión con las credenciales de su cuenta de Tesla. Lo que sea que la víctima ingrese en la página de phishing, el atacante puede verlo en el Flipper Zero en tiempo real.


El proceso de phishing (Mysk)

Después de ingresar las credenciales de la cuenta de Tesla, la página de phishing solicita la contraseña de un solo uso para la cuenta, para ayudar al atacante a eludir la protección de autenticación de dos factores.

El atacante tiene que moverse antes de que expire la OTP e iniciar sesión en la aplicación de Tesla con las credenciales robadas. Una vez en la cuenta, el actor de amenazas puede rastrear la ubicación del vehículo en tiempo real.

Adición de una nueva clave

El acceso a la cuenta de Tesla de la víctima permite al atacante agregar una nueva 'Clave de teléfono'. Para ello, deben estar muy cerca del coche, a escasos metros de distancia.

Las llaves del teléfono utilizan la aplicación móvil de Tesla junto con el teléfono inteligente del propietario del automóvil para permitir el bloqueo y desbloqueo del vehículo automáticamente, a través de una conexión Bluetooth segura.

Los autos Tesla también usan Card Keys, que son tarjetas RFID delgadas que deben colocarse en el lector RFID de la consola central para arrancar el vehículo. Aunque son más seguros, Tesla los trata como una opción de respaldo si la llave del teléfono no está disponible o se queda sin batería.

Mysk dice que agregar una nueva llave telefónica a través de la aplicación no requiere que el automóvil esté desbloqueado o que el teléfono inteligente esté dentro del vehículo, lo que crea una brecha de seguridad significativa.


Adición de una nueva clave de teléfono (Mysk)

Para empeorar las cosas, una vez que se agrega una nueva llave de teléfono, el propietario del Tesla no recibe una notificación sobre el hecho a través de la aplicación y no se muestra ninguna alerta en la pantalla táctil del automóvil.

Con la nueva llave del teléfono, el atacante puede desbloquear el coche y activar todos sus sistemas, lo que le permite alejarse como si fuera el propietario.


Mysk señala que el ataque tiene éxito en un Tesla Model 3. En el informe a la compañía automotriz, el investigador señala que la cuenta de Tesla secuestrada debe pertenecer al conductor principal y que el vehículo ya debe estar vinculado a una llave telefónica.

Los investigadores argumentan que requerir una clave de tarjeta Tesla física al agregar una nueva llave de teléfono mejoraría la seguridad al agregar una capa de autenticación para el nuevo teléfono.

"Pude agregar una segunda llave de teléfono en un nuevo iPhone sin que la aplicación de Tesla me pidiera que usara una tarjeta de acceso para autenticar la sesión en el nuevo iPhone. Solo inicié sesión en el nuevo iPhone con mi nombre de usuario y contraseña, y tan pronto como le otorgué a la aplicación acceso a los servicios de ubicación, activó la clave del teléfono", escribieron Tommy Mysk y Talal Haj Bakry en el informe a Tesla.

La compañía respondió diciendo que su investigación determinó que ese era el comportamiento previsto y que el manual del propietario del Tesla Model 3 no establece que se necesite una tarjeta de acceso para agregar una llave de teléfono.

BleepingComputer se ha puesto en contacto con Tesla con preguntas sobre lo anterior y si planean emitir una actualización OTA que introduzca medidas de seguridad para evitar estos ataques, pero aún no hemos recibido respuesta.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#23

Microsoft dice que el grupo de hackers ruso 'Midnight Blizzard' accedió recientemente a algunos de sus sistemas internos y repositorios de código fuente utilizando secretos de autenticación robados durante un ciberataque en enero.

En enero, Microsoft reveló que Midnight Blizzard (también conocido como NOBELIUM) había violado los servidores de correo electrónico corporativos después de realizar un ataque de difusión de contraseñas que permitió el acceso a una cuenta de inquilino de prueba heredada que no era de producción.

Una publicación deblog posterior reveló que esta cuenta de prueba no tenía habilitada la autenticación multifactor, lo que permitía a los actores de amenazas obtener acceso para violar los sistemas de Microsoft.

Esta cuenta de inquilino de prueba también tenía acceso a una aplicación OAuth con acceso elevado al entorno corporativo de Microsoft, lo que permitía a los actores de amenazas acceder y robar datos de los buzones corporativos, incluidos los miembros del equipo de liderazgo de Microsoft y los empleados de los departamentos de ciberseguridad y legal.

La compañía cree que los actores de amenazas violaron algunas de estas cuentas de correo electrónico para saber lo que Microsoft sabía sobre ellas.

Midnight Blizzard vuelve a hackear Microsoft

Hoy, Microsoft dice que Midnight Blizzard está utilizando los secretos encontrados en los datos robados para obtener acceso a algunos de los sistemas y repositorios de código fuente de la compañía en las últimas semanas.

"En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente exfiltrada de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado", se lee en una nueva publicación de blog del Centro de Respuesta de Seguridad de Microsoft.

"Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la compañía. Hasta la fecha, no hemos encontrado evidencia de que los sistemas orientados al cliente alojados por Microsoft se hayan visto comprometidos".

Si bien Microsoft no ha explicado con precisión qué incluyen estos "secretos", es probable que sean tokens de autenticación, claves API o credenciales.

Microsoft dice que han comenzado a contactar a los clientes cuyos secretos fueron expuestos a los actores de amenazas en correos electrónicos robados entre ellos y Microsoft.

"Es evidente que Midnight Blizzard está intentando usar secretos de diferentes tipos que ha encontrado. Algunos de estos secretos se compartieron entre los clientes y Microsoft por correo electrónico, y a medida que los descubrimos en nuestro correo electrónico exfiltrado, hemos estado y estamos contactando a estos clientes para ayudarlos a tomar medidas de mitigación", continuó Microsoft.

La compañía dice que Midnight Blizzard también está intensificando sus ataques de difusión de contraseñas contra sistemas específicos, observando un aumento de 10 veces en febrero en comparación con el volumen que vieron en enero de 2024.

Un spray de contraseñas es un tipo de ataque de fuerza bruta en el que los actores de amenazas recopilan una lista de posibles nombres de inicio de sesión y luego intentan iniciar sesión en todos ellos utilizando una larga lista de posibles contraseñas. Si una contraseña falla, repiten este proceso con otras contraseñas hasta que se agoten o vulneren con éxito la cuenta.

Por este motivo, las empresas deben configurar MFA en todas las cuentas para evitar el acceso, incluso si las credenciales se adivinan correctamente.

En una presentación enmendada del Formulario 8-K ante la SEC, Microsoft dice que han aumentado la seguridad en toda su organización para fortalecerla contra los actores de amenazas persistentes avanzadas.

"Hemos aumentado nuestras inversiones en seguridad, la coordinación y movilización entre empresas, y hemos mejorado nuestra capacidad para defendernos y asegurar y fortalecer nuestro entorno contra esta amenaza persistente avanzada", se lee en la presentación de 8-K.

"Continuamos coordinando con las fuerzas del orden federales con respecto a su investigación en curso del actor de amenazas y el incidente".

¿Quién es Midnight Blizzard?

Midnight Blizzard (también conocido como Nobelium, APT29 y Cozy Bear) es un grupo de piratas informáticos patrocinado por el estado vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).

Los piratas informáticos ganaron prominencia después de llevar a cabo el ataque a la cadena de suministro de SolarWinds en 2020, que permitió a los actores de amenazas violar numerosas empresas, incluida Microsoft.

Microsoft confirmó más tarde que el ataque permitió a Midnight Blizzard robar el código fuente de un número limitado de componentes de Azure, Intune y Exchange.

En junio de 2021, el grupo de piratas informáticos volvió a violar una cuenta corporativa de Microsoft, lo que les permitió acceder a herramientas de atención al cliente.

Desde entonces, el grupo de hackers ha sido vinculado a un gran número de ataques de ciberespionaje contra la OTAN y los países de la UE, dirigidos a embajadas y agencias gubernamentales.

Además de llevar a cabo ataques de ciberespionaje y robo de datos, Nobelium es conocido por desarrollar malware personalizado para usar en sus ataques.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#24

Meta ha ofrecido detalles sobre cómo pretende implementar la interoperabilidad en WhatsApp y Messenger con servicios de mensajería de terceros cuando la Ley de Mercados Digitales (DMA) entre en vigor en la Unión Europea.

"Esto permite a los usuarios de proveedores externos que opten por habilitar la interoperabilidad (interoperabilidad) enviar y recibir mensajes con usuarios optados por Messenger o WhatsApp, ambos designados por la Comisión Europea (CE) como obligados a proporcionar interoperabilidad de forma independiente a los servicios de mensajería de terceros", dijo Dick Brouwer de Meta.

La DMA, que entró oficialmente en vigor el 7 de marzo de 2024, exige a las empresas que ocupan puestos de guardián -Apple, Alphabet, Meta, Amazon, Microsoft y ByteDance- que tomen medidas drásticas contra las prácticas anticompetitivas de los actores tecnológicos, nivelen el campo de juego y les obliguen a abrir algunos de sus servicios a los competidores.

Como parte de sus esfuerzos para cumplir con las regulaciones históricas, el gigante de las redes sociales dijo que espera que los proveedores externos utilicen el Protocolo Signal, que se utiliza tanto en WhatsApp como en Messenger para el cifrado de extremo a extremo (E2EE).

Los terceros también están obligados a empaquetar las comunicaciones cifradas en estrofas de mensaje en lenguaje de marcado extensible (XML). En caso de que el mensaje contenga contenido multimedia, los clientes de Meta descargarán una versión encriptada de los servidores de mensajería de terceros mediante un servicio proxy de Meta.

La compañía también está proponiendo lo que se llama un modelo "plug-and-play" que permite a los proveedores externos conectarse a su infraestructura para lograr la interoperabilidad.

"Tomando el ejemplo de WhatsApp, los clientes de terceros se conectarán a los servidores de WhatsApp utilizando nuestro protocolo (basado en el Protocolo Extensible de Mensajería y Presencia – XMPP)", dijo Brouwer.

"El servidor de WhatsApp interactuará con un servidor de terceros a través de HTTP para facilitar una variedad de cosas, incluida la autenticación de usuarios de terceros y las notificaciones automáticas".

Además, los clientes de terceros tienen la obligación de ejecutar una API de alistamiento de WhatsApp cuando optan por su red, además de proporcionar una prueba criptográfica de su propiedad del identificador visible para el usuario de terceros cuando se conectan o un usuario de terceros se registra en WhatsApp o Messenger.

La arquitectura técnica también tiene disposiciones para que un proveedor externo agregue un proxy o un intermediario entre su cliente y el servidor de WhatsApp para proporcionar más información sobre los tipos de contenido que su cliente puede recibir del servidor de WhatsApp.

"El desafío aquí es que WhatsApp ya no tendría conexión directa con ambos clientes y, como resultado, perdería señales de nivel de conexión que son importantes para mantener a los usuarios a salvo del spam y las estafas como las huellas dactilares TCP", señaló Brouwer.

"Este enfoque también expone todos los metadatos del chat al servidor proxy, lo que aumenta la probabilidad de que estos datos se filtren accidental o intencionalmente".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#25

Cisco ha lanzado parches para abordar una falla de seguridad de alta gravedad que afecta a su software Secure Client y que podría ser explotada por un actor de amenazas para abrir una sesión VPN con la de un usuario objetivo.

La compañía de equipos de red describió la vulnerabilidad, rastreada como CVE-2024-20337 (puntuación CVSS: 8.2), como una que permite a un atacante remoto no autenticado realizar un ataque de inyección de alimentación de línea de retorno de carro (CRLF) contra un usuario.

Al surgir como resultado de una validación insuficiente de la entrada proporcionada por el usuario, un actor de amenazas podría aprovechar la falla para engañar a un usuario para que haga clic en un enlace especialmente diseñado mientras establece una sesión VPN.

"Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el navegador o acceder a información confidencial basada en el navegador, incluido un token SAML válido", dijo la compañía en un aviso.

"El atacante podría usar el token para establecer una sesión VPN de acceso remoto con los privilegios del usuario afectado. Los hosts y servicios individuales detrás de la cabecera de la VPN aún necesitarían credenciales adicionales para un acceso exitoso".

La vulnerabilidad afecta a Secure Client para Windows, Linux y macOS, y se ha solucionado en las siguientes versiones:

  • Antes de 4.10.04065 (no vulnerable)
  • 4.10.04065 y posteriores (corregido en 4.10.08025)
  • 5.0 (migrar a una versión fija)
  • 5.1 (corregido en 5.1.2.42)

Al investigador de seguridad de Amazon, Paulos Yibelo Mesfin, se le atribuye el descubrimiento y la notificación de la falla, y le dijo a The Hacker News que la deficiencia permite a los atacantes acceder a las redes internas locales cuando un objetivo visita un sitio web bajo su control.

Cisco también ha publicado correcciones para CVE-2024-20338 (puntuación CVSS: 7,3), otra falla de alta gravedad en Secure Client for Linux que podría permitir a un atacante local autenticado elevar los privilegios en un dispositivo afectado. Se ha resuelto en la versión 5.1.2.42.

"Un atacante podría explotar esta vulnerabilidad copiando un archivo de biblioteca malicioso a un directorio específico en el sistema de archivos y persuadiendo a un administrador para que reinicie un proceso específico", dijo. "Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios de root".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#26

Cumpliendo con fidelidad la hoja de ruta marcada aquí llega Ubuntu 22.04.4 LTS, cuarta actualización de mantenimiento de la versión de de soporte extendido en curso y la penúltima que recibirá a lo largo de todo su ciclo de vida, aun cuando todavía tiene por delante años de recorrido. En concreto, hasta 2027 solo con su soporte de serie y hasta 2034 con la suscripción a Ubuntu Pro.

Sea como fuere, estamos a apenas un mes para que le llegue el relevo en la forma de Ubuntu 24.04 LTS, lo cual puede restarle algo de atractivo a la versión que nos ocupa. No debería, pues Ubuntu 22.04.4 LTS se presenta con un acumulado de estabilidad de casi dos años y, como es habitual en la distribución de Canonical, con novedades contantes y sonantes, más allá de recoger correcciones y parches de seguridad.

Las novedades de Ubuntu 22.04 LTS 'Jammy Jellyfish' son las que fueron, incluyendo componentes como GNOME 42, KDE Plasma 5.24 LTS, Xfce 4.16, MATE 1.26 o LXQt 0.17, amén del grueso de los paquetes que componen el sistema; pero hay otros que sí se renuevan, como el kernel Linux 6.5 o la pila gráfica de Mesa 23.2, traídos directamente desde la versión anterior de la distro, Ubuntu 23.10, a través del Hadware Enablement Stack.

Los usuarios que instalaron Ubuntu 22.04 o 22.04.1 tienen -o han tenido- la opción de mantenerse con los componentes base originales, mientras que quienes instalaron o actualizaron Ubuntu 22.04.2 o 22.04.3 han recibido sí o sí estas novedades. La cuestión que uno puede plantearse es ¿vale la pena actualizar o instalar Ubuntu 22.04 a estas alturas, cuando en apenas un mes aparece Ubuntu 24.04? Y la respuesta es... que allá cada cual con sus circunstancias.

En cualquier caso, Jammy Jellyfish aún recibirá una última actualización de mantenimiento (una nueva imagen de instalación actualizada, si se prefiere) hacia finales de este año, Ubuntu 22.04.5 LTS, la cual recogerá el kernel y la pila gráfica de Ubuntu 24.04 LTS. Pero claro, para ese entonces, la propia Ubuntu 24.04 LTS estará en condiciones de asumir a los usuarios de la distribución que saltan de LTS en LTS cuando la estabilidad se ha asentado.

Sin más, a continuación os dejamos con los enlaces para descargar Ubuntu 22.04.4 LTS... y familia, ojo, incluyendo Kubuntu, Xubuntu, Lubuntu, etc., cuyo mantenimiento oficial está más próximo a terminar, pero cuya disponibilidad sigue tal cual. Para más detalles acerca de este lanzamiento, la lista de cambios.

Descarga Ubuntu 22.04.4 LTS

  • Ubuntu 22.04.4 LTS
  • Kubuntu 22.04.4 LTS
  • Xubuntu 22.04.4 LTS
  • Ubuntu MATE 22.04.4 LTS
  • Ubuntu Budgie 22.04.4 LTS
  • Lubuntu 22.04.4 LTS
  • Ubuntu Studio 22.04.4 LTS

Por último, el vídeo de presentación oficial de Ubuntu 22.04 LTS con las novedades más destacadas.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#27

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló hoy que los atacantes que piratean los dispositivos VPN de Ivanti utilizando una de las múltiples vulnerabilidades explotadas activamente pueden mantener la persistencia de la raíz incluso después de realizar restablecimientos de fábrica.

Además, también pueden evadir la detección de la herramienta de comprobación de integridad (ICT) interna y externa de Ivanti en las pasarelas Ivanti Connect Secure y Policy Secure comprometidas mediante los exploits CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 y CVE-2024-21893.

Las clasificaciones de gravedad de las cuatro vulnerabilidades van de alta a crítica, y pueden explotarse para omitir la autenticación, inyectar comandos, falsificar solicitudes del lado del servidor y ejecutar comandos arbitrarios.

CISA descubrió que Ivanti ICT no detectó el compromiso mientras investigaba múltiples incidentes de piratería que involucraban dispositivos Ivanti pirateados. Esto sucedió porque los shells web que se encontraron en los sistemas no tenían discrepancias de archivos, según ICT de Ivanti.

Además, el análisis forense reveló que los atacantes cubrieron sus huellas sobrescribiendo archivos, pisoteando el tiempo y volviendo a montar la partición de tiempo de ejecución para restaurar el dispositivo comprometido a un "estado limpio".

Esto demuestra que los escaneos de TIC no siempre fueron fiables a la hora de detectar compromisos anteriores y pueden crear una falsa sensación de seguridad de que el dispositivo está libre de cualquier compromiso, según la CISA. Ivanti ha lanzado una herramienta externa actualizada de comprobación de integridad para resolver los problemas de su escáner anterior.

Además, la agencia de ciberseguridad de EE. UU. podría confirmar de forma independiente en un laboratorio de pruebas que se necesita más que las TIC de Ivanti para detectar el compromiso de manera adecuada, ya que los actores de amenazas podrían obtener persistencia a nivel de raíz entre los restablecimientos de fábrica.

"Durante múltiples compromisos de respuesta a incidentes asociados con esta actividad, CISA identificó que las TIC internas y externas anteriores de Ivanti no detectaron el compromiso", advirtió CISA el jueves.

"Además, CISA ha llevado a cabo una investigación independiente en un entorno de laboratorio que valida que las TIC de Ivanti no son suficientes para detectar el compromiso y que un actor de amenazas cibernéticas puede ser capaz de obtener persistencia a nivel de raíz a pesar de emitir restablecimientos de fábrica".

Sin embargo, CISA proporciona a las agencias federales orientación sobre cómo proceder después de descubrir signos de compromiso en los dispositivos VPN de Ivanti en sus redes.

CitarLas organizaciones autoras animan a los defensores de la red a (1) asumir que es probable que las credenciales de usuario y de cuenta de servicio almacenadas en los dispositivos VPN de Ivanti afectados estén comprometidas, (2) buscar actividad maliciosa en sus redes utilizando los métodos de detección e indicadores de compromiso (IOC) de este aviso, (3) ejecutar la ICT externa más reciente de Ivanti y (4) aplicar la guía de aplicación de parches disponible proporcionada por Ivanti a medida que las actualizaciones de versión estén disponibles. Si se detecta un posible riesgo, las organizaciones deben recopilar y analizar registros y artefactos en busca de actividad malintencionada y aplicar las recomendaciones de respuesta a incidentes de este documento informativo. — CISA

CISA: "Considerar el riesgo significativo"

Hoy, en respuesta al aviso de CISA, Ivanti dijo que los atacantes remotos que intenten obtener persistencia de root en un dispositivo Ivanti utilizando el método encontrado por CISA perderían la conexión con el dispositivo Ivanti Connect Secure.

"Ivanti y nuestros socios de seguridad no tienen conocimiento de ningún caso de persistencia exitosa de actores de amenazas después de la implementación de las actualizaciones de seguridad y los restablecimientos de fábrica (hardware) / nueva construcción (virtual) recomendados por Ivanti", dijo Ivanti.

A pesar de las garantías de la compañía, CISA instó hoy a todos los clientes de Ivanti a "considerar el riesgo significativo de acceso y persistencia de los adversarios en las pasarelas Ivanti Connect Secure e Ivanti Policy Secure al determinar si continuar operando estos dispositivos en un entorno empresarial" [énfasis de CISA].

En otras palabras, CISA advierte que es posible que aún no sea seguro usar dispositivos Ivanti Connect Secure e Ivanti Policy Secure previamente comprometidos, incluso después de limpiar y realizar un restablecimiento de fábrica.

El 1 de febrero, en respuesta a la "amenaza sustancial" y al aumento del riesgo de violaciones de seguridad planteadas por los dispositivos VPN de Ivanti pirateados, CISA ordenó a todas las agencias federales que desconectaran todas las instancias de Ivanti Connect Secure e Ivanti Policy Secure de sus redes en un plazo de 48 horas.

Las agencias recibieron el mandato de exportar configuraciones, restablecerlas de fábrica, reconstruirlas utilizando versiones de software parcheadas lanzadas por Ivanti, volver a importar las configuraciones respaldadas y revocar todos los certificados, claves y contraseñas conectados o expuestos para poder volver a poner en línea los dispositivos aislados.

A las agencias federales que encontraron productos Ivanti comprometidos en sus redes se les dijo que asumieran que todas las cuentas de dominio vinculadas estaban comprometidas y deshabilitaran los dispositivos unidos/registrados (en entornos de nube) o realizaran un doble restablecimiento de contraseña para todas las cuentas y revocaran los tickers de Kerberos y los tokens de nube (en configuraciones híbridas).

Los actores de los estados-nación han explotado algunas de las vulnerabilidades de seguridad mencionadas por CISA en el aviso de hoy como días cero antes de ser aprovechadas a mayor escala por una amplia gama de actores de amenazas para eliminar múltiples cepas de malware personalizadas.

Otro día cero de Connect Secure rastreado como CVE-2021-22893 fue utilizado por presuntos grupos de amenazas chinos en 2021 para violar docenas de organizaciones gubernamentales, de defensa y financieras en los Estados Unidos y Europa.

Actualización 29 de febrero a las 19:57 EST: Se ha revisado el artículo y el título para dejar claro que el aviso se refiere a los dispositivos VPN Ivanti Connect Secure e Ivanti Policy Secure.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#28

Investigadores de ciberseguridad han descubierto una nueva variante de Linux de un troyano de acceso remoto (RAT) llamado BIFROSE (también conocido como Bifrost) que utiliza un dominio engañoso que imita a VMware.

"Esta última versión de Bifrost tiene como objetivo eludir las medidas de seguridad y comprometer los sistemas específicos", dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Anmol Maurya y Siddharth Sharma.

BIFROSE es una de las amenazas de larga data que ha estado activa desde 2004. Se ha puesto a la venta en foros clandestinos por hasta 10.000 dólares en el pasado, según un informe de Trend Micro en diciembre de 2015.

El malware ha sido utilizado por un grupo de piratas informáticos respaldado por el estado de China rastreado como BlackTech (también conocido como Circuit Panda, HUAPI, Manga Taurus, Palmerworm, PLEAD, Red Djinn y Temp.Overboard), que tiene un historial de atacar organizaciones en Japón, Taiwán y los EE. UU.

Se sospecha que el actor de amenazas compró el código fuente u obtuvo acceso a él alrededor de 2010, y reutilizó el malware para usarlo en sus propias campañas a través de puertas traseras personalizadas como KIVARS y XBOW.

Las variantes de Linux de BIFROSE (también conocido como ELF_BIFROSE) se han observado desde al menos 2020 con capacidades para iniciar shells remotos, descargar/cargar archivos y realizar operaciones de archivos.

"Los atacantes suelen distribuir Bifrost a través de archivos adjuntos de correo electrónico o sitios web maliciosos", dijeron los investigadores. "Una vez instalado en la computadora de la víctima, Bifrost permite al atacante recopilar información confidencial, como el nombre de host y la dirección IP de la víctima".

Lo que hace que la última variante sea digna de mención es que se comunica con un servidor de comando y control (C2) con el nombre "download.vmfare[.] com" en un intento de hacerse pasar por VMware. El dominio engañoso se resuelve poniéndose en contacto con un solucionador de DNS público con sede en Taiwán con la dirección IP 168.95.1[.] 1.

Unit 42 dijo que detectó un aumento en la actividad de Bifrost desde octubre de 2023, identificando no menos de 104 artefactos en su telemetría. Además, descubrió una versión Arm del malware, lo que sugiere que es probable que los actores de amenazas estén buscando expandir su superficie de ataque.


"Con nuevas variantes que emplean estrategias de dominio engañosas como el typosquatting, un aumento reciente en la actividad de Bifrost destaca la naturaleza peligrosa de este malware", dijeron los investigadores.

El desarrollo se produce cuando McAfee Labs detalló una nueva campaña de GuLoader que propaga el malware a través de archivos adjuntos SVG maliciosos en mensajes de correo electrónico. También se ha observado que el malware se distribuye a través de scripts VBS como parte de una entrega de carga útil de varias etapas.

"Este reciente aumento pone de manifiesto la evolución de sus tácticas para ampliar el alcance y la evasión", dijo Trustwave SpiderLabs en una publicación en X a principios de esta semana.


Los ataques de Bifrost y GuLoader coinciden con el lanzamiento de una nueva versión del RAT de Warzone, que recientemente tuvo a dos de sus operadores arrestados y su infraestructura desmantelada por el gobierno de los EE. UU.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#29

Se ha observado un novedoso kit de phishing que se hace pasar por las páginas de inicio de sesión de conocidos servicios de criptomonedas como parte de un grupo de ataque diseñado para atacar principalmente dispositivos móviles.

"Este kit permite a los atacantes crear copias de las páginas de inicio de sesión único (SSO), y luego usar una combinación de correo electrónico, SMS y phishing de voz para engañar al objetivo para que comparta nombres de usuario, contraseñas, URL de restablecimiento de contraseña e incluso identificaciones con foto de cientos de víctimas, principalmente en los Estados Unidos", dijo Lookout en un informe.

Los objetivos del kit de phishing incluyen empleados de la Comisión Federal de Comunicaciones (FCC), Binance, Coinbase y usuarios de criptomonedas de varias plataformas como Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown y Trezor. Más de 100 víctimas han sido víctimas de phishing con éxito hasta la fecha.

Las páginas de phishing están diseñadas de tal manera que la pantalla de inicio de sesión falsa se muestra solo después de que la víctima complete una prueba de CAPTCHA usando hCaptcha, evitando así que las herramientas de análisis automatizadas marquen los sitios.

En algunos casos, estas páginas se distribuyen a través de llamadas telefónicas y mensajes de texto no solicitados suplantando la identidad del equipo de atención al cliente de una empresa con el pretexto de proteger su cuenta después de un supuesto hackeo.

Una vez que el usuario ingresa sus credenciales, se le pide que proporcione un código de autenticación de dos factores (2FA) o se le pide que "espere" mientras afirma verificar la información proporcionada.

"Es probable que el atacante intente iniciar sesión con estas credenciales en tiempo real, y luego redirija a la víctima a la página apropiada dependiendo de la información adicional solicitada por el servicio MFA al que el atacante está tratando de acceder", dijo Lookout.

El kit de phishing también intenta dar una ilusión de credibilidad al permitir que el operador personalice la página de phishing en tiempo real proporcionando los dos últimos dígitos del número de teléfono real de la víctima y seleccionando si se le debe pedir a la víctima un token de seis o siete dígitos.

La contraseña de un solo uso (OTP) introducida por el usuario es capturada por el actor de amenazas, que la utiliza para iniciar sesión en el servicio en línea deseado utilizando el token proporcionado. En el siguiente paso, la víctima puede ser dirigida a cualquier página de la elección del atacante, incluida la página de inicio de sesión legítima de Okta o una página que muestre mensajes personalizados.

Lookout dijo que la campaña comparte similitudes con la de Scatter Spider, específicamente en su suplantación de Okta y el uso de dominios que han sido previamente identificados como afiliados al grupo.


"A pesar de que las URL y las páginas falsificadas se parecen a lo que Scatter Spider podría crear, hay capacidades significativamente diferentes y una infraestructura C2 dentro del kit de phishing", dijo la compañía. "Este tipo de imitación es común entre los grupos de actores de amenazas, especialmente cuando una serie de tácticas y procedimientos han tenido tanto éxito público".

Actualmente tampoco está claro si se trata del trabajo de un solo actor de amenazas o de una herramienta común utilizada por diferentes grupos.

"La combinación de URL de phishing de alta calidad, páginas de inicio de sesión que coinciden perfectamente con la apariencia de los sitios legítimos, un sentido de urgencia y una conexión constante a través de SMS y llamadas de voz es lo que ha dado a los actores de amenazas tanto éxito en el robo de datos de alta calidad", señaló Lookout.

El desarrollo se produce cuando Fortra reveló que las instituciones financieras en Canadá han estado bajo el objetivo de un nuevo grupo de phishing como servicio (PhaaS) llamado LabHost, superando a su rival Frappo en popularidad en 2023.

Los ataques de phishing de LabHost se llevan a cabo mediante una herramienta de gestión de campañas en tiempo real llamada LabRat que permite organizar un ataque de adversario en el medio (AiTM) y capturar credenciales y códigos 2FA.

También desarrollada por el actor de amenazas es una herramienta de spam por SMS denominada LabSend que proporciona un método automatizado para enviar enlaces a páginas de phishing de LabHost, lo que permite a sus clientes montar campañas de smishing a escala.

"Los servicios de LabHost permiten a los actores de amenazas apuntar a una variedad de instituciones financieras con características que van desde plantillas listas para usar, herramientas de gestión de campañas en tiempo real y señuelos de SMS", dijo la compañía.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#30

Microsoft ha lanzado la actualización acumulativa opcional KB5034843 Preview para Windows 10 22H2 con una experiencia de uso compartido actualizada y otras ocho correcciones o cambios.

Al igual que con todas las nuevas actualizaciones de Windows 10, se trata principalmente de una versión de mantenimiento, y la mayoría de las correcciones de esta actualización están relacionadas con los servicios empresariales, como Azure, Escritorio remoto y Windows Hello para empresas.

Esta KB5034843 versión preliminar de actualización acumulativa es parte de la nueva "versión preliminar opcional no relacionada con la seguridad" de Microsoft que se publica el último martes de cada mes. Esta actualización permite a los administradores de Windows probar las próximas correcciones y características que se lanzarán en el próximo martes de parches obligatorio de marzo.

A diferencia de las actualizaciones acumulativas del martes de parches, las actualizaciones de vista previa no incluyen actualizaciones de seguridad.

Los usuarios de Windows pueden instalar esta actualización yendo a Configuración, haciendo clic en Windows Update y realizando manualmente una 'Búsqueda de actualizaciones'.

Como se trata de una actualización opcional, se le preguntará si desea instalarla haciendo clic en el enlace 'Descargar e instalar', como se muestra en la imagen a continuación.

Vista previa
de actualización acumulativa de Windows 10 KB5034843Fuente: BleepingComputer

Después de instalar esta actualización, Windows 10 22H2 se actualizará a la compilación 19045.4123.

Los usuarios de Windows 10 también pueden descargar e instalar manualmente la actualización de vista previa de KB5034843 desde el catálogo de Microsoft Update.

Novedades de Windows 10 KB5034843


Con esta actualización, Microsoft ha introducido nueve correcciones y cambios en Windows 10.

Las correcciones destacadas y las nuevas características de la actualización KB5034843 son:

  • Con el uso compartido de Windows, ahora puede compartir directamente URL con aplicaciones como WhatsApp, Gmail, Facebook y LinkedIn. Compartir con X (antes Twitter) llegará pronto.
  • Esta actualización afecta a los juegos que instales en una unidad secundaria. Ahora, permanecen instalados en la unidad.
  • Esta actualización afecta a la aplicación Copia de seguridad de Windows. Ya no se mostrará en la interfaz de usuario en las regiones donde la aplicación no es compatible. Para obtener más información, consulte KB5032038.

Microsoft también ha corregido dos errores que afectaban a las sesiones de Azure Virtual Desktop.

Por último, Microsoft sigue advirtiendo sobre dos errores de larga data en los que Copilot puede hacer que los iconos cambien entre varios monitores, y Copilot no es compatible actualmente si la barra de tareas se encuentra verticalmente a la izquierda o a la derecha de la pantalla.

Las instrucciones para resolver este problema y una lista completa de correcciones se pueden encontrar en el boletín de soporte técnico de KB5034843.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#31

Brave Software es la próxima compañía en saltar a la IA, anunciando que un nuevo asistente de IA que preserva la privacidad llamado "Leo" se está implementando en la versión de Android de su navegador a través de la última versión, la versión 1.63.

Leo puede realizar una amplia gama de tareas, como resumir páginas web o vídeos, responder preguntas sobre un contenido determinado, traducir páginas, escribir código, crear transcripciones a partir de clips de vídeo o audio y generar contenido escrito.

Invocar al asistente es tan simple como tocar el botón "estrella" cuando las funciones de IA están disponibles. Para el chat en la página, toca el menú de opciones "⋮" y selecciona "Leo" para comenzar.


El servicio se ofrece a través de dos niveles, uno gratuito y uno premium que cuesta $ 14.99 / mes, que tiene límites de tarifa más altos y la capacidad de usarlo en cinco dispositivos distintos en cualquiera de las plataformas compatibles (Windows, macOS, Linux, Android).

Brave dice que su asistente de IA se destaca por su capacidad para proporcionar respuestas relevantes y de alta calidad con menos errores, gracias al aprovechamiento de varios modelos avanzados de lenguaje grande (LLM) como Mixtral 8x7B, Claude Instant y Llama 2 13B, con Mixtral configurado como predeterminado por sus capacidades multilingües y rendimiento superior.

La llegada de las herramientas de IA a los dispositivos móviles está transformando la experiencia del usuario, ofreciendo una comodidad y eficiencia sin precedentes en movimiento.

Sin embargo, esta nueva tecnología trae consigo una mayor preocupación por la privacidad de los datos, ya que estas herramientas a menudo operan continuamente en segundo plano, monitoreando todas las interacciones de los usuarios con el contenido y los servicios.

Brave dice que Leo es fundamentalmente diferente en ese frente, incorporando fuertes salvaguardas que garantizan la privacidad al tiempo que permiten a los usuarios aprovechar el poder de las herramientas de IA.

Estas medidas se resumen de la siguiente manera:

  • Los usuarios no tienen que iniciar sesión en una cuenta de Brave para usar Leo (nivel gratuito), por lo que no hay riesgo de creación de perfiles o desanonimización.
  • Leo no graba los chats con los usuarios ni los utiliza para el entrenamiento/optimización del modelo.
  • Todas las solicitudes de los usuarios se envían mediante proxy a través de un servidor de anonimización, por lo que los ID de usuario y las solicitudes se desacoplan.
  • Las respuestas de Leo se borran de los servidores de Brave después de que se generan. Las respuestas que utilizan modelos antrópicos se eliminan después de 30 días.
  • No se recopilan ni almacenan identificadores de usuario, como direcciones IP.
  • Los usuarios de Leo Premium que necesitan suscribirse reciben tokens anónimos que validan el estado de su cuenta, que no están vinculados a sus datos de pago.

Leo se presentará a los usuarios del navegador Brave en Android a través de un lanzamiento gradual en la versión 1.63. Esto significa que es posible que no esté disponible de inmediato, incluso si ha actualizado a la última versión, pero Brave dice que debería aparecer para todos en unos días.

Brave Leo en iOS (iPhone) estará disponible en las próximas semanas, según el anuncio, por lo que la espera para los usuarios de Apple tampoco será larga.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#32

Los investigadores de ciberseguridad han revelado una nueva técnica de ataque llamada Silver SAML que puede tener éxito incluso en los casos en los que se han aplicado mitigaciones contra los ataques Golden SAML.

Silver SAML "permite la explotación de SAML para lanzar ataques desde un proveedor de identidad como Entra ID contra aplicaciones configuradas para usarlo para la autenticación, como Salesforce", dijeron los investigadores de Semperis, Tomer Nahum y Eric Woodruff, en un informe compartido con The Hacker News.

Golden SAML (abreviatura de Security Assertion Markup Language) fue documentado por primera vez por CyberArk en 2017. El vector de ataque, en pocas palabras, implica el abuso del estándar de autenticación interoperable para suplantar casi cualquier identidad en una organización.

También es similar al ataque Golden Ticket en el sentido de que otorga a los atacantes la capacidad de obtener acceso no autorizado a cualquier servicio de una federación con privilegios y de permanecer persistentes en este entorno de manera sigilosa.

Golden SAML presenta a una federación las ventajas que ofrece Golden Ticket en un entorno Kerberos, desde obtener cualquier tipo de acceso hasta mantener sigilosamente la persistencia", señaló en ese momento el investigador de seguridad Shaked Reiner.

Los ataques en el mundo real que aprovechan el método han sido raros, y el primer uso registrado fue el compromiso de la infraestructura de SolarWinds para obtener acceso administrativo mediante la falsificación de tokens SAML utilizando certificados de firma de tokens SAML comprometidos.

Golden SAML también ha sido utilizado como arma por un actor de amenazas iraní con nombre en clave Peach Sandstorm en una intrusión de marzo de 2023 para acceder a los recursos en la nube de un objetivo sin nombre sin necesidad de contraseña, según reveló Microsoft en septiembre de 2023.


El enfoque más reciente es una versión de Golden SAML que funciona con un proveedor de identidades (IdP) como Microsoft Entra ID (anteriormente Azure Active Directory) y no requiere acceso a los Servicios de federación de Active Directory (AD FS). Se ha evaluado como una amenaza de gravedad moderada para las organizaciones.

"Dentro de Entra ID, Microsoft proporciona un certificado autofirmado para la firma de respuesta SAML", dijeron los investigadores. "Alternativamente, las organizaciones pueden optar por utilizar un certificado generado externamente, como los de Okta. Sin embargo, esa opción introduce un riesgo de seguridad".

"Cualquier atacante que obtenga la clave privada de un certificado generado externamente puede falsificar cualquier respuesta SAML que desee y firmar esa respuesta con la misma clave privada que tiene Entra ID. Con este tipo de respuesta SAML falsificada, el atacante puede acceder a la aplicación, como cualquier usuario".

Tras la divulgación responsable a Microsoft el 2 de enero de 2024, la compañía dijo que el problema no cumple con su estándar de servicio inmediato, pero señaló que tomará las medidas apropiadas según sea necesario para proteger a los clientes.

Si bien no hay evidencia de que Silver SAML haya sido explotado en la naturaleza, las organizaciones deben usar solo certificados autofirmados de Entra ID para fines de firma SAML. Semperis también ha puesto a disposición una prueba de concepto (PoC) denominada SilverSAMLForger para crear respuestas SAML personalizadas.

"Las organizaciones pueden monitorear los registros de auditoría de Entra ID para ver si hay cambios en PreferredTokenSigningKeyThumbprint en ApplicationManagement", dijeron los investigadores.

"Deberá correlacionar esos eventos con los eventos de credenciales de la entidad de servicio que se relacionan con la entidad de servicio. La rotación de certificados expirados es un proceso común, por lo que deberá determinar si los eventos de auditoría son legítimos. La implementación de procesos de control de cambios para documentar la rotación puede ayudar a minimizar la confusión durante los eventos de rotación".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#33

Los cazadores de amenazas han descubierto un nuevo malware para Linux llamado GTPDOOR que está diseñado para ser desplegado en redes de telecomunicaciones adyacentes a los intercambios de roaming GPRS (GRX)

El malware es novedoso en el hecho de que aprovecha el protocolo de túnel GPRS (GTP) para las comunicaciones de comando y control (C2).

El roaming GPRS permite a los suscriptores acceder a sus servicios GPRS mientras están fuera del alcance de su red móvil doméstica. Esto se facilita por medio de un GRX que transporta el tráfico itinerante utilizando GTP entre la red móvil terrestre pública (PLMN) visitada y la doméstica.

El investigador de seguridad haxrob, que descubrió dos artefactos GTPDOOR subidos a VirusTotal desde China e Italia, dijo que es probable que la puerta trasera esté vinculada a un conocido actor de amenazas rastreado como LightBasin (también conocido como UNC1945), que fue revelado previamente por CrowdStrike en octubre de 2021 en relación con una serie de ataques dirigidos al sector de las telecomunicaciones para robar información de suscriptores y metadatos de llamadas.


"Cuando se ejecuta, lo primero que hace GTPDOOR es pisotear el nombre del proceso, cambiando su nombre de proceso a '[syslog]', disfrazado de syslog invocado desde el kernel", dijo el investigador. "Suprime las señales de los niños y luego abre un zócalo sin procesar [que] permitirá que el implante reciba mensajes UDP que lleguen a las interfaces de red".

Dicho de otra manera, GTPDOOR permite que un actor de amenazas que ya ha establecido persistencia en la red de intercambio itinerante se ponga en contacto con un host comprometido mediante el envío de mensajes de solicitud de eco GTP-C con una carga maliciosa.

Este mensaje mágico de solicitud de eco GTP-C actúa como un conducto para transmitir un comando que se ejecutará en la máquina infectada y devolver los resultados al host remoto.

GTPDOOR "se puede sondear de forma encubierta desde una red externa para obtener una respuesta mediante el envío de un paquete TCP a cualquier número de puerto", señaló el investigador. "Si el implante está activo, se devuelve un paquete TCP vacío elaborado junto con información sobre si el puerto de destino estaba abierto o respondiendo en el host".

"Este implante parece estar diseñado para asentarse en hosts comprometidos que tocan directamente la red GRX: estos son los sistemas que se comunican con las redes de otros operadores de telecomunicaciones a través de GRX".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#34

Epic Games dijo que no encontró evidencia de un ataque cibernético o robo de datos después de que el grupo de extorsión Mogilevich afirmara haber violado los servidores de la compañía.

"Estamos investigando, pero actualmente no hay evidencia de que estas afirmaciones sean legítimas", dijo Epic Games a BleepingComputer en un comunicado.

"Mogilievich no se ha puesto en contacto con Epic ni ha proporcionado ninguna prueba de la veracidad de estas acusaciones".

Epic Games le dijo a BleepingComputer que inmediatamente comenzaron a investigar el incidente después de ver una captura de pantalla de la página de la web oscura que promocionaba la violación e intentaron ponerse en contacto con el actor de amenazas.

Sin embargo, la compañía nos dijo que nunca recibieron una respuesta de Mogilevich, y que la única información que tenían era de un tuit que publiqué ayer.

Ayer, después de que la noticia de la supuesta violación se difundiera a través de Twitter, hablé con un representante del grupo de extorsión Mogilevich, preguntándole si compartirían pruebas del ataque.


Mogilevich afirma estar vendiendo datos robados de Epic Games
Fuente: BleepingComputer

Los actores de amenazas le dijeron a BleepingComputer que estaban vendiendo los datos robados por USD 15,000, pero que solo compartirían muestras con aquellos que mostraran "prueba de fondos", lo que significa que habían demostrado que tenían los activos de criptomonedas disponibles para realizar la compra.

Afirmaron que compartieron muestras de estos datos presuntamente robados con tres personas que mostraron pruebas de fondos.

¿Quién es Mogilevich?

Mogilevich es un grupo de extorsión relativamente nuevo que afirma haber violado numerosas organizaciones, incluido el Departamento de Asuntos Exteriores de Irlanda e Infinity USA.

Sin embargo, a diferencia de otros grupos de extorsión, Mogilevich no comparte muestras de datos robados y afirma que solo está vendiendo directamente a compradores comprobados.

Esta falta de pruebas ha llevado a muchos investigadores de seguridad con los que ha hablado BleepingComputer a creer que los actores de amenazas están intentando estafar a los compradores con datos falsos.

Los actores de amenazas también afirman ser una operación de ransomware como servicio, reclutando a otros piratas informáticos (afiliados) para que trabajen con ellos a cambio de un cifrado de ransomware que funcione y un panel de negociación. Cuando un afiliado lleva a cabo un ataque y se paga un rescate, el afiliado y los operadores dividen el pago en función de los porcentajes negociados.

Sin embargo, en este momento no se han encontrado muestras de ningún encriptador de ransomware que los vincule a ataques de cifrado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#35

Kali Linux ha lanzado la versión 2024.1, la primera versión de 2024, con cuatro nuevas herramientas, una actualización del tema y cambios en el escritorio.

Kali Linux es una distribución creada para que los profesionales de la ciberseguridad y los hackers éticos realicen pruebas de penetración, auditorías de seguridad e investigaciones contra las redes.

Como es típico de la primera versión del año, el equipo de Kali ha lanzado nuevos elementos visuales, incluidos fondos de pantalla y actualizaciones en el menú de inicio y la pantalla de inicio de sesión.

Cuatro nuevas herramientas en Kali Linux 2024.1

Al igual que con todos los lanzamientos, no sería divertido sin algunas herramientas nuevas con las que jugar.

A continuación se muestran las cuatro nuevas herramientas agregadas en Kali 2024.1:

  • blue-hydra - Servicio de detección de dispositivos Bluetooth
  • opentaxii - Implementación del servidor TAXII de EclecticIQ
  • readpe: herramientas de línea de comandos para manipular archivos de Windows PE
  • snort - Sistema flexible de detección de intrusos en la red

Además de las nuevas herramientas, Kali dice que actualizaron la versión del Kernel a la 6.6.

Actualización anual del tema

Como parte de la primera versión del año, el equipo de Kali agrega nuevos elementos visuales a la distro, y este año no es la excepción.

"Este año marca la presentación de nuestro nuevo tema, meticulosamente diseñado para mejorar la experiencia del usuario desde el momento en que se inicia", se lee en el anuncio de Kali.

"Con actualizaciones significativas en el menú de arranque, la pantalla de inicio de sesión y una variedad de fondos de escritorio cautivadores, tanto para nuestras ediciones regulares Kali como Kali Purple".


Kali Desktop en la versión 2024.1
Fuente: Kali

Esta versión de Kali también viene con dos nuevos fondos de pantalla sugeridos por @arszilla.

"Estas imágenes adicionales se crearon para complementar los colores de fondo de los esquemas de color Nórdico y Drácula", dice el equipo de Kali.

"Para acceder a estos fondos de pantalla, simplemente instale el paquete kali-community-wallpapers, que también ofrece muchos otros fondos impresionantes creados por nuestros colaboradores de la comunidad".

Nuevos cambios en el escritorio

Además de los cambios visuales, el equipo de Kali también ha añadido algunas características nuevas a los escritorios Xfce y Gnome.

Para los usuarios de Xfce que usan Xclip, ahora puede copiar fácilmente su dirección IP VPN en el portapapeles, lo que facilita la administración de sus conexiones VPN.


Haga clic para copiar la dirección
IP de la VPN Fuente: Kali

Para los usuarios de Gnome, el visor de imágenes del ojo del gnomo (eog) ha sido reemplazado por Loupe, y el último administrador de archivos Nautilus trae mejoras de velocidad.

Cómo obtener Kali Linux 2024.1

Para comenzar a usar Kali Linux 2024.1, puede actualizar su instalación existente, seleccionar una plataforma o descargar directamente imágenes ISO para nuevas instalaciones y distribuciones en vivo.

Para aquellos que actualizan desde una versión anterior, puede usar los siguientes comandos para actualizar a la versión más reciente.


Si ejecuta Kali en el Subsistema de Windows para Linux, actualice a WSL2 para obtener una mejor experiencia, incluida la capacidad de usar aplicaciones gráficas.

Puede comprobar la versión de WSL usada por Kali con el comando 'wsl -l -v' en un símbolo del sistema de Windows.

Una vez finalizada la actualización, puede comprobar si la actualización se ha realizado correctamente mediante el siguiente comando:



Comprobación de la versión de Kali Linux
Fuente: BleepingComputer

Puede ver el registro de cambios completo de Kali 2024.1 en el sitio web de Kali.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#36

Los usuarios mexicanos han sido objeto de señuelos de phishing con temática fiscal al menos desde noviembre de 2023 para distribuir un malware de Windows previamente indocumentado llamado TimbreStealer.

Cisco Talos, que descubrió la actividad, describió a los autores como hábiles y que el "actor de amenazas ha utilizado previamente tácticas, técnicas y procedimientos (TTP) similares para distribuir un troyano bancario conocido como Mispadu en septiembre de 2023.

Además de emplear sofisticadas técnicas de ofuscación para eludir la detección y garantizar la persistencia, la campaña de phishing hace uso de geofencing para identificar a los usuarios en México, devolviendo un archivo PDF en blanco inocuo en lugar del malicioso si los sitios de carga útil son contactados desde otras ubicaciones.

Algunas de las maniobras evasivas notables incluyen el aprovechamiento de cargadores personalizados y llamadas directas al sistema para eludir el monitoreo convencional de API, además de utilizar Heaven's Gate para ejecutar código de 64 bits dentro de un proceso de 32 bits, un enfoque que también fue adoptado recientemente por HijackLoader.

El malware viene con varios módulos integrados para la orquestación, el descifrado y la protección del binario principal, al tiempo que ejecuta una serie de comprobaciones para determinar si se está ejecutando un entorno sandbox, si el idioma del sistema no es ruso y si la zona horaria está dentro de una región de América Latina.

El módulo orquestador también busca archivos y claves de registro para verificar que la máquina no haya sido infectada previamente, antes de iniciar un componente de instalación de carga útil que muestra un archivo señuelo benigno al usuario, ya que en última instancia desencadena la ejecución de la carga útil principal de TimbreStealer.

La carga útil está diseñada para recopilar una amplia gama de datos, incluida la información de credenciales de diferentes carpetas, los metadatos del sistema y las URL a las que se accede, buscar archivos que coincidan con extensiones específicas y verificar la presencia de software de escritorio remoto.


Cisco Talos dijo que identificó superposiciones con una campaña de spam de Mispadu observada en septiembre de 2023, aunque las industrias objetivo de TimbreStealer son variadas y con un enfoque en los sectores de fabricación y transporte.

La revelación se produce en medio de la aparición de una nueva versión de otro ladrón de información llamado Atomic (también conocido como AMOS), que es capaz de recopilar datos de los sistemas macOS de Apple, como contraseñas de cuentas de usuario locales, credenciales de Mozilla Firefox y navegadores basados en Chromium, información de billeteras criptográficas y archivos de interés, utilizando una combinación inusual de código Python y Apple Script.

"La nueva variante cae y usa un script de Python para mantenerse encubierto", dijo el investigador de Bitdefender Andrei Lapusneanu, señalando que el bloque Apple Script para recopilar archivos confidenciales de la computadora de la víctima exhibe un "nivel significativamente alto de similitud" con la puerta trasera RustDoor.


También sigue la aparición de nuevas familias de malware ladrón como XSSLite, que se lanzó como parte de una competencia de desarrollo de malware organizada por el foro XSS, incluso cuando las cepas existentes como Agent Tesla y Pony (también conocidas como Fareit o Siplog) continuaron utilizándose para el robo de información y la posterior venta en mercados de registros de ladrones como Exodus.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#37

En un nuevo aviso conjunto, las agencias de ciberseguridad e inteligencia de Estados Unidos y otros países están instando a los usuarios de Ubiquiti EdgeRouter a tomar medidas de protección, semanas después de que una botnet compuesta por enrutadores infectados fuera derribada por las fuerzas del orden como parte de una operación con el nombre en clave Dying Ember.

Se dice que la botnet, llamada MooBot, ha sido utilizada por un actor de amenazas vinculado a Rusia conocido como APT28 para facilitar las operaciones cibernéticas encubiertas y lanzar malware personalizado para su posterior explotación. Se sabe que APT28, afiliado a la Dirección Principal del Estado Mayor General de Rusia (GRU), está activo desde al menos 2007.

Los actores de APT28 han "utilizado EdgeRouters comprometidos a nivel mundial para recopilar credenciales, recopilar resúmenes de NTLMv2, proxy de tráfico de red y alojar páginas de destino de spear-phishing y herramientas personalizadas", dijeron las autoridades [PDF].

El uso de EdgeRouters por parte del adversario se remonta a 2022, y los ataques se dirigieron a los sectores aeroespacial y de defensa, educación, energía y servicios públicos, gobiernos, hostelería, fabricación, petróleo y gas, comercio minorista, tecnología y transporte en la República Checa, Italia, Lituania, Jordania, Montenegro, Polonia, Eslovaquia, Turquía, Ucrania, Emiratos Árabes Unidos y Estados Unidos.

Los ataques MooBot consisten en apuntar a enrutadores con credenciales predeterminadas o débiles para implementar troyanos OpenSSH, y APT28 adquiere este acceso para entregar scripts bash y otros binarios ELF para recopilar credenciales, tráfico de red proxy, alojar páginas de phishing y otras herramientas.

Esto incluye scripts de Python para cargar credenciales de cuentas pertenecientes a usuarios de correo web específicos, que se recopilan a través de scripts entre sitios y campañas de spear-phishing de navegador en el navegador (BitB).

APT28 también se ha relacionado con la explotación de CVE-2023-23397 (puntuación CVSS: 9,8), una falla de escalada de privilegios críticos ahora parcheada en Microsoft Outlook que podría permitir el robo de hashes de NT LAN Manager (NTLM) y montar un ataque de retransmisión sin requerir ninguna interacción del usuario.

Otra herramienta en su arsenal de malware es MASEPIE, una puerta trasera de Python capaz de ejecutar comandos arbitrarios en las máquinas de las víctimas utilizando Ubiquiti EdgeRouters comprometidos como infraestructura de comando y control (C2).

"Con el acceso root a los Ubiquiti EdgeRouters comprometidos, los actores de APT28 tienen acceso sin restricciones a los sistemas operativos basados en Linux para instalar herramientas y ofuscar su identidad mientras realizan campañas maliciosas", señalaron las agencias.

Se recomienda a las organizaciones que realicen un restablecimiento de fábrica de hardware de los enrutadores para vaciar los sistemas de archivos de archivos maliciosos, actualizar a la última versión de firmware, cambiar las credenciales predeterminadas e implementar reglas de firewall para evitar la exposición de los servicios de administración remota.

Las revelaciones son una señal de que los piratas informáticos de los estados-nación confían cada vez más en los enrutadores como plataforma de lanzamiento para los ataques, usándolos para crear botnets como VPNFilter, Cyclops Blink y KV-botnet y llevar a cabo sus actividades maliciosas.

El boletín llega un día después de que las naciones de los Cinco Ojos denunciaran a APT29, el grupo de amenazas afiliado al Servicio de Inteligencia Exterior de Rusia (SVR) y la entidad detrás de los ataques a SolarWinds, Microsoft y HPE, por emplear cuentas de servicio y cuentas inactivas para acceder a entornos de nube en organizaciones objetivo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#38

Una campaña masiva de fraude publicitario llamada "SubdoMailing" está utilizando más de 8,000 dominios legítimos de Internet y 13,000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa.

La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios pertenecientes a empresas conocidas para enviar sus correos electrónicos maliciosos.

Como estos dominios pertenecen a empresas de confianza, obtienen la ventaja de poder eludir los filtros de spam y, en algunos casos, aprovechar las políticas de correo electrónico SPF y DKIM configuradas que indican a las pasarelas de correo electrónico seguras que los correos electrónicos son legítimos y no spam.

Algunas marcas notables que fueron víctimas de esta campaña de secuestro de dominios incluyen MSN, VMware, McAfee, The Economist, Cornell University, CBS, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, Marvel y eBay.

Estas marcas de renombre dan involuntariamente legitimidad a los correos electrónicos fraudulentos y los ayudan a pasar a través de los filtros de seguridad.

Al hacer clic en los botones incrustados en los correos electrónicos, los usuarios pasan por una serie de redirecciones, lo que genera ingresos para los actores de amenazas a través de vistas de anuncios fraudulentos. En última instancia, el usuario llega a obsequios falsos, escaneos de seguridad, encuestas o estafas de afiliados.

Los investigadores de Guardio Labs, Nati Tal y Oleg Zaytsev, descubrieron la campaña de fraude publicitario e informaron que la operación ha estado en marcha desde 2022.


Ejemplos de correos electrónicos fraudulentos
Fuente: Guardio Labs

Secuestro de dominios para spam

La investigación de Guardio Labs comenzó con la detección de patrones inusuales en los metadatos del correo electrónico, lo que llevó al descubrimiento de una vasta operación de secuestro de subdominios.

Un estudio de caso de un correo electrónico falsamente autorizado por MSN muestra la variedad de tácticas utilizadas por los atacantes para hacer que sus correos electrónicos parezcan legítimos y evadir los bloqueos, incluido el abuso de las comprobaciones SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y los protocolos DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Estas políticas de correo electrónico se utilizan para demostrar a las pasarelas de correo electrónico seguras que el remitente de un correo electrónico es legítimo y no debe tratarse como spam.


Tácticas combinadas por el actor
de amenazas Fuente: Guardio Labs

La campaña SubdoMailing se dirige a dominios y subdominios de organizaciones de renombre, intentando secuestrarlos principalmente a través del secuestro de CNAME y la explotación de registros SPF.

En los ataques CNAME, los actores de amenazas buscan subdominios de marcas de renombre con registros CNAME que apuntan a dominios externos que ya no están registrados. A continuación, registran ellos mismos estos dominios a través del servicio NameCheap.


Secuestro de
subdominios vulnerables Fuente: Guardio Labs

El segundo método consiste en examinar los registros SPF de los dominios de destino que utilizan la opción de configuración "include:" que apunta a dominios externos que ya no están registrados.

La opción de inclusión de SPF se utiliza para importar remitentes de correo electrónico permitidos desde el dominio externo, que ahora está bajo el control del actor de amenazas.

Los atacantes registran estos dominios y luego cambian sus registros SPF para autorizar sus propios servidores de correo electrónico maliciosos. Esto hace que los correos electrónicos del actor de amenazas parezcan provenir legítimamente de un dominio de buena reputación, como MSN.


Secuestro
basado en SPFFuente: Guardio Labs

La operación generalmente aprovecha los dominios secuestrados para enviar correos electrónicos de spam y phishing, alojar páginas de phishing o alojar contenido publicitario engañoso.

Una campaña masiva

Guardio Labs atribuye la campaña a un actor de amenazas al que llaman "ResurrecAds", que escanea sistemáticamente la web en busca de dominios que puedan ser secuestrados, asegurando nuevos hosts y direcciones IP y realizando compras de dominios específicas.

El actor de amenazas actualiza constantemente una vasta red de dominios secuestrados y adquiridos, servidores SMTP y direcciones IP para mantener la escala y la complejidad de la operación.


Actividad
diaria de registro de dominioFuente: Guardio Labs

Guardio Labs dice que SubdoMailing utiliza casi 22.000 direcciones IP únicas, mil de las cuales parecen ser proxies residenciales.

Actualmente, la campaña opera a través de servidores SMTP distribuidos globalmente y configurados para difundir correos electrónicos fraudulentos a través de una red masiva de 8.000 dominios y 13.000 subdominios.


Tamaño operativo de SubdoMailing
Fuente: Guardio Labs

El número de correos electrónicos que llegan a los objetivos supera los 5.000.000 diarios. Si bien el beneficio del atacante es imposible de apreciar, la escala de la operación y el volumen de los correos electrónicos fraudulentos son innegablemente masivos.

Guardio Labs ha creado un sitio de verificación de SubdoMailing que puede permitir a los propietarios de dominios detectar si se está abusando de su marca y tomar medidas para detenerlo o prevenirlo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#39

El gigante siderúrgico ThyssenKrupp confirma que los piratas informáticos violaron los sistemas de su división automotriz la semana pasada, lo que los obligó a cerrar los sistemas de TI como parte de su esfuerzo de respuesta y contención.

ThyssenKrupp AG es uno de los mayores productores de acero del mundo, emplea a más de 100.000 personas y tiene unos ingresos anuales de más de 44.400 millones de dólares (2022).

La empresa es un componente crucial de la cadena de suministro global de productos que utilizan acero como material en varios sectores, incluidos maquinaria, automoción, ascensores y escaleras mecánicas, ingeniería industrial, energía renovable y construcción.

En una declaración a BleepingComputer, ThyssenKrupp dice que sufrió un ataque cibernético la semana pasada, que afectó a su división de producción de carrocerías automotrices.

"Nuestra unidad de negocio ThyssenKrupp Automotive Body Solutions registró acceso no autorizado a su infraestructura de TI la semana pasada", declaró un portavoz de ThyssenKrupp.

"El equipo de seguridad de TI de Automotive Body Solutions reconoció el incidente en una etapa temprana y desde entonces ha trabajado con el equipo de seguridad de TI del Grupo ThyssenKrupp para contener la amenaza".

"Con este fin, se tomaron varias medidas de seguridad y ciertas aplicaciones y sistemas se desconectaron temporalmente".

ThyssenKrupp ha aclarado que ninguna otra unidad de negocio o segmento se ha visto afectado por el ciberataque, que estaba contenido en la división de automoción.

La firma también dijo que la situación está bajo control y que están trabajando para volver gradualmente a las operaciones normales.

El medio de comunicación alemán Saarbruecker Zeitung, que reveló por primera vez el ataque el viernes pasado, informa que la planta de ThyssenKrupp con sede en Saarland, que emplea a más de mil especialistas, se vio directamente afectada por el ataque.

La instalación está involucrada en la producción y el procesamiento de acero, así como en la investigación y el desarrollo, incluidas las colaboraciones con socios de la industria, instituciones de investigación y universidades.

BleepingComputer ha preguntado a ThyssenKrupp sobre la interrupción reportada en Saarland, y la compañía confirmó que la producción se cerró, pero aclaró que el suministro a los clientes aún no se había visto afectado.

Al desempeñar un papel tan destacado en la economía mundial, ThyssenKrupp se ha encontrado en el punto de mira de los hackers en múltiples ocasiones, incluso en 2022, 2020, 2016 y 2013, y la mayoría de los casos están dirigidos al espionaje y la interrupción operativa.

En el momento de escribir este artículo, ningún grupo importante de ransomware u otros actores de amenazas habían asumido la responsabilidad del ataque a ThyssenKrupp, por lo que se desconoce el tipo de infracción.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#40

Se ha revelado una falla de seguridad crítica en un popular complemento de WordPress llamado Ultimate Member que tiene más de 200,000 instalaciones activas.

La vulnerabilidad, rastreada como CVE-2024-1071, tiene una puntuación CVSS de 9,8 sobre un máximo de 10. Al investigador de seguridad Christiaan Swiers se le atribuye el descubrimiento y la notificación de la falla.

En un aviso publicado la semana pasada, la compañía de seguridad de WordPress Wordfence dijo que el complemento es "vulnerable a la inyección SQL a través del parámetro 'ordenación' en las versiones 2.1.3 a 2.8.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente".

Como resultado, los atacantes no autenticados podrían aprovechar la falla para agregar consultas SQL adicionales a consultas ya existentes y extraer datos confidenciales de la base de datos.

Vale la pena señalar que el problema solo afecta a los usuarios que han marcado la opción "Habilitar tabla personalizada para usermeta" en la configuración del complemento.

Tras la divulgación responsable el 30 de enero de 2024, los desarrolladores del plugin han puesto a disposición una solución para la falla con el lanzamiento de la versión 2.8.3 el 19 de febrero.

Se recomienda a los usuarios que actualicen el complemento a la última versión lo antes posible para mitigar las posibles amenazas, especialmente a la luz del hecho de que Wordfence ya ha bloqueado un ataque que intentaba explotar la falla en las últimas 24 horas.

En julio de 2023, los actores de amenazas aprovecharon activamente otra deficiencia en el mismo complemento (CVE-2023-3460, puntuación CVSS: 9.8 ) para crear usuarios administradores deshonestos y tomar el control de sitios vulnerables.


El desarrollo se produce en medio de un aumento en una nueva campaña que aprovecha los sitios de WordPress comprometidos para inyectar directamente drenadores de criptomonedas como Angel Drainer o redirigir a los visitantes del sitio a sitios de phishing Web3 que contienen drenadores.

"Estos ataques aprovechan las tácticas de phishing y las inyecciones maliciosas para explotar la dependencia del ecosistema Web3 de las interacciones directas de la billetera, lo que presenta un riesgo significativo tanto para los propietarios de sitios web como para la seguridad de los activos de los usuarios", dijo el investigador de Sucuri, Denis Sinegubko.

También sigue el descubrimiento de un nuevo esquema de drenaje como servicio (DaaS) llamado CG (abreviatura de CryptoGrab) que ejecuta un programa de afiliados de 10,000 miembros compuesto por hablantes de ruso, inglés y chino.

Uno de los canales de Telegram controlados por los actores de amenazas "remite a los atacantes a un bot de Telegram que les permite ejecutar sus operaciones de fraude sin dependencias de terceros", dijo Cyfirma en un informe a fines del mes pasado.

"El bot permite a un usuario obtener un dominio de forma gratuita, clonar una plantilla existente para el nuevo dominio, establecer la dirección de la billetera a la que se supone que se deben enviar los fondos estafados y también proporciona protección de Cloudflare para ese nuevo dominio".

También se ha observado que el grupo de amenazas utiliza dos bots de telegramas personalizados llamados SiteCloner y CloudflarePage para clonar un sitio web legítimo existente y agregarle protección de Cloudflare, respectivamente. Estas páginas se distribuyen principalmente utilizando cuentas X (anteriormente Twitter) comprometidas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta