Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

#1
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cofense Intelligence ha descubierto una nueva campaña de malware dirigida específicamente a hispanohablantes. Este malware, llamado Poco RAT, se envía por correo electrónico y está hábilmente disfrazado de documentos financieros. Los correos electrónicos maliciosos contienen un enlace a un archivo de Google Drive que, al hacer clic, descarga el malware en la computadora de la víctima.

El archivo se puede entregar de tres maneras: directamente en el correo electrónico utilizando una URL de Google Drive (53 % de los correos electrónicos), incrustado en un archivo HTML (40 % de los correos electrónicos) o adjunto a un PDF con un enlace para descargar desde Google Drive. (visto en el 7% de los correos electrónicos). El archivo HTML se puede adjuntar o descargar a través de otro enlace integrado alojado en Google Drive.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Los actores de amenazas suelen utilizar servicios legítimos de alojamiento de archivos, como Google Drive, para evitar las puertas de enlace de correo electrónico seguras (SEG)", explicaron los investigadores de Cofense en su informe compartido con No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Sin embargo, una vez descargado, Poco RAT establece persistencia en la máquina infectada y se inyecta en un proceso legítimo para permanecer oculto y operar sin ser detectado durante períodos prolongados.

Luego, Poco RAT se conecta a un servidor de comando y control (C2), recibiendo instrucciones del atacante, que siempre está alojado en 94131119126 y conectado a al menos uno de tres puertos: 6541, 6542 o 6543.

Para su información, Poco RAT es un troyano de acceso remoto dirigido a hablantes de español que utilizan la biblioteca POCO C++. Se observó por primera vez a principios de 2024 y se le asignó una familia de malware en febrero de 2024.

Inicialmente entregado a través de enlaces integrados a archivos 7zip que contienen ejecutables alojados en Google Drive, se dirige principalmente a empresas del sector minero (que representan el 67% de los ataques), pero con el tiempo amplió sus operaciones a tres sectores más, incluidos los servicios públicos, la manufactura y la hotelería.

El código personalizado del malware se centra en el antianálisis, la comunicación con su centro C2 y la descarga y ejecución de archivos, lo que lo hace capaz de entregar malware más especializado para el robo de información o ransomware.

Esta campaña de malware es peligrosa porque puede robar su información financiera o tomar el control total de su computadora. Para mantenerse a salvo del malware, tenga cuidado con los correos electrónicos no solicitados, evite abrir correos electrónicos de remitentes desconocidos, mantenga su software actualizado y habilite la autenticación de dos factores siempre que sea posible.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#2
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El sitio web independiente 404 Media informó por primera vez que el FBI había accedido con éxito al teléfono protegido con contraseña de Thomas Matthew Crooks, el fallecido sospechoso del intento de asesinato de Donald Trump.

"Los especialistas técnicos del FBI obtuvieron acceso con éxito al teléfono de Thomas Matthew Crooks y continúan analizando sus dispositivos electrónicos", se lee en un comunicado emitido por la oficina de prensa del FBI.

No está claro cómo los federales desbloquearon el teléfono; sin embargo, este caso demuestra los avances de las fuerzas del orden en eludir las medidas de seguridad implementadas para proteger los dispositivos móviles.

"Algunos detalles específicos, como por ejemplo cómo exactamente el FBI eludió las protecciones del teléfono, aún no están claros, pero las noticias indican que la realidad de obtener evidencia de dispositivos bloqueados con contraseña en casos de alto perfil es muy diferente a lo que era hace casi diez años, cuando El Departamento de Justicia de Estados Unidos intentó obligar a Apple a socavar los mecanismos de seguridad del iPhone para acceder a los datos del teléfono perteneciente al tirador de San Bernardino". afirma 404 Medios.

Inmediatamente después del intento de asesinato, los funcionarios del FBI en Pensilvania fracasaron al intentar acceder al dispositivo de Crooks. Luego, las autoridades enviaron el teléfono a Quantico, Virginia, donde los expertos del FBI analizaron el dispositivo.

En marzo de 2023, el Departamento de Justicia publicó un breve documento que amenazaba con obligar a Apple a entregar el código fuente de iOS si no ayudaba al FBI a desbloquear el iPhone del tirador de San Bernardino.

El director general de Apple, Tim Cook, declaró que la empresa se negará a ayudar al FBI para proteger a sus usuarios. La idea de introducir una puerta trasera en su sistema no es factible porque abre a los usuarios a muchos otros actores de amenazas.

Más tarde, el FBI abandonó el caso después de que el contratista gubernamental Azimuth Security desbloqueara con éxito el dispositivo.

Desde entonces, varias empresas forenses han desarrollado herramientas para desbloquear iPhones para la extracción de datos, que incluyen:

GrayKey: un dispositivo de hardware desarrollado por GrayShift que puede omitir códigos de acceso de iPhone y extraer datos. Varios medios informaron que las fuerzas del orden lo utilizaron.

UFED: una herramienta forense creada por Cellebrite que puede desbloquear iPhones y extraer datos. Es utilizado por agencias policiales y de inteligencia.

Elcomsoft iOS Forensic Toolkit: una herramienta de software que puede extraer datos de dispositivos iOS bloqueados.

MSAB XRY: una suite forense que permite desbloquear y extraer datos de dispositivos iOS.

Fuente
:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#3
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La nueva versión (versión 4.0) del ransomware HardBit viene con la mejora de ofuscación binaria con protección de frase de contraseña.

El ransomware requiere que se ingrese la frase de contraseña en tiempo de ejecución para poder ejecutarse. Además, la ofuscación adicional complica el análisis de los investigadores de seguridad.

El grupo de ransomware HardBit ofrece su malware en versiones CLI y GUI. La versión GUI es más fácil de usar, lo que facilita la ejecución para operadores con menos habilidades técnicas. El método de entrega involucra el virus Neshta, siendo el propio ransomware un binario .NET. El malware se ofusca utilizando un empaquetador llamado Ryan-_-Borland_Protector Cracked v1.0, que es una versión personalizada del empaquetador .NET de código abierto ConfuserEx.

El grupo de ransomware HardBit apareció por primera vez en el panorama de amenazas en octubre de 2022, pero a diferencia de otras operaciones de ransomware, no utiliza un modelo de doble extorsión en este momento.

La pandilla amenaza a las víctimas con nuevos ataques si no se cumplen sus demandas de rescate. Una vez infectada la red de una organización, el grupo de ransomware HardBit indica a las víctimas que se comuniquen con ellas por correo electrónico o mediante la plataforma de mensajería instantánea Tox.

El grupo apareció en los titulares porque busca negociar con las víctimas para llegar a un acuerdo.

Para que a las víctimas les resulte imposible recuperar los archivos cifrados, el ransomware elimina el Servicio de instantáneas de volumen (VSS) utilizando el Administrador de control de servicios y el catálogo de utilidades de copia de seguridad de Windows junto con las instantáneas.

Los investigadores notaron que el malware cifra muchos archivos, lo que podría causar errores cuando se reinicia Windows. Para evitar problemas en el inicio sucesivo, el malware edita la configuración de inicio para habilitar la opción "ignorar cualquier falla" y deshabilitar la opción de recuperación.

Para evitar que Windows Defender Antivirus bloquee el proceso de ransomware, realiza varios cambios en el Registro de Windows para deshabilitar muchas funciones de Windows Defender (es decir, protección contra manipulaciones, capacidades anti-spyware, monitoreo de comportamiento en tiempo real, protección de acceso (de archivos) en tiempo real, y escaneo de procesos en tiempo real).

El ransomware logra persistencia copiando una versión en la carpeta "Inicio" de la víctima, si aún no está presente. El nombre del archivo ejecutable imita el archivo ejecutable del host de servicio legítimo, svchost.exe, para evitar la detección.

Aún se desconoce el método de acceso inicial utilizado por el grupo HardBit Ransomware; sin embargo, los expertos de Cybereason señalaron que sigue metodologías similares asociadas con otras operaciones de ransomware.

HardBit comparte varias similitudes con LockBit Ransomware, incluido el nombre del grupo, imágenes/iconos, fuentes y notas de rescate. En este momento, no está claro si existe un vínculo entre HardBit y LockBit; los expertos especulan que estas similitudes pueden ser parte de las tácticas de marketing de HardBit.

"Si bien el vector de ataque inicial aún no está confirmado al momento de escribir este artículo, Cybereason plantea la hipótesis de que los actores de la amenaza obtienen un punto de apoyo inicial en el entorno de la víctima a través de la fuerza bruta de un servicio RDP y SMB abierto. De hecho, el entorno observó múltiples fallos de inicio de sesión desde direcciones IP conocidas de fuerza bruta".

Los actores de amenazas emplean herramientas de robo de credenciales, como Mimikatz y la herramienta de fuerza bruta RDP NLBrute, en actividades de movimiento lateral. El ataque comienza implementando un archivo zip llamado No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que incluía un script BAT (!start.bat) y archivos binarios Mimikatz. Tras la ejecución, Mimikatz ejecutó el script !start.bat, generando un archivo de salida, Result.txt, con las credenciales volcadas. Luego, esta salida fue analizada y formateada por un script llamado miparser.vbs.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los operadores confían en el infectador de archivos Neshta para implementar HardBit para el cifrado.

HardBit puede desactivar Microsoft Defender Antivirus e inhibir la recuperación del sistema. Puede finalizar procesos y servicios para evadir la detección; los expertos advierten que las versiones 3.0 y 4.0 también admiten el modo de limpieza.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El informe proporciona información adicional sobre el ransomware, incluido MITRE ATT&CK MAPPING.

Fuente
:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#4
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ookla® Speedtest® es una plataforma de servicios que se especializa en probar el rendimiento y la calidad de una conexión a Internet.
 
Está optimizada para medir incluso las conexiones modernas más avanzadas, y proporciona información transparente sobre los factores que más impactan las experiencias conectadas, incluido el ancho de banda, la latencia, la cobertura, las métricas de video y más.

Les precede una reputación y desde su fundación en 2006, han realizado con Speedtest un total incomparable de más de 55 mil millones de pruebas.

Veamos en ya a mediados de este año (Actualizado: junio 2024), cuáles naciones poseen el mejor internet en el mundo. Y cuáles son los respectivos puestos de las naciones hispanas que incluyen a Latinoamérica y España.

Medido en dos aspectos: Banda Móvil y Banda Ancha

La mejor velocidad de Internet en Banda Ancha la poseen:

•    Singapor (Malasia)

•    Emiratos Árabes Unidos

•    Hong Kong (China)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En Banda Móvil los primeros tres puestos se reparten entre:

•    Qatar

•    Emiratos Árabes Unidos

•    Kuwait

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En la zona hispano hablante en Banda Ancha el primer puesto lo sigue conservando Chile y ocupa el 4 lugar a nivel mundial. Para que después los chilenos no digan...
Y están por encima incluso de Estados Unidos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Grande por Chile que ha sabido invertir en el progreso.

En cambio, en Banda Móvil el primer puesto en la zona LATAM se lo lleva Brasil, que aunque no es hispano hablante forma parte de la región. Ocupa el puesto 37 a nivel mundial.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El segundo lugar de la zona, en Banda Ancha lo ocupa España, ubicándose en el puesto 11 en el ranking mundial.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y el tercer puesto lo ocupa Brasil.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El segundo puesto en mejor Banda Móvil de internet de la zona se lo lleva España y ocupa el puesto 53 a nivel mundial.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y el tercer lugar lo ocupa Chile, ocupando la posición 61.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se resumen el resto de las naciones Hispanohablantes según el lugar que ocupan:

Banda Ancha:

4- Uruguay
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

5- Perú
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

6- Panamá
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

7- Colombia
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

8- Costa Rica
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

9- Ecuador
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

10- Paraguay
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

11- Argentina
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

12- México
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

13- Nicaragua
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

14- Venezuela
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

15- El Salvador
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

16- Guatemala
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

17- Honduras
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

18- República Dominicana
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

19- Bolivia
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

20- Y en el último puesto Cuba.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
Es notable como Cuba ocupa el último puesto en ambas Bandas tanto Ancha como en la Móvil. Incluso muy por debajo de las naciones más pobres del mundo como son ciertos países africanos u Haití.

Banda Ancha (Cuba)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Banda Móvil (Cuba)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Increíble...


En Banda Móvil si le interesa saber qué puesto ocupa su nación, puede consultarlo en el siguiente enlace:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
Speedtest de Ookla
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#5
Sea Bienvenido!!

Y nunca deje de estudiar.

Recuerde que la clave del éxito está en la persistencia..
en el propósito, en el objetivo...

Buenos Deseos y Suerte.
#6
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Departamento de Justicia de Estados Unidos condenó a prisión al ciudadano ucraniano Vyacheslav Igorevich Penchukov (37) y le ordenó pagar millones de dólares en restitución por su papel en las operaciones de malware Zeus e IcedID.

Penchukov se declaró culpable de sus papeles clave en las operaciones de malware Zeus e IcedID en febrero de 2024.

En octubre de 2022, la policía suiza arrestó en Ginebra a Penchukov, también conocido como Tank, uno de los líderes del grupo de cibercrimen JabberZeus.

El hombre fue extraditado a Estados Unidos en 2023, fue incluido en la lista de "Los más buscados" del FBI y lleva 10 años buscado.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En 2012, Vyacheslav Igorevich Penchukov fue acusado de ser miembro de una banda de ciberdelincuentes conocida como JabberZeus.

JabberZeus era una pequeña red cibercriminal que apuntaba a las PYMES con una versión personalizada del troyano bancario Zeus. En ese momento, el Departamento de Justicia acusó a Penchukov de coordinar el intercambio de credenciales bancarias robadas y mulas de dinero y de recibir alertas una vez que una cuenta bancaria se había visto comprometida.

El popular investigador Brian Krebs informó que Gary Warner, director de investigación en informática forense de la Universidad de Alabama en Birmingham, señaló en 2014 que Tank les dijo a los co-conspiradores en un chat de JabberZeus el 22 de julio de 2009, que su hija se llama Miloslava, mencionó el peso de Miloslava al nacer.

Warner explicó que Tank fue identificado buscando en los registros de nacimiento ucranianos la única niña llamada Miloslava nacida ese día con un peso de nacimiento específico.

Krebs señaló que Penchukov pudo evadir la persecución de las autoridades ucranianas durante muchos años gracias a sus conexiones políticas. El difunto hijo del ex presidente ucraniano Víctor Yanukovich sería el padrino de la hija de Tank, Miloslava.

Otros dos miembros de la banda, Yevhen Kulibaba y Yuriy Konovalenko, fueron arrestados en 2014 y se declararon culpables. Ambos fueron condenados a dos años y diez meses de prisión en mayo de 2015, seguidos de una libertad supervisada de un año.

Desde mayo de 2019, Penchukov tuvo un papel destacado en la operación Zeus. Al menos desde noviembre de 2018 hasta febrero de 2021, Penchukov ayudó a liderar una conspiración que infectó las computadoras de las víctimas con IcedID o Bokbot.

Esta semana, Wired informó que Penchukov fue sentenciado a nueve años de prisión federal y tres años de libertad supervisada. Se declaró culpable de un cargo de conspiración para extorsionar y un cargo de conspiración para fraude electrónico.

El hombre también fue condenado a pagar 73 millones de dólares en concepto de restitución.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#7
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como parte del impulso más amplio de la industria tecnológica hacia la IA, lo queramos o no, parece que el servicio Gemini AI de Google ahora está leyendo documentos privados de Drive sin el permiso expreso del usuario, según un informe de Kevin Bankster en Twitter incluido a continuación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien Bankster continúa analizando las razones por las que esto puede resultar problemático para usuarios como él en particular, la total falta de control que se está otorgando sobre su información sensible y privada es inaceptable para una empresa de la talla de Google y no augura nada bueno para futuras preocupaciones sobre privacidad. entre el despliegue a menudo forzado de la IA.

Entonces, ¿qué está pasando aquí exactamente? Tanto el soporte de Google como la propia Gemini AI no parecen saberlo del todo, pero Kevin Bankston tiene algunas teorías, después de proporcionar muchos más detalles en el hilo completo.

Al contrario de la publicación inicial, esto técnicamente está sucediendo dentro del ámbito más amplio de Google Drive y no específicamente de Google Docs, aunque parece probable que el problema también se aplique a Docs.

¿Pero qué causó este problema?

Según Gemini AI de Google, las configuraciones de privacidad utilizadas para informar a Gemini deberían estar disponibles abiertamente, pero no lo están, lo que significa que la IA está "alucinando (miente)" o algunos sistemas internos de los servidores de Google no funcionan correctamente. De cualquier manera, no tiene una gran apariencia, incluso si estos datos privados supuestamente no se utilizan para entrenar la IA de Gemini.

Es más, Bankston finalmente encontró la opción de configuración en cuestión... solo para descubrir que los resúmenes de Gemini en Gmail, Drive y Docs ya estaban deshabilitados. Además, estaba en un lugar completamente diferente a cualquiera de las páginas web a las que apuntaba inicialmente el robot de Gemini.

Para Bankston, el problema parece localizado en Google Drive y sólo ocurre después de presionar el botón Gemini en al menos un documento. El tipo de documento coincidente (en este caso, PDF) activará automáticamente Google Gemini para todos los archivos futuros del mismo tipo abiertos en Google Drive. También teoriza que esto pudo haber sido causado por haber habilitado Google Workspace Labs en 2023, lo que podría estar anulando la configuración prevista de Gemini AI.

Incluso si este problema se limita a los usuarios de Google Workspace Labs, es una desventaja bastante grave por haber ayudado a Google a probar su última y mejor tecnología.

El consentimiento del usuario sigue siendo importante de forma granular, particularmente con información potencialmente confidencial, y Google le ha fallado por completo al menos a un segmento de su base de usuarios al no mantenerse fiel a ese principio.

Fuente:
Tom's Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#8
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero ... ellos generan más dinero también.

En 2023, Google y Microsoft consumieron cada uno 24 TWh de electricidad, superando el consumo de más de 100 países, incluidos lugares como Islandia, Ghana y Túnez, según un análisis de Michael Thomas. Si bien el uso masivo de energía significa un impacto ambiental sustancial para estos gigantes tecnológicos, cabe señalar que Google y Microsoft también generan más dinero que muchos países. Además, empresas como Intel, Google y Microsoft lideran la adopción de energías renovables dentro de la industria.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un análisis detallado revela que el consumo de electricidad de Google y Microsoft (24 TWh en 2023) equivale al consumo de energía de Azerbaiyán (una nación de 10,14 millones de habitantes) y es superior al de varios otros países. Por ejemplo, Islandia, Ghana, República Dominicana y Túnez consumieron cada uno 19 TWh, mientras que Jordania consumió 20 TWh. Por supuesto, algunos países consumen más energía que Google y Microsoft. Por ejemplo, Eslovaquia, un país con 5,4 millones de habitantes, consume 26 TWh.

Esta comparación pone de relieve las enormes necesidades energéticas de las empresas de alta tecnología: los centros de datos operados por Google y Microsoft tienen un impacto medioambiental considerable.

Pero ¿qué pasa si comparamos el consumo de energía y la generación de dinero de Google y Microsoft con algunos de los países mencionados?

En 2023, Google generó 305.600 millones de dólares en ingresos, mientras que su impacto económico, incluidas herramientas como Google Search, Google Cloud y YouTube, contribuyó aproximadamente 739.000 millones de dólares a la economía, según el propio Google.

Microsoft registró unos ingresos de 211.900 millones de dólares en 2023. Teniendo en cuenta que la gran mayoría de la población mundial utiliza Microsoft Windows y Microsoft Office y que muchas aplicaciones en línea se ejecutan en Microsoft Azure, el impacto económico de los productos de Microsoft probablemente se cuente en billones de dólares.

Comparando esto con países con el mismo consumo de energía aproximado, el PIB de Azerbaiyán fue de aproximadamente 78 mil millones de dólares, el PIB de Eslovaquia fue de alrededor de 127 mil millones de dólares y el PIB de Islandia fue de aproximadamente 30 mil millones de dólares en 2023.

La producción económica de Google y Microsoft supera con creces el PIB de estos países, lo que pone de relieve la enorme escala financiera de estos gigantes tecnológicos en relación con su sustancial consumo de electricidad.

Microsoft registró unos ingresos de 211.900 millones de dólares en 2023. Teniendo en cuenta que la gran mayoría de la población mundial utiliza Microsoft Windows y Microsoft Office y que muchas aplicaciones en línea se ejecutan en Microsoft Azure, el impacto económico de los productos de Microsoft probablemente se cuente en billones de dólares.

Comparando esto con países con el mismo consumo de energía aproximado, el PIB de Azerbaiyán fue de aproximadamente 78 mil millones de dólares, el PIB de Eslovaquia fue de alrededor de 127 mil millones de dólares y el PIB de Islandia fue de aproximadamente 30 mil millones de dólares en 2023.

La producción económica de Google y Microsoft supera con creces el PIB de estos países, lo que pone de relieve la enorme escala financiera de estos gigantes tecnológicos en relación con su sustancial consumo de electricidad.

Si bien el consumo sustancial de electricidad por parte de Google y Microsoft subraya la necesidad de debates sobre la sostenibilidad y la adopción de energía renovable dentro de la industria tecnológica, estas empresas lideran la adopción de fuentes de energía renovables en la industria.

De hecho, Google ha sido durante mucho tiempo pionero en el uso de energías renovables. La compañía ha sido neutra en carbono desde 2007 y apunta a operar con energía libre de carbono las 24 horas del día, los 7 días de la semana en todos sus centros de datos para 2030. En 2023, Google anunció sus inversiones continuas en proyectos de energía renovable, ampliando su cartera para incluir una variedad de energía eólica, solar y otras fuentes de energía renovables.

En cuanto a Microsoft, se ha comprometido a convertirse en carbono negativo para 2030, lo que significa que pretende eliminar del medio ambiente más carbono del que emite. La empresa también tiene como objetivo la producción de residuos cero y un uso positivo del agua para el mismo año. En 2023, Microsoft aumentó su cartera contratada de activos de energía renovable a más de 19,8 gigavatios, abarcando proyectos en 21 países. La compañía también está trabajando para reducir sus emisiones operativas directas y abordar sus emisiones indirectas, particularmente las asociadas con la construcción de nuevos centros de datos y componentes de hardware.

Fuente
:
Tom's Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#9
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los actores de amenazas se apresuran a utilizar como arma los exploits de prueba de concepto (PoC) disponibles en ataques reales, a veces tan pronto como 22 minutos después de que los exploits se ponen a disposición del público.

Esto es según el informe de seguridad de aplicaciones de Cloudflare para 2024, que cubre la actividad entre mayo de 2023 y marzo de 2024 y destaca las tendencias de amenazas emergentes.

Cloudflare, que actualmente procesa un promedio de 57 millones de solicitudes HTTP por segundo, continúa viendo una mayor actividad de escaneo de CVE divulgados, seguida de inyecciones de comandos e intentos de convertir los PoC disponibles en armas.

Durante el período examinado, las fallas más atacadas fueron CVE-2023-50164 y CVE-2022-33891 en productos Apache, CVE-2023-29298, CVE-2023-38203 y CVE-2023-26360 en Coldfusion, y CVE-2023- 35082 en MobileIron.

Un ejemplo característico del aumento en la velocidad de la utilización de armas es CVE-2024-27198, una falla de omisión de autenticación en JetBrains TeamCity.

Cloudflare observó un caso en el que un atacante implementó un exploit basado en PoC, 22 minutos después de su publicación, lo que prácticamente no dejó a los defensores ningún margen para la oportunidad de remediar el problema.

Velocidad de explotación CVE
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa de Internet dice que la única forma de combatir esta velocidad es emplear asistencia de inteligencia artificial para desarrollar rápidamente reglas de detección efectivas.

"La velocidad de explotación de los CVE revelados suele ser más rápida que la velocidad a la que los humanos pueden crear reglas WAF o crear e implementar parches para mitigar los ataques", explica Cloudflare en el informe.

"Esto también se aplica a nuestro propio equipo interno de analistas de seguridad que mantiene el conjunto de reglas administradas WAF, lo que nos ha llevado a combinar las firmas escritas por humanos con un enfoque basado en ML para lograr el mejor equilibrio entre pocos falsos positivos y velocidad de respuesta".

Cloudflare dice que esto es en parte el resultado de actores de amenazas específicos que se especializan en ciertas categorías y productos CVE, y que desarrollan una comprensión profunda de cómo aprovechar rápidamente las nuevas revelaciones de vulnerabilidades.

Intentos de explotación de RCE centrados en productos específicos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El 6,8% de todo el tráfico de Internet es DDoS

Otro punto destacado sorprendente en el informe de Cloudflare es que el 6,8% de todo el tráfico diario de Internet es tráfico distribuido de denegación de servicio (DDoS) destinado a hacer que las aplicaciones y servicios en línea no estén disponibles para los usuarios legítimos.

Porcentaje de tráfico HTTP mitigado
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se trata de un aumento notable en comparación con el 6% registrado durante el período de 12 meses anterior (2022-2023), lo que muestra un aumento en el volumen general de ataques DDoS.

Cloudflare afirma que, durante grandes ataques globales, el tráfico malicioso puede representar hasta el 12% de todo el tráfico HTTP.

"Centrándonos únicamente en las solicitudes HTTP, en el primer trimestre de 2024 Cloudflare bloqueó un promedio de 209 mil millones de amenazas cibernéticas cada día (+86,6 % interanual) [... lo que] es un aumento sustancial en términos relativos en comparación con el mismo período del año pasado", declara Cloudflare.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#10
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa negoció a través de un investigador de seguridad intermediario, según Wired.

AT&T pagó a un hacker alrededor de 370.000 dólares para eliminar datos de clientes que le fueron robados como parte de una ola de piratería a principios de este año. Luego, el pirata informático proporcionó un video para demostrar que habían eliminado los datos, según un informe de Wired de hoy.

Según se informa, AT&T negoció a través de un intermediario, llamado Reddington, que actúa en nombre de un miembro del grupo de piratería ShinyHunters. El hacker originalmente pidió $1 millón antes de que AT&T les convenciera sobre la cantidad, que pagó el 17 de mayo en bitcoin, escribe Wired.

El medio informa que Reddington, a quien AT&T pagó por su participación en las negociaciones, dijo que cree que la única copia completa de los datos se eliminó después de que AT&T pagó el rescate, pero que es posible que aún haya extractos disponibles. Según se informa, Reddington también dijo que también negoció con varias otras empresas para los piratas informáticos.

Antes de que AT&T anunciara la infracción, se informó que Ticketmaster y Santander Bank también se vieron comprometidos, a través de las credenciales de inicio de sesión robadas de un empleado de la empresa externa de almacenamiento en la nube Snowflake.

Wired informa que, después del ataque a Ticketmaster, los piratas informáticos utilizaron un script para piratear potencialmente más de 160 empresas simultáneamente.

Fuente:
The Verge
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#11
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

WASHINGTON, 12 julio (Reuters) - Meta dijo el viernes que estaba revocando algunas restricciones que se habían aplicado a las cuentas de Facebook e Instagram del expresidente estadounidense Donald Trump.

La compañía de redes sociales suspendió indefinidamente las cuentas de Trump luego de que elogiara a las personas que irrumpieron en el Capitolio de los EE. UU. el 6 de enero de 2021. Luego, la compañía restableció sus cuentas a principios de 2023, diciendo que monitorearía las publicaciones de Trump para detectar nuevas violaciones que podrían resultar en otra suspensión. de entre un mes y dos años.

Trump, que compite contra el presidente estadounidense Joe Biden, ya no estará sujeto a seguimiento adicional, dijo Meta.

"Al evaluar nuestra responsabilidad de permitir la expresión política, creemos que el pueblo estadounidense debería poder escuchar a los candidatos a la presidencia sobre la misma base", dijo Meta en una entrada de blog actualizada.

Algunos expertos en redes sociales han criticado durante mucho tiempo a Meta y otras plataformas por no moderar el contenido político, incluso el de los candidatos políticos.

Trump también fue excluido de Twitter, ahora llamado X, en 2021. El multimillonario Elon Musk restauró la cuenta poco después de adquirir la compañía en 2022, aunque Trump solo ha publicado una vez desde entonces.

Fuente:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#12
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El video muestra a Atlas completando tareas necesarias pero menores, como organizar el equipo del gimnasio y subir cargas por escaleras improvisadas.

A pesar de sus movimientos animatrónicos, Atlas es muy hábil para completar estas tareas. Puede transportar rápidamente tablas de madera de un área a otra y recoger pequeños objetos pesados, todo mientras baila un poco.

La descripción del video dice que Atlas está mejorando en la manipulación del mundo que lo rodea.

"Desde taburetes hasta herramientas, este montaje es solo una muestra de cómo Atlas está mejorando en la manipulación de su mundo", dijo Boston Dynamics.

"Estamos entusiasmados de mostrarles a todos el progreso que hemos logrado y esperamos continuar compartiendo el viaje que tenemos por delante con nuestro robot humanoide Atlas de próxima generación".

Atlas solo está mejorando a medida que el robot humanoide y la leyenda del parkour se vuelven eléctricos. Boston Dynamics ha retirado su predecesor hidráulico en un intento por comercializar la tecnología.

A través del proceso iterativo de creación de Atlas, tal vez esté a la altura de su autoproclamado título de "el robot humanoide más dinámico del mundo", ya que ahora es completamente eléctrico y está diseñado para el mundo real.

El uso de hardware específico por parte de la empresa tiene como objetivo proporcionar al robot potencia y equilibrio, así como capacidad atlética y agilidad. Boston Dynamics aparentemente quiere que los robots humanoides como Atlas sean algo común.

Boston Dynamics es una empresa de robótica que se especializa en robots que "enriquecen la vida de las personas".

"Consideramos este trabajo como el siguiente paso en la evolución de máquinas que reducen el peligro, la repetición y los aspectos físicamente difíciles del trabajo", dijo Boston Dynamics.





Fuente
:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#13
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Proyectos importantes como Compound (COMP) y otros vieron sus dominios secuestrados en un intento de redirigir a los visitantes a sitios web maliciosos que drenarían los fondos de sus billeteras de los usuarios conectados.

Esta mañana, Compound confirmó que su sitio web No tienes permitido ver los links. Registrarse o Entrar a mi cuenta "vuelve a ser seguro" e instó a los usuarios a reiniciar sus navegadores y asegurarse de conectarse a los dominios correctos (compound.finance, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta).

Según el equipo, el ataque no afectó al protocolo y ningún contrato inteligente se vio comprometido. Se anunciarán más detalles después de una investigación. Sin embargo, Compound ha instado a sus usuarios a revocar las aprobaciones por ahora.

Mientras tanto, Celer Network (CLR) confirmó ayer que un intento de adquisición de dominios de Celer "fue interceptado con éxito".

La empresa de criptoseguridad Blockaid estimó que "los atacantes están operando secuestrando registros DNS de proyectos alojados en SquareSpace". También afirmaron que "los atacantes están usando un kit de drenaje asociado con la versión más reciente del grupo de drenaje Inferno".

"Los registradores son custodios de sus dominios. Si están comprometidos, como SquareSpace hoy, el tráfico de su sitio web puede ser dirigido sin su permiso a otro lugar", agregó en X Matthew Gould, fundador del proveedor de dominios Web3 Unstoppable Domains.

La lista inicial de dominios potencialmente vulnerables registrados en SquareSpace incluía más de 120 sitios web.

SquareSpace no ha publicado ninguna actualización sobre la situación.

Según la plataforma de recompensas por errores Web3 Immunefi, se han perdido 921 millones de dólares debido a hackeos y fraudes de criptomonedas en lo que va del año, un aumento del 24% en comparación con el período anterior. Sin embargo, también señalaron que el número de ataques individuales exitosos disminuyó en un 11%, de 81 en el segundo trimestre de 2023 a 72 en el segundo trimestre de 2024.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#14
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los atacantes pueden aprovechar una falla de seguridad crítica, rastreada como CVE-2024-39929 ( puntaje CVSS de 9.1 ), en el agente de transferencia de correo Exim para enviar archivos adjuntos maliciosos a las bandejas de entrada de los usuarios.

Exim es un agente de transferencia de correo (MTA) ampliamente utilizado diseñado para enrutar, entregar y recibir mensajes de correo electrónico. Desarrollado inicialmente para sistemas tipo Unix, Exim es conocido por su flexibilidad y capacidad de configuración, lo que permite a los administradores personalizar ampliamente su comportamiento a través de archivos de configuración.

Las versiones de Exim hasta 4.97.1 se ven afectadas por una vulnerabilidad que malinterpreta los nombres de archivos de encabezado RFC 2231 multilínea. Esta falla permite a atacantes remotos eludir la protección de bloqueo de extensión $mime_filename, entregando potencialmente archivos adjuntos ejecutables a los buzones de correo de los usuarios.

La vulnerabilidad, rastreada como CVE-2024-39929, tiene una puntuación CVSS de 9,1 sobre 10,0. Se ha solucionado en la versión 4.98.

"Exim hasta 4.97.1 analiza erróneamente un nombre de archivo de encabezado RFC 2231 multilínea y, por lo tanto, atacantes remotos pueden eludir un mecanismo de protección de bloqueo de extensión $mime_filename y potencialmente entregar archivos adjuntos ejecutables a los buzones de correo de los usuarios finales", se lee en el aviso.

Según la empresa de seguridad cibernética Censys, hay 6.540.044 servidores de correo SMTP públicos y 4.830.719 (~74%) ejecutan Exim.

Los investigadores de Censys afirman que existe una prueba de concepto (PoC) para este problema, pero aún no se conocen explotaciones activas.

"Al 10 de julio de 2024, Censys observa 1.567.109 servidores Exim expuestos públicamente que ejecutan una versión potencialmente vulnerable (4.97.1 o anterior), concentrados principalmente en Estados Unidos, Rusia y Canadá. Hasta ahora, 82 servidores públicos muestran indicios de ejecutar una versión parcheada de 4.98".

La firma publicó un conjunto de consultas que permiten identificar instancias Exim públicas visibles para Censys que ejecutan versiones potencialmente vulnerables afectadas por este CVE.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#15
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se espera que el Centro Integrado de Ciberdefensa de la OTAN, o NICC, alerte a los comandantes militares de la OTAN sobre posibles amenazas y vulnerabilidades en el ciberespacio, afirma el comunicado de prensa.

El anuncio coincide con la Cumbre de líderes mundiales de la OTAN de 2024 que conmemora el 75.º aniversario de la Alianza.

La medida se produce cuando las naciones aliadas de la OTAN, incluida la propia organización, se han visto plagadas de una avalancha de ciberataques por motivos políticos desde la invasión rusa de Ucrania en febrero de 2022, también uno de los principales temas de discusión que tendrán lugar durante los tres días en la cumbre de la OTAN.

La portavoz de la OTAN, Farah Dakhlallah, dio la noticia el martes, cerrando el día 1 de las conversaciones de la Cumbre.

"Los aliados de la #OTAN acordaron establecer un nuevo Centro de Defensa Cibernética para protegerse mejor contra las crecientes amenazas cibernéticas", publicó Dakhlallah. "El Centro mejorará la protección de las redes de la OTAN y el uso del ciberespacio por parte de la Alianza como dominio operativo", dijo.

El nuevo Centro reunirá no solo a personal civil y militar de toda la empresa de la OTAN y los países aliados, sino que también involucrará a expertos de toda la industria de la ciberseguridad y los estados de la OTAN.

La OTAN dijo que también se incorporarán las infraestructuras civiles críticas de propiedad privada utilizadas para apoyar las actividades militares de la OTAN.

"Aprovechará tecnologías avanzadas para aumentar nuestra conciencia situacional en el ciberespacio y mejorar la resiliencia y la defensa colectivas", dijo la OTAN.

Miembros de la OTAN en la mira de Rusia

La OTAN y las naciones aliadas están bajo la amenaza constante de ataques cibernéticos e interrupciones desde todas las facetas del panorama de seguridad, que solo han aumentado y se han vuelto más sofisticados con la introducción de la inteligencia artificial.

APT 29 (CozyBear, MidnightBlizzard) y APT 28 (FancyBear) son dos de los principales actores de amenazas a los Estados-nación de Rusia. Conocidos por ser parte de la inteligencia militar de Putin, los grupos son responsables de importantes ataques, como el de SolarWinds de 2020 y, más recientemente, dirigido al gigante tecnológico Microsoft y a entidades diplomáticas de la UE.

Los grupos hacktivistas alineados con Rusia, como NoName057, KillNet y Anonymous Sudan, han bombardeado continuamente agencias gubernamentales aliadas y otras infraestructuras críticas con ataques de denegación de servicio distribuido (DDoS) a diario desde que comenzó la guerra ruso-ucraniana.

Además, varias bandas de ransomware, algunas con presuntos vínculos con el Kremlin, como BlackBasta y Royal (ahora BlackSuit), también han lanzado su misiva para atacar implacablemente a organizaciones privadas e infraestructuras críticas del bloque occidental.

"En línea con los valores compartidos y las obligaciones internacionales de los Aliados, el Centro promoverá un enfoque del ciberespacio basado en normas, predecible y seguro", dijo la OTAN sobre su visión para el Centro.

El NICC tendrá su sede en el cuartel general militar de la OTAN en Bélgica, también conocido como SHAPE o Cuartel General Supremo de las Potencias Aliadas en Europa, y se revelarán más detalles en los próximos meses.

SHAPE es también el hogar del Comando Aliado de Operaciones (ACO) de la OTAN, que es responsable de todas las operaciones de la OTAN en todo el mundo.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#16
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

AT&T confirmó hoy una violación masiva que afecta a casi todos sus usuarios. El operador dice que los piratas informáticos lograron copiar datos de clientes, incluidos registros de llamadas y mensajes de texto, desde 2022 a una plataforma en la nube de terceros en abril.

La investigación interna de AT&T ha revelado que los datos comprometidos incluyen registros de llamadas y mensajes de texto de casi todos sus clientes de telefonía móvil, clientes de operadores de redes virtuales móviles (MVNO) que utilizan la red inalámbrica de AT&T y clientes de líneas fijas de AT&T que interactuaron con esos clientes entre el 1 de mayo de 2022. – 31 de octubre de 2022. La filtración también incluye registros del 2 de enero de 2023, pero para un número muy reducido de clientes.

En un artículo de soporte que destaca el incidente, AT&T dice que los datos filtrados también identifican los números de teléfono con los que interactuaron los números de AT&T durante dicho período. Además, incluye recuentos de esas llamadas o mensajes de texto, junto con la duración total de las llamadas para días o meses específicos.

El operador ha aclarado que los datos filtrados no incluyen el contenido de ninguna llamada o mensaje de texto, y no tiene las marcas de tiempo de las llamadas o mensajes de texto. Tampoco revela información personal, como nombres de clientes, números de Seguro Social o fechas de nacimiento. Sin embargo, añade que los malhechores podrían utilizar herramientas disponibles públicamente para encontrar nombres asociados con los números de teléfono filtrados.

Aunque el comunicado de prensa oficial de AT&T no aclara el alcance de la violación de datos, un informe de Reuters revela que afecta a alrededor de 109 millones de cuentas de clientes. El informe agrega que AT&T se enteró por primera vez de la violación el 19 de abril y su investigación reveló que los piratas informáticos descargaron los datos entre el 14 y el 25 de abril.

Desde entonces, AT&T cerró el punto de acceso y tomó medidas de ciberseguridad adicionales para proteger los datos de los clientes. El operador se está comunicando con los clientes afectados y ha proporcionado recursos para ayudarlos a obtener los números de teléfono de las llamadas y mensajes de texto en los datos filtrados. También ha añadido que no cree que los datos filtrados estén disponibles públicamente.

Fuente
:
AndroidAuthority
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#17
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Netgear advirtió a los clientes que actualizaran sus dispositivos al último firmware disponible, que parchea las vulnerabilidades de scripts entre sitios (XSS) almacenados y de omisión de autenticación en varios modelos de enrutadores WiFi 6.

La falla de seguridad XSS almacenada (solucionada en la versión de firmware 1.0.0.72 y rastreada como PSV-2023-0122) afecta al enrutador para juegos XR1000 Nighthawk.

Si bien la compañía no reveló ningún detalle sobre este error, los ataques exitosos que explotan dichas debilidades pueden permitir a los actores de amenazas secuestrar las sesiones de los usuarios, redirigir a los usuarios a sitios maliciosos o mostrar formularios de inicio de sesión falsos y robar información restringida.

También pueden realizar acciones con los permisos del usuario comprometido, un escenario especialmente peligroso si el usuario tiene privilegios administrativos en el dispositivo objetivo.

El error de seguridad de omisión de autenticación (corregido en la versión de firmware 2.2.2.2 y rastreado como PSV-2023-0138) afecta a los enrutadores de módem por cable CAX30 Nighthawk AX6 6-Stream.

Aunque Netgear tampoco ha compartido ninguna información sobre esta vulnerabilidad, dichas fallas generalmente se etiquetan como de máxima gravedad, ya que pueden proporcionar a los atacantes acceso no autorizado a la interfaz administrativa y pueden resultar en una toma completa de los dispositivos objetivo.

Cómo actualizar el firmware de su enrutador

En avisos de seguridad publicados el miércoles, Netgear dijo que "recomienda encarecidamente que descargue el firmware más reciente lo antes posible".

Para descargar e instalar el firmware más reciente para su enrutador Netgear, debe seguir los siguientes pasos:

 Visite el soporte de NETGEAR:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El mes pasado, investigadores de seguridad revelaron media docena de vulnerabilidades de diversa gravedad que afectan a Netgear WNR614 N300, un enrutador popular entre usuarios domésticos y pequeñas empresas.

Dado que este modelo de enrutador llegó al final de su vida útil y ya no es compatible con Netgear, la compañía no lanzará parches de seguridad y recomendó a los usuarios que reemplacen el enrutador o apliquen medidas de mitigación para bloquear posibles ataques.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#18
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Signal finalmente está reforzando la seguridad de su cliente de escritorio al cambiar la forma en que almacena las claves de cifrado de texto sin formato para el almacén de datos después de restar importancia al problema desde 2018.

Como se informó en 2018, cuando se instala Signal Desktop para Windows o Mac, crea una base de datos SQLite cifrada para almacenar los mensajes de un usuario. Esta base de datos se cifra utilizando una clave generada por el programa y sin intervención del usuario.

Para que un programa pueda descifrar una base de datos cifrada y utilizarla para almacenar datos, debe tener acceso a la clave de cifrado. En el caso de Signal, almacena la clave como texto sin formato en un archivo local llamado
%AppData%\Signal\config.json en Windows

y ~/Library/Application Support/Signal/config.json en un Mac.

Clave de descifrado en config.json de Signal en Windows
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, si Signal puede acceder a esta clave, también puede hacerlo cualquier otro usuario o programa que se ejecute en la computadora, lo que hace que la base de datos cifrada pierda su valor y proporcione poca o ninguna seguridad adicional.

Una solución ofrecida por el investigador que encontró esta falla, Nathaniel Suchy, fue cifrar la base de datos local con una contraseña proporcionada por el usuario que nunca se almacena en ningún lugar, como vemos con el software de respaldo en la nube, los navegadores web, los administradores de contraseñas y las billeteras de criptomonedas.

Cuando BleepingComputer se comunicó con Signal sobre la falla en 2018, nunca recibimos una respuesta.

En cambio, un gerente de soporte de Signal respondió a las inquietudes de un usuario en el foro de Signal, afirmando que la seguridad de su base de datos nunca fue algo que afirmó brindar.

"La clave de la base de datos nunca tuvo la intención de ser un secreto. El cifrado en reposo no es algo que Signal Desktop esté tratando de proporcionar actualmente o haya afirmado proporcionar", respondió el empleado de Signal.

Para ser justos con Signal, cifrar bases de datos locales sin una contraseña proporcionada por el usuario es un problema para todas las aplicaciones y depende de pasos adicionales para reforzar aún más la seguridad.

Sin embargo, como empresa que se enorgullece de su seguridad y privacidad, fue extraño que la organización descartara el problema y no intentara ofrecer una solución.

El defecto de diseño resurge nuevamente en X

Casi seis años después, Elon Musk tuiteó: "Existen vulnerabilidades conocidas en Signal que no se están abordando. Parece extraño..."

Musk no compartió a qué vulnerabilidades se refería, y algunos vieron el tweet de Musk como un intento de ayudar a Telegram en una campaña afirmando que era más seguro que Signal.

La presidenta de Signal, Meredith Whittaker, respondió que no es necesario abordar ninguna vulnerabilidad conocida y, si la hay, se debe informar responsablemente a la organización.

"Hola, hola, no tenemos evidencia de vulnerabilidades existentes y no hemos sido notificados de nada. Seguimos prácticas de divulgación responsables y monitoreamos de cerca No tienes permitido ver los links. Registrarse o Entrar a mi cuenta + respondemos y solucionamos cualquier problema válido rápidamente", tuiteó Whittaker.

Sin embargo, la semana pasada, los investigadores de seguridad móvil Talal Haj Bakry y Tommy Mysk de Mysk Inc advirtieron a X que no usara Signal Desktop debido a la misma debilidad de seguridad que informamos en 2018.

En una serie de tweets, Mysk Inc ilustró cómo las fotos y aplicaciones enviadas a través de la aplicación de mensajería no se almacenan en una ubicación segura o cifrada y que la clave de cifrado para el almacén de mensajes todavía se almacena en texto sin formato en el sistema.

"La nota de la comunidad es incorrecta y Elon Musk tiene razón. Las aplicaciones de escritorio de Signal cifran el historial de chat local con una clave almacenada en texto plano y accesible a cualquier proceso", tuitearon los investigadores en otro hilo.

"Esto deja a los usuarios vulnerables a la exfiltración. El problema se informó en 2018, pero no se ha solucionado"

En respuesta, Whittaker minimizó la falla y afirmó que, si un atacante tiene acceso completo a su dispositivo, Signal no puede proteger completamente los datos.

"Los problemas reportados dependen de que un atacante ya tenga *acceso completo a su dispositivo*, ya sea físicamente, a través de un ataque de malware o mediante una aplicación maliciosa ejecutándose en el mismo dispositivo", tuiteó Whittaker.

"Esto no es algo contra lo que Signal, ni ninguna otra aplicación, pueda protegerse por completo. Tampoco pretendemos hacerlo".

Si bien no está claro qué significa acceso total a un dispositivo, cualquier persona con acceso remoto o malware ejecutándose en el dispositivo podría acceder a los datos.

La respuesta fue inusual después de los constantes retuits de Whittaker sobre las implicaciones de seguridad y privacidad del retiro de Windows de Microsoft y cómo los atacantes locales o el malware podrían robar datos.

Si bien la función Windows Recall sin duda consume muchos más datos confidenciales, se podrían aplicar preocupaciones similares a Signal, que se utiliza para mensajes confidenciales que, en algunos países, podrían llevar a una persona a prisión.

Sin embargo, Microsoft respondió a las muy merecidas críticas diciendo que retrasarían el lanzamiento de Windows Recall para agregar protecciones adicionales para proteger los datos recopilados de ataques locales y probar más el producto.

Signal ahora reforzará el cifrado de la base de datos

En abril, un desarrollador independiente, Tom Plant, creó una solicitud para fusionar código que utiliza la API SafeStorage de Electron para proteger aún más el almacén de datos de Signal contra ataques fuera de línea.

"Como simple mitigación, implementé la API safeStorage de Electron para cifrar de manera oportunista la clave con API de plataforma como DPAPI en Windows y Keychain en macOS", explicó Plant en la solicitud de fusión.

La API safeStorage de Electron proporciona métodos adicionales para proteger la clave de cifrado utilizada para cifrar los datos almacenados localmente en un dispositivo.

Cuando se utilizan, las claves de cifrado se generan y almacenan utilizando el sistema de criptografía de un sistema operativo y almacenes de claves seguros. Por ejemplo, en Mac, la clave de cifrado se almacenaría en el Llavero y, en Linux, se utilizaría el almacén secreto del administrador de Windows, como kwallet, kwallet5, kwallet6 y gnome-libsecret.

La API safeStorage se queda corta para Windows, ya que utiliza DPAPI, que sólo protege la clave de cifrado contra otros usuarios en el mismo dispositivo. Eso significa que cualquier programa o malware que se ejecute en el mismo contexto de usuario que el que usa Signal, en teoría, podría acceder a los datos.

Si bien la solución proporcionaría seguridad adicional para todos los usuarios de escritorio de Signal, la solicitud permaneció inactiva hasta el drama X de la semana pasada. Hace dos días, un desarrollador de Signal finalmente respondió que implementaron soporte para safeStorage de Electron, que estaría disponible pronto en una próxima versión Beta.

Mientras se prueba la nueva implementación de safeStorage, Signal también incluyó un mecanismo alternativo que permite al programa descifrar la base de datos utilizando la clave de descifrado de la base de datos heredada.

"Además de migrar a claves de cifrado de bases de datos locales cifradas/respaldadas por un almacén de claves en plataformas compatibles, nuestra implementación también incluye algunos pasos adicionales de solución de problemas y una opción de respaldo temporal que permitirá a los usuarios recuperar su base de datos de mensajes utilizando su clave de cifrado de base de datos heredada si algo sale mal. mal", explicó el desarrollador de Signal, Jamie Kyle.

"Esto debería ayudar a minimizar la pérdida de datos si se descubre algún caso extremo u otros errores relacionados con el almacén de claves durante el proceso de migración y el lanzamiento de producción.

Signal dice que la clave heredada se eliminará una vez que se pruebe la nueva función.

Aunque es bueno ver que tenemos estas protecciones adicionales para Signal, algunos están decepcionados de que solo haya sucedido después del revuelo en X.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#19
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un nuevo actor de amenazas conocido como CRYSTALRAY ha ampliado significativamente su alcance con nuevas tácticas y exploits, y ahora cuenta con más de 1.500 víctimas cuyas credenciales fueron robadas y desplegaron criptomineros.

Esto lo informan investigadores de Sysdig, que han rastreado al actor de amenazas desde febrero, cuando informaron por primera vez sobre el uso del gusano de código abierto SSH-Snake para propagarse lateralmente en redes violadas.

SSH-snake es un gusano de código abierto que roba claves privadas SSH en servidores comprometidos y las utiliza para moverse lateralmente a otros servidores mientras descarga cargas útiles adicionales en los sistemas vulnerados.

Anteriormente, Sysdig identificó aproximadamente 100 víctimas de CRYSTALRAY afectadas por los ataques SSH-Snake y destacó las capacidades de la herramienta de mapeo de red para robar claves privadas y facilitar el movimiento lateral sigiloso de la red.

Mordiendo más fuerte

Sysdig informa que el actor de amenazas detrás de estos ataques, ahora rastreado como CRYSTALRAY, ha ampliado significativamente sus operaciones, contando 1.500 víctimas.

"Las últimas observaciones del equipo muestran que las operaciones de CRYSTALRAY se han multiplicado por 10 hasta alcanzar más de 1.500 víctimas y ahora incluyen escaneo masivo, explotación de múltiples vulnerabilidades y colocación de puertas traseras utilizando múltiples herramientas de seguridad OSS", se lee en el informe de Sysdig.

"Las motivaciones de CRYSTALRAY son recopilar y vender credenciales, implementar criptomineros y mantener la persistencia en los entornos de las víctimas. Algunas de las herramientas OSS que el actor de amenazas está aprovechando incluyen zmap, asn, httpx, nuclei, platypus y SSH-Snake".

Descripción general de los ataques CRYSTALRAY
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sysdig dice que CRYSTALRAY utiliza exploits de prueba de concepto (PoC) modificados entregados a los objetivos utilizando el kit de herramientas de post-explotación Sliver, lo que proporciona otro ejemplo de uso indebido de herramientas de código abierto.

Antes de lanzar los exploits, los atacantes realizan comprobaciones exhaustivas para confirmar los fallos descubiertos en los núcleos.

Las vulnerabilidades a las que se enfrenta CRYSTALRAY en sus operaciones actuales son:

 CVE-2022-44877: Fallo en la ejecución de comandos arbitrarios en Control Web Panel (CWP)

 CVE-2021-3129: Error de ejecución de código arbitrario que afecta a Ignition (Laravel).

 CVE-2019-18394: Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Ignite Realtime Openfire

Sysdig dice que los productos Atlassian Confluence probablemente también sean un objetivo, basándose en los patrones de explotación observados que surgen de los intentos contra 1.800 IP, un tercio de las cuales se encuentran en los EE. UU.

CRYSTALRAY utiliza el administrador basado en web Platypus para manejar múltiples sesiones de shell inverso en los sistemas violados. Al mismo tiempo, SSH-Snake sigue siendo la principal herramienta mediante la cual se logra la propagación a través de redes comprometidas.

SSH-Snake recuperando claves SSH
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez que se recuperan las claves SSH, el gusano SSH-Snake las utiliza para iniciar sesión en nuevos sistemas, copiarse y repetir el proceso en los nuevos hosts.

SSH-Snake no solo propaga la infección, sino que también envía claves capturadas e historiales de bash al servidor de comando y control (C2) de CRYSTALRAY, brindando opciones para una mayor versatilidad de ataque.

Propagación SSH-Snake
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Monetizar datos robados

CRYSTALRAY tiene como objetivo robar credenciales almacenadas en archivos de configuración y variables de entorno mediante scripts que automatizan el proceso.

Los actores de amenazas pueden vender credenciales robadas para servicios en la nube, plataformas de correo electrónico u otras herramientas SaaS en la dark web o Telegram para obtener buenas ganancias.

Además, CRYSTALRAY implementa criptomineros en los sistemas violados para generar ingresos secuestrando la potencia de procesamiento del host, con un script que mata a los criptomineros existentes para maximizar las ganancias.

Sysdig rastreó a algunos mineros hasta un grupo específico y descubrió que ganaban aproximadamente $200 al mes.

Sin embargo, a partir de abril, CRYSTALRAY cambió a una nueva configuración, lo que hizo imposible determinar sus ingresos actuales.

A medida que crece la amenaza CRYSTALRAY, la mejor estrategia de mitigación es minimizar la superficie de ataque mediante actualizaciones de seguridad oportunas para corregir las vulnerabilidades a medida que se revelan.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#20
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft solucionó una vulnerabilidad de día cero de Windows que se ha explotado activamente en ataques durante dieciocho meses para lanzar scripts maliciosos y eludir las funciones de seguridad integradas.

La falla, identificada como CVE-2024-38112, es un problema de suplantación de identidad MHTML de alta gravedad que se solucionó durante las actualizaciones de seguridad del martes de parches de julio de 2024.

Haifei Li de Check Point Research descubrió la vulnerabilidad y la reveló a Microsoft en mayo de 2024.

Sin embargo, en un informe de Li, el investigador señala que han descubierto muestras que explotan este defecto ya en enero de 2023.

Internet Explorer desapareció, pero no realmente

Haifei Li descubrió que los actores de amenazas han estado distribuyendo archivos de acceso directo a Internet de Windows (.url) para falsificar archivos que parecen legítimos, como archivos PDF, pero que descargan y ejecutan archivos HTA para instalar malware que roba contraseñas.

Un archivo de acceso directo a Internet es simplemente un archivo de texto que contiene varios ajustes de configuración, como qué icono mostrar, qué enlace abrir al hacer doble clic y otra información. Cuando se guarda como un archivo .url y se hace doble clic, Windows abrirá la URL configurada en el navegador web predeterminado.

Sin embargo, los actores de amenazas descubrieron que podían obligar a Internet Explorer a abrir la URL especificada utilizando el controlador mhtml: URI en la directiva URL, como se muestra a continuación:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

MHTML es un archivo de 'encapsulación MIME de documentos HTML agregados', una tecnología introducida en Internet Explorer que encapsula una página web completa, incluidas sus imágenes, en un solo archivo.

Cuando la URL se inicia con el URI mhtml:, Windows la inicia automáticamente en Internet Explorer en lugar del navegador predeterminado.

Según el investigador de vulnerabilidades Will Dormann, abrir una página web en Internet Explorer ofrece beneficios adicionales a los actores de amenazas, ya que hay menos advertencias de seguridad al descargar archivos maliciosos.

"En primer lugar, IE le permitirá descargar un archivo .HTA de Internet sin previo aviso", explicó Dormann en Mastodon.

"A continuación, una vez descargado, el archivo .HTA vivirá en el directorio INetCache, pero NO tendrá explícitamente un MotW. En este punto, la única protección que tiene el usuario es una advertencia de que "un sitio web" quiere abrir contenido web. usando un programa en la computadora."

"Sin decir qué sitio web es. Si el usuario cree que confía en "este" sitio web, es cuando ocurre la ejecución del código".

Básicamente, los actores de amenazas aprovechan el hecho de que Internet Explorer todavía está incluido de forma predeterminada en Windows 10 y Windows 11.

A pesar de que Microsoft anunció su retiro hace aproximadamente dos años y que Edge lo reemplazó en todas las funciones prácticas, el navegador obsoleto aún se puede invocar y aprovechar con fines maliciosos.

Check Point dice que los actores de amenazas están creando archivos de acceso directo a Internet con índices de íconos para que aparezcan como enlaces a un archivo PDF.

Al hacer clic, la página web especificada se abrirá en Internet Explorer, que automáticamente intenta descargar lo que parece ser un archivo PDF pero en realidad es un archivo HTA.

Internet Explorer descarga un archivo HTA falsificado como PDF
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, los actores de amenazas pueden ocultar la extensión HTA y hacer que parezca que se está descargando un PDF rellenando el nombre del archivo con caracteres Unicode para que no se muestre la extensión .hta, como se muestra a continuación.

Archivo HTA que utiliza relleno de caracteres Unicode para ocultar la extensión .hta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando Internet Explorer descarga el archivo HTA, le pregunta si desea guardarlo o abrirlo. Si un usuario decide abrir el archivo pensando que es un PDF, ya que no contiene la Marca de la Web, se iniciará solo con una alerta genérica sobre el contenido que se abre desde un sitio web.

Advertencia de Windows cuando Internet Explorer inicia el archivo HTA
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como el objetivo espera descargar un PDF, el usuario puede confiar en esta alerta y se permite la ejecución del archivo.

Check Point Research declaro que permitir la ejecución del archivo HTA instalaría el malware Atlantida Stealer que roba contraseñas en la computadora.

Una vez ejecutado, el malware robará todas las credenciales almacenadas en el navegador, las cookies, el historial del navegador, las carteras de criptomonedas, las credenciales de Steam y otros datos confidenciales.

Microsoft solucionó la vulnerabilidad CVE-2024-38112 cancelando el registro del URI mhtml: de Internet Explorer, por lo que ahora se abre en Microsoft Edge.

CVE-2024-38112 es similar a CVE-2021-40444, una vulnerabilidad de día cero que abusaba de MHTML y que los piratas informáticos norcoreanos aprovecharon para lanzar ataques dirigidos a investigadores de seguridad en 2021.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta