Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

#1
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una de las mayores filtraciones de datos que involucra principalmente a ciudadanos chinos incluye una cantidad colosal de 1.500 millones de registros, con nombres completos y números de identificación del gobierno expuestos. El conjunto de datos reveló detalles tomados de Weibo, varios bancos chinos y operadores de telefonía móvil, que abarcan información de múltiples sectores.

Si bien la mundanidad de las filtraciones de datos diarias es difícilmente discutible, no todas las filtraciones son iguales. Tomemos esto, por ejemplo. Una base de datos expuesta que comprende 1.500 millones de registros que cubren numerosas empresas en diferentes sectores económicos y sociales. Sin embargo, una característica común es que las víctimas son en su mayoría ciudadanos chinos, lo que convierte a este descubrimiento en uno de los más grandes de su tipo.

El servidor desprotegido con cientos de millones de registros, descubierto por el equipo de investigación de Cybernews, alberga datos de varias marcas importantes como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, una empresa de comercio electrónico china, Weibo, la principal plataforma de redes sociales de China, DiDi, la empresa de transporte de pasajeros más grande del país, y muchas otras.

Los investigadores creen que es probable que el conjunto de datos sea una mezcla de filtraciones de datos conocidas y completamente nuevas recopiladas en un único servidor Elasticsearch ahora cerrado. Si bien no todos los 1500 millones de registros quedaron expuestos por primera vez, algunos sin duda lo fueron, ya que no encontramos indicios de filtraciones de datos anteriores de las empresas incluidas en la lista.

Es preocupante que la instancia expuesta no tuviera una indicación clara de su verdadero propietario, lo que daba pistas de intenciones maliciosas detrás de un conjunto de datos tan grande y diverso. Los actores de amenazas valoran estas grandes colecciones, ya que los datos agregados permiten una amplia gama de ataques, incluido el robo de identidad, sofisticados esquemas de phishing, ciberataques dirigidos y acceso no autorizado a cuentas personales y confidenciales.

El servidor estuvo expuesto durante varios meses, pero finalmente se cerró después de múltiples intentos por parte de nuestro equipo de comunicarse con el CERT de China.

Muestra de los datos filtrados
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

¿Qué datos se vieron expuestos?

Si bien se expusieron casi 1.500 millones de registros en total, eso no significa que se filtraran los datos de la misma cantidad de personas en línea. Dado que los datos provienen de diferentes plataformas, organizaciones y sectores económicos, es posible que algunos usuarios hayan visto sus datos filtrados varias veces. Según los investigadores, el servidor desprotegido expuso:

Nombres completos
Direcciones de correo electrónico
Números de identificación de la plataforma
Nombres de usuario
Números de teléfono
Datos de atención médica
Registros financieros
Detalles relacionados con el transporte
Registros relacionados con la educación

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No todos los usuarios tenían los mismos detalles expuestos, ya que los diferentes conjuntos de datos dentro del servidor expuesto tenían diferentes datos correspondientes a la empresa o sector desde el que se agregaron. Los investigadores observaron datos de los sectores de atención médica, finanzas, transporte, redes sociales, comercio electrónico y educación de China.

La mayor cantidad de registros identificables se agruparon en una colección atribuida a QQ Messenger, el software de mensajería instantánea de Tencent. Sin embargo, las filtraciones de QQ son bastante comunes y probablemente provengan de incidentes anteriores.

La segunda colección más grande de registros filtrados, 504 millones, se atribuyó a Weibo, a veces denominado el Twitter de China. Sin embargo, el equipo señaló que en 2020, una cantidad similar de datos de usuarios de Weibo, 538 millones, se puso a la venta en foros de filtración de datos, lo que sugiere que la información en la filtración descubierta por Cybernews podría estar duplicada.

Sin embargo, otra entrada en el conjunto de datos filtrados, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (Jingdong), no tenía filtraciones de datos importantes conocidas previamente. Mientras tanto, la instancia expuesta que descubrió nuestro equipo tenía 142 millones de registros de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta expuestos.

El tercer conjunto de datos expuesto más grande, con más de 25 millones de registros, se atribuyó al servicio de mensajería más grande de China, SF Express. Otra entrada en el servidor expuesto, con 100.000 registros, también se atribuyó a SF Express. Sin embargo, esta última se refiere específicamente a las entregas de la empresa.

Mientras tanto, DiDi, el servicio de transporte más grande de China, tenía más de 20 millones de registros a su nombre en el servidor expuesto. Según el equipo, si bien en el pasado hubo dudas sobre las prácticas de seguridad de datos de la empresa, nunca antes se había informado de una violación importante de esta magnitud.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

KFC, el Partido Comunista y lo desconocido

Aunque otras entradas reconocibles en el servidor expuesto tenían menos registros expuestos, su incorporación al conjunto de datos es, cuanto menos, interesante. El equipo descubrió decenas de miles de registros filtrados titulados Enfermera de Sichuan, otro millón titulado Médico y Paciente, y 400.000 más acreditados a farmacias.

Colecciones como Valores (243.000), Fondo de Previsión de China (531.000), Usuarios de China Union Pay (1,1 millones), Banco Mercantil de China (1 millón), Banco de China (985.000), así como una colección denominada Criptomoneda (100.000), sugieren firmemente una exposición masiva de datos financieros.

La colección de Registros de Estudiantes de Zhejiang (9 millones), así como la colección de datos de Graduados (366.000) apuntan a la exposición de datos educativos que probablemente involucran a millones de estudiantes chinos.

También se ha añadido la colección Zhilian (1,1 millones), que probablemente hace referencia a Zhillian Technology, una empresa de investigación y desarrollo de automóviles, 2,6 millones de registros atribuidos a propietarios de vehículos y otros 3,5 millones de registros atribuidos a una escuela de conducción sin nombre, lo que apunta al interés de los propietarios de servidores en los automovilistas chinos.

"Decir que la magnitud de esta filtración es alarmante es quedarse corto. El volumen de las filtraciones por sí solo es alucinante. Peor aún, el servidor expuesto tenía datos de sectores esenciales como la atención sanitaria y las finanzas, lo que amplifica el daño potencial".

Se atribuyeron otros 65.000 registros a clientes de un operador de telefonía móvil desconocido, residentes de Pekín (196.000), KFC China (5 millones) y datos de registro de hogares (5,4 millones).

Curiosamente, algunas colecciones fueron ominosamente denominadas "naciones amigas" (313.000) y "datos de varios países vecinos" (2 millones), lo que indica al menos algún nivel de motivación política para quienquiera que esté detrás del conjunto de datos. La inclusión de 1,6 millones de registros en una colección titulada El Partido Comunista de Shanghái no hizo más que reforzar la impresión.

Se incluyeron otros 74 millones de registros en colecciones que no pudimos traducir de forma fiable o que fueron nombradas utilizando conjuntos aleatorios de números y letras.

"La presencia de infracciones conocidas y potencialmente desconocidas sugiere que, si bien algunos de los datos pueden haberse originado a partir de incidentes informados anteriormente, otras partes podrían representar infracciones nuevas y no informadas", afirmó el equipo.

Fuente
:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El proyecto A.S.S.E.T. (Grupo de trabajo para la búsqueda y el decomiso de activos) finalizó el 17 de enero de 2025 e identificó docenas de propiedades, más de 220 cuentas bancarias y millones de dólares en activos.

La Agencia de la Unión Europea para la Cooperación Policial (Europol) anunció una iniciativa única en la que más de 80 expertos financieros y 43 agencias de aplicación de la ley de más de 28 países cooperaron para aumentar las incautaciones de activos a los delincuentes.

El esfuerzo dio como resultado 53 propiedades identificadas, 8 de las cuales estaban valoradas en 38,5 millones de euros (40 millones de dólares), más de 220 cuentas bancarias, una de las cuales tenía un saldo de 5,6 millones de dólares, y 83 billeteras y direcciones de criptomonedas. Las autoridades también descubrieron 15 empresas, más de 20 yates y vehículos de lujo valorados en cientos de miles de dólares.

Otro resultado clave de la operación fue la congelación de 200.000 euros en criptomonedas.

"Juntos atacamos a los criminales donde más les duele: sus bolsillos", afirmó Burkhard Mühl, director del Centro Europeo contra los Delitos Financieros y Económicos (EFECC), que organizó la iniciativa.

El proyecto A.S.S.E.T. surge en un momento en que las autoridades estiman que actualmente se incautan menos del 2% de los ingresos delictivos en todo el mundo, y el 98% restante alimenta el crimen organizado.

Europol estima que el sector inmobiliario es una de las principales industrias utilizadas para blanquear los beneficios delictivos en la UE, atrayendo el 41% de los beneficios ilícitos y no gravados.

La nueva Directiva de la UE sobre recuperación y decomiso de activos, que entró en vigor en 2024, otorga poderes adicionales para congelar los activos delictivos y tomar medidas inmediatas para preservar la propiedad.

"Se convertirá en una herramienta importante en la confiscación de estos activos delictivos", dijo Europol.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de hackers ruso Star Blizzard está evolucionando desde correos electrónicos hasta chats encriptados. Su última campaña de phishing utiliza códigos QR en WhatsApp como arma, lo que indica una nueva era de guerra cibernética.

Imagínese esto: un funcionario público recibe un código QR por correo electrónico de "funcionarios del gobierno estadounidense" que supuestamente apoyan a ONG ucranianas.

Este código QR roto intencionalmente no envía al destinatario a ningún dominio válido y está diseñado para incitar a los usuarios a responder a los actores de la amenaza.

El destinatario ha sido engañado de dos maneras: primero por la causa y segundo por el inconveniente técnico.

Una vez que el destinatario responde, Star Blizzard enviará otro correo electrónico que contiene un segundo enlace, que está destinado a dirigirlo al grupo inicial de WhatsApp.

Desde allí, la víctima es dirigida a un nuevo código QR que, si se escanea, dará a los actores de la amenaza acceso a los mensajes en su cuenta, lo que significa que Star Blizzard puede exfiltrar los datos.

Se trata de un nuevo esquema ideado por Star Blizzard, un grupo de piratas informáticos ruso que lleva en funcionamiento desde 2017 y que ha atacado repetidamente a centros de investigación, periodistas y exfuncionarios militares y de inteligencia occidentales.

Esta estafa con códigos QR en realidad se calmó en noviembre de 2024, pero el cambio de su modus operandi habitual, que implicaba comunicarse por correo electrónico y redes sociales, podría presagiar un enfoque más directo, disparando desde la cadera en WhatsApp.

Según Microsoft, este grupo es especialmente versátil y tenaz a la hora de obtener información sensible y confidencial por cualquier medio necesario.

Estos ataques, iniciados a través de una plataforma de código abierto y de las redes sociales, han afectado especialmente a objetivos en el Reino Unido y los EE. UU.

Al hacerse pasar por expertos respetados, sus elaboradas campañas han tenido altos niveles de verosimilitud.

Star Blizzard ha preferido anteriormente establecer una relación mediante un intercambio de correos electrónicos y, una vez establecida la confianza, se enviaba un enlace a un documento o sitio web de interés.

Esto se ejecutaba a través del servidor de los piratas informáticos, por lo que habría un medio para introducir información confidencial de la cuenta, en forma de credenciales de cuenta.

Luego, todo lo que quisieran obtener de la bandeja de entrada del usuario se volvía posible.

Sin embargo, estas campañas de phishing selectivo son la punta del iceberg, ya que la guerra cibernética se ha salido de control durante la invasión ucraniana, saboteando y paralizando la infraestructura civil, así como manipulando y contaminando las elecciones extranjeras.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los compradores y seguidores de la marca no tendrán que esperar mucho para adquirir los últimos dispositivos de la compañía.

Motorola ha anunciado su línea de teléfonos inteligentes Moto G 2025, que incluye dos opciones de teléfonos inteligentes económicos, Moto G y Moto G Power.

La última serie de teléfonos inteligentes de Motorola incluye un modo de alto brillo de 1000 nits para una visibilidad clara y una frecuencia de actualización de 120 Hz para juegos, transmisión, desplazamiento y más.

Ambos teléfonos inteligentes vienen equipados con una experiencia de audio mejorada debido a la tecnología Bass Boost y soporte de audio de alta resolución y ofrecen conectividad 5G.

El Moto G Power con una pantalla de 6,8 pulgadas se conoce como un dispositivo "construido para durar" con su batería de 5000 mAh que puede soportar un día entero de uso intenso.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El teléfono inteligente incluye un sistema de cámara de 50 MP con una lente ultra ancha y macrovisión de 8 MP y una cámara frontal de 16 MP. La cámara del teléfono inteligente fue creada para tomar fotografías en diversas condiciones de luz con su sensor de luz ambiental, estabilización óptica de imagen (OIS) y tecnología Quad Pixel utilizada para mejorar la calidad de la imagen.

El Moto G Power, que está protegido por Corning Gorilla Glass 5, fue creado para funcionar en diversas condiciones. Según la compañía, puede soportar una caída desde casi un metro y medio, temperaturas que van desde -20 °C a 60 °C y altos niveles de humedad de hasta el 95 %.

Con un índice de protección subacuática IP68 e IP69, el teléfono inteligente también es resistente al agua contra líquidos a alta presión.

El teléfono inteligente Moto G tiene una pantalla un poco más pequeña de 6,7 pulgadas y una frecuencia de actualización de 120 Hz. Está cubierto con Gorilla Glass 3, que protege el dispositivo de arañazos y caídas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El teléfono inteligente tiene una clasificación IP52 repelente al agua, lo que significa que está protegido contra salpicaduras de agua, pero no se puede sumergir por completo en el agua.

Con un precio de $200 en los EE. UU., Moto G estará disponible para su compra en línea a partir del 30 de enero, con disponibilidad en tiendas en los próximos meses.

El Moto G Power de 300 dólares estará disponible online el 6 de febrero y en las tiendas físicas en los próximos meses.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5
Underc0de / Los Suertudos del Mes!!
Enero 16, 2025, 10:16:27 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este es un estimulo a usuarios por su devenir y sentimiento de pertenencia al Foro... otros por ser compadres de mi gato... y se han ganado cierta distinción por breve tiempo.

Es personal.

De hecho, ya lo realicé de manera muy breve y arbitraria sin anunciar. Más de uno creyó que era un error del Foro.

Escogidos:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
 
Personaje misterioso, que me ha tenido en jaque por largo y tendido.
Comparte revistas en archivo PDF. El asunto es que, este formato es el #1 en propagar malware, en particular stealers.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hasta ahora no lo hemos podido pillar si esa es la finalidad. Y hay que reconocer que cuando le entra una idea en la cabecita, es muy constante.
Felicidades para No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y una manera de agradecerle su dedicación y trabajo.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Otro que tiene de gato:

Lo sabe todo,
Lo ve todo,
No se pierde una.

Se sospecha que dentro de poco comenzará con los chantajes... por los detalles de lo que sabe. Es conveniente tenerlo a bien.

Un gran amigo de underc0de sin lugar a dudas, y pariente de gatos, por sus señas privadas.

Un saludo para él.


No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Compadre de mi gato. Nada más que decir.
Amigo estimado de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Recuerdo que le dedicó un escrito.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Un gran amigo que nos distingue con su presencia.
Tiene bigote.... Y si tiene bigote, tiene de gato.

Por lo pronto, hasta aquí. Otros pudieran sumarse según se distingan.

-------------------------------------------------------------------------
Su estimulo será válido hasta finales de Febrero.
-------------------------------------------------------------------------
De parte de Los Gatos de Underc0de:

"Recuerden que les hemos hecho un favor... tal vez llegue el día en que se lo pidamos de retorno.
Tal vez este día llegue... tal vez no...
"

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#6
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo grupo de piratas informáticos ha filtrado los archivos de configuración, las direcciones IP y las credenciales de VPN de más de 15.000 dispositivos FortiGate de forma gratuita, lo que expone una gran cantidad de información técnica confidencial a otros cibercriminales.

Los datos fueron filtrados por el "Grupo Belsen", un nuevo grupo de piratas informáticos que apareció por primera vez en las redes sociales y en los foros de ciberdelincuencia este mes. Para promocionarse, el Grupo Belsen ha creado un sitio web en Tor donde publicaron el volcado de datos de FortiGate de forma gratuita para que lo usen otros actores de amenazas.

"A principios de año, y como un comienzo positivo para nosotros, y con el fin de solidificar el nombre de nuestro grupo en su memoria, estamos orgullosos de anunciar nuestra primera operación oficial: se publicarán datos confidenciales de más de 15.000 objetivos en todo el mundo (tanto del sector gubernamental como privado) que han sido pirateados y sus datos extraídos", se lee en una publicación en un foro de piratería.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La filtración de FortiGate consta de un archivo de 1,6 GB que contiene carpetas ordenadas por país. Cada carpeta contiene subcarpetas adicionales para cada dirección IP de FortiGate en ese país.

Carpeta de direcciones IP para dispositivos FortiGate y sus configuraciones
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un configuration.conf (volcado de configuración de Fortigate) y un archivo vpn-passwords.txt, con algunas de las contraseñas en texto sin formato. Las configuraciones también contienen información confidencial, como claves privadas y reglas de firewall.

En una publicación de blog sobre la filtración de FortiGate, Beaumont dice que se cree que la filtración está vinculada a un día cero de 2022 identificado como CVE-2022–40684 que se explotó en ataques antes de que se lanzara una solución.

"He respondido a incidentes en un dispositivo en una organización víctima y la explotación se produjo efectivamente a través de CVE-2022–40684 en función de los artefactos del dispositivo. También he podido verificar que los nombres de usuario y la contraseña que se ven en el volcado coinciden con los detalles del dispositivo", explica Beaumont.

"Los datos parecen haber sido recopilados en octubre de 2022, como una vulnerabilidad de día cero. Por alguna razón, el volcado de datos de configuración se publicó hoy, poco más de dos años después".

En 2022, Fortinet advirtió que los actores de amenazas estaban explotando una vulnerabilidad de día cero identificada como CVE-2022–40684 para descargar archivos de configuración de dispositivos FortiGate específicos y luego agregar una cuenta super_admin maliciosa llamada 'fortigate-tech-support'.

Ataque CVE-2022-40684 que agrega la cuenta de administrador no autorizada
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El sitio de noticias alemán Heise analizó la filtración de datos y también dijo que se recopiló en 2022, y que todos los dispositivos utilizaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2.

"Todos los dispositivos estaban equipados con FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2, la mayoría con la versión 7.2.0. No encontramos ninguna versión de FortiOS en el conjunto de datos que fuera más reciente que la versión 7.2.2, lanzada el 3 de octubre de 2022", informó Heise.

Sin embargo, FortiOS 7.2.2 corrigió la falla CVE-2022–40684, por lo que no estaría claro cómo los dispositivos que ejecutan esa versión podrían ser explotados con esta vulnerabilidad.

A pesar de que estos archivos de configuración se recopilaron en 2022, Beaumont advierte que aún exponen mucha información confidencial sobre las defensas de una red.

Esto incluye reglas de firewall y credenciales que, si no se cambiaron en ese momento, deberían cambiarse inmediatamente ahora que los datos se han publicado para un grupo más amplio de actores de amenazas.

Beaumont dice que planea publicar una lista de las direcciones IP en la filtración para que los administradores de FortiGate puedan saber si la filtración los afectó.

BleepingComputer también se comunicó con los actores de amenazas y Fortinet con preguntas sobre la filtración y actualizará la historia si recibimos una respuesta.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una botnet recién descubierta de 13.000 dispositivos MikroTik utiliza una configuración incorrecta en los registros del servidor de nombres de dominio para eludir las protecciones de correo electrónico y distribuir malware falsificando aproximadamente 20.000 dominios web.

El actor de amenazas aprovecha un registro DNS configurado incorrectamente para el marco de políticas de remitente (SPF) utilizado para enumerar todos los servidores autorizados para enviar correos electrónicos en nombre de un dominio.

Registro SPF mal configurado

Según la empresa de seguridad DNS Infoblox, la campaña de spam malicioso estuvo activa a fines de noviembre de 2024. Algunos de los correos electrónicos se hacían pasar por la empresa de envíos DHL Express y entregaban facturas de flete falsas con un archivo ZIP que contenía una carga maliciosa.

Dentro del archivo ZIP adjunto había un archivo JavaScript que ensambla y ejecuta un script de PowerShell. El script establece una conexión con el servidor de comando y control (C2) del actor de la amenaza en un dominio previamente vinculado a piratas informáticos rusos.

"Los encabezados de los numerosos correos electrónicos no deseados revelaron una amplia gama de dominios y direcciones IP de servidores SMTP, y nos dimos cuenta de que habíamos descubierto una red en expansión de aproximadamente 13.000 dispositivos MikroTik secuestrados, todos parte de una red de bots considerable", explica Infoblox.

Infoblox explica que los registros DNS SPF para aproximadamente 20.000 dominios se configuraron con la opción excesivamente permisiva "+all", que permite que cualquier servidor envíe correos electrónicos en nombre de esos dominios.

"Esto básicamente frustra el propósito de tener un registro SPF, porque abre la puerta a la suplantación de identidad y al envío de correo electrónico no autorizado" - Infoblox

Una opción más segura es usar la opción "-all", que limita el envío de correo electrónico a los servidores especificados por el dominio.

Descripción general del funcionamiento de la botnet
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

MikroTik alimenta otra botnet

El método de ataque sigue sin estar claro, pero Infoblox afirma que "vieron una variedad de versiones afectadas, incluidas las recientes versiones de firmware [de MikroTik]".

Los enrutadores MikroTik son conocidos por ser potentes y los actores de amenazas los atacaron para crear botnets capaces de realizar ataques muy potentes.

El verano pasado, el proveedor de servicios en la nube OVHcloud culpó a una botnet de dispositivos MikroTik comprometidos por un ataque masivo de denegación de servicio que alcanzó un récord de 840 millones de paquetes por segundo.

A pesar de instar a los propietarios de dispositivos MikroTik a actualizar los sistemas, muchos de los enrutadores siguen siendo vulnerables durante largos períodos de tiempo debido a una tasa de parches muy lenta.

La botnet en este caso configuró los dispositivos como proxies SOCKS4 para lanzar ataques DDoS, enviar correos electrónicos de phishing, exfiltrar datos y, en general, ayudar a enmascarar el origen del tráfico malicioso.

"Aunque la botnet consta de 13.000 dispositivos, su configuración como servidores proxy SOCKS permite que decenas o incluso cientos de miles de máquinas comprometidas los utilicen para acceder a la red, lo que amplifica significativamente la escala potencial y el impacto de las operaciones de la botnet", comenta Infoblox.

Se recomienda a los propietarios de dispositivos MikroTik que apliquen la última actualización de firmware para su modelo, cambien las credenciales de la cuenta de administrador predeterminada y cierren el acceso remoto a los paneles de control si no es necesario.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#8
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Irónicamente, los cibercriminales ahora utilizan anuncios de búsqueda de Google para promocionar sitios de phishing que roban las credenciales de los anunciantes para la plataforma Google Ads.

Los atacantes publican anuncios en la Búsqueda de Google que se hacen pasar por Google Ads, que se muestran como resultados patrocinados que redirigen a las víctimas potenciales a páginas de inicio de sesión falsas alojadas en Google Sites, pero que parecen la página de inicio oficial de Google Ads, donde se les pide que inicien sesión en sus cuentas.

Google Sites se utiliza para alojar páginas de phishing porque permite a los atacantes camuflar sus anuncios falsos, dado que la URL (sites.google.com) coincide con el dominio raíz de Google Ads para una suplantación completa.

Anuncio falso que se hace pasar por Google Ads (Malwarebytes Labs)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"De hecho, no se puede mostrar una URL en un anuncio a menos que la página de destino (URL final) coincida con el mismo nombre de dominio. Si bien se trata de una regla destinada a proteger el abuso y la suplantación de identidad, es muy fácil de eludir", dijo Jérôme Segura, director sénior de investigación de Malwarebytes.

"Al observar el anuncio y la página de Google Sites, vemos que este anuncio malicioso no infringe estrictamente la regla, ya que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta utiliza los mismos dominios raíz que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. En otras palabras, se permite mostrar esta URL en el anuncio, por lo que no se puede distinguir del mismo anuncio publicado por Google LLC".

Según las personas que fueron víctimas de estos ataques o los vieron en acción, los ataques incluyen varias etapas:

La víctima ingresa la información de su cuenta de Google en la página de phishing.

El kit de phishing recopila identificadores únicos, cookies y credenciales.

La víctima puede recibir un correo electrónico que indique que ha iniciado sesión desde una ubicación inusual (Brasil)

Si la víctima no logra detener este intento, se agrega un nuevo administrador a la cuenta de Google Ads a través de una dirección de Gmail diferente.

El actor de la amenaza realiza una ola de gastos y bloquea a las víctimas si pueden
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Flujo del ataque (Malwarebytes Labs)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al menos tres grupos de cibercriminales están detrás de estos ataques, incluidos hablantes de portugués que probablemente operan desde Brasil, actores de amenazas con base en Asia que utilizan cuentas de anunciantes de Hong Kong (o de China) y una tercera banda probablemente formada por europeos del este.

Malwarebytes Labs, que detectó esta campaña en curso, cree que el objetivo final de los delincuentes es vender las cuentas robadas en foros de piratería y usar algunas de ellas para ejecutar futuros ataques utilizando las mismas técnicas de phishing.

"Esta es la operación de publicidad maliciosa más atroz que hemos rastreado, llegando al núcleo del negocio de Google y probablemente afectando a miles de sus clientes en todo el mundo. Hemos estado informando nuevos incidentes las 24 horas del día y, sin embargo, seguimos identificando otros nuevos, incluso en el momento de la publicación", agregó Segura.

"Irónicamente, es muy posible que las personas y las empresas que realizan campañas publicitarias no utilicen un bloqueador de anuncios (para ver sus anuncios y los de sus competidores), lo que los hace aún más susceptibles a caer en estos esquemas de phishing".

Las cuentas robadas de Google Ads son muy buscadas por los ciberdelincuentes, que las utilizan habitualmente como combustible para otros ataques que también abusan de los anuncios de búsqueda de Google para difundir malware y diversas estafas.

"Prohibimos expresamente los anuncios que tienen como objetivo engañar a las personas para robarles su información o estafarlas. Nuestros equipos están investigando activamente este problema y trabajando rápidamente para solucionarlo", dijo Google a BleepingComputer cuando se le pidió que proporcionara más detalles sobre los ataques.

A lo largo de 2023, Google también bloqueó o eliminó 206,5 millones de anuncios por violar su Política de tergiversación. También eliminó más de 3.400 millones de anuncios, restringió más de 5.700 millones y suspendió más de 5,6 millones de cuentas de anunciantes.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#9
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un documento de soporte independiente descubierto por primera vez por The Verge, la compañía dice que las aplicaciones de Office seguirán funcionando incluso después de que finalice el soporte de Windows 10, pero dijo que los clientes podrían encontrar problemas hasta que actualicen sus PC a Windows 11.

"Después de esa fecha, si está ejecutando Microsoft 365 en un dispositivo con Windows 10, las aplicaciones seguirán funcionando como antes. Sin embargo, recomendamos encarecidamente actualizar a Windows 11 para evitar problemas de rendimiento y confiabilidad con el tiempo", dice Microsoft.

Si bien la compañía ha presionado continuamente a los usuarios para que se pasen a Windows 11 desde su lanzamiento en octubre de 2021, incluso nombrando 2025 "el año de la actualización de PC con Windows 11" a principios de este mes, los clientes no están dispuestos a cambiar debido a los requisitos de soporte "no negociables" de TPM 2.0.

Aunque Windows 10 llegará al final del soporte en ocho meses, más del 62% de todos los sistemas Windows en todo el mundo todavía ejecutan Windows 10, mientras que menos del 35% ejecutan Windows 11, según datos de Statcounter Global.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft anunció en junio de 2021 que TPM 2.0 es un requisito obligatorio para las instalaciones o actualizaciones de Windows 11, afirmando que hace que los sistemas sean más resistentes a la manipulación y los ciberataques. Sin embargo, esto no ha impedido que los usuarios creen herramientas y encuentren técnicas para eludir el requisito de TPM.

Aunque el fin del soporte de Windows 10 se acerca rápidamente, la compañía anunció el 31 de octubre que los usuarios domésticos de Windows 10 podrían retrasar el cambio a Windows 11 un año más si pagan 30 dólares por las Actualizaciones de seguridad extendidas (ESU).

Además, las versiones de la rama de mantenimiento a largo plazo (LTSB) como Windows 10 2016 LTSB y las versiones del canal de mantenimiento a largo plazo (LTSC) como Windows 10 IoT Enterprise LTSC 2021 que atienden a dispositivos especializados, incluidos los sistemas industriales y médicos, también recibirán actualizaciones más allá de octubre de 2025.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Más de 660.000 servidores Rsync expuestos son potencialmente vulnerables a seis nuevas vulnerabilidades, incluida una falla de desbordamiento de búfer de pila de gravedad crítica que permite la ejecución remota de código en los servidores.

Rsync es una herramienta de sincronización de archivos y transferencia de datos de código abierto valorada por su capacidad de realizar transferencias incrementales, lo que reduce los tiempos de transferencia de datos y el uso de ancho de banda.

Admite transferencias de sistemas de archivos locales, transferencias remotas a través de protocolos seguros como SSH y sincronización directa de archivos a través de su propio demonio.

La herramienta es ampliamente utilizada por sistemas de respaldo como Rclone, DeltaCopy, ChronoSync, repositorios públicos de distribución de archivos y operaciones de administración de servidores y de la nube.

Los fallos de Rsync fueron descubiertos por Google Cloud e investigadores de seguridad independientes y pueden combinarse para crear poderosas cadenas de explotación que conducen a la vulneración remota del sistema.

"En el CVE más severo, un atacante solo requiere acceso de lectura anónimo a un servidor rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor", se lee en el boletín publicado en Openwall.

Los seis fallos se resumen a continuación:

Desbordamiento del búfer de montón ( CVE-2024-12084 ): vulnerabilidad que surge del manejo inadecuado de las longitudes de las sumas de comprobación en el demonio Rsync, lo que provoca escrituras fuera de los límites en el búfer. Afecta a las versiones 3.2.7 a < 3.4.0 y puede permitir la ejecución de código arbitrario. La mitigación implica la compilación con indicadores específicos para deshabilitar la compatibilidad con los resúmenes SHA256 y SHA512. ( Puntuación CVSS: 9,8 )

Fuga de información a través de una pila no inicializada ( CVE-2024-12085 ): falla que permite la fuga de datos de la pila no inicializada al comparar las sumas de comprobación de archivos. Los atacantes pueden manipular las longitudes de las sumas de comprobación para explotar esta vulnerabilidad. Afecta a todas las versiones anteriores a la 3.4.0, y se puede mitigar compilando con el indicador -ftrivial-auto-var-init=zero para inicializar el contenido de la pila. (Puntuación CVSS: 7,5 )

Fugas de archivos de cliente arbitrarios en servidores ( CVE-2024-12086 ) : vulnerabilidad que permite a un servidor malintencionado enumerar y reconstruir archivos de cliente arbitrarios byte a byte utilizando valores de suma de comprobación manipulados durante la transferencia de archivos. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,1 )

Recorrido de ruta mediante la opción --inc-recursive ( CVE-2024-12087 ) : problema que se origina en una verificación inadecuada de enlaces simbólicos al utilizar la opción --inc-recursive. Los servidores malintencionados pueden escribir archivos fuera de los directorios previstos en el cliente. Todas las versiones anteriores a la 3.4.0 son vulnerables. (Puntuación CVSS: 6,5 )

Omisión de la opción --safe-links ( CVE-2024-12088 ): falla que ocurre cuando Rsync no verifica correctamente los destinos de los enlaces simbólicos que contienen otros enlaces. Esto da como resultado un recorrido de ruta y escrituras de archivos arbitrarios fuera de los directorios designados. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,5 )

Condición de carrera de vínculo simbólico ( CVE-2024-12747 ) : vulnerabilidad que surge de una condición de carrera en el manejo de vínculos simbólicos. Su explotación puede permitir a los atacantes acceder a archivos confidenciales y escalar privilegios. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 5,6 )
 
El Centro de Coordinación CERT (CERT/CC) emitió un boletín de advertencia sobre las fallas de Rsync, señalando a Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation y el Centro de Datos Triton como afectados.

Sin embargo, muchos otros proyectos y proveedores potencialmente afectados aún no han respondido.

"Cuando se combinan, las dos primeras vulnerabilidades (desbordamiento del búfer de pila y fuga de información) permiten que un cliente ejecute código arbitrario en un dispositivo que tiene un servidor Rsync en ejecución", advirtió CERT/CC.

"El cliente solo requiere acceso de lectura anónimo al servidor, como espejos públicos. Además, los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos confidenciales, como claves SSH, y se puede ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt".

En su propio boletín sobre CVE-2024-12084, RedHat señaló que no existen mitigaciones prácticas y que la falla se puede explotar en la configuración predeterminada de Rsync.

"Tenga en cuenta que la configuración predeterminada de rsyncd permite la sincronización anónima de archivos, que corre el riesgo de sufrir esta vulnerabilidad", explica RedHat.

"De lo contrario, un atacante necesitará credenciales válidas para los servidores que requieren autenticación".

Se recomienda a todos los usuarios que actualicen a la versión 3.4.0 lo antes posible.

Fuente
:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft está investigando un error que activa alertas de seguridad en sistemas con un procesador Trusted Platform Module (TPM) después de habilitar BitLocker.

BitLocker es una función de seguridad de Windows que encripta las unidades de almacenamiento para evitar el robo o la exposición de datos. Según Redmond, "ofrece la máxima protección" cuando se utiliza con un TPM "para garantizar que un dispositivo no haya sido manipulado mientras el sistema está fuera de línea".

Los TPM son procesadores de seguridad dedicados que brindan funciones de seguridad basadas en hardware y actúan como componentes de hardware confiables para almacenar datos confidenciales, como claves de cifrado y otras credenciales de seguridad.

En un aviso publicado el martes, la empresa afirma que este problema conocido también afecta a los dispositivos no administrados, conocidos como BYOD (abreviatura de Bring Your Own Device). Por lo general, se trata de dispositivos de propiedad personal que se utilizan en entornos empresariales y que se pueden integrar o proteger mediante medidas proporcionadas por el equipo de TI o seguridad de cada organización.

En los PC con Windows 10 y 11 afectados, los usuarios verán una alerta que dice :

"Para su seguridad, algunas configuraciones son administradas por su administrador"

en el panel de control de BitLocker y en otros lugares de Windows.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft dice que actualmente está trabajando en una solución y brindará más detalles sobre el problema cuando tenga más información.

En abril de 2024, Microsoft solucionó otro problema que provocaba errores de cifrado de unidad BitLocker incorrectos en algunos entornos administrados de Windows. La empresa etiquetó este problema en octubre de 2023 como un problema de notificación que no afectaba al cifrado de la unidad.

Meses después, en agosto, Redmond abordó otro error que provocaba que algunos dispositivos Windows se iniciaran en modo de recuperación de BitLocker después de instalar las actualizaciones de seguridad de Windows.

El mismo mes, deshabilitó una solución para una vulnerabilidad de omisión de la función de seguridad de BitLocker ( CVE-2024-38058 ) debido a problemas de incompatibilidad de firmware que provocaban que los dispositivos Windows parcheados ingresaran al modo de recuperación de BitLocker.

Microsoft anunció en junio de 2021 que TPM 2.0 es un requisito obligatorio para instalar o actualizar a Windows 11, y dijo que haría que los sistemas fueran más resistentes a la manipulación y a los ciberataques sofisticados. Sin embargo, esto no ha impedido que los usuarios de Windows creen varias herramientas, scripts y técnicas para evitarlo.

Más de tres años después, en diciembre de 2024, Redmond dejó muy claro que la compatibilidad con TPM 2.0 es un requisito "no negociable", ya que los clientes no podrán actualizar a Windows 11 sin él.

Los datos globales de Statcounter muestran actualmente que más del 62 % de todos los sistemas Windows en todo el mundo todavía ejecutan Windows 10, mientras que menos del 34 % ejecutan Windows 11 tres años después de su lanzamiento en octubre de 2021.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva campaña de malware ha comprometido más de 5000 sitios de WordPress para crear cuentas de administrador, instalar un complemento malicioso y robar datos.

Los investigadores de la empresa de seguridad de scripts web c/side descubrieron durante una intervención de respuesta a incidentes para uno de sus clientes que la actividad maliciosa utiliza el dominio wp3[.]xyz para exfiltrar datos, pero aún no han determinado el vector de infección inicial.

Después de comprometer un objetivo, un script malicioso cargado desde el dominio wp3[.]xyz crea la cuenta de administrador falsa wpx_admin con credenciales disponibles en el código.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El script luego procede a instalar un complemento malicioso (plugin.php) descargado del mismo dominio y lo activa en el sitio web comprometido.

Según c/cide, el propósito del complemento es recopilar datos confidenciales, como credenciales de administrador y registros, y enviarlos al servidor del atacante de una manera ofuscada que los hace aparecer como una solicitud de imagen.

El ataque también implica varios pasos de verificación, como registrar el estado de la operación después de la creación de la cuenta de administrador no autorizada y verificar la instalación del complemento malicioso.

Bloqueando los ataques

c/side recomienda que los propietarios de sitios web bloqueen el dominio 'wp3[.]xyz' mediante cortafuegos y herramientas de seguridad.

Además, los administradores deben revisar otras cuentas privilegiadas y la lista de complementos instalados para identificar actividades no autorizadas y eliminarlas lo antes posible.

Por último, se recomienda que las protecciones CSRF en los sitios de WordPress se fortalezcan mediante la generación de tokens únicos, la validación del lado del servidor y la regeneración periódica. Los tokens deben tener un tiempo de expiración corto para limitar su período de validez.

La implementación de la autenticación multifactor también agrega protección a las cuentas con credenciales que ya se han visto comprometidas.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los científicos de materiales de la UCLA han desarrollado una tecnología de refrigeración compacta que puede bombear calor de forma continua mediante capas de películas delgadas flexibles. El diseño se basa en el efecto electrocalórico, en el que un campo eléctrico provoca un cambio temporal en la temperatura de un material.

En experimentos de laboratorio, los investigadores descubrieron que el prototipo podía reducir la temperatura ambiente de su entorno inmediato en 16 grados Fahrenheit de forma continua y hasta 25 grados en la fuente de calor después de unos 30 segundos.

Detallado en un artículo publicado en la revista Science, el enfoque podría incorporarse a la tecnología de refrigeración portátil o a los dispositivos de refrigeración portátiles.

"Nuestro objetivo a largo plazo es desarrollar esta tecnología para accesorios de refrigeración portátiles que sean cómodos, asequibles, fiables y energéticamente eficientes, especialmente para personas que trabajan en entornos muy calurosos durante muchas horas", dijo el investigador principal Qibing Pei, profesor de ciencia e ingeniería de materiales en la Escuela de Ingeniería Samueli de la UCLA. "A medida que las temperaturas medias siguen aumentando debido al cambio climático, hacer frente al calor se está convirtiendo en un problema de salud crítico. Necesitamos una variedad de soluciones al problema y esta podría ser la base para una de ellas".

Las películas de polímero del dispositivo se expanden y contraen como un acordeón para bombear el calor lejos de una fuente, enfriándola unos 16 grados Fahrenheit. Crédito: Laboratorio de Investigación de Materiales Blandos de la UCLA

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cuando se activa el campo eléctrico del dispositivo, las capas apiladas se comprimen entre sí en pares. Cuando se corta la electricidad, los pares apilados se separan para luego presionarse contra las otras capas vecinas. A medida que este proceso alterno se repite, la acción en cascada autorregenerativa, similar a un acordeón, bombea continuamente calor, capa por capa.

"Las películas de polímero utilizan un circuito para transportar cargas entre pares de capas apiladas, lo que hace que el dispositivo de enfriamiento flexible sea más eficiente que los acondicionadores de aire", dijo Hanxiang Wu, uno de los coautores principales del estudio y un investigador postdoctoral que trabaja en el laboratorio de Pei.

La tecnología de enfriamiento tradicional se basa en el aire acondicionado y la refrigeración, que requieren compresión de vapor que no solo consume una gran cantidad de energía, sino que también utiliza dióxido de carbono como refrigerante. El nuevo dispositivo es un diseño más simple que no requiere refrigerantes o líquidos que generen gases de efecto invernadero. Funciona únicamente con electricidad, que puede ser sostenible cuando se genera a través de fuentes de energía renovables como paneles solares.

"Este dispositivo de refrigeración integra materiales avanzados con una elegante arquitectura mecánica para ofrecer una refrigeración energéticamente eficiente al incorporar funcionalidad directamente en su estructura, reduciendo la complejidad, el uso de energía y las demandas computacionales", dijo el coautor principal del estudio, Wenzhong Yan, un investigador postdoctoral en ingeniería mecánica.

Pei tiene un puesto docente conjunto en el Departamento de Ingeniería Mecánica y Aeroespacial y dirige el Laboratorio de Investigación de Materiales Blandos en la UCLA. Él y su equipo han estado investigando tecnologías de refrigeración electrocalórica diseñadas para reducir las temperaturas lo suficiente para aplicaciones del mundo real.

"Dado que podemos utilizar películas delgadas y flexibles, la refrigeración electrocalórica sería la más ideal para los wearables de próxima generación que pueden mantenernos frescos en condiciones extenuantes", dijo Pei. "También podría usarse para enfriar dispositivos electrónicos con componentes flexibles".

Sumanjeet Kaur, científica de materiales del Laboratorio Nacional Lawrence Berkeley y líder de su Grupo de Energía Térmica, es otra autora del estudio y coinventora de la solicitud de patente que la UCLA ha presentado para esta invención. "No se puede exagerar el potencial de la refrigeración portátil eficiente para impulsar el ahorro de energía y mitigar el cambio climático", dijo Kaur.

Además de Wu y Yan, Yuan Zhu, estudiante de posgrado de UCLA Samueli y miembro del grupo de investigación de Pei, es otro coautor principal. Otros autores son los estudiantes de posgrado en ciencias de los materiales Siyu Zhang, William Budiman, Kede Liu, Jianghan Wu y el ex investigador postdoctoral en ciencias de los materiales Yuan Meng, todos ellos miembros del grupo de investigación de Pei; el estudiante de posgrado en bioingeniería Xun Zhao; y Ankur Mehta, profesor asociado de ingeniería eléctrica e informática de la UCLA.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Telefónica, una multinacional española de telecomunicaciones, confirmó una filtración de datos de su sistema interno de tickets. La confirmación se produjo después de que los datos robados aparecieran en Breach Forums, un foro sobre cibercrimen y piratería informática.

Telefónica, la mayor empresa de telecomunicaciones de España, opera en doce países con más de 104.000 empleados.
El ciberataque a Telefónica

La compañía ha confirmado que su sistema de tickets fue vulnerado y que actualmente está investigando el alcance del incidente y ha tomado medidas para evitar más accesos no autorizados. La filtración en el foro de piratería incluía una base de datos Jira de Telefónica.

Cuatro personas que utilizan los alias DNA, Grep, Pryx y Rey se atribuyeron la responsabilidad de la vulneración. Según Pryx, uno de los atacantes, el "sistema de tickets interno" es un servidor interno de desarrollo y emisión de tickets de Jira utilizado por Telefónica para informar y resolver problemas internos.

Según las fuentes, se utilizaron credenciales de empleados comprometidas para vulnerar el sistema el día anterior. Telefónica respondió bloqueando su acceso y restableciendo las contraseñas de las cuentas afectadas. Los atacantes dicen que pudieron extraer aproximadamente 2,3 GB de documentos, tickets y varios datos utilizando las cuentas de empleados comprometidas. Si bien algunos de estos datos estaban etiquetados como clientes, los tickets se abrieron con direcciones de correo electrónico @telefonica.com, lo que indica que podrían haber sido abiertos en nombre de clientes.

Captura de pantalla de los datos filtrados
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Pryx afirma que no se puso en contacto con Telefónica ni intentó extorsionarla antes de filtrar los datos en línea. Tres personas detrás del ataque, Grep, Pryx y Rey, también forman parte de una operación de ransomware lanzada recientemente conocida como Hellcat Ransomware. Hellcat es responsable de una reciente violación de datos en Schneider Electric, donde se robaron 40 GB de datos del servidor JIRA de la empresa.

Este ciberataque a Telefónica supuestamente involucra a Fortinet, un componente crucial de la infraestructura de red de la empresa. Si bien el alcance de la violación de datos y la naturaleza de los datos comprometidos siguen sin revelarse, han surgido inquietudes con respecto al impacto potencial. A pesar de la afirmación, el sitio web oficial de Telefónica sigue funcionando, lo que plantea dudas sobre la autenticidad del supuesto ciberataque.

Sin embargo, esta no es la primera vez que Telefónica sufre una violación de datos. En julio de 2018, millones de clientes de Telefónica vieron expuestos sus datos después de una violación de seguridad. Sin embargo, mientras la industria de las telecomunicaciones enfrenta amenazas cibernéticas, las empresas deben mantener su colaboración para establecer medidas de ciberseguridad adecuadas contra la infraestructura crítica.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han anunciado los ganadores oficiales del concurso de hacking Raspberry Pi y Hextree RP2350, que otorga 20.000 dólares.
En una entrada del blog del director de Raspberry Pi, Eben Upton, se describen los cuatro ganadores del premio.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Como Raspberry Pi quedó tan impresionada con la calidad de las propuestas, los cuatro ganadores recibirán el premio completo, en lugar de una parte.

Uno de los cuatro hackers competitivos que ganaron fue el ingeniero Aedan Cullen, con el detalle de la metodología de desenterrar el secreto OTP de su RP2350. Además, el pistolero a sueldo de Raspberry Pi, Hextree, logró eludir las medidas de seguridad OTP fuera del ámbito de la competición.

En un preámbulo a la designación de los ganadores del concurso de hacking RP2350, Upton nos recuerda el razonamiento detrás de la competición. El RP2350 se entregó en agosto pasado (a través del Raspberry Pi Pico 2) como sucesor del popular microcontrolador RP2040 (Raspberry Pi Pico). Tiene la ventaja de varias tecnologías, incluida la seguridad construida alrededor de Arm TrustZone para Cortex-M.

"Nuestro objetivo era descubrir las debilidades de forma temprana, para poder solucionarlas antes de que el RP2350 se implementara ampliamente en aplicaciones seguras", dijo Upton sobre el desafío del hackeo. De esta forma, el RP2350 debería obtener "seguridad a través de la transparencia", que Upton prefiere a la filosofía de "seguridad a través de la oscuridad" adoptada por algunos proveedores.

Raspberry Pi y Hextree anunciaron el desafío de piratería RP2350, anunciado en DEF CON en agosto, con un premio de $10,000. El premio se duplicó y Raspberry Pi contrató a Hextree como competidor fuera del campo, para garantizar que algunos resultados de piratería útiles estuvieran disponibles en enero de 2025. La competencia cerró el último día de diciembre de 2024.

Para recapitular, los competidores tenían la tarea de recuperar un valor secreto de la memoria programable una sola vez (OTP) en el RP2350. Además, se observa que las cuatro presentaciones válidas requerían acceso físico al chip.

Primer Ganador: Aedan Cullen


Cullen aisló físicamente el pin 53 del chip RP2350 cortando una pista de PCB, y luego utilizó un ataque de inyección de voltaje para activar los núcleos RISC-V "permanentemente desactivados" y su puerto de acceso de depuración, lo que le permitió leer el secreto.

El jefe de Raspberry Pi, Eben Upton, admite que aún no hay mitigación para esta vulnerabilidad, pero dice que "es probable que se resuelva en una futura versión de RP2350".

Segundo Ganador: Marius Muench


Muench emitió un comando de reinicio normal al cargador de arranque USB y luego empleó la inyección de errores mediante un error en el voltaje de suministro para omitir una instrucción. Con el tiempo correcto y al precargar el código malicioso en la RAM, el código podría ejecutarse y extraer el secreto OTP.

Este ataque ha sido designado E20 y ahora se puede mitigar configurando el indicador OTP BOOT_FLAGS0.DISABLE_WATCHDOG_SCRATCH.

Tercer Ganador: Kévin Courdesses

Inmediatamente después de que el firmware que se va a validar se haya cargado en la RAM, y justo antes de que se calcule la función hash necesaria para la comprobación de la firma, hay una debilidad explotable en la ruta de arranque segura.

Courdesses construyó un sistema de inyección de fallas láser personalizado para evitar la detección de fallas. Un breve pulso de luz láser en la parte posterior del chip, revelado al pulir parte de la superficie del paquete, introdujo una falla breve, lo que provocó que la lógica digital del chip se comportara mal y abriera la puerta a este ataque.

Al igual que con el ataque al RP2350 de Cullen, todavía no hay mitigación para esta vulnerabilidad (E24), pero dice que es probable que se resuelva en una futura versión del RP2350.

Método de haz de iones enfocado (FIB) de IOActive

Cuarto Ganador: IOActive

Los bits de datos almacenados en las memorias OPT del RP2350, basadas en antifusibles, se extrajeron utilizando una conocida técnica de análisis de fallos de semiconductores que aprovecha el contraste de voltaje pasivo (PVC) con un haz de iones enfocado (FIB).

El equipo de cinco miembros de IOActive considera que su vector de ataque único es lo suficientemente potente como para aplicarse a otros sistemas que utilizan memoria antifusible para la confidencialidad. Por lo tanto, las organizaciones que utilizan memoria antifusible de esta manera deberían "reevaluar inmediatamente su postura de seguridad", dice IOActive, y al menos utilizar técnicas de manipulación para dificultar a los atacantes la recuperación de datos.

El pistolero a sueldo también tiene éxito: Hextree

Las investigaciones de Hextree destacaron que la tasa de fallos no detectados del RP2350 era lo suficientemente alta como para que los fallos fueran un vector de ataque que valiera la pena. Con este descubrimiento inicial en mente, la empresa comenzó a centrar sus esfuerzos en la inyección de fallos electromagnéticos (EMFI).

De manera crucial, Hextree aprendió a usar fallas EMFI cronometradas con precisión para evitar que el OTP se bloquee correctamente. Por lo tanto, el secreto del OTP quedó abierto para leer.

Upton señala que existen varias mitigaciones contra este ataque (E21). Sin embargo, las mitigaciones actuales pueden evitar que los usuarios actualicen el firmware del dispositivo a través de USB.

Conclusión

El equipo de Raspberry Pi ha descubierto que el esquema de detección de fallas del RP2350 no es tan efectivo como esperaban. Si ha leído lo anterior, comprenderá que varios de los ataques de piratería pasaron por alto esta protección prevista.

Raspberry Pi está preparando otra competencia. Tiene una implementación de AES en el RP2350 que se dice que está reforzada contra ataques de canal lateral, y le gustaría desafiar a los piratas informáticos para que la derroten.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Ahora que la IA puede imitar a los humanos de forma fiable en determinadas situaciones, no sorprende oír que la están utilizando estafadores humanos de verdad. Según un artículo de The Express, una mujer francesa de 53 años que se identificó como "Anne" en el canal francés TF1 fue estafada por un monto de 830.000 euros (851.355 dólares) durante dos años utilizando imágenes de Brad Pitt generadas por IA. Anne fue convencida de entregar el dinero porque pensó que "Brad" lo necesitaba para el tratamiento del cáncer.

El estafador empleó tácticas que iban más allá de la simple fotografía y el vídeo de IA, incluida una extensa relación basada en texto con la víctima, que incluía el envío regular de poesía (probablemente también generada por IA) y, finalmente, una historia fingida de cáncer de riñón, completa con una foto generada por IA. La verdad es que ninguna de las fotos generadas parece algo que no se pueda hacer con Photoshop, pero al menos el trabajo típico de Photoshop requiere un poco más de esfuerzo que una rápida indicación de texto.

Anne pasó por alto una señal de alerta clave que es común en esquemas como este: la falta total de comunicación telefónica en tiempo real. Sin embargo, incluso si hubiera considerado eso, simular una llamada de voz no está fuera del rango de opciones disponibles para aquellos dispuestos a explotar la IA para ganar dinero rápido.

Otras formas en que los cibercriminales han mejorado su juego con la IA incluyen cometer fraude electrónico contra plataformas de música mediante la transmisión de música con bots y, por supuesto, generar spam, incluido contenido incendiario e ilegal para su uso con correos electrónicos de phishing, anuncios maliciosos, etc. Si bien la IA no ha cambiado mucho el panorama general del spam y el cibercrimen, la IA ha aumentado la velocidad y la eficiencia con la que ahora se pueden ejecutar los ataques.

Desafortunadamente para Anne, solo descubrió que era víctima de una elaborada estafa en línea cuando vio a su novio famoso perfectamente vivo y saludable con una nueva novia en la televisión, aproximadamente dos años después de que ella desembolsara el dinero. A pesar de acudir a las autoridades con su historia, Anne no pudo recuperar nada del dinero que perdió. Una buena parte de ello procedía de un acuerdo de divorcio con su ex marido millonario, cuyo conocimiento parece haber alentado a la estafadora a llegar a tales extremos.

Fuente
:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Algunos usuarios de Samsung podrán vender ahora sus smartphones usados a la empresa.

El programa "Galaxy Easy Compensation" de Samsung se lanzará el 14 de enero de 2025 y estará disponible primero para los usuarios de Corea del Sur. La empresa planea ampliar el servicio a otros países en una fecha posterior.

El programa permite a los usuarios vender sus viejos smartphones Samsung sin tener que comprar uno nuevo.

El programa está disponible para varios modelos de smartphones Samsung: Galaxy S23, Galaxy S22, Galaxy S21, Galaxy S20, Galaxy Z Fold 5, Galaxy Z Fold 4, Galaxy Z Fold 3, Galaxy Z Flip 5, Galaxy Z Flip 4, Galaxy Z Flip 3. La disponibilidad de los modelos puede depender del país.

La lista de smartphones aceptados revela que Samsung está aceptando dispositivos más nuevos lanzados en los últimos cinco años y que siguen recibiendo actualizaciones del sistema operativo.

Los smartphones usados serán valorados según su estado. La empresa clasificará los dispositivos como excelentes, buenos o aptos para reciclar. El precio de los smartphones usados aún no se conoce.

El nuevo programa podría ser otro paso hacia la simplificación del proceso para que los usuarios se deshagan de sus viejos dispositivos y las empresas que los utilicen, tal vez para reacondicionarlos y luego revenderlos, dándoles una segunda vida.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Por ejemplo, Google inició el año pasado un programa de Teléfonos reacondicionados certificados, a través del cual los usuarios pueden comprar dispositivos Pixel a precios más económicos.

La empresa también ha iniciado su programa Longevity GFR (Google Requirements Freeze), que permite a los dispositivos Android obtener una actualización de software de siete años.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al explotar esta vulnerabilidad, los atacantes podrían eludir la característica de seguridad vital de Apple, conocida como SIP.

La Protección de integridad del sistema (SIP) de MacOS es crucial para proteger el sistema operativo contra malware y un puñado de otras amenazas. SIP impone restricciones en las operaciones a nivel del sistema, incluso para usuarios con privilegios de root.

Microsoft Threat Intelligence descubrió una vulnerabilidad, ahora identificada como CVE-2024-44243, que podría usarse para eludir el escudo de seguridad SIP. Si se explota, permitiría la carga de extensiones de kernel de terceros, lo que resultaría en graves implicaciones de seguridad para los usuarios.

Una omisión de SIP afecta a todo el sistema operativo macOS y podría dar como resultado lo siguiente:

Instalación de malware o rootkits.

Eludir el marco de transparencia, consentimiento y control (TCC) de MacOS. El marco TCC evita que las aplicaciones accedan a la información personal de los usuarios, como la ubicación, el historial de navegación, la cámara, el micrófono u otros, sin su consentimiento. Eludirlo podría dar como resultado violaciones de datos privados. Deshabilitar o alterar las herramientas de seguridad para evitar la detección.

Crear más oportunidades para ataques adicionales.

Los investigadores identificaron una vulnerabilidad en el demonio Storage Kit, un proceso crítico de macOS responsable de administrar las operaciones de estado del disco.

Esta falla podría permitir a los atacantes con acceso root eludir las protecciones SIP inyectando y activando paquetes de sistemas de archivos personalizados para realizar acciones no autorizadas.

El equipo también encontró que varias implementaciones de sistemas de archivos de terceros, incluidas las de Tuxera, Paragon, EaseUS e iBoysoft, eran vulnerables a la explotación.

Al incorporar código personalizado en estos sistemas de archivos y utilizar herramientas como Disk Utility o el comando "diskutil", los atacantes podrían eludir SIP y anular la lista de exclusión de extensiones del kernel de Apple.

Tras la divulgación responsable de Microsoft y el investigador de seguridad Mickey Jin, Apple lanzó un parche para la vulnerabilidad en diciembre de 2024. Los usuarios deben mantener sus sistemas actualizados para evitar riesgos.

Los investigadores de Microsoft han encontrado anteriormente una técnica de omisión que elimina la protección TCC para el directorio del navegador Safari. Tras una divulgación responsable, Apple lanzó una solución para la vulnerabilidad el 16 de septiembre.

En agosto, un informe mostró que seis aplicaciones de Microsoft en macOS (Outlook, Teams, PowerPoint, OneNote, Excel y Word) son vulnerables a exploits que podrían otorgar a los atacantes acceso a información confidencial, enviar correos electrónicos y grabar video y audio sin ninguna interacción del usuario.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Todavía no está claro si TikTok será prohibida en Estados Unidos. Pero China, donde tiene su sede la empresa matriz de la aplicación, ByteDance, tiene una idea: vender TikTok a Elon Musk.

El destino de TikTok todavía se decidirá en la Corte Suprema de Estados Unidos, que está deliberando sobre la apelación de la empresa a la inminente prohibición. Sin embargo, los jueces señalaron firmemente la semana pasada que es probable que respeten la ley.

Esta última prohibiría la plataforma TikTok en Estados Unidos si su empresa matriz china no la vende antes del 19 de enero.

ByteDance probablemente hubiera preferido que el tribunal se centrara en la libertad de expresión, pero la mayoría de los jueces consideran que las preocupaciones de seguridad nacional de Estados Unidos son más importantes porque ByteDance, según el Congreso de Estados Unidos, tiene vínculos peligrosamente estrechos con el gobierno comunista de China.

El tiempo avanza rápido. Si TikTok fuera prohibida, no desaparecería inmediatamente para los usuarios, pero no habría actualizaciones disponibles y su rendimiento probablemente se deterioraría. Para evitar multas masivas, Google y Apple ya no alojarían ni distribuirían TikTok ni las actualizaciones de la aplicación.

Por eso, aunque la empresa china ha insistido constantemente en que no considerará la venta de TikTok que exige la ley, los funcionarios ahora están haciendo planes de contingencia urgentes, según fuentes de Bloomberg.

Uno de los escenarios supuestamente discutidos en los círculos del gobierno de China, que también demostraría que ByteDance no es exactamente independiente, alegaría un acuerdo para vender TikTok a Musk, un multimillonario con vínculos extremadamente estrechos con el presidente electo de Estados Unidos, Donald Trump.

Las personas involucradas en discusiones confidenciales dicen que X de Musk, anteriormente conocida como Twitter, tomaría el control de TikTok US y administraría estas plataformas juntas.

Según Bloomberg, hay zanahorias involucradas para hacer que el posible acuerdo sea más atractivo para Musk. Los 170 millones de usuarios de TikTok en Estados Unidos podrían ayudar a X a atraer más anunciantes, y la empresa de inteligencia artificial de Musk, xAI, podría beneficiarse de las grandes cantidades de datos generados por TikTok.

No está claro si Musk, ByteDance y TikTok han hablado sobre los términos del acuerdo, y TikTok ha declarado firmemente que los informes de una posible tasa son "pura ficción". Pero las estrellas están alineadas: Musk dijo en abril que no quería que TikTok se prohibiera en Estados Unidos, y Trump claramente prefiere que siga disponible en el país.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Trump ya había vilipendiado a TikTok como una amenaza a la seguridad nacional e incluso intentó prohibirla, pero ahora está defendiendo la plataforma e incluso pidió a la Corte Suprema en diciembre que suspendiera la prohibición.

Inmediatamente después de su investidura, Trump también podría intentar convencer al Congreso controlado por los republicanos de que derogue la ley original de 2024. Sin embargo, eso sería tremendamente difícil políticamente, por lo que su otra opción es simplemente ordenar al Departamento de Justicia que no aplique la ley.

Las operaciones de TikTok en Estados Unidos podrían estar valoradas en alrededor de 40.000 a 50.000 millones de dólares, según las estimaciones del año pasado. Pero si Musk tenía dinero para adquirir Twitter, seguramente también tiene el efectivo para pagar por TikTok. Además, es muy querido en China y tiene experiencia en el trato con el gobierno chino.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las personas que intenten desbloquear los servicios de inteligencia artificial de Microsoft se enfrentarán a acciones legales, según ha declarado la Unidad de Delitos Digitales (DCU) del gigante tecnológico, señalando a actores de amenazas extranjeros que abusan de los servicios de la empresa y los utilizan como armas.

La DCU de Microsoft quiere crear un precedente que permita emprender acciones legales contra actores maliciosos que desarrollen jailbreaks de inteligencia artificial que permitan la creación de contenido dañino. Los atacantes de inteligencia artificial han ideado varios métodos para eludir las medidas de seguridad integradas, lo que permite a los actores de amenazas utilizar la herramienta de una forma que sus creadores no pretendían que lo hicieran los usuarios.

La medida de la empresa indica que incluso las empresas tecnológicas más ricas son incapaces de poner un límite a la creatividad humana para convertir la nueva tecnología en un arma. Como dijo la propia Microsoft: "Los ciberdelincuentes siguen siendo persistentes e innovan sin descanso". Especialmente cuando el esfuerzo está coordinado en los niveles más altos.

Por ejemplo, Microsoft señala a un "grupo de actores de amenazas con base en el extranjero" que desarrolló un software "sofisticado" que permitía extraer credenciales de sitios web públicos, lo que conducía al acceso no autorizado a cuentas "con ciertos servicios de inteligencia artificial generativa".

Una vez dentro, los actores maliciosos modificaban las capacidades de la inteligencia artificial y procedían a vender el acceso a dichas cuentas. Con esas herramientas a mano, dijo Microsoft, los cibercriminales podían idear contenido dañino e ilícito. Si bien el fabricante de Windows finalmente revocó el acceso de los piratas informáticos al servicio modificado, la acción legal permitió a la empresa confiscar un sitio web que los delincuentes usaban para discutir y organizar el crimen.

"La orden judicial nos ha permitido confiscar un sitio web fundamental para la operación criminal que nos permitirá reunir evidencia crucial sobre las personas detrás de estas operaciones, descifrar cómo se monetizan estos servicios y desmantelar la infraestructura técnica adicional que encontremos", dijo Microsoft.

Si bien la compañía no identificó qué tipo de acciones maliciosas se iniciaron utilizando sus herramientas, a principios de este año, OpenAI, respaldada por Microsoft, dijo que había desmantelado cinco operaciones de influencia encubiertas que buscaban utilizar sus modelos de IA para "actividades engañosas" en Internet.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta