Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

#1
Los celerones a fecha de hoy están delegados a:

Ofimática y a navegar por internet sin pretensiones de streaming

De hecho, los navegadores ya son unos "tragones" de memoria de manera escalonada.
 
Solo Linux, ofimática, internet con humildad.

Ni hablar de Windows 11.

#2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Asif William Rahman, un ex analista de la CIA con autorización de alto secreto desde 2016, se declaró culpable de filtrar información clasificada en las redes sociales en octubre de 2024. Rahman tenía acceso a Información Confidencial Compartimentada (SCI).

El 17 de octubre de 2024, Rahman robó y filtró documentos de alto secreto sobre los planes de un aliado de EE. UU., que aparecieron en las redes sociales el 18 de octubre con marcas de clasificación. El analista de la CIA fotografió los documentos clasificados y los transmitió a personas que sabía que no estaban autorizadas a verlos.

"Después del 17 de octubre de 2024, Rahman eliminó y editó entradas de diario y productos de trabajo escrito en sus dispositivos electrónicos personales para ocultar sus opiniones personales sobre la política estadounidense y redactó entradas para construir una narrativa falsa sobre su actividad", se lee en el comunicado de prensa publicado por el Departamento de Justicia. "Rahman también destruyó varios dispositivos electrónicos, incluido un dispositivo móvil personal y un enrutador de Internet que usaba para transmitir información clasificada y fotografías de documentos clasificados, y descartó los dispositivos destruidos en basureros públicos en un esfuerzo por frustrar posibles investigaciones sobre él y su conducta ilegal".

Desde la primavera hasta noviembre de 2024, Rahman robó, alteró y compartió información de alto secreto con personas no autorizadas. El hombre fue arrestado el 12 de noviembre de 2024 y permanece detenido.

Rahman se declaró culpable de dos cargos de retención y transmisión intencional de información clasificada relacionada con la defensa nacional. El ex analista de la CIA será sentenciado el 15 de mayo de 2025 y se enfrentará a hasta 10 años de prisión por ambos cargos en el acuerdo de culpabilidad.

"La petición de hoy demuestra la determinación del FBI de desplegar las herramientas y las autoridades necesarias para identificar, localizar y llevar ante la justicia a un titular de una autorización gubernamental que violó el juramento que hizo de apoyar y defender la Constitución de los Estados Unidos", dijo David Sundberg, subdirector de la Oficina de Campo del FBI en Washington. "Este es un buen recordatorio para todos los titulares de autorizaciones de que el FBI y nuestros socios de la Comunidad de Inteligencia no escatimarán recursos para encontrar y hacer rendir cuentas de inmediato a quienes violen la ley y divulguen información clasificada sin autorización, sin importar en qué parte del mundo se encuentren".


Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Kaspersky publicó los resultados de una investigación sobre el sistema de infoentretenimiento Mercedes-Benz User Experience (MBUX) de primera generación, centrándose específicamente en la unidad principal de Mercedes-Benz.

Los investigadores partieron de los resultados de otro estudio realizado por KeenLab sobre los componentes internos del MBUX.

Los expertos utilizaron un software de diagnóstico para analizar la arquitectura del vehículo, escanear la unidad de control electrónico (ECU), identificar su versión y probar las funciones de diagnóstico. La investigación combinó interfaces de hardware y software para comunicarse con el vehículo a través del protocolo de diagnóstico por Internet (DoIP).

El sistema MBUX consta de varios componentes clave. La MMB (placa multimedia) es la parte principal de la unidad principal y contiene todos los subsistemas. La BB (placa base) incluye chips para diversas comunicaciones de red, mientras que la CSB (placa específica del país) amplía el sistema y se comunica con la MMB a través de Ethernet interna. El módulo RH850 facilita la comunicación entre buses de bajo nivel.

Los expertos de Kaspersky utilizaron dos configuraciones de prueba, un Mercedes B180 real y un banco de pruebas compuesto por su plataforma para pruebas de hardware y software, que se diseñó para la investigación.

Los expertos descubrieron vulnerabilidades que pueden explotarse para activar condiciones de denegación de servicio (DoS), inyectar comandos, escalar privilegios y potencialmente robar datos.

Kaspersky informó que un atacante con acceso físico al automóvil puede explotar vulnerabilidades para desactivar las protecciones antirrobo, modificar la configuración del vehículo y desbloquear servicios pagos, utilizando conexiones USB o IPC personalizadas.

"Durante nuestra investigación, logramos comprometer el banco de pruebas de la unidad principal y encontramos varias vulnerabilidades para un automóvil real a través del acceso físico", se lee en el informe publicado por Kaspersky.

"El compromiso del banco de pruebas tiene tres casos de uso potenciales:

un delincuente que desea desactivar la protección antirrobo en una unidad principal robada;
un propietario de un automóvil que tunea y desbloquea servicios prepago en su vehículo;
un pentester que realiza una investigación para encontrar nuevas vulnerabilidades.

En el caso de un coche real, las vulnerabilidades identificadas pueden activarse a través de un servicio USB expuesto que está disponible para el usuario general
".

A continuación se muestra la lista de fallas descubiertas por los investigadores:

CVE-2024-37602
CVE-2024-37600
CVE-2024-37603
CVE-2024-37601
CVE-2023-34406
CVE-2023-34397
CVE-2023-34398
CVE-2023-34399
CVE-2023-34400
CVE-2023-34401
CVE-2023-34402
CVE-2023-34403
CVE-2023-34404


Los detalles de cada una de las fallas mencionadas anteriormente se publicarán aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

En mayo de 2019, los investigadores de seguridad de Tencent Security Keen Lab identificaron cinco vulnerabilidades, identificadas como CVE-2021-23906, CVE-2021-23907, CVE-2021-23908, CVE-2021-23909 y CVE-2021-23910, en el último sistema de infoentretenimiento de los automóviles Mercedes-Benz.

Los expertos centraron su análisis en el sistema de infoentretenimiento Mercedes-Benz User Experience (MBUX), que el fabricante de automóviles presentó por primera vez en 2018.

Cuatro vulnerabilidades podrían ser explotadas por atacantes para controlar de forma remota algunas funciones del vehículo; afortunadamente, ninguna podría usarse para controlar las características físicas de los automóviles.

Los investigadores del equipo Keen descubrieron que los sistemas probados ejecutaban una versión desactualizada del núcleo Linux que presenta vulnerabilidades que podrían aprovecharse para llevar a cabo ataques específicos.

Los investigadores exploraron múltiples escenarios de ataque que podrían aprovechar el motor JavaScript del navegador, el chip Wi-Fi, la pila Bluetooth, las funciones USB o las aplicaciones de terceros en su unidad principal.

Los investigadores demostraron que un atacante podría configurar un shell web con privilegios de root y utilizar otros problemas, como errores de desbordamiento de pila, para interferir con funciones específicas del automóvil.

Los expertos pudieron eludir la protección antirrobo del vehículo e incluso realizar acciones de control del vehículo.

En su informe, los investigadores describen intentos de ataque exitosos y fallidos, al tiempo que brindan amplios detalles técnicos del hardware y el software que probaron.

Fuente
:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El mayor ataque de denegación de servicio distribuido (DDoS) hasta la fecha alcanzó un máximo de 5,6 terabits por segundo y provino de una botnet basada en Mirai con 13.000 dispositivos comprometidos.

El ataque basado en UDP ocurrió el año pasado el 29 de octubre y tuvo como objetivo a un proveedor de servicios de Internet (ISP) en Asia Oriental en un intento de desconectar sus servicios.

El proveedor de servicios de seguridad y conectividad Cloudflare dice que el ataque duró 80 segundos pero no tuvo impacto en el objetivo y no generó alertas porque su detección y mitigación fue completamente autónoma.

Contribución de cada dirección IP en el ataque DDoS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un ataque DDoS anterior que Cloudflare informó a principios de octubre de 2024 alcanzó un máximo de 3,8 Tbps, duró 65 segundos y mantuvo el récord del ataque volumétrico más grande.

Los ataques hipervolumétricos en aumento

Los ataques DDoS hipervolumétricos han comenzado a ser más frecuentes, una tendencia que se hizo evidente en el tercer trimestre de 2024, según Cloudflare. En el cuarto trimestre del año, los ataques comenzaron a superar 1 Tbps, con un crecimiento intertrimestral del 1885 %.

Los ataques que superaron los 100 millones de paquetes por segundo (pps) también aumentaron un 175 %, y un notable 16 % de ellos también superaron los mil millones de pps.

Resumen de las cifras de ataques DDoS en el cuarto trimestre de 2024
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los ataques DDoS HTTP hipervolumétricos solo representaron el 3% del total registrado, y el 63% restante fueron ataques pequeños que no superaron las 50.000 solicitudes por segundo (rps).

Las estadísticas son similares para los ataques DDoS de capa de red (capa 3/capa 4), donde el 93% no superaron los 500 Mbps y el 87% se limitaron a números inferiores a 50.000 pps.

Ataques DDoS relámpago

Cloudflare advierte que los ataques DDoS son cada vez más efímeros, hasta el punto de que resulta poco práctico para un humano responder, analizar el tráfico y aplicar mitigaciones.

Aproximadamente el 72% de los ataques DDoS HTTP y el 91% de los ataques DDoS de capa de red terminaron en menos de 10 minutos. En el otro lado del espectro, solo el 22% de los ataques DDoS HTTP y el 2% de los ataques DDoS de capa de red duraron más de una hora.

Duración de los ataques DDoS en el cuarto trimestre de 2024
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La empresa de seguridad de Internet afirma que estas breves ráfagas de tráfico abrumador suelen producirse durante los períodos de mayor uso, como las vacaciones y los eventos de ventas, para lograr un impacto máximo.

Esto prepara el terreno para los ataques DDoS de rescate, que también tuvieron un notable aumento del 78 % intertrimestral y del 25 % interanual, alcanzando su punto máximo durante el cuarto trimestre y la temporada de vacaciones de Navidad.

Los clientes de Cloudflare son el blanco de ataques de actores DDoS que piden rescate
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"La corta duración de los ataques enfatiza la necesidad de un servicio de protección DDoS automatizado, en línea y siempre activo", afirma Cloudflare.

La empresa afirma que los objetivos más atacados en el último trimestre de 2024 se encontraban en China, Filipinas y Taiwán, seguidos de Hong Kong y Alemania.

Los datos de telemetría de Cloudflare muestran que la mayoría de los objetivos se encontraban en la industria de las telecomunicaciones, los proveedores de servicios y operadores, el sector de Internet y el marketing y la publicidad.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los piratas informáticos están abusando una vez más de los anuncios de Google para difundir malware, utilizando un sitio web falso de Homebrew para infectar dispositivos Mac y Linux con un ladrón de información (stealer) que roba credenciales, datos del navegador y billeteras de criptomonedas.

La campaña maliciosa de anuncios de Google fue detectada por Ryan Chenkie, quien advirtió en X sobre el riesgo de infección con malware.

El malware utilizado en esta campaña es AmosStealer (también conocido como 'Atomic'), un ladrón de información diseñado para sistemas macOS y vendido a cibercriminales como una suscripción de $1,000/mes.

El malware se vio recientemente en otras campañas de publicidad maliciosa que promocionaban páginas de conferencias falsas de Google Meet y actualmente es el ladrón preferido por los cibercriminales que atacan a los usuarios de Apple.


Ataque a los usuarios de Homebrew


Homebrew es un popular administrador de paquetes de código abierto para macOS y Linux, que permite a los usuarios instalar, actualizar y administrar software desde la línea de comandos.

Un anuncio malicioso de Google mostraba la URL correcta de Homebrew, "brew.sh", engañando incluso a los usuarios conocidos para que hicieran clic en él. Sin embargo, el anuncio los redirigía a un sitio falso de Homebrew alojado en "brewe.sh".

Los anunciantes maliciosos han utilizado ampliamente esta técnica de URL para engañar a los usuarios para que hagan clic en lo que parece ser el sitio web legítimo de un proyecto u organización.

Resultado de búsqueda malicioso de Google
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al llegar al sitio, se le solicita al visitante que instale Homebrew pegando un comando que se muestra en la Terminal de macOS o en un símbolo del sistema de Linux. El sitio legítimo de Homebrew proporciona un comando similar para ejecutar e instalar el software legítimo.

Sin embargo, al ejecutar el comando que muestra el sitio web falso, se descargará y ejecutará malware en el dispositivo.

Sitio falso de Homebrew
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El investigador de seguridad JAMESWT descubrió que el malware que se lanzó en este caso [VirusTotal] es Amos, un poderoso ladrón de información que ataca a más de 50 extensiones de criptomonedas, billeteras de escritorio y datos almacenados en navegadores web.

El líder del proyecto Homebrew, Mike McQuaid, afirmó que el proyecto está al tanto de la situación, pero destacó que está fuera de su control y criticó a Google por su falta de escrutinio.

"Soy el líder del proyecto Homebrew para Mac. Parece que esto ya está eliminado", tuiteó McQuaid.

"Realmente no podemos hacer mucho al respecto, sigue sucediendo una y otra vez y a Google parece gustarle quitarle dinero a los estafadores. Por favor, amplíen la información y esperemos que alguien de Google lo solucione para siempre".

Al momento de escribir este artículo, el anuncio malicioso ha sido eliminado, pero la campaña podría continuar a través de otros dominios de redireccionamiento, por lo que los usuarios de Homebrew deben tener cuidado con los anuncios patrocinados del proyecto.

Lamentablemente, los anuncios maliciosos siguen siendo un problema en los resultados de búsqueda de Google para varios términos de búsqueda, incluso para Google Ads.

En esa campaña, los actores de amenazas apuntaron a los anunciantes de Google para robar sus cuentas y ejecutar campañas maliciosas bajo la apariencia de entidades legítimas y verificadas.

Para minimizar el riesgo de infección por malware, siempre que haga clic en un enlace en Google, asegúrese de que lo dirijan al sitio legítimo de un proyecto o empresa antes de ingresar información confidencial o descargar software.

Otro método seguro es marcar como favoritos los sitios web oficiales de proyectos que necesita visitar con frecuencia para obtener software y utilizarlos en lugar de buscar en línea cada vez.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#6
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad de alta gravedad en el archivador de archivos 7-Zip permite a los atacantes eludir la función de seguridad de Windows Mark of the Web (MotW) y ejecutar código en las computadoras de los usuarios al extraer archivos maliciosos de archivos anidados.

7-Zip agregó soporte para MotW en junio de 2022, a partir de la versión 22.00. Desde entonces, ha agregado automáticamente indicadores MotW (flujos de datos alternativos especiales 'Zone.Id') a todos los archivos extraídos de los archivos descargados.

Este indicador informa al sistema operativo, los navegadores web y otras aplicaciones que los archivos pueden provenir de fuentes no confiables y deben tratarse con precaución.

Como resultado, al hacer doble clic en archivos riesgosos extraídos con 7-Zip, los usuarios recibirán una advertencia de que abrir o ejecutar dichos archivos podría provocar un comportamiento potencialmente peligroso, incluida la instalación de malware en sus dispositivos.

Microsoft Office también comprobará si hay indicadores de MotW y, si los encuentra, abrirá los documentos en la Vista protegida, que habilita automáticamente el modo de solo lectura y deshabilita todas las macros.

Ejecutar un ejecutable descargado con un indicador MoTW
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sin embargo, como explicó Trend Micro en un aviso publicado durante el fin de semana, una falla de seguridad identificada como CVE-2025-0411 puede permitir a los atacantes eludir estas advertencias de seguridad y ejecutar código malicioso en las PC de sus objetivos.

"Esta vulnerabilidad permite a los atacantes remotos eludir el mecanismo de protección Mark-of-the-Web en las instalaciones afectadas de 7-Zip. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso", dice Trend Micro.

"La falla específica existe en el manejo de archivos comprimidos. Al extraer archivos de un archivo creado que lleva la marca de la Web, 7-Zip no propaga la marca de la Web a los archivos extraídos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual".

Afortunadamente, el desarrollador de 7-Zip, Igor Pavlov, ya ha parcheado esta vulnerabilidad el 30 de noviembre de 2024, con el lanzamiento de 7-Zip 24.09.

"El administrador de archivos 7-Zip no propagó el flujo Zone.Identifier para los archivos extraídos de archivos anidados (si hay un archivo abierto dentro de otro archivo abierto)", dijo Pavlov.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Top10VPN, en colaboración con el investigador de seguridad Mathy Vanhoef, ha descubierto nuevas vulnerabilidades en varios protocolos de tunelización (IPIP/IP6IP6, GRE/GRE6, 4in6, 6in4). Estas vulnerabilidades permiten a los atacantes secuestrar los hosts de Internet afectados para realizar ataques anónimos y obtener acceso no autorizado a la red.

Un análisis de Internet a gran escala identificó 4,2 millones de hosts de tunelización abiertos.
 
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esto incluye infraestructura crítica como servidores VPN, enrutadores domésticos, enrutadores de Internet centrales, puertas de enlace de redes móviles e incluso redes de distribución de contenido (CDN) operadas por actores importantes como Facebook y Tencent. Los hosts vulnerables pueden permitir una variedad de ataques, incluidas nuevas técnicas de denegación de servicio (DoS) y suplantación de DNS. Las vulnerabilidades identificadas incluyen CVE-2024-7595, CVE-2025-23018/23019 y CVE-2024-7596.

Los países más afectados son China, Francia, Japón, Estados Unidos y Brasil. Más de 11.000 sistemas autónomos (AS) se han visto afectados, siendo Softbank, Eircom, Telmex y China Mobile los más afectados.

Las vulnerabilidades se deben a que muchos hosts de Internet aceptan tráfico de tunelización sin verificar la identidad del remitente. Esta falta de autenticación permite a los atacantes explotar estos hosts como servidores proxy para actividades maliciosas.

"Estos hosts aceptan tráfico de tunelización no autenticado de cualquier fuente. Esto significa que pueden ser utilizados como servidores proxy unidireccionales para realizar una variedad de ataques anónimos. Los hosts vulnerables también pueden ser utilizados para obtener acceso a las redes privadas de las víctimas", señaló el investigador y autor del informe de Top10VPN, Simon Migliano.

En concreto, los atacantes pueden manipular estos hosts para enviar tráfico en su nombre, ocultando su verdadero origen y dificultando el rastreo de los ataques hasta ellos. En algunos casos, los atacantes podrían aprovechar estas vulnerabilidades para obtener acceso a redes privadas conectadas al host secuestrado.

Los protocolos de tunelización, como IPIP, GRE y 6in4/4in6, desempeñan un papel crucial en las redes modernas, ya que permiten una comunicación fluida entre diversas redes. Sin embargo, muchos dispositivos que utilizan estos protocolos carecen de la autenticación y el cifrado adecuados, lo que los deja vulnerables a la explotación.

Según el informe de Top10VPN, se identificaron al menos 1365 servidores VPN vulnerables, incluidos VPN de consumo, enrutadores con funciones de acceso remoto y VPN comerciales. AoxVPN, un servicio con más de un millón de usuarios, estaba entre los que presentaban vulnerabilidades.

Además, se detectaron alrededor de 1200 enrutadores DNS dinámicos vulnerables, principalmente modelos de Synology que ofrecen acceso remoto a través de VPN Plus Server. Y se expusieron 171 servidores VPN de empresas, principalmente utilizando el protocolo GRE, pertenecientes a empresas y organizaciones en 33 países, siendo Estados Unidos, China y Hong Kong los más afectados. Más del 17% de los dispositivos vulnerables eran enrutadores domésticos de Free ISP en Francia, que aceptaban tráfico no autenticado.

Además, los investigadores descubrieron nuevos métodos de ataque, como la "amplificación de ping-pong" y la "lente temporal en túnel", que aprovechan estas vulnerabilidades para lanzar poderosos ataques de denegación de servicio (DoS). Estas vulnerabilidades también pueden amplificar el impacto de ataques existentes, como la suplantación de DNS, los ataques DoS de amplificación tradicionales, el secuestro de TCP fuera de ruta, las inundaciones SYN y ciertos ataques WiFi.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#8
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva variante de ransomware ha aparecido en varios foros clandestinos. El equipo de investigación y asesoramiento de CYFIRMA ha informado sobre Nnice Ransomware, que emplea técnicas de cifrado avanzadas y métodos sofisticados de evasión y persistencia.

CYFIRMA advierte que la nueva variante de ransomware, observada por primera vez el 17 de enero, plantea "riesgos significativos para la seguridad de los datos" y destaca "la necesidad urgente de defensas proactivas".

El nuevo ransomware se dirige a los sistemas Windows. El informe no detalla cómo los operadores obtienen acceso inicial a los sistemas. Sin embargo, una vez dentro, el ransomware cifra los archivos añadiendo la extensión ".xdddd" a los nombres de archivo originales.

Según el informe, el malware es capaz de persistir a nivel de arranque mediante la implementación de bootkit junto con la funcionalidad de rootkit, lo que dificulta su detección y eliminación.

La muestra tenía capacidades de ataque integrales, como robo de credenciales y cookies de sesión web, recopilación de correo electrónico y descubrimiento de software de seguridad. Es capaz de evadir entornos sandbox, debilitar defensas, elevar privilegios, suplantar identidad, inyectar procesos, cargar archivos DLL de forma lateral y mucho más.

Una vez que el ransomware termina, deja una nota de rescate titulada "Readme.txt", que contiene instrucciones para la recuperación de archivos, también cambia el fondo de pantalla con una nota que dice que "todos sus archivos importantes han sido cifrados" y se necesita un descifrador especial para descifrarlos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El actor de amenazas detrás de NNice parece preferir comunicarse por correo electrónico.

CYFIRMA recomienda proteger los entornos locales y en la nube mediante la implementación de protocolos de seguridad competentes y configuraciones de cifrado, autenticación o credenciales de acceso para acceder a los sistemas críticos.

"Asegúrese de mantener copias de seguridad de los sistemas críticos que se puedan utilizar para restaurar los datos en caso de que surja una necesidad", advierte la empresa de seguridad.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#9



Un experto de la industria, @Jukanlosreve, citando a un medio de noticias tecnológicas coreano, compartió que la línea plegable de Samsung podría constar de cuatro modelos: Galaxy Z Fold 7, Galaxy Z Flip 7, Triple Fold y Galaxy Flip FE.

Los detalles revelaron que la producción de componentes para el teléfono inteligente de triple pliegue debería comenzar en el segundo trimestre de 2025, y el lanzamiento del teléfono inteligente está programado para el tercer trimestre de este año.

El nuevo dispositivo podría tener una pantalla de 9,9 y 10 pulgadas cuando esté desplegado. Se espera que la compañía lance 200.000 unidades.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Samsung ha estado en una carrera con la empresa tecnológica china Huawei para lanzar un teléfono con una pantalla triple. Esta última presentó su plegable de 2.800 dólares en septiembre de 2024.

Más empresas han estado trabajando en sus teléfonos inteligentes triples, una de las cuales es Tecno. La empresa china ha creado un concepto de Phantom Ultimate 2, un teléfono inteligente triple, que incluso se puede convertir en una computadora portátil.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10


Ayer, Trump indultó, conmutó las penas de prisión y prometió desestimar los casos de más de 1.500 estadounidenses acusados de delitos durante los disturbios del Capitolio en enero de 2021. Sin embargo, a pesar de su promesa de hacerlo en su primer día en el cargo, Trump no indultó a Ross Ulbricht, fundador del sitio web de mercado de la darknet Silk Road.

En la comunidad de bitcoin y criptomonedas, Ulbricht, que está cumpliendo cadena perpetua y ya ha estado en prisión durante 12 años, es visto en gran medida como un condenado injustamente, y las autoridades lo están convirtiendo en un ejemplo para otros operadores de mercados similares.

A continuación, parte de la corrección de los precios de bitcoin (BTC) de ayer y hoy se atribuye al hecho de que Trump no mencionó a BTC ni a las criptomonedas entre las prioridades de su administración, como se esperaba en gran medida.

Sin embargo, en ambos casos, algunos observadores de la industria afirman que Trump simplemente necesita más tiempo.

Una persona detrás de una popular cuenta de comercio de criptomonedas, MacroScope, señaló que "nadie debería sorprenderse de que no se haya mencionado a BTC" porque "no es un tema apropiado para ese discurso, por decir lo menos".

Los últimos informes de los medios, basados en fuentes no reveladas, también han afirmado que podrían llegar más noticias favorables a las criptomonedas desde la Casa Blanca en los primeros días de la presidencia de Trump. Uno de los anuncios largamente esperados es la derogación del Boletín de Contabilidad del Personal No. 121 de la Comisión de Bolsa y Valores de Estados Unidos, que hace que sea muy complicado para los bancos mantener activos criptográficos.

"Si se deroga, se abren las puertas para que los bancos ofrezcan servicios de bitcoin, lo integren en sus operaciones principales y aceleren su camino para convertirse en un estándar monetario global", dijo otra cuenta X, FiatHawk, enfatizando que esto sería incluso más importante que la Reserva Estratégica de Bitcoin que la industria también espera que anuncie Trump.

Mientras tanto, Trump y su familia decepcionaron a los bitcoiners al lanzar memecoins, que en gran medida se consideran una forma de obtener efectivo. En cualquier caso, al momento de escribir este artículo, el token TRUMP ha bajado un 48% desde su máximo histórico, mientras que el token MELANIA ha caído un 68%.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se espera que estos drones sirvan como elemento disuasorio frente al sabotaje a los cables submarinos realizado por buques privados.

La OTAN ha lanzado la Operación Baltic Sentry para proteger sus cables submarinos de energía y comunicaciones en el Mar Báltico del sabotaje. Según The War Zone, la alianza desplegará buques de superficie sin tripulación (USV), también conocidos como "lanchas no tripuladas", para mejorar su conocimiento general de la situación en la zona. Al menos 20 USV están asignados a la misión, que se desplegarán junto a unos 12 barcos del Grupo Marítimo Permanente 1 de la OTAN y del Grupo Permanente 1 de Medidas Contra Minas de la OTAN y un número desconocido de aviones de patrulla marítima.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta medida se tomó después de varios incidentes en los últimos meses en los que se sospecha que un buque afiliado a Rusia dañó cables submarinos críticos. El primer incidente ocurrió en noviembre de 2024, cuando se sospecha que un barco con bandera china dañó dos cables de comunicaciones que conectan Finlandia y Suecia con Europa Central, mientras que el otro evento ocurrió un mes después, en diciembre, cuando otro barco cortó un cable eléctrico y algunos cables de comunicaciones entre Finlandia y Estonia.

A principios de este mes, ya se había discutido el plan de desplegar drones marítimos, y un almirante de la OTAN esperaba que se desplegaran en junio de 2025. Sin embargo, parece que la alianza adelantó el cronograma en seis meses, especialmente dada la sensibilidad de la infraestructura que necesitaba proteger.

Estos USV probablemente tendrán varios sensores a bordo, incluidos ópticos y electromagnéticos, y se combinarán con otros datos que se compartirán con todas las partes interesadas. "Esos requisitos se centrarán en brindar conocimiento de la situación, a través de sensores principalmente pasivos (incluidas imágenes y el espectro electromagnético) y generar la cantidad necesaria de plataformas para cubrir las áreas de interés", dijo un portavoz de la OTAN a The War Zone. "El inicio prevé que la flota evolucione en fases, lo que permitirá oportunidades para escalar el esfuerzo, integrar tecnologías nuevas o diferentes y ampliar los dominios operativos".

Al otro lado del mundo, Taiwán también está aumentando la vigilancia de su red de cables submarinos después de que un buque de carga de propiedad china fuera sospechoso de sabotear un cable submarino de Internet que conectaba el país insular con la costa este de Estados Unidos. La Armada y la Guardia Costera de Taiwán trabajarán juntas para monitorear los barcos, especialmente aquellos que cambian repentinamente de velocidad o siguen trayectorias erráticas e inusuales. Las autoridades dijeron que la Armada desplegará barcos a pedido de la Guardia Costera y que también abordará embarcaciones sospechosas para inspección o incautación, si es necesario.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hewlett Packard Enterprise (HPE) está investigando las denuncias de una nueva vulneración de seguridad después de que un actor de amenazas dijera que había robado documentos de los entornos de desarrollo de la empresa.

La empresa ha dicho a BleepingComputer que no ha encontrado ninguna prueba de una vulneración de seguridad, pero que está investigando las denuncias del actor de amenazas.

"HPE se enteró el 16 de enero de las denuncias realizadas por un grupo llamado IntelBroker de que estaba en posesión de información perteneciente a HPE", dijo la portavoz Clare Loxley a BleepingComputer.

"HPE activó inmediatamente nuestros protocolos de respuesta cibernética, deshabilitó las credenciales relacionadas y lanzó una investigación para evaluar la validez de las afirmaciones. No hay impacto operativo en nuestro negocio en este momento, ni evidencia de que la información del cliente esté involucrada".

IntelBroker, quien anunció la venta de información supuestamente robada de las redes de HPE, afirma que tuvo acceso a la API de la empresa, WePay y repositorios (públicos y privados) de GitHub durante al menos dos días y robó certificados (claves públicas y privadas), código fuente de Zerto e iLO, compilaciones de Docker e información personal antigua de usuarios utilizada para entregas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

IntelBroker publicó otro archivo de datos (incluidas credenciales y tokens de acceso) supuestamente robados de los sistemas de HPE hace casi un año, el 1 de febrero de 2024. La empresa también dijo en ese momento que estaba investigando las afirmaciones del actor de amenazas, pero que no tenía evidencia de una violación de seguridad.

IntelBroker ganó notoriedad después de violar DC Health Link, la organización que administra los planes de atención médica de los miembros de la Cámara de Representantes de los EE. UU., un incidente que condujo a una audiencia en el Congreso después de que los datos personales pertenecientes a 170.000 personas afectadas se filtraran en línea.

Otros incidentes vinculados a IntelBroker incluyen las violaciones de seguridad de Nokia, Cisco, Europol, Home Depot y Acuity y presuntas violaciones de seguridad de AMD, el Departamento de Estado, Zscaler, Ford y General Electric Aviation.

HPE también fue violada en 2018 cuando, según se informa, los piratas informáticos chinos de APT10 comprometieron algunos de sus sistemas y utilizaron el acceso para piratear los dispositivos de los clientes.

Más recientemente, en 2021, el gigante tecnológico reveló que los repositorios de datos de su plataforma de monitoreo de red Aruba Central también se habían visto comprometidos, lo que permitió a los atacantes acceder a datos sobre los dispositivos monitoreados y sus ubicaciones.

HPE también reveló hace un año que su entorno de correo electrónico Microsoft Office 365 fue vulnerado en mayo de 2023 por atacantes que se cree que forman parte del grupo de piratería APT29, vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
El Nuevo Herald
lun, 20 de enero de 2025, 11:39 a.m. EST

La cuenta del Ministerio cubano de Relaciones Exteriores (Minrex) en la red social X fue hackeada durante horas este lunes y utilizada para promocionar una supuesta criptomoneda con el nombre de Cuba coin (moneda Cuba, en inglés).

El propio Minrex lo confirmó en Facebook y a través de perfiles oficiales de sus representantes tras horas de actividad fuera de lo normal en la cuenta.

"¡Urgente! La cuenta en X del Ministerio de Relaciones Exteriores de Cuba ha sido hackeada. Cualquier información que se publique desde la cuenta @CubaMINREX a partir de ahora es falsa", informó.

La directora general de Prensa, Comunicación e Imagen del Minrex, Yaira Jiménez, también confirmó en redes el pirateo de la cuenta oficial y agregó que "se hacen las gestiones pertinentes para recuperarla".

Desde la madrugada y hasta media mañana el perfil oficial de la Cancillería acogió al menos dos espacios (foros de audio en directo) con nombre "$Cuba", en los que el administrador animaba de manera informal y en inglés a invertir en una supuesta criptomoneda.

Según pudo comprobar EFE, los foros contaban con centenares de participantes, en su mayoría perfiles anónimos y sin ninguna vinculación institucional con el Minrex.

Además, la cuenta envió varios mensajes públicos promocionado la criptomoneda, que posteriormente fueron borrados del perfil sin ninguna aclaración en X de lo sucedido.

Fuente:
Yahoo News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un paquete malicioso llamado 'pycord-self' en el índice de paquetes de Python (PyPI) tiene como objetivo a los desarrolladores de Discord robar tokens de autenticación e instalar una puerta trasera para el control remoto del sistema.

El paquete imita al muy popular 'discord.py-self', que tiene casi 28 millones de descargas, e incluso ofrece la funcionalidad del proyecto legítimo.

El paquete oficial es una biblioteca de Python que permite la comunicación con la API de usuario de Discord y permite a los desarrolladores controlar las cuentas mediante programación.

Se utiliza normalmente para enviar mensajes y automatizar interacciones, crear bots de Discord, programar moderación automatizada, notificaciones o respuestas, y ejecutar comandos o recuperar datos de Discord sin una cuenta de bot.

Según la empresa de seguridad de código Socket, el paquete malicioso se agregó a PyPi el año pasado en junio y hasta ahora se ha descargado 885 veces.

Al momento de escribir este artículo, el paquete todavía está disponible en PyPI de un editor cuyos detalles fueron verificados por la plataforma.

El paquete malicioso en PyPI
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Robo de tokens y acceso persistente

Los investigadores de Socket analizaron el paquete malicioso y descubrieron que pycord-self contiene código que realiza dos cosas principales. Una es robar tokens de autenticación de Discord de la víctima y enviarlos a una URL externa.

Código para obtener el token de Discord
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los atacantes pueden usar el token robado para secuestrar la cuenta de Discord del desarrollador sin necesidad de las credenciales de acceso, incluso si la protección de autenticación de dos factores está activa.

La segunda función del paquete malicioso es configurar un mecanismo de puerta trasera sigilosa mediante la creación de una conexión persistente a un servidor remoto a través del puerto 6969.

"Dependiendo del sistema operativo, lanza un shell ("bash" en Linux o "cmd" en Windows) que otorga al atacante acceso continuo al sistema de la víctima", explica Socket en el informe.

"La puerta trasera se ejecuta en un hilo separado, lo que dificulta su detección mientras el paquete sigue pareciendo funcional".

Configurar una puerta trasera en la máquina
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se recomienda a los desarrolladores de software que eviten instalar paquetes sin comprobar que el código proviene del autor oficial, especialmente si es un autor conocido. Verificar el nombre del paquete también puede reducir el riesgo de ser víctima de typosquatting.

Al trabajar con bibliotecas de código abierto, es recomendable revisar el código en busca de funciones sospechosas, si es posible, y evitar cualquier cosa que parezca ofuscada. Además, las herramientas de escaneo pueden ayudar a detectar y bloquear paquetes maliciosos.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una de las mayores filtraciones de datos que involucra principalmente a ciudadanos chinos incluye una cantidad colosal de 1.500 millones de registros, con nombres completos y números de identificación del gobierno expuestos. El conjunto de datos reveló detalles tomados de Weibo, varios bancos chinos y operadores de telefonía móvil, que abarcan información de múltiples sectores.

Si bien la mundanidad de las filtraciones de datos diarias es difícilmente discutible, no todas las filtraciones son iguales. Tomemos esto, por ejemplo. Una base de datos expuesta que comprende 1.500 millones de registros que cubren numerosas empresas en diferentes sectores económicos y sociales. Sin embargo, una característica común es que las víctimas son en su mayoría ciudadanos chinos, lo que convierte a este descubrimiento en uno de los más grandes de su tipo.

El servidor desprotegido con cientos de millones de registros, descubierto por el equipo de investigación de Cybernews, alberga datos de varias marcas importantes como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, una empresa de comercio electrónico china, Weibo, la principal plataforma de redes sociales de China, DiDi, la empresa de transporte de pasajeros más grande del país, y muchas otras.

Los investigadores creen que es probable que el conjunto de datos sea una mezcla de filtraciones de datos conocidas y completamente nuevas recopiladas en un único servidor Elasticsearch ahora cerrado. Si bien no todos los 1500 millones de registros quedaron expuestos por primera vez, algunos sin duda lo fueron, ya que no encontramos indicios de filtraciones de datos anteriores de las empresas incluidas en la lista.

Es preocupante que la instancia expuesta no tuviera una indicación clara de su verdadero propietario, lo que daba pistas de intenciones maliciosas detrás de un conjunto de datos tan grande y diverso. Los actores de amenazas valoran estas grandes colecciones, ya que los datos agregados permiten una amplia gama de ataques, incluido el robo de identidad, sofisticados esquemas de phishing, ciberataques dirigidos y acceso no autorizado a cuentas personales y confidenciales.

El servidor estuvo expuesto durante varios meses, pero finalmente se cerró después de múltiples intentos por parte de nuestro equipo de comunicarse con el CERT de China.

Muestra de los datos filtrados
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

¿Qué datos se vieron expuestos?

Si bien se expusieron casi 1.500 millones de registros en total, eso no significa que se filtraran los datos de la misma cantidad de personas en línea. Dado que los datos provienen de diferentes plataformas, organizaciones y sectores económicos, es posible que algunos usuarios hayan visto sus datos filtrados varias veces. Según los investigadores, el servidor desprotegido expuso:

Nombres completos
Direcciones de correo electrónico
Números de identificación de la plataforma
Nombres de usuario
Números de teléfono
Datos de atención médica
Registros financieros
Detalles relacionados con el transporte
Registros relacionados con la educación

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No todos los usuarios tenían los mismos detalles expuestos, ya que los diferentes conjuntos de datos dentro del servidor expuesto tenían diferentes datos correspondientes a la empresa o sector desde el que se agregaron. Los investigadores observaron datos de los sectores de atención médica, finanzas, transporte, redes sociales, comercio electrónico y educación de China.

La mayor cantidad de registros identificables se agruparon en una colección atribuida a QQ Messenger, el software de mensajería instantánea de Tencent. Sin embargo, las filtraciones de QQ son bastante comunes y probablemente provengan de incidentes anteriores.

La segunda colección más grande de registros filtrados, 504 millones, se atribuyó a Weibo, a veces denominado el Twitter de China. Sin embargo, el equipo señaló que en 2020, una cantidad similar de datos de usuarios de Weibo, 538 millones, se puso a la venta en foros de filtración de datos, lo que sugiere que la información en la filtración descubierta por Cybernews podría estar duplicada.

Sin embargo, otra entrada en el conjunto de datos filtrados, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (Jingdong), no tenía filtraciones de datos importantes conocidas previamente. Mientras tanto, la instancia expuesta que descubrió nuestro equipo tenía 142 millones de registros de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta expuestos.

El tercer conjunto de datos expuesto más grande, con más de 25 millones de registros, se atribuyó al servicio de mensajería más grande de China, SF Express. Otra entrada en el servidor expuesto, con 100.000 registros, también se atribuyó a SF Express. Sin embargo, esta última se refiere específicamente a las entregas de la empresa.

Mientras tanto, DiDi, el servicio de transporte más grande de China, tenía más de 20 millones de registros a su nombre en el servidor expuesto. Según el equipo, si bien en el pasado hubo dudas sobre las prácticas de seguridad de datos de la empresa, nunca antes se había informado de una violación importante de esta magnitud.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

KFC, el Partido Comunista y lo desconocido

Aunque otras entradas reconocibles en el servidor expuesto tenían menos registros expuestos, su incorporación al conjunto de datos es, cuanto menos, interesante. El equipo descubrió decenas de miles de registros filtrados titulados Enfermera de Sichuan, otro millón titulado Médico y Paciente, y 400.000 más acreditados a farmacias.

Colecciones como Valores (243.000), Fondo de Previsión de China (531.000), Usuarios de China Union Pay (1,1 millones), Banco Mercantil de China (1 millón), Banco de China (985.000), así como una colección denominada Criptomoneda (100.000), sugieren firmemente una exposición masiva de datos financieros.

La colección de Registros de Estudiantes de Zhejiang (9 millones), así como la colección de datos de Graduados (366.000) apuntan a la exposición de datos educativos que probablemente involucran a millones de estudiantes chinos.

También se ha añadido la colección Zhilian (1,1 millones), que probablemente hace referencia a Zhillian Technology, una empresa de investigación y desarrollo de automóviles, 2,6 millones de registros atribuidos a propietarios de vehículos y otros 3,5 millones de registros atribuidos a una escuela de conducción sin nombre, lo que apunta al interés de los propietarios de servidores en los automovilistas chinos.

"Decir que la magnitud de esta filtración es alarmante es quedarse corto. El volumen de las filtraciones por sí solo es alucinante. Peor aún, el servidor expuesto tenía datos de sectores esenciales como la atención sanitaria y las finanzas, lo que amplifica el daño potencial".

Se atribuyeron otros 65.000 registros a clientes de un operador de telefonía móvil desconocido, residentes de Pekín (196.000), KFC China (5 millones) y datos de registro de hogares (5,4 millones).

Curiosamente, algunas colecciones fueron ominosamente denominadas "naciones amigas" (313.000) y "datos de varios países vecinos" (2 millones), lo que indica al menos algún nivel de motivación política para quienquiera que esté detrás del conjunto de datos. La inclusión de 1,6 millones de registros en una colección titulada El Partido Comunista de Shanghái no hizo más que reforzar la impresión.

Se incluyeron otros 74 millones de registros en colecciones que no pudimos traducir de forma fiable o que fueron nombradas utilizando conjuntos aleatorios de números y letras.

"La presencia de infracciones conocidas y potencialmente desconocidas sugiere que, si bien algunos de los datos pueden haberse originado a partir de incidentes informados anteriormente, otras partes podrían representar infracciones nuevas y no informadas", afirmó el equipo.

Fuente
:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El proyecto A.S.S.E.T. (Grupo de trabajo para la búsqueda y el decomiso de activos) finalizó el 17 de enero de 2025 e identificó docenas de propiedades, más de 220 cuentas bancarias y millones de dólares en activos.

La Agencia de la Unión Europea para la Cooperación Policial (Europol) anunció una iniciativa única en la que más de 80 expertos financieros y 43 agencias de aplicación de la ley de más de 28 países cooperaron para aumentar las incautaciones de activos a los delincuentes.

El esfuerzo dio como resultado 53 propiedades identificadas, 8 de las cuales estaban valoradas en 38,5 millones de euros (40 millones de dólares), más de 220 cuentas bancarias, una de las cuales tenía un saldo de 5,6 millones de dólares, y 83 billeteras y direcciones de criptomonedas. Las autoridades también descubrieron 15 empresas, más de 20 yates y vehículos de lujo valorados en cientos de miles de dólares.

Otro resultado clave de la operación fue la congelación de 200.000 euros en criptomonedas.

"Juntos atacamos a los criminales donde más les duele: sus bolsillos", afirmó Burkhard Mühl, director del Centro Europeo contra los Delitos Financieros y Económicos (EFECC), que organizó la iniciativa.

El proyecto A.S.S.E.T. surge en un momento en que las autoridades estiman que actualmente se incautan menos del 2% de los ingresos delictivos en todo el mundo, y el 98% restante alimenta el crimen organizado.

Europol estima que el sector inmobiliario es una de las principales industrias utilizadas para blanquear los beneficios delictivos en la UE, atrayendo el 41% de los beneficios ilícitos y no gravados.

La nueva Directiva de la UE sobre recuperación y decomiso de activos, que entró en vigor en 2024, otorga poderes adicionales para congelar los activos delictivos y tomar medidas inmediatas para preservar la propiedad.

"Se convertirá en una herramienta importante en la confiscación de estos activos delictivos", dijo Europol.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de hackers ruso Star Blizzard está evolucionando desde correos electrónicos hasta chats encriptados. Su última campaña de phishing utiliza códigos QR en WhatsApp como arma, lo que indica una nueva era de guerra cibernética.

Imagínese esto: un funcionario público recibe un código QR por correo electrónico de "funcionarios del gobierno estadounidense" que supuestamente apoyan a ONG ucranianas.

Este código QR roto intencionalmente no envía al destinatario a ningún dominio válido y está diseñado para incitar a los usuarios a responder a los actores de la amenaza.

El destinatario ha sido engañado de dos maneras: primero por la causa y segundo por el inconveniente técnico.

Una vez que el destinatario responde, Star Blizzard enviará otro correo electrónico que contiene un segundo enlace, que está destinado a dirigirlo al grupo inicial de WhatsApp.

Desde allí, la víctima es dirigida a un nuevo código QR que, si se escanea, dará a los actores de la amenaza acceso a los mensajes en su cuenta, lo que significa que Star Blizzard puede exfiltrar los datos.

Se trata de un nuevo esquema ideado por Star Blizzard, un grupo de piratas informáticos ruso que lleva en funcionamiento desde 2017 y que ha atacado repetidamente a centros de investigación, periodistas y exfuncionarios militares y de inteligencia occidentales.

Esta estafa con códigos QR en realidad se calmó en noviembre de 2024, pero el cambio de su modus operandi habitual, que implicaba comunicarse por correo electrónico y redes sociales, podría presagiar un enfoque más directo, disparando desde la cadera en WhatsApp.

Según Microsoft, este grupo es especialmente versátil y tenaz a la hora de obtener información sensible y confidencial por cualquier medio necesario.

Estos ataques, iniciados a través de una plataforma de código abierto y de las redes sociales, han afectado especialmente a objetivos en el Reino Unido y los EE. UU.

Al hacerse pasar por expertos respetados, sus elaboradas campañas han tenido altos niveles de verosimilitud.

Star Blizzard ha preferido anteriormente establecer una relación mediante un intercambio de correos electrónicos y, una vez establecida la confianza, se enviaba un enlace a un documento o sitio web de interés.

Esto se ejecutaba a través del servidor de los piratas informáticos, por lo que habría un medio para introducir información confidencial de la cuenta, en forma de credenciales de cuenta.

Luego, todo lo que quisieran obtener de la bandeja de entrada del usuario se volvía posible.

Sin embargo, estas campañas de phishing selectivo son la punta del iceberg, ya que la guerra cibernética se ha salido de control durante la invasión ucraniana, saboteando y paralizando la infraestructura civil, así como manipulando y contaminando las elecciones extranjeras.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los compradores y seguidores de la marca no tendrán que esperar mucho para adquirir los últimos dispositivos de la compañía.

Motorola ha anunciado su línea de teléfonos inteligentes Moto G 2025, que incluye dos opciones de teléfonos inteligentes económicos, Moto G y Moto G Power.

La última serie de teléfonos inteligentes de Motorola incluye un modo de alto brillo de 1000 nits para una visibilidad clara y una frecuencia de actualización de 120 Hz para juegos, transmisión, desplazamiento y más.

Ambos teléfonos inteligentes vienen equipados con una experiencia de audio mejorada debido a la tecnología Bass Boost y soporte de audio de alta resolución y ofrecen conectividad 5G.

El Moto G Power con una pantalla de 6,8 pulgadas se conoce como un dispositivo "construido para durar" con su batería de 5000 mAh que puede soportar un día entero de uso intenso.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El teléfono inteligente incluye un sistema de cámara de 50 MP con una lente ultra ancha y macrovisión de 8 MP y una cámara frontal de 16 MP. La cámara del teléfono inteligente fue creada para tomar fotografías en diversas condiciones de luz con su sensor de luz ambiental, estabilización óptica de imagen (OIS) y tecnología Quad Pixel utilizada para mejorar la calidad de la imagen.

El Moto G Power, que está protegido por Corning Gorilla Glass 5, fue creado para funcionar en diversas condiciones. Según la compañía, puede soportar una caída desde casi un metro y medio, temperaturas que van desde -20 °C a 60 °C y altos niveles de humedad de hasta el 95 %.

Con un índice de protección subacuática IP68 e IP69, el teléfono inteligente también es resistente al agua contra líquidos a alta presión.

El teléfono inteligente Moto G tiene una pantalla un poco más pequeña de 6,7 pulgadas y una frecuencia de actualización de 120 Hz. Está cubierto con Gorilla Glass 3, que protege el dispositivo de arañazos y caídas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El teléfono inteligente tiene una clasificación IP52 repelente al agua, lo que significa que está protegido contra salpicaduras de agua, pero no se puede sumergir por completo en el agua.

Con un precio de $200 en los EE. UU., Moto G estará disponible para su compra en línea a partir del 30 de enero, con disponibilidad en tiendas en los próximos meses.

El Moto G Power de 300 dólares estará disponible online el 6 de febrero y en las tiendas físicas en los próximos meses.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo grupo de piratas informáticos ha filtrado los archivos de configuración, las direcciones IP y las credenciales de VPN de más de 15.000 dispositivos FortiGate de forma gratuita, lo que expone una gran cantidad de información técnica confidencial a otros cibercriminales.

Los datos fueron filtrados por el "Grupo Belsen", un nuevo grupo de piratas informáticos que apareció por primera vez en las redes sociales y en los foros de ciberdelincuencia este mes. Para promocionarse, el Grupo Belsen ha creado un sitio web en Tor donde publicaron el volcado de datos de FortiGate de forma gratuita para que lo usen otros actores de amenazas.

"A principios de año, y como un comienzo positivo para nosotros, y con el fin de solidificar el nombre de nuestro grupo en su memoria, estamos orgullosos de anunciar nuestra primera operación oficial: se publicarán datos confidenciales de más de 15.000 objetivos en todo el mundo (tanto del sector gubernamental como privado) que han sido pirateados y sus datos extraídos", se lee en una publicación en un foro de piratería.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La filtración de FortiGate consta de un archivo de 1,6 GB que contiene carpetas ordenadas por país. Cada carpeta contiene subcarpetas adicionales para cada dirección IP de FortiGate en ese país.

Carpeta de direcciones IP para dispositivos FortiGate y sus configuraciones
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un configuration.conf (volcado de configuración de Fortigate) y un archivo vpn-passwords.txt, con algunas de las contraseñas en texto sin formato. Las configuraciones también contienen información confidencial, como claves privadas y reglas de firewall.

En una publicación de blog sobre la filtración de FortiGate, Beaumont dice que se cree que la filtración está vinculada a un día cero de 2022 identificado como CVE-2022–40684 que se explotó en ataques antes de que se lanzara una solución.

"He respondido a incidentes en un dispositivo en una organización víctima y la explotación se produjo efectivamente a través de CVE-2022–40684 en función de los artefactos del dispositivo. También he podido verificar que los nombres de usuario y la contraseña que se ven en el volcado coinciden con los detalles del dispositivo", explica Beaumont.

"Los datos parecen haber sido recopilados en octubre de 2022, como una vulnerabilidad de día cero. Por alguna razón, el volcado de datos de configuración se publicó hoy, poco más de dos años después".

En 2022, Fortinet advirtió que los actores de amenazas estaban explotando una vulnerabilidad de día cero identificada como CVE-2022–40684 para descargar archivos de configuración de dispositivos FortiGate específicos y luego agregar una cuenta super_admin maliciosa llamada 'fortigate-tech-support'.

Ataque CVE-2022-40684 que agrega la cuenta de administrador no autorizada
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El sitio de noticias alemán Heise analizó la filtración de datos y también dijo que se recopiló en 2022, y que todos los dispositivos utilizaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2.

"Todos los dispositivos estaban equipados con FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2, la mayoría con la versión 7.2.0. No encontramos ninguna versión de FortiOS en el conjunto de datos que fuera más reciente que la versión 7.2.2, lanzada el 3 de octubre de 2022", informó Heise.

Sin embargo, FortiOS 7.2.2 corrigió la falla CVE-2022–40684, por lo que no estaría claro cómo los dispositivos que ejecutan esa versión podrían ser explotados con esta vulnerabilidad.

A pesar de que estos archivos de configuración se recopilaron en 2022, Beaumont advierte que aún exponen mucha información confidencial sobre las defensas de una red.

Esto incluye reglas de firewall y credenciales que, si no se cambiaron en ese momento, deberían cambiarse inmediatamente ahora que los datos se han publicado para un grupo más amplio de actores de amenazas.

Beaumont dice que planea publicar una lista de las direcciones IP en la filtración para que los administradores de FortiGate puedan saber si la filtración los afectó.

BleepingComputer también se comunicó con los actores de amenazas y Fortinet con preguntas sobre la filtración y actualizará la historia si recibimos una respuesta.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una botnet recién descubierta de 13.000 dispositivos MikroTik utiliza una configuración incorrecta en los registros del servidor de nombres de dominio para eludir las protecciones de correo electrónico y distribuir malware falsificando aproximadamente 20.000 dominios web.

El actor de amenazas aprovecha un registro DNS configurado incorrectamente para el marco de políticas de remitente (SPF) utilizado para enumerar todos los servidores autorizados para enviar correos electrónicos en nombre de un dominio.

Registro SPF mal configurado

Según la empresa de seguridad DNS Infoblox, la campaña de spam malicioso estuvo activa a fines de noviembre de 2024. Algunos de los correos electrónicos se hacían pasar por la empresa de envíos DHL Express y entregaban facturas de flete falsas con un archivo ZIP que contenía una carga maliciosa.

Dentro del archivo ZIP adjunto había un archivo JavaScript que ensambla y ejecuta un script de PowerShell. El script establece una conexión con el servidor de comando y control (C2) del actor de la amenaza en un dominio previamente vinculado a piratas informáticos rusos.

"Los encabezados de los numerosos correos electrónicos no deseados revelaron una amplia gama de dominios y direcciones IP de servidores SMTP, y nos dimos cuenta de que habíamos descubierto una red en expansión de aproximadamente 13.000 dispositivos MikroTik secuestrados, todos parte de una red de bots considerable", explica Infoblox.

Infoblox explica que los registros DNS SPF para aproximadamente 20.000 dominios se configuraron con la opción excesivamente permisiva "+all", que permite que cualquier servidor envíe correos electrónicos en nombre de esos dominios.

"Esto básicamente frustra el propósito de tener un registro SPF, porque abre la puerta a la suplantación de identidad y al envío de correo electrónico no autorizado" - Infoblox

Una opción más segura es usar la opción "-all", que limita el envío de correo electrónico a los servidores especificados por el dominio.

Descripción general del funcionamiento de la botnet
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

MikroTik alimenta otra botnet

El método de ataque sigue sin estar claro, pero Infoblox afirma que "vieron una variedad de versiones afectadas, incluidas las recientes versiones de firmware [de MikroTik]".

Los enrutadores MikroTik son conocidos por ser potentes y los actores de amenazas los atacaron para crear botnets capaces de realizar ataques muy potentes.

El verano pasado, el proveedor de servicios en la nube OVHcloud culpó a una botnet de dispositivos MikroTik comprometidos por un ataque masivo de denegación de servicio que alcanzó un récord de 840 millones de paquetes por segundo.

A pesar de instar a los propietarios de dispositivos MikroTik a actualizar los sistemas, muchos de los enrutadores siguen siendo vulnerables durante largos períodos de tiempo debido a una tasa de parches muy lenta.

La botnet en este caso configuró los dispositivos como proxies SOCKS4 para lanzar ataques DDoS, enviar correos electrónicos de phishing, exfiltrar datos y, en general, ayudar a enmascarar el origen del tráfico malicioso.

"Aunque la botnet consta de 13.000 dispositivos, su configuración como servidores proxy SOCKS permite que decenas o incluso cientos de miles de máquinas comprometidas los utilicen para acceder a la red, lo que amplifica significativamente la escala potencial y el impacto de las operaciones de la botnet", comenta Infoblox.

Se recomienda a los propietarios de dispositivos MikroTik que apliquen la última actualización de firmware para su modelo, cambien las credenciales de la cuenta de administrador predeterminada y cierren el acceso remoto a los paneles de control si no es necesario.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta