Mensajes recientes
#1
Noticias Informáticas / Re:Entrega de malware a través...
Último mensaje por AXCESS - Hoy a las 10:42:47 AMLo que me llamó la atención de esta noticia es que hay un MITM que ni se sabe cómo lo implementan.
Para mi tiene que ser por los DNS.
Para mi tiene que ser por los DNS.
#2
Noticias Informáticas / UnitedHealth confirma pago de ...
Último mensaje por AXCESS - Hoy a las 10:38:36 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
UnitedHealth Group ha confirmado que pagó un rescate a los ciberdelincuentes para proteger los datos confidenciales robados durante el ataque del ransomware Optum a finales de febrero.
El ataque provocó una interrupción que afectó el pago de Change Healthcare, lo que afectó a una variedad de servicios críticos utilizados por proveedores de atención médica y farmacias en todo Estados Unidos, incluido el procesamiento de pagos, la redacción de recetas y las reclamaciones de seguros.
La organización informó que el ciberataque había causado daños económicos por valor de 872 millones de dólares.
La banda de ransomware BlackCat/ALPHV reivindicó el ataque, alegando haber robado 6 TB de datos confidenciales de pacientes.
A principios de marzo, BlackCat realizó una estafa de salida después de supuestamente recibir un rescate de 22 millones de dólares de UnitedHealth.
En ese momento, uno de los afiliados de la pandilla conocido como "Notchy" afirmó que tenían datos de UnitedHealth porque llevaron a cabo el ataque y que BlackCat los engañó en el pago del rescate.
La transacción fue visible en la cadena de bloques de Bitcoin y los investigadores confirmaron que había llegado a una billetera utilizada por los piratas informáticos de BlackCat.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Una semana después, el gobierno de Estados Unidos inició una investigación sobre si se habían robado datos de salud en el ataque de ransomware a Optum.
A mediados de abril, el grupo de extorsión RansomHub aumentó aún más la presión sobre UnitedHealth al comenzar a filtrar lo que afirmaban ser datos corporativos y de pacientes robados durante el ataque.
Los datos de los pacientes de UnitedHealth llegaron a RansomHub después de que "Notchy" se asociara con ellos para extorsionar a la empresa nuevamente.
Datos robados, rescate pagado
En un comunicado para BleepingComputer, la empresa confirmó que pagó un rescate para evitar que los datos de los pacientes se vendieran a ciberdelincuentes o se filtraran públicamente.
"Se pagó un rescate como parte del compromiso de la empresa de hacer todo lo posible para proteger los datos de los pacientes contra la divulgación" - UnitedHealth Group
BleepingComputer revisó el sitio web de filtración de datos de RansomHub y puede confirmar que el actor de amenazas eliminó a UnitedHealth de su lista de víctimas.
La eliminación de UnitedHealth del sitio de RansomHub puede indicar que la confirmación de hoy es para un pago a la nueva banda de ransomware en lugar del supuesto pago de 22 millones de dólares a BlackCat en marzo.
Ayer, UnitedHealth publicó una actualización en su sitio web anunciando apoyo para las personas cuyos datos habían sido expuestos por el ataque de ransomware de febrero, confirmando oficialmente el incidente de violación de datos.
"Basándose en el muestreo inicial de datos específicos hasta la fecha, la compañía ha encontrado archivos que contienen información de salud protegida (PHI) o información de identificación personal (PII), que podría cubrir una proporción sustancial de personas en Estados Unidos", se lee en el anuncio.
"Hasta la fecha, la empresa no ha visto evidencia de exfiltración de materiales como historiales médicos o historiales médicos completos entre los datos", afirma la empresa.
La compañía asegura a los pacientes que sólo se publicaron en la dark web 22 capturas de pantalla de archivos robados, algunos de los cuales contienen información de identificación personal, y que ningún otro dato filtrado en el ataque se ha publicado "en este momento".
La organización de servicios y seguros de salud prometió enviar notificaciones personalizadas una vez que complete su investigación sobre el tipo de información que se ha visto comprometida.
También se ha creado un centro de llamadas exclusivo que ofrecerá dos años de servicios gratuitos de monitoreo de crédito y protección contra robo de identidad como parte del esfuerzo de la organización para apoyar a los afectados.
Actualmente, el 99% de los servicios afectados están operativos, las reclamaciones médicas fluyen a niveles casi normales y el procesamiento de pagos se sitúa en aproximadamente el 86%.
Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
UnitedHealth Group ha confirmado que pagó un rescate a los ciberdelincuentes para proteger los datos confidenciales robados durante el ataque del ransomware Optum a finales de febrero.
El ataque provocó una interrupción que afectó el pago de Change Healthcare, lo que afectó a una variedad de servicios críticos utilizados por proveedores de atención médica y farmacias en todo Estados Unidos, incluido el procesamiento de pagos, la redacción de recetas y las reclamaciones de seguros.
La organización informó que el ciberataque había causado daños económicos por valor de 872 millones de dólares.
La banda de ransomware BlackCat/ALPHV reivindicó el ataque, alegando haber robado 6 TB de datos confidenciales de pacientes.
A principios de marzo, BlackCat realizó una estafa de salida después de supuestamente recibir un rescate de 22 millones de dólares de UnitedHealth.
En ese momento, uno de los afiliados de la pandilla conocido como "Notchy" afirmó que tenían datos de UnitedHealth porque llevaron a cabo el ataque y que BlackCat los engañó en el pago del rescate.
La transacción fue visible en la cadena de bloques de Bitcoin y los investigadores confirmaron que había llegado a una billetera utilizada por los piratas informáticos de BlackCat.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Una semana después, el gobierno de Estados Unidos inició una investigación sobre si se habían robado datos de salud en el ataque de ransomware a Optum.
A mediados de abril, el grupo de extorsión RansomHub aumentó aún más la presión sobre UnitedHealth al comenzar a filtrar lo que afirmaban ser datos corporativos y de pacientes robados durante el ataque.
Los datos de los pacientes de UnitedHealth llegaron a RansomHub después de que "Notchy" se asociara con ellos para extorsionar a la empresa nuevamente.
Datos robados, rescate pagado
En un comunicado para BleepingComputer, la empresa confirmó que pagó un rescate para evitar que los datos de los pacientes se vendieran a ciberdelincuentes o se filtraran públicamente.
"Se pagó un rescate como parte del compromiso de la empresa de hacer todo lo posible para proteger los datos de los pacientes contra la divulgación" - UnitedHealth Group
BleepingComputer revisó el sitio web de filtración de datos de RansomHub y puede confirmar que el actor de amenazas eliminó a UnitedHealth de su lista de víctimas.
La eliminación de UnitedHealth del sitio de RansomHub puede indicar que la confirmación de hoy es para un pago a la nueva banda de ransomware en lugar del supuesto pago de 22 millones de dólares a BlackCat en marzo.
Ayer, UnitedHealth publicó una actualización en su sitio web anunciando apoyo para las personas cuyos datos habían sido expuestos por el ataque de ransomware de febrero, confirmando oficialmente el incidente de violación de datos.
"Basándose en el muestreo inicial de datos específicos hasta la fecha, la compañía ha encontrado archivos que contienen información de salud protegida (PHI) o información de identificación personal (PII), que podría cubrir una proporción sustancial de personas en Estados Unidos", se lee en el anuncio.
"Hasta la fecha, la empresa no ha visto evidencia de exfiltración de materiales como historiales médicos o historiales médicos completos entre los datos", afirma la empresa.
La compañía asegura a los pacientes que sólo se publicaron en la dark web 22 capturas de pantalla de archivos robados, algunos de los cuales contienen información de identificación personal, y que ningún otro dato filtrado en el ataque se ha publicado "en este momento".
La organización de servicios y seguros de salud prometió enviar notificaciones personalizadas una vez que complete su investigación sobre el tipo de información que se ha visto comprometida.
También se ha creado un centro de llamadas exclusivo que ofrecerá dos años de servicios gratuitos de monitoreo de crédito y protección contra robo de identidad como parte del esfuerzo de la organización para apoyar a los afectados.
Actualmente, el 99% de los servicios afectados están operativos, las reclamaciones médicas fluyen a niveles casi normales y el procesamiento de pagos se sitúa en aproximadamente el 86%.
Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#3
Noticias Informáticas / Re:Entrega de malware a través...
Último mensaje por Tux0 - Hoy a las 10:38:02 AMHace muchos, muchos muchos años, cuando la seguridad brillaba por su ausencia, había una herramienta que hacía algo parecido. Se llamaba, creo recordar, evilgrade, y lo que hacia era hacerse pasar por una actualización legítima para inyectar el payload que le dijeras.
Supongo que hoy en día ya está completamente obsoleta.
Supongo que hoy en día ya está completamente obsoleta.
#4
Noticias Informáticas / Microsoft lanza el código fuen...
Último mensaje por AXCESS - Hoy a las 10:35:40 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Microsoft ha publicado el código fuente, los archivos binarios, las imágenes de disco y la documentación de MS-DOS 4.00.
El código fuente, que tiene casi 45 años, se ha publicado bajo la licencia del MIT, lo que da rienda suelta a los expertos. MS-DOS 4.00 es una versión bastante interesante de este sistema operativo basado en línea de comandos, ya que fue escrito en asociación con IBM y formó una rama de DOS llamada Multitasking DOS (o MT-DOS), que solo tuvo una versión limitada.
En su blog sobre MS-DOS 4.00 de código abierto, Microsoft dice que este lanzamiento se precipitó en gran medida gracias a la correspondencia entre el ex director técnico de Microsoft, Ray Ozzie, y un joven investigador informático llamado Connor 'Starfrost' Hyde.
El código y los materiales ahora disponibles en GitHub provienen de Ozzie. Estaba trabajando en Lotus cuando recibió algunos binarios beta inéditos de DOS 4, que mantuvo a salvo. El vicepresidente de la comunidad de desarrolladores de Microsoft, Scott Hanselman, y el archivero y entusiasta de Internet, Jeff Sponaugle, preservaron cuidadosamente digitalmente el "Ozzie Drop". Luego, se solicitaron y otorgaron los permisos pertinentes antes de este lanzamiento de código abierto.
Entonces, ¿qué tiene de especial esta versión MS-DOS 4.00? Además de ser la versión de código abierto más reciente de MS-DOS, tiene algunas capacidades multitarea. Hyde comparte una inmersión bastante profunda en este aspecto del antiguo sistema operativo, que formaría la base de OS/2.
Una de las partes clave del flujo de trabajo multitarea previsto de MS-DOS 4.00 es el administrador de sesiones (SM.EXE). Hyde explica que este componente del sistema permite cambiar mediante teclas de acceso rápido entre / hasta seis aplicaciones predefinidas. Sin embargo, en sus pruebas, la forma en que funciona SM.EXE tiene muchos errores, por lo que usarlo tal como está no es muy práctico.
Si está interesado en aprender más sobre la multitarea en MS-DOS 4.00 y todas las utilidades que vienen con el lanzamiento, vale la pena leer el blog en progreso de Hyde.
El código ensamblador, los binarios, las imágenes de disco y la documentación de MS-DOS 4.00 Intel 8086 ahora están disponibles en GitHub.
Si desea ejecutar rápidamente el sistema operativo usted mismo, puede encontrar las dos imágenes de disco en el directorio v4.0-ozzie/bin. Los entusiastas con hardware antiguo y útil, como una IBM PC XT original o un sistema Pentium más nuevo, pueden ejecutar/instalar el sistema operativo de forma nativa. Otros pueden jugar en los emuladores de código abierto PCem y 86box, por ejemplo. El mismo repositorio de GitHub contiene el código fuente de MS-DOS 1.25 y 2.0.
Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Microsoft ha publicado el código fuente, los archivos binarios, las imágenes de disco y la documentación de MS-DOS 4.00.
El código fuente, que tiene casi 45 años, se ha publicado bajo la licencia del MIT, lo que da rienda suelta a los expertos. MS-DOS 4.00 es una versión bastante interesante de este sistema operativo basado en línea de comandos, ya que fue escrito en asociación con IBM y formó una rama de DOS llamada Multitasking DOS (o MT-DOS), que solo tuvo una versión limitada.
En su blog sobre MS-DOS 4.00 de código abierto, Microsoft dice que este lanzamiento se precipitó en gran medida gracias a la correspondencia entre el ex director técnico de Microsoft, Ray Ozzie, y un joven investigador informático llamado Connor 'Starfrost' Hyde.
El código y los materiales ahora disponibles en GitHub provienen de Ozzie. Estaba trabajando en Lotus cuando recibió algunos binarios beta inéditos de DOS 4, que mantuvo a salvo. El vicepresidente de la comunidad de desarrolladores de Microsoft, Scott Hanselman, y el archivero y entusiasta de Internet, Jeff Sponaugle, preservaron cuidadosamente digitalmente el "Ozzie Drop". Luego, se solicitaron y otorgaron los permisos pertinentes antes de este lanzamiento de código abierto.
Entonces, ¿qué tiene de especial esta versión MS-DOS 4.00? Además de ser la versión de código abierto más reciente de MS-DOS, tiene algunas capacidades multitarea. Hyde comparte una inmersión bastante profunda en este aspecto del antiguo sistema operativo, que formaría la base de OS/2.
Una de las partes clave del flujo de trabajo multitarea previsto de MS-DOS 4.00 es el administrador de sesiones (SM.EXE). Hyde explica que este componente del sistema permite cambiar mediante teclas de acceso rápido entre / hasta seis aplicaciones predefinidas. Sin embargo, en sus pruebas, la forma en que funciona SM.EXE tiene muchos errores, por lo que usarlo tal como está no es muy práctico.
Si está interesado en aprender más sobre la multitarea en MS-DOS 4.00 y todas las utilidades que vienen con el lanzamiento, vale la pena leer el blog en progreso de Hyde.
El código ensamblador, los binarios, las imágenes de disco y la documentación de MS-DOS 4.00 Intel 8086 ahora están disponibles en GitHub.
Si desea ejecutar rápidamente el sistema operativo usted mismo, puede encontrar las dos imágenes de disco en el directorio v4.0-ozzie/bin. Los entusiastas con hardware antiguo y útil, como una IBM PC XT original o un sistema Pentium más nuevo, pueden ejecutar/instalar el sistema operativo de forma nativa. Otros pueden jugar en los emuladores de código abierto PCem y 86box, por ejemplo. El mismo repositorio de GitHub contiene el código fuente de MS-DOS 1.25 y 2.0.
Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#5
Noticias Informáticas / Posibles problemas con Win 11 ...
Último mensaje por AXCESS - Hoy a las 10:16:06 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Con Windows 11 24H2 preparado para tener aplicaciones con uso intensivo de IA, Microsoft ha agregado un código que le advertirá si su PC no cumple con los requisitos de hardware, según el código desenterrado por el detective Albacore de Twitter/X (a través de Neowin). La advertencia se mostrará como una marca de agua para que sepa que no puede usar ciertas aplicaciones integradas con tecnología de IA debido a una CPU no compatible.
Anteriormente, se pensaba que solo PopCnt era el único requisito posterior, pero la codificación reveló un requisito SSE4.2 obligatorio. De todos modos, esto no haría mucha diferencia para prácticamente la mayoría de los usuarios, ya que las CPU que admiten Windows 11 tienen instrucciones SSE 4.2. Aun así, es interesante ver a Microsoft agregar esta verificación para sus aplicaciones impulsadas por IA. Es probable que algunas de estas aplicaciones sean Advanced Copilot y AI File Explorer. También se reveló que la próxima versión de Windows 11 incluirá una súper resolución DirectX AI.
Albacore investigó Windows 11 Insider Build 26200 y descubrió que AI Explorer tenía requisitos de AI Explorer codificados en el sistema operativo. La codificación incluía requisitos de hardware para la CPU con las instrucciones requeridas y un mínimo de 16 GB de memoria. Por ejemplo, instaló la versión Insider en un sistema con una CPU ARM64. Albacore encontró una manera de evitar esta verificación deshabilitando el ID 48486440 en la compilación RTM.
Curiosamente, el gigante del software agregó esta verificación ya que Windows 11 24H2 no arrancará sin estos conjuntos de instrucciones, según un informe anterior. Aunque es especulativo, uno se preguntaría si la compañía tiene este paso adicional en caso de que alguien use derivaciones para forzar el arranque del sistema operativo con una CPU no compatible.
Esta verificación llega en un momento en el que Windows 11 ha sido cada vez más criticado por los entusiastas.
Microsoft decidió mostrar anuncios con enlaces a su tienda de aplicaciones en forma de "recomendaciones" en el menú Inicio. Hace unos días, un antiguo desarrollador criticó el rendimiento del menú Inicio. Microsoft también reprimió la capacidad de personalizar la interfaz de usuario de Windows 11 utilizando aplicaciones conocidas.
Simplemente tendremos que ver cómo es la experiencia del usuario con la próxima actualización y qué tan flexible está dispuesto a ser Microsoft con la amplia variedad de CPU y otros componentes que se utilizan hoy en día.
Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Con Windows 11 24H2 preparado para tener aplicaciones con uso intensivo de IA, Microsoft ha agregado un código que le advertirá si su PC no cumple con los requisitos de hardware, según el código desenterrado por el detective Albacore de Twitter/X (a través de Neowin). La advertencia se mostrará como una marca de agua para que sepa que no puede usar ciertas aplicaciones integradas con tecnología de IA debido a una CPU no compatible.
Anteriormente, se pensaba que solo PopCnt era el único requisito posterior, pero la codificación reveló un requisito SSE4.2 obligatorio. De todos modos, esto no haría mucha diferencia para prácticamente la mayoría de los usuarios, ya que las CPU que admiten Windows 11 tienen instrucciones SSE 4.2. Aun así, es interesante ver a Microsoft agregar esta verificación para sus aplicaciones impulsadas por IA. Es probable que algunas de estas aplicaciones sean Advanced Copilot y AI File Explorer. También se reveló que la próxima versión de Windows 11 incluirá una súper resolución DirectX AI.
Albacore investigó Windows 11 Insider Build 26200 y descubrió que AI Explorer tenía requisitos de AI Explorer codificados en el sistema operativo. La codificación incluía requisitos de hardware para la CPU con las instrucciones requeridas y un mínimo de 16 GB de memoria. Por ejemplo, instaló la versión Insider en un sistema con una CPU ARM64. Albacore encontró una manera de evitar esta verificación deshabilitando el ID 48486440 en la compilación RTM.
Curiosamente, el gigante del software agregó esta verificación ya que Windows 11 24H2 no arrancará sin estos conjuntos de instrucciones, según un informe anterior. Aunque es especulativo, uno se preguntaría si la compañía tiene este paso adicional en caso de que alguien use derivaciones para forzar el arranque del sistema operativo con una CPU no compatible.
Esta verificación llega en un momento en el que Windows 11 ha sido cada vez más criticado por los entusiastas.
Microsoft decidió mostrar anuncios con enlaces a su tienda de aplicaciones en forma de "recomendaciones" en el menú Inicio. Hace unos días, un antiguo desarrollador criticó el rendimiento del menú Inicio. Microsoft también reprimió la capacidad de personalizar la interfaz de usuario de Windows 11 utilizando aplicaciones conocidas.
Simplemente tendremos que ver cómo es la experiencia del usuario con la próxima actualización y qué tan flexible está dispuesto a ser Microsoft con la amplia variedad de CPU y otros componentes que se utilizan hoy en día.
Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#6
Noticias Informáticas / GPT-4 puede explotar vulnerabi...
Último mensaje por AXCESS - Hoy a las 10:13:49 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Un grupo de investigadores de la Universidad de Illinois Urbana-Champaign (UIUC) ha investigado los LLM y su eficacia para explotar las vulnerabilidades de ciberseguridad.
Anteriormente, los individuos han realizado varios experimentos para probar la capacidad de los agentes de LLM para "piratear sitios web de forma autónoma", se lee en el artículo de investigación. Sin embargo, estas pruebas son exclusivas de vulnerabilidades simples.
Ahora, los investigadores de UIUC han probado su teoría y han demostrado que, en ciertos casos, "los agentes LLM pueden explotar de forma autónoma vulnerabilidades de un día (one-day vulnerabilities)en sistemas del mundo real".
Los investigadores de UIUC recopilaron un conjunto de datos de 15 vulnerabilidades de un día que incluían "aquellas categorizadas como de gravedad crítica en la descripción de CVE".
La descripción de vulnerabilidades y exposiciones comunes, o CVE, es una base de datos de información compartida públicamente sobre vulnerabilidades y exposiciones de ciberseguridad.
Cuando los investigadores proporcionaron a GPT-4 la descripción de CVE, el LLM tuvo una efectividad del 87 % en la explotación de estas vulnerabilidades, en comparación con el 0 % de: GPT-3.5, otros LLM de código abierto, y escáneres de vulnerabilidades ampliamente utilizados como Zap y Metasploit.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El estudio encontró que GPT-4 solo falló en dos vulnerabilidades (Iris XSS y Hertzbeat RCE).
Sin embargo, a pesar de su impresionante rendimiento, GPT-4 requiere la descripción CVE para explotar estas vulnerabilidades de forma eficaz. Sin él, sólo podría explotar el 7% de las vulnerabilidades de forma independiente.
Cada vez es más barato
El estudio encuentra que utilizar LLM para explotar vulnerabilidades es posiblemente más barato y más eficiente que el trabajo humano.
Se estima que utilizar un LLM cuesta aproximadamente 9 dólares por exploit, mientras que se estima que un experto en ciberseguridad cuesta alrededor de 50 dólares por hora y tarda 30 minutos por vulnerabilidad.
Los investigadores estiman que utilizar un individuo en lugar de un LLM podría costar a los piratas informáticos un total de 25 dólares, lo que hace que el uso de un LLM sea 2,8 veces más barato que el trabajo humano.
Además, el estudio afirma que los agentes de LLM son "trivialmente escalables en contraste con el trabajo humano", lo que los hace posiblemente más efectivos que los piratas informáticos humanos.
"Los Gatos" explotan los LLM
La información recopilada por estos investigadores plantea dudas sobre el uso generalizado de los LLM.
Los LLM han ganado popularidad debido a su capacidad para apoyar a las personas en su vida profesional y personal.
Sin embargo, se sabe que hackers explotan los LLM para perfeccionar sus habilidades e incluso implementar ataques.
Anteriormente, Microsoft reveló que había rastreado grupos de piratería afiliados a la inteligencia militar rusa, la Guardia Revolucionaria de Irán y los gobiernos de China y Corea del Norte mientras intentaban perfeccionar sus campañas de piratería utilizando grandes modelos de lenguaje.
Altos funcionarios de ciberseguridad en Occidente han estado advirtiendo desde el año pasado que actores deshonestos estaban abusando de tales herramientas, aunque hasta ahora los detalles específicos han sido escasos.
En este contexto, los actores de amenazas han utilizado los LLM para realizar investigaciones maliciosas, escribir correos electrónicos de phishing convincentes u obtener información sobre agencias de inteligencia rivales.
Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Un grupo de investigadores de la Universidad de Illinois Urbana-Champaign (UIUC) ha investigado los LLM y su eficacia para explotar las vulnerabilidades de ciberseguridad.
Anteriormente, los individuos han realizado varios experimentos para probar la capacidad de los agentes de LLM para "piratear sitios web de forma autónoma", se lee en el artículo de investigación. Sin embargo, estas pruebas son exclusivas de vulnerabilidades simples.
Ahora, los investigadores de UIUC han probado su teoría y han demostrado que, en ciertos casos, "los agentes LLM pueden explotar de forma autónoma vulnerabilidades de un día (one-day vulnerabilities)en sistemas del mundo real".
Los investigadores de UIUC recopilaron un conjunto de datos de 15 vulnerabilidades de un día que incluían "aquellas categorizadas como de gravedad crítica en la descripción de CVE".
La descripción de vulnerabilidades y exposiciones comunes, o CVE, es una base de datos de información compartida públicamente sobre vulnerabilidades y exposiciones de ciberseguridad.
Cuando los investigadores proporcionaron a GPT-4 la descripción de CVE, el LLM tuvo una efectividad del 87 % en la explotación de estas vulnerabilidades, en comparación con el 0 % de: GPT-3.5, otros LLM de código abierto, y escáneres de vulnerabilidades ampliamente utilizados como Zap y Metasploit.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El estudio encontró que GPT-4 solo falló en dos vulnerabilidades (Iris XSS y Hertzbeat RCE).
Sin embargo, a pesar de su impresionante rendimiento, GPT-4 requiere la descripción CVE para explotar estas vulnerabilidades de forma eficaz. Sin él, sólo podría explotar el 7% de las vulnerabilidades de forma independiente.
Cada vez es más barato
El estudio encuentra que utilizar LLM para explotar vulnerabilidades es posiblemente más barato y más eficiente que el trabajo humano.
Se estima que utilizar un LLM cuesta aproximadamente 9 dólares por exploit, mientras que se estima que un experto en ciberseguridad cuesta alrededor de 50 dólares por hora y tarda 30 minutos por vulnerabilidad.
Los investigadores estiman que utilizar un individuo en lugar de un LLM podría costar a los piratas informáticos un total de 25 dólares, lo que hace que el uso de un LLM sea 2,8 veces más barato que el trabajo humano.
Además, el estudio afirma que los agentes de LLM son "trivialmente escalables en contraste con el trabajo humano", lo que los hace posiblemente más efectivos que los piratas informáticos humanos.
"Los Gatos" explotan los LLM
La información recopilada por estos investigadores plantea dudas sobre el uso generalizado de los LLM.
Los LLM han ganado popularidad debido a su capacidad para apoyar a las personas en su vida profesional y personal.
Sin embargo, se sabe que hackers explotan los LLM para perfeccionar sus habilidades e incluso implementar ataques.
Anteriormente, Microsoft reveló que había rastreado grupos de piratería afiliados a la inteligencia militar rusa, la Guardia Revolucionaria de Irán y los gobiernos de China y Corea del Norte mientras intentaban perfeccionar sus campañas de piratería utilizando grandes modelos de lenguaje.
Altos funcionarios de ciberseguridad en Occidente han estado advirtiendo desde el año pasado que actores deshonestos estaban abusando de tales herramientas, aunque hasta ahora los detalles específicos han sido escasos.
En este contexto, los actores de amenazas han utilizado los LLM para realizar investigaciones maliciosas, escribir correos electrónicos de phishing convincentes u obtener información sobre agencias de inteligencia rivales.
Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#7
Noticias Informáticas / EEUU fuerza a ByteDance a vend...
Último mensaje por AXCESS - Hoy a las 10:11:47 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Ser un servicio extremadamente exitoso, como es el caso de TikTok, no te garantiza ni remotamente el poder relajarte y disfrutar del éxito, especialmente si tu actividad se ve en medio del juego cruzado del actual panorama geopolítico, y todavía más si una de las partes (y no en solitario) considera que estás colaborando con la otra. El contexto es, claro, la actual tensión entre China y Estados Unidos, y las acusaciones por parte de las autoridades estadounidenses de que ByteDance, propietaria del servicio, no tiene reparo en ceder datos (obtenidos a través de TikTok), al gobierno del gigante asiático.
Los problemas para TikTok en Estados Unidos no son algo nuevo. Recordemos que, en la pasada administración, Donald Trump llegó a dar orden de bloquear el acceso al servicio desde Estados Unidos, si bien es cierto que posteriormente esta medida fue revertida. Y la llegada de un nuevo inquilino al 1.600 de Pennsylvania Avenue tampoco marcó un gran cambio al respecto, al punto de que hace poco más de un año ya se planteó un primer ultimátum que planteaba que el servicio debía pasar a manos de otra empresa (como ya se planteó durante la administración Trump), o se enfrentaría a medidas como un posible bloqueo. Dicha medida de presión concedía, eso sí, un plazo de un año. No obstante, en aquella ocasión la medida no contó con el apoyo del Senado.
Aquello ocurrió... efectivamente, hace poco más de un año, y como ya sabrás o habrás intuido, TikTok sigue perteneciendo a ByteDance que, eso sí, afirma haber tomado medidas para disipar las sospechas de las autoridades estadounidenses, como trasladar la gestión de los datos del servicio a servidores de Oracle en EEUU. Todos estos pasos, sin embargo, no han sido suficientes para el ejecutivo de Joe Biden, que ha optado por una línea más dura.
Así, según leemos en TechCrunch, el Senado de Estados Unidos ha aprobado un proyecto de ley que prohibirá TikTok en EEUU si ByteDance no vende el servicio. El texto acordado y votado por una amplia mayoría de senadores de ambos partidos (aunque, para sumar apoyos, la votación se vinculó a la aprobación de ayuda exterior crítica a Israel, Taiwán y Ucrania), concede un plazo de nueve meses, con un margen extra de 90 días, por lo que de nuevo volvemos a hablar de un plazo real de un año. El texto aprobado debe ser firmado por el presidente Biden para que entre en efecto y se inicie la cuenta atrás, pero está previsto que dicha firma se produzca hoy mismo.
ByteDance, como cabía esperar, ya ha comunicado que recurrirá a la justicia para intentar frenar este movimiento, además de apelar al volumen de usuarios y de negocio que genera en Estados Unidos, y que cifra en 14.700 millones de dólares para las pequeñas y medianas empresas del país. Por su parte, también se han pronunciado en contra de esta medida entidades como la Electronic Frontier Foundation, así como personalidades como Steve Wozniak y, para sorpresa de muchos, precisamente quien pretendió tomar una medida similar en 2020, Donald Trump, si bien en este caso resulta bastante evidente que se trata de una afirmación con fines electoralistas.
Ahora, claro, la gran pregunta es qué ocurrirá con TikTok si ByteDance no consigue frenar la aplicación de este texto de ley mediante la justicia. Aunque no es imposible, parece poco probable que opte por la venta a alguna empresa que tenga el visto bueno por parte de las autoridades estadounidenses. Y es que, aunque la venta pueda generar una enorme cantidad de ingresos, no debemos olvidar que hablamos de uno de los servicios más exitosos, especialmente entre una audiencia muy codiciada, los más jóvenes. Según datos recientes, TikTok ya supera los mil millones de usuarios, de los que aproximadamente 170 millones son estadounidenses. Así, el bloqueo en dicho país supondría renunciar a alrededor de un 17% de su base de usuarios lo que, visto desde la otra perspectiva, supone retener cerca del 83%.
Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Ser un servicio extremadamente exitoso, como es el caso de TikTok, no te garantiza ni remotamente el poder relajarte y disfrutar del éxito, especialmente si tu actividad se ve en medio del juego cruzado del actual panorama geopolítico, y todavía más si una de las partes (y no en solitario) considera que estás colaborando con la otra. El contexto es, claro, la actual tensión entre China y Estados Unidos, y las acusaciones por parte de las autoridades estadounidenses de que ByteDance, propietaria del servicio, no tiene reparo en ceder datos (obtenidos a través de TikTok), al gobierno del gigante asiático.
Los problemas para TikTok en Estados Unidos no son algo nuevo. Recordemos que, en la pasada administración, Donald Trump llegó a dar orden de bloquear el acceso al servicio desde Estados Unidos, si bien es cierto que posteriormente esta medida fue revertida. Y la llegada de un nuevo inquilino al 1.600 de Pennsylvania Avenue tampoco marcó un gran cambio al respecto, al punto de que hace poco más de un año ya se planteó un primer ultimátum que planteaba que el servicio debía pasar a manos de otra empresa (como ya se planteó durante la administración Trump), o se enfrentaría a medidas como un posible bloqueo. Dicha medida de presión concedía, eso sí, un plazo de un año. No obstante, en aquella ocasión la medida no contó con el apoyo del Senado.
Aquello ocurrió... efectivamente, hace poco más de un año, y como ya sabrás o habrás intuido, TikTok sigue perteneciendo a ByteDance que, eso sí, afirma haber tomado medidas para disipar las sospechas de las autoridades estadounidenses, como trasladar la gestión de los datos del servicio a servidores de Oracle en EEUU. Todos estos pasos, sin embargo, no han sido suficientes para el ejecutivo de Joe Biden, que ha optado por una línea más dura.
Así, según leemos en TechCrunch, el Senado de Estados Unidos ha aprobado un proyecto de ley que prohibirá TikTok en EEUU si ByteDance no vende el servicio. El texto acordado y votado por una amplia mayoría de senadores de ambos partidos (aunque, para sumar apoyos, la votación se vinculó a la aprobación de ayuda exterior crítica a Israel, Taiwán y Ucrania), concede un plazo de nueve meses, con un margen extra de 90 días, por lo que de nuevo volvemos a hablar de un plazo real de un año. El texto aprobado debe ser firmado por el presidente Biden para que entre en efecto y se inicie la cuenta atrás, pero está previsto que dicha firma se produzca hoy mismo.
ByteDance, como cabía esperar, ya ha comunicado que recurrirá a la justicia para intentar frenar este movimiento, además de apelar al volumen de usuarios y de negocio que genera en Estados Unidos, y que cifra en 14.700 millones de dólares para las pequeñas y medianas empresas del país. Por su parte, también se han pronunciado en contra de esta medida entidades como la Electronic Frontier Foundation, así como personalidades como Steve Wozniak y, para sorpresa de muchos, precisamente quien pretendió tomar una medida similar en 2020, Donald Trump, si bien en este caso resulta bastante evidente que se trata de una afirmación con fines electoralistas.
Ahora, claro, la gran pregunta es qué ocurrirá con TikTok si ByteDance no consigue frenar la aplicación de este texto de ley mediante la justicia. Aunque no es imposible, parece poco probable que opte por la venta a alguna empresa que tenga el visto bueno por parte de las autoridades estadounidenses. Y es que, aunque la venta pueda generar una enorme cantidad de ingresos, no debemos olvidar que hablamos de uno de los servicios más exitosos, especialmente entre una audiencia muy codiciada, los más jóvenes. Según datos recientes, TikTok ya supera los mil millones de usuarios, de los que aproximadamente 170 millones son estadounidenses. Así, el bloqueo en dicho país supondría renunciar a alrededor de un 17% de su base de usuarios lo que, visto desde la otra perspectiva, supone retener cerca del 83%.
Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#8
Noticias Informáticas / Entrega de malware a través de...
Último mensaje por AXCESS - Hoy a las 10:10:21 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Los piratas informáticos norcoreanos han estado explotando el mecanismo de actualización del antivirus eScan para instalar puertas traseras en grandes redes corporativas y entregar mineros de criptomonedas a través del malware GuptiMiner.
Los investigadores describen a GuptiMiner como "una amenaza altamente sofisticada" que puede realizar solicitudes DNS a los servidores DNS del atacante, extraer cargas útiles de imágenes, firmar sus cargas útiles y realizar descargas de DLL.
Entrega de GuptiMiner a través de actualizaciones de eScan
En un informe publicado, la compañía de ciberseguridad Avast dice que el actor de amenazas detrás de GuptiMiner tenía una posición de adversario en el medio (AitM) para secuestrar el paquete de actualización de definición de virus normal y reemplazarlo con uno malicioso llamado 'updll62.dlz. '
El archivo malicioso incluye las actualizaciones de antivirus necesarias, así como un malware GuptiMiner como un archivo DLL llamado "version.dll".
El actualizador de eScan procesa el paquete normalmente, lo descomprime y lo ejecuta. Durante esa etapa, los archivos binarios legítimos de eScan descargan la DLL, lo que otorga al malware privilegios a nivel de sistema.
A continuación, la DLL recupera cargas útiles adicionales de la infraestructura del atacante, establece persistencia en el host a través de tareas programadas, realiza manipulación de DNS, inyecta shellcode en procesos legítimos, utiliza virtualización de código, almacena cargas útiles cifradas con XOR en el registro de Windows y extrae PE de PNG.
GuptiMiner también verifica si el sistema que ejecuta tiene más de 4 núcleos de CPU y 4 GB de RAM para evadir entornos sandbox, y determina si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor y OllyDbg están activos.
Los productos AhnLab y Cisco Talos también se desactivan si se ejecutan en la máquina atacada. A continuación, se muestra un diagrama completo de la cadena de infección:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los investigadores de Avast dicen que GuptiMiner puede estar vinculado al grupo APT norcoreano Kimsuki, basándose en las similitudes entre la función de robo de información y el keylogger Kimsuky.
Los investigadores también descubrieron que algunas partes de la operación GuptiMiner sugieren una posible conexión con Kimsuki. Un punto en común es el uso del dominio mygamesonline[.]org, que normalmente se ve en las operaciones de Kimsuky.
Herramientas de malware implementadas
Los piratas informáticos utilizaron GuptiMiner para implementar múltiples malware en sistemas comprometidos, incluidas dos puertas traseras distintas y el minero XMRig Monero.
La primera puerta trasera es una versión mejorada de Putty Link, implementada en sistemas corporativos para escanear la red local en busca de sistemas vulnerables y puntos de pivote para movimiento lateral.
Busca específicamente sistemas Windows 7 y Windows Server 2008, explotándolos a través de túneles de tráfico SMB.
La segunda puerta trasera es un malware modular complejo que escanea el host en busca de claves privadas almacenadas y billeteras de criptomonedas, y crea una clave de registro para marcar la finalización del escaneo, para evitar repeticiones ruidosas.
Puede aceptar comandos para instalar módulos adicionales en el registro, mejorando aún más sus capacidades dentro de entornos infectados. Sin embargo, Avast no proporcionó detalles adicionales.
Los atacantes también dejaron caer el minero XMRig en muchos casos, lo que contrasta con la sofisticación exhibida en la campaña analizada y podría ser un intento de desviar la atención de la línea de ataque principal.
La respuesta de eScan
Los investigadores de Avast revelaron la vulnerabilidad explotada a eScan y el proveedor de antivirus confirmó que el problema estaba solucionado.
eScan también dijo que el último informe similar que recibieron fue en 2019. En 2020, el proveedor implementó un mecanismo de verificación más sólido para asegurarse de que los binarios no firmados fueran rechazados.
En la implementación más reciente, las descargas de actualizaciones de eScan se realizan a través de HTTPS para garantizar una comunicación cifrada para los clientes que interactúan con los servidores orientados a la nube del proveedor.
Sin embargo, Avast informa que continúa observando nuevas infecciones por parte de GuptiMiner, lo que podría indicar clientes de eScan obsoletos.
La lista completa de indicadores de compromiso (IoC) de GuptiMiner para ayudar a los defensores a mitigar esta amenaza se puede encontrar en esta página de GitHub:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los piratas informáticos norcoreanos han estado explotando el mecanismo de actualización del antivirus eScan para instalar puertas traseras en grandes redes corporativas y entregar mineros de criptomonedas a través del malware GuptiMiner.
Los investigadores describen a GuptiMiner como "una amenaza altamente sofisticada" que puede realizar solicitudes DNS a los servidores DNS del atacante, extraer cargas útiles de imágenes, firmar sus cargas útiles y realizar descargas de DLL.
Entrega de GuptiMiner a través de actualizaciones de eScan
En un informe publicado, la compañía de ciberseguridad Avast dice que el actor de amenazas detrás de GuptiMiner tenía una posición de adversario en el medio (AitM) para secuestrar el paquete de actualización de definición de virus normal y reemplazarlo con uno malicioso llamado 'updll62.dlz. '
El archivo malicioso incluye las actualizaciones de antivirus necesarias, así como un malware GuptiMiner como un archivo DLL llamado "version.dll".
El actualizador de eScan procesa el paquete normalmente, lo descomprime y lo ejecuta. Durante esa etapa, los archivos binarios legítimos de eScan descargan la DLL, lo que otorga al malware privilegios a nivel de sistema.
A continuación, la DLL recupera cargas útiles adicionales de la infraestructura del atacante, establece persistencia en el host a través de tareas programadas, realiza manipulación de DNS, inyecta shellcode en procesos legítimos, utiliza virtualización de código, almacena cargas útiles cifradas con XOR en el registro de Windows y extrae PE de PNG.
GuptiMiner también verifica si el sistema que ejecuta tiene más de 4 núcleos de CPU y 4 GB de RAM para evadir entornos sandbox, y determina si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor y OllyDbg están activos.
Los productos AhnLab y Cisco Talos también se desactivan si se ejecutan en la máquina atacada. A continuación, se muestra un diagrama completo de la cadena de infección:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los investigadores de Avast dicen que GuptiMiner puede estar vinculado al grupo APT norcoreano Kimsuki, basándose en las similitudes entre la función de robo de información y el keylogger Kimsuky.
Los investigadores también descubrieron que algunas partes de la operación GuptiMiner sugieren una posible conexión con Kimsuki. Un punto en común es el uso del dominio mygamesonline[.]org, que normalmente se ve en las operaciones de Kimsuky.
Herramientas de malware implementadas
Los piratas informáticos utilizaron GuptiMiner para implementar múltiples malware en sistemas comprometidos, incluidas dos puertas traseras distintas y el minero XMRig Monero.
La primera puerta trasera es una versión mejorada de Putty Link, implementada en sistemas corporativos para escanear la red local en busca de sistemas vulnerables y puntos de pivote para movimiento lateral.
Busca específicamente sistemas Windows 7 y Windows Server 2008, explotándolos a través de túneles de tráfico SMB.
La segunda puerta trasera es un malware modular complejo que escanea el host en busca de claves privadas almacenadas y billeteras de criptomonedas, y crea una clave de registro para marcar la finalización del escaneo, para evitar repeticiones ruidosas.
Puede aceptar comandos para instalar módulos adicionales en el registro, mejorando aún más sus capacidades dentro de entornos infectados. Sin embargo, Avast no proporcionó detalles adicionales.
Los atacantes también dejaron caer el minero XMRig en muchos casos, lo que contrasta con la sofisticación exhibida en la campaña analizada y podría ser un intento de desviar la atención de la línea de ataque principal.
La respuesta de eScan
Los investigadores de Avast revelaron la vulnerabilidad explotada a eScan y el proveedor de antivirus confirmó que el problema estaba solucionado.
eScan también dijo que el último informe similar que recibieron fue en 2019. En 2020, el proveedor implementó un mecanismo de verificación más sólido para asegurarse de que los binarios no firmados fueran rechazados.
En la implementación más reciente, las descargas de actualizaciones de eScan se realizan a través de HTTPS para garantizar una comunicación cifrada para los clientes que interactúan con los servidores orientados a la nube del proveedor.
Sin embargo, Avast informa que continúa observando nuevas infecciones por parte de GuptiMiner, lo que podría indicar clientes de eScan obsoletos.
La lista completa de indicadores de compromiso (IoC) de GuptiMiner para ayudar a los defensores a mitigar esta amenaza se puede encontrar en esta página de GitHub:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#9
Dudas y pedidos generales / Re:Reverse Shell
Último mensaje por Tux0 - Hoy a las 08:49:35 AMNo. O en la mayoría de los casos no.
Cuandp usas una VPN, tienes una IP pública que te proporciona el servidor VPN, es tu IP de salida a internet, pero no es tu IP pública para este tipo de cosas.
Es decir. pongamos que tu IP pública entes de la VPN es 82.0.0.0 (no es una IP ireal, pero es solo para el ejemplo), y después de la VPN, tu IP pública es 85.0.0.0 Bien, cuando tú quieres una shell reversa, tienes que darle tu IP pública real (la de antes de la VPN), es decir, la 82.0.0.0, porque la que te proporciona la VPN realmente no es tuya.
Esto es en la mayoría de los casos. Otra cosa es que tengas un servidor VPN en tu casa, y saliendo con tu misma IP, buscando solo privacidad y entorno local fuera de tu red, pero creo que no es el caso.
Cuandp usas una VPN, tienes una IP pública que te proporciona el servidor VPN, es tu IP de salida a internet, pero no es tu IP pública para este tipo de cosas.
Es decir. pongamos que tu IP pública entes de la VPN es 82.0.0.0 (no es una IP ireal, pero es solo para el ejemplo), y después de la VPN, tu IP pública es 85.0.0.0 Bien, cuando tú quieres una shell reversa, tienes que darle tu IP pública real (la de antes de la VPN), es decir, la 82.0.0.0, porque la que te proporciona la VPN realmente no es tuya.
Esto es en la mayoría de los casos. Otra cosa es que tengas un servidor VPN en tu casa, y saliendo con tu misma IP, buscando solo privacidad y entorno local fuera de tu red, pero creo que no es el caso.
#10
Dudas y pedidos generales / Re:Averiguar contraseña de un ...
Último mensaje por Tux0 - Hoy a las 08:41:41 AMSi hubiera un método que, sin ingeniería social como phishing, por ejemplo, te diera la password de cualquier red social, ese fallo de seguridad costaría millones de euros. Y en el momento de publicarse, no pasarían más de 2 días, y ya no funcionaría.
Espero que esto responda a tu pregunta.
Espero que esto responda a tu pregunta.
