Mensajes recientes
#1
Dudas y pedidos generales / Re:Problema para configurar TP...
Último mensaje por ahciuL - Hoy a las 03:31:42 AMEl user y pass anotados eran de la config o del WiFi? Igual si lo restableciste lo más seguro es que sea admin admin.
La otra es que además de restablecerlo le bajes el último firmware oficial…
La otra es que además de restablecerlo le bajes el último firmware oficial…
#2
Dudas y pedidos generales / Re:[SOLUCIONADO] Recomiendan h...
Último mensaje por ahciuL - Hoy a las 03:26:47 AMEstá buena para empezar. Te ayuda a pensar de la forma en que se tiene que pensar para el rubro, pero no esperes que vayas a salir siendo un programador re copado. Es un primero paso…
#3
Noticias Informáticas / Re:Nueva vulnerabilidad Wi-Fi ...
Último mensaje por AXCESS - Hoy a las 02:38:20 AMUna respuesta interesante en el canal del vídeo en YouTube
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
"Entonces, si entiendo esto correctamente, solo es un problema si el segundo AP tiene protocolos de cifrado inferiores o es menos confiable. Solo con esta vulnerabilidad, el atacante MitM no puede descifrar ni manipular el tráfico. El atacante necesita exploits adicionales como KRACK en el segundo AP. Si no se aprovecha eso, no sucede mucho, excepto tal vez un rendimiento degradado.
El caso más común: varios SSID para 2,4/5/6 GHz se ejecutan en la misma plataforma con los mismos estándares de seguridad por el mismo operador y la misma red IP, aquí no tiene ningún impacto. Algunos operadores incluso utilizan un SSID para todas las frecuencias, los clientes cambian automáticamente, lo que también es seguro.
Yo diría que la configuración es cuestionable de todos modos si hay opciones inseguras, no solo si el atacante puede forzar un cambio, sino que también los usuarios pueden elegir aleatoriamente la opción incorrecta.
Además, los diferentes niveles de confianza (redes internas/públicas) obviamente deberían tener claves diferentes; de lo contrario, no tiene sentido separarlas; la reutilización de credenciales es una mala práctica, en cualquier caso.
En general, esta vulnerabilidad es mucho menos grave de lo que uno podría suponer al leer el mensaje "falla en IEEE 802.11... vulnerable a la interceptación y manipulación del tráfico". Sería bueno aclarar la condición requerida de que "una segunda red disponible con las mismas credenciales de autenticación que la primera" solo es crítica si la segunda red es en realidad menos segura."
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
"Entonces, si entiendo esto correctamente, solo es un problema si el segundo AP tiene protocolos de cifrado inferiores o es menos confiable. Solo con esta vulnerabilidad, el atacante MitM no puede descifrar ni manipular el tráfico. El atacante necesita exploits adicionales como KRACK en el segundo AP. Si no se aprovecha eso, no sucede mucho, excepto tal vez un rendimiento degradado.
El caso más común: varios SSID para 2,4/5/6 GHz se ejecutan en la misma plataforma con los mismos estándares de seguridad por el mismo operador y la misma red IP, aquí no tiene ningún impacto. Algunos operadores incluso utilizan un SSID para todas las frecuencias, los clientes cambian automáticamente, lo que también es seguro.
Yo diría que la configuración es cuestionable de todos modos si hay opciones inseguras, no solo si el atacante puede forzar un cambio, sino que también los usuarios pueden elegir aleatoriamente la opción incorrecta.
Además, los diferentes niveles de confianza (redes internas/públicas) obviamente deberían tener claves diferentes; de lo contrario, no tiene sentido separarlas; la reutilización de credenciales es una mala práctica, en cualquier caso.
En general, esta vulnerabilidad es mucho menos grave de lo que uno podría suponer al leer el mensaje "falla en IEEE 802.11... vulnerable a la interceptación y manipulación del tráfico". Sería bueno aclarar la condición requerida de que "una segunda red disponible con las mismas credenciales de autenticación que la primera" solo es crítica si la segunda red es en realidad menos segura."
#4
Noticias Informáticas / Cómo identificaron las autorid...
Último mensaje por AXCESS - Hoy a las 02:18:52 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
La semana pasada, Estados Unidos se unió al Reino Unido y Australia para sancionar y acusar a un hombre ruso llamado Dmitry Yuryevich Khoroshev como líder del infame grupo de ransomware LockBit.
El líder de LockBit, "LockBitSupp", afirma que los federales nombraron al tipo equivocado, diciendo que los cargos no explican cómo lo conectaron con Khoroshev. Esta publicación examina las actividades de los numerosos alter egos de Khoroshev en los foros sobre delitos cibernéticos y rastrea la carrera de un talentoso autor de malware que ha escrito y vendido códigos maliciosos durante los últimos 14 años.
El 7 de mayo, el Departamento de Justicia de Estados Unidos acusó a Khoroshev de 26 cargos penales, entre ellos extorsión, fraude electrónico y conspiración. El gobierno alega que Khoroshev creó, vendió y utilizó la variedad de ransomware LockBit para extorsionar personalmente más de 100 millones de dólares a cientos de organizaciones víctimas, y que LockBit como grupo extorsionó aproximadamente 500 millones de dólares durante cuatro años.
Los investigadores federales dicen que Khoroshev ejecutó LockBit como una operación de "ransomware como servicio", en la que se quedaba con el 20 por ciento de cualquier monto de rescate pagado por una organización víctima infectada con su código, y el 80 por ciento restante del pago iba a los afiliados de LockBit. responsable de la propagación del malware.
Las sanciones financieras impuestas contra Khoroshev por el Departamento del Tesoro de Estados Unidos incluían su correo electrónico y dirección postal conocidos (en Voronezh, en el suroeste de Rusia), su número de pasaporte e incluso su número de identificación fiscal. La presentación del Tesoro dice que Khoroshev usó los correos electrónicos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.
Según No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, la dirección No tienes permitido ver los links. Registrarse o Entrar a mi cuenta se utilizó para registrar al menos seis dominios, incluida una empresa rusa registrada a nombre de Khoroshev llamada No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que es un blog sobre ropa y telas.
Una búsqueda en el servicio de seguimiento de infracciones Constella Intelligence en el número de teléfono que figura en los registros de Tkaner (7.9521020220) arroja múltiples documentos oficiales del gobierno ruso que enumeran al propietario del número como Dmitri Yurievich Khoroshev.
Otro dominio registrado en ese número de teléfono fue stairwell[.]ru, que en un momento anunciaba la venta de escaleras de madera. Constella descubre que las direcciones de correo electrónico No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta utilizaron la contraseña 225948.
DomainTools informa que No tienes permitido ver los links. Registrarse o Entrar a mi cuenta durante varios años incluyó el nombre del registrante como "Dmitrij Ju Horoshev" y la dirección de correo electrónico No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Según Constella, esta dirección de correo electrónico se utilizó en 2010 para registrar una cuenta de Dmitry Yurievich Khoroshev de Voronezh, Rusia, en el proveedor de hosting No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.
La firma de inteligencia cibernética Intel 471 descubre que No tienes permitido ver los links. Registrarse o Entrar a mi cuenta fue utilizado por un miembro de habla rusa llamado Pin en el foro de cibercrimen en inglés Opensc. Pin estuvo activo en Opensc alrededor de marzo de 2012 y fue autor de 13 publicaciones que en su mayoría se referían a problemas de cifrado de datos o cómo corregir errores en el código.
Otras publicaciones se referían al código personalizado que Pin afirmó haber escrito y que evitaría las protecciones de memoria en los sistemas Windows XP y Windows 7, e inyectaría malware en el espacio de memoria normalmente asignado a aplicaciones confiables en una máquina con Windows.
Pin también estuvo activo al mismo tiempo en el foro de seguridad en ruso Antichat, donde le dijeron a otros miembros del foro que se comunicaran con ellos al número de mensajería instantánea ICQ 669316.
NeroWolfe
Una búsqueda del número ICQ 669316 en Intel 471 muestra que, en abril de 2011, un usuario llamado NeroWolfe se unió al foro ruso sobre cibercrimen Zloy utilizando la dirección de correo electrónico No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y desde una dirección de Internet en Voronezh, RU.
Constella descubre que la misma contraseña vinculada a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (225948) fue utilizada por la dirección de correo electrónico No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que según Intel 471 estaba registrada en más de una docena de cuentas de NeroWolfe en otros tantos foros rusos sobre delitos cibernéticos entre 2011 y 2015.
La publicación introductoria de NeroWolfe en el foro Verified en octubre de 2011 decía que era administrador de sistemas y codificador de C++.
"Instalar SpyEYE, ZeuS, cualquier panel de administración de DDoS y spam", escribió NeroWolfe. Este usuario dijo que se especializa en desarrollar malware, crear gusanos informáticos y crear nuevas formas de secuestrar navegadores web.
"Puedo proporcionar mi portafolio si lo solicita", escribió NeroWolfe. "PD. No modifico el código de otra persona ni trabajo con los marcos de otra persona".
En abril de 2013, NeroWolfe escribió en un mensaje privado a otro usuario del foro Verified que estaba vendiendo un programa "cargador" de malware que podía eludir todas las protecciones de seguridad en Windows XP y Windows 7.
"El acceso a la red está ligeramente restringido", dijo NeroWolfe sobre el cargador, que estaba vendiendo por 5.000 dólares. "No lograrás vincular un puerto. Sin embargo, es muy posible enviar datos. El código está escrito en C."
En una discusión de octubre de 2013 en el foro sobre cibercrimen Exploit, NeroWolfe intervino sobre las ramificaciones kármicas del ransomware. En ese momento, el ransomware como servicio aún no existía, y muchos miembros de Exploit todavía estaban ganando mucho dinero con los "casilleros", programas relativamente toscos que bloqueaban al usuario fuera de su sistema hasta que aceptaban pagar (normalmente unos cientos de dólares mediante tarjetas prepagas Green Dot).
Los foros de ciberdelincuencia de habla rusa generalmente consideraban que los casilleros, que presagiaban el próximo flagelo del ransomware, eran oportunidades inofensivas para ganar dinero, porque generalmente no buscaban dañar la computadora host ni poner en peligro los archivos del sistema. Además, todavía había muchos programas de casilleros que los aspirantes a ciberdelincuentes podían comprar o alquilar para obtener un ingreso estable.
NeroWolfe recordó a los habitantes del foro que eran tan vulnerables a los ataques de ransomware como sus posibles víctimas.
"Chicos, ¿tienen conciencia?", escribió NeroWolfe. "Está bien, taquillas, red gopstop, también conocida como negocio en ruso. Lo último siempre era exprimido de los tontos. Pero nadie está protegido de los codificadores, ni siquiera la audiencia local".
Si a Khoroshev alguna vez le preocupó que alguien fuera de Rusia pudiera conectar sus primeros identificadores de hacker con su personaje de la vida real, eso no queda claro al revisar su historia en línea. De hecho, la misma dirección de correo electrónico vinculada a muchas de las cuentas de NeroWolfe en los foros ([email protected]) se utilizó en 2011 para crear una cuenta para Dmitry Yurevich Khoroshev en la red social rusa Vkontakte.
NeroWolfe parece haber abandonado todas sus cuentas del foro en algún momento de 2016. En noviembre de 2016, un miembro de exploit[.]ru presentó una queja oficial contra NeroWolfe, diciendo que a NeroWolfe le habían pagado 2.000 dólares para producir código personalizado, pero nunca terminó el proyecto y desapareció.
No está claro qué pasó con NeroWolfe o Khoroshev durante este tiempo. Quizás lo arrestaron, o lo hicieron algunos de sus colaboradores más cercanos. Quizás simplemente decidió que era hora de pasar desapercibido y reiniciar sus esfuerzos de seguridad operativa, dados sus fracasos pasados en este sentido. También es posible que NeroWolfe consiguiera un trabajo real en algún lugar durante unos años, tuviera un hijo y/o tuviera que suspender su carrera en el cibercrimen.
Putinkrab
O tal vez Khoroshev vio la próxima industria del ransomware como la interminable olla de oro en la que estaba a punto de convertirse, y luego se dedicó a trabajar en código de ransomware personalizado. Eso es lo que cree el gobierno.
La acusación contra Khoroshev dice que usó el apodo de hacker Putinkrab, e Intel 471 dice que esto corresponde a un nombre de usuario que se registró por primera vez en tres importantes foros rusos sobre cibercrimen a principios de 2019.
KrebsOnSecurity no pudo encontrar conexiones obvias entre Putinkrab y cualquiera de las identidades más antiguas de Khoroshev. Sin embargo, si Putinkrab fuera Khoroshev, habría aprendido de sus errores pasados y habría comenzado de nuevo con una nueva identidad (lo cual hizo). Pero también es probable que el gobierno no haya compartido toda la información de inteligencia que ha recopilado contra él (más sobre esto en un momento).
Las primeras publicaciones de Putinkrab en los foros rusos sobre cibercrimen XSS, Exploit y UFOLabs vieron a este usuario vendiendo código fuente de ransomware escrito en C.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En abril de 2019, Putkinkrab ofreció un programa de afiliados que se ejecutaría sobre su código de ransomware personalizado.
"Quiero trabajar por una parte de los rescates: 20/80", escribió Putinkrab en Exploit. "El 20 por ciento es mi porcentaje por el trabajo, tú obtienes el 80 por ciento del rescate. El porcentaje se puede reducir hasta 10/90 si los volúmenes son buenos. Pero ahora, temporalmente, hasta que el servicio esté completamente automatizado, estamos trabajando usando un algoritmo diferente".
A lo largo del verano de 2019, Putinkrab publicó múltiples actualizaciones en Exploit sobre nuevas funciones agregadas a su variedad de ransomware, así como novedosas técnicas de evasión para evitar la detección por parte de herramientas de seguridad. También les dijo a los miembros del foro que estaba buscando inversores para un nuevo proyecto de ransomware basado en su código.
En respuesta a un miembro de Exploit que se quejó de que la industria de la seguridad estaba dificultando la obtención de beneficios con el ransomware, Putinkrab dijo que eso se debía a que muchos ciberdelincuentes dependían de códigos de ransomware de mala calidad.
"La gran mayoría de los mejores antivirus han adquirido análisis de comportamiento, que bloquean el 95% de los cripto-lockers desde su raíz", escribió Putinkrab. "Los criptolockers hicieron mucho ruido en la prensa, pero los administradores de sistemas perezosos no hacen copias de seguridad después de eso. La gran mayoría de los cryptolockers están escritos por personas que tienen pocos conocimientos de criptografía. Por lo tanto, aparecen en Internet descifradores y, con ellos, la esperanza de poder descifrar archivos sin pagar un rescate. Simplemente se sientan y esperan. El contacto con el propietario de la llave se pierde con el tiempo".
Putinkrab dijo que tenía plena confianza en que su código ransomware cambiaría las reglas del juego y sería una enorme máquina de hacer dinero.
"El juego está ganando impulso", escribió Putinkrab. "Los jugadores débiles pierden y son eliminados".
El resto de su respuesta estuvo estructurado como un poema:
"En este mundo sobreviven los más fuertes.
Nuestra vida es sólo una lucha.
El ganador será el más inteligente,
Que tiene la cabeza sobre los hombros".
La última publicación de Putinkrab se produjo el 23 de agosto de 2019. El Departamento de Justicia dice que el programa de afiliados del ransomware LockBit se lanzó oficialmente cinco meses después. A partir de ahí, dice el gobierno, Khoroshev adoptó la personalidad de LockBitSupp. En su publicación introductoria sobre Exploit, el cerebro de LockBit dijo que la cepa de ransomware había estado en desarrollo desde septiembre de 2019.
El malware LockBit original fue escrito en C (un lenguaje en el que sobresalía NeroWolfe). Aquí está la descripción original de LockBit, de su fabricante:
"El software está escrito en C y Assembler; el cifrado se realiza a través del puerto de finalización de E/S; hay un puerto que escanea redes locales y una opción para encontrar todos los recursos compartidos de red DFS, SMB, WebDAV, un panel de administración en Tor, descifrado de prueba automático; se proporciona una herramienta de descifrado; hay un chat con notificaciones Push, un bot Jabber que reenvía correspondencia y una opción para finalizar servicios/procesos en línea que impiden que el ransomware abra archivos en un momento determinado. El ransomware establece permisos de archivos y elimina atributos de bloqueo, elimina instantáneas, borra registros y monta particiones ocultas; hay una opción para arrastrar y soltar archivos/carpetas y un modo de consola/oculto. El ransomware cifra los archivos por partes en varios lugares: cuanto mayor es el tamaño del archivo, más partes hay. Los algoritmos utilizados son AES + RSA.
Usted es quien determina el monto del rescate después de comunicarse con la víctima. El rescate pagado en cualquier moneda que le convenga se transferirá a sus billeteras. El bot Jabber sirve como panel de administración y se utiliza para prohibir, proporcionar herramientas de descifrado y chatear; Jabber se utiliza para absolutamente todo".
Conclusión
¿La línea de tiempo anterior prueba que NeroWolfe/Khoroshev es LockBitSupp? No. Sin embargo, sí indica que Khoroshev estuvo durante muchos años profundamente involucrado en innumerables esquemas que involucraban botnets, datos robados y malware que él mismo escribió y que otros utilizaron con gran efecto. Los numerosos mensajes privados de NeroWolfe procedentes de otros miembros del foro lo confirman.
La especialidad de NeroWolfe era crear código personalizado que empleaba novedosas técnicas de sigilo y evasión, y siempre ofrecía sus servicios como voluntario en los foros cada vez que alguien buscaba ayuda en un proyecto de malware que requería un programador sólido en C o C++.
Alguien con esas calificaciones, además de un dominio demostrado de las técnicas de cifrado y descifrado de datos, habría tenido una gran demanda por parte de la industria del ransomware como servicio que despegó aproximadamente al mismo tiempo que NeroWolfe desapareció de los foros.
Alguien así, que está cerca o en la cima de su juego frente a sus pares, no se aleja simplemente de ese nivel de influencia, estatus comunitario y flujo potencial de ingresos a menos que se vea obligado a hacerlo por circunstancias más allá de su control inmediato.
Es importante señalar que Putinkrab no surgió de la nada en 2019, sino que de repente se le dotó de conocimientos sobre cómo escribir variedades de ransomware avanzadas y sigilosas. Ese conocimiento claramente provino de alguien que ya tenía años de experiencia en la creación e implementación de variedades de ransomware contra organizaciones víctimas de la vida real.
Por lo tanto, quienquiera que fuera Putinkrab antes de adoptar ese apodo, es seguro que estuvo involucrado en el desarrollo y uso de cepas de ransomware anteriores y de gran éxito. Un posible candidato fuerte es el ransomware Cerber, el programa de afiliados más popular y eficaz que funcionó entre principios de 2016 y mediados de 2017. Cerber prosperó porque surgió como uno de los primeros en el mercado de ofertas de ransomware como servicio.
En febrero de 2024, el FBI se apoderó de la infraestructura de cibercrimen de LockBit en la dark web, tras una aparentemente prolongada infiltración en las operaciones del grupo. Estados Unidos ya ha acusado y sancionado al menos a otros cinco presuntos cabecillas o afiliados de LockBit, por lo que presumiblemente los federales han podido obtener recursos adicionales de esas investigaciones.
Además, parece probable que las tres agencias de inteligencia nacionales involucradas en presentar estos cargos no estén mostrando todas sus cartas. Por ejemplo, los documentos del Tesoro sobre Khoroshev mencionan una única dirección de criptomoneda y, sin embargo, los expertos entrevistados para este artículo dicen que no hay pistas obvias que conecten esta dirección con Khoroshev o Putinkrab.
Pero dado que LockBitSupp ha estado involucrado activamente en ataques de ransomware Lockbit contra organizaciones durante cuatro años, es casi seguro que el gobierno tenga una lista extensa de las diversas direcciones de criptomonedas del líder de LockBit, y probablemente incluso de sus cuentas bancarias en Rusia. Y sin duda, el rastro del dinero de algunas de esas transacciones era rastreable hasta su beneficiario final (o lo suficientemente cercano).
No mucho después de que Khoroshev fuera acusado como líder de LockBit, varias cuentas de inteligencia de código abierto en Telegram comenzaron a ampliar la información publicada por el Departamento del Tesoro. En cuestión de horas, estos detectives habían desenterrado más de una docena de cuentas de tarjetas de crédito utilizadas por Khoroshev durante la última década, así como sus diversos números de cuentas bancarias en Rusia.
El punto es que esta publicación se basa en datos disponibles y verificables por KrebsOnSecurity. La fuente de Woodward & Bernstein en la investigación de Watergate, Garganta Profunda, dijo a los dos periodistas que "siguieran el dinero". Este es siempre un excelente consejo. Pero hoy en día, puede ser mucho más fácil decirlo que hacerlo, especialmente con personas que no desean ser encontradas y no presentan exactamente informes anuales.
Fuente:
KrebsOnSecurity
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
La semana pasada, Estados Unidos se unió al Reino Unido y Australia para sancionar y acusar a un hombre ruso llamado Dmitry Yuryevich Khoroshev como líder del infame grupo de ransomware LockBit.
El líder de LockBit, "LockBitSupp", afirma que los federales nombraron al tipo equivocado, diciendo que los cargos no explican cómo lo conectaron con Khoroshev. Esta publicación examina las actividades de los numerosos alter egos de Khoroshev en los foros sobre delitos cibernéticos y rastrea la carrera de un talentoso autor de malware que ha escrito y vendido códigos maliciosos durante los últimos 14 años.
El 7 de mayo, el Departamento de Justicia de Estados Unidos acusó a Khoroshev de 26 cargos penales, entre ellos extorsión, fraude electrónico y conspiración. El gobierno alega que Khoroshev creó, vendió y utilizó la variedad de ransomware LockBit para extorsionar personalmente más de 100 millones de dólares a cientos de organizaciones víctimas, y que LockBit como grupo extorsionó aproximadamente 500 millones de dólares durante cuatro años.
Los investigadores federales dicen que Khoroshev ejecutó LockBit como una operación de "ransomware como servicio", en la que se quedaba con el 20 por ciento de cualquier monto de rescate pagado por una organización víctima infectada con su código, y el 80 por ciento restante del pago iba a los afiliados de LockBit. responsable de la propagación del malware.
Las sanciones financieras impuestas contra Khoroshev por el Departamento del Tesoro de Estados Unidos incluían su correo electrónico y dirección postal conocidos (en Voronezh, en el suroeste de Rusia), su número de pasaporte e incluso su número de identificación fiscal. La presentación del Tesoro dice que Khoroshev usó los correos electrónicos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.
Según No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, la dirección No tienes permitido ver los links. Registrarse o Entrar a mi cuenta se utilizó para registrar al menos seis dominios, incluida una empresa rusa registrada a nombre de Khoroshev llamada No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que es un blog sobre ropa y telas.
Una búsqueda en el servicio de seguimiento de infracciones Constella Intelligence en el número de teléfono que figura en los registros de Tkaner (7.9521020220) arroja múltiples documentos oficiales del gobierno ruso que enumeran al propietario del número como Dmitri Yurievich Khoroshev.
Otro dominio registrado en ese número de teléfono fue stairwell[.]ru, que en un momento anunciaba la venta de escaleras de madera. Constella descubre que las direcciones de correo electrónico No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta utilizaron la contraseña 225948.
DomainTools informa que No tienes permitido ver los links. Registrarse o Entrar a mi cuenta durante varios años incluyó el nombre del registrante como "Dmitrij Ju Horoshev" y la dirección de correo electrónico No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Según Constella, esta dirección de correo electrónico se utilizó en 2010 para registrar una cuenta de Dmitry Yurievich Khoroshev de Voronezh, Rusia, en el proveedor de hosting No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.
La firma de inteligencia cibernética Intel 471 descubre que No tienes permitido ver los links. Registrarse o Entrar a mi cuenta fue utilizado por un miembro de habla rusa llamado Pin en el foro de cibercrimen en inglés Opensc. Pin estuvo activo en Opensc alrededor de marzo de 2012 y fue autor de 13 publicaciones que en su mayoría se referían a problemas de cifrado de datos o cómo corregir errores en el código.
Otras publicaciones se referían al código personalizado que Pin afirmó haber escrito y que evitaría las protecciones de memoria en los sistemas Windows XP y Windows 7, e inyectaría malware en el espacio de memoria normalmente asignado a aplicaciones confiables en una máquina con Windows.
Pin también estuvo activo al mismo tiempo en el foro de seguridad en ruso Antichat, donde le dijeron a otros miembros del foro que se comunicaran con ellos al número de mensajería instantánea ICQ 669316.
NeroWolfe
Una búsqueda del número ICQ 669316 en Intel 471 muestra que, en abril de 2011, un usuario llamado NeroWolfe se unió al foro ruso sobre cibercrimen Zloy utilizando la dirección de correo electrónico No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y desde una dirección de Internet en Voronezh, RU.
Constella descubre que la misma contraseña vinculada a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (225948) fue utilizada por la dirección de correo electrónico No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que según Intel 471 estaba registrada en más de una docena de cuentas de NeroWolfe en otros tantos foros rusos sobre delitos cibernéticos entre 2011 y 2015.
La publicación introductoria de NeroWolfe en el foro Verified en octubre de 2011 decía que era administrador de sistemas y codificador de C++.
"Instalar SpyEYE, ZeuS, cualquier panel de administración de DDoS y spam", escribió NeroWolfe. Este usuario dijo que se especializa en desarrollar malware, crear gusanos informáticos y crear nuevas formas de secuestrar navegadores web.
"Puedo proporcionar mi portafolio si lo solicita", escribió NeroWolfe. "PD. No modifico el código de otra persona ni trabajo con los marcos de otra persona".
En abril de 2013, NeroWolfe escribió en un mensaje privado a otro usuario del foro Verified que estaba vendiendo un programa "cargador" de malware que podía eludir todas las protecciones de seguridad en Windows XP y Windows 7.
"El acceso a la red está ligeramente restringido", dijo NeroWolfe sobre el cargador, que estaba vendiendo por 5.000 dólares. "No lograrás vincular un puerto. Sin embargo, es muy posible enviar datos. El código está escrito en C."
En una discusión de octubre de 2013 en el foro sobre cibercrimen Exploit, NeroWolfe intervino sobre las ramificaciones kármicas del ransomware. En ese momento, el ransomware como servicio aún no existía, y muchos miembros de Exploit todavía estaban ganando mucho dinero con los "casilleros", programas relativamente toscos que bloqueaban al usuario fuera de su sistema hasta que aceptaban pagar (normalmente unos cientos de dólares mediante tarjetas prepagas Green Dot).
Los foros de ciberdelincuencia de habla rusa generalmente consideraban que los casilleros, que presagiaban el próximo flagelo del ransomware, eran oportunidades inofensivas para ganar dinero, porque generalmente no buscaban dañar la computadora host ni poner en peligro los archivos del sistema. Además, todavía había muchos programas de casilleros que los aspirantes a ciberdelincuentes podían comprar o alquilar para obtener un ingreso estable.
NeroWolfe recordó a los habitantes del foro que eran tan vulnerables a los ataques de ransomware como sus posibles víctimas.
"Chicos, ¿tienen conciencia?", escribió NeroWolfe. "Está bien, taquillas, red gopstop, también conocida como negocio en ruso. Lo último siempre era exprimido de los tontos. Pero nadie está protegido de los codificadores, ni siquiera la audiencia local".
Si a Khoroshev alguna vez le preocupó que alguien fuera de Rusia pudiera conectar sus primeros identificadores de hacker con su personaje de la vida real, eso no queda claro al revisar su historia en línea. De hecho, la misma dirección de correo electrónico vinculada a muchas de las cuentas de NeroWolfe en los foros ([email protected]) se utilizó en 2011 para crear una cuenta para Dmitry Yurevich Khoroshev en la red social rusa Vkontakte.
NeroWolfe parece haber abandonado todas sus cuentas del foro en algún momento de 2016. En noviembre de 2016, un miembro de exploit[.]ru presentó una queja oficial contra NeroWolfe, diciendo que a NeroWolfe le habían pagado 2.000 dólares para producir código personalizado, pero nunca terminó el proyecto y desapareció.
No está claro qué pasó con NeroWolfe o Khoroshev durante este tiempo. Quizás lo arrestaron, o lo hicieron algunos de sus colaboradores más cercanos. Quizás simplemente decidió que era hora de pasar desapercibido y reiniciar sus esfuerzos de seguridad operativa, dados sus fracasos pasados en este sentido. También es posible que NeroWolfe consiguiera un trabajo real en algún lugar durante unos años, tuviera un hijo y/o tuviera que suspender su carrera en el cibercrimen.
Putinkrab
O tal vez Khoroshev vio la próxima industria del ransomware como la interminable olla de oro en la que estaba a punto de convertirse, y luego se dedicó a trabajar en código de ransomware personalizado. Eso es lo que cree el gobierno.
La acusación contra Khoroshev dice que usó el apodo de hacker Putinkrab, e Intel 471 dice que esto corresponde a un nombre de usuario que se registró por primera vez en tres importantes foros rusos sobre cibercrimen a principios de 2019.
KrebsOnSecurity no pudo encontrar conexiones obvias entre Putinkrab y cualquiera de las identidades más antiguas de Khoroshev. Sin embargo, si Putinkrab fuera Khoroshev, habría aprendido de sus errores pasados y habría comenzado de nuevo con una nueva identidad (lo cual hizo). Pero también es probable que el gobierno no haya compartido toda la información de inteligencia que ha recopilado contra él (más sobre esto en un momento).
Las primeras publicaciones de Putinkrab en los foros rusos sobre cibercrimen XSS, Exploit y UFOLabs vieron a este usuario vendiendo código fuente de ransomware escrito en C.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En abril de 2019, Putkinkrab ofreció un programa de afiliados que se ejecutaría sobre su código de ransomware personalizado.
"Quiero trabajar por una parte de los rescates: 20/80", escribió Putinkrab en Exploit. "El 20 por ciento es mi porcentaje por el trabajo, tú obtienes el 80 por ciento del rescate. El porcentaje se puede reducir hasta 10/90 si los volúmenes son buenos. Pero ahora, temporalmente, hasta que el servicio esté completamente automatizado, estamos trabajando usando un algoritmo diferente".
A lo largo del verano de 2019, Putinkrab publicó múltiples actualizaciones en Exploit sobre nuevas funciones agregadas a su variedad de ransomware, así como novedosas técnicas de evasión para evitar la detección por parte de herramientas de seguridad. También les dijo a los miembros del foro que estaba buscando inversores para un nuevo proyecto de ransomware basado en su código.
En respuesta a un miembro de Exploit que se quejó de que la industria de la seguridad estaba dificultando la obtención de beneficios con el ransomware, Putinkrab dijo que eso se debía a que muchos ciberdelincuentes dependían de códigos de ransomware de mala calidad.
"La gran mayoría de los mejores antivirus han adquirido análisis de comportamiento, que bloquean el 95% de los cripto-lockers desde su raíz", escribió Putinkrab. "Los criptolockers hicieron mucho ruido en la prensa, pero los administradores de sistemas perezosos no hacen copias de seguridad después de eso. La gran mayoría de los cryptolockers están escritos por personas que tienen pocos conocimientos de criptografía. Por lo tanto, aparecen en Internet descifradores y, con ellos, la esperanza de poder descifrar archivos sin pagar un rescate. Simplemente se sientan y esperan. El contacto con el propietario de la llave se pierde con el tiempo".
Putinkrab dijo que tenía plena confianza en que su código ransomware cambiaría las reglas del juego y sería una enorme máquina de hacer dinero.
"El juego está ganando impulso", escribió Putinkrab. "Los jugadores débiles pierden y son eliminados".
El resto de su respuesta estuvo estructurado como un poema:
"En este mundo sobreviven los más fuertes.
Nuestra vida es sólo una lucha.
El ganador será el más inteligente,
Que tiene la cabeza sobre los hombros".
La última publicación de Putinkrab se produjo el 23 de agosto de 2019. El Departamento de Justicia dice que el programa de afiliados del ransomware LockBit se lanzó oficialmente cinco meses después. A partir de ahí, dice el gobierno, Khoroshev adoptó la personalidad de LockBitSupp. En su publicación introductoria sobre Exploit, el cerebro de LockBit dijo que la cepa de ransomware había estado en desarrollo desde septiembre de 2019.
El malware LockBit original fue escrito en C (un lenguaje en el que sobresalía NeroWolfe). Aquí está la descripción original de LockBit, de su fabricante:
"El software está escrito en C y Assembler; el cifrado se realiza a través del puerto de finalización de E/S; hay un puerto que escanea redes locales y una opción para encontrar todos los recursos compartidos de red DFS, SMB, WebDAV, un panel de administración en Tor, descifrado de prueba automático; se proporciona una herramienta de descifrado; hay un chat con notificaciones Push, un bot Jabber que reenvía correspondencia y una opción para finalizar servicios/procesos en línea que impiden que el ransomware abra archivos en un momento determinado. El ransomware establece permisos de archivos y elimina atributos de bloqueo, elimina instantáneas, borra registros y monta particiones ocultas; hay una opción para arrastrar y soltar archivos/carpetas y un modo de consola/oculto. El ransomware cifra los archivos por partes en varios lugares: cuanto mayor es el tamaño del archivo, más partes hay. Los algoritmos utilizados son AES + RSA.
Usted es quien determina el monto del rescate después de comunicarse con la víctima. El rescate pagado en cualquier moneda que le convenga se transferirá a sus billeteras. El bot Jabber sirve como panel de administración y se utiliza para prohibir, proporcionar herramientas de descifrado y chatear; Jabber se utiliza para absolutamente todo".
Conclusión
¿La línea de tiempo anterior prueba que NeroWolfe/Khoroshev es LockBitSupp? No. Sin embargo, sí indica que Khoroshev estuvo durante muchos años profundamente involucrado en innumerables esquemas que involucraban botnets, datos robados y malware que él mismo escribió y que otros utilizaron con gran efecto. Los numerosos mensajes privados de NeroWolfe procedentes de otros miembros del foro lo confirman.
La especialidad de NeroWolfe era crear código personalizado que empleaba novedosas técnicas de sigilo y evasión, y siempre ofrecía sus servicios como voluntario en los foros cada vez que alguien buscaba ayuda en un proyecto de malware que requería un programador sólido en C o C++.
Alguien con esas calificaciones, además de un dominio demostrado de las técnicas de cifrado y descifrado de datos, habría tenido una gran demanda por parte de la industria del ransomware como servicio que despegó aproximadamente al mismo tiempo que NeroWolfe desapareció de los foros.
Alguien así, que está cerca o en la cima de su juego frente a sus pares, no se aleja simplemente de ese nivel de influencia, estatus comunitario y flujo potencial de ingresos a menos que se vea obligado a hacerlo por circunstancias más allá de su control inmediato.
Es importante señalar que Putinkrab no surgió de la nada en 2019, sino que de repente se le dotó de conocimientos sobre cómo escribir variedades de ransomware avanzadas y sigilosas. Ese conocimiento claramente provino de alguien que ya tenía años de experiencia en la creación e implementación de variedades de ransomware contra organizaciones víctimas de la vida real.
Por lo tanto, quienquiera que fuera Putinkrab antes de adoptar ese apodo, es seguro que estuvo involucrado en el desarrollo y uso de cepas de ransomware anteriores y de gran éxito. Un posible candidato fuerte es el ransomware Cerber, el programa de afiliados más popular y eficaz que funcionó entre principios de 2016 y mediados de 2017. Cerber prosperó porque surgió como uno de los primeros en el mercado de ofertas de ransomware como servicio.
En febrero de 2024, el FBI se apoderó de la infraestructura de cibercrimen de LockBit en la dark web, tras una aparentemente prolongada infiltración en las operaciones del grupo. Estados Unidos ya ha acusado y sancionado al menos a otros cinco presuntos cabecillas o afiliados de LockBit, por lo que presumiblemente los federales han podido obtener recursos adicionales de esas investigaciones.
Además, parece probable que las tres agencias de inteligencia nacionales involucradas en presentar estos cargos no estén mostrando todas sus cartas. Por ejemplo, los documentos del Tesoro sobre Khoroshev mencionan una única dirección de criptomoneda y, sin embargo, los expertos entrevistados para este artículo dicen que no hay pistas obvias que conecten esta dirección con Khoroshev o Putinkrab.
Pero dado que LockBitSupp ha estado involucrado activamente en ataques de ransomware Lockbit contra organizaciones durante cuatro años, es casi seguro que el gobierno tenga una lista extensa de las diversas direcciones de criptomonedas del líder de LockBit, y probablemente incluso de sus cuentas bancarias en Rusia. Y sin duda, el rastro del dinero de algunas de esas transacciones era rastreable hasta su beneficiario final (o lo suficientemente cercano).
No mucho después de que Khoroshev fuera acusado como líder de LockBit, varias cuentas de inteligencia de código abierto en Telegram comenzaron a ampliar la información publicada por el Departamento del Tesoro. En cuestión de horas, estos detectives habían desenterrado más de una docena de cuentas de tarjetas de crédito utilizadas por Khoroshev durante la última década, así como sus diversos números de cuentas bancarias en Rusia.
El punto es que esta publicación se basa en datos disponibles y verificables por KrebsOnSecurity. La fuente de Woodward & Bernstein en la investigación de Watergate, Garganta Profunda, dijo a los dos periodistas que "siguieran el dinero". Este es siempre un excelente consejo. Pero hoy en día, puede ser mucho más fácil decirlo que hacerlo, especialmente con personas que no desean ser encontradas y no presentan exactamente informes anuales.
Fuente:
KrebsOnSecurity
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#5
Noticias Informáticas / Nueva vulnerabilidad Wi-Fi per...
Último mensaje por AXCESS - Hoy a las 01:41:48 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Los investigadores han descubierto una nueva vulnerabilidad de seguridad derivada de una falla de diseño en el estándar Wi-Fi IEEE 802.11 que engaña a las víctimas para que se conecten a una red inalámbrica menos segura y espíen su tráfico de red.
El ataque SSID Confusion, rastreado como CVE-2023-52424, afecta a todos los sistemas operativos y clientes Wi-Fi, incluidas las redes domésticas y mesh basadas en los protocolos WEP, WPA3, 802.11X/EAP y AMPE.
El método "implica degradar a las víctimas a una red menos segura falsificando un nombre de red confiable (SSID) para que puedan interceptar su tráfico o llevar a cabo más ataques", dijo Top10VPN, que colaboró con el profesor e investigador de KU Leuven Mathy Vanhoef.
"Un ataque exitoso de confusión de SSID también hace que cualquier VPN con la funcionalidad de deshabilitarse automáticamente en redes confiables se apague sola, dejando expuesto el tráfico de la víctima".
El problema que subyace al ataque es el hecho de que el estándar Wi-Fi no requiere que el nombre de la red (SSID o el identificador del conjunto de servicios) esté siempre autenticado y que las medidas de seguridad sólo se requieren cuando un dispositivo opta por unirse a una red en particular.
El efecto neto de este comportamiento es que un atacante podría engañar a un cliente para que se conecte a una red Wi-Fi que no es de confianza distinta a aquella a la que pretendía conectarse mediante un ataque de adversario en el medio (AitM).
"En nuestro ataque, cuando la víctima quiere conectarse a la red TrustedNet, lo engañamos para que se conecte a una red diferente, WrongNet, que utiliza credenciales similares", describieron los investigadores Héloïse Gollier y Vanhoef. "Como resultado, el cliente de la víctima pensará y le mostrará al usuario que está conectado a TrustedNet, cuando en realidad está conectado a WrongNet".
En otras palabras, aunque las contraseñas u otras credenciales se verifican mutuamente al conectarse a una red Wi-Fi protegida, no hay garantía de que el usuario se esté conectando a la red que desea.
Existen ciertos requisitos previos para llevar a cabo el ataque de degradación:
La víctima quiere conectarse a una red Wi-Fi confiable
Hay una red fraudulenta disponible con las mismas credenciales de autenticación que la primera
El atacante está dentro del alcance para realizar una AitM entre la víctima y la red de confianza
Las mitigaciones propuestas para contrarrestar la confusión de SSID incluyen una actualización del estándar Wi-Fi 802.11 mediante la incorporación del SSID como parte del protocolo de enlace de 4 vías al conectarse a redes protegidas, así como mejoras en la protección de balizas que permiten que un "cliente almacene una baliza de referencia que contiene el SSID de la red y verificar su autenticidad durante el protocolo de enlace de 4 vías".
Las balizas se refieren a tramas de gestión que un punto de acceso inalámbrico transmite periódicamente para anunciar su presencia. Contiene información como el SSID, intervalo de baliza y las capacidades de la red, entre otros.
"Las redes pueden mitigar el ataque evitando la reutilización de credenciales entre SSID", dijeron los investigadores. "Las redes empresariales deben utilizar nombres comunes de servidores RADIUS distintos, mientras que las redes domésticas deben utilizar una contraseña única por SSID".
Los hallazgos llegan casi tres meses después de que se revelaran dos fallas de omisión de autenticación en software Wi-Fi de código abierto como wpa_supplicant y iNet Wireless Daemon (IWD) de Intel que podrían engañar a los usuarios para que se unan a un clon malicioso de una red legítima o permitir que un atacante se una a una red confiable sin poseer la contraseña.
En agosto pasado, Vanhoef también reveló que se podría engañar al cliente de Windows para Cloudflare WARP para que filtrara todas las solicitudes de DNS, lo que permitiría efectivamente a un adversario falsificar respuestas de DNS e interceptar casi todo el tráfico.
Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los investigadores han descubierto una nueva vulnerabilidad de seguridad derivada de una falla de diseño en el estándar Wi-Fi IEEE 802.11 que engaña a las víctimas para que se conecten a una red inalámbrica menos segura y espíen su tráfico de red.
El ataque SSID Confusion, rastreado como CVE-2023-52424, afecta a todos los sistemas operativos y clientes Wi-Fi, incluidas las redes domésticas y mesh basadas en los protocolos WEP, WPA3, 802.11X/EAP y AMPE.
El método "implica degradar a las víctimas a una red menos segura falsificando un nombre de red confiable (SSID) para que puedan interceptar su tráfico o llevar a cabo más ataques", dijo Top10VPN, que colaboró con el profesor e investigador de KU Leuven Mathy Vanhoef.
"Un ataque exitoso de confusión de SSID también hace que cualquier VPN con la funcionalidad de deshabilitarse automáticamente en redes confiables se apague sola, dejando expuesto el tráfico de la víctima".
El problema que subyace al ataque es el hecho de que el estándar Wi-Fi no requiere que el nombre de la red (SSID o el identificador del conjunto de servicios) esté siempre autenticado y que las medidas de seguridad sólo se requieren cuando un dispositivo opta por unirse a una red en particular.
El efecto neto de este comportamiento es que un atacante podría engañar a un cliente para que se conecte a una red Wi-Fi que no es de confianza distinta a aquella a la que pretendía conectarse mediante un ataque de adversario en el medio (AitM).
"En nuestro ataque, cuando la víctima quiere conectarse a la red TrustedNet, lo engañamos para que se conecte a una red diferente, WrongNet, que utiliza credenciales similares", describieron los investigadores Héloïse Gollier y Vanhoef. "Como resultado, el cliente de la víctima pensará y le mostrará al usuario que está conectado a TrustedNet, cuando en realidad está conectado a WrongNet".
En otras palabras, aunque las contraseñas u otras credenciales se verifican mutuamente al conectarse a una red Wi-Fi protegida, no hay garantía de que el usuario se esté conectando a la red que desea.
Existen ciertos requisitos previos para llevar a cabo el ataque de degradación:
La víctima quiere conectarse a una red Wi-Fi confiable
Hay una red fraudulenta disponible con las mismas credenciales de autenticación que la primera
El atacante está dentro del alcance para realizar una AitM entre la víctima y la red de confianza
Las mitigaciones propuestas para contrarrestar la confusión de SSID incluyen una actualización del estándar Wi-Fi 802.11 mediante la incorporación del SSID como parte del protocolo de enlace de 4 vías al conectarse a redes protegidas, así como mejoras en la protección de balizas que permiten que un "cliente almacene una baliza de referencia que contiene el SSID de la red y verificar su autenticidad durante el protocolo de enlace de 4 vías".
Las balizas se refieren a tramas de gestión que un punto de acceso inalámbrico transmite periódicamente para anunciar su presencia. Contiene información como el SSID, intervalo de baliza y las capacidades de la red, entre otros.
"Las redes pueden mitigar el ataque evitando la reutilización de credenciales entre SSID", dijeron los investigadores. "Las redes empresariales deben utilizar nombres comunes de servidores RADIUS distintos, mientras que las redes domésticas deben utilizar una contraseña única por SSID".
Los hallazgos llegan casi tres meses después de que se revelaran dos fallas de omisión de autenticación en software Wi-Fi de código abierto como wpa_supplicant y iNet Wireless Daemon (IWD) de Intel que podrían engañar a los usuarios para que se unan a un clon malicioso de una red legítima o permitir que un atacante se una a una red confiable sin poseer la contraseña.
En agosto pasado, Vanhoef también reveló que se podría engañar al cliente de Windows para Cloudflare WARP para que filtrara todas las solicitudes de DNS, lo que permitiría efectivamente a un adversario falsificar respuestas de DNS e interceptar casi todo el tráfico.
Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#6
Noticias Informáticas / Más rumores y detalles sobre e...
Último mensaje por AXCESS - Hoy a las 01:19:31 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Con el aparente desmantelamiento por parte del FBI del infame mercado de hackers BreachForums y el presunto arresto de su actual administrador 'Baphomet', los rumores sobre un sitio sustituto ya se están abriendo paso en las redes sociales.
La versión renombrada del mercado de hackers se denominará "BreachNation", según el nombre de usuario USDoD, un ciberdelincuente muy conocido en la formalmente próspera plataforma Breached.
El USDoD hizo el anuncio en su cuenta X apenas 24 horas después de que el FBI publicara un aviso de incautación en la página de inicio del sitio web BreachForums el 15 de mayo.
"BreachNation: una comunidad recién nacida en Horizon", comienza, seguido de un breve poema:
"Damas y caballeros, prepárense para el aterrizaje, abróchense los cinturones de seguridad, gracias por volar con USDoD Airlines, Ah, y a mí, llámenme capitán, DoD, así que juntos nos mantendremos firmes, divididos caeremos, unidos formaremos Breach Nation y nos enfrentaremos a todos. . [sic]", escribió.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Desde la captura del FBI, el autoproclamado "actor de amenazas perpetuas" afirma que ha estado "trabajando incansablemente durante las últimas 24 horas" en el nuevo "proyecto comunitario", que implica la gestión de dos servidores operados de forma independiente.
"Los nuevos dominios serán No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, con una fecha de lanzamiento prevista para el 4 de julio de 2024, coincidiendo con el Día de la Independencia", dijo el USDoD en una extensa publicación explicando el por qué del nuevo sitio.
"Han pasado horas desde la incautación de BreachForums y ya hay nuevos mercados en el horizonte", dijo Kevin Robertson, director de operaciones y cofundador de la firma de ciberseguridad Acumen, con sede en Glasgow.
Desde entonces, el FBI lanzó un sitio web para las víctimas cuyos datos terminaron en el foro de piratas informáticos. Según el FBI, la versión actual de BreachForums incautada funcionó desde junio de 2023 hasta mayo de 2024.
Robertson lo calificó como un juego del gato y el ratón y explicó que "las fuerzas del orden están logrando buenos avances con los derribos, pero si bien existe la capacidad de cambiar la marca bajo nuevas identidades e infraestructura, no hay una interrupción permanente de los actores".
"Cuando los sitios tienen tanto éxito como BreachForums, los atacantes no caerán sin luchar", afirmó.
El transparente USDoD
El USDoD dice que no se trata de ganancias sino de revivir la comunidad y mantener el sistema en funcionamiento.
"No me preocupa quién está a cargo en el Departamento de Justicia o quién es el director del FBI", escribe el USDoD.
El mal actor afirma que "realmente se preocupa, ama el trabajo, ha demostrado su valor y ha llegado a la cima sin el lujo de un presupuesto ilimitado".
"Tengo un plan", continuó el actor de amenazas.
Publicado en el perfil X del USDoD-TA hay otro escrito extenso, esta vez una biografía personal, que enumera no solo las conquistas de los hackers, sino también datos triviales personales y un confesionario motivacional.
"Sus motivaciones entrelazan venganzas personales con un amor por los desafíos", dice.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
"El perfil de biografía", también identifica al USDoD como un hombre de 30 años de ascendencia sudamericana, que actualmente vive en Madrid, España.
La biografía revela además que la metodología de piratería del USDoD tiende a favorecer la ingeniería social, y a menudo obtiene acceso a víctimas de alto perfil al hacerse pasar por figuras clave.
El hackeo del USDoD que se hizo famoso figura como el "Portal de inteligencia de infraestructura crítica de EE. UU. InfraGard del FBI".
¿Baphomet arrestado?
Mientras tanto, aún no se sabe si Baphomet, quien asumió como actual administrador del mercado después del arresto en marzo de 2023 del fundador de BreachForums, Pompompurin, está realmente bajo custodia de los federales.
"Si bien Baphomet, el último operador de BreachForums, ha sido arrestado, hay muchos otros que quieren tomar las riendas y desarrollar su propio mercado para poder seguir sirviendo a los usuarios", dijo Robeston.
Pero no todo el mundo está convencido de que el llamado arresto de Baphomet sea legítimo, ya que no ha habido declaraciones oficiales por parte de las autoridades, como suele ocurrir en una gran redada.
"Baph sigue siendo un rumor incierto, así que estad atentos", comentó un usuario de X en un hilo cuestionando el arresto.
Otro señaló que "sólo hay dos razones para la falta de informe: o baph es menor de edad o trabaja activamente con los federales".
Además, en enero, Pompompurin de BreachForums, también conocido como Conor Brian Fitzpatrick, de 21 años y originario de Nueva York, fue sentenciado a 20 años de libertad supervisada (es decir, cero tiempo en prisión), lo que muchos en la comunidad de hackers consideran una palmada en el hombro.
La leve sentencia también desató rumores de que Fitzpatrick había llegado a un acuerdo para ayudar al FBI con el funcionamiento interno del mercado de hackers, lo que seguramente dejó a muchos expertos preguntándose si el último derribo podría atribuirse al ex comandante de BreachForums.
Fitzpatrick había estado administrando el ahora desaparecido sitio BreachForums durante casi un año (como reemplazo de Raidforums) antes de que Baphomet, el segundo al mando de PomPompurin, lo cerrara tras el arresto por temor a que el FBI tuviera acceso al sitio.
Finalmente, 'Baph', junto con la famosa banda de hackers Shiny Hunters, relanzaron el sitio BreachForums en junio del año pasado.
¿Shiny Hunters llegó para quedarse?
"El actor de amenazas USDoD ya ha anunciado Breach Nation, cuyo lanzamiento está previsto para el 4 de julio, mientras que también hay indicios de que ShinyHunters tiene algo en proceso", señaló Robertson.
Al anunciar el arresto de Baphomet en Telegram, después de recuperar el control sobre el dominio el 16 de mayo, Shiney Hunters publicó un mensaje firmado por PGP indicando que el arresto condujo a "la incautación de prácticamente toda nuestra infraestructura por parte del FBI".
"En este momento, el futuro de nuestro foro sigue siendo incierto", afirmó el grupo. "Le mantendremos informado."
El USDoD reconoció al grupo en su anuncio de Breach Nation el jueves: "Hay otros, como Shinyhunters y su equipo, que planean crear su propio foro. Sin embargo, les insto a que consideren el desempeño anterior de Shinyhunters en BF V2 antes de tomar una decisión".
Shiny Hunters es conocido por llevar a cabo múltiples violaciones de datos de alto perfil que cuestan a sus víctimas decenas de millones de dólares, incluidos Microsoft, Mashable y Pluto TV.
En la primavera de 2022, los misteriosos actores de amenazas violaron con éxito AT&T y T-Mobile con unos días de diferencia, extrayendo los datos personales de un total de 110 millones de usuarios.
El hackeo de AT&T sigue causando problemas al proveedor de servicios inalámbricos hasta el día de hoy, con una base de datos de clientes confirmada con información confidencial que todavía flota en la dark web en marzo.
Aun así, cuando se trata del nuevo sitio "BreachNation", el experto en ciberseguridad Robertson cree que lo más probable es que la empresa tenga una "vida útil limitada".
"Pero también podemos estar seguros de que los operadores y actores que utilizan el sitio seguirán resurgiendo bajo nuevas formas, causando el mismo caos en el mundo en línea", dijo Robertson.
Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Con el aparente desmantelamiento por parte del FBI del infame mercado de hackers BreachForums y el presunto arresto de su actual administrador 'Baphomet', los rumores sobre un sitio sustituto ya se están abriendo paso en las redes sociales.
La versión renombrada del mercado de hackers se denominará "BreachNation", según el nombre de usuario USDoD, un ciberdelincuente muy conocido en la formalmente próspera plataforma Breached.
El USDoD hizo el anuncio en su cuenta X apenas 24 horas después de que el FBI publicara un aviso de incautación en la página de inicio del sitio web BreachForums el 15 de mayo.
"BreachNation: una comunidad recién nacida en Horizon", comienza, seguido de un breve poema:
"Damas y caballeros, prepárense para el aterrizaje, abróchense los cinturones de seguridad, gracias por volar con USDoD Airlines, Ah, y a mí, llámenme capitán, DoD, así que juntos nos mantendremos firmes, divididos caeremos, unidos formaremos Breach Nation y nos enfrentaremos a todos. . [sic]", escribió.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Desde la captura del FBI, el autoproclamado "actor de amenazas perpetuas" afirma que ha estado "trabajando incansablemente durante las últimas 24 horas" en el nuevo "proyecto comunitario", que implica la gestión de dos servidores operados de forma independiente.
"Los nuevos dominios serán No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, con una fecha de lanzamiento prevista para el 4 de julio de 2024, coincidiendo con el Día de la Independencia", dijo el USDoD en una extensa publicación explicando el por qué del nuevo sitio.
"Han pasado horas desde la incautación de BreachForums y ya hay nuevos mercados en el horizonte", dijo Kevin Robertson, director de operaciones y cofundador de la firma de ciberseguridad Acumen, con sede en Glasgow.
Desde entonces, el FBI lanzó un sitio web para las víctimas cuyos datos terminaron en el foro de piratas informáticos. Según el FBI, la versión actual de BreachForums incautada funcionó desde junio de 2023 hasta mayo de 2024.
Robertson lo calificó como un juego del gato y el ratón y explicó que "las fuerzas del orden están logrando buenos avances con los derribos, pero si bien existe la capacidad de cambiar la marca bajo nuevas identidades e infraestructura, no hay una interrupción permanente de los actores".
"Cuando los sitios tienen tanto éxito como BreachForums, los atacantes no caerán sin luchar", afirmó.
El transparente USDoD
El USDoD dice que no se trata de ganancias sino de revivir la comunidad y mantener el sistema en funcionamiento.
"No me preocupa quién está a cargo en el Departamento de Justicia o quién es el director del FBI", escribe el USDoD.
El mal actor afirma que "realmente se preocupa, ama el trabajo, ha demostrado su valor y ha llegado a la cima sin el lujo de un presupuesto ilimitado".
"Tengo un plan", continuó el actor de amenazas.
Publicado en el perfil X del USDoD-TA hay otro escrito extenso, esta vez una biografía personal, que enumera no solo las conquistas de los hackers, sino también datos triviales personales y un confesionario motivacional.
"Sus motivaciones entrelazan venganzas personales con un amor por los desafíos", dice.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
"El perfil de biografía", también identifica al USDoD como un hombre de 30 años de ascendencia sudamericana, que actualmente vive en Madrid, España.
La biografía revela además que la metodología de piratería del USDoD tiende a favorecer la ingeniería social, y a menudo obtiene acceso a víctimas de alto perfil al hacerse pasar por figuras clave.
El hackeo del USDoD que se hizo famoso figura como el "Portal de inteligencia de infraestructura crítica de EE. UU. InfraGard del FBI".
¿Baphomet arrestado?
Mientras tanto, aún no se sabe si Baphomet, quien asumió como actual administrador del mercado después del arresto en marzo de 2023 del fundador de BreachForums, Pompompurin, está realmente bajo custodia de los federales.
"Si bien Baphomet, el último operador de BreachForums, ha sido arrestado, hay muchos otros que quieren tomar las riendas y desarrollar su propio mercado para poder seguir sirviendo a los usuarios", dijo Robeston.
Pero no todo el mundo está convencido de que el llamado arresto de Baphomet sea legítimo, ya que no ha habido declaraciones oficiales por parte de las autoridades, como suele ocurrir en una gran redada.
"Baph sigue siendo un rumor incierto, así que estad atentos", comentó un usuario de X en un hilo cuestionando el arresto.
Otro señaló que "sólo hay dos razones para la falta de informe: o baph es menor de edad o trabaja activamente con los federales".
Además, en enero, Pompompurin de BreachForums, también conocido como Conor Brian Fitzpatrick, de 21 años y originario de Nueva York, fue sentenciado a 20 años de libertad supervisada (es decir, cero tiempo en prisión), lo que muchos en la comunidad de hackers consideran una palmada en el hombro.
La leve sentencia también desató rumores de que Fitzpatrick había llegado a un acuerdo para ayudar al FBI con el funcionamiento interno del mercado de hackers, lo que seguramente dejó a muchos expertos preguntándose si el último derribo podría atribuirse al ex comandante de BreachForums.
Fitzpatrick había estado administrando el ahora desaparecido sitio BreachForums durante casi un año (como reemplazo de Raidforums) antes de que Baphomet, el segundo al mando de PomPompurin, lo cerrara tras el arresto por temor a que el FBI tuviera acceso al sitio.
Finalmente, 'Baph', junto con la famosa banda de hackers Shiny Hunters, relanzaron el sitio BreachForums en junio del año pasado.
¿Shiny Hunters llegó para quedarse?
"El actor de amenazas USDoD ya ha anunciado Breach Nation, cuyo lanzamiento está previsto para el 4 de julio, mientras que también hay indicios de que ShinyHunters tiene algo en proceso", señaló Robertson.
Al anunciar el arresto de Baphomet en Telegram, después de recuperar el control sobre el dominio el 16 de mayo, Shiney Hunters publicó un mensaje firmado por PGP indicando que el arresto condujo a "la incautación de prácticamente toda nuestra infraestructura por parte del FBI".
"En este momento, el futuro de nuestro foro sigue siendo incierto", afirmó el grupo. "Le mantendremos informado."
El USDoD reconoció al grupo en su anuncio de Breach Nation el jueves: "Hay otros, como Shinyhunters y su equipo, que planean crear su propio foro. Sin embargo, les insto a que consideren el desempeño anterior de Shinyhunters en BF V2 antes de tomar una decisión".
Shiny Hunters es conocido por llevar a cabo múltiples violaciones de datos de alto perfil que cuestan a sus víctimas decenas de millones de dólares, incluidos Microsoft, Mashable y Pluto TV.
En la primavera de 2022, los misteriosos actores de amenazas violaron con éxito AT&T y T-Mobile con unos días de diferencia, extrayendo los datos personales de un total de 110 millones de usuarios.
El hackeo de AT&T sigue causando problemas al proveedor de servicios inalámbricos hasta el día de hoy, con una base de datos de clientes confirmada con información confidencial que todavía flota en la dark web en marzo.
Aun así, cuando se trata del nuevo sitio "BreachNation", el experto en ciberseguridad Robertson cree que lo más probable es que la empresa tenga una "vida útil limitada".
"Pero también podemos estar seguros de que los operadores y actores que utilizan el sitio seguirán resurgiendo bajo nuevas formas, causando el mismo caos en el mundo en línea", dijo Robertson.
Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#7
Noticias Informáticas / Netflix arrasa con su plan gra...
Último mensaje por AXCESS - Hoy a las 01:14:37 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
El plan con anuncios de Netflix ha sido todo un acierto para la compañía estadounidense, tal y como indican sus últimos resultados. Desde su lanzamiento en 2022 este plan ha ido acumulando una cantidad de suscriptores cada vez mayor, y a día de hoy ya son más de 40 millones de personas en todo el mundo las que lo utilizan para ver sus contenidos favoritos en streaming.
Que ese plan con anuncios cuente con más de 40 millones de usuarios activos al mes es un dato que deja claro que, al final, los anuncios no nos importan tanto si estos nos permiten pagar menos dinero. Hay que tener en cuenta también que algunos contenidos no están disponibles en este plan, pero esto tampoco parece haber sido un obstáculo para que dicho plan arrase.
Según los datos de Netflix un 40% de las nuevas altas de usuarios prefieren el plan con anuncios. Creo que las mejoras que la compañía introdujo hace cosa de un año han tenido un efecto muy positivo en este sentido, ya que hizo que el plan con anuncios pasara a ofrecer resolución 1080p y que permitiera la reproducción simultánea hasta en dos dispositivos diferentes.
La diferencia es sustancial, ya que el plan sin anuncios cuesta más del doble que el plan con anuncios, y no ofrece ninguna mejora ni de resolución y de cantidad de dispositivos soportados de forma simultánea.
Con eso en mente, es fácil entender que al final ese plan con anuncios haya tenido tanto éxito, porque con lo que el usuario se ahorra puede acceder a otro servicio de streaming, por poner un ejemplo.
Los usuarios de Netflix son también los que más horas de contenido consumen, y en este sentido destaca un dato importante con respecto a los usuarios del plan con anuncios: un 70% de estos consumen más de 10 horas de contenidos al mes, una cifra que supone una diferencia de más del 15% frente a su rival directo, según la presidenta de publicidad la compañía.
Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El plan con anuncios de Netflix ha sido todo un acierto para la compañía estadounidense, tal y como indican sus últimos resultados. Desde su lanzamiento en 2022 este plan ha ido acumulando una cantidad de suscriptores cada vez mayor, y a día de hoy ya son más de 40 millones de personas en todo el mundo las que lo utilizan para ver sus contenidos favoritos en streaming.
Que ese plan con anuncios cuente con más de 40 millones de usuarios activos al mes es un dato que deja claro que, al final, los anuncios no nos importan tanto si estos nos permiten pagar menos dinero. Hay que tener en cuenta también que algunos contenidos no están disponibles en este plan, pero esto tampoco parece haber sido un obstáculo para que dicho plan arrase.
Según los datos de Netflix un 40% de las nuevas altas de usuarios prefieren el plan con anuncios. Creo que las mejoras que la compañía introdujo hace cosa de un año han tenido un efecto muy positivo en este sentido, ya que hizo que el plan con anuncios pasara a ofrecer resolución 1080p y que permitiera la reproducción simultánea hasta en dos dispositivos diferentes.
La diferencia es sustancial, ya que el plan sin anuncios cuesta más del doble que el plan con anuncios, y no ofrece ninguna mejora ni de resolución y de cantidad de dispositivos soportados de forma simultánea.
Con eso en mente, es fácil entender que al final ese plan con anuncios haya tenido tanto éxito, porque con lo que el usuario se ahorra puede acceder a otro servicio de streaming, por poner un ejemplo.
Los usuarios de Netflix son también los que más horas de contenido consumen, y en este sentido destaca un dato importante con respecto a los usuarios del plan con anuncios: un 70% de estos consumen más de 10 horas de contenidos al mes, una cifra que supone una diferencia de más del 15% frente a su rival directo, según la presidenta de publicidad la compañía.
Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#8
Noticias Informáticas / BreachForums Admin ShinyHunter...
Último mensaje por AXCESS - Mayo 18, 2024, 11:29:54 PMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
BreachForums, el notorio centro de cibercrimen, podría volver a estar en línea con el mismo dominio incluso después de la incautación del FBI. Los piratas informáticos afirman haber recuperado el acceso al dominio en la web normal, mientras que la versión de la dark web sigue en un tira y afloja. Un buen novelón que nos hará introducir los pies en agua fría para bajarnos la presión.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En una conversación exclusiva con No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, ShinyHunters reveló que uno de los administradores de BreachForums, que operaba bajo el alias Baphomet, había sido detenido por las fuerzas del orden. En consecuencia, las autoridades obtuvieron acceso a las credenciales de inicio de sesión para toda la infraestructura de BreachForums, incluido el backend.
Sin embargo, el viernes, ShinyHunters se puso en contacto con el registrador de dominios de BreachForums y recuperó el acceso con éxito. Por lo tanto, al momento de escribir este artículo, se eliminó el aviso de incautación del dominio de red transparente de Breach Forums y se reemplazó con un mensaje de "Sitio no disponible temporalmente". Además, se proporcionó un enlace a un chat grupal de Telegram operado por ShinyHunters y otros moderadores del foro.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Un breve resumen:
Las afirmaciones de ShinyHunters surgieron apenas un día después del informe de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta sobre la incautación por parte del FBI de BreachForums, una plataforma conocida por el cibercrimen, la piratería informática, las violaciones de datos y las filtraciones.
Si bien circuló ampliamente, no ha habido confirmación oficial de la operación por parte de las fuerzas del orden. El 15 de mayo de 2024, todos los dominios asociados con BreachForums fueron desfigurados con un aviso de incautación por parte del FBI.
El aviso en estos sitios reveló la participación de la Oficina Federal de Investigaciones (FBI), el Departamento de Justicia (DoJ) y socios internacionales de Nueva Zelanda, Australia, el Reino Unido, Suiza, Ucrania e Islandia.
BreachForums desaparece, nuevos foros se preparan para emerger
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Según el USDoD, el nuevo foro se llamará BreachNation en lugar de BreachForums. Esto refleja el patrón observado con la eliminación de RaidForums y la posterior aparición de BreachForums. Sin embargo, vale la pena señalar que esta trayectoria no terminó bien para el administrador PomPomPurin, quien fue arrestado en Nueva York y recibió una sentencia supervisada de 20 años.
Al comentar sobre esto, Omri Weinberg, cofundador y CRO de DoControl, un proveedor de seguridad SaaS automatizado con sede en la ciudad de Nueva York, dijo: "A pesar de la exitosa incautación de BreachForums por parte del FBI, su rápida reaparición no es una sorpresa, ya que ha resurgido antes de reflejar el desafío continuo que enfrenta la aplicación de la ley en la era digital".
"Si bien las fuerzas del orden pueden interrumpir temporalmente estas actividades ilícitas, la infraestructura subyacente y la motivación financiera de los ciberdelincuentes siguen siendo sólidas, mientras que el resurgimiento de BreachForums significa que los datos previamente comprometidos pueden volver a estar en riesgo de exposición", advirtió Omri.
También aconsejó que "las organizaciones deben seguir siendo proactivas en el monitoreo y protección de sus activos digitales, asegurándose de contar con procesos para evaluar la materialidad de los datos expuestos y responder de manera adecuada".
Sin embargo, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta sigue siguiendo de cerca la situación. Este artículo se actualizará en consecuencia y los lectores pueden esperar nuevos informes tan pronto como las autoridades federales de los Estados Unidos publiquen la confirmación oficial y brinden claridad sobre la situación.
El ciclo del cibercrimen continúa sin cesar. Las autoridades desmantelan un foro, pero a los pocos días surge otro. Esta tendencia es evidente en el caso de BreachForums. Un miembro de BreachForums y un notorio actor de amenazas conocido como USDoD ha anunciado planes para resucitar el foro con el mismo tema y formato pero con un nombre diferente.
Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
BreachForums, el notorio centro de cibercrimen, podría volver a estar en línea con el mismo dominio incluso después de la incautación del FBI. Los piratas informáticos afirman haber recuperado el acceso al dominio en la web normal, mientras que la versión de la dark web sigue en un tira y afloja. Un buen novelón que nos hará introducir los pies en agua fría para bajarnos la presión.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En una conversación exclusiva con No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, ShinyHunters reveló que uno de los administradores de BreachForums, que operaba bajo el alias Baphomet, había sido detenido por las fuerzas del orden. En consecuencia, las autoridades obtuvieron acceso a las credenciales de inicio de sesión para toda la infraestructura de BreachForums, incluido el backend.
Sin embargo, el viernes, ShinyHunters se puso en contacto con el registrador de dominios de BreachForums y recuperó el acceso con éxito. Por lo tanto, al momento de escribir este artículo, se eliminó el aviso de incautación del dominio de red transparente de Breach Forums y se reemplazó con un mensaje de "Sitio no disponible temporalmente". Además, se proporcionó un enlace a un chat grupal de Telegram operado por ShinyHunters y otros moderadores del foro.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Un breve resumen:
Las afirmaciones de ShinyHunters surgieron apenas un día después del informe de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta sobre la incautación por parte del FBI de BreachForums, una plataforma conocida por el cibercrimen, la piratería informática, las violaciones de datos y las filtraciones.
Si bien circuló ampliamente, no ha habido confirmación oficial de la operación por parte de las fuerzas del orden. El 15 de mayo de 2024, todos los dominios asociados con BreachForums fueron desfigurados con un aviso de incautación por parte del FBI.
El aviso en estos sitios reveló la participación de la Oficina Federal de Investigaciones (FBI), el Departamento de Justicia (DoJ) y socios internacionales de Nueva Zelanda, Australia, el Reino Unido, Suiza, Ucrania e Islandia.
BreachForums desaparece, nuevos foros se preparan para emerger
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Según el USDoD, el nuevo foro se llamará BreachNation en lugar de BreachForums. Esto refleja el patrón observado con la eliminación de RaidForums y la posterior aparición de BreachForums. Sin embargo, vale la pena señalar que esta trayectoria no terminó bien para el administrador PomPomPurin, quien fue arrestado en Nueva York y recibió una sentencia supervisada de 20 años.
Al comentar sobre esto, Omri Weinberg, cofundador y CRO de DoControl, un proveedor de seguridad SaaS automatizado con sede en la ciudad de Nueva York, dijo: "A pesar de la exitosa incautación de BreachForums por parte del FBI, su rápida reaparición no es una sorpresa, ya que ha resurgido antes de reflejar el desafío continuo que enfrenta la aplicación de la ley en la era digital".
"Si bien las fuerzas del orden pueden interrumpir temporalmente estas actividades ilícitas, la infraestructura subyacente y la motivación financiera de los ciberdelincuentes siguen siendo sólidas, mientras que el resurgimiento de BreachForums significa que los datos previamente comprometidos pueden volver a estar en riesgo de exposición", advirtió Omri.
También aconsejó que "las organizaciones deben seguir siendo proactivas en el monitoreo y protección de sus activos digitales, asegurándose de contar con procesos para evaluar la materialidad de los datos expuestos y responder de manera adecuada".
Sin embargo, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta sigue siguiendo de cerca la situación. Este artículo se actualizará en consecuencia y los lectores pueden esperar nuevos informes tan pronto como las autoridades federales de los Estados Unidos publiquen la confirmación oficial y brinden claridad sobre la situación.
El ciclo del cibercrimen continúa sin cesar. Las autoridades desmantelan un foro, pero a los pocos días surge otro. Esta tendencia es evidente en el caso de BreachForums. Un miembro de BreachForums y un notorio actor de amenazas conocido como USDoD ha anunciado planes para resucitar el foro con el mismo tema y formato pero con un nombre diferente.
Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#9
Noticias Informáticas / CPU de tres años supera al chi...
Último mensaje por AXCESS - Mayo 18, 2024, 11:27:28 PMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
La CPU de tres años supera al chip actual más rápido de Intel en pruebas de RAM: el Core i9-11900K de 7 GHz supera al Core i9-14900KS de 8,3 GHz en PYPrime 32B
Es posible que el Core i9-11900K ya no sea una de las mejores CPU, pero eso no significa que el chip insignia Rocket Lake haya perdido su encanto. El gurú del overclocking extremo, Allen 'Splave' Golibersuch, ha establecido un nuevo récord mundial con el Core i9-11900K en PyPrime 32B, superando al poseedor del récord anterior, el Core i9-14900KS.
Establecer récords mundiales no se trata sólo de tener a mano el hardware más rápido. Ayuda cuando los fabricantes de chips como AMD o Intel le envían bandejas y bandejas de procesadores para encontrar la mejor muestra. Sin embargo, se requiere mucho trabajo de preparación para un esfuerzo de overclocking extremo, y encontrar la mejor plataforma para el trabajo es uno de ellos. A pesar de que Intel y la mayor parte del mundo del hardware han dejado Rocket Lake, Splave ha descubierto que la plataforma Intel serie 500 es probablemente una de las últimas plataformas de baja latencia de su tipo.
Para aquellos que no han oído hablar de PYPrime, es un punto de referencia de RAM de código abierto basado en Python que escala con el overclocking del procesador y la memoria. Sin embargo, esto último es más importante, por lo que Splave superó el récord anterior establecido por el overclocker coreano safedisk a pesar de que el primero tiene un chip más antiguo y funciona a una velocidad de reloj más baja. El Core i9-11900K de Splave funcionaba a 6.957,82 MHz en comparación con el Core i9-14900KS de Safedisk, que estaba overclockeado a 8.374,91 MHz.
Con Rocket Lake, Intel introdujo relaciones de transmisión, un enfoque similar que AMD había adoptado con sus procesadores Ryzen. Como resumen rápido, en Gear 1, el controlador de memoria del procesador y la velocidad de la memoria están sincronizados. Mientras tanto, Gear 2 obliga al controlador de memoria del procesador a funcionar a la mitad de la velocidad de la memoria, por lo que el rendimiento se ve afectado. Rocket Lake ejecuta DDR4 en Gear 1 y DDR5 en Gear 2 de forma predeterminada. Oficialmente, Rocket Lake puede admitir hasta DDR4-3200 en Gear 1, por lo que el Core i9-11900K de Splave es una muestra notable ya que puede admitir DDR4-3913.
A diferencia de otros puntos de referencia de memoria que favorecen el ancho de banda, a PYPrime simplemente le encanta la latencia. Splave estaba ejecutando memoria DDR4-3913 de doble rango y doble cara para entrelazar ganancias. Splave ajustó los tiempos a 12-11-11-18 1T, que son muy ajustados gracias a los circuitos integrados Samsung B-die dentro del kit de memoria G.Skill Trident Z DDR4-3466 C16. A modo de comparación, safedisk usaba DDR5-9305 con tiempos configurados en 32-47-42-34 2T. Si hacemos cuentas, la latencia de memoria de Splave es de 6.133 ns, hasta un 11% menor que los 6.878 ns de safedisk.
Para obtener ganancias de rendimiento adicionales, Splave estableció la afinidad con el núcleo más cercano al controlador de memoria integrado (IMC) del procesador y eligió Windows 7, que es liviano y no se ve afectado por las mitigaciones y parches de seguridad que los sistemas operativos y procesadores más nuevos requieren para ser seguros. El resultado es que Splave destrona a SafeDisk en PyPrime 32B por 285 ms. Puede que no parezca un margen considerable, pero hasta el último milisegundo cuenta en el overclocking competitivo.
Siempre es emocionante ver cómo el hardware antiguo supera al último y mejor. El récord mundial PyPrime 32B de Splave rinde homenaje a Rocket Lake y, lo que es más importante, a la Fórmula Z590 OC de ASRock, la última placa base con overclocking sin restricciones de la marca. Y aunque ASRock ha probado las aguas con Aqua OC, no es lo mismo.
No le tema a los entusiastas del overclocking; Un pajarito ha susurrado que la Fórmula regresa para las series Z890 y Core Ultra 200 (Arrow Lake) que llegarán al mercado minorista antes de fin de año.
Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
La CPU de tres años supera al chip actual más rápido de Intel en pruebas de RAM: el Core i9-11900K de 7 GHz supera al Core i9-14900KS de 8,3 GHz en PYPrime 32B
Es posible que el Core i9-11900K ya no sea una de las mejores CPU, pero eso no significa que el chip insignia Rocket Lake haya perdido su encanto. El gurú del overclocking extremo, Allen 'Splave' Golibersuch, ha establecido un nuevo récord mundial con el Core i9-11900K en PyPrime 32B, superando al poseedor del récord anterior, el Core i9-14900KS.
Establecer récords mundiales no se trata sólo de tener a mano el hardware más rápido. Ayuda cuando los fabricantes de chips como AMD o Intel le envían bandejas y bandejas de procesadores para encontrar la mejor muestra. Sin embargo, se requiere mucho trabajo de preparación para un esfuerzo de overclocking extremo, y encontrar la mejor plataforma para el trabajo es uno de ellos. A pesar de que Intel y la mayor parte del mundo del hardware han dejado Rocket Lake, Splave ha descubierto que la plataforma Intel serie 500 es probablemente una de las últimas plataformas de baja latencia de su tipo.
Para aquellos que no han oído hablar de PYPrime, es un punto de referencia de RAM de código abierto basado en Python que escala con el overclocking del procesador y la memoria. Sin embargo, esto último es más importante, por lo que Splave superó el récord anterior establecido por el overclocker coreano safedisk a pesar de que el primero tiene un chip más antiguo y funciona a una velocidad de reloj más baja. El Core i9-11900K de Splave funcionaba a 6.957,82 MHz en comparación con el Core i9-14900KS de Safedisk, que estaba overclockeado a 8.374,91 MHz.
Con Rocket Lake, Intel introdujo relaciones de transmisión, un enfoque similar que AMD había adoptado con sus procesadores Ryzen. Como resumen rápido, en Gear 1, el controlador de memoria del procesador y la velocidad de la memoria están sincronizados. Mientras tanto, Gear 2 obliga al controlador de memoria del procesador a funcionar a la mitad de la velocidad de la memoria, por lo que el rendimiento se ve afectado. Rocket Lake ejecuta DDR4 en Gear 1 y DDR5 en Gear 2 de forma predeterminada. Oficialmente, Rocket Lake puede admitir hasta DDR4-3200 en Gear 1, por lo que el Core i9-11900K de Splave es una muestra notable ya que puede admitir DDR4-3913.
A diferencia de otros puntos de referencia de memoria que favorecen el ancho de banda, a PYPrime simplemente le encanta la latencia. Splave estaba ejecutando memoria DDR4-3913 de doble rango y doble cara para entrelazar ganancias. Splave ajustó los tiempos a 12-11-11-18 1T, que son muy ajustados gracias a los circuitos integrados Samsung B-die dentro del kit de memoria G.Skill Trident Z DDR4-3466 C16. A modo de comparación, safedisk usaba DDR5-9305 con tiempos configurados en 32-47-42-34 2T. Si hacemos cuentas, la latencia de memoria de Splave es de 6.133 ns, hasta un 11% menor que los 6.878 ns de safedisk.
Para obtener ganancias de rendimiento adicionales, Splave estableció la afinidad con el núcleo más cercano al controlador de memoria integrado (IMC) del procesador y eligió Windows 7, que es liviano y no se ve afectado por las mitigaciones y parches de seguridad que los sistemas operativos y procesadores más nuevos requieren para ser seguros. El resultado es que Splave destrona a SafeDisk en PyPrime 32B por 285 ms. Puede que no parezca un margen considerable, pero hasta el último milisegundo cuenta en el overclocking competitivo.
Siempre es emocionante ver cómo el hardware antiguo supera al último y mejor. El récord mundial PyPrime 32B de Splave rinde homenaje a Rocket Lake y, lo que es más importante, a la Fórmula Z590 OC de ASRock, la última placa base con overclocking sin restricciones de la marca. Y aunque ASRock ha probado las aguas con Aqua OC, no es lo mismo.
No le tema a los entusiastas del overclocking; Un pajarito ha susurrado que la Fórmula regresa para las series Z890 y Core Ultra 200 (Arrow Lake) que llegarán al mercado minorista antes de fin de año.
Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#10
Noticias Informáticas / CISA advierte sobre vulnerabil...
Último mensaje por Dragora - Mayo 18, 2024, 07:00:21 PM
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) agregó el jueves dos fallas de seguridad que afectan a los enrutadores D-Link a su catálogo de vulnerabilidades explotadas conocidas (KEV, por sus siglas en inglés), basadas en evidencia de explotación activa.
La lista de vulnerabilidades es la siguiente:
- CVE-2014-100005 - Una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) que afecta a los routers D-Link DIR-600 y que permite a un atacante cambiar las configuraciones de los routers secuestrando una sesión de administrador existente
- CVE-2021-40655: una vulnerabilidad de divulgación de información que afecta a los routers D-Link DIR-605 que permite a los atacantes obtener un nombre de usuario y una contraseña mediante la falsificación de una solicitud HTTP POST a la página /getcfg.php
Actualmente no hay detalles sobre cómo se explotan estas deficiencias en la naturaleza, pero se ha instado a las agencias federales a aplicar mitigaciones proporcionadas por el proveedor antes del 6 de junio de 2024.
Vale la pena señalar que CVE-2014-100005 afecta a los productos heredados de D-Link que han alcanzado el estado de fin de vida útil (EoL), lo que requiere que las organizaciones que aún los usan retiren y reemplacen los dispositivos.
El desarrollo se produce cuando el equipo de SSD Secure Disclosure reveló problemas de seguridad sin parches en los enrutadores DIR-X4860 que podrían permitir a los atacantes remotos no autenticados acceder al puerto HNAP para obtener permisos elevados y ejecutar comandos como root.
"Al combinar una omisión de autenticación con la ejecución de comandos, el dispositivo puede verse completamente comprometido", dijo, y agregó que los problemas afectan a los enrutadores que ejecutan la versión de firmware DIRX4860A1_FWV1.04B03.
SSD Secure Disclosure también ha puesto a disposición un exploit de prueba de concepto (PoC), que emplea una solicitud de inicio de sesión HNAP especialmente diseñada para la interfaz de administración del enrutador para eludir las protecciones de autenticación y lograr la ejecución de código aprovechando una vulnerabilidad de inyección de comandos.
Desde entonces, D-Link ha reconocido el problema en un boletín propio, afirmando que una solución está "pendiente de lanzamiento / en desarrollo". Describió la vulnerabilidad como un caso de falla en la ejecución de comandos no autenticados del lado de la LAN.
Ivanti corrige múltiples fallos en Endpoint Manager Mobile (EPMM)
Los investigadores de ciberseguridad también han publicado un exploit de PoC para una nueva vulnerabilidad en Ivanti EPMM (CVE-2024-22026, puntuación CVSS: 6,7) que podría permitir a un usuario local autenticado eludir la restricción de shell y ejecutar comandos arbitrarios en el dispositivo.
"Esta vulnerabilidad permite a un atacante local obtener acceso root al sistema explotando el proceso de actualización de software con un paquete RPM malicioso desde una URL remota", dijo Bryan Smith de Redline Cyber Security.
El problema se deriva de un caso de validación inadecuada en el comando de instalación de la interfaz de línea de comandos de EPMM, que puede obtener un paquete RPM arbitrario de una URL proporcionada por el usuario sin verificar su autenticidad.
CVE-2024-22026 afecta a todas las versiones de EPMM anteriores a la 12.1.0.0. Ivanti también ha parcheado otros dos fallos de inyección SQL en el mismo producto (CVE-2023-46806 y CVE-2023-46807, puntuaciones CVSS: 6,7) que podrían permitir a un usuario autenticado con los privilegios adecuados acceder a los datos de la base de datos subyacente o modificarlos.
Si bien no hay evidencia de que se hayan explotado estas fallas, se recomienda a los usuarios que actualicen a la última versión para mitigar las posibles amenazas.
Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
