This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - AXCESS

Pages: [1] 2 3 ... 39
1
You are not allowed to view links. Register or Login

Reza la frase que: “para que el mundo sea mundo… tiene que haber de todo”; pero esto ya es el colmo.

El Departamento de Justicia de EE. UU. acusó el lunes “a un cardiólogo” venezolano “de 55 añosde ser el autor intelectual del ransomware Thanos; lo acusó del uso y la venta de la herramienta maliciosa y de celebrar acuerdos de participación en las ganancias.

You are not allowed to view links. Register or Login

Se alega que Moisés Luis Zagala González, también conocido por los apodos de Nosophoros, Aesculapius y Nabuchadnezzar, desarrolló y comercializó el ransomware a otros ciberdelincuentes para facilitar las intrusiones y obtener una parte del pago de bitcoin.

Si es declarado culpable, Zagala enfrenta hasta cinco años de prisión por intento de intrusión informática y cinco años de prisión por conspiración para cometer intrusiones informáticas.

"El médico multitarea trató a los pacientes, creó y nombró su herramienta cibernética después de la muerte, se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques de ransomware, entrenó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó de los ataques exitosos. , incluso por parte de actores maliciosos asociados con el gobierno de Irán", dijo el fiscal estadounidense Breon Peace.

El esquema de ransomware-as-a-service (RaaS) involucraba el cifrado de archivos pertenecientes a empresas, entidades sin fines de lucro y otras instituciones, y luego exigía un rescate a cambio de la clave de descifrado.

En esencia, Thanos es un desarrollador de ransomware privado que permite a sus compradores (también conocidos como afiliados) crear su propio software de ransomware personalizado, que luego podrían usar o arrendar a otros actores, ampliando efectivamente el alcance de los ataques.

Un análisis realizado por Recorded Future en junio de 2020 reveló que el constructor viene con 43 opciones de configuración diferentes, llamándolo la primera familia de ransomware que aprovecha la técnica RIPlace para evitar las funciones de protección contra ransomware integradas en Windows 10.

Fuente:
The Hacker News
You are not allowed to view links. Register or Login

2
Seguridad Wireless / Script de ataque KRACK
« on: May 13, 2022, 04:15:41 am »
You are not allowed to view links. Register or Login

En el 2016 los investigadores belgas Mathy Vanhoef y Frank Piessens de la Universidad de Leuven, descubren una grave vulnerabilidad en el protocolo Wi-Fi denominándolo: KRACK (Ataque de Reinstalación de Clave)



Este no es más, un grave ataque de repetición. El ataque apunta al apretón de manos (handshake) de cuatro vías usado para establecer un nonce (un tipo de "secreto compartido") en el protocolo WPA2. El estándar para WPA2 anticipa desconexiones WiFi ocasionales, y permite reconectar utilizando el mismo valor del tercer apretón de manos (para una rápida reconexión y continuidad). Ya que el estándar no requiere una clave distinta para ser utilizada en este tipo de reconexion, la cual podría ser necesitada en cualquier momento, un ataque de repetición es posible.

Un atacante puede re-enviar repetidamente el tercer apretón de manos de la comunicación de otro dispositivo para manipular o reiniciar la clave de encriptación de WPA2. Cada reinicio provoca que los datos sean encriptados usando los mismos valores, de manera que bloques con el mismo contenido pueden ser vistos y emparejados, trabajando de manera invertida para identificar partes del conjunto de claves que fueron usados para encriptar aquel bloque de datos. Repetidos reinicios exponen gradualmente más del conjunto de claves hasta que finalmente se conoce la clave completa, y el atacante puede leer todo el tráfico del objetivo en esa conexión.

La debilidad está en el propio estándar Wi-Fi, y no en implementaciones o productos individuales. Por tanto, cualquier implementación correcta de WPA2 es probable que sea vulnerable. La vulnerabilidad afecta a todas las plataformas de software importantes, incluyendo Microsoft Windows, macOS, iOS, Android, y Linux.

La implementación ampliamente usada de código abierto wpa_supplicant, utilizada por Linux, Android, y OpenBSD, es especialmente susceptible ya que puede ser manipulada para instalar una clave de encriptacion de todo-ceros, anulando eficazmente la protección WPA2 en un ataque man-in-the-middle.

Algunos usuarios de WPA2 pueden contrarrestar el ataque actualizando el cliente y el software del punto de acceso del dispositivo Wi-Fi, si tienen dispositivos para los que están disponibles parches del proveedor. Aun así, muchos dispositivos antiguos pueden no ser actualizados, o recibir una actualización retrasada.

Se reitera, este tipo de vulnerabilidad está parcheada en su mayoría y en el sector empresarial fundamentalmente.
Un detalle a tener en cuenta es que esta vulnerabilidad y ataque no revela la clave Wifi, pues no ataca al cifrado, sino al proceso de asociación (handshake).

Este tipo de ataque marca un antes y un después en la seguridad Wireless, y en el longevo protocolo WPA2 que tantos años se mantuvo invicto.

El descubridor, Mathy Vanhoef, expone los detalles de su investigación y publica en el GitHub una herramienta de testeo para los dispositivos Wifi que recrea este tipo de ataque:

You are not allowed to view links. Register or Login

Como bien declara:

You are not allowed to view links. Register or Login

¡Recuerde que nuestros scripts no son scripts de ataque! Necesitará las credenciales de red adecuadas para probar si un punto de acceso o cliente se ve afectado por el ataque KRACK.

No obstante, generó mucho interés por otros investigadores que crearon sus proyectos para “sí recrear un script de ataque" que no necesitara las credenciales previamentes adjudicadas a la herramienta:

You are not allowed to view links. Register or Login

Un ejemplo de Prueba de Concepto (PoC) bien logrado:



You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login


Es notorio como diversas Suite de Pentesting como Kali Linux o el célebre WifiSlax no incluyen aun este interesantísimo script en su arsenal.
Paso que es dado por otras compañías de pentesting de pago que sí incluyen este y otros tipos de ataques posteriores en su repertorio.

Tal es el caso de la Suite de Pentesting Immunity Silica:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Específicamente el KRACK se encuentra en la versión 7.32 del Immunity Silica

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Esta Suite con el KRACK viene en una máquina virtual de Ubuntu

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Y es de pago:

You are not allowed to view links. Register or Login

Al introducir las credenciales previamente adquiridas, la máquina virtual necesita conexión a internet y comienza a descargar librerías que son los scripts y dependencias propiamente dichos. En otras palabras, la máquina virtual ofrecida es la plataforma, pero sin las herramientas, que se descargan y activan una vez corroboradas las credenciales.

Uno que declara haber crackeado la Suite establecía la observación que la vía estaba en la propia máquina virtual.

Yo intenté clonar la VM hacia otro dispositivo (junto a otros trucos) y no me funcionó, a no ser en el previamente registrado.

De cualquier modo, es una Suite muy interesante:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Immunity Silica - WiFi Assessment:

Download Link de la VM con el KRACK (1.4G)
You are not allowed to view links. Register or Login
[Libre de Virus - VM sin las credenciales de Registro]

Fuentes:
Consultas varias sobre internet:
-Wikipedia
-GitHub
-Mathy Vanhoef
-Immunity Silica

3
You are not allowed to view links. Register or Login

Los actores de amenazas han lanzado el 'Proyecto Eternity', un nuevo malware como servicio en el que los actores de amenazas pueden comprar un conjunto de herramientas de malware que se puede personalizar con diferentes módulos según el ataque que se realice.

El kit de herramientas de malware es modular y puede incluir un ladrón de información (stealer), un minero de monedas, un clipper, un programa de ransomware, un esparcidor de gusanos y, pronto, también un bot DDoS (denegación de servicio distribuida), cada uno de los cuales se compra por separado.

You are not allowed to view links. Register or Login

Todo lo anterior se promociona en un canal de Telegram dedicado que cuenta con más de 500 miembros, donde los autores publican notas de lanzamiento para actualizaciones, instrucciones de uso y discuten sugerencias de funciones.

Aquellos que compraron el kit de malware pueden utilizar Telegram Bot para construir el binario automáticamente después de seleccionar qué funciones desean activar y pagarlas con cryptos.


Herramientas en detalle

Comenzando con el ladrón de información (stealer), que se vende por $260 al año, esta herramienta arrebata contraseñas, tarjetas de crédito, marcadores, tokens, cookies y datos de autocompletado almacenados en más de veinte navegadores web.

Además, puede robar información de extensiones de criptomonedas o incluso monederos fríos, y también se dirige a diez administradores de contraseñas, clientes VPN, mensajeros y clientes de juegos.

El módulo minero cuesta $ 90 / año y presenta ocultación del administrador de tareas, reinicio automático cuando se elimina y persistencia de inicio de inicio.

El clipper se vende por $110 y es una utilidad que monitorea el portapapeles en busca de direcciones de billeteras de criptomonedas para reemplazarlas con billeteras bajo el control del operador.

El desarrollador vende Eternity Worm por $ 390, lo que le da al malware la capacidad de propagarse por sí solo a través de controladores USB, redes locales compartidas, archivos locales, unidades en la nube, proyectos de Python (a través del intérprete), cuentas de Discord y cuentas de Telegram.

Finalmente, el ransomware Eternity, el módulo más caro, cuesta $490. Admite el cifrado fuera de línea mediante una combinación de AES y RSA y apunta a documentos, fotos y bases de datos.

Los autores afirman que es FUD (totalmente indetectable), una afirmación que supuestamente está respaldada por los resultados de Virus Total, donde la cepa arroja cero detecciones.

Curiosamente, el módulo de ransomware ofrece una opción para configurar un temporizador que hace que los archivos sean completamente irrecuperables cuando caduca. Esto ejerce una presión adicional sobre la víctima para que pague el rescate rápidamente.

You are not allowed to view links. Register or Login

¿Real o estafa?


Los analistas de Cyble que descubrieron el Proyecto Eternity declararon que, si bien aún no tuvieron la oportunidad de examinar todos los módulos, vieron muestras del malware que circula y se usa en la naturaleza, y todos los comentarios de los usuarios en Telegram apuntan a ser verdadero y una amenaza real.

Al examinar el módulo Stealer, los analistas de Cyble encontraron varias similitudes con Jester Stealer, ambas probablemente derivadas de un proyecto de GitHub llamado DynamicStealer:

You are not allowed to view links. Register or Login

Como tal, el "Eternity Stealer" probablemente sea una copia de ese código, seguido de modificaciones y cambios de marca para venderlo en Telegram con fines de lucro.

Incluso si se trata de "skidware", los módulos adicionales, la atención al cliente, la construcción automatizada y las instrucciones detalladas sobre cómo usar el malware, lo convierten en un arma poderosa en manos de piratas informáticos no calificados y una grave amenaza para los usuarios de Internet.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

4
You are not allowed to view links. Register or Login

 La fuerte caída de Bitcoin en los últimos meses (más de un 50% desde sus máximos históricos) puede ser dolorosa para inversores, sobre todo aquellos que no pueden permitirse aguantar sin vender esperando una posible subida futura. Pero para nadie puede ser tan mala noticia como para El Salvador, el primer país del mundo en aceptarlo como moneda de curso legal desde septiembre de 2021.

Nayib Bukele, presidente del país, decidió hacer un all-in a esta criptomoneda desarrollando su propia billetera electrónica, Chivo Wallet, y haciendo acopio de bitcoins para dar bonos a la ciudadanía, el equivalente a 30 dólares por persona en el momento de su entrega. La idea tras este movimiento, según el gobierno salvadoreño, era abrir oportunidades de negocio reduciendo costes y atrayendo turistas. Sin embargo, la apuesta no está saliendo bien en este primer año. Y las cosas podrían ponerse peores en 2023.

Bonos hundiéndose

Según un estudio realizado por el National Bureau of Economic Research, solo una quinta parte de los salvadoreños que descargaron la aplicación Chivo Wallet la siguieron usando una vez gastado el bono de 30 dólares entregado por el gobierno.

Sin embargo, el gobierno continuó anunciando planes en esta línea, como los "bonos volcán" basados en blockchain con los que financiarse para comprar más criptomonedas —paralizados por el poco interés mostrado en ellos— o la 'Bitcoin City', una ciudad costera sin impuestos a la renta ni a las contrataciones con su propia central geotérmica para minar bitcoins sin apenas coste energético. El minado utilizando energía volcánica ya fue puesto en marcha aprovechando las instalaciones existentes, aunque no fue demasiado rentable.

Estos tropiezos iniciales unidos a la caída de valor de la criptomoneda (un 40% desde que se puso en marcha como moneda de curso legal, que también ha servido para que el gobierno compre 500 más) han derivado en otra caída, la de los precios de su deuda soberana.

El hundimiento de sus bonos se acerca al 30%, un 40% en el caso de los que vencen en 2032, una señal de que los mercados perciben esta deuda como de alto riesgo y con un posible escenario de impago. Solo Ucrania, país en guerra por la invasión rusa, ha sufrido una caída mayor en sus bonos de deuda.

Espalda institucional y crediticia

Fitch Ratings ya redujo drásticamente la calificación de la deuda de El Salvador pasándola del nivel B- a CCC, el más bajo previo al de la calificación de pura especulación. Un escenario de impago de sus deudas, conocido como "entrar en default", implicaría perder el acceso a la financiación en los mercados, como ocurrió con Grecia en 2012 (138.000 millones de dólares) o Lehman Brothers en 2008 en el sector privado (600.000 millones de dólares que hicieron caer la economía mundial como si fuese la primera ficha de un dominó).

Moody's le dio un mínimo margen de confianza para poder afrontar el pago de bonos de 2023, 800 millones de dólares dentro de siete meses, aunque manteniendo un nivel de riesgo elevado, ya que se mantiene a la espera de los detalles sobre la reforma del sistema de pensiones anunciada en los últimos meses, algo que podría oxigenar la economía como para hacer frente a las deudas a costa de la pérdida de poder adquisitivo de sus pensionistas.

Ya en las semanas previas a la entrada en vigor de la criptomoneda como moneda nacional acompañando al dólar estadounidense hubo protestas en las calles, tanto por la volatilidad inherente a Bitcoin desde su nacimiento como por el posible blanqueo de capitales que temían que pudiese generar. Ninguna de las dos monedas nacionales son emitidas por el propio país.

El primer factor, que dispara la incertidumbre sobre el valor real de los ahorros de los salvadoreños, se ha hecho notar desde entonces, aunque podría revertir su situación en el caso de una hipotética subida de su valor que multiplique su cotización en dólares, como ocurrió a finales de 2017 o de 2020.

El FMI no tardó en recomendar revertir la decisión de nacionalizar el bitcoin, algo que además encaja en sus intereses como organismo central estabilizador de las divisas, y advirtió de que podría incurrir en un incumplimiento de las condiciones que fija a los países que piden préstamos, que incluyen superar los problemas que le llevaron a esa situación y que sirvan para garantizar la devolución de lo prestado. Algo que el FMI entiende que no sucede con una economía basada en una criptomoneda, y que por tanto puede derivar en la imposibilidad de acceder a más financiación, incluso si no se entrase en default.

El Banco Mundial, por su parte, también rechazó asistir al país en el despliegue de Bitcoin. Un veto institucional que no ayuda a su futuro, y menos con los bonos Bitcoin que no han atraído a un solo inversor. La inestabilidad financiera de la que advertían esas instituciones globales tenía riesgos que se están recrudeciendo.

Fuente:
Xataka
You are not allowed to view links. Register or Login

5
You are not allowed to view links. Register or Login

Se ha filtrado una base de datos con 21 millones de registros en Telegram que expone las direcciones de correo electrónico y las contraseñas cifradas de los usuarios de varias VPN.
 
Según lo que se conoce hasta ahora, el volcado SQL fue publicado en Telegram el 7 de mayo de 2022.

Esta información expone a los usuarios de varios servicios de VPN, incluyendo GeckoVPN, SuperVPN y ChatVPN, y se puso inicialmente a la venta en la DarkWeb en 2021 y ahora se ha publicado de forma gratuita en Telegram. GeckoVPN, SuperVPN y ChatVPN son proveedores de servicios VPN gratuitos.

Estas son las informaciones descubiertas

La brecha contiene 21 millones de registros, contando con 10 GB de datos, exponiendo a unos 21 millones de personas (los registros parecen ser únicos), según lo que se conoce hasta ahora.

En general, la base de datos contiene:

direcciones de correo electrónico;
nombres de usuario; nombres completos;
nombres de países;
cadenas de contraseñas generadas aleatoriamente;
y datos de facturación.

El 99,5% de las direcciones de correo electrónico eran cuentas de Gmail, un porcentaje muy superior a la media. Esto también puede significar que el grupo que filtró el volcado compartió un subconjunto de los datos y no el volcado completo. Vpnmentor pudo ver la información y de ahí extrajo estas conclusiones, pero afirma que, por razones éticas, no se han conservado los datos y solo guarda una muestra a efectos de la investigación.

Los hackers pueden llegar a hacer phishing con la información conseguida. Además, que pueden tener acceso a las contraseñas, podrían hacerse con la cuenta de un usuario y aprovecharse para contactar a otras personas o conocer aún más datos.

Fuente:
Genbeta
You are not allowed to view links. Register or Login

6
You are not allowed to view links. Register or Login

Un malware de puerta trasera (backdoor) recientemente descubierto llamado BPFdoor ha estado apuntando sigilosamente a los sistemas Linux y Solaris sin ser notado durante más de cinco años.

BPFdoor es una puerta trasera de Linux/Unix que permite a los actores de amenazas conectarse de forma remota a un shell de Linux para obtener acceso completo a un dispositivo comprometido.

El malware no necesita abrir puertos, no puede ser detenido por firewalls y puede responder a comandos desde cualquier dirección IP en la web, lo que lo convierte en la herramienta ideal para el espionaje corporativo y los ataques persistentes.

Analizando paquetes 'mágicos'

BPFdoor es una puerta trasera pasiva, lo que significa que puede escuchar en uno o más puertos los paquetes entrantes de uno o más hosts, que los atacantes pueden usar para enviar comandos de forma remota a la red comprometida.

El malware utiliza un rastreador Berkeley Packet Filter (el BPF en el nombre de la puerta trasera), que funciona en la interfaz de la capa de red y puede ver todo el tráfico de la red y enviar paquetes de envío a cualquier destino.

Debido a su posicionamiento en un nivel tan bajo, BPF no cumple con ninguna regla de firewall.

Tiene versiones para sistemas Linux y Solaris SPARC, pero también podría ser portado a BSD.

El investigador de seguridad Kevin Beaumont, declaró que los operadores usan una contraseña "mágica" para controlar las acciones del implante.

BPFdoor analiza solo los paquetes ICMP, UDP y TCP, comprobándolos en busca de un valor de datos específico y también una contraseña para los dos últimos tipos de paquetes.

Lo que hace que BPFDoor se destaque es que puede monitorear cualquier puerto para el paquete mágico, incluso si esos puertos son utilizados por otros servicios legítimos, como servidores web, FTP o SSH.

Si los paquetes TCP y UDP tienen los datos "mágicos" correctos y una contraseña correcta, la puerta trasera entra en acción ejecutando un comando compatible, como configurar un enlace o un shell inverso.

You are not allowed to view links. Register or Login

Beaumont declaró que los paquetes ICMP no necesitan una contraseña, lo que le permitió escanear Internet para ejecutar implantes BPFdoor usando la función ping.

"La función de ping le permite especificar una dirección IP y un puerto para que responda, por lo que pude hacer que los implantes de las víctimas respondieran a una IP completamente diferente que yo controlaba" - Kevin Beaumont

El investigador pudo encontrar actividad de BPFdoor en redes de organizaciones en varias geografías, sobre todo en EE. UU., Corea del Sur, Hong Kong, Turquía, India, Vietnam y Myanmar.

Sorprendentemente, descubrió 11 servidores Speedtest infectados con BPFdoor. El investigador dijo que no está claro cómo se comprometieron estas máquinas, especialmente porque se ejecutan en un software de código cerrado.

Omitir el cortafuegos local

Rowland señala en un informe técnico completo sobre BPFdoor que el malware emplea algunas tácticas inteligentes contra la evasión:

    Reside en la memoria del sistema y despliega una acción anti-forense (borra el entorno del proceso, aunque sin éxito, ya que lo deja vacío)
    Carga un sniffer de Berkeley Packet Filter (BPF) que le permite trabajar frente a cualquier firewall que se ejecute localmente para ver los paquetes.
    Modifica las reglas de 'iptables' al recibir un paquete relevante para permitir la comunicación del atacante a través del firewall local
    Enmascara el binario bajo un nombre similar a un demonio común del sistema Linux
    Cambia el nombre y se ejecuta a sí mismo como /dev/shm/kdmtmpflush
    Cambia la fecha del binario (timestomping) al 30 de octubre de 2008, antes de eliminarlo

Rowland cree que una explicación para el control de tiempo, como una técnica anti-forense en este caso, podría ser que el atacante intente proteger el binario en caso de que falle su eliminación.

El investigador dice que el propósito de la fecha falsa podría ser ocultar el malware de una búsqueda en busca de nuevos archivos en el sistema.

Cambiar las reglas del firewall es de particular importancia porque permite a los atacantes comunicarse con la puerta trasera a través del tráfico que los firewalls no pueden marcar como sospechoso.

Rowland explica que cuando el host infectado recibe un paquete BPFdoor especial, el malware "generará una nueva instancia y cambiará las reglas locales de iptables para realizar una redirección desde el host solicitante al puerto shell".

Por ejemplo, el implante puede redirigir todo el tráfico del atacante usando el puerto TCP 443 (web cifrada) al shell. Externamente, el tráfico parecerá tráfico TLS/SSL pero, de hecho, el atacante está interactuando con un shell raíz remoto en el sistema” - Craig Rowland, Sandfly Security

Para aclarar aún más, Rowland dice que para un shell local, el malware modifica la configuración de 'iptables' para redirigir todo el tráfico proveniente del atacante a través de un puerto legítimo a un rango de puertos definido en el malware.

De esta manera, el atacante puede elegir una conexión sobre cualquier puerto porque se enrutaría al shell detrás del firewall.

You are not allowed to view links. Register or Login

Comandos y detección


Otro análisis técnico sobre BPFdoor de Tristan Pourcelot de la empresa de respuesta a incidentes e inteligencia de amenazas ExaTrack, señala que el malware viene con varios nombres codificados que coinciden con las cadenas de comandos dentro de los paquetes relevantes:

    justtryit, justrobot y justforfun para establecer un shell de enlace en los puertos 42391 a 42491
    socket o sockettcp para configurar un shell inverso a una dirección IP presente en el paquete

Parte de las técnicas de BPFdoor para evadir la detección es cambiar el nombre del binario para que aparezca como un demonio normal de Linux utilizando las siguientes opciones:

/sbin/udevd-d
/sbin/mingetty /dev/tty7
/usr/sbin/console-kit-daemon --no-daemon
hald-addon-acpi: escucha en la interfaz del núcleo acpi /proc/acpi/event
dbus-daemon --sistema
medio corredor
recogida -l -t fifo -u
avahi-daemon: ayudante de chroot
/sbin/auditoría -n
/usr/lib/systemd/systemd-journald

Pourcelot dice que el actor de amenazas actualizó BPFdoor regularmente, mejorando cada versión con diferentes nombres para comandos, procesos o archivos.

Por ejemplo, las variantes más nuevas del implante pasaron de usar palabras clave de comando a hashes MD5, probablemente en un intento de evitar la detección trivial.

Hay al menos 21 versiones de BPFdoor actualmente detectadas en la plataforma de escaneo Virus Total, las primeras enviadas en agosto de 2018.

Si bien la tasa de detección de este implante mejoró, especialmente después de que Beaumont, Rowland y Pourcelot publicaran sus hallazgos, el malware se volvió prácticamente invisible durante mucho tiempo.

Una variante de BPFdoor para Solaris de 2019 pasó desapercibida hasta al menos el 7 de mayo. Hoy, 28 motores antivirus la marcan como maliciosa.

En algunos casos, las detecciones son genéricas y marcan incorrectamente la variante de Solaris anterior como malware de Linux, aunque no es un binario de Linux.

Tristan Pourcelot dice que, si bien BPFdoor no usa técnicas novedosas o complicadas, se las arregló para mantenerse sigiloso durante un período prolongado.

Esto podría explicarse por el hecho de que la tecnología de monitoreo de malware no es tan común en entornos Linux como en Windows. Además, "los proveedores tienen una visibilidad significativamente menor", dijo Beaumont.

Craig Rowland está de acuerdo en que este es un gran problema. Incluso si existe un monitoreo, las personas no saben qué buscar o utilizan el enfoque incorrecto para encontrar malware de Linux.

El investigador nos dijo que algunos administradores usan hashes criptográficos para escanear el sistema en busca de malware o archivos maliciosos. Esto no funciona bien porque el cambio más pequeño en el archivo da como resultado un nuevo hash.

Además, EDR [Detección y respuesta de punto final] quiere cargar agentes por todas partes y los agentes rompen Linux, por lo que a menudo no son una buena opción. Entonces, la gente vuela desnuda con Linux a menudo y suceden cosas como esta "- Craig Rowland, refiriéndose particularmente a los sistemas Linux más antiguos

Rowland dice que la búsqueda de BPFdoor es fácil, al menos para la versión de Linux que analizó, ya que sus tácticas muestran claramente que "son maliciosos listos para usar".

Florian Roth, el creador del escáner THOR APT de Nextron Systems, encontró el código fuente de una versión anterior de BPFdoor de 2018. El código ahora está disponible públicamente en Pastebin:

Red Menshen BPFDoor Source Code
You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

7
You are not allowed to view links. Register or Login

NVIDIA ha publicado el código fuente de sus módulos del kernel de Linux para el controlador R515, lo que permite a los desarrolladores brindar una mayor integración, estabilidad y seguridad para las distribuciones de Linux.

El código fuente se ha publicado en el repositorio GitHub de NVIDIA bajo un modelo de licencia dual que combina las licencias GPL y MIT, lo que hace que los módulos sean legalmente redistribuibles.

You are not allowed to view links. Register or Login

Los productos compatibles con estos controladores incluyen todos los modelos creados en la arquitectura Turing y Ampere, lanzados después de 2018, incluidas las series GeForce 30 y GeForce 20, GTX 1650 y 1660, y la serie A de grado de centro de datos, Tesla y Quadro RTX.

Según el fabricante de GPU, este es un paso hacia la mejora de la experiencia de sus productos en la plataforma Linux, la simplificación del proceso de integración en las distribuciones de Linux, la depuración y el aumento de la actividad de contribución.

"Los desarrolladores pueden rastrear las rutas del código y ver cómo la programación de eventos del kernel interactúa con su carga de trabajo para una depuración más rápida de la causa raíz. Además, los desarrolladores de software empresarial ahora pueden integrar el controlador sin problemas en el kernel de Linux personalizado configurado para su proyecto". - Nvidia.

NVIDIA ha sido duramente criticada en el pasado por negarse a seguir un enfoque más abierto y colaborativo con la comunidad de código abierto, por lo que este movimiento se produce después de muchos años de presión.

Red Hat, SUSE y Canonical, el fabricante de Ubuntu, han emitido declaraciones breves para celebrar este desarrollo y resaltar los beneficios que traerá a sus usuarios y clientes.

Los nuevos módulos de núcleo de GPU de código abierto de NVIDIA simplificarán las instalaciones y aumentarán la seguridad para los usuarios de Ubuntu, ya sean desarrolladores de IA/ML, jugadores o usuarios de la nube”, comentó Cindy Goldberg, vicepresidenta de alianzas de silicio en Canonical. “Como creadores de Ubuntu, el sistema operativo basado en Linux más popular para desarrolladores, ahora podemos brindar un soporte aún mejor a los desarrolladores que trabajan en la vanguardia de AI y ML al permitir una integración aún más estrecha con las GPU NVIDIA en Ubuntu”.

You are not allowed to view links. Register or Login

Lo que esto significa para Linux

Si bien este es el movimiento más amigable con el código abierto que NVIDIA haya tomado, muchos argumentan que no es lo que parece, ya que gran parte del código se movió al firmware antes del código abierto.

Además, los controladores de modo de usuario seguirán siendo de código cerrado y se publicarán con binarios preconstruidos, por lo que, cuando se evalúan en general, una gran parte del controlador de gráficos moderno sigue siendo de código cerrado.

El desarrollo no hace que los controladores de NVIDIA formen parte del kernel de Linux y no puede ocurrir una integración ascendente. Sin embargo, esto no significa que el movimiento de NVIDIA sea insignificante para el mundo Linux.

El código fuente publicado puede ayudar a los desarrolladores del controlador Nouveau, el controlador de gráficos de código abierto para las tarjetas de video NVIDIA, a mejorar su código y mejorar considerablemente su rendimiento.

Anteriormente, estos desarrolladores tenían que confiar en la ingeniería inversa y muchas conjeturas. Ahora, pueden analizar las funcionalidades de la GPU, como el reloj y la gestión térmica, e implementar mejoras específicas en el controlador de código abierto.

El director de gráficos de Red Hat, Christian Schaller, ha publicado una publicación de blog en la que explica que la medida de NVIDIA no tendrá un gran impacto en los controladores y las distribuciones de Linux inicialmente.

Sin embargo, a largo plazo, el controlador binario (de código cerrado) comenzará a aprovechar las API exclusivas de GPL en el kernel, y el soporte listo para usar para nuevos conjuntos de chips en distribuciones de Linux mejorará enormemente.

En cuanto al piloto Nouveau, Schaller no espera beneficios inmediatos, pero se presentarán muchos aspectos positivos a largo plazo.

Para la comunidad de código abierto, significa que ahora tendremos un controlador de kernel y un firmware que permite cambiar el reloj de la GPU para brindar el tipo de rendimiento que la gente espera de la tarjeta gráfica NVidia, y significa que tendremos una -controlador de origen que tendrá acceso a las actualizaciones de firmware y kernel desde el primer día para las nuevas generaciones de hardware de NVidia. - Blog de GNOME

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

8
You are not allowed to view links. Register or Login

Se descubrió un nuevo troyano de acceso remoto llamado Nerbian RAT que incluye un amplio conjunto de características, incluida la capacidad de evadir la detección y el análisis por parte de los investigadores.

La nueva variante de malware está escrita en Go, lo que la convierte en una amenaza multiplataforma de 64 bits, y actualmente se distribuye a través de una campaña de distribución de correo electrónico a pequeña escala que utiliza archivos adjuntos de documentos con macros.

Las campañas de correo electrónico fueron descubiertas por investigadores de Proofpoint, quienes publicaron un informe hoy sobre el nuevo malware Nerbian RAT.

Haciéndose pasar por la OMS

La campaña de malware que distribuye Nerbian RAT se hace pasar por la Organización Mundial de la Salud (OMS), que supuestamente envía información de COVID-19 a los objetivos.

You are not allowed to view links. Register or Login

Los archivos adjuntos RAR contienen documentos de Word con código de macro malicioso, por lo que, si se abre en Microsoft Office con el contenido configurado como "habilitado", un archivo bat realiza un paso de ejecución de PowerShell para descargar un cuentagotas de 64 bits.

El cuentagotas, llamado "UpdateUAV.exe", también está escrito en Golang y está empaquetado en UPX para mantener el tamaño manejable.

UpdateUAV reutiliza el código de varios proyectos de GitHub para incorporar un amplio conjunto de mecanismos antianálisis y detección-evasión antes de implementar Nerbian RAT.

Aparte de eso, el cuentagotas también establece la persistencia al crear una tarea programada que inicia el RAT cada hora.

Proofpoint resume la lista de herramientas anti-análisis de la siguiente manera:

    Comprobar la existencia de programas de ingeniería inversa o depuración en la lista de procesos

    Compruebe si hay direcciones MAC sospechosas

    Verifique las cadenas WMI para ver si los nombres de los discos son legítimos

    Compruebe si el tamaño del disco duro es inferior a 100 GB, lo que es típico para las máquinas virtuales

    Compruebe si hay algún análisis de memoria o programas de detección de manipulación presentes en la lista de procesos

    Verifique la cantidad de tiempo transcurrido desde la ejecución y compárelo con un umbral establecido

    Use la API IsDebuggerPresent para determinar si el ejecutable se está depurando

Todas estas comprobaciones hacen que sea prácticamente imposible que el RAT se ejecute en un entorno virtualizado de espacio aislado, lo que garantiza el sigilo a largo plazo para los operadores de malware.

Características del RAT nerbia

El troyano se descarga como "MoUsoCore.exe" y se guarda en "C:\ProgramData\USOShared\". Admite varias funciones, mientras que sus operadores tienen la opción de configurarlo con algunas de ellas.

Dos de sus funciones notables son un registrador de teclas que almacena las pulsaciones de teclas en forma cifrada y una herramienta de captura de pantalla que funciona en todas las plataformas de sistemas operativos.

Las comunicaciones con el servidor C2 se manejan a través de SSL (Secure Sockets Layer), por lo que todos los intercambios de datos están encriptados y protegidos de la inspección en tránsito de las herramientas de escaneo de la red.

You are not allowed to view links. Register or Login

Estar al tanto

Sin duda, Proofpoint ha detectado un nuevo malware interesante y complejo que se centra en el sigilo a través de numerosos controles, comunicaciones cifradas y ofuscación de código.

Sin embargo, por ahora, Nerbian RAT se distribuye a través de campañas de correo electrónico de bajo volumen, por lo que aún no es una amenaza masiva, pero esto podría cambiar si sus autores deciden abrir su negocio a la comunidad de ciberdelincuentes en general.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

9
You are not allowed to view links. Register or Login

10 mayo (Reuters) - El multimillonario Elon Musk dijo el martes que revertiría la prohibición de Twitter contra el expresidente de Estados Unidos, Donald Trump, cuando compre la plataforma de redes sociales, la señal más clara de la intención de Musk de eliminar la moderación del sitio.

Musk, la persona más rica del mundo y director ejecutivo de Tesla Inc, firmó un acuerdo de $ 44 mil millones para comprar Twitter. Se ha llamado a sí mismo un "absolutista de la libertad de expresión", pero ha dado pocos detalles específicos de sus planes.

Se espera que Musk se convierta en el CEO temporal de Twitter después de cerrar el trato, informó Reuters anteriormente según una fuente familiarizada con el asunto.

La cuestión de reinstalar a Trump se ha visto como una prueba de fuego de hasta dónde llegará Musk para hacer cambios.

Musk, hablando en la conferencia Future of the Car de Financial Times, agregó que él y el cofundador de Twitter, Jack Dorsey, creen que las prohibiciones permanentes deberían ser "extremadamente raras" y reservadas para cuentas que operan bots o difunden spam.

Musk dijo que la decisión de prohibir a Trump amplificó las opiniones de Trump entre la gente de la derecha política, y calificó la prohibición como "moralmente incorrecta y completamente estúpida".

You are not allowed to view links. Register or Login

La suspensión de la cuenta de Trump, que tenía más de 88 millones de seguidores, silenció su megáfono principal días antes del final de su mandato y sigue a años de debate sobre cómo las empresas de redes sociales deberían moderar las cuentas de los poderosos líderes mundiales.

Trump fue suspendido permanentemente de Twitter poco después de los disturbios del 6 de enero en el Capitolio de los Estados Unidos. Twitter citó "el riesgo de una mayor incitación a la violencia" en su decisión.

Musk también dijo que la plataforma debe limitar el discurso según lo exige la ley, y le dijo a un funcionario de la Unión Europea el lunes que la política de la UE estaba "exactamente alineada" con su propio pensamiento, refiriéndose a una nueva ley que impone fuertes multas a las empresas que no controlar los contenidos ilegales como la publicidad dirigida a los niños.

Trump le había dicho previamente a Fox News que no volvería a Twitter si se le permitiera, prefiriendo su propia aplicación de redes sociales, Truth Social, una plataforma similar a Twitter que se lanzó en la tienda de aplicaciones de Apple en febrero pasado y en la que los usuarios publican "verdades". de tuits

Trump ha acelerado sus mensajes en la nueva plataforma después de un comienzo lento, publicando unas 50 veces, principalmente en la última semana, a sus 2,7 millones de seguidores. Promediaba 18 tuits al día cuando era presidente.

Trump es presidente de la compañía propietaria de Truth Social, que se fusionará con la firma de adquisición de cheques en blanco Digital World Acquisition Corp.

Durante la conferencia, Musk dijo que el acuerdo para adquirir Twitter podría concretarse en dos o tres meses en el "mejor de los casos".

Más temprano el martes, las acciones de Twitter cayeron a un nivel que indicaba que el mercado de valores creía que era poco probable que Musk hiciera la adquisición por $ 44 mil millones, como acordó originalmente.

La decisión de Musk de ir tras Twitter ha preocupado a algunos inversores de Tesla y ha ejercido presión sobre las acciones. Musk agregó el martes que se quedaría en Tesla "mientras pueda ser útil".


Fuente:
Reuters
You are not allowed to view links. Register or Login

10
You are not allowed to view links. Register or Login

Las tres soluciones de gráficas que acaba de presentar AMD no aspiran a complementar a las tarjetas gráficas Radeon RX 6000 que podemos encontrar en las tiendas; están aquí para reemplazar tres de ellas.

La Radeon RX 6950 XT es la heredera de la RX 6900 XT; la Radeon RX 6750 XT retomará el camino que inició la RX 6700 XT; y, por último, la Radeon RX 6650 XT seguirá los pasos de la RX 6600 XT. AMD nos propone la primera de estas tarjetas gráficas para jugar a 2160p, la segunda para hacerlo a 1440p, y la más modesta de las tres, la RX 6650 XT, para lidiar con la resolución 1080p. No obstante, es probable que en muchos títulos la Radeon RX 6750 XT y la 6650 XT rindan bien también a 2160p y 1440p respectivamente.



AMD Radeon RX 6950 XT, 6750 XT y 6650 XT: especificaciones técnicas

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Estas son las mejoras: la GPU y la VRAM ahora son más rápidas

La microarquitectura y la fotolitografía utilizadas por AMD para implementar estas nuevas tarjetas gráficas son las mismas que ha empleado en las demás soluciones de la familia Radeon RX 6000: RDNA 2 y la tecnología de integración de 7 nm de TSMC. También incorporan la misma cantidad de memoria VRAM que las tarjetas gráficas a las que sustituyen, por lo que en esencia son las mismas soluciones, pero con una vuelta de tuerca que nos promete tener un impacto perceptible en su rendimiento.

Y es que los ingenieros de AMD han introducido en estas tarjetas las optimizaciones necesarias para conseguir que tanto la GPU como la memoria VRAM puedan trabajar de forma estable a una frecuencia de reloj sostenida y máxima más alta. Y sí, este cambio sobre el papel es suficiente para que las cifras de rendimiento que nos prometen estas nuevas soluciones gráficas sean perceptiblemente más altas que las que ponen sobre la mesa sus predecesoras.

Para ilustrar el alcance de estas mejoras podemos fijarnos, por ejemplo, en la más ambiciosa de las nuevas tarjetas gráficas. La GPU de la Radeon RX 6950 XT puede trabajar a una frecuencia de reloj sostenida de hasta 2100 MHz, y en algunos momentos puede alcanzar de forma estable picos de 2310 MHz. La Radeon RX 6900 XT, sin embargo, arroja unas cifras un poco más comedidas: 2015 y 2250 MHz respectivamente.

El ancho de banda VRAM de la Radeon RX 6950 XT multiplica por más de tres el de la RX 6900XT

Este incremento parece sutil, pero, según AMD, tiene un impacto claro en su productividad. De hecho, la Radeon RX 6950 XT nos promete un rendimiento de 23,65 TFLOPS en operaciones de coma flotante de precisión simple, una tasa de relleno de texturas máxima de 739,2 GT/s, una tasa de relleno de píxeles máxima de 295,7 GP/s y un ancho de banda de memoria de 1793 GB/s.

Ahí van en el mismo orden en el que hemos revisado las de la RX 6950 XT: 23,04 TFLOPS, 720 GT/s, 288 GP/s y 512 GB/s. Las tres primeras especificaciones solo son ligeramente más altas en la Radeon RX 6950 XT, pero no debemos pasar por alto que el ancho de banda de la memoria de vídeo de esta tarjeta gráfica multiplica por más de tres el de la Radeon RX 6900 XT. Las aportaciones de las nuevas Radeon RX 6750 XT y RX 6650 XT son similares si las comparamos con sus predecesoras, por lo que será interesante comprobar qué impacto tienen en un escenario de uso real.

En cualquier caso, las mejoras que ha introducido AMD no se ciñen exclusivamente al hardware de sus tarjetas gráficas. Y es que también está a punto de lanzar la iteración 22.10 de sus controladores, e implementan la revisión 1.1 de la tecnología de reconstrucción de la imagen FidelityFX Super Resolution.

Según AMD las optimizaciones que han puesto a punto sus ingenieros van a contribuir a alcanzar un incremento del rendimiento que oscilará entre el 5 y el 13% dependiendo de la tarjeta gráfica que tengamos y el juego con el que la utilicemos (estas cifras las han tomado usando una Radeon RX 6950 XT en las pruebas).

AMD Radeon RX 6950 XT, 6750 XT y 6650 XT: precio y disponibilidad

Las nuevas tarjetas gráficas de la familia Radeon RX 6000 de AMD están disponibles desde hoy en las tiendas con los siguientes precios orientativos:

•   Radeon RX 6950 XT: 1099 dólares (1044 euros aprox.)
•   Radeon RX 6750 XT: 549 dólares (521 euros aprox.)
•   Radeon RX 6650 XT: 399 dólares (379 euros aprox.)
•   
Algunos de los ensambladores que nos proponen estas tarjetas gráficas son ASUS, ASRock, BioStar, MSI, Gigabyte, Sapphire, PowerColor, SFX o Yeston.

Fuente:
AMD
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login


Vía:
Xataka
You are not allowed to view links. Register or Login

11
You are not allowed to view links. Register or Login

El gigante de los semiconductores ha presentado los nuevos Intel Core HX de 12ª generación. Estos son sus procesadores más potentes y ambiciosos para equipos portátiles, y lo son gracias a que consumen más que el resto de los procesadores de esta iteración de Intel.

Estos chips están de hecho orientados tanto a gamers como a creadores de contenidos: los veremos pronto en equipos y estaciones de trabajo portátiles, y presumen de mejor rendimiento y de libertad total para hacer overclocking, tanto de sus núcleos como de la memoria RAM que los acompaña.

Más vatios para portátiles supervitaminados

Intel ya ofrecía su familia H con un TDP base de 45 W para equipos portátiles ambiciosos, pero estos nuevos procesadores van un poco más allá y ofrecen un TDP base de 55 W, y eso solo significa una cosa: más potencia en todos los ámbitos.

You are not allowed to view links. Register or Login

Los procesadores presentados disponen de hasta 16 núcleos (8 de rendimiento, 8 eficientes) y hasta 24 hilos de ejecución. Los núcleos más potentes funcionan a 2,3 GHz de base, pero pueden llegar hasta los 5 GHz. En el caso de los núclos eficientes, la frecuencia base máxima es de 1,8 GHz y su frecuencia en modo turbo de hasta 3,6 GHz dependiendo del modelo de procesador.

De hecho aunque el TDP base es de 55 W, si exprimimos todos los núcleos al máximo y también su GPU integrada, el consumo puede llegar a ser de 157 W, una cifra que deja claro las cotas de rendimiento a las que podemos llegar con dichos microprocesadores.

Estos nuevos chips llegan además con soporte para hasta 128 GB de memoria tanto si esta es DDR4 (hasta 3200 MHz) como DDR5 (hasta 4800 MHz). Se soportan también memorias con corrección de errores (ECC), algo relevante para ciertos escenarios especialmente profesionales.

La ambición de estos modelos se nota también en otro apartado: están desbloqueados de fábrica, lo que permite hacer overclocking tanto en su memoria. Esa opción está presente incluso si se trata de equipos con DDR5, y por tanto aquí tenemos una novedad interesante.

You are not allowed to view links. Register or Login

El soporte del estándar PCIe 5.0 es llamativo aunque por el momento hay muy pocos periféricos —apenas algunas unidades SSD— que aprovechen dicho estándar. Como era de esperar, también hay soporte para conectividad Wi-Fi 6/6E.

Según Intel el rendimiento de estos microprocesadores puede ser de hasta el 65% superior a sus predecesores.

You are not allowed to view links. Register or Login

Ciertamente la capacidad de trabajar con más consumo energético hace que lógicamente estos núcleos se acerquen un poco más a lo que ofrecerían los mejores procesadores para PCs de sobremesa.

En Intel indican que se espera que los principales fabricantes de equipos originales lancen este año más de 10 diseños de estaciones de trabajo y juegos con procesadores Intel Core HX de 12ª generación, incluidos los sistemas de Dell, HP y Lenovo.

Fuente:
Intel
You are not allowed to view links. Register or Login

Vía:
Xataka
You are not allowed to view links. Register or Login

12
You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad de BlackBerry advierten sobre un troyano de acceso remoto llamado DCRat (también conocido como DarkCrystal RAT) que está disponible para la venta en los foros rusos de ciberdelincuencia.

La puerta trasera (backdoor) de DCRat es muy barata, parece ser el trabajo de un actor de amenazas solitario que se conecta en línea con los apodos de "boldenis44", "crystalcoder" y Кодер ("Coder"). Los precios de la puerta trasera comienzan en 500 RUB ($ 5) por una licencia de dos meses, 2200 RUB ($ 21) por un año y 4200 RUB ($ 40) por una suscripción de por vida.

“Vendido principalmente en foros clandestinos rusos, DCRat es uno de los RAT comerciales más baratos que hemos encontrado. El precio de esta puerta trasera comienza en 500 RUB (menos de 5 GBP/6 USD) por una suscripción de dos meses y, en ocasiones, baja aún más durante las promociones especiales. No es de extrañar que sea tan popular entre los actores de amenazas profesionales y entre los guionistas”. lee el informe publicado por BlackBerry.

El autor implementó un malware efectivo y continúa manteniéndolo de manera eficiente. Los investigadores señalaron que el precio de este malware es una fracción del precio estándar como RAT en los foros clandestinos rusos.

DCRat apareció por primera vez en el panorama de amenazas en 2018, pero un año después fue rediseñado y relanzado.

DCRat está escrito en .NET y tiene una estructura modular, los afiliados pueden desarrollar sus propios complementos mediante el uso de un entorno de desarrollo integrado (IDE) dedicado llamado DCRat Studio.

La arquitectura modular del malware permite extender sus funcionalidades para múltiples propósitos maliciosos, incluyendo vigilancia, reconocimiento, robo de información, ataques DDoS y ejecución de código arbitrario.

El DCRat consta de tres componentes:

    Un ejecutable ladrón/cliente
    Una sola página PHP, que sirve como punto final/interfaz de comando y control (C2)
    Una herramienta de administrador

Todas las operaciones de marketing y ventas de DCRat se realizan a través del popular foro de piratería ruso lolz[.]guru, que también maneja algunas de las consultas de preventa de DCRat. Los temas de soporte de DCRat están disponibles aquí para el público en general, mientras que el hilo de oferta principal de DCRat está restringido solo a usuarios registrados”. continúa el informe.

El malware está en desarrollo activo, el autor anuncia cualquier noticia y actualización a través de un canal de Telegram dedicado que tenía aproximadamente 3k suscriptores:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Durante los últimos meses, los investigadores observaron a menudo que los clientes de DCRat se implementaban con el uso de balizas Cobalt Strike a través del Prometheus TDS (sistema de dirección de tráfico).

DCRat también implementa un interruptor de apagado, que dejaría inutilizables todas las instancias de la herramienta de administración de DCRat, independientemente de la validez de la licencia del suscriptor.

La herramienta del administrador permite a los suscriptores iniciar sesión en un servidor C2 activo, configurar (y generar) compilaciones del ejecutable del cliente DCRat, ejecutar comandos en sistemas infectados

Los expertos concluyeron que la RAT se mantiene diariamente, lo que significa que el autor está trabajando en este proyecto a tiempo completo.

Ciertamente, hay opciones de programación en esta amenaza que apuntan a que se trata de un autor de malware novato que aún no ha descubierto una estructura de precios adecuada. Elegir programar la amenaza en JPHP y agregar un contador de infecciones extrañamente no funcional ciertamente apunta en esta dirección. Podría ser que esta amenaza provenga de un autor que intenta ganar notoriedad, haciendo lo mejor que puede con el conocimiento que tiene para hacer algo popular lo más rápido posible”. concluye el informe que también incluye Indicadores de Compromiso (IoC).

Si bien la aparente inexperiencia del autor puede hacer que esta herramienta maliciosa parezca menos atractiva, algunos podrían verla como una oportunidad. Los actores de amenazas más experimentados podrían ver esta inexperiencia como un punto de venta, ya que el autor parece estar dedicando mucho tiempo y esfuerzo para complacer a sus clientes”.

Fuente:
SecurityAffairs
You are not allowed to view links. Register or Login

13
You are not allowed to view links. Register or Login

Los investigadores de seguridad notaron una campaña maliciosa que usaba registros de eventos de Windows para almacenar malware, una técnica que no se había documentado públicamente previamente para ataques en la naturaleza.

El método permitió al actor de amenazas detrás del ataque plantar malware sin archivos, en el sistema de archivos en un ataque lleno de técnicas y módulos diseñados para mantener la actividad lo más sigilosa posible.

Agregar cargas útiles a los registros de eventos de Windows

Los investigadores de Kaspersky recolectaron una muestra del malware después de que un producto de la empresa equipado con tecnología para la detección basada en el comportamiento y el control de anomalías lo identificara como una amenaza en la computadora de un cliente.

La investigación reveló que el malware formaba parte de una campaña "muy específica" y se basaba en un gran conjunto de herramientas, tanto personalizadas como disponibles comercialmente.

Una de las partes más interesantes del ataque es inyectar cargas útiles de shellcode en los registros de eventos de Windows para los Servicios de administración de claves (KMS), una acción completada por un cuentagotas de malware personalizado.

Denis Legezo, investigador principal de seguridad de Kaspersky, dice que este método se ha utilizado "por primera vez 'en la naturaleza' durante la campaña maliciosa".

You are not allowed to view links. Register or Login

El cuentagotas copia el archivo legítimo de manejo de errores del sistema operativo WerFault.exe en 'C:\Windows\Tasks' y luego suelta un recurso binario encriptado en 'wer.dll' (Informe de errores de Windows) en la misma ubicación, para el secuestro del orden de búsqueda de DLL para cargar código malicioso.

El secuestro de DLL es una técnica de piratería que explota programas legítimos con controles insuficientes para cargar en la memoria una biblioteca de vínculos dinámicos (DLL) maliciosa desde una ruta arbitraria.

Legezo dice que el propósito del cuentagotas es cargar en el disco para el proceso de carga lateral y buscar registros particulares en los registros de eventos (categoría 0x4142 - 'AB' en ASCII. Si no se encuentra dicho registro, escribe fragmentos de 8 KB de Shellcode encriptado, que luego se combinan para formar el código para el siguiente escenario.

"El wer.dll eliminado es un cargador y no haría ningún daño sin el shellcode oculto en los registros de eventos de Windows" - Denis Legezo, investigador principal de seguridad en Kaspersky

Es probable que la nueva técnica analizada por Kaspersky esté en camino de volverse más popular ya que Soumyadeep Basu, actualmente pasante del equipo rojo de Mandiant, creó y publicó en GitHub el código fuente para inyectar cargas en los registros de eventos de Windows:

You are not allowed to view links. Register or Login

Actor técnicamente avanzado

Según las diversas técnicas y módulos (suites de pruebas de penetración, envoltorios antidetección personalizados, troyanos de etapa final) utilizados en la campaña, Legezo señala que toda la campaña "se ve impresionante".

Declaró que "el actor detrás de la campaña es bastante hábil por sí mismo, o al menos tiene un buen conjunto de herramientas comerciales bastante profundas", lo que indica un adversario de nivel APT.

Entre las herramientas utilizadas en el ataque se encuentran los marcos comerciales de prueba de penetración Cobalt Strike y NetSPI (el antiguo SilentBreak).

Si bien se cree que algunos módulos del ataque son personalizados, el investigador señala que pueden ser parte de la plataforma NetSPI, para la cual no se disponía de una licencia comercial para realizar pruebas.

Por ejemplo, dos troyanos llamados ThrowbackDLL.dll y SlingshotDLL.dll pueden ser herramientas con el mismo nombre que se sabe que forman parte del marco de pruebas de penetración de SilentBreak.

"Comenzamos la investigación desde la última etapa en memoria y luego, usando nuestra telemetría, pudimos reconstruir varias cadenas de infección" - Denis Legezo

La investigación rastreó la etapa inicial del ataque hasta septiembre de 2021, cuando se engañó a la víctima para que descargara un archivo RAR del servicio de intercambio de archivos file.io.

Luego, el actor de amenazas difundió el módulo Cobalt Strike, que se firmó con un certificado de una empresa llamada Fast Invest ApS. El certificado se utilizó para firmar 15 archivos y ninguno de ellos era legítimo.

En la mayoría de los casos, el propósito final del malware dirigido con tal funcionalidad de etapa final es obtener algunos datos valiosos de las víctimas, dijo el investigador.

Mientras estudiaba el ataque, Kaspersky no encontró similitudes con campañas anteriores asociadas con un actor de amenazas conocido.

Hasta que se establece una conexión con un adversario conocido, los investigadores rastrean la nueva actividad como SilentBreak, por el nombre de la herramienta más utilizada en el ataque.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

14
You are not allowed to view links. Register or Login

El repositorio de paquetes de RubyGems ha solucionado una vulnerabilidad crítica que permitiría a cualquier persona anular la publicación ("retirar") ciertos paquetes de Ruby del repositorio y volver a publicar sus versiones corruptas o maliciosas con los mismos nombres de archivo y números de versión.

Asignado CVE-2022-29176, la falla crítica existía en RubyGems.org, que es el equivalente de Ruby de npmjs.com, y aloja más de 170 000 paquetes de Ruby (gemas) con casi 100 000 millones de descargas a lo largo de su vida útil.

Una auditoría inicial de RubyGems revela que la vulnerabilidad no se ha explotado en los últimos 18 meses para alterar ninguna gema, pero aún se está realizando una auditoría más profunda cuyos resultados aún no se han anunciado.

Secuestrar una gema: tirar, alterar, volver a publicar

Esta semana, RubyGems anunció que un error crítico podría haber permitido a cualquier usuario de RubyGems.org extraer versiones de una gema para la que no tenía autorización y reemplazar el contenido de la gema con archivos más nuevos.

Similar a npm para paquetes de NodeJS, RubyGems es un administrador de paquetes para el lenguaje de programación Ruby y proporciona un formato estandarizado para distribuir artefactos de Ruby terminados (llamados "gemas"). El registro de RubyGems.org es el servicio de alojamiento de gemas de la comunidad que permite a los desarrolladores publicar o instalar gemas al instante y usar un conjunto de API especializadas.

Si un actor de amenazas se da cuenta de tal falla, podría reemplazar silenciosamente el contenido de los paquetes legítimos de Ruby con malware, algo que tiene ecos de las populares bibliotecas ua-parser-js, coa y rc de npm que fueron secuestradas el año pasado para distribuir mineros y ladrones de contraseñas.

Aunque los incidentes de secuestro de npm se derivaron de los compromisos de la cuenta del mantenedor en lugar de una explotación de vulnerabilidad, causaron estragos ya que más de mil proyectos han utilizado bibliotecas como 'ua-parser-js', incluidos los utilizados por Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit y muchas más empresas conocidas.

En el caso de Ruby, la explotación masiva de dicho exploit podría causar un daño generalizado al ecosistema de Ruby y a la seguridad general de la cadena de suministro de software.

Para explotar la vulnerabilidad, explica RubyGems, se deben cumplir las siguientes condiciones:

    La gema a la que se apunta tiene uno o más guiones en su nombre, ej: “nombre-proveedor
    La palabra que viene antes del primer guión representa una gema controlada por el atacante que existe en RubyGems.org.
    La gema que se extrajo o modificó se creó en los últimos 30 días o no se actualizó en más de 100 días.

"Las organizaciones con muchas gemas no eran vulnerables siempre que fueran propietarias de la gema con el nombre antes del guión, por ejemplo, poseer el nombre de órgano de gema protegía todas las gemas con nombres como proveedor de nombre de órgano".

Esta vulnerabilidad, asignada CVE-2022-29176, acechaba en la "acción de extracción" del código de RubyGems y ahora se solucionó.

Desarrollador independiente y pentester, Greg Molnar ha explicado la falla con un poco más de profundidad técnica.

En este momento, los mantenedores de RubyGems.org no creen que se haya explotado la vulnerabilidad, según los resultados de una auditoría que analizó los cambios de gemas realizados en los últimos 18 meses en la plataforma.

Pero los propietarios del registro afirman que se está llevando a cabo una auditoría más profunda y sus resultados aparecerán en el aviso de seguridad publicado para esta vulnerabilidad, que también contiene algunas mitigaciones.

"RubyGems.org envía un correo electrónico a todos los propietarios de gemas cuando se publica o elimina una versión de gema. No hemos recibido ningún correo electrónico de soporte de los propietarios de gemas que indique que su gema ha sido eliminada sin autorización", afirma el aviso.

Los desarrolladores de RubyGem pueden auditar su historial de aplicaciones en busca de posibles exploits pasados revisando su Gemfile.lock y buscando gemas cuya plataforma haya cambiado y los números de versión permanezcan sin cambios.

Por ejemplo, ver la gema gemname-3.1.2 renombrada como gemname-3.1.2-java es una posible señal de que se ha explotado la vulnerabilidad.

Se le atribuye al usuario laursisask la notificación de la vulnerabilidad a través de HackerOne.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

15
You are not allowed to view links. Register or Login

La potencia de las tarjetas gráficas actuales hacen posible que no solamente puedan utilizarse para jugar o para trabajar con aplicaciones que requieran complejos procesos en 3D, sino también para minar criptomonedas, algo que desde hace años ha generado debate en la comunidad. Sin embargo, debido a la escasez de semiconductores, en gran parte ocasionada por la pandemia, NVIDIA limitó la potencia de minado en sus gráficas para que éstas pudieran llegar también a las manos de aquellos que simplemente las quisieran para jugar. De hecho, NVIDIA lanzó también una gráfica pensada únicamente para minar criptomonedas.

Saltarse la restricción de NVIDIA para desbloquear todo el potencial de minado parecía algo imposible. Sin embargo, todo apunta a que la compañía NiceHash ha dado con la solución. La firma ha lanzado el primer software que se salta el limitador de su tecnología LHR (Lite Hash Rate), pudiendo contar con toda la potencia para minar en las tarjetas gráficas de la serie RTX 30.



NiceHash desbloquea el algoritmo que limitaba el minado en las tarjetas gráficas de NVIDIA

La comunidad minera lleva un tiempo queriendo saber cómo eliminar esta restricción. Hasta ahora, había sido posible eliminar la restricción de manera parcial, pero gracias al software de NiceHash, parece que cualquiera que tenga alguna tarjeta gráfica entre la 3060 y 3080 Ti podrá desbloquear el límite impuesto por NVIDIA.

You are not allowed to view links. Register or Login

Los datos proporcionados por la compañía dan a entender que, aquellos que cuenten con una 3080 Ti, podrán minar con un rendimiento de aproximadamente 120 MH/s (mega hashes). Este modelo es el más potente para minar de los que cuentan con la restricción LHR, ya que ni la RTX 3090 ni 3090 Ti cuentan con este decremento de minado. El software aún no es compatibles con la RTX 3050 y la RTX 3080 de 12 GB.

La tecnología de NiceHash soporta por el momento únicamente QuickMiner como minero. Sin embargo, la compañía ha admitido que tras el lanzamiento de QuickMiner, podremos esperar también un pluggin para NiceHash Miner que sea compatible.

Este hecho podría suponer una nueva subida de precios en las tarjetas gráficas, algo preocupante, pues recientemente los precios se estaban normalizando de cierta forma con un nuevo reabastecimiento de las gráficas.

Fuente:
NiceHash Blog
You are not allowed to view links. Register or Login

Vía:
Genbeta
You are not allowed to view links. Register or Login

16
You are not allowed to view links. Register or Login

A finales del pasado mes de febrero, el inicio de la guerra entre Rusia y Ucrania agravó el ritmo de caída de un Bitcoin que ya llevaba tres meses en caída.Desde su máximo en 68.990 dólares (noviembre 2021), la entrada de las primeras tropas rusas desde Luganks y Donestk coincidió con su descenso de la criptomoneda por excelencia por debajo de los 35.000 dólares (algo más de la mitad de aquel precio). Y se alertaba entonces:

"Si los enfrentamientos militares en la zona se prolongan, no es descartable que pueda superarse (por debajo) la barrera psicológica de los 30.000 dólares".

Aún no ha llegado a ese punto. Pero, al momento, su valoración es exactamente de 31.004 dólares (tras haber cerrado el día de ayer 3.020 dólares por encima de dicha cifra). Una nueva caída incitada por el desplome del Nasdaq el pasado jueves (la peor caída en un sólo día desde 2020)…

You are not allowed to view links. Register or Login

…que a su vez era consecuencia de una decisión tomada el día antes por la Reserva Federal estadounidense de subir medio punto los tipos de interés, una medida anti-inflación que la 'Fed' no había tomado en los últimos 22 años. Y se habla ya de una nueva subida de los tipos (del actual 0,5% al 0,75%) que haría aún menos atractivo invertir en activos con más riesgo.

La alteración a la alta de los tipos de interés no hizo caer sólo a Bitcoin: las grandes de Silicon Valley (Apple, Microsoft, Tesla, Alphabet o Meta tampoco están pasando buenos días en Bolsa)

Queda cada vez más claro que, pese a la particularidad de las criptomonedas como producto financiero, su progresiva integración en las finanzas globales (desde la gran inversión en bitcoin de Tesla hasta su adopción como moneda de curso legal en varios países) provoca que, cada vez más, su crecimiento venga condicionado por las grandes tendencias económicas.

Vijay Ayyar, vicepresidente de la criptobolsa Luno, prevé que si Bitcoin llegara a caer por debajo de los 30.000 $, podría llegar a desplomarse ante los 25.000 $ antes de que pudiera tener lugar "un nuevo movimiento significativo" al alza.

Otras criptomonedas

También está influyendo en la valoración de Bitcoin la reciente desestabilización de una 'stablecoin'.

Resulta que este fin de semana, la 'cripto' TerraUSD —diseñada con el fin de vincular su valor al del dólar USA— perdió durante unas horas dicha paridad, lo cual ha disparado los temores de que la entidad que está detrás de TerraUSD, la Luna Foundation Guard, pueda empezar a vender las grandes reservas de bitcoin que posee con el fin de apuntalar su propia criptomoneda.

Y de las que hacen caer a Bitcoin a las que caen detrás de Bitcoin: el descanso en la valoración de ésta se ha visto seguido desde ayer de movimientos similares por parte de 'criptos' como Ether (-8,7%) o Cardano (-10%).

Fuente:
Genbeta
You are not allowed to view links. Register or Login

17
You are not allowed to view links. Register or Login

Casi medio centenar de gobiernos, entre ellos varios autoritarios, lo han usado para controlar a decenas de miles de objetivos potenciales en todo el mundo, según ha revelado el consorcio de periodistas Forbidden Stories y la organización Amnistía Internacional.

Una filtración revela el espionaje de Gobiernos a periodistas y opositores con el programa Pegasus. Varios Estados autoritarios supuestamente usaron este software para espiar parte de una lista de 50.000 números de teléfono, según una investigación del consorcio Forbidden Stories.

La revelación, publicada el domingo por los diarios Le Monde y The Guardian, entre otros medios internacionales– se basa en la filtración de una lista de 50.000 números telefónicos identificados como objetivos potenciales desde 2016 por los clientes de NSO, aunque no todos han sido infectados. Entre los estados que usaron el programa de NSO según las revelaciones, se encuentran México, Hungría, Marruecos, la India, Arabia Saudí, Ruanda y Azerbaiyán.

De acuerdo a Forbidden Stories, el Gobierno español informa que los teléfonos del Presidente del Gobierno, Pedro Sánchez, y de la Ministra de Defensa, Margarita Robles, fueron infectados con el programa espía Pegasus el año pasado.

El máximo tribunal penal de España investigará el ilícito, que también afectó a la ministra de Defensa.

Los desarrolladores de Pegasus dicen que el programa espía es sólo para uso gubernamental. El informe apunta a Marruecos como posible autor del espionaje a 200 móviles españoles que habrían sido seleccionados como objetivos de vigilancia por parte de un cliente de la compañía israelí NSO Group.

Félix Bolaños, ministro de la Presidencia, dijo que el teléfono de Sánchez fue atacado en mayo y junio de 2021, mientras que el de Robles lo fue en junio de 2021. Bolaños dijo que la máxima instancia penal española, la Audiencia Nacional, investigará la actividad "ilícita" y "externa".

Asimismo, dijo que las escuchas debían provenir de fuera de España porque cualquier actividad de ese tipo en España habría requerido la autorización de un juez.

Pegasus, vendido por la empresa israelí NSO Group, se ha utilizado para espiar a docenas de activistas independentistas catalanes, entre ellos el presidente de la región del noreste de España, Pere Aragonès, y tres de sus predecesores que dirigieron la región antes que él.

El software Pegasus, desarrollado por la empresa israelí NSO, saltó al centro de la polémica cuando el pasado mes de agosto una investigación del diario The Washington Post reveló una lista de 50.000 teléfonos de todo el mundo que podrían ser objetivo del software. Entre los usuarios de esos teléfonos hay periodistas, activistas y empresarios, entre otras personalidades.

El gobierno regional catalán ha apuntado al Centro Nacional de Inteligencia (CNI) del país. El Defensor del Pueblo español también ha iniciado una investigación sobre la supuesta persecución de activistas catalanes por parte del CNI, que forma parte del Gobierno.

El presidente catalán dijo en un comunicado:

"Cualquier espionaje político es extremadamente grave. Hace unos días denunciamos el espionaje, pero el gobierno español no nos dio ninguna explicación. Cuando se trata de un espionaje masivo a las instituciones catalanas y al movimiento independentista, todo era silencio y excusas. Con esto, todo va muy rápido. Hay que depurar responsabilidades de inmediato. Urge una investigación exhaustiva e independiente y asumir responsabilidades".

NSO Group afirmó en un comunicado que estudiaría "cualquier sospecha de uso indebido" de su software y que colaboraría con cualquier investigación del gobierno. Según un portavoz, "no hemos visto ninguna información sobre este supuesto uso indebido y no conocemos los detalles de este caso".

La postura de NSO sigue siendo:

"Utilizar herramientas cibernéticas para vigilar a políticos, activistas o periodistas es un grave uso indebido de cualquier tecnología, y va en contra del uso previsto de estas herramientas críticas. NSO es un proveedor de software; la empresa no maneja la tecnología ni tiene conocimiento de los datos recogidos".

NSO Group afirma que Pegasus sólo se vende a los gobiernos para rastrear a los delincuentes y a los terroristas.

NSO Group fue incluido en una lista negra por Estados Unidos tres meses después de que un grupo de periodistas que trabajaba con una organización francesa sin ánimo de lucro llamada Forbidden Stories revelara que muchos periodistas y activistas habían sido hackeados por gobiernos extranjeros mediante un programa espía llamado NSO.

El problema que plantea el programa Pegasus, si se confirma la lista de 50.000 objetivos, es que no sirve solo para espiar y combatir a organizaciones criminales o terroristas, el uso para el que teóricamente se habría concebido. El problema sería que se hubiese utilizado fuera de todo marco legal y principalmente para espiar a activistas por los derechos humanos, periodistas y opositores, además de jefes de Estado y de Gobierno, diplomáticos y responsables de otros servicios de espionaje.

Fuente:
Hacking Land
You are not allowed to view links. Register or Login

18
You are not allowed to view links. Register or Login

El uso de la red TOR es una opción muy recomendable para sortear problemas de privacidad en la navegación web, al impedir que tanto autoridades como cibercriminales monitoricen el tráfico web y puedan relacionarlo con un usuario en concreto.

Sin embargo, esta red siempre ha tenido un gran punto en su contra: los problemas de velocidad. A causa de la estructura que usa para garantizar el anonimato (que hace que nuestra conexión pase a través de diversos nodos hasta llegar a su destino final) los responsables de The Tor Project se han visto obligados durante casi dos décadas a dejar la velocidad en segundo o tercer plano…un aspecto que, sin embargo, ha tenido como consecuencia alejar a un grupo sustancial de potenciales usuarios de esta red, al convertirse muchos servicios web en casi inusables. Eso, sin embargo, acaba de empezar a cambiar.

Y es TOR Project acaba de revelar algunos detalles sobre una nueva tecnología —Congestion Control— que han implementado en su red, a partir de la versión 0.4.7 de su protocolo, disponible como versión estable de TOR desde hace unos días. Esta tecnología permitirá, según afirman sus responsables,

"Que se traduzca en mejoras significativas en el rendimiento de TOR, así como en una mayor utilización de nuestra capacidad de red".

El nuevo sistema implementa tres algoritmos que, usados conjuntamente, ayudan a reducir el consumo de memoria y que estabilizan y minimizan el retraso y la latencia de la cola de espera de conexiones:

•   Tor Westwood: Minimiza la pérdida de paquetes en los grandes cauces de tráfico web.

•   Tor-Vegas: Estima la longitud de la cola de espera e introduce "elementos de equilibrio".

•   Tor-NOLA: Permite estimar el retardo del ancho de banda.

Cambio logrados y cambios futuros

Los responsables del proyecto han ejecutado simulaciones para comparar las versiones 0.4.6 y 0.4.7, y los resultados muestran una navegación más fluida, que suprime los cuellos de botella, sin agregar ninguna carga en la latencia de extremo a extremo.

You are not allowed to view links. Register or Login

Sin embargo, para que toda la comunidad se beneficie de las mejoras, los operadores de nodos de salida tendrán que actualizarse todos a la versión 0.4.7 del protocolo.

"Por esta razón, nos estamos absteniendo de lanzar una versión estable de Tor Browser con Congestion Control hasta que se hayan actualizado los suficientes nodos como para lograr que la experiencia sea más uniforme. Esperamos que esto suceda para el 31 de mayo".

Además, la próxima versión estable ( 0.4.8 ) vendrá con novedades añadidas —un mecanismo de división de tráfico— destinadas a seguir mejorando la velocidad de la red.

Fuente:
Tor Project
You are not allowed to view links. Register or Login

Vía (traducción al español)
Genbeta
You are not allowed to view links. Register or Login

19
You are not allowed to view links. Register or Login

WASHINGTON, 6 mayo (Reuters) - Nvidia Corporation acordó pagar 5,5 millones de dólares para resolver los cargos civiles por los que la firma de tecnología no reveló adecuadamente el impacto de la criptominería en su negocio de juegos; declaró este viernes la Comisión de Bolsa y Valores de EE. UU.

En trimestres consecutivos en el año fiscal 2018, Nvidia no reveló que la criptominería era un "elemento significativo" de su crecimiento de ingresos por las ventas de chips diseñados para juegos, dijo la SEC en un comunicado y una orden de cobro.

La firma, que no admitió ni negó los hallazgos de la SEC, acordó pagar una multa civil de $5.5 millones. Un portavoz de Nvidia, con sede en Santa Clara, California, se negó a comentar.

En 2018, los chips de Nvidia se hicieron populares para la criptominería, el proceso de obtener recompensas criptográficas a cambio de verificar transacciones en registros distribuidos, dijo la SEC. El regulador alegó que Nvidia conocía esa información, pero no la compartió con los inversores.

Esas omisiones engañaron a los inversores y analistas que estaban interesados en comprender el impacto de la criptominería en el negocio de Nvidia, dijo la SEC.

Fuente:
Reuters
You are not allowed to view links. Register or Login

20
You are not allowed to view links. Register or Login

WASHINGTON, 6 mayo (Reuters) - Estados Unidos ofreció el viernes una recompensa de hasta 15 millones de dólares por información sobre el grupo de ransomware Conti, con sede en Rusia, al que se culpa de los ataques cibernéticos de extorsión en todo el mundo, dijo el portavoz del Departamento de Estado, Ned Price.

El FBI estima que más de 1000 víctimas del grupo Conti han pagado un total de más de 150 millones de dólares en pagos de ransomware, dijo Price en un comunicado.

"Al ofrecer esta recompensa, Estados Unidos demuestra su compromiso de proteger a las posibles víctimas de ransomware en todo el mundo de la explotación por parte de los ciberdelincuentes", dijo.

La recompensa comprende $10 millones por la identificación o ubicación de los líderes del grupo, y $5 millones por información que resulte en el arresto de cualquiera que conspire con Conti.

El año pasado, el FBI dijo que Conti fue responsable de atacar 16 redes médicas y de primeros auxilios en los Estados Unidos.

Price señaló que se culpó a Conti de un ataque en abril a las plataformas tributarias y aduaneras de Costa Rica, lo que impactó el comercio exterior del país centroamericano.

En febrero, el grupo Conti prometió atacar a los enemigos del Kremlin si respondían a la invasión rusa de Ucrania.

Fuente:
Reuters
You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 39