This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - AXCESS

Pages: [1] 2 3 ... 92
1
You are not allowed to view links. Register or Login

Los atacantes usaron un malware recientemente descubierto en servidores de Microsoft Exchange de puerta trasera pertenecientes a organizaciones gubernamentales y militares de Europa, Medio Oriente, Asia y África.

El malware, denominado SessionManager por los investigadores de seguridad de Kaspersky, que lo detectaron por primera vez a principios de 2022, es un módulo de código nativo malicioso para el software del servidor web Internet Information Services (IIS) de Microsoft.

Se ha utilizado en la naturaleza sin ser detectado desde al menos marzo de 2021, justo después del comienzo de la ola masiva de ataques ProxyLogon del año pasado.

"La puerta trasera SessionManager permite a los actores de amenazas mantener un acceso persistente, resistente a las actualizaciones y bastante sigiloso a la infraestructura de TI de una organización objetivo", reveló Kaspersky el jueves.

"Una vez que ingresan al sistema de la víctima, los ciberdelincuentes detrás de la puerta trasera pueden obtener acceso a los correos electrónicos de la empresa, actualizar el acceso malicioso instalando otros tipos de malware o administrar clandestinamente servidores comprometidos, que pueden aprovecharse como infraestructura maliciosa".

Las capacidades de SessionManager incluyen, entre otras características:

   - soltar y administrar archivos arbitrarios en servidores comprometidos
   - ejecución remota de comandos en dispositivos con puerta trasera
   - conectarse a puntos finales dentro de la red local de la víctima y manipular el tráfico de la red

A fines de abril de 2022, mientras aún investigaba los ataques, Kaspersky descubrió que la mayoría de las muestras de malware identificadas anteriormente todavía estaban implementadas en 34 servidores de 24 organizaciones (todavía en funcionamiento hasta junio de 2022).

Además, meses después del descubrimiento inicial, "un popular servicio de escaneo de archivos en línea" aún no los marcaba como maliciosos.

Después de la implementación, el módulo IIS malicioso permite a sus operadores recopilar credenciales de la memoria del sistema, recopilar información de la red de las víctimas y los dispositivos infectados, y entregar cargas útiles adicionales (como un cargador reflexivo Mimikatz basado en PowerSploit, Mimikatz SSP, ProcDump y un herramienta legítima de volcado de memoria de Avast).

Objetivos de SessionManager (Kaspersky)

You are not allowed to view links. Register or Login

"La explotación de las vulnerabilidades del servidor de intercambio ha sido una de las favoritas de los ciberdelincuentes que buscan ingresar a la infraestructura objetivo desde el primer trimestre de 2021. El SessionManager recientemente descubierto se detectó mal durante un año y todavía se implementa en la naturaleza ", agregó Pierre Delcher, investigador sénior de seguridad de Kaspersky.

"En el caso de los servidores de Exchange, no podemos enfatizarlo lo suficiente: las vulnerabilidades del año pasado los convirtieron en objetivos perfectos, cualquiera que sea la intención maliciosa, por lo que deben ser auditados y monitoreados cuidadosamente en busca de implantes ocultos, si aún no lo han sido".

Kaspersky descubrió el malware SessionManager mientras continuaba buscando puertas traseras de IIS similares a Owowa, otro módulo malicioso de IIS implementado por atacantes en servidores de Microsoft Exchange Outlook Web Access desde finales de 2020 para robar credenciales de Exchange.

Enlaces de grupo Gelsemium APT

Con base en una victimología similar y el uso de la variante de malware OwlProxy, los expertos en seguridad de Kaspersky creen que la puerta trasera SessionManager IIS fue aprovechada en estos ataques por el actor de amenazas Gelsemium como parte de una operación de espionaje mundial.

Este grupo de piratería ha estado activo desde al menos 2014, cuando SecurityLabs de G DATA detectó algunas de sus herramientas maliciosas mientras investigaba la campaña de ciberespionaje "Operación TooHash". En 2016, surgieron nuevos indicadores de compromiso de Gelsemium en una presentación de Verint Systems durante la conferencia HITCON.

Dos años más tarde, en 2018, VenusTech reveló muestras de malware vinculadas a la Operación TooHash y un grupo APT desconocido, luego etiquetado por la empresa de seguridad de Internet eslovaca ESET como versiones tempranas del malware Gelsemium.

ESET también reveló el año pasado que sus investigadores vincularon Gelsemium con Operation NightScout, un ataque a la cadena de suministro dirigido al sistema de actualización del emulador de Android NoxPlayer para Windows y macOS (con más de 150 millones de usuarios) para infectar los sistemas de los jugadores entre septiembre de 2020 y enero de 2021.

De lo contrario, el grupo Gelsemium APT es conocido principalmente por apuntar a gobiernos, fabricantes de productos electrónicos y universidades del este de Asia y Medio Oriente y, en su mayoría, por pasar desapercibido.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

2
You are not allowed to view links. Register or Login

Es probable que un ataque cibernético a grandes instituciones públicas y privadas en Noruega se atribuya a un grupo criminal prorruso, según el Director General de la Autoridad de Seguridad Nacional de Noruega (NSM).

El ataque de denegación de servicio distribuido (DDOS) tuvo como objetivo una red de datos nacional segura y afectó a una variedad de instituciones públicas y privadas.

Sofie Nystrøm, directora general de NSM, afirmó que un grupo de piratas informáticos prorrusos parece estar detrás del ataque. Actualmente parece que no se produjo ningún daño significativo, y "no se tomó información confidencial".

Entre los sitios web afectados se encontraba el sitio web de la Autoridad de Inspección Laboral de Noruega, que estuvo inactivo el miércoles debido al ataque. No se nombraron otras organizaciones que fueron víctimas del ataque.

Hemos visto ataques similares en otros países recientemente, pero ninguno de estos ha reportado consecuencias duraderas. Los ataques aún podrán crear incertidumbre en la población y dar la impresión de que somos una pieza en la situación política actual en Europa”, dijo Nystrøm en un comunicado.

A principios de mayo, NSM solicitó a las empresas noruegas que se prepararan para los ataques DDOS.

Rusia ha amenazado previamente a Noruega con “medidas de represalia” por bloquear el acceso al archipiélago de Svalbard.

Indicamos que las acciones hostiles contra Rusia conducirán inevitablemente a medidas de represalia apropiadas”, dijo el Ministerio de Relaciones Exteriores de Rusia.

Fuente:
CyberNews
You are not allowed to view links. Register or Login

3
You are not allowed to view links. Register or Login

30 jun (Reuters) - Bitcoin cayó un 6,1% a $18.866,77 a las 2004 GMT el jueves, lo que hizo que la criptomoneda más grande y conocida cayera $1.226,41 desde su cierre anterior y un 60,9% desde el máximo del año de $48.234 el 28 de marzo.

Varios grandes jugadores en los mercados de criptomonedas han tenido dificultades, y nuevas caídas podrían obligar a otros inversores en criptomonedas a vender participaciones para cumplir con las llamadas de margen y cubrir pérdidas.

Ether, la moneda vinculada a la red blockchain de ethereum, cayó un 7,5 % a 1.016,08 dólares el jueves, perdiendo 82,38 dólares desde su cierre anterior.

Ambos activos digitales han tenido problemas desde que el prestamista con sede en EE. UU. Celsius Network dijo este mes que suspendería los retiros. Bitcoin y ether se vieron aún más afectados por la aparente insolvencia del criptofondo de cobertura Three Arrows Capital, que una persona familiarizada con el asunto dijo a Reuters que entró en liquidación.

Muchos de los problemas recientes de la industria se remontan al espectacular colapso de la denominada moneda estable TerraUSD en mayo, en la que la moneda estable perdió casi todo su valor, junto con su token emparejado.

Fuente:
Reuters
You are not allowed to view links. Register or Login

4
You are not allowed to view links. Register or Login

Se sospecha que el grupo Lazarus APT, vinculado a Corea del Norte, está detrás del reciente ataque al puente Harmony Horizon.

Recientemente, los actores de amenazas han robado USD 100 millones en criptomonedas de la empresa Blockchain Harmony. La compañía reportó el incidente a las autoridades, el FBI está investigando el robo cibernético con la ayuda de varias firmas de ciberseguridad.

Horizon Bridge de Harmony permite a los usuarios transferir sus activos criptográficos de una cadena de bloques a otra, la compañía detuvo inmediatamente el puente para evitar más transacciones y notificó a otros intercambios.

La compañía también ofrece una recompensa de $1 millón a cambio de la devolución de los fondos.

La firma de seguridad de blockchain CertiK publicó un análisis detallado del incidente, confirmó que los actores de la amenaza pudieron acceder a los propietarios de las billeteras multiSig de Horizon y luego drenaron los fondos de Harmony.

El 23 de junio de 2022 a las 11:06:46 a. m. + UTC, el puente entre la cadena Harmony y Ethereum experimentó múltiples vulnerabilidades. Nuestro análisis experto ha identificado doce transacciones de ataque y tres direcciones de ataque”.

 “A través de estas transacciones, el atacante obtuvo varios tokens en el puente, incluidos ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH y FRAX. Las transacciones varían en valor, pero oscilan entre $49,178 y más de $41,200,000.

El atacante logró esto al controlar de alguna manera al propietario de MultiSigWallet para llamar a confirmTransaction() directamente para transferir grandes cantidades de tokens desde el puente en Harmony, lo que provocó una pérdida total de alrededor de $ 97 millones en activos en la cadena Harmony que el atacante se ha consolidado en una dirección principal.


El 27 de junio, los actores de amenazas detrás del culpable del atraco cibernético comenzaron a transferir los fondos (aproximadamente $ 39 millones) a través del servicio mezclador Tornado Cash para lavar las ganancias ilícitas.

La buena noticia es que la firma de seguridad de blockchain Elliptic pudo analizar las transacciones incluso después del uso del servicio de mezclador.

Según Elliptic, Lazarus APT, vinculado a Corea del Norte, estaba detrás del ataque.

Existen fuertes indicios de que el Grupo Lazarus de Corea del Norte puede ser responsable de este robo, según la naturaleza del ataque y el posterior lavado de los fondos robados. Se cree que Lazarus robó más de $ 2 mil millones en criptoactivos de los intercambios y los servicios DeFi". “El robo se perpetró comprometiendo las claves criptográficas de una billetera de múltiples firmas, probablemente a través de un ataque de ingeniería social a los miembros del equipo de Harmony. Estas técnicas han sido utilizadas con frecuencia por el Grupo Lazarus”.

Según la firma, los atacantes comprometieron las claves criptográficas de una billetera de múltiples firmas, probablemente a través de un ataque de ingeniería social dirigido a los miembros del equipo de Harmony.

Los investigadores de Elliptic señalaron que los períodos relativamente cortos durante los cuales los fondos robados dejan de sacarse del efectivo de Tornado son consistentes con las horas nocturnas en la zona horaria de Asia-Pacífico.

La regularidad de los depósitos en Tornado durante largos períodos de tiempo sugiere que se está utilizando un proceso automatizado. Hemos observado un lavado programático muy similar de fondos robados del Puente Ronin, que se ha atribuido a Lazarus, así como una serie de otros ataques vinculados al grupo”. concluye la publicación.

Desde entonces, Harmony notificó a todos los intercambios de criptomonedas e involucró a las fuerzas del orden y firmas forenses de blockchain para ayudar en la recuperación de activos robados. También ofrece "una última oportunidad" para que los ladrones cibernéticos devuelvan los fondos de forma anónima y "retengan $10 millones y devuelvan el monto restante" antes del 4 de julio de 2022 a las 11 p.m. GMT.

Fuente:
SecurityAffairs
You are not allowed to view links. Register or Login

5
You are not allowed to view links. Register or Login

Una prueba de rendimiento filtrada ha permitido ver cómo se comporta una muestra de ingeniería temprana del Intel Core i9-13900, y los resultados obtenidos frente al Intel Core i9-12900 son espectaculares, sobre todo porque esta muestra solo funcionaba a 3,7 GHz en sus núcleos de alto rendimiento, una velocidad que queda muy por debajo de los 5,1 GHz que alcanza el chip Alder Lake-S funcionando de «stock» en modo turbo (con un núcleo activo).

El Intel Core i9-13900 será un procesador de gama alta de nueva generación que posicionará solo un poco por debajo del Intel Core i9-13900K. Las únicas diferencias entre ambos vendrán dadas por las frecuencias de trabajo y porque el segundo soportará overclock (tendrá el multiplicador desbloqueado). Ambos tendrán la misma configuración y utilizarán la misma arquitectura, lo que significa que:

•   Utilizarán el nodo Intel 7 (10 nm mejorado).

•   Tendrán 8 núcleos Red Cove de alto rendimiento y 16 núcleos Gracemont de alta eficiencia.

•   Los núcleos de alto rendimiento tendrán HyperThreading, lo que al final nos deja 32 hilos.

•   Contarán con 32 MB de caché L2 y 36 MB de caché L3 en total.

•   Soportarán instrucciones AVX-AVX2 en los núcleos de alta eficiencia.

•   Serán compatibles con memoria DDR4 y DDR5.

Características de la muestra del Intel Core i9-13900 puesta a prueba

You are not allowed to view links. Register or Login

Como se mencionó, la unidad tiene 8 núcleos de alto rendimiento, 16 núcleos de alta eficiencia y 32 hilos. Su caché asciende a un total combinado (L2 y L3) de 68 MB, y funciona a una velocidad de 3,7 GHz en los núcleos de alto rendimiento y 2,76 GHz en los núcleos de alta eficiencia. Obvia decir que esas frecuencias están muy por debajo del máximo que hemos visto en la serie Alder Lake-S, y en su versión final deberían situarse cerca de los 5 GHz en los núcleos de alto rendimiento y muy por encima de los 3 GHz en los núcleos de alta eficiencia.

No se ha especificado la configuración de memoria RAM utilizada, así que no sabemos si se ha acompañado de DDR5 a 5.600 o de otro tipo de memoria más lenta. En cualquier caso, lo importante es que el rendimiento que consigue el Intel Core i9-13900 es, en general, muy bueno, y resulta más que suficiente para marcar un salto generacional notable.

En la prueba de rendimiento de precisión simple (FP32) el Intel Core i9-13900 supera al Intel Core i9-12900 en un 50%, mientras que en doble precisión (FP64) dobla el rendimiento de aquel. En general, este chip logra superar a todos los procesadores de la comparativa sin ningún tipo de problema, y eso que, como ya hemos dicho, sus frecuencias de trabajo son bastante bajas porque se trata de una muestra de ingeniería.

Cuando se mira los resultados bajo SIMD nos encontramos con unos resultados no tan positivos, ya que el Intel Core i9-13900 pierde frente al Ryzen 9 5950X, y solo queda un poco por encima del Intel Core i9-12900. Si hacemos una valoración media está claro que las conclusiones que podemos sacar son positivas. Será interesante ver cómo rinde el Intel Core i9-13900 en su versión final, y qué frecuencias de trabajo es capaz de alcanzar el gigante del chip con esta nueva generación. Las primeras informaciones auguraban una importante mejora de rendimiento.

Si todo va según lo previsto Raptor Lake-S debería ser presentado oficialmente a finales de este mismo año, probablemente entre los meses de octubre y de noviembre. Esta nueva generación será compatible con las placas base LGA1700 serie 600 actuales, aunque vendrá acompañada de nuevas placas con chipsets serie 700. También será compatible con las memorias de tipo DDR4 y DDR5, así que no tendremos que invertir en nuevos módulos si decidimos actualizar. Su rival directo será Zen 4 de AMD.

Fuente:
MuyComputer
You are not allowed to view links. Register or Login

6
Muy buen trabajo.
Y bien explicado al detalle.

Muchas Gracias

[Va para el manual de tutos]

7
Hacking / Cómo obtener direcciones de Gmail Ilimitadas
« on: Today at 04:54:12 pm »
You are not allowed to view links. Register or Login

Este es otro truco muy sencillo pero útil.

En Internet hay servicios que piden un email de Gmail por cuestiones de seguridad. Un ejemplo es Discord así como otros sitios muy populares.
Sucede que no se desea ofrecer el email de Gmail por razones de privacidad. Tiene la opción de poder crear direcciones de su correo de Gmail derivadas y múltiples.

Antes de continuar declaro que no lo he probado (por razones de intereses, necesidad, y tiempo), pero por las referencias (que son múltiples y serias) funciona.

You are not allowed to view links. Register or Login

El script lo que hace es que crea versiones derivadas del nombre de su cuenta de correo. En este punto no me queda claro sí al usar estos derivados, que las webs detectan como email´s diferentes e independientes, al responderle por alguno de dichos derivados, la respuesta iría a su email de Gmail principal. Al parecer, por lo que se refiere “”.

Pero me deja la duda de que si existiere “por casualidad” un email que precisamente es un derivado del nuestro, no se pierda en esa coincidencia.

De cualquier modo, me pareció interesante este “hack” o truco, y aquí se los dejo.
Existen varias versiones y les refiero las de más reputación:

GitHub
Gmail Dot Trick Generator

You are not allowed to view links. Register or Login

Quiere múltiples cuentas en un correo electrónico. Bueno, esta aplicación te permite generar varias cuentas de correo electrónico usando "Gmail-Dot-Trick". Simplemente edite "correo electrónico" en el archivo main.py y la aplicación generará correos electrónicos.

You are not allowed to view links. Register or Login


You are not allowed to view links. Register or Login

"Una herramienta para crear infinitos correos electrónicos usando solo 1 nombre de usuario para registrar el mismo correo electrónico varias veces. (generalmente para la Discord)"

You are not allowed to view links. Register or Login


8
Hacking / Cómo Bypassear The New York Times o webs similares
« on: June 29, 2022, 09:35:45 pm »
You are not allowed to view links. Register or Login

Este es un “hack” o truco muy sencillo pero para el que no se lo sabe le ayudará mucho.

Es frecuente encontrar webs del tipo como el del “The New York Times”, sobre todo en medios noticiosos que, pasado un número determinado de visitas (3, 4 aproximadamente), restringen o bloquean el acceso al usuario, redirigiéndolos hacia una página de registro o pago.

You are not allowed to view links. Register or Login

Lo hacen porque necesitan crear su perfil de usuario a través de su email, para bombardearle publicidad, que es el medio económico del cual se sustentan. O cobran por suscripción.

Esto es fácilmente bypasseable y es a través del bloqueo del JavaScript en la web (una forma eficiente y sencilla de hacerlo)

Si usa Google Chrome puede bloquear el JavaScript de la web que desee a través de:

chrome://configuración/contenido
javascript deshabilitado


You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Pueden agregar la web a la black list para que cuando carguen la página, ya por defecto les bloquerá el JavaScript

En Mozilla Firefox recomiendo un addon (extensión) que les facilitará el proceso; y así no nos complicaremos, en especial para los que no tienen experiencia en configuraciones avanzadas del navegador.

You are not allowed to view links. Register or Login

Es un swicht o botoncito que según lo deslicen bloquearán o no al JavaScript en la web que deseen. También tiene la opción de agregar el sitio a una black list.

You are not allowed to view links. Register or Login

De este modo el sitio nunca los bloquearán, ni les pedirá registro.

Otro modo y es el más frecuente (un tanto tedioso por lo rutinario) es limpiar el navegador:
 
Preferences
Privacy & Security
Cookies and Site Data
Manage Data


Seleccionar el sitio, eliminar y salvar los cambios.

Esto sería repetitivo en tanto el sitio le lleve el número de visitas (accesos).
Aunque puede crear una regla permanente para que el sitio no guarde ningún dato al cerrar:

Manage Exception


Suerte.

9
You are not allowed to view links. Register or Login

El gigante de los semiconductores AMD dice que están investigando un ataque cibernético después de que la pandilla RansomHouse afirmó haber robado 450 GB de datos de la compañía el año pasado.

RansomHouse es un grupo de extorsión de datos que viola las redes corporativas, roba datos y luego exige el pago de un rescate para no filtrar públicamente los datos ni venderlos a otros actores de amenazas.

Durante la última semana, RansomHouse se ha estado burlando en Telegram de que venderían los datos de una conocida empresa de tres letras que comienza con la letra A.

Ayer, el grupo de extorsión agregó AMD a su sitio de fuga de datos y afirmó haber robado 450 GB de datos.

You are not allowed to view links. Register or Login

RansomHouse declaró que sus "socios" violaron la red de AMD hace aproximadamente un año. Aunque el sitio web dice que los datos fueron robados el 5 de enero de 2022, los actores de amenazas dijeron que la fecha es cuando los piratas informáticos perdieron el acceso a la red de AMD.

Si bien RansomHouse se ha relacionado anteriormente con operaciones de ransomware, como WhiteRabbit, afirman que no cifran dispositivos y que AMD no usó ransomware.

Los actores de amenazas dijeron que no contactaron a AMD con una demanda de rescate ya que vender los datos a otras entidades o actores de amenazas era más valioso.

"No, no nos hemos puesto en contacto con AMD porque nuestros socios consideran que es una pérdida de tiempo: valdrá más la pena vender los datos que esperar a que los representantes de AMD reaccionen con mucha burocracia involucrada", dijo un El representante de RansomHouse.

RansomHouse afirma que los datos robados incluyen investigación e información financiera, que dicen que se está analizando para determinar su valor.

Los actores de amenazas no han proporcionado ninguna prueba de estos datos robados, aparte de unos pocos archivos que contienen información supuestamente recopilada del dominio de Windows de AMD.

Estos datos incluyen un CSV filtrado que contiene una lista de más de 70 000 dispositivos que parecen pertenecer a la red interna de AMD, así como una supuesta lista de credenciales corporativas de AMD para usuarios con contraseñas débiles, como 'contraseña', '[email protected]' , 'amd!23' y 'Bienvenido1'.

AMD por su parte declaró que conocen los reclamos y están investigando el incidente.

    "AMD tiene conocimiento de un mal actor que afirma estar en posesión de datos robados de AMD. Actualmente se está llevando a cabo una investigación". - AMD.

¿Quién es RansomHouse?

RansomHouse lanzó su operación en diciembre de 2021 cuando filtró a su primera víctima, Saskatchewan Liquor and Gaming Authority (SLGA).

Si bien el grupo de extorsión afirma no usar ransomware en sus ataques, una nota de White Rabbit ransomware muestra claramente que están vinculados a grupos de ransomware.

Desde diciembre, RansomHouse agregó cinco víctimas adicionales a su sitio de fuga de datos, incluido AMD.

Una de estas víctimas es Shoprite Holdings, la cadena de supermercados más grande de África, que confirmó un ciberataque el 10 de junio.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

10
You are not allowed to view links. Register or Login

Esta semana, el grupo delictivo del ransomware Lockbit anunció el lanzamiento de Lockbit 3.0, una nueva oferta de ransomware como servicio y un programa de bug bounty.

Según el sitio de filtraciones de Lockbit, como parte del programa de recompensas por bugs, la pandilla pagará a todos los investigadores de “éticos y no éticos" para que proporcionen información de identificación personal (PII) sobre individuos de alto perfil y vulnerabilidades web a cambio de una remuneración que va desde U$S 1.000 a U$S 1 millón.

You are not allowed to view links. Register or Login

El desarrollo se produce poco después de que el notorio grupo de ransomware Conti se disolviera, y cuando Lockbit se está convirtiendo en una de las bandas de ransomware más prolíficas en funcionamiento, representando casi la mitad de todos los ataques de ransomware conocidos en mayo de 2022.

El cambio de concepto sobre los programas legítimos de recompensas por bugs, popularizados por proveedores como Bugcrowd y HackerOne, que incentivan a los investigadores de seguridad a identificar vulnerabilidades para que puedan repararse, destaca cómo están evolucionando las amenazas maliciosas.

"Con la caída del grupo de ransomware Conti, LockBit se ha posicionado como el principal grupo de ransomware que opera hoy en día en función de su volumen de ataques en los últimos meses. El lanzamiento de LockBit 3.0 con la introducción de un programa de recompensas es una invitación formal a los ciberdelincuentes para ayudar al grupo en su búsqueda por permanecer en la cima", dijo Satnam Narang, ingeniero senior de investigación de Tenable.

Para LockBit, contar con la ayuda de investigadores y de otros delincuentes tiene el potencial no solo de identificar objetivos potenciales, sino también de proteger sus sitios de fuga contra la aplicación de la ley.

"Un enfoque clave del programa de recompensas es otra medida defensiva: evitar que los investigadores de seguridad y las fuerzas del orden encuentren errores en sus sitios de fuga o ransomware, identificar formas en que los miembros, incluido el jefe del programa de afiliados, podrían ser engañados, así como financiar errores dentro de los mensajes. software utilizado por el grupo para las comunicaciones internas y la propia red Tor", dijo Narang.

Si los actores de amenazas comparten información con Lockbit a cambio de una recompensa, las organizaciones deben ser mucho más proactivas para mitigar los riesgos en su entorno. Como mínimo, los líderes de seguridad deben asumir que cualquier individuo con conocimiento de las vulnerabilidades en la cadena de suministro de software estará tentado a compartirlas con el grupo.

"Cualquiera que aún dude de que las grupos de ciberdelincuentes hayan alcanzado un nivel de madurez que rivaliza con las organizaciones a las que apuntan, puede necesitar reevaluar", dijo Mike Parkin, ingeniero técnico sénior de Vulcan Cyber.

Fuente:
SecurityAffairs
You are not allowed to view links. Register or Login

Vía (Traducción al Español):
Hacking Land
You are not allowed to view links. Register or Login

11
You are not allowed to view links. Register or Login

La Europol anunció el martes el desmantelamiento de un grupo de delincuencia organizada que se dedicaba a la suplantación de identidad, el fraude, las estafas y las actividades de blanqueo de capitales.

La operación en la que participaron las autoridades policiales de Bélgica y los Países Bajos, se detuvo a nueve personas en la nación holandesa.
Los sospechosos son hombres de entre 25 y 36 años de Ámsterdam, Almere, Rotterdam y Spijkenisse y una mujer de 25 años de Deventer, según un comunicado del Cuerpo Nacional de Policía.

También se confiscaron, como parte de los 24 registros domiciliarios, armas de fuego, munición, joyas, ropa de diseño, relojes caros, dispositivos electrónicos, decenas de miles de euros en efectivo y criptodivisas, dijeron las autoridades.

El grupo criminal se ponía en contacto con las víctimas por correo electrónico, mensajes de texto y a través de aplicaciones de mensajería móvil, señaló el organismo. Estos mensajes fueron enviados por los miembros de la banda y contenían un enlace de phishing que conducía a un sitio web bancario falso.

Los usuarios desprevenidos que hacían clic en el enlace eran engañados para que introdujeran sus credenciales, que posteriormente eran robadas por el sindicato para cobrar fraudulentamente varios millones de euros de las cuentas de las víctimas con la ayuda de mulas de dinero.
Además, se dice que algunos miembros del grupo tienen conexiones con el tráfico de drogas y posibles armas de fuego.

La redada se produce menos de un mes después de que Europol, en colaboración con Australia, Bélgica, Finlandia, Hungría, Irlanda, Rumanía, España, Suecia, Suiza, Países Bajos y Estados Unidos, desmantelara la infraestructura asociada al malware FluBot para Android.

Fuente:
The Hacker News
You are not allowed to view links. Register or Login

Vía (Traducción al Español):
Hacking Land
You are not allowed to view links. Register or Login

12
You are not allowed to view links. Register or Login

Varias cuentas falsas de Twitter bajo el nombre Feedback Center están enviando mensajes a usuarios de cuentas verificadas con el objetivo de robar sus credenciales de acceso y tomar control de las cuentas.

Haciéndose pasar por una cuenta de soporte oficial, los estafadores envían mensajes que hacen referencia a una supuesta violación de identidad de la cuenta y que para evitar que la suspensión de la misma y que se borre la marca de verificación, el usuario deberá completar un formulario.

You are not allowed to view links. Register or Login

Como se aprecia en la imagen, el mensaje incluye un enlace que dirige a un sitio web, cuyo nombre de dominio no tiene ninguna relación con el nombre de la red social, en el cual debe ingresar sus datos.

You are not allowed to view links. Register or Login

Una vez que la víctima ingresa su nombre de usuario se solicita ingresar contraseña, dirección de correo y número de teléfono.

You are not allowed to view links. Register or Login

Por si fuera poco, la campaña solicita a la víctima que la vuelva a ingresar la contraseña para verificar se ingresó correctamente.

You are not allowed to view links. Register or Login

Por último, los atacantes solicitan a la víctima ingresar un código de verificación que le llegará por correo o por SMS. Esto permitirá evadir la autenticación en dos pasos.

You are not allowed to view links. Register or Login

Según reportó un usuario de Twitter, son varias las cuentas falsas activas utilizadas para esta campaña.

You are not allowed to view links. Register or Login

Si bien esta campaña está en inglés, los delincuentes han contactado a usuarios de distintos países, por lo tanto no sería extraño que puedan contactar a usuarios de América Latina con cuentas verificadas.

En caso de recibir un mensaje directo de una cuenta desconocida, verificar que tiene la marca de verificación, que no se trata de una cuenta creada recientemente, y que tiene una base de seguidores confiable. Si aun así tienes dudas, pongase en contacto con la red social a través de los canales oficiales para verificar que se trata de una cuenta legítima.

Recuerde también nunca entregar datos personales cuando la solicitud llega de forma inesperada y sin que hayas solicitado algo.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. Register or Login

13
You are not allowed to view links. Register or Login

La semana pasada, los actores de amenazas robaron $ 100 millones en criptomonedas de la empresa Blockchain Harmony.

Hoy @HarmonyProtocol reveló una brecha que resultó en el robo de 85,837.252 Ethereum (aproximadamente $99,334,302.58 USD)
Monedero: 0x0d043128146654C7683Fbf30ac98D7B2285DeD00


You are not allowed to view links. Register or Login

La compañía reportó el incidente a las autoridades, el FBI está investigando el robo cibernético con la ayuda de varias firmas de ciberseguridad.

Horizon Bridge de Harmony permite a los usuarios transferir sus activos criptográficos de una cadena de bloques a otra, la compañía detuvo inmediatamente el puente para evitar más transacciones y notificó a otros intercambios.

La compañía también ofrece una recompensa de $1 millón a cambio de la devolución de los fondos.

Nos comprometemos a una recompensa de $ 1 millón por la devolución de los fondos del puente Horizon y el intercambio de información de explotación.

Contáctenos en [email protected] o dirección ETH 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac.

Harmony abogará por que no se presenten cargos penales cuando se devuelvan los fondos.


El equipo de respuesta a incidentes anunció que no ha encontrado evidencia de incumplimientos de los códigos de contrato inteligente de la empresa o vulnerabilidades en la plataforma Horizon. Harmony señaló que la capa de consenso de la cadena de bloques de Harmony permanece segura.

Nuestro equipo de respuesta a incidentes descubrió evidencia de que las claves privadas se vieron comprometidas, lo que provocó la ruptura del puente Horizon. Los fondos fueron robados en el lado Ethereum del puente. Las claves privadas fueron encriptadas y almacenadas por Harmony, con las claves doblemente encriptadas a través de una frase de contraseña y un servicio de administración de claves, y ninguna máquina tuvo acceso a múltiples claves de texto sin formato”. afirma la actualización publicada por la empresa.

El atacante pudo acceder y descifrar varias de estas claves, incluidas las utilizadas para firmar transacciones no autorizadas y tomar activos en forma de BUSB, USDC, ETH y WBTC. Luego, todos los activos se intercambiaron a ETH y actualmente permanecen en la cuenta del pirata informático en la red Ethereum. Actualmente, el pirata informático no ha tomado medidas para anonimizar la propiedad de estos activos”.

La firma de seguridad de blockchain CertiK publicó un análisis detallado del incidente, confirmó que los actores de la amenaza pudieron acceder a los propietarios de las billeteras multiSig de Horizon y luego drenaron los fondos de Harmony.

El 23 de junio de 2022 a las 11:06:46 a. m. + UTC, el puente entre la cadena Harmony y Ethereum experimentó múltiples vulnerabilidades. Nuestro análisis experto ha identificado doce transacciones de ataque y tres direcciones de ataque”. análisis publicado por CertiK.
A través de estas transacciones, el atacante obtuvo varios tokens en el puente, incluidos ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH y FRAX. Las transacciones varían en valor pero oscilan entre $49,178 y más de $41,200,000. El atacante logró esto al controlar de alguna manera al propietario de MultiSigWallet para llamar a confirmTransaction() directamente para transferir grandes cantidades de tokens desde el puente en Harmony, lo que provocó una pérdida total de alrededor de $ 97 millones en activos en la cadena Harmony que el atacante se ha consolidado en una dirección principal.

Desafortunadamente, los ataques contra los puentes de blockchain son cada vez más frecuentes, la lista de plataformas pirateadas incluye Ronin Bridge (marzo) y Wormhole.

Fuente:
SecurityAffairs
You are not allowed to view links. Register or Login

14
You are not allowed to view links. Register or Login

El experto en seguridad Guido Vranken descubrió una vulnerabilidad de corrupción de memoria remota en la versión 3.0.4 de OpenSSL recientemente lanzada. La biblioteca se lanzó el 21 de junio de 2022 y afecta a los sistemas x64 con el conjunto de instrucciones AVX-512.

OpenSSL versión 3.0.4, lanzada el 21 de junio de 2022, es susceptible a la corrupción de la memoria remota que un atacante puede desencadenar de manera trivial. BoringSSL, LibreSSL y la rama OpenSSL 1.1.1 no se ven afectados. Además, solo se ven afectados los sistemas x64 compatibles con AVX512.
El error está corregido en el repositorio, pero aún está pendiente una nueva versión
”.

Los actores de amenazas pueden explotar fácilmente el problema y se abordará en la próxima versión.

El investigador de Google, David Benjamin, que analizó la vulnerabilidad, argumenta que el error no constituye un riesgo para la seguridad. Benjamin también encontró un error aparente en el artículo de Shay Gueron en el que se basa el código RSAZ.

Fuente:
SecurityAffairs.
You are not allowed to view links. Register or Login

15
You are not allowed to view links. Register or Login

Es uno de los lenguajes de programación más populares y más de moda de los últimos tiempos, pero la cosa va a más: Rust pronto se usará además en el kernel Linux.

Así lo afirma incluso Linus Torvalds, creador de Linux y máximo responsable de su desarrollo, que indicó recientemente que es posible que veamos la integración de Rust en la próxima gran versión del kernel, la que será Linux 5.20.

Rust sigue ganando enteros

Durante las últimas tres décadas Linux ha estado fundamentalmente basado en el lenguaje de programación C, pero en los últimos años hemos ido viendo cómo Rust ha ido ganando popularidad y convirtiéndose en una opción como "segundo idioma".

Este lenguaje se creó en 2012 y recuperó, como decía su creador, "un montón de buenas ideas, conocidas y queridas en otros lenguajes, no se habían aprovechado en lenguajes usados a amplio nivel, o se integraron en lenguajes que tenían modelos de memoria muy pobres".

Linus Torvalds ya confesó hace más de un año que estaba interesado en este proyecto, pero advertía de que el soporte de Rust en Linux "aún no está fino". Por entonces hablaba de su posible inclusión en el kernel 5.14, pero finalmente esa integración no se produjo.

Ahora parece que todo está preparado, y en el evento Open Source Summit celebrado hace pocos días en Texas, Torvalds reveló que "me gustaría ver que la inclusión de la infraestructura de Rust comienza en la próxima versión, pero ya veremos".
Los desarrolladores del kernel Linux están preparando la versión 5.19 —que no será la que incluya Rust— para su salida probable en agosto, y el ritmo de aparición de nuevas versiones del kernel es de unas 10 semanas, así que puede que por fin veamos Rust en el kernel Linux 5.20.

Por qué Rust en Linux son buenas noticias

A Linux le ha ido muy bien con el lenguaje C durante todos estos años, así que ¿por qué ahora un segundo lenguaje? ¿No complicará eso las cosas?

Lo cierto es que Rust es un fichaje importante para Linux porque facilita el desarrollo de software seguro.
Rust asegura una excelente gestión de memoria como gran pilar de su uso, pero a ello le añade una sintaxis moderna.

Los desarrolladores coinciden con esa apreciación. Samartha Chandrashekar, directiva en Amazon Web Services, explicaba que este lenguaje "ayuda a garantizar la seguridad de los hilos y a evitar errores relacionados con la memoria, como los desbordamientos de la memoria intermedia que pueden dar lugar a vulnerabilidades de seguridad". El propio Torvalds destacó que "hay razones técnicas reales como la seguridad de la memoria y por qué es bueno que Rust acabe en el kernel".

Aunque Rust parece destinado a formar parte del kernel Linux, el lenguaje C seguirá siendo absoluto protagonista. El despliegue inicial será más simbólico que otra cosa, y simplemente preparará las cosas para que los desarrolladores puedan ir usando Rust en diversos componentes en posteriores versiones del núcleo Linux.

Entre esos componentes están algunas APIs, el soporte de ciertas arquitecturas y las llamadas ABIs (Application Binary Interfaces) que permiten garantizar la compatibilidad entre Rust y C. El kernel Linux sigue evolucionando, y ahora lo hará con la ayuda de Rust.

Fuente:
Xataka
You are not allowed to view links. Register or Login

16
You are not allowed to view links. Register or Login

Un investigador de seguridad reveló recientemente los detalles de un error de seguridad crítico en Instagram que podría permitir que un atacante cambie las miniaturas de los Thumbnails. Meta reparó la vulnerabilidad antes de que fuera ampliamente explotada.

Profundizando en la vulnerabilidad de Instagram en una publicación reciente, el investigador Neeraj Sharma explicó cómo podría cambiar las miniaturas de los  Thumbnails de los usuarios objetivo de Instagram.

Como se explicó, la vulnerabilidad existía en la funcionalidad de edición de miniaturas para Thumbnails de Instagram. Al examinar esta función al cambiar su propia miniatura de carrete, el investigador interceptó las solicitudes HTTP para descubrir el punto final vulnerable.

Específicamente, el error permitía la edición de los parámetros clips_media_id (la ID del carrete) y upload_id (la ID de la foto que el usuario desea insertar en una miniatura) a los usuarios. Por lo tanto, Sharma pudo editar los parámetros en dos de sus cuentas para reemplazar las miniaturas de las fotos.

Observó que un adversario podría modificar fácilmente las miniaturas de los Thumbnails de cualquier usuario utilizando su media_id.

Como se indica en su publicación:

Este error permitió a los actores maliciosos cambiar la miniatura de cualquier carrete en Instagram. Para realizar este ataque, solo se requería la ID de medios del carrete del usuario objetivo. Dentro de la Tríada de C-I-A, la Integridad fue violada y la Accesibilidad de la víctima fue totalmente ignorada por las acciones del atacante.

El investigador ha compartido el exploit PoC en el siguiente vídeo:



Meta parcheó el error

Después de este descubrimiento, el investigador informó el asunto a Meta a través de su programa de recompensas por errores.

A los pocos días, el gigante tecnológico reconoció el informe del error y comenzó a trabajar en una solución. En consecuencia, Meta reparó la vulnerabilidad y recompensó al investigador con una recompensa de $45 000.

El investigador también ganó un bono de $4500, ganando un total de $49500 contra este informe de error.

Si bien explotar esta vulnerabilidad en la naturaleza podría afectar seriamente a los usuarios de Instagram, el gigante tecnológico solucionó la falla a tiempo.

Por lo tanto, los usuarios de Instagram ahora no tienen que preocuparse por la seguridad de sus cuentas. Pero deben asegurarse de ejecutar las últimas versiones de la aplicación de Instagram en sus dispositivos para asegurarse de haber recibido todos los parches.

Fuente:
Latest Hacking News
You are not allowed to view links. Register or Login

17
Dudas y pedidos generales / Re: Falla microfono Windows 11
« on: June 29, 2022, 01:40:05 am »
Debe entender que Win 11 es un sistema muy recién y pudiera generar incompatibilidades con ciertos hardware; sobre todo si ya es de tiempo. Incluso pudiera haber una renuncia por reconocerlo como obsoleto.

Por lo general es que no reconoce el dispositivo por los drivers. Estos pudieran aceptarlos de Win 10, aunque no hay garantías.
Le recomiendo buscar el driver para el dispositivo que desea instalar “actualizado”.

El DriverPack pudiera ayudarle ya sea descargando el driver y poniéndoselo manual, o en su versión offline que se lo reconocería e instalaría.

Sitio Oficial (no lo descargue de otro sitio que no sea de confianza)

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login


18
You are not allowed to view links. Register or Login

Colección de libros guía para el aprendizaje y dominio del pentesting en Kali Linux

Idioma Inglés pero perfectamente entendibles.

You are not allowed to view links. Register or Login

MEGA:
You are not allowed to view links. Register or Login


19
Modelo de la antena recomendada que con las prisas no le especifiqué:

Antena Direccional Grillada Parabólica
Premiertek Outdoor 2.4 Ghz 24DBi Directional High Gain NtYPE Female Aluminum Die Cast Grid Parabolic Antenna
You are not allowed to view links. Register or Login

Puede combinarla con:


Bullet Ubiquiti
(gran sensibilidad en enlaces)
Ubiquiti BULLET-M2-HP Outdoor 802.11 B/G/N M2HP
You are not allowed to view links. Register or Login

Rocket M2 Ubiquiti (Potencia; en especial si le activa sus dos salidas,, y si le pone dos grilladas…)
Ubiquiti Rocket M2, RM2 2.4GHz Rocket 2x2 11n MIMO CPE AirMax TDMA 50+km 150+Mbps
You are not allowed to view links. Register or Login

20
Hola

El enlace Wifi que desea hacer está muy determinado por las condiciones del entorno.

3 Km en realidad no es mucho, pero... es; y si no presenta una visión de enlace directa (que no haya obstáculos en el camino entre ambos puntos o antenas, tendrá problemas así cambie el tiempo, o use el internet en carga.

Ese Ubiquiti es muy bueno, pero note que su frecuencia es de 5 ghz, por ende, su alcance es mucho menor que si fuese de 2.4 ghz.

Por otro lado, si yo fuese el interesado y corroborara que entre el enlace realmente hay visión de contacto al menos en teoría, o ganando en altura (un mástil es muy importante)

Ej:
You are not allowed to view links. Register or Login

, me decantaría por una antena de más alcance como esta que le pongo, y que tengo adaptada a un wifi de panel.

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Note e estándar y radio de alcance de las distintas antenas y en especial la que le recomiendo:

You are not allowed to view links. Register or Login

Suerte

Pages: [1] 2 3 ... 92