Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 59 60 61 62 63 ... 249

#1201

Noticias Informáticas / 15 millones de bans: Telegram presenta resultados de moderación

Diciembre 13, 2024, 08:58:08 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Resultados de la lucha contra el contenido prohibido para 2024

El mensajero Telegram ha publicado datos sobre el bloqueo de grupos y canales que violan la política y la legislación de la plataforma. Una pestaña con estadísticas apareció en el sitio web oficial de la empresa.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En 2024, se bloquearon 15,3 millones de grupos y canales. Entre ellos se encuentran casi 702 mil comunidades asociadas con la distribución de materiales sobre abuso sexual infantil, y alrededor de 129 mil grupos y canales con orientación terrorista. Además, se eliminaron más de 100 millones de piezas de contenido terrorista.

El sitio web de la empresa informa que Telegram bloquea decenas de miles de grupos y canales cada día, eliminando millones de elementos de contenido prohibido. Entre las violaciones identificadas se encuentran los llamamientos a la violencia, la distribución de materiales sobre abuso infantil y la venta de bienes ilegales.

Se especifica que el proceso de moderación incluye el procesamiento de quejas de los usuarios y el seguimiento proactivo. Desde 2015, estas medidas se han implementado utilizando tecnologías de aprendizaje automático. En 2024, Telegram introdujo nuevas herramientas impulsadas por IA, que permitieron identificar y bloquear materiales prohibidos de manera más eficiente.

Fuente:
Telegram
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1202

Noticias Informáticas / Detectado un nuevo rootkit malicioso para Linux, Pumakit

Diciembre 13, 2024, 12:51:15 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto un nuevo malware rootkit de Linux llamado Pumakit que utiliza técnicas avanzadas de escalada de privilegios y sigilo para ocultar su presencia en los sistemas.

El malware es un conjunto de varios componentes que incluye un dropper, ejecutables residentes en memoria, un rootkit de módulo de kernel y un rootkit de espacio de usuario de objeto compartido (SO).

Elastic Security descubrió Pumakit en una carga binaria sospechosa ("cron") en VirusTotal, con fecha del 4 de septiembre de 2024, e informó que no tiene visibilidad sobre quién lo usa y a qué se dirige.

Generalmente, estas herramientas son utilizadas por actores de amenazas avanzadas que atacan sistemas empresariales e infraestructuras críticas para realizar operaciones de espionaje, robo financiero y disrupción.

Pumakit

Pumakit emplea un proceso de infección de varias etapas que comienza con un dropper llamado 'cron', que ejecuta cargas útiles integradas ('/memfd:tgt' y '/memfd:wpn') completamente desde la memoria.

La carga útil '/memfd:wpn', que se ejecuta en un proceso secundario, realiza verificaciones del entorno y manipulación de la imagen del núcleo y, finalmente, implementa el módulo rootkit LKM ('puma.ko') en el núcleo del sistema.

Integrado dentro del rootkit LKM se encuentra Kitsune SO ('lib64/libs.so'), que actúa como el rootkit de espacio de usuario que se inyecta a sí mismo en procesos que usan 'LD_PRELOAD' para interceptar llamadas del sistema a nivel de usuario.

Cadena de infección de Pumakit
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Escalada de privilegios sigilosa

El rootkit sigue una activación condicional, verificando símbolos de kernel específicos, estado de arranque seguro y otros requisitos previos antes de cargarse.

Elastic dice que Puma utiliza la función 'kallsyms_lookup_name()' para manipular el comportamiento del sistema. Esto indica que el rootkit fue diseñado para apuntar únicamente a kernels Linux anteriores a la versión 5.7, ya que las versiones más nuevas ya no exportan la función y, por lo tanto, no pueden ser utilizadas por otros módulos del kernel.

"La capacidad del rootkit LKM para manipular el comportamiento del sistema comienza con su uso de la tabla syscall y su dependencia de kallsyms_lookup_name() para la resolución de símbolos", explican los investigadores de Elastic Remco Srooten y Ruben Groenewoud.

"A diferencia de los rootkits modernos que apuntan a versiones de kernel 5.7 y superiores, el rootkit no utiliza kprobes, lo que indica que está diseñado para kernels más antiguos".

Puma conecta 18 llamadas al sistema y múltiples funciones del kernel usando 'ftrace' para obtener escalada de privilegios, ejecución de comandos y la capacidad de ocultar procesos.

Uso de ftrace para conectar llamadas al sistema
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las funciones del kernel 'prepare_creds' y 'commit_creds' se utilizan de forma abusiva para modificar las credenciales de proceso, otorgando privilegios de root a procesos específicos.

Realizar una escalada de privilegios
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El rootkit puede ocultar su propia presencia de los registros del núcleo, las herramientas del sistema y el antivirus, y también puede ocultar archivos específicos en un directorio y objetos de las listas de procesos.

Si los ganchos se interrumpen, el rootkit los reinicializa, lo que garantiza que sus cambios maliciosos no se reviertan y que el módulo no se pueda descargar.

El rootkit de usuario Kitsune SO opera en sinergia con Puma, extendiendo sus mecanismos de control y sigilo a las interacciones de cara al usuario.

Intercepta las llamadas del sistema a nivel de usuario y altera el comportamiento de elementos como ls, ps, netstat, top, htop y cat para ocultar archivos, procesos y conexiones de red asociadas con el rootkit.

También puede ocultar dinámicamente cualquier otro archivo y directorio según los criterios definidos por el atacante y hacer que los binarios maliciosos sean completamente invisibles para los usuarios y los administradores del sistema.

Kitsune SO también maneja todas las comunicaciones con el servidor de comando y control (C2), retransmitiendo comandos al rootkit LKM y transmitiendo la configuración y la información del sistema a los operadores.

Además de los hashes de archivos, Elastic Security ha publicado una regla YARA para ayudar a los administradores de sistemas Linux a detectar ataques Pumakit.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1203

Noticias Informáticas / La policía cierra el mercado de delitos cibernéticos Rydox y arresta a tres admi

Diciembre 13, 2024, 12:39:11 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las fuerzas de seguridad albanesas han intervenido en el mercado de ciberdelincuencia Rydox y han detenido a tres administradores en colaboración con socios internacionales.

Los ciudadanos de Kosovo Ardit Kutleshi, Jetmir Kutleshi y Shpend Sokoli fueron detenidos el jueves por las fuerzas de seguridad de Kosovo y el Organismo Especial Anticorrupción (SPAK) de Albania. El Departamento de Justicia de Estados Unidos ha acusado a los dos primeros de participar en las operaciones de Rydox y están a la espera de su extradición a Estados Unidos.

Ardit Kutleshi y Jetmir Kutleshi se enfrentan a múltiples cargos relacionados con sus funciones de administrador de Rydox, incluidos dos cargos de robo de identidad, conspiración para cometer robo de identidad, robo de identidad agravado, fraude de dispositivo de acceso y blanqueo de dinero. Si son condenados, cada uno podría recibir cinco años por cada cargo, 10 años por fraude de dispositivo de acceso y hasta 20 años por blanqueo de dinero.

Desde febrero de 2016, los vendedores del mercado de Rydox han estado involucrados en más de 7600 ventas de información de tarjetas de crédito, credenciales de inicio de sesión e información personal, como números de seguridad social, nombres y direcciones robadas a miles de ciudadanos estadounidenses y varias herramientas y dispositivos de delitos cibernéticos.

Rydox también ofreció a la venta más de 321 000 "productos de delitos cibernéticos" a más de 18 000 usuarios, incluidas herramientas y materiales para cometer delitos cibernéticos, como tutoriales y herramientas de spam.

Según la acusación, los usuarios registrados tenían que depositar una suma de criptomonedas en sus cuentas antes de realizar una compra a través de pagos de Perfect Money, Ethereum, Litecoin, Bitcoin ("BTC"), Monero, Ripple, Tron o Verge depositados en una billetera de criptomonedas controlada por Rydox.

Podían usar los fondos para comprar productos, servicios, herramientas y programas ilícitos de los vendedores de Rydox. Sin embargo, una vez que los fondos fueron depositados, quedaron bajo el control de los acusados, quienes controlaban las billeteras de criptomonedas de Rydox.

Rydox también cobró a los usuarios registrados una tarifa única (que fluctuó entre el equivalente a $200 y $500) para convertirse en vendedores autorizados en el mercado. Los vendedores autorizados de Rydox recibieron el 60% de las ganancias de la venta, mientras que el mercado retuvo el 40% de cada venta.

Estados Unidos obtuvo autorización judicial para confiscar el dominio Rydox[.]cc, utilizado para acceder al sitio web del mercado de delitos cibernéticos, y el FBI confiscó servidores en Kuala Lumpur que albergaban el mercado ilícito de Rydox con la ayuda de la Policía Real de Malasia y desconectó el sitio web.

Estados Unidos también recibió autorización judicial para incautar unos 225.000 dólares en criptomonedas de las cuentas de los acusados.

La operación se llevó a cabo con la ayuda de la Oficina del FBI en Pittsburgh, la Oficina Nacional de Investigaciones de Albania (BKH), la Dirección de Investigación de Delitos Cibernéticos de Albania, la Fiscalía Especial de Kosovo, la Policía de Kosovo y la Policía Real de Malasia.

"El mercado de Rydox era una ventanilla única donde más de 18.000 de sus clientes cibercriminales podían elegir entre más de 300.000 herramientas de cibercrimen", dijo el jueves el fiscal de Estados Unidos Eric G. Olshan.

"Si bien el cibercrimen a menudo implica conductas que ocurren en el extranjero y las acciones de ciudadanos extranjeros, sus daños pueden ser devastadoramente locales, y los residentes de nuestras propias comunidades sufren la ruina financiera como resultado del robo y el uso indebido de su información personal confidencial".

A principios de este mes, ocho miembros de una red internacional de delitos informáticos que habían creado centros de fraude en propiedades alquiladas de Airbnb para robar millones de euros a las víctimas fueron arrestados en Bélgica y los Países Bajos.

Las autoridades alemanas también cerraron el mayor mercado de delitos informáticos en línea del país y el mercado de delitos informáticos de Manson, y arrestaron a los principales sospechosos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1204

Noticias Informáticas / US. ofrece 5 millones por info sobre granjas de informáticos de Corea del Norte

Diciembre 13, 2024, 12:35:09 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Estado de Estados Unidos ofrece una recompensa de hasta 5 millones de dólares por información que pueda ayudar a desbaratar las actividades de las empresas fachada y los empleados norcoreanos que generaron más de 88 millones de dólares mediante esquemas ilegales de trabajo remoto en TI en seis años.

Las dos empresas, Yanbian Silverstar, con sede en China, y Volasys Silverstar, de Rusia, engañaron a empresas de todo el mundo para que emplearan a personal norcoreano como trabajadores autónomos de TI.

Estos fondos obtenidos ilegalmente se blanquean luego en violación de las sanciones internacionales y se envían de vuelta al régimen de Pyongyang para apoyar los programas de misiles nucleares del país prohibidos por la ONU. Como dijeron el FBI, el Departamento de Estado y el Departamento de Justicia en un aviso trilateral de mayo de 2022, cada uno de los trabajadores de TI de Corea del Norte puede ganar hasta 300.000 dólares al año, lo que genera cientos de millones de dólares en conjunto cada año.

"Yanbian Silverstar y Volasys Silverstar emplean juntas a más de 130 trabajadores de TI de la RPDC, que se autodenominan 'guerreros de TI'", dijo el jueves el Departamento de Estado.

"Estos trabajadores de TI utilizan las identidades adquiridas fraudulentamente de cientos de personas estadounidenses para obtener empleo remoto y generar decenas de millones de dólares que se blanquean y se envían de vuelta al régimen norcoreano".

Hoy, el Departamento de Justicia también acusó a 14 "guerreros de TI" norcoreanos vinculados a Yanbian Silverstar y Volasys Silverstar por su participación en conspiraciones para violar las sanciones estadounidenses y cometer robo de identidad, fraude electrónico y lavado de dinero.

Liderados por Jong Song Hwa, director ejecutivo de Yanbian Silverstar y Volasys Silverstar, generaron al menos 88 millones de dólares en aproximadamente seis años.

Entre las acciones anteriores del Departamento de Justicia dirigidas a este grupo se incluyen la incautación de aproximadamente 320.000 dólares en enero, otros 444.800 dólares aproximadamente en julio, incautaciones autorizadas por el tribunal de alrededor de 1,5 millones de dólares en octubre de 2022 y enero de 2023, y la incautación de 29 dominios de Internet en octubre de 2023 y mayo de 2024.

Al comunicarse con posibles empleadores, los actores de la amenaza utilizaron docenas de esos dominios para legitimar sus identidades robadas.

A lo largo de la conspiración, los trabajadores de Volasys Silverstar y Yanbian Silverstar robaron, tomaron prestadas y compraron las identidades de ciudadanos estadounidenses, que se utilizaron para ocultar sus verdaderas identidades y obtener empleo remoto en empresas y organizaciones estadounidenses.

También los utilizaron para registrar nombres de dominio para alojar sitios web que ayudaron a engañar a los empleadores estadounidenses haciéndoles creer que habían sido ocultados previamente por otras empresas estadounidenses de buena reputación y para crear cuentas para recolectar los fondos obtenidos de los empleadores, que luego se transfirieron a cuentas controladas por Corea del Norte en bancos chinos.

Después de ser descubiertos y despedidos, algunos de los trabajadores de TI norcoreanos utilizaron conocimientos internos y habilidades de codificación para extorsionar a sus antiguos empleadores, amenazando con filtrar información confidencial robada en línea.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En agosto, las fuerzas de seguridad estadounidenses desmantelaron una granja de ordenadores portátiles utilizada por "guerreros informáticos" norcoreanos encubiertos para trabajar desde ubicaciones en China, mientras que aparentemente se conectaban a los sistemas de las empresas víctimas desde Nashville.

En mayo, la mujer de Arizona Christina Marie Chapman también fue detenida y acusada de gestionar otra granja de ordenadores portátiles norcoreanos en su propia casa.

Los cargos de hoy ponen de relieve el peligro constante que suponen los trabajadores informáticos norcoreanos que se hacen pasar por personal informático con sede en Estados Unidos, algo que el FBI ha advertido durante años. Como ha advertido en repetidas ocasiones, Corea del Norte mantiene un gran ejército de trabajadores informáticos entrenados para ocultar sus verdaderas identidades con el fin de asegurarse un empleo en cientos de empresas estadounidenses.

Más recientemente, la empresa de ciberseguridad KnowBe4 contrató a un actor malicioso norcoreano como ingeniero principal de software. Sin embargo, el "guerrero informático" intentó inmediatamente instalar malware para robar información en los dispositivos proporcionados por la empresa.

Aunque KnowBe4 había realizado verificaciones de antecedentes, verificado referencias y realizado cuatro entrevistas en video antes de contratar al norcoreano, luego descubrieron que la persona había utilizado una identidad robada y herramientas de inteligencia artificial para engañar a la empresa durante las videollamadas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1205

Noticias Informáticas / Evitan el MFA de Microsoft simplemente adivinando posibles códigos de 6 dígitos

Diciembre 13, 2024, 12:09:04 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft es uno de los defensores más firmes del uso de la autenticación multifactor (MFA), afirmando que las cuentas con MFA tienen más del 99% menos de probabilidades de ser secuestradas.

Sin embargo, los investigadores de Oasis afirman que su implementación tenía una falla crítica, dejando vulnerables millones de cuentas de Office 365. Este es un descuido importante.

Si los piratas informáticos tienen la contraseña de una cuenta, un desafío trivial ya que muchos registros de robo de información se venden en la dark web, podrían difundir códigos MFA indefinidamente.

"La omisión fue simple: tardó alrededor de una hora en ejecutarse, no requirió interacción del usuario y no generó ninguna notificación ni proporcionó al titular de la cuenta ninguna indicación de problemas", afirma el informe.

Microsoft admite una variedad de métodos de autenticación multifactor, uno de los cuales consiste en introducir un código de verificación desde una aplicación de autenticación.

Los investigadores descubrieron que, al iniciar sesión, a los usuarios se les asigna un identificador de sesión que les permite realizar hasta diez intentos fallidos sucesivos de introducir el código de seis dígitos. Sin embargo, no había límites en la cantidad de nuevas sesiones de inicio de sesión que se podían iniciar.

Una tasa muy alta de intentos simultáneos agotaría rápidamente el millón de opciones del código. Sin embargo, había un límite de tiempo, lo que dificultaba un poco el ataque potencial, pero aun así era relativamente fácil.

Las aplicaciones de autenticación suelen generar nuevos códigos cada 30 segundos. El validador suele aceptar el código durante un período de tiempo más largo. Los investigadores descubrieron que podían utilizar el código durante unos tres minutos antes de su caducidad e introducir seis veces más intentos de los que permitiría un período de 30 segundos.

"Dada la tasa permitida, teníamos un 3 % de posibilidades de adivinar correctamente el código dentro del período de tiempo extendido. Un actor malintencionado probablemente habría procedido y ejecutado más sesiones hasta que diera con una suposición válida", dijeron los investigadores.

Para tener un 50 % de posibilidades de obtener un código MFA válido, un atacante malintencionado tendría que completar 24 sesiones de este tipo, lo que llevaría alrededor de 70 minutos. El equipo de investigación de seguridad de Oasis afirmó que no encontraron ningún problema ni limitación al hacerlo y que intentaron el método con éxito varias veces.

"Durante este período, los propietarios de cuentas no recibieron ninguna alerta sobre la enorme cantidad de intentos fallidos consiguientes, lo que hace que esta vulnerabilidad y técnica de ataque pasen a un perfil peligrosamente bajo".

La empresa de seguridad reveló responsablemente la falla crítica a Microsoft el 24 de junio de 2024 y dijo que Microsoft implementó una solución temporal el 4 de julio. Desde el 9 de octubre, la falla ha sido corregida de forma permanente.

Oasis, que ejecuta la solución de gestión y seguridad para identidades no humanas, ahora evalúa que Microsoft introdujo un "límite de velocidad mucho más estricto" que entra en vigencia después de una serie de intentos fallidos, y el límite dura alrededor de medio día.

Habilitar MFA sigue siendo una práctica recomendada de ciberseguridad crítica y no se debe dudar del uso de aplicaciones de autenticación o métodos más seguros sin contraseña.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1206

Noticias Informáticas / Empresa china implicada en ataques de ransomware y Firewall Exploit

Diciembre 13, 2024, 12:06:27 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estados Unidos ha tomado medidas enérgicas contra una empresa china de ciberseguridad, Sichuan Silence Information Technology, por su papel en un ciberataque global masivo. La empresa, junto con uno de sus empleados, Guan Tianfeng, ha sido sancionada por explotar una vulnerabilidad crítica en un popular producto de firewall.

Los antecedentes

Entre el 22 y el 25 de abril de 2020, Guan, un investigador de seguridad de Sichuan Silence, explotó una vulnerabilidad crítica para implementar software malicioso en aproximadamente 81.000 firewalls en todo el mundo, incluidos 23.000 en los Estados Unidos (36 de los cuales se implementaron para proteger infraestructura crítica).

Esta violación afectó a miles de empresas, incluidas varias empresas de infraestructura crítica en los Estados Unidos. La intención inicial del malware era robar información confidencial, como nombres de usuario y contraseñas. Sin embargo, después de que se descubrió el ataque, el malware fue modificado para implementar ransomware, cifrando los datos de las víctimas y exigiendo un rescate para su descifrado.

Un incidente particularmente alarmante mencionado por el Departamento del Tesoro de los EE. UU. involucró a una empresa de energía estadounidense que participaba en operaciones de perforación activas. Si este ataque no se hubiera detectado y frustrado, podría haber tenido consecuencias graves, incluida la pérdida de vidas.

Según se informa, el ataque aprovechó una vulnerabilidad de día cero. Se trataba de un fallo previamente desconocido que permitió a los piratas informáticos obtener acceso no autorizado a los sistemas afectados. Luego instalaron malware, incluido el destructivo ransomware Ragnarok, en los dispositivos comprometidos.

En respuesta a esta amenaza cibernética, el gobierno de los EE. UU. ha implementado un enfoque multifacético. El Departamento del Tesoro ha impuesto sanciones a Sichuan Silence y Guan, mientras que el Departamento de Justicia ha revelado una acusación formal que acusa a Guan de conspiración de piratería informática internacional.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La acusación revela que Sichuan Silence es un contratista del gobierno chino que brinda servicios al Ministerio de Seguridad Pública y otras entidades estatales. La empresa ha estado vinculada a varias campañas de ciberespionaje y desinformación.

Sichuan Silence tiene un historial de participación en campañas de ciberespionaje y desinformación. La empresa ha estado vinculada a varios ataques de alto perfil, incluidos los llevados a cabo por grupos de piratas informáticos notorios como APT41, APT31 y Volt Typhoon.

El mes pasado, la empresa de ciberseguridad Sophos descubrió una vulnerabilidad en su producto XG Firewall, CVE-2020-12271, utilizada por piratas informáticos chinos para instalar el malware Asnarök. La empresa colaboró con las fuerzas del orden europeas para confiscar el servidor que implementó el malware.

Además, Sophos afirmó haber observado durante años campañas de vigilancia, sabotaje y ciberespionaje dirigidas a infraestructuras críticas y objetivos gubernamentales en el sur y sudeste de Asia, incluidos aeropuertos, hospitales militares, proveedores de energía nuclear, aparatos de seguridad estatales y ministerios federales.

Roger Grimes, evangelista de defensa basada en datos en KnowBe4, compartió el siguiente comentario con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login:

"Este es un ataque bastante serio y muy exitoso y, en general, si escuchas sobre una empresa china que compromete intencionalmente la infraestructura crítica de EE. UU., inmediatamente piensas que debe haber sido motivado por un estado nacional y tal vez eso también fue cierto en este caso o fue como muchas supuestas empresas de ciberseguridad chinas que son entidades de piratería realmente ofensivas, fue un poco de ambas cosas o un objetivo de oportunidad, donde Guan posiblemente compartió su acceso recién obtenido a empresas de infraestructura crítica de EE. UU. con la República Popular China".

Roger señaló que "Instalar ransomware no es típicamente un objetivo de la República Popular China. No necesitan robar dinero, e instalar ransomware aumenta las probabilidades de detección temprana. Por lo tanto, esto parece más un problema relacionado con un individuo, Guan, o su empleador, en lugar de una operación dirigida por un estado nacional. No puedo ver a los controladores de la República Popular China entusiasmados con que Guan estuviera instalando malware innecesario que solo aumentaría las probabilidades de detección".

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1207

Noticias Informáticas / ¿Nuevo esquema de estafa en Telegram?

Diciembre 12, 2024, 04:46:43 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esta noticia no se pudo corroborar por fuentes oficiales o dedicadas de noticias. No obstante hay varios reportes desde distintos Foros en los que usuarios de cierta reputación están haciendo la denuncia al comprar ciertos servicios a través de Telegram. Son servicios al margen de la ley cómo malware y demás.

Pareciese ser un nuevo Drainer Wallet o Cryto Clipper que viene siendo lo mismo en la práctica. La imagen que comparte uno de ellos es de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, y viene a representar el esquema de operación del bot en cuestión. En dicho sitio (ScamSniffer.io) no hay ninguna referencia hacia este nuevo esquema que se denuncia.

Lo novedoso aquí resultase ser la vía que es Telegram y sus servicios de compra/venta enfocados en hackers. Ya venía un scam similar elaborándose desde mucho antes:

Se denuncia la usurpación de la identidad en Telegram de este célebre hacker dedicado a delitos informáticos
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pudiera ser o no cierta la noticia, pero cuando el río suena...

En vista a ello se las pongo.

-----------------------------------------------

Un nuevo esquema de robo de criptomonedas está ganando popularidad en línea: los estafadores están usando bots de verificación en Telegram.

Los estafadores crean cuentas falsas de personas famosas o de reputación y ofrecen acceso a grupos privados con información privilegiada.

Sin embargo, cuando intenta unirte a ellos, te piden que completes la verificación y, en esta etapa, un bot especial le roba su criptomoneda.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Varias de manera informal sobre internet.
Noticia no corroborada por medios de reputación al momento de ponerse

#1208

Noticias Informáticas / Desmantelan red de phishing de voz en España

Diciembre 12, 2024, 04:44:03 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La policía española, en colaboración con sus colegas de Perú, llevó a cabo una operación simultánea contra una red de estafas de phishing de voz (vishing) a gran escala en los dos países, y detuvo a 83 personas.

Treinta y cinco de las personas detenidas se encontraban en toda España, entre ellas Madrid, Barcelona, Mallorca, Salamanca y Vigo, y otras 48 fueron detenidas en Perú.

El líder de la red también fue detenido en España durante las 29 redadas simultáneas realizadas por las fuerzas policiales cooperantes, en las que también se incautaron de dinero en efectivo, teléfonos móviles, ordenadores y documentos.

Suplantación de identidad de bancos

Según el anuncio de la policía española (Policia Nacional), los estafadores operaban una gran operación de llamadas que empleaba a 50 personas en tres centros de llamadas distintos, estafando al menos a 10.000 personas y obteniendo 3.000.000 de euros (3,15 millones de dólares) en ganancias.

Los agentes que realizaban las llamadas utilizaban bases de datos robadas, ingeniería social preescrita y guiones para engañar a los destinatarios de las llamadas para que revelaran su información bancaria confidencial.

Para que las llamadas parecieran legítimas, los agentes utilizaban tecnología de suplantación de identidad de la persona que llamaba, haciendo que su número y nombre de la persona que llamaba coincidieran con los del banco oficial al que se hacían pasar, lo que añadía credibilidad al proceso.

El cebo era una alerta sobre retiradas no autorizadas de cajeros automáticos, que indicaba a las víctimas que pasaran por un proceso de verificación de cuenta falsa y entregaran sus contraseñas de un solo uso.

"Después de convencer a las víctimas de que habían tenido cargos fraudulentos y cuentas bloqueadas, las guiaban a través de los pasos en sus aplicaciones bancarias, utilizando manuales proporcionados por los líderes de la organización", se lee en un comunicado de prensa de la Policía Nacional.

"Las víctimas eran engañadas para que compartieran códigos de verificación que les enviaban a sus teléfonos. Estos códigos eran inmediatamente transmitidos a los agentes en España, que estaban preparados cerca de las sucursales bancarias para retirar el efectivo".

Una vez retirado el efectivo, entre el 20% y el 30% se lo quedaban los operadores, y el resto se enviaba a la organización en Perú.

La policía destaca algunos métodos de ofuscación utilizados por los delincuentes, como el uso de códigos de colores para identificar a las entidades bancarias a la hora de comunicarse y la distribución de sus agentes en diferentes ciudades para dificultar su seguimiento.

Para protegerse de estas estafas, la policía recomienda proporcionar datos personales o bancarios solo después de verificar que se está hablando con un agente bancario real.

Además, es importante recordar que los bancos nunca piden a los usuarios que proporcionen los datos de su tarjeta, datos de identificación, nombres de usuario, contraseñas de cuentas y contraseñas de un solo uso.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1209

Noticias Informáticas / Ataque BadRAM vulnera seguridad en máquinas virtuales de AMD

Diciembre 12, 2024, 03:52:18 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores han descrito el ataque BadRAM, que supuestamente facilita la violación de la seguridad del procesador "a través de módulos de memoria no autorizados". En concreto, el equipo de investigación ha descrito un ataque exitoso a la avanzada Virtualización Segura Encriptada (SEV) de AMD utilizando una Raspberry Pi Pico de 5 dólares conectada a un zócalo DDR y alimentada por una batería de 9 V. Eso supone sólo 10 dólares de hardware necesarios para "erosionar la confianza en la nube".

El nombre BadRAM proporciona una pista considerable sobre el ángulo de ataque utilizado por el equipo de investigadores de la KU Leuven en Bélgica, la Universidad de Lübeck en Alemania y la Universidad de Birmingham en el Reino Unido. En el sitio web sucinto pero informativo creado para difundir la conciencia sobre BadRAM, el equipo destaca cómo la "memoria no autorizada" es una amenaza de seguridad que ha sido ampliamente ignorada, al menos por AMD.

Para sus travesuras con BadRAM, el equipo creó "módulos de memoria falsos que proporcionan deliberadamente información falsa al procesador durante el inicio" y luego pudieron modificar un sistema para eludir las protecciones de virtualización del servidor en la nube.

AMD SEV es una tecnología moderna, diseñada para "proteger la privacidad y la confianza en la computación en la nube mediante el cifrado de la memoria de una máquina virtual (VM) y su aislamiento de los atacantes avanzados". Incluso funciona cuando los actores maliciosos tienen acceso a la infraestructura crítica como el administrador de la máquina virtual o el firmware. Sin embargo, BadRAM evita SEV, incluida la última tecnología SEV-SNP (Secure Nested Paging) de AMD utilizando solo $10 de hardware.

Aprovechando el ataque BadRAM, los investigadores podrían continuar "comprometiendo por completo el ecosistema AMD SEV, falsificando informes de certificación remota e insertando puertas traseras en cualquier máquina virtual protegida por SEV". Para ello, necesitaban acceso al chip SPD en las memorias DIMM del servidor, lo que, según explicaron, podría ser realizado por un usuario interno en un entorno de nube. Alternativamente, podrían funcionar los ataques basados en software, donde el chip SPD no estuviera bloqueado por el fabricante.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para ayudar a explicar el ataque BadRAM y lo que puede hacer, los investigadores han proporcionado una infografía (arriba) y un vídeo de ejemplo (abajo).

AMD ha publicado un parche

AMD ha publicado actualizaciones de firmware para los proveedores de la nube para que los sistemas validen de forma segura los módulos de memoria y las configuraciones durante el arranque. BadRAM no puede ser malo en estos sistemas actualizados.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1210

Noticias Informáticas / LG deja de fabricar reproductores Blu-ray, lo que marca el fin de una era

Diciembre 12, 2024, 03:49:15 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En un decepcionante giro de los acontecimientos, FlatpanelsHD informa que LG ha finalizado la producción de su serie de reproductores Blu-ray, que incluye los modelos UBK80 y UBK90. Con un stock limitado disponible, los posibles compradores deben actuar rápidamente para asegurarse las últimas unidades restantes antes de que se agoten.

Después de la salida de Samsung y Sony de los medios físicos, LG fue uno de los últimos grandes fabricantes de reproductores Blu-ray. El ritmo de innovación se desaceleró, al igual que la frecuencia de los modelos más nuevos, y para sorpresa de nadie, LG ha decidido salir del mercado de Blu-ray, según los informes. Las últimas ofertas de LG, los reproductores UHD UBK80 y UBK90, se lanzaron en 2018, hace casi seis años. Panasonic sigue siendo uno de los últimos bastiones que protegen los medios Blu-ray, pero su futuro sigue siendo incierto a medida que la industria hace la transición a la transmisión en línea.

Dejando de lado los reproductores Blu-ray, incluso los discos físicos corren el riesgo de extinguirse. El año pasado, Best Buy abandonó su negocio de Blu-ray y DVD siguiendo las tendencias del mercado. Es cierto que el sentimiento del consumidor ha virado hacia una experiencia más convencional y libre de problemas con los medios digitales. Las empresas naturalmente siguen las tendencias de los consumidores; de la misma manera, no hizo falta mucha previsión para predecir el final de los medios físicos.
El informe menciona que LG Korea no confirmó exactamente la retirada de la empresa del mercado de Blu-ray, lo que abre la puerta a un posible regreso si aumenta la demanda. Por el momento, la producción ha cesado y se espera que el inventario se agote en breve.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1211

Noticias Informáticas / Robocops esféricos patrullan las calles de China

Diciembre 12, 2024, 03:10:53 AM

Unas extrañas máquinas esféricas que parecen miniestrellas de la muerte y que aparentemente pueden disparar redes para atrapar criminales fueron vistas rodando junto a oficiales de policía humanos.

Llamada RT-G, la máquina fue desarrollada por la compañía china de robótica Logon Technology, que la describió como un "gran avance tecnológico" en un comunicado de prensa reciente.

Según sus desarrolladores, el robocop de vientre redondo pesa 125 kilogramos, puede alcanzar velocidades de hasta 35 kilómetros por hora y puede soportar daños por impacto de hasta cuatro toneladas.

Videos en las redes sociales, incluido TikTok, lo mostraron recientemente desplegado en servicio en Wenzhou, una ciudad importante en la provincia oriental china de Zhejiang.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El robot está diseñado para ayudar o reemplazar a los humanos en situaciones peligrosas, según Logon Technology. Utiliza reconocimiento facial e inteligencia artificial para ayudar a los agentes de la ley a patrullar las calles, afirmó la empresa.

También afirmó que el robot tiene capacidades todoterreno y anfibias "excelentes", y un video promocional lo muestra operando tanto en tierra como en agua.

Wang You, profesor asociado de la Universidad de Zhejiang que dirigió el equipo de investigación del robot, dijo al periódico estatal chino Global Times que la máquina puede ser mejorada con "capacidades de confrontación y la capacidad de lidiar con amenazas a corta distancia".

El robot puede estar equipado con pistolas de red, gas lacrimógeno y bombas de humo, así como bocinas y dispersores de ondas acústicas, dijo Wang. Agregó que ya había habido cierto interés de compradores potenciales en Medio Oriente.

Además de sus capacidades para combatir el crimen (o reprimir protestas), la máquina podría utilizarse en simulacros antiterroristas, extinción de incendios, operaciones de rescate de emergencia o incluso detección de contaminación del agua, dijo Wang.

La esfera también podría adaptarse para su uso como robot doméstico o juguete, lo que podría ayudar a reducir sus costos de fabricación. Actualmente, los costos de producción oscilan entre 300.000 y 400.000 yuanes (aproximadamente entre 41.300 y 55.000 dólares), dijo Wang.

Si bien el uso por parte de la policía de los llamados robots asesinos (máquinas capaces de usar la fuerza sin intervención humana) es un tema controvertido en Occidente, la autoritaria China parece ser menos reticente a adoptar la tecnología como herramienta de aplicación de la ley.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1212

Noticias Informáticas / Los microrobots demuestran su eficacia en el tratamiento del cáncer en ratones

Diciembre 12, 2024, 03:06:44 AM

Los ingenieros han descubierto una forma de enviar pequeñas esferas con forma de burbuja para administrar medicamentos dentro del cuerpo con gran precisión.

Un equipo de científicos del Instituto Tecnológico de California (Caltech) ha desarrollado microrobots que pueden nadar a través de diversos fluidos corporales, navegar hasta objetivos específicos en el cuerpo, descargar medicamentos terapéuticos y disolverse sin causar ningún daño a la salud.

"En lugar de introducir un medicamento en el cuerpo y dejar que se difunda por todas partes, ahora podemos guiar a nuestros microrobots directamente al sitio del tumor y liberar el medicamento de forma controlada y eficiente", dijo Wei Gao, profesor de ingeniería médica en Caltech y autor del estudio.

Si bien los nanorobots no son nuevos en el campo de la robótica, la aplicación de robots al cuerpo humano hasta ahora ha sido un desafío debido a la presencia de biofluidos como sangre, orina o saliva que podrían dañar al robot. Además, los microrobots que ingresan al cuerpo deben ser compatibles con el organismo biológico.

El descubrimiento del equipo de Caltech es innovador debido a la estructura de los robots. Estos microrobots son estructuras esféricas hechas de hidrogel, un material gelatinoso que se usa para lentes de contacto y que puede atrapar grandes cantidades de líquido.

Los científicos de Caltech crearon una estructura robótica única, que permite que la esfera exterior lleve la carga terapéutica a un lugar objetivo dentro del cuerpo.

Las nanopartículas magnéticas presentes en el pequeño robot permiten a los científicos dirigirlos a una ubicación deseada dentro de un cuerpo utilizando un campo magnético externo. Cuando los robots llegan al lugar deseado, permanecen allí mientras el medicamento se difunde pasivamente.

Para permitir el movimiento, el equipo diseñó el microrobot con dos aberturas: una en la parte superior y otra en el costado. Cuando se expone a ultrasonidos, las burbujas vibran y expulsan el líquido a través de las aberturas, impulsando a los robots hacia adelante.

Cada microestructura contiene una burbuja en forma de huevo que actúa como un agente de contraste de ultrasonidos altamente efectivo, lo que permite el monitoreo en tiempo real de los robots dentro del cuerpo.

Los pequeños dispositivos ya han demostrado una alta precisión en ratones, administrando con éxito medicamentos que redujeron el tamaño de los tumores de vejiga. Los científicos esperan probar la tecnología recientemente desarrollada con humanos.

"Creemos que se trata de una plataforma muy prometedora para la administración de fármacos y la cirugía de precisión. De cara al futuro, podríamos evaluar el uso de este robot como plataforma para administrar distintos tipos de cargas terapéuticas o agentes para distintas enfermedades. Y, a largo plazo, esperamos probarlo en humanos", afirmó Gao.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1213

Noticias Informáticas / Microsoft permite a los usuarios instalar Wind 11 en PC más antiguos, pero…

Diciembre 12, 2024, 03:04:52 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Unos días después de anunciar que el módulo TPM 2, un importante requisito de hardware para Windows 11, no era una recomendación, sino una necesidad, Microsoft publicó una entrada en su página de soporte sobre la instalación del nuevo sistema operativo en hardware más antiguo.

Como era de esperar, está llena de advertencias sobre posibles problemas causados por hardware incompatible. También recuerda a los usuarios que no cumplen con los requisitos mínimos que no tendrán derecho a recibir actualizaciones.

Si no está seguro de si su dispositivo puede ejecutar el nuevo sistema operativo, Microsoft recomienda comprobarlo mediante la aplicación PC Health Check, que identificará los componentes que no cumplen con las especificaciones mínimas.

Después de instalar el sistema operativo Windows 11 en un dispositivo no compatible, los usuarios verán una marca de agua agregada al escritorio de Windows 11 y una posible notificación en Configuración.

Aquellos que decidan volver a Windows 10 pueden hacerlo en 10 días yendo a Configuración, seleccionando Opciones de recuperación y eligiendo el botón Volver. Puede encontrar instrucciones más detalladas en la página de soporte de Microsoft.

La mayoría de los requisitos de hardware para Windows 11 son bastante bajos e incluyen 1 gigahercio (GHz) o más rápido con dos o más núcleos en un procesador de 64 bits compatible, 4 GB de RAM y al menos 64 GB de almacenamiento.

Sin embargo, el problema es el chip Trust Platform Module (TPM 2.0), del que carecen muchos PC capaces.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1214

Dudas y pedidos generales / Re:Qué componentes y app para hacer un jammer de blueto

Diciembre 12, 2024, 02:18:16 AM

How to Create a Bluetooth Jammer and Jam any Bluetooth Signal with Python

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Arduino Bluetooth Jammer Tutorial

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

ESP32-BlueJammer

The ESP32-BlueJammer is a project utilizing the ESP32 microcontroller to disrupt Bluetooth communication. This project demonstrates the capabilities of the ESP32 in creating interference signals within the Bluetooth frequency range.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

How to Make a Bluetooth Jammer (Vídeo)

#1215

Noticias Informáticas / La operación PowerOFF cierra 27 plataformas de DDoS

Diciembre 12, 2024, 02:03:06 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las fuerzas de seguridad de 15 países han desconectado 27 servicios de DDoS contratados, también conocidos como "booters" o "stressers", han arrestado a tres administradores y han identificado a 300 clientes de las plataformas.

La acción forma parte de la "Operación PowerOFF", una iniciativa internacional para combatir el cibercrimen, en concreto los ataques distribuidos de denegación de servicio (DDoS).

Los servicios de DDoS contratados son plataformas que utilizan botnets en dispositivos comprometidos para lanzar ataques en nombre de clientes de pago contra objetivos en línea de su elección.

Estos ataques pueden provocar cortes en el servicio y la interrupción de las actividades comerciales de los destinatarios, especialmente durante la temporada alta de vacaciones, cuando pueden interrumpir el aumento de las compras en línea.

"Esta operación multifacética, coordinada por Europol y en la que participaron 15 países, tenía como objetivo a todos los niveles de los implicados en este delito", se lee en un comunicado de prensa de Europol.

"Tres administradores detrás de estas plataformas ilícitas fueron arrestados y se tomaron varias medidas contra numerosos usuarios de estos servicios".

En esta última ola de medidas enérgicas coordinada por Europol, se eliminaron veintisiete sitios web booter, incluidos You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que ahora muestran avisos de incautación a los visitantes.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La policía holandesa (Politie) también ha publicado un comunicado sobre la medida, centrándose en las operaciones de aplicación de la ley y los resultados específicos de los Países Bajos.

La Politie afirma que ha detenido a cuatro hombres de entre 22 y 26 años, que están siendo procesados. Uno de ellos habría llevado a cabo 4.169 ataques DDoS, mientras que los otros llevaron a cabo cientos.

Además de los arrestos, la Politie afirma que ha identificado a aproximadamente 200 personas en los Países Bajos sospechosas de haber utilizado los servicios DDoS confiscados.

Muchos recibirán advertencias directas enviadas a su domicilio por carta o visitas de agentes, mientras que otros serán procesados, dependiendo de la escala de sus actividades.

Europol afirma que los desmantelamientos y las detenciones fueron posibles gracias a su apoyo analítico, la información de rastreo criptográfico y diversas formas de asistencia en la investigación forense proporcionadas por sus especialistas en el Grupo de Trabajo Conjunto de Acción contra el Ciberdelito (J-CAT).

El mes pasado, la 'Operación PowerOFF' anunció un golpe significativo al espacio de ataques DDoS por encargo con la incautación de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, una de las mayores plataformas de este tipo, y el arresto de dos sospechosos estrechamente vinculados a ella.

Anteriormente, en julio de 2024, la NCA del Reino Unido anunció, en el contexto de la 'Operación PowerOFF', la infiltración y el cierre del servicio de ataques DDoS por encargo DigitalStress.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1216

Noticias Informáticas / Nueva falla RCE de día cero en Cleo explotada en ataques de robo de datos

Diciembre 12, 2024, 01:57:53 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos están explotando activamente una vulnerabilidad de día cero en el software de transferencia de archivos administrados de Cleo para vulnerar las redes corporativas y llevar a cabo ataques de robo de datos.

La falla se encuentra en los productos de transferencia de archivos seguros de la empresa, Cleo LexiCom, VLTrader y Harmony, y es una falla que permite la carga y descarga de archivos sin restricciones, lo que conduce a la ejecución remota de código.

La vulnerabilidad MFT de Cleo afecta a las versiones 5.8.0.21 y anteriores y es una forma de evitar una falla previamente corregida, CVE-2024-50623, que Cleo abordó en octubre de 2024. Sin embargo, la corrección no estaba completa, lo que permitió a los actores de amenazas evitarla y seguir explotándola en ataques.

Cleo afirma que su software es utilizado por 4.000 empresas en todo el mundo, incluidas Target, Walmart, Lowes, CVS, The Home Depot, FedEx, Kroger, Wayfair, Dollar General, Victrola y Duraflame.

Estos ataques recuerdan a ataques anteriores de robo de datos de Clop que explotaban los días cero en productos de transferencia de archivos administrados, incluida la explotación masiva de 2023 de MOVEit Transfer, los ataques que utilizaban un día cero de GoAnywhere MFT y la explotación de día cero de diciembre de 2020 de los servidores FTA de Accellion.

Sin embargo, el experto en ciberseguridad Kevin Beaumont afirma que estos ataques de robo de datos de Cleo están vinculados a la nueva banda de ransomware Termite, que recientemente vulneró los datos de Blue Yonder, un proveedor de software de cadena de suministro utilizado por muchas empresas de todo el mundo.

"Los operadores del grupo de ransomware Termite (y tal vez otros grupos) tienen un exploit de día cero para Cleo LexiCom, VLTransfer y Harmony", publicó Beaumont en Mastodon.

Ataques en la red

Los investigadores de seguridad de Huntress detectaron por primera vez la explotación activa del software Cleo MFT, que también publicó una prueba de concepto (PoC) en un nuevo artículo en el que advertía a los usuarios que tomaran medidas urgentes.

"Esta vulnerabilidad se está explotando activamente en la red y los sistemas con todos los parches que ejecutan la versión 5.8.0.21 aún son explotables", explica Huntress.

"Recomendamos encarecidamente que traslade cualquier sistema Cleo expuesto a Internet detrás de un cortafuegos hasta que se publique un nuevo parche".

La evidencia de explotación activa de CVE-2024-50623 comenzó el 3 de diciembre de 2024, con un aumento significativo en el volumen de ataques observado el 8 de diciembre.

Aunque la atribución sigue sin estar clara, los ataques están vinculados a las siguientes direcciones IP en Estados Unidos, Canadá, Países Bajos, Lituania y Moldavia.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ataques aprovechan la falla de Cleo para escribir archivos llamados 'healthchecktemplate.txt' o 'healthcheck.txt' en el directorio 'autorun' de los endpoints de destino, que son procesados automáticamente por el software de Cleo.

Cuando esto sucede, los archivos invocan funcionalidades de importación integradas para cargar cargas útiles adicionales, como archivos ZIP que contienen configuraciones XML ('main.xml'), que contienen comandos de PowerShell que se ejecutarán.

Exploit ejecutando comandos de PowerShell en dispositivos vulnerables
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los comandos de PowerShell realizan conexiones de devolución de llamada a direcciones IP remotas, descargan cargas útiles JAR adicionales y borran archivos maliciosos para obstaculizar la investigación forense.

En la fase posterior a la explotación, Huntress dice que los atacantes usan 'nltest.exe' para enumerar dominios de Active Directory, implementar webshells para acceso remoto persistente en sistemas comprometidos y usar canales TCP para robar datos en última instancia.

Cuando terminan de explotar los sistemas, los actores de amenazas ejecutan comandos de PowerShell para eliminar archivos del ataque, como 'C:\LexiCom\cleo.1142'.

La telemetría de Huntress indica que estos ataques han afectado al menos a diez organizaciones que utilizan productos de software Cleo, algunas de las cuales se dedican a productos de consumo, la industria alimentaria, el transporte por carretera y el envío.

Huntress señala que hay más víctimas potenciales más allá de su visibilidad, ya que los escaneos de Internet de Shodan arrojaron 390 resultados para productos de software Cleo. La gran mayoría (298) de los servidores vulnerables se encuentran en los Estados Unidos.

Yutaka Sejiyama, un investigador de amenazas de Macnica, dijo a BleepingComputer que sus análisis arrojaron 379 resultados para Harmony, 124 para VLTrader y 240 para LexiCom.

Acción requerida

Dada la explotación activa de CVE-2024-50623 y la ineficacia del parche actual (versión 5.8.0.21), los usuarios deben tomar medidas inmediatas para mitigar el riesgo de vulneración.

Huntress sugiere mover los sistemas expuestos a Internet detrás de un cortafuegos y restringir el acceso externo a los sistemas Cleo.

Las empresas pueden comprobar si sus servidores Cleo se vieron comprometidos buscando archivos TXT y XML sospechosos en los directorios 'C:\LexiCom', 'C:\VLTrader' y 'C:\Harmony', e inspeccionar los registros en busca de la ejecución de comandos de PowerShell.

Los archivos XML maliciosos se encontrarán en la carpeta 'hosts' y contendrán comandos bash (en Linux) o PowerShell (en Windows). Cleo ha publicado scripts tanto para Linux como para Windows que pueden ayudar a encontrar estos archivos XML maliciosos.

Por último, Huntress sugiere eliminar todos los archivos "Cleo####.jar", por ejemplo cleo.5264.jar o cleo.6597.jar) de Harmony/VLTrader/Lexicom, ya que probablemente se hayan cargado durante la explotación de la vulnerabilidad.

Además, se recomienda desactivar la función de ejecución automática siguiendo estos pasos:

Abra la aplicación Cleo (LexiCom, VLTrader o Harmony)
Vaya a: Configurar > Opciones > Otro panel
Limpie el campo etiquetado Directorio de ejecución automática
Guarde los cambios

Huntress dice que Cleo espera que se publique una nueva actualización de seguridad para esta falla a finales de esta semana.

BleepingComputer le hizo preguntas adicionales a Cleo sobre la vulnerabilidad y le dijeron que la actualización de seguridad estaba "en desarrollo".

"Hemos identificado una vulnerabilidad crítica en instancias de productos Cleo Harmony, VLTrader y LexiCom", le dijo Cleo a BleepingComputer.

"Inmediatamente después de descubrir la vulnerabilidad, iniciamos una investigación con la ayuda de expertos externos en ciberseguridad, notificamos a los clientes sobre este problema y proporcionamos los pasos de mitigación que los clientes deben tomar de inmediato para abordar la vulnerabilidad mientras se desarrolla un parche".

"Nuestra investigación está en curso. Se recomienda a los clientes que consulten la página web del boletín de seguridad de Cleo con regularidad para obtener actualizaciones. Cleo sigue centrada en brindar soporte a sus clientes y ha ampliado los servicios de soporte al cliente 24 horas al día, 7 días a la semana, para aquellos que necesitan asistencia técnica adicional para abordar esta vulnerabilidad".

BleepingComputer se comunicó nuevamente con Cleo para ver si hay un plazo para que la solución de seguridad esté lista, pero no recibió respuesta.

Actualización: Se agregó la declaración de Cleo y más información técnica. También se corrigió la CVE incorrecta al comienzo del artículo.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1217

Noticias Informáticas / Meta declara que sus servicios están funcionando nuevamente

Diciembre 12, 2024, 01:53:52 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

11 dic (Reuters) - Meta-owned dijo que sus servicios volvieron a estar en línea después de que miles de usuarios experimentaron problemas técnicos para acceder a su plataforma el miércoles, según el sitio web de seguimiento de interrupciones You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

En el pico de la interrupción, que comenzó alrededor de las 12:50 p.m. ET, se informaron más de 100.000 incidentes con Facebook y casi 70.000 con Instagram.

El número de informes se redujo a más de 1.000 para ambas aplicaciones a las 6 p.m. ET.

Las cifras de Downdetector se basan en informes enviados por los usuarios. La cantidad real de usuarios afectados puede variar.

Algunos usuarios de Facebook e Instagram publicaron en X que estaban encontrando un error que decía "algo salió mal" y que Meta estaba trabajando para solucionarlo.

A principios de este año, un problema técnico provocó una interrupción que afectó a cientos de miles de usuarios de Facebook e Instagram en todo el mundo.

Las plataformas enfrentaron otra interrupción en octubre, cuando los servicios se restablecieron en gran medida en una hora.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1218

Noticias Informáticas / Presunta violación de datos en Ecuador expone datos confidenciales de registros

Diciembre 12, 2024, 01:52:22 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según informes, una empresa de Ecuador ha sufrido una presunta vulneración de datos que ha puesto en peligro datos confidenciales de sus registros.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este incidente plantea importantes preocupaciones sobre las prácticas de ciberseguridad y la protección de la información corporativa en la región.

La vulneración pone de relieve los crecientes desafíos que enfrentan las organizaciones para proteger los datos confidenciales del acceso no autorizado. Se insta a las autoridades y a la empresa afectada a investigar el incidente e implementar medidas de ciberseguridad más estrictas. Aún no se ha publicado ninguna declaración oficial sobre la vulneración o sus posibles implicaciones.

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1219

Noticias Informáticas / Usuarios reportan caída de Facebook, Instagram y WhatsApp

Diciembre 11, 2024, 05:11:08 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MIAMI, Estados Unidos. – Facebook, Instagram, WhatsApp y Messenger, las principales aplicaciones de Meta, presentan interrupciones en diferentes partes del mundo, según informes de usuarios confirmados por la plataforma Downdetector.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aunque hasta el momento no hay un comunicado oficial de la compañía liderada por Mark Zuckerberg, los reportes indican que en la mayoría de los casos, al intentar acceder a la red social Facebook, la página muestra el mensaje "Sorry, something went wrong" (Lo sentimos, algo salió mal), mientras que en otros servicios se experimentan problemas para enviar y recibir mensajes.

Mensaje que devolvía Facebook a sus usuarios en muchas zonas del mundo este miércoles
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

De acuerdo con la información recabada hasta el momento, la caída parece no ser uniforme. Mientras que muchos usuarios han manifestado en la red X (antes Twitter) que no pueden utilizar Instagram, WhatsApp o Messenger, otros afirman poder acceder a algunas de estas aplicaciones sin inconvenientes. Desde España, por ejemplo, se ha podido utilizar Instagram y WhatsApp de forma parcial, mientras que en otras regiones las fallas han sido más severas.

No es la primera vez que las plataformas de Meta registran interrupciones masivas. En 2021, Facebook, Instagram y WhatsApp estuvieron inaccesibles durante varias horas. Más recientemente, durante 2024, se han reportado caídas puntuales en WhatsApp en fechas como el 27 de junio. En esa ocasión, fallaron las funciones básicas para enviar textos, notas de voz e imágenes, tanto en la aplicación móvil como en la versión web.

Asimismo, el 2 de agosto de 2023, se registraron problemas similares en varios países de América Latina y Estados Unidos, dificultando el envío de mensajes a través de WhatsApp. Por otra parte, el 14 de octubre de 2024, Facebook e Instagram sufrieron una caída global que impactó especialmente a usuarios en México y Colombia.

Fuente:
Downdetector
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1220

Noticias Informáticas / Google afirma superar un desafío de computación cuántica con un nuevo chip

Diciembre 11, 2024, 05:09:36 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google afirmó este lunes que superó un reto clave en la computación cuántica con una nueva generación de chips, resolviendo en cinco minutos un problema de cálculo que a una computadora clásica le llevaría más tiempo que la historia del universo.

Al igual que otros gigantes tecnológicos como Microsoft e IBM, Google, de Alphabet, persigue la computación cuántica porque promete velocidades de cálculo muy superiores a las de los sistemas más rápidos de la actualidad.

Aunque el problema matemático resuelto por el laboratorio cuántico de la empresa en Santa Bárbara, California no tiene aplicaciones comerciales, Google espera que las computadoras cuánticas resuelvan algún día problemas de medicina, química de baterías e inteligencia artificial que están fuera del alcance de las computadoras actuales.

Los resultados publicados el lunes proceden de un nuevo chip llamado Willow que tiene 105 "qubits", que son los componentes básicos de las computadoras cuánticas. Los qubits son rápidos pero propensos a errores, ya que pueden ser sacudidos por algo tan pequeño como una partícula subatómica procedente del espacio exterior.

A medida que se acumulan más qubits en un chip, los errores se acumulan y hacen que el chip no sea mejor que un chip de computadora convencional. Por eso, los científicos trabajan en la corrección de errores cuánticos desde la década de 1990.

En un artículo publicado el lunes en la revista académica Nature, Google afirma haber encontrado la forma de encadenar los qubits del chip Willow para que las tasas de error disminuyan a medida que aumenta el número de qubits. La empresa también afirma que puede corregir errores en tiempo real, un paso clave para que sus máquinas cuánticas sean prácticas.

"Estamos más allá del punto de equilibrio", dijo Hartmut Neven, quien dirige la unidad de IA cuántica de Google, en una entrevista.

En 2019, IBM desafió la afirmación de Google de que el chip cuántico de Google resolvió un problema que le tomaría a una computadora clásica 10.000 años, diciendo que el problema podría resolverse en dos días y medio usando diferentes suposiciones técnicas sobre un sistema clásico.

En una entrada de blog publicada el lunes, Google afirmó que consideró algunas de esas preocupaciones en sus nuevas estimaciones. Incluso en las condiciones más idealistas, Google afirma que una computadora clásica tardaría mil millones de años en obtener los mismos resultados que su nuevo chip.

Algunos de los rivales de Google fabrican chips con un mayor número de qubits que Google, pero Google se enfoca en fabricar los qubits más fiables posibles, según declaró en una entrevista Anthony Megrant, arquitecto jefe de Google Quantum AI.

Google fabricaba sus chips anteriores en unas instalaciones compartidas de la Universidad de California en Santa Bárbara, pero construyó sus propias instalaciones para producir sus chips Willow. Megrant afirma que las nuevas instalaciones acelerarán la velocidad a la que Google podrá fabricar futuros chips, que se enfrían en enormes refrigeradores llamados criostatos para realizar experimentos.

"Si tenemos una buena idea, queremos que alguien del equipo sea capaz de llevarla a la sala blanca y a uno de estos criostatos lo antes posible, para que podamos realizar muchos ciclos de aprendizaje", explicó Megrant.

Fuente:
CNN
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 59 60 61 62 63 ... 249