Mostrar Mensajes

Información del Perfil

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 82 83 84 85 86 ... 249

#1661

Noticias Informáticas / Violación de la lista de correo de Ethereum permitió ataque de drenaje de cripto

Julio 08, 2024, 12:12:51 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas comprometió al proveedor de la lista de correo de Ethereum y envió a más de 35.000 direcciones un correo electrónico de phishing con un enlace a un sitio malicioso que ejecutaba un drenaje de criptomonedas.

Ethereum reveló el incidente en una publicación de blog esta semana y dijo que no tuvo ningún impacto material en los usuarios.

Detalles del ataque

El ataque se produjo la noche del 23 de junio cuando se envió un correo electrónico desde la dirección 'You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login' a 35.794 direcciones.

Ethereum dice que el actor de amenazas utilizó una combinación de su propia lista de direcciones de correo electrónico y 3.759 adicionales exportadas de la lista de correo del blog de la plataforma. Sin embargo, el atacante sólo desconocía previamente 81 de las direcciones exportadas.

El mensaje atraía a los destinatarios al sitio web malicioso con un anuncio de una colaboración con Lido DAO y los invitaba a aprovechar un rendimiento porcentual anual (APY) del 6,8% en Ethereum apostado.

Correo electrónico malicioso enviado a los titulares de Ethereum
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Al hacer clic en el botón incorporado "Comenzar a apostar" para obtener los retornos de inversión prometidos, las personas accedían a un sitio web falso pero diseñado profesionalmente que aparecía como parte de la promoción.

Si los usuarios conectaran sus billeteras en ese sitio y firmaran la transacción solicitada, un drenaje de criptomonedas vaciaría sus billeteras y enviaría todos los montos al atacante.

Sitio de drenaje de criptomonedas
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La respuesta de Ethereum

Ethereum dice que su equipo de seguridad interna inició una investigación lo antes posible para identificar al atacante, comprender el propósito del ataque, determinar el cronograma e identificar a las partes afectadas.

Rápidamente se bloqueó al atacante para que no pudiera enviar más correos electrónicos y Ethereum recurrió a Twitter para notificar a la comunidad sobre los correos electrónicos maliciosos, advirtiendo a todos que no hicieran clic en el enlace.

Ethereum también envió el enlace malicioso a varias listas de bloqueo, lo que provocó que la mayoría de los proveedores de billeteras Web3 y Cloudflare lo bloquearan.

El análisis de las transacciones en cadena mostró que ninguno de los destinatarios del correo electrónico cayó en la trampa durante la campaña.

Ethereum concluye diciendo que ha tomado medidas adicionales y está migrando algunos servicios de correo electrónico a otros proveedores para evitar que un incidente similar vuelva a ocurrir.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1662

Noticias Informáticas / El Crypto Hacking se duplican en la primera mitad del 2024

Julio 08, 2024, 12:11:10 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

LONDRES, 5 de julio (Reuters) - La cantidad de criptomonedas robadas en los hacks a nivel mundial se duplicó en los primeros seis meses del 2024 con respecto al año anterior, impulsada por un pequeño número de grandes ataques y por al aumento de los precios de criptos.

Los piratas informáticos habían robado más de $ 1.38 mil millones en criptografía para el 24 de junio de 2024, en comparación con $ 657 millones en el mismo período en 2023, dijo TRM Labs en un informe.

"Si bien no hemos visto ningún cambio fundamental en la seguridad del ecosistema de criptomonedas, hemos visto un aumento significativo en el valor de varios tokens, desde bitcoin hasta ETH (éter) y solana, en comparación con la misma época del año pasado", dijo Ari Redbord, Jefe de Política Global en TRM Labs.

Esto significa que los ciberdelincuentes están más motivados para atacar los servicios criptográficos y pueden robar más cuando lo hacen, dijo Redbord.

Los precios de la criptografía generalmente se han recuperado de los mínimos golpeados a fines de 2022 después del colapso del intercambio criptográfico de Sam Bankman-Fried, FTX. Bitcoin alcanzó un máximo histórico de $ 73,803.25 en marzo de este año.

Entre las mayores pérdidas criptográficas en lo que va del año se encontraba los aproximadamente $ 308 millones de bitcoin robados del intercambio de cripto japonés DMM Bitcoin, en lo que la compañía llamó una "filtración no autorizada".

Las compañías de criptomonedas son objetivos frecuentes para hacks y ataques cibernéticos, aunque las pérdidas de esta escala son raras.

Los volúmenes de criptomonedas robadas en 2022 fueron de alrededor de $ 900 millones, dijo Redbord, en parte debido a los más de $ 600 millones robados de una red blockchain vinculada al juego en línea Axie Infinity. Estados Unidos ha vinculado a los piratas informáticos norcoreanos con ese robo.

Las Naciones Unidas han acusado a Corea del Norte de usar ataques cibernéticos para ayudar a financiar sus programas nucleares y de misiles. Corea del Norte ha negado previamente las acusaciones de piratería y otros ataques cibernéticos.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1663

Hacking Tools / Colección RockYou 2021-2024 y Otras Misceláneas

Julio 07, 2024, 08:01:00 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para los coleccionistas de diccionarios he aquí las últimas ediciones de la célebre compilación "RockYou"

RockYou2021.txt WordList

Descarga:

Código: text

https://github.com/ohmybahgosh/RockYou2021.txt

Combina todas las siguientes listas de contraseñas:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

• contraseña de la lista COMB de 3,2 mil millones de principios de este año. gracias a quien lo creó.

Y otras listas de múltiples bases de datos filtradas a lo largo de los años.

Todas las contraseñas tienen entre 6 y 20 caracteres, todas las líneas con caracteres que no sean ASCII o espacios en blanco o tabulaciones se eliminan, lo que da como resultado 82 mil millones de entradas únicas.

RockYou2024.txt WordList

Por favor, leer la noticia para que se sepa cómo está compuesta esta última compilación:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Son 45 GB

Descarga Directa(funcional al momento de poner este post):

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Código: text

https://cdn5.filehaus.su/files/1720180479_65657/rockyou2024.zip

Código: text

https://zerodaylab.cloud/storage/1fe295882920b5b23f4fe726e7b525da8166bde7/rockyou2024.zip

Descarga a través de Torrent:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Código: text

https://btdig.com/4e3915a8ecf6bc174687533d93975b1ff0bde38a/rockyou2024

Importante!!

El contenido a descargar no ha sido corroborado en seguridad.

No soy su propietario y ha sido obtenido de diversas fuentes.

No obstante, no ha habido quejas sobre amenazas.

Pero...tomar medidas al respecto.

Esta compilación del 2024 es un tanto controversial, pues se declara que posee muchas "impurezas" que la hacen innecesariamente "pesada".

Otras Misceláneas de Interés

El RockYou básicamente es una compilación de muchos diccionarios.

Para aquel que desease ser más selectivo dentro del propio RockYou en su contenido, le recomiendo:

Compilación de base de diccionarios para el RockYou:

Código: text

https://github.com/danielmiessler/SecLists/tree/master/Passwords/Leaked-Databases

Como notaran poseen la comodidad de obtener los diccionarios por separado con información sobre su contenido.

Suerte

#1664

Noticias Informáticas / Exploit PoC lanzado para vulnerabilidad de HTTP File Server

Julio 07, 2024, 06:40:16 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se lanzó un exploit de prueba de concepto (PoC) para una vulnerabilidad crítica de ejecución remota de código en el software del servidor de archivos HTTP (HFS), identificada como CVE-2024-39943.

Esta vulnerabilidad afecta a la versión 3 de HFS anterior a la 0.52.10 en sistemas Linux, UNIX y macOS, lo que permite a usuarios remotos autenticados con permisos de carga ejecutar comandos del sistema operativo debido al uso de execSync en lugar de spawnSync en el módulo child_process de Node.js.

Detalles de la vulnerabilidad

La vulnerabilidad surge porque HFS usa un shell para ejecutar el comando df, que los atacantes pueden aprovechar para ejecutar comandos arbitrarios en el sistema host. La Base de Datos Nacional de Vulnerabilidad (NVD) ha reconocido este problema pero aún no lo ha analizado completamente.

El exploit PoC de Truonghuuphuc demuestra cómo los atacantes pueden aprovechar esta falla para obtener control sobre los sistemas vulnerables.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Al explotar esta vulnerabilidad, los atacantes pueden ejecutar comandos para recopilar información del sistema, crear cuentas de puerta trasera y potencialmente implementar malware. Este tipo de explotación puede provocar importantes violaciones de seguridad, incluido el robo de datos y el compromiso del sistema.

Mitigación

Se recomienda encarecidamente a los usuarios de HFS que actualicen a la versión 0.52.10 o posterior para mitigar esta vulnerabilidad.

La actualización soluciona el problema reemplazando execSync con spawnSync en el módulo child_process, evitando así la ejecución de comandos arbitrarios a través del shell.

Para implementar la versión HFS actualizada con la configuración necesaria, los usuarios pueden usar el siguiente comando:

Código: text

./hfs --config config.yaml

[/font][/size]

Los administradores deben asegurarse de que sus instalaciones HFS estén actualizadas a la última versión para protegerse contra posibles ataques que aprovechen esta vulnerabilidad.

Parchee su servidor de archivos HTTP (HFS) y evite la explotación

Actualice HFS a la versión 0.52.10 o posterior:

La vulnerabilidad se solucionó en la versión 0.52.10 de HFS. Asegúrese de descargar e instalar esta versión o cualquier versión posterior para mitigar el problema. Esta actualización reemplaza el uso de execSync con spawnSync en el módulo child_process de Node.js, lo que evita la ejecución de comandos arbitrarios del sistema operativo.

Deshabilite los permisos de carga temporalmente:

Si no puede actualizar HFS de inmediato, considere deshabilitar temporalmente los permisos de carga para todos los usuarios. Esto reducirá el riesgo de explotación hasta que se pueda aplicar la actualización.

Implementar mecanismos de autenticación sólidos:

Asegúrese de que existan mecanismos de autenticación sólidos. Revise y restrinja periódicamente los permisos de los usuarios, especialmente los permisos de carga, para minimizar el riesgo de acceso no autorizado.

Monitorear sistemas para actividades sospechosas:

Supervise continuamente sus sistemas en busca de actividades sospechosas o ejecuciones de comandos no autorizadas. Implementar mecanismos de registro y alerta para detectar posibles intentos de explotación.

Segmentación de la red:

Considere implementar la segmentación de la red para limitar el impacto potencial de la explotación. Esto puede ayudar a contener cualquier infracción y proteger los activos críticos.

Auditorías y actualizaciones periódicas:

Audite y actualice periódicamente todas las instancias de HFS en su entorno. Mantener el software actualizado es crucial para mantener la seguridad y proteger contra vulnerabilidades recién descubiertas.

Si sigue estos pasos, podrá mitigar eficazmente el riesgo que plantea la vulnerabilidad CVE-2024-39943 y proteger su servidor de archivos HTTP frente a una posible explotación.

Fuente:
Cyber Security News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1665

Noticias Informáticas / Nuevos enrutadores Wi-Fi convierten su red doméstica en un radar de seguridad

Julio 07, 2024, 06:33:14 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La seguridad Wi-Fi generalmente significa mantener a los intrusos virtuales fuera de su red, pero un nuevo sistema afirma poder usar redes Wi-Fi para detectar intrusos físicos. El sistema de alarma para el hogar Wi-Fi de Gamgee puede aprender a reconocer a las personas y mascotas que pertenecen allí y alertarlo sobre extraños, o tal vez incluso cuando una persona mayor se cae.

Nuestros hogares ya están llenos de señales invisibles de Wi-Fi, que circulan conectando nuestros teléfonos, computadoras portátiles, bombillas, refrigeradores y básicamente todo lo que se puede hacer "inteligente" hoy en día. Si bien no podemos ver ni sentir estas señales, dejamos un impacto en ellas mientras nos movemos por la casa.

Curiosamente, investigaciones recientes han demostrado que se pueden utilizar algoritmos especializados para analizar las señales Wi-Fi reflejadas y detectar a una persona en una habitación, incluso a través de las paredes. Se hicieron más avances para diferenciar a las personas según su altura, forma corporal o incluso su forma de caminar, y contando hasta 20 personas en una habitación.

Ahora, una startup holandesa llamada Gamgee está incorporando esa tecnología a productos de consumo. El sistema de alarma para el hogar Wi-Fi se compone de un conjunto de enrutadores que forman una red en malla, que en primer lugar garantiza una conexión a Internet confiable en toda la casa. Pero la otra función principal, por supuesto, es que pueden detectar movimiento con la ayuda de algoritmos incorporados.

Las señales WiFi se pueden utilizar como radares, mapeando todo y a todos en su hogar en 3D: imagen creada con herramientas generativas
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según la empresa, una fase de formación de dos semanas permite al sistema aprender a reconocer las "huellas corporales" de residentes, visitantes habituales e incluso niños y mascotas. Después de eso, los movimientos desconocidos activarán una notificación al usuario, permitiéndole etiquetar a un nuevo huésped o alertarlo sobre un posible intruso, incluso hasta la habitación específica o parte de la casa en la que se encuentra. Otro caso de uso es el monitorear los movimientos de las personas mayores alrededor de sus hogares y alertar a los familiares en caso de una caída.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Controlado a través de una aplicación, el sistema de detección puede funcionar todo el tiempo o solo cuando sales de casa. No es necesario que lleve consigo ningún dispositivo Wi-Fi; simplemente reconoce todo a partir de las mismas señales que transmiten su Netflix.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Puede sonar un poco espeluznante desde el punto de vista de la privacidad, pero Gamgee insiste en que todos los datos de movimiento se procesan y almacenan en los propios enrutadores, y nunca en la nube. Aun así, la idea de poder revisar el "historial de movimientos", incluido qué miembros de la familia entraron en qué habitaciones, cuándo y durante cuánto tiempo, parece un poco inquietante.

El sistema de alarma para el hogar Gamgee Wi-Fi está buscando financiación en Indiegogo, donde con una contribución de 295 euros (alrededor de 320 dólares estadounidenses) se obtiene un juego de tres enrutadores, o 345 euros (374 dólares) por cuatro. Si todo va bien, el envío debería comenzar en enero de 2025.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1666

Noticias Informáticas / Microsoft ha creado una IA para el gobierno que puede funcionar sin conexión

Julio 07, 2024, 06:29:00 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft entrenó recientemente un nuevo modelo de IA que puede funcionar completamente libre de las ataduras de Internet, lo que la convierte en una nueva y poderosa herramienta en manos de quien la implemente.

La tecnología fue creada para permitir a las agencias de inteligencia estadounidenses analizar información ultrasecreta sin correr el riesgo de filtrarla a piratas informáticos u otros grupos nefastos con acceso a Internet.

"Esta es la primera vez que tenemos una versión aislada (cuando aislada significa que no está conectada a Internet) y está en una red especial a la que sólo puede acceder el gobierno de Estados Unidos", dijo William Chappell, director de tecnología de misiones estratégicas de Microsoft.

"Hay una carrera para incorporar IA generativa a los datos de inteligencia", dijo Sheetal Patel, subdirector de la CIA para el Centro de Misiones Tecnológicas y Transnacionales, en una conferencia de seguridad en la Universidad de Vanderbilt en mayo. "El primer país que utilice IA generativa para su inteligencia ganaría esa carrera, y quiero que seamos nosotros".

Durante mucho tiempo ha existido preocupación por la dispersión involuntaria de datos confidenciales a través de chatbots de inteligencia artificial, y los ejecutivos de algunas de las empresas más grandes advierten a sus empleados sobre el uso de la tecnología, citando riesgos de filtrar información confidencial o de propiedad exclusiva.

Esto se magnifica cuando se trata de información confidencial capturada y registrada por organizaciones como la CIA, que manejan datos de inteligencia clasificados.

Fuente:
Twister Sifter
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1667

Noticias Informáticas / El videojuego que más ha demorado su lanzamiento en la historia finalmente sale

Julio 07, 2024, 06:26:15 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Kien, un videojuego programado para Game Boy Advance, finalmente ha sido lanzado 22 años después de que comenzara su producción.

El juego, que ahora ostenta el título del videojuego que más ha demorado su lanzamiento en la historia, ya está disponible para GBA. El récord pertenece al icónico Duke Nukem Forever, un juego cuyas luchas de desarrollo son más legendarias que el juego en sí.

Kien comenzó su desarrollo en Italia en 2002 y estaba compuesto por un equipo de cinco miembros sin experiencia en videojuegos. En un intento por convertirse en los primeros desarrolladores italianos en publicar para Game Boy Advance, el diseñador principal de juegos Lucio Belsanti y su equipo comenzaron a trabajar en Kien, un juego de plataformas de acción con gran dificultad y una tradición aún más profunda. Cuando se le preguntó qué inspiró a Kien, Belsanti le da crédito a la jugabilidad de Castlevania, la diversión de los beat-em-ups de los 90 y los temas de la mitología china. No dejes que los divertidos gráficos y el lanzamiento de Game Boy Advance te engañen; Kien es tan duro como parece, y sus desarrolladores lo apodan hoy en día "pre-Souls-like".

Sólo dos años después, en 2004, se bloqueó una versión liberable de Kien, pero Kien se topó con un enemigo mayor que cualquier fantasma o duende: el capitalismo. Los creadores de Kien se reunieron con tres editores para ayudar a vender Kien, pero se enfrentaron a una decepción. La producción de los juegos de Game Boy Advance costaba hasta 15 dólares por cartucho, y la sabiduría predominante afirmaba que las IP nuevas que no fueran de Nintendo no se venderían bien, por lo que a Kien nunca se le dio una oportunidad. Para empeorar las cosas para los jóvenes desarrolladores, hubo un par de reseñas del 60% por parte de Nintendo Power y PocketGames, y la mayor dificultad en el juego generó críticas. Eran principios de la década de 2000, con el reinado oscuro del modo fácil todavía en pleno apogeo. Las críticas tímidas sellaron el trato para cualquier discusión editorial futura, y Kien fue archivado indefinidamente.

Los cinco amigos continuaron con sus carreras profesionales, y Belsanti siguió siendo desarrollador de juegos. Luego fundó AgeOfGames, un estudio independiente especializado en juegos educativos. Pero muchos años después, Kien resucitó milagrosamente. Gracias a que Game Boy Advance se ha vuelto lo suficientemente viejo como para ser el objetivo de la nostalgia tanto de los Millennials como de los Zoomers, nuevos estudios y desarrolladores están satisfaciendo un deseo creciente de juegos GBA en cartuchos. Belsanti finalmente se conectó con Incube8 Games, uno de esos editores "retro", y Kien finalmente está disponible en un cartucho real de Game Boy Advance, tal como se pretendía hace 22 años.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1668

Dudas y pedidos generales / Re:Duda sobre disco externo

Julio 06, 2024, 12:35:28 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1669

Noticias Informáticas / Grupo de ransomware utiliza llamadas telefónicas para presionar a las víctimas

Julio 04, 2024, 10:40:00 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores dicen que han descubierto un nuevo grupo de ransomware llamado Volcano Demon que ha llevado a cabo al menos dos ataques exitosos en las últimas dos semanas.

Los objetivos del grupo eran empresas de las industrias manufacturera y logística, dijo Tim West, analista de la firma de ciberseguridad Halcyon, en un comentario a Recorded Future News, y se negó a proporcionar más información sobre los objetivos.

Lo interesante de este grupo de ransomware, dijeron los investigadores de Halcyon, es que no tiene un sitio web público de filtraciones, sino que utiliza llamadas telefónicas para intimidar y negociar pagos con los líderes de las organizaciones víctimas. Estas llamadas provienen de números no identificados y a menudo tienen un tono amenazador, dijeron los investigadores.

Antes de llamar, los piratas informáticos cifraron los archivos en los sistemas de las víctimas con el ransomware LukaLocker previamente desconocido y dejaron una nota de rescate:

"Si ignora este incidente... nos aseguraremos de que sus clientes y socios sepan todo y los ataques continuarán. Algunos de los datos se venderán a estafadores que atacarán a sus clientes y empleados", se lee en la nota.

Volcano Demon bloqueó con éxito estaciones de trabajo y servidores Windows explotando credenciales administrativas comunes obtenidas de la red, dijo Halcyon.

El grupo utilizó una técnica de doble extorsión para maximizar las posibilidades de recibir el pago, dijo Halcyon. Antes de la infección de LukaLocker, exfiltraban los datos de las víctimas a servicios de comando y control (C2) y solo entonces los cifraban.

Rastrear a este actor de amenazas fue un desafío, dijeron los investigadores. Los atacantes borraron los archivos de registro de las máquinas objetivo antes de la explotación, "haciendo casi imposible una evaluación forense exhaustiva".

Llamadas frecuentes

West dijo a Recorded Future News que los piratas informáticos hablaban "con un fuerte acento", pero que era demasiado difícil saber su origen sin grabaciones, que no están disponibles hasta la fecha.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Llaman con mucha frecuencia, casi a diario en algunos casos", dijo, añadiendo que la empresa no puede compartir los detalles del intercambio entre los piratas informáticos y las víctimas.

Aún no está claro si Volcano Demon opera de forma independiente o es afiliado de un grupo de ransomware conocido. West dijo que por ahora Halcyon no ha podido identificar dichos vínculos.

Los operadores de ransomware continúan evolucionando y recientemente han surgido varios nuevos actores de amenazas dirigidos a una amplia gama de industrias, según Halcyon.

En mayo de 2024, los investigadores descubrieron una banda criminal llamada Arcus Media, que opera un modelo de ransomware como servicio, que permite a otros actores de amenazas utilizar su malware. Durante el mes pasado, los piratas informáticos supuestamente atacaron a víctimas en Estados Unidos, Reino Unido, India y Brasil.

Otro grupo, Space Bears, surgió a principios de abril, "rápidamente ganando notoriedad por su sitio de filtración de datos con temática corporativa y sus afiliaciones estratégicas", incluso con el grupo de ransomware como servicio Phobos.

El análisis de las actividades de estos grupos sugiere que "pueden estar más organizados y financiados de lo previsto anteriormente", dijeron los investigadores.

Fuente:
The Record
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1670

Noticias Informáticas / Google y Meta admiten que la IA podría perjudicar sus negocios

Julio 04, 2024, 10:37:14 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Parece que la inteligencia artificial está en todas partes estos días, pero algunos de los actores más importantes de la tecnología finalmente están reconociendo los riesgos que plantea.

La IA ha sido el mayor tema de discusión en la industria tecnológica desde que OpenAI presentó ChatGPT al público en noviembre de 2022. En los meses posteriores, empresas como Google, Meta, Microsoft y otras han invertido mucho en sus esfuerzos de IA.

Las principales empresas de tecnología han hablado en voz alta de sus planes de alistarse en la carrera armamentista de la IA, pero más recientemente han estado abordando discretamente las formas en que en realidad podría ser perjudicial para los negocios.

En su informe anual de 2023, la empresa matriz de Google, Alphabet, dijo que sus productos y servicios de inteligencia artificial "plantean desafíos éticos, tecnológicos, legales, regulatorios y de otro tipo, que pueden afectar negativamente nuestras marcas y nuestra demanda".

De manera similar, Meta, Microsoft y Oracle también han incluido sus preocupaciones sobre la IA en las presentaciones de la Comisión de Bolsa y Valores, generalmente en la sección de "factores de riesgo", informó Bloomberg.

Microsoft dijo que sus características generativas de IA "pueden ser susceptibles a amenazas de seguridad imprevistas por parte de adversarios sofisticados".

"Existen riesgos significativos involucrados en el desarrollo y la implementación de la IA y no hay garantía de que el uso de la IA mejore nuestros productos o servicios o sea beneficioso para nuestro negocio, incluida nuestra eficiencia o rentabilidad", dice el informe anual de 2023 de Meta.

Meta pasó a enumerar factores, incluida la desinformación (específicamente durante las elecciones), el contenido dañino, la infracción de la propiedad intelectual y la privacidad de los datos, como formas en que la IA generativa podría ser perjudicial para los usuarios y dejar a la empresa vulnerable a litigios.

Mientras tanto, el público ha expresado su preocupación por que la IA haga obsoletos algunos trabajos, los grandes modelos de lenguaje se capaciten con datos personales y la difusión de información errónea.

Un grupo de empleados actuales y anteriores de OpenAI firmaron una carta el 4 de junio dirigida a las empresas de tecnología exigiendo que hicieran más para mitigar los riesgos de la IA y proteger a los empleados que plantean dudas sobre su seguridad.

Estos van desde "un mayor afianzamiento de las desigualdades existentes, pasando por la manipulación y la desinformación, hasta la pérdida de control de los sistemas autónomos de IA, lo que podría resultar en la extinción humana", decía la carta.

Meta, Google y Microsoft no respondieron de inmediato a una solicitud de comentarios de Business Insider.

Fuente:
Business Insider
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1671

Noticias Informáticas / Datos del Gobierno de Colombia y acceso a bases de datos están a la venta

Julio 04, 2024, 10:35:21 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas supuestamente está vendiendo una base de datos de una agencia del Gobierno de Colombia que consta de datos de usuarios, así como un acceso a la base de datos en un foro de la dark web.
Según el actor de la amenaza, los supuestos datos incluyen identificación de usuario, números, correos electrónicos, facturas en PDF, documentos de usuario y más.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según la publicación, la supuesta base de datos consta de 1.500.000 líneas, y el número total de líneas supera las 4.655.380. El actor de amenazas vende la base de datos por 1100 dólares y el precio de la base de datos y el acceso es de 2200 dólares.

El actor de amenazas afirma que la agencia en cuestión se revelará después de que el acuerdo pase por el depósito de garantía del foro. Los datos de muestra también se incluyen en la publicación.

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1672

Noticias Informáticas / Hackers ofrecen disculpa tras ataque a centros de datos del gobierno

Julio 04, 2024, 10:33:57 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ataque del mes pasado a los centros de datos del gobierno interrumpió los controles de inmigración en los aeropuertos y afectó a más de 230 agencias y servicios gubernamentales en todo el país.

Los sistemas de datos cruciales estaban bloqueados y cifrados y existía la preocupación de que se filtraran datos personales y confidenciales.

Según la Agencia Nacional de Cifrado y Cibernética de Indonesia, el ataque fue llevado a cabo por un grupo conocido como Brain Cipher.

Los ciberdelincuentes exigieron un rescate de casi 12 millones de dólares, que el gobierno indonesio se negó a pagar.

Pero luego, el martes, el grupo hizo una declaración pública en su sitio web pidiendo disculpas y prometiendo proporcionar las claves de descifrado "gratis" el miércoles.

"Esperamos que nuestro ataque les haya dejado claro lo importante que es financiar la industria y contratar especialistas cualificados", dice el comunicado.

"Nuestro ataque no tuvo un contexto político, sólo un pentest [prueba de penetración] con pospago."

"Ciudadanos de Indonesia, pedimos disculpas por el hecho de que haya afectado a todos".

También pidieron al gobierno indonesio que exprese en público su "agradecimiento" por el hecho de que la decisión del grupo se haya tomado "de forma independiente".

"Si la representación del gobierno considera incorrecto agradecer al hacker [entonces] puede hacerlo de forma privada en la oficina de correos".

No está claro si el grupo ha cumplido su promesa.

El ataque expuso la 'débil' ciberseguridad de Indonesia

El gobierno de Indonesia ha sido criticado tras el ataque, especialmente por no haber realizado copias de seguridad de gran parte de los datos.

El diputado de Yakarta, Meutya Hafid, dijo que el ataque se debió a una "estupidez".

El Ministro de Comunicaciones y Tecnología de la Información, Budi Arie Setiadi, dijo en un comunicado que si bien los centros de datos en Indonesia tenían capacidad de respaldo, era opcional para las agencias gubernamentales utilizar el servicio.

Dijo que las agencias gubernamentales no habían realizado copias de seguridad de los datos debido a "limitaciones presupuestarias", pero que pronto serían obligatorias.

El analista de ciberseguridad Alfons Tanujaya dijo que la ciberseguridad de Indonesia era "débil".

"Tiene que ver con la estructura política, cómo se perciben los datos y el rápido ritmo de la digitalización", dijo.

Tanujaya dijo que parte de la debilidad era que los funcionarios responsables de gestionar los datos eran a menudo personas designadas políticamente a las que se les asignaban puestos de trabajo como resultado de negociaciones durante las elecciones, en lugar de profesionales calificados.

Tanujaya dijo que la declaración de disculpa fue "inesperada" pero parecía auténtica.

"Creo que el hacker se disculpó por dificultar el acceso de muchos ciudadanos indonesios a sus datos, sin necesariamente sentir pena por lo que hicieron", dijo.

Según Tempo, una revista de investigación de Indonesia, hubo más de 400 millones de ciberataques en 2023, frente a 370 millones en 2022.

Muchos de ellos utilizaban la técnica de phishing, en la que las víctimas descargaban malware incrustado en enlaces de correo electrónico.

Fuente:
ABC
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1673

Noticias Informáticas / RockYou 2024: 10 mil millones de contraseñas filtradas

Julio 04, 2024, 03:21:23 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de Cybernews descubrieron lo que parece ser la compilación de contraseñas más grande con la asombrosa cifra de 9,948,575,739 contraseñas únicas en texto sin formato. El archivo con los datos, titulado rockyou2024.txt, fue publicado el 4 de julio por el usuario del foro ObamaCare.

Si bien el usuario se registró a fines de mayo de 2024, anteriormente compartió una base de datos de empleados del bufete de abogados Simmons & Simmons, un cliente potencial de un casino en línea AskGamblers y solicitudes de estudiantes para Rowan College en el condado de Burlington.

El equipo cruzó las contraseñas incluidas en la filtración RockYou2024 con datos del Leaked Password Checker de Cybernews, que reveló que estas contraseñas provenían de una combinación de filtraciones de datos nuevas y antiguas.

"En esencia, la filtración RockYou2024 es una recopilación de contraseñas del mundo real utilizadas por personas de todo el mundo. Destacar que, muchas contraseñas para actores de amenazas aumenta sustancialmente el riesgo de ataques de relleno de credenciales", dijeron los investigadores.

Los ataques de relleno de credenciales pueden resultar muy perjudiciales para los usuarios y las empresas. Por ejemplo, una reciente ola de ataques dirigidos a Santander, Ticketmaster, Advance Auto Parts, QuoteWizard y otros fue el resultado directo de ataques de relleno de credenciales contra el proveedor de servicios en la nube de las víctimas, Snowflake.

"Los actores de amenazas podrían aprovechar la compilación de contraseñas de RockYou2024 para realizar ataques de fuerza bruta y obtener acceso no autorizado a varias cuentas en línea utilizadas por personas que emplean contraseñas incluidas en el conjunto de datos", explicó el equipo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No es el primer rodeo

El recopilatorio RockYou2024 no cayó del cielo. Hace tres años, Cybernews publicó una historia sobre la compilación de contraseñas RockYou2021, la más grande en ese momento, con 8.400 millones de contraseñas en texto plano.

Según el análisis del equipo de RockYou2024, los atacantes desarrollaron el conjunto de datos rastreando Internet en busca de fugas de datos, agregando otros 1.500 millones de contraseñas desde 2021 hasta 2024 y aumentando el conjunto de datos en un 15 por ciento.

La compilación RockYou2021, una ampliación de una filtración de datos de 2009, incluía decenas de millones de contraseñas de usuarios para cuentas de redes sociales. Desde entonces, sin embargo, la recopilación se ha disparado exponencialmente. Lo más probable es que la última versión de RockYou contenga información recopilada de más de 4.000 bases de datos durante más de dos décadas.

El equipo de Cybernews cree que los atacantes pueden utilizar la compilación RockYou2024 de diez mil millones de unidades para atacar cualquier sistema que no esté protegido contra ataques de fuerza bruta. Esto incluye todo, desde servicios en línea y fuera de línea hasta cámaras con acceso a Internet y hardware industrial.

"Además, combinado con otras bases de datos filtradas en foros y mercados de hackers, que, por ejemplo, contienen direcciones de correo electrónico de usuarios y otras credenciales, RockYou2024 puede contribuir a una cascada de filtraciones de datos, fraudes financieros y robos de identidad", afirmó el equipo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1674

Noticias Informáticas / ASUS y NordVPN se asocian para integrar el servicio VPN en los enrutadores

Julio 04, 2024, 12:23:37 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

NordVPN, proveedor líder de servicios de red privada virtual (VPN), y el gigante tecnológico global ASUS, han unido fuerzas para ofrecer los primeros enrutadores del mercado con servicio VPN integrado. Los enrutadores ASUS serán los primeros en el mercado en ofrecer la funcionalidad NordVPN incorporada, brindando a los usuarios una forma poderosa de proteger toda su red.

Primeros enrutadores con NordVPN integrado

El enrutador ASUS RT-AX57 Go contará con conectividad trimodo ideal para viajes, trabajo y entornos domésticos.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Por otro lado, ASUS GT-AX11000 Pro, diseñado pensando en los jugadores, es el segundo enrutador ASUS de la línea que se integra con NordVPN.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ambos enrutadores vienen equipados con seguridad AiProtection integrada y NordVPN. Configurar el servicio VPN es pan comido: los usuarios simplemente ingresan sus credenciales de suscripción a través de una página de autoservicio y ¡tadahh!

Si bien estos son los enrutadores iniciales con NordVPN integrado, la colaboración se extiende más allá de estos modelos. Ambas compañías planean expandir su asociación, permitiendo gradualmente que todos los usuarios de dispositivos de red ASUS aprovechen las funciones de seguridad y privacidad de NordVPN.

Este sorprendente avance muestra un cambio positivo hacia un futuro en línea más seguro y orientado a la privacidad. Con la experiencia combinada de ASUS y NordVPN, los usuarios ahora pueden disfrutar de una protección integral para toda su red, salvaguardando sus actividades en línea e información personal.

Otro éxito de NordVPN

La asociación entre los gigantes de la industria se produjo apenas un par de semanas después de que la función Threat Protection Pro de NordVPN obtuviera la primera certificación Anti-Phishing por parte de la organización de pruebas independiente AV-Comparatives.

La certificación Anti-Phishing de AV-Comparatives tiene un valor notable por varias razones, incluida la verificación independiente, el reconocimiento único en su tipo y una mayor confianza del usuario.

Fuente:
HackRead.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1675

Noticias Informáticas / Sony acaba con el Blu-ray y los discos ópticos para el mercado de consumo

Julio 04, 2024, 12:07:14 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un informe reciente indicó que Sony planea eliminar hasta 250 puestos de trabajo en su planta de medios ópticos, ofreciendo a los trabajadores una jubilación anticipada en preparación para la eliminación gradual de su producción de discos grabables. La compañía lo ha confirmado ahora cuando dijo en una entrevista con AV Watch que dejaría de desarrollar y producir discos ópticos grabables, incluido Blu-ray. Además, el representante de Sony dijo: "No estamos considerando mudarnos al extranjero", lo que marca el comienzo del fin de los discos Blu-ray grabables para los consumidores.

Si utiliza Blu-ray para archivar sus datos, debe comenzar a comprar BD grabables hasta agotar existencias. Sin embargo, los clientes comerciales y los cinéfilos no deben entrar en pánico todavía. "Continuaremos vendiendo productos B2B haciéndolos por adelantado, y para los productos de consumo, decidiremos la fecha de finalización específica en el futuro a través de conversaciones con socios de distribución, como los minoristas masivos, pero continuaremos vendiéndolos por el momento."

El fin de la producción de Blu-ray grabable reducirá la cantidad de opciones que tienen los usuarios para un almacenamiento confiable a largo plazo de sus datos. Los discos duros y SSD duran un promedio de cinco años, mientras que los discos Blu-ray podrían durar décadas, y algunos discos ópticos más nuevos pueden durar cien años.

A pesar de su longevidad, los discos Blu-ray están limitados por su capacidad, y el más grande está limitado a 125 GB. Si bien algunos investigadores chinos pudieron crear un formato de disco óptico que puede almacenar hasta 125 TB de datos, todavía se encuentra en la fase de investigación y aún no está disponible comercialmente. Esta limitación probablemente sea la razón por la que los consumidores prefieren la comodidad del almacenamiento en la nube para las copias de seguridad.

"El crecimiento del mercado de almacenamiento en frío no ha alcanzado nuestras expectativas y el rendimiento del negocio de medios de almacenamiento en su conjunto sigue estando en números rojos", dijo un portavoz del Grupo Sony. "Y hemos determinado que es necesario revisar la estructura empresarial para mejorar la rentabilidad".

Aunque Sony todavía conserva la producción de Blu-ray para clientes corporativos y la industria cinematográfica, el futuro de los medios ópticos es sombrío, al menos para Sony.

El portavoz añadió: "Nuestro objetivo es continuar nuestro negocio a una escala adecuada en línea con el entorno del mercado y volver a la rentabilidad a través de tres medidas: (1) la terminación gradual del desarrollo y la producción y la reducción del tamaño de nuestra fuerza laboral en el negocio de medios de discos ópticos grabables, (2) la reducción del tamaño de nuestro personal en el negocio de medios de cinta, y (3) la transición a una estructura de una sola empresa a partir de abril de 2025 y el cambio a operaciones eficientes en línea con la escala de Nuestro negocio."

Fuente:
Tom's Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1676

Noticias Informáticas / Investigadores de malware detectan 28 nuevos ransomwares en junio

Julio 04, 2024, 12:04:40 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En junio, los expertos en ciberseguridad identificaron 28 nuevas variantes de ransomware.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estos programas maliciosos, caracterizados por su naturaleza insidiosa, representan una amenaza importante tanto para individuos como para empresas. Con cada nueva variante, los ciberdelincuentes están perfeccionando sus tácticas, lo que hace que la detección y la mitigación sean cada vez más difíciles.

El ransomware funciona cifrando datos valiosos en los sistemas infectados, haciéndolos inaccesibles para los usuarios. Posteriormente, los perpetradores exigen rescates exorbitantes por las claves de descifrado, manteniendo efectivamente como rehén información crítica. Esta nefasta práctica no sólo pone en peligro la integridad de los datos personales y sensibles, sino que también impone cargas financieras sustanciales a las víctimas.

•   Lexus
o   SHA-256: 4dddfd8d5d0a097700ec211ed5ff49ae6dc0426f1dcb0c97b13da0acffe09216
o   Extensions: .Lexus

•   Chaddad
o   SHA-256: ae2d15ad55b08ea8f3f3b3f2bf16ac28d12fb3f9fb20399afaaf918f1a34f29f
o   Extensions: .chaddad

•   Waqa
o   SHA-256: 9f7bdfe15f900f4f2f8da79dc35a05832cfcc4bbb07854780df338113f3d5336
o   Extensions: .waqa,

•   PartiZAN32
o   SHA-256: d0a91ad881db15a90e65cb9674978287dc41d895f6fff1d3459280334f831638
o   Extensions: .xqwertzuioplkjhgfyxcvbnmD

•   Watz
o   SHA-256: e832aad5a403e60642fc27593363ebc3b9dc7f81
o   Extensions: .watz

•   Anonymous Encryptor
o   SHA-256: 69d118fb4175ca4c144fd29b8c9c8a0218cb03da947e0136d36b08b2bd2b652c
o   Extensions: .Anonymous

•   Xam
o   SHA-256: 225e299bca1514858a1c31e85c05a2e7375f9f8d7095f5775dffe4d048e78892
o   Extensions: .xam

•   Orbit
o   SHA-256: babcf21571854dc02d7881ba125c3ba0cadf8ef1edc204573bbd73ab918cd8eb
o   Extensions: .orbit

•   RansomHubV2
o   SHA-256: 7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a
o   Extensions: .[random characters]

•   DORRA
o   SHA-256: 18ba97ec9c00b85d27d9d20c62ef7bd9484ad68a33e2a2121a1bcbed19f2eacd
o   Extensions: .DORRA

•   Fog
o   SHA-256: e67260804526323484f564eebeb6c99ed021b960b899ff788aed85bb7a9d75c3
o   Extensions: ..FOG – .FLOCKED

•   Malware Mage
o   SHA-256: 599c48ddf6f8b7fa4564c26977db3ed931c4b14093674d071a4b77523fb56969
o   Extensions: .malwaremage

•   Run
o   SHA-256: cdc509cd5807b2fadafc1628a9cd4cfc93f0120d60c1b0446327bf65de68b9d9
o   Extensions: .run10

•   Trinity
o   SHA-256: 36696ba25bdc8df0612b638430a70e5ff6c5f9e75517ad401727be03b26d8ec4
o   Extensions: .trinitylock

•   El Dorado
o   SHA-256: 8badf1274da7c2bd1416e2ff8c384348fc42e7d1600bf826c9ad695fb5192c74
o   Extensions: .00000001

•   L3MON
o   SHA-256: 85772b8ab400e26de47ca174d6b85dc9bc8cd936ae5b2a4ba3cc4c1a855fe6de
o   Extensions: .[random characters]

•   Dkq
o   SHA-256: f7b9599f6c3793b43300909e1589654002eb96d0799d731f2507475e48862352
o   Extensions: .dkq

•   Lord Bomani
o   SHA-256: 4252fbc2706e9f8bbcb19be38dd0db73dda870411add5477717b2865fd484242
o   Extensions: .[[email protected]]

•   Rapax
o   SHA-256: 4c0fec496abf0c29ef8358d913781b9d0c00e3e53487b72cfbf42753f0aa5176
o   Extensions: .rapax

•   Cebrc
o   SHA-256: bed22d3be408109f34810e724299d9579f6991345f773ff7b4674827bc4fbc01
o   Extensions: .cebrc

•   AzzaSec
o   SHA-256: 58b45bfd8430d8b24f9142278ff206261ab3d1100b3c98b0fdfcefdddf2fd05d
o   Extensions: .AzzaSec

•   GhostHacker
o   SHA-256: bfad1fc041e176f9335d91cc4480e2c373d29354a33f5039212afe9e6d879978
o   Extensions: .GhostHacker

•   Jinwooks
o   SHA-256: 635adb7c70d41a43be40469bd0a517e8feb8a9ddb3e68f0ead3c2a4b82875213
o   Extensions: .jinwooksjinwooks

•   Geometrical
o   SHA-256: 4e359ae286505974c77f25cd4862138af31ad5fc63b29fc1682a59d996bddc85
o   Extensions: .geometrical

•   COBRA
o   SHA-256: bf0c353bf4f59db1d33b62589cca64d29c915d3073c86cd04e78f1d28bb65d74
o   Extensions: .COBRA

•   XFUN
o   SHA-256: 3c42e4eb06ef1211579d89dd651dafe541a3faf9b9a2bd8273cc61d101f30f5c
o   Extensions: .XFUN

•   Anonymous Arabs
o   SHA-256: 390db2712380d32479d8f0b61397e9cfba7eb084677cd46fc1e72555f5166420
o   Extensions: .encrypt

•   ShrinkLocker
o   SHA-256: e5471fb4827cb570e65c2ebdff5da38e64b6a9fe47a81d11dab2f0937315be30
o   Extensions: .ShrinkLock

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1677

Noticias Informáticas / Hackers abusaron de API para verificar millones de números de teléfono de Authy

Julio 03, 2024, 11:19:37 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Twilio ha confirmado que un punto final API no seguro permitió a los actores de amenazas verificar los números de teléfono de millones de usuarios de autenticación multifactor Authy, haciéndolos potencialmente vulnerables a ataques de phishing por SMS y de intercambio de SIM.

Authy es una aplicación móvil que genera códigos de autenticación multifactor en sitios web donde tiene habilitado MFA.

A finales de junio, un actor de amenazas llamado ShinyHunters filtró un archivo de texto CSV que contiene lo que, según afirma, son 33 millones de números de teléfono registrados en el servicio Authy.

ShinyHunters comparte datos de Twilio Authy en un foro de piratería
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El archivo CSV contiene 33.420.546 filas, cada una de las cuales contiene un ID de cuenta, un número de teléfono, una columna "over_the_top", el estado de la cuenta y el recuento de dispositivos.

Twilio ahora ha confirmado a BleepingComputer que los actores de amenazas compilaron la lista de números de teléfono utilizando un punto final API no autenticado.

"Twilio ha detectado que los actores de amenazas pudieron identificar datos asociados con cuentas Authy, incluidos números de teléfono, debido a un punto final no autenticado. Hemos tomado medidas para proteger este punto final y ya no permitiremos solicitudes no autenticadas", dijo Twilio a BleepingComputer.

"No hemos visto evidencia de que los actores de amenazas hayan obtenido acceso a los sistemas de Twilio u otros datos confidenciales. Como precaución, solicitamos a todos los usuarios de Authy que actualicen a las últimas aplicaciones de Android e iOS para obtener las últimas actualizaciones de seguridad y alentamos a todos los usuarios de Authy a manténgase diligente y tenga mayor conciencia sobre los ataques de phishing y smishing".

En 2022, Twilio reveló que sufrió infracciones en junio y agosto que permitieron a los actores de amenazas violar su infraestructura y acceder a la información de los clientes de Authy.

Abusar de API no seguras

BleepingComputer se enteró de que los datos se compilaron ingresando una lista masiva de números de teléfono en el punto final API no seguro. Si el número fuera válido, el punto final devolvería información sobre las cuentas asociadas registradas con Authy.

Ahora que se ha protegido la API, ya no se puede abusar de ella para verificar si un número de teléfono se utiliza con Authy.

Esta técnica es similar a cómo los actores de amenazas abusaron de una API de Twitter y una API de Facebook no seguras para compilar perfiles de decenas de millones de usuarios que contienen información tanto pública como no pública.

Si bien el scrape de Authy solo contenía números de teléfono, aún puede ser ventajoso para los usuarios que buscan realizar ataques de smishing y de intercambio de SIM para violar cuentas.

ShinyHunters alude a esto en su publicación, afirmando: "Ustedes pueden unirse en gemini o Nexo db", sugiriendo que los actores de amenazas comparen la lista de números de teléfono con los filtrados en supuestas violaciones de datos de Gemini y Nexo.

Si se encuentran coincidencias, los actores de amenazas podrían intentar realizar ataques de intercambio de SIM o ataques de phishing para violar las cuentas de intercambio de criptomonedas y robar todos los activos.

Twilio ha lanzado una nueva actualización de seguridad y recomienda que los usuarios actualicen a Authy Android (v25.1.0) y la aplicación iOS (v26.1.0), que incluye actualizaciones de seguridad. No está claro cómo esta actualización de seguridad ayuda a proteger a los usuarios de los actores de amenazas que utilizan los datos extraídos en los ataques.

Los usuarios de Authy también deben asegurarse de que sus cuentas móviles estén configuradas para bloquear las transferencias de números sin proporcionar un código de acceso ni desactivar las protecciones de seguridad.

Además, los usuarios de Authy deben estar atentos a posibles ataques de phishing por SMS que intenten robar datos más confidenciales, como contraseñas.

En lo que parece ser una violación no relacionada, Twilio también comenzó a enviar notificaciones de violación de datos después de que un depósito AWS S3 no seguro de un proveedor externo expusiera datos relacionados con SMS enviados a través de la empresa.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1678

Noticias Informáticas / Logs de Infostealer utilizados para identificar miembros de abuso infantil

Julio 03, 2024, 11:17:03 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Miles de pedófilos que descargan y comparten material de abuso sexual infantil (CSAM) fueron identificados a través de registros de malware de robo de información filtrados en la dark web, lo que destaca una nueva dimensión del uso de credenciales robadas en las investigaciones policiales.

El novedoso uso del conjunto de datos fue realizado por Insikt Group de Recorded Future, quien compartió un informe que explica cómo identificaron 3.324 cuentas únicas que accedieron a portales ilegales conocidos por distribuir CSAM.

Al aprovechar otros datos robados del objetivo, los analistas de Insikt podrían rastrear esas cuentas hasta obtener nombres de usuario en varias plataformas, derivar sus direcciones IP e incluso información del sistema.

Esta información recopilada por el Grupo Insikt se ha compartido con las fuerzas del orden para desenmascarar las identidades de estos individuos y proceder a los arrestos.

Usar registros de stealers para el bien

Un registro de stealer es una colección de datos robados de un individuo en particular mediante malware que roba información, como Redline, Raccoon y Vidar, de sistemas infectados.

Cuando estos tipos de malware se ejecutan en un dispositivo, recopilan credenciales, historial del navegador, cookies del navegador, datos de autocompletar, información de billetera de criptomonedas, capturas de pantalla e información del sistema.

Luego, la información se empaqueta en un archivo llamado "Log", que luego se transmite de regreso a los servidores del actor de la amenaza.

Luego, los actores de amenazas pueden usar estas credenciales robadas para violar más cuentas, realizar ataques corporativos o venderlas a otros ciberdelincuentes en la web oscura, Telegram y otras plataformas. Debido a su tamaño y número, estos troncos rara vez se analizan y clasifican, sino que se venden al por mayor.

Análisis anteriores han demostrado que los registros de ladrones de información pueden contener datos cruciales de cuentas comerciales o credenciales de cuentas que pueden exponer información patentada.

Como este tipo de malware se distribuye comúnmente a través de software pirateado, publicidad maliciosa y actualizaciones falsas, pueden desviar datos de los sistemas infectados durante períodos prolongados sin que la víctima se dé cuenta.

Esto incluye a los usuarios de CSAM que, sin su conocimiento, exponen todas las credenciales de su banca en línea, correo electrónico y otras cuentas legítimas, así como las credenciales de cuenta utilizadas para acceder a sitios de CSAM que requieren registro.

Identificación de consumidores de CSAM

Los analistas de Insikt utilizaron registros de robo de información capturados entre febrero de 2021 y febrero de 2024 para identificar a los consumidores de CSAM mediante la referencia cruzada de credenciales robadas con veinte dominios CSAM conocidos.

Luego eliminaron los duplicados para limitar los resultados a 3324 pares únicos de nombre de usuario y contraseña.

Cuentas vinculadas a sitios CSAM conocidos
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Como el malware que roba información roba todas las credenciales guardadas en un navegador, los investigadores pudieron vincular a los titulares de cuentas CSAM con sus cuentas legales en línea, como correo electrónico, banca, compras en línea, operadores de telefonía móvil y redes sociales.

Luego utilizaron inteligencia de código abierto (OSINT) y artefactos digitales para recopilar información más reveladora sobre esos usuarios. Estas pistas incluyen:

Direcciones de billeteras de criptomonedas e historiales de transacciones.

Cuentas web que no son CSAM e historial de navegación.

Direcciones físicas, nombres completos, números de teléfono y direcciones de correo electrónico extraídas de los datos de autocompletar del navegador.

Asociaciones con diversos servicios en línea, como cuentas de redes sociales, sitios web gubernamentales y portales de solicitud de empleo.

El informe de Recorded Future destaca tres casos de personas identificadas, que se resumen a continuación:

"d****" - Residente de Cleveland, Ohio, previamente condenado por explotación infantil y registrado como delincuente sexual. Mantiene cuentas en al menos cuatro sitios CSAM.

"docto": residente de Illinois que trabaja como voluntario en hospitales infantiles y tiene antecedentes por robo en tiendas minoristas. Mantiene cuentas en nueve sitios web de CSAM.

"Bertty" – Probablemente un estudiante venezolano que mantiene cuentas en al menos cinco sitios CSAM. El historial de transacciones de criptomonedas implica al usuario con la posible compra y distribución de contenido CSAM.

Perfil de "docto" reconstruido mediante análisis de registros de infostealer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El análisis de Insinkt destaca el potencial de los datos de los ladrones de información para ayudar a las autoridades a rastrear el abuso infantil y procesar a las personas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1679

Noticias Informáticas / Europol desmantela 593 servidores Cobalt Strike utilizados por ciberdelincuentes

Julio 03, 2024, 11:11:09 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Europol coordinó una acción policial conjunta conocida como Operación Morfeo, que condujo al desmantelamiento de casi 600 servidores Cobalt Strike utilizados por los ciberdelincuentes para infiltrarse en las redes de las víctimas.

Durante una sola semana a finales de junio, las fuerzas del orden identificaron direcciones IP conocidas asociadas con actividades delictivas y nombres de dominio que formaban parte de la infraestructura de ataque utilizada por grupos delictivos.

En la siguiente etapa de la operación, los proveedores de servicios en línea recibieron la información recopilada para desactivar las versiones sin licencia de la herramienta.

"Las versiones más antiguas y sin licencia de la herramienta de formación de equipos rojos Cobalt Strike fueron atacadas durante una semana de acción coordinada desde la sede de Europol entre el 24 y el 28 de junio", dijo Europol.

"Un total de 690 direcciones IP fueron señaladas a proveedores de servicios en línea en 27 países. Al final de la semana, 593 de estas direcciones habían sido eliminadas".

La Operación Morfeo involucró a autoridades policiales de Australia, Canadá, Alemania, Países Bajos, Polonia y Estados Unidos y fue dirigida por la Agencia Nacional contra el Crimen del Reino Unido.

Socios de la industria privada como BAE Systems Digital Intelligence, Trellix, Spamhaus, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y The Shadowserver Foundation también ofrecieron su apoyo durante esta operación internacional de aplicación de la ley, brindando ayuda a través de sus capacidades mejoradas de escaneo, telemetría y análisis para identificar los servidores Cobalt Strike utilizados en campañas cibercriminales.

Esta acción disruptiva coordinada por Europol es la culminación de una compleja investigación que comenzó hace tres años, en 2021.

"A lo largo de toda la investigación, se compartieron más de 730 piezas de inteligencia sobre amenazas que contenían casi 1,2 millones de indicadores de compromiso", añadió Europol.

"Además, el EC3 de Europol organizó más de 40 reuniones de coordinación entre los organismos encargados de hacer cumplir la ley y los socios privados. Durante la semana de acción, Europol instaló un puesto de mando virtual para coordinar las acciones policiales en todo el mundo".

Utilizado en ataques de ransomware y campañas de ciberespionaje

En abril de 2023, Microsoft, Fortra y el Centro de análisis e intercambio de información sanitaria (Health-ISAC) también anunciaron una amplia represión legal contra los servidores que alojan copias descifradas de Cobalt Strike, una de las principales herramientas de piratería de los ciberdelincuentes.

Cobalt Strike fue lanzado por Fortra (anteriormente Help Systems) hace más de una década como una herramienta comercial legítima de prueba de penetración para que los equipos rojos escaneen la infraestructura de red en busca de vulnerabilidades de seguridad. Sin embargo, los actores de amenazas han obtenido copias descifradas del software, lo que lo convierte en una de las herramientas más utilizadas en el robo de datos y los ataques de ransomware.

Los atacantes utilizan Cobalt Strike durante la etapa de ataque posterior a la explotación para implementar balizas que brindan acceso remoto persistente a redes comprometidas y ayudan a robar datos confidenciales o eliminar cargas maliciosas adicionales.

Microsoft dice que varios actores de amenazas y grupos de piratería respaldados por el estado están utilizando versiones descifradas de Cobalt Strike mientras operan en nombre de gobiernos extranjeros, como Rusia, China, Vietnam e Irán.

En noviembre de 2022, el equipo de Google Cloud Threat Intelligence también abrió una colección de indicadores de compromiso (IOC) y 165 reglas YARA para ayudar a los defensores a detectar componentes de Cobalt Strike en sus redes.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1680

Noticias Informáticas / Google paga 250.000 dólares por vulnerabilidades de día cero de KVM

Julio 03, 2024, 11:07:47 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google lanzó kvmCTF, un nuevo programa de recompensa de vulnerabilidades (VRP) anunciado por primera vez en octubre de 2023 para mejorar la seguridad del hipervisor de máquinas virtuales basadas en kernel (KVM) que viene con recompensas de 250.000 dólares por exploits completos de escape de VM.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

KVM, un hipervisor de código abierto con más de 17 años de desarrollo, es un componente crucial en entornos de consumidores y empresas, que impulsa las plataformas Android y Google Cloud.

Google, colaborador activo y clave de KVM, desarrolló kvmCTF como una plataforma colaborativa para ayudar a identificar y corregir vulnerabilidades, reforzando esta capa de seguridad vital.

Al igual que el programa de recompensa de vulnerabilidad kernelCTF de Google, que apunta a fallas de seguridad del kernel de Linux, kvmCTF se enfoca en errores alcanzables por VM en el hipervisor de máquina virtual basada en kernel (KVM).

El objetivo es ejecutar ataques exitosos de huésped a host, y no se otorgarán vulnerabilidades QEMU o de host a KVM.

Los investigadores de seguridad que se inscriben en el programa reciben un entorno de laboratorio controlado donde pueden utilizar exploits para capturar indicadores. Sin embargo, a diferencia de otros programas de recompensa de vulnerabilidades, kvmCTF se centra en vulnerabilidades de día cero y no recompensará exploits dirigidos a vulnerabilidades conocidas.

Los niveles de recompensa para kvmCTF son los siguientes:

Escape completo de VM: $250,000

Escritura de memoria arbitraria: $100,000

Lectura de memoria arbitraria: $50,000

Escritura de memoria relativa: $50,000

Denegación de servicio: $20,000

Lectura de memoria relativa: $10,000

La infraestructura kvmCTF está alojada en el entorno Bare Metal Solution (BMS) de Google, lo que destaca el compromiso del programa con los altos estándares de seguridad.

"Los participantes podrán reservar intervalos de tiempo para acceder a la VM invitada e intentar realizar un ataque de invitado a host. El objetivo del ataque debe ser explotar una vulnerabilidad de día cero en el subsistema KVM del kernel del host", dijo Marios Pomonis, ingeniero de software de Google.

"Si tiene éxito, el atacante obtendrá una bandera que demuestra su logro en la explotación de la vulnerabilidad. La gravedad del ataque determinará el monto de la recompensa, que se basará en el sistema de niveles de recompensa que se explica a continuación. Todos los informes se evaluarán minuciosamente en un caso por caso."

Google recibirá detalles de las vulnerabilidades de día cero descubiertas solo después de que se publiquen los parches anteriores, lo que garantiza que la información se comparta con la comunidad de código abierto simultáneamente.

Para comenzar, los participantes deben revisar las reglas de kvmCTF, que incluyen información sobre cómo reservar espacios de tiempo, conectarse a la VM invitada, obtener indicadores, mapear varias violaciones de KASAN para niveles de recompensa, así como instrucciones detalladas sobre cómo informar vulnerabilidades.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 82 83 84 85 86 ... 249