You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La popular solución de administración de contraseñas 1Password ha anunciado la expansión de sus límites más altos de recompensas. En adelante, el programa de recompensas por errores de 1Password en Bugcrowd ofrecerá recompensas de hasta $1 millón.

Según un comunicado de prensa reciente, 1Password ha anunciado límites de recompensa de $ 1 millón para su programa de recompensas por errores Bugcrowd.

Al comentar sobre este asunto, Jeff Shiner, director ejecutivo de 1Password, declaró:

"Estamos haciendo esta gran inversión para demostrar nuestro compromiso de mantener seguros a los clientes de 1Password. Aumentar nuestra recompensa por errores a $ 1 millón atraerá otra capa de experiencia externa para garantizar que nuestros sistemas sean lo más seguros posible. Juntos, profundizaremos nuestro liderazgo en seguridad para que nuestros clientes puedan vivir sus vidas en línea con facilidad y confianza."

1Password lanzó formalmente su programa de recompensas por errores en 2017. Desde entonces, la empresa ha pagado $103 000 en recompensas a diferentes investigadores que participan en su programa.

Según el CEO de Bugcrowd, Ashish Gupta, 1Password tiene uno de los mejores programas de recompensas por errores en la plataforma. En todo momento, 1Password explicó que solucionó numerosos errores, incluidos muchos menores, lo que demuestra su vigilancia hacia la seguridad del usuario.
Y, con el aumento recientemente anunciado en las recompensas por errores, 1Password apunta a fortalecer aún más su compromiso con la seguridad.

Los cazadores de errores interesados en obtener las enormes recompensas pueden considerar participar en el programa de recompensas de 1Password en Bugcrowd.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
1password Blog
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:
Latest Hacking News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El colectivo Anonymous sigue lanzando ataques contra entidades rusas, este es un resumen de las ofensivas recientes.

Anonymous anunció haber pirateado el Servicio Federal de Supervisión de Comunicaciones, Tecnología de la Información y Medios de Comunicación de Rusia, también conocido como Roskomnadzor. La agencia es responsable de monitorear, controlar y censurar los medios de comunicación rusos y, según Anonymous, controla la campaña de desinformación sobre la invasión en curso de Ucrania.

Los hacktivistas robaron datos confidenciales de la organización y liberaron 820 GB de datos que detallan la actividad en curso de la agencia.

El documento filtrado se organiza en dos categorías principales, una que contiene más de 360.000 archivos que datan hasta el 5 de marzo (536,9 GB) y otra que contiene dos bases de datos que contienen procedimientos de recursos humanos (290,6 GB).

Twitter
Anonymous TV
@YourAnonTV
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Release: Roskomnadzor (820 GB)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
securityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El phishing en el presente ha evolucionado mucho, así como evolucionó la seguridad destinada a contrarrestarlo. No pocos se preguntan si aún es válido y efectivo.

La autenticación de dos factores (2FA) alguna vez fue un obstáculo para este tipo de ataque, pero las técnicas para eludir muchos tipos de soluciones 2FA se adoptaron e implementaron rápidamente en una variedad de marcos de phishing.

2FA a menudo es aclamado como la solución definitiva para prevenir el phishing, pero no todas las soluciones 2FA son infalibles.

Las siguientes herramientas catalogadas como "kits de herramientas de phishing MITM (man in the middle"  pueden omitir una variedad de soluciones 2FA que incluyen SMS, Push, autenticadores de software, OTP y más.

Afortunadamente, U2F brinda un respiro de los ataques de esta naturaleza, ya que los inicios de sesión de los usuarios están vinculados al origen, por lo que solo el sitio real puede autenticarse con el token U2F.

Desafortunadamente, todavía falta una adopción generalizada de U2F.

Todas las herramientas de phishing usadas a día de hoy con éxito son derivadas de las tres mencionadas más abajo y que se describen.
El post no pretende ser un tutorial paso a paso de cómo usarlas; no es ese mi objetivo. Aunque aquel que así lo desee tiene las pautas para obtener guías.

Consultar el interesantísimo estudio que fue el que inspiró este post.

Evilginx 2 - Próxima generación de phishing para tokens 2FA

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Evilginx2 es un man-in-the-middle utilizado para obtener las credenciales de inicio de sesión junto con las cookies de sesión a través de phishing, lo que a su vez permite omitir la protección de autenticación de 2 factores.

Explicado en detalle:

Evilginx es un marco de ataque para configurar páginas de phishing. En lugar de servir plantillas de páginas de inicio de sesión similares, Evilginx se convierte en un enlace entre el sitio web real y el usuario phishing. El usuario phishing interactúa con el sitio web real, mientras que Evilginx captura todos los datos que se transmiten entre las dos partes.

Evilginx, siendo un man-in-the-middle, captura no solo los nombres de usuario y las contraseñas, sino que también captura los tokens de autenticación enviados como cookies. Los tokens de autenticación capturados permiten al atacante eludir cualquier forma de 2FA habilitada en la cuenta del usuario (excepto U2F).

Incluso si el usuario phishing tiene habilitado 2FA, el atacante, equipado con solo un dominio y un servidor VPS, puede hacerse cargo de forma remota de su cuenta. No importa si 2FA usa códigos SMS, una aplicación de autenticación móvil o claves de recuperación.





Esta herramienta es una sucesora de Evilginx, lanzada en 2017, que utilizó una versión personalizada del servidor HTTP nginx para proporcionar la funcionalidad de intermediario para actuar como un proxy entre un navegador y un sitio web de phishing. La versión actual está completamente escrita en GO como una aplicación independiente, que implementa su propio servidor HTTP y DNS, lo que la hace extremadamente fácil de configurar y usar.

Decarga + Info:

GitHub
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Muraena - Automatización del phishing 2FA y el saqueo posterior al phishing

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Muraena (nombre que alude al pez Morena traduciéndolo al español) es un proxy inverso casi transparente destinado a automatizar las actividades de phishing, y posteriores al phishing.

La herramienta vuelve a implementar la idea de 15 años de usar un proxy inverso personalizado para interactuar dinámicamente con el origen al que se dirige, en lugar de mantener y servir páginas estáticas.

El 15 de mayo de 2019, el equipo de Muraena lanzó Muraena y Necrobrowser. Presentadas inicialmente en su charla en HITB2019AMS, las herramientas de Muraena/Necrobrowser tienen como objetivo: automatizar el phishing de credenciales, tokens 2FA y actividades posteriores al phishing.

Esto lo logra Muraena actuando como una solución de proxy inverso transparente que captura las credenciales y las cookies de sesión.

Estas sesiones válidas se transfieren a Necrobrowser, que utiliza las sesiones recopiladas para hacerse pasar por la víctima.

Necrobrowser instrumenta un conjunto de navegadores Chrome dockerizados para mantener vivas las sesiones robadas, automatizar la extracción de datos y realizar otras acciones en nombre del atacante.

Ejemplo de Muraena para suplantar las credenciales de una cuenta de prueba de Google y se usa la funcionalidad existente de Necrobrowser para automatizar la minería de la bandeja de entrada de Gmail del objetivo, usando capacidades integradas en Necrobrowser:



Como se demuestra en el video, debido a que Muraena usa un proxy inverso para interceptar el tráfico del usuario al sitio web de destino, la experiencia del usuario es prácticamente indistinguible de la navegación directa del usuario al sitio web (aparte del dominio).

Esto contrasta marcadamente con las plataformas de phishing de antaño, que a menudo se basan en servir plantillas prefabricadas que a menudo rompen el contenido dinámico del sitio web.

Decarga + Info:

GitHub
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Muraena Team
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Modlishka

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Modlishka es un proxy inverso HTTP potente y flexible.
Fue escrito como un intento de superar las limitaciones del proxy inverso estándar y como un desafío personal para ver qué es posible con suficiente motivación y un poco de tiempo extra de investigación. Los resultados obtenidos parecieron muy interesantes y la herramienta se lanzó inicialmente y luego se actualizó con el objetivo de:

    Resaltar las debilidades del esquema de autenticación de dos factores (2FA) actualmente utilizado, para que la industria pueda crear e implementar soluciones de seguridad adecuadas.
    Apoyar otros proyectos que podrían beneficiarse de un proxy inverso universal y transparente.
    Sensibilizar a la comunidad sobre las técnicas y estrategias modernas de phishing y apoye a los evaluadores de penetración en su trabajo diario.

Modlishka se escribió principalmente para tareas relacionadas con la seguridad. Sin embargo, puede ser útil en otros escenarios de uso no relacionados con la seguridad.

Modlishka se puede utilizar actualmente para:

    Pruebas de penetración de phishing ético con un componente de proxy inverso transparente y automatizado que tiene un soporte universal de "derivación" 2FA.
    Envenenarr automáticamente la memoria caché de los navegadores HTTP 301 y secuestra permanentemente las URL que no son TLS.
    Diagnosticar y secuestrar el tráfico HTTP de aplicaciones basadas en navegador desde la perspectiva del ataque "Client Domain Hooking".
    Envuelva los sitios web heredados con la capa TLS, confunda los robots rastreadores y los escáneres automatizados, etc.

Modlishka en acción:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



Decarga + Info:

GitHub
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuentes:

Varias sobre internet, en especial los respectivos sitios de las herramientas y la propia descripción de sus desarrolladores.
Este post se basó e inspiró en la consulta de un estudio, análisis, e investigación realizado por académicos de la Universidad de Stony Brook sobre el phishing actual y sus tendencias de actualización:

"Catching Transparent Phish:Analyzing and Detecting MITM Phishing Toolkits"

Se enfocaron en las herramientas que se describen anteriormente: Evilginx, Muraena y Modlishka.

El equipo de académicos desarrolló también una herramienta, a la que llamaron PHOCA, que es capaz de detectar si un sitio de phishing utiliza un proxy inverso en lugar de su método tradicional. El uso de un proxy inverso está destinado a ser una indicación de que algo anda mal y que se está omitiendo la autenticación de dos factores.

Se invita a seguidores del phishing consultar el estudio:

Descarga del documento (.pdf):
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los expertos en seguridad han detectado un caso interesante de un presunto ataque de ransomware que empleó herramientas personalizadas que suelen utilizar los grupos APT (amenazas persistentes avanzadas).

Aunque no se ha descubierto una conexión concreta entre los grupos, las tácticas operativas, el alcance de la orientación y las capacidades de personalización de malware significan una conexión potencial.

Como se detalla en un informe, los actores de amenazas observaron un ataque contra uno de sus clientes en la industria de los juegos de azar donde se utilizó una combinación de herramientas de código abierto hechas a la medida y fácilmente disponibles.

Los casos más notables son una versión modificada de Ligolo, una utilidad de tunelización inversa que está disponible gratuitamente para pentesters en GitHub y una herramienta personalizada para descargar credenciales de LSASS.

Ataque en la naturaleza

El ataque se desarrolló en una noche de fin de semana y siguió un desarrollo rápido, mostrando las habilidades de los actores y el conocimiento del "equipo rojo".

El acceso inicial se produjo a través de credenciales SSL-VPN de empleados comprometidos, seguido de escaneos de administrador y fuerza bruta RDP, y luego esfuerzos de recolección de credenciales.

Los pasos posteriores incluyeron el acceso a máquinas adicionales con privilegios elevados, la implementación de un túnel de proxy personalizado para comunicaciones seguras y, por último, la eliminación de Cobalt Strike.

Aunque los actores de la amenaza nunca tuvieron la oportunidad de avanzar más, en este caso en particular, se cree que el siguiente paso sería implementar una carga útil de ransomware, ya que los métodos seguidos coinciden con los de las operaciones típicas de pandillas de ransomware.

Sin embargo, esta parte no ha sido confirmada ya que los respondedores detuvieron la ejecución de la carga útil antes de que los infiltrados estuvieran listos para implementar algo en la red comprometida.

Herramientas personalizadas

Los actores de amenazas utilizaron varias herramientas de código abierto listas para usar comúnmente utilizadas por numerosos adversarios, como Mimikatz, SoftPerfect y Cobalt Strike.

Una diferenciación notable es la implementación de 'Sockbot', una utilidad escrita por GoLang basada en la herramienta de túnel inverso de código abierto Ligolo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos modificaron Ligolo con adiciones significativas que eliminaron la necesidad de usar parámetros de línea de comandos e incluyeron varias comprobaciones de ejecución para evitar ejecutar varias instancias.

Un Ligolo personalizado no es una vista común en el arsenal de ningún actor de amenazas, aparte del grupo de piratería MuddyWater patrocinado por el estado iraní, que es el único grupo de amenazas conocido que lo modifica.

La razón de esta rareza es que Ligolo no es adecuado para la implementación maliciosa, por lo que para que se ajuste a las operaciones de intrusión, se requieren habilidades de codificación.

    "Al comparar la nueva variante (Sockbot) con el código fuente original disponible en línea, los actores de amenazas agregaron varias comprobaciones de ejecución para evitar que se ejecuten varias instancias al mismo tiempo, definieron el valor de Local Relay como una cadena codificada para evitar la necesidad de pasar parámetros de línea de comando al ejecutar el ataque y establecer la persistencia a través de una tarea programada".

Otro caso de particular interés es 'lsassDumper', una herramienta personalizada también escrita en GoLang, utilizada por los actores para la exfiltración automática del proceso LSASS al servicio "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login".

Security Joes afirma que esta es la primera vez que lsassDumper ha sido visto en la naturaleza, lo que nuevamente demuestra la capacidad y sofisticación del actor de amenazas en particular.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Además, el volcado directo de credenciales de LSASS es otro método típico de las pandillas de ransomware, por lo que es otro elemento que respalda esta hipótesis.

Finalmente, los infiltrados en la red usaron ADFind para el reconocimiento de la red, una herramienta disponible gratuitamente que los adversarios usan para recopilar información de Active Directory, también muy común en el espacio del ransomware.

"Según el comportamiento, las herramientas vistas en esta intrusión y los sectores objetivo, concluimos que los atacantes detrás de esta operación están estrechamente relacionados con una pandilla de ransomware de habla rusa, que está tomando herramientas utilizadas por otros grupos y agregando su firma personal a ellos." - concluye el informe de Security Joes.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad han encontrado una nueva forma de eludir las defensas existentes basadas en hardware para la ejecución especulativa en los procesadores informáticos modernos de Intel, AMD y Arm.

Hoy, los tres fabricantes de CPU han publicado avisos acompañados de actualizaciones de mitigación y recomendaciones de seguridad para abordar los problemas descubiertos recientemente que permiten la filtración de información confidencial a pesar de las protecciones basadas en el aislamiento.

Problema de ejecución especulativa

La técnica de ejecución especulativa está diseñada para optimizar el rendimiento de la CPU mediante la ejecución de algunas tareas por adelantado (predicción de bifurcación) para que la información esté disponible cuando sea necesario.

En 2018, los investigadores descubrieron una forma de filtrar información derivada de estos cálculos proactivos, nombrando las vulnerabilidades asociadas Meltdown y Spectre.

Desde entonces, los proveedores han lanzado mitigaciones basadas en software como "Retpoline" que aíslan las ramas indirectas de la ejecución especulativa. Los fabricantes de chips también han abordado los problemas con arreglos de hardware como eIBRS de Intel y CSV2 de Arm.

Omitir las correcciones de Spectre

Los investigadores de VUSec detallan hoy en un informe técnico un nuevo método para eludir todas las mitigaciones existentes aprovechando lo que llaman Inyección de Historial de Sucursal (BHI).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El documento subraya que, si bien las mitigaciones de hardware aún evitan que los atacantes sin privilegios inyecten entradas predictivas para el kernel, confiar en un historial global para seleccionar los objetivos crea un método de ataque previamente desconocido.

Un actor malicioso con pocos privilegios en el sistema de destino puede envenenar este historial para obligar al kernel del sistema operativo a predecir erróneamente los objetivos que pueden filtrar datos.

Para probar su punto, los investigadores también lanzaron una prueba de concepto (PoC), demostrando una fuga arbitraria de la memoria del kernel, revelando con éxito la contraseña hash raíz de un sistema vulnerable.



Intel respondió a este hallazgo asignando dos vulnerabilidades de gravedad media, CVE-2022-0001 y CVE-2022-0002, y recomendando a los usuarios que deshabiliten el acceso a los tiempos de ejecución administrados en modos privilegiados.

Para obtener una lista completa de recomendaciones de mitigación, consulte la siguiente página dedicada y la lista de todos los modelos de procesadores afectados:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Arm también ha publicado un boletín de seguridad sobre el tema, ya que el nuevo ataque histórico de envenenamiento afecta a varios de sus productos Cortex-A y Neoverse.

VUsec ha preparado un documento sobre el nuevo ataque BHI que se presentará en el 31º Simposio de Seguridad USENIX de este año.

Especulación en línea recta

En noticias paralelas que coinciden en la divulgación, grsecurity ha publicado los detalles y un PoC que puede filtrar datos confidenciales de los procesadores AMD a través de un nuevo método de ataque de especulación en línea recta (SLS).

Esta nueva variante de SLS afecta a muchos chips AMD basados en las microarquitecturas Zen1 y Zen2, incluidos EPYC, Ryzen Threadripper y Ryzen con gráficos Radeon integrados.

AMD ha publicado una lista de los productos afectados y también un documento técnico que ofrece consejos de seguridad para la falla de gravedad media rastreada como CVE-2021-26341.

Hasta el momento, AMD no ha visto ningún ejemplo de explotación activa de esta vulnerabilidad de seguridad en la naturaleza, pero aún es importante aplicar las mitigaciones recomendadas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pregunta:

No será que no es "un aparato" y sí una app que permite realizar llamadas anónimas?

Puede hacer un VPS que es la VPN privada (hecha por Ud.) Incluso sale más barato que si pagara los servicios de una compañía que se dedique a ello.

Por otro lado, las VPN siempre son controvertidas con el asunto de los logs. También el mundo moderno se ha complicado muchísimo en materia de seguridad, terrorismo, etc.

Estas últimas tendrían ventajas sobre el VPS que Ud. pudiera crearse, en el abanico de servicios integrativos que brinda: protección por los DNS, cliente con múltiples opciones de conectividad en sus protocolos, encriptación extra, etc.

Hay compañías que ofrecen servicios muy serios y garantizan que no conservan logs. Hay otras compañías que se dedican a auditar la veracidad de lo que ofrecen en servicio las primeras y establecen referencias. De cualquier modo, para un usuario común, que no sea psiquiátrico de la desconfianza y megalómano de creerse lo más importante de este mundo, una VPN de cierto prestigio y renombre debe bastarle en seguridad. Hay servicios gratuitos y de pagos; y esto define mucho las garantías de que se respete el principio de privacidad de "no logs".

Cualquiera que sea el caso de un VPS o VPN, según sea la nación y la situación mundial, pudiera una compañía hosting (VPS) o que brinde servicios VPN, verse obligada y ceder a entregar info o conservar a pedido, ya sea por acciones legales (leyes) o presiones gubernamentales o de instituciones internacionales. Por ejemplo, no ha mucho protonmail entregó los logs de un hacktivista francés que terminó con su encarcelamiento. Esto fue por presiones del propio gobierno suizo que obligó a la compañía. Para mí fue por el servicio de VPN (ProtonVPN) y no por el de email, pues el acceso a email se puede camuflar mucho. Protonmail siempre declaró que no conservaba logs en su servicio... y ya ve como entregó los de hacktivista, al parecer se los inventó...

La realidad es que nunca hay garantías, amigo mío.... nunca. Se lo asegura mi gato, que es gato de mundo y ha visto de todo.

Prueba de Concepto (PoC) Exploit

Max Kellermann

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

updated exploit (más sencillo y fácil)
Twitter:
BLASTY
@bl4sty
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Info + ilustración extra:

Twitter:
Phith0n
@phithon_xg
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un atacante puede explotar una vulnerabilidad del kernel de Linux de alta gravedad ahora parcheada, rastreada como CVE-2022-0492 (puntaje CVSS: 7.0), para escapar de un contenedor y ejecutar comandos arbitrarios en el host del contenedor.

El problema es una falla de escalada de privilegios que afecta la función del kernel de Linux llamada grupos de control (grupos), que limita, contabiliza y aísla el uso de recursos (CPU, memoria, E/S de disco, red, etc.) de una colección de procesos .

"Se encontró una vulnerabilidad en cgroup_release_agent_write del kernel de Linux en la función kernel/cgroup/cgroup-v1.c. Esta falla, bajo ciertas circunstancias, permite el uso de la función release_agent de cgroups v1 para aumentar los privilegios y evitar el aislamiento del espacio de nombres de forma inesperada".

Las principales distribuciones de Linux, incluidas Suse, Ubuntu y Redhat, también publicaron sus propios avisos.

La falla reside en la funcionalidad release_agent de cgroups v1 que se ejecuta después de la finalización de cualquier proceso en el grupo.

La causa raíz del problema es la implementación de cgroups en el kernel de Linux que no restringió correctamente el acceso a la función. Un atacante local podría aprovechar esta vulnerabilidad para obtener privilegios administrativos.

La vulnerabilidad fue descubierta por los investigadores de seguridad Yiqi Sun y Kevin Wang.

"El 4 de febrero, Linux anunció CVE-2022-0492, una nueva vulnerabilidad de escalada de privilegios en el kernel. CVE-2022-0492 marca un error lógico en los grupos de control (cgroups), una característica de Linux que es un componente fundamental de los contenedores". "El problema se destaca como una de las escaladas de privilegios de Linux más simples descubiertas en los últimos tiempos: el kernel de Linux expuso por error una operación privilegiada a usuarios sin privilegios".

Según Palo Alto Networks, CVE-2022-0492 se debe a la falta de comprobación de que el proceso que configura el archivo release_agent tiene privilegios administrativos (es decir, la capacidad CAP_SYS_ADMIN).

Los atacantes que pueden escribir en el archivo release_agent pueden obligar al kernel a invocar un binario de su elección con privilegios elevados y tomar el control de la máquina. Solo los procesos con privilegios de "raíz" pueden escribir en el archivo.

"Debido a que Linux establece el propietario del archivo release_agent como raíz, solo la raíz puede escribir en él (o procesos que pueden omitir las verificaciones de permisos de archivos a través de la capacidad CAP_DAC_OVERRIDE). Como tal, la vulnerabilidad solo permite que los procesos raíz aumenten los privilegios".

"A primera vista, una vulnerabilidad de escalada de privilegios que solo puede ser explotada por el usuario raíz puede parecer extraña. Ejecutar como root no significa necesariamente un control total sobre la máquina: hay un área gris entre el usuario root y los privilegios completos que incluye capacidades, espacios de nombres y contenedores. En estos escenarios donde un proceso raíz no tiene control total sobre la máquina, CVE-2022-0492 se convierte en una vulnerabilidad grave".

Se recomienda a los usuarios que apliquen las correcciones de seguridad lo antes posible. Los contenedores que ejecutan los sistemas de seguridad AppArmor o SELinux no se ven afectados.

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Samsung Electronics confirmó el lunes que su red fue violada y los piratas informáticos robaron información confidencial, incluido el código fuente presente en los teléfonos inteligentes Galaxy.

Como fue noticia, el grupo de extorsión de datos Lapsus$ filtró a finales de la semana pasada cerca de 190 GB de archivos que afirmaban haber sido robados de Samsung Electronics.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Menos de una semana antes, el mismo grupo liberó 20 GB de documentos archivados de Nvidia que, según los atacantes, formaban parte de un caché de 1 TB de datos que robaron tras un acceso de una semana a la red de la empresa.

Los piratas informáticos tienen el código fuente de Samsung

Lapsus$ compartió los datos que afirman ser de Samsung junto con una descripción de los contenidos. Si el resumen es exacto, Samsung ha sufrido una importante filtración de datos y los detalles de muchas de sus tecnologías y algoritmos ahora son públicos.

En un comunicado de hoy, la compañía confirmó a Bloomberg que "ciertos datos internos de la compañía" estuvieron disponibles para una parte no autorizada luego de una violación de seguridad.

"Según nuestro análisis inicial, la infracción involucra algún código fuente relacionado con el funcionamiento de los dispositivos Galaxy, pero no incluye la información personal de nuestros consumidores o empleados" - Samsung

El representante de la empresa no dijo si los intrusos hicieron alguna demanda antes de filtrar la información propietaria, como sucedió en el caso de la filtración de Nvidia.

Lapsus$ dijo que están retrasando la filtración del resto de la información de Nvidia porque están negociando con un comprador.

El caché filtrado de Samsung es mucho más grande y supuestamente incluye detalles sobre el Trusted Applet de la compañía en el entorno TrustZone de Samsung responsable de tareas confidenciales como la criptografía de hardware, el cifrado binario y el control de acceso.

Los piratas informáticos también afirman que el volcado incluye el código fuente de Knox, el marco de gestión y seguridad patentado de Samsung presente en la mayoría de sus dispositivos.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Coinbase, una de las plataformas de intercambio de criptomonedas más populares, anunció hoy que bloqueará el acceso a más de 25 000 direcciones de cadena de bloques vinculadas a personas y entidades rusas.

La compañía también compartió todas las direcciones del bloque con el gobierno de los EE. UU. para "apoyar aún más la aplicación de sanciones".

Paul Grewal, director legal de Coinbase, Laos, agregó que el intercambio de criptomonedas está impidiendo que los actores sancionados abran nuevas cuentas y detectando activamente los intentos de evadir la prohibición.

La prohibición aborda las listas de sanciones mantenidas por países de todo el mundo, incluidos los Estados Unidos, el Reino Unido, la Unión Europea, las Naciones Unidas, Singapur, Canadá y Japón.

"Por ejemplo, cuando Estados Unidos sancionó a un ciudadano ruso en 2020, enumeró específicamente tres direcciones de cadena de bloques asociadas. Mediante un análisis avanzado de cadena de bloques, identificamos de forma proactiva más de 1200 direcciones adicionales potencialmente asociadas con la persona sancionada, que agregamos a nuestra lista de bloqueo interna.", dijo Greval.

"Hoy, Coinbase bloquea más de 25 000 direcciones relacionadas con personas o entidades rusas que creemos que están involucradas en actividades ilícitas, muchas de las cuales hemos identificado a través de nuestras propias investigaciones proactivas".

La respuesta de los intercambios al llamado a la prohibición general de Rusia

Esto se produce después de que el viceprimer ministro de Ucrania, Mykhailo Fedorov, también pidiera a todos los principales intercambios de criptomonedas que bloquearan las direcciones de cadena de bloques utilizadas por los rusos para aumentar la presión y obligarlos a tomar medidas contra la guerra en curso de su gobierno en Ucrania.

"Es crucial congelar no solo las direcciones vinculadas a los políticos rusos y bielorrusos, sino también sabotear a los usuarios comunes", dijo Fedorov.

Coinbase y otros intercambios de criptomonedas, incluido Binance, se negaron a congelar las cuentas de todos los usuarios rusos, pero dijeron que cumplirían con las sanciones económicas de Estados Unidos y la Unión Europea impuestas a Rusia después de que sus fuerzas armadas invadieran Ucrania.

Los portavoces de Binance y Coinbase agregaron que, si bien no bloquearán todas las cuentas rusas en sus plataformas, los intercambios de cifrado tomarán medidas para identificar a todas las entidades e individuos sancionados y bloquear sus cuentas y transacciones.

Si bien Coinbase citó la "libertad económica en el mundo" para explicar esta decisión, Binance dijo que se trataba de "una mayor libertad financiera para las personas en todo el mundo" y prohibir el acceso de los usuarios a su criptomoneda "contrariaría la razón por la cual existe la criptografía".

"Las sanciones juegan un papel vital en la promoción de la seguridad nacional y la disuasión de agresiones ilegales, y Coinbase apoya plenamente estos esfuerzos de las autoridades gubernamentales", agregó Grewal hoy.

"Están mejor posicionados para decidir cuándo, dónde y cómo aplicarlos".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El popular colectivo de piratas informáticos Anonymous continúa apuntando a entidades rusas, hace unas horas el grupo pirateó los servicios de transmisión rusos más populares para transmitir imágenes de guerra desde Ucrania y demostrar a los rusos la atrocidad de la invasión ordenada por Putin.

Los ciudadanos rusos ignoran que su ejército está atacando a la población ucraniana y que muchos niños están muriendo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El colectivo remarcó que quiere la paz y solo quiere golpear a Putin y no a los ciudadanos rusos; solo quieren detener la invasión militar de Ucrania. El grupo también es consciente de que sus operaciones podrían crear condiciones de las que podrían abusar los atacantes de terceros.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los activistas también pudieron transmitir caras de trolls en la radio militar rusa.

La enorme ola de ataques está creando problemas para Rusia, que teme ataques cibernéticos masivos que podrían ser llevados a cabo por actores del estado-nación y se está preparando para la desconexión de Internet global.
La desconexión de Internet permitirá a Rusia aplicar una censura masiva limitando el acceso a la información al pueblo ruso.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El popular colectivo de hackers Anonymous está ofreciendo a las tropas rusas $52,000 en BTC por cada tanque entregado.

Los medios ucranianos informaron que el grupo de piratas informáticos afirma haber recaudado más de 1.000 millones de rublos (con un valor de 7,8 millones de libras esterlinas) y está ofreciendo a los soldados rusos 5 millones de rublos (52.000 dólares) por cada tanque entregado.

La noticia fue reportada por otros sitios web:

Metro.co.uk
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

CryptoPotato
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No se pudo encontrar el supuesto mensaje original de Anonymous.

Los soldados que quieran cambiar dichos vehículos por criptomonedas deben ondear una bandera blanca y usar la contraseña "millón" para aceptar la oferta.

"Soldados rusos, todos los que quieran vivir con sus familias, hijos y no morir, la comunidad global de Anonymous ha recaudado RUB 1.225.043 en bitcoins para ayudarlos", dice el supuesto mensaje de Anonymous.

Las sanciones impuestas por la comunidad internacional a Rusia y sus mayores instituciones financieras tienen como objetivo crear inestabilidad financiera en el país.

Muchos rusos intentaron proteger sus ahorros de la devaluación del rublo y las sanciones invirtiendo en criptomonedas, por esta razón, la oferta de criptomonedas a las tropas rusas podría parecer tentadora.

La noticia es muy extraña, y en este momento es difícil rastrear su fuente y determinar su autenticidad.
Anonymous aún tiene que confirmar y/o negar la noticia.

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No todas las aplicaciones de mensajería segura son "tan seguras" como nos gustaría que pensáramos. Y algunos son más seguros que otros.

Un documento de capacitación del FBI divulgado recientemente muestra cuánto acceso al contenido de los mensajes cifrados de los servicios de mensajería segura pueden obtener las fuerzas del orden público de EE. UU. y qué pueden aprender sobre el uso que usted hace de las aplicaciones.

La infografía muestra detalles sobre iMessage, Line, Signal, Telegram, Threema, Viber, WeChat, WhatsApp y Wickr. Todas ellas son aplicaciones de mensajería que prometen encriptación de extremo a extremo para sus usuarios. Y aunque el documento del FBI no dice que esto no sea cierto, revela qué tipo de información la policía podrá desenterrar de cada uno de los servicios enumerados.

Nota: Un registro de llamadas es una herramienta electrónica que se puede usar para capturar datos sobre todos los números de teléfono que se marcan desde una línea telefónica específica. Entonces, si observa lo que se menciona a continuación, se refiere a la capacidad del FBI para averiguar con quién se ha estado comunicando.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WhatsApp

WhatsApp, es un servicio de VoIP y mensajería instantánea centralizado multiplataforma, gratuito y estadounidense propiedad de Meta Platforms. Permite a los usuarios enviar mensajes de texto y mensajes de voz, realizar llamadas de voz y video, y compartir imágenes, documentos, ubicaciones de usuarios y otros contenidos. El cifrado de extremo a extremo de WhatsApp se usa cuando envía mensajes a otra persona usando WhatsApp Messenger.
El FBI señala que obtiene:

     Contenido del mensaje limitado.
     Citación: puede generar registros básicos de suscriptores.
     Orden judicial: devolución de citación, así como información como usuarios bloqueados.
     Orden de búsqueda: proporciona contactos de la libreta de direcciones y usuarios de WhatsApp que tienen el objetivo en sus contactos de la libreta de direcciones.
     Registro de bolígrafos: se envía cada 15 minutos, proporciona el origen y el destino de cada mensaje.
     Si el objetivo está utilizando un iPhone y las copias de seguridad de iCloud están habilitadas, las devoluciones de iCloud pueden contener datos de WhatsApp, para incluir el contenido del mensaje.

iMessage

iMessage es el servicio de mensajería instantánea de Apple. Funciona en Mac, iPhone y iPad. Usarlo en Android es difícil porque Apple usa un sistema especial de cifrado de extremo a extremo en iMessage que protege los mensajes desde el dispositivo al que se envían, a través de los servidores de Apple, hasta el dispositivo que los recibe. Debido a que los mensajes están encriptados, la red de iMessage solo puede ser utilizada por dispositivos que saben cómo desencriptar los mensajes. Esto es lo que el documento dice que puede acceder para iMessage:

     Contenido del mensaje limitado.
     Citación: Puede brindar información básica del suscriptor.
     18 USC §2703(d): puede generar 25 días de búsquedas de iMessage y desde un número de destino.
     Pen Register: Sin capacidad.
     Orden de búsqueda: puede generar copias de seguridad de un dispositivo de destino; si el destino usa la copia de seguridad de iCloud, las claves de cifrado también deben proporcionarse con la devolución del contenido. También puede adquirir iMessages de iCloud Returns si el objetivo ha habilitado Mensajes en iCloud.

Signal

Signal es un servicio de mensajería instantánea cifrada centralizada multiplataforma. Los usuarios pueden enviar mensajes individuales y grupales, que pueden incluir archivos, notas de voz, imágenes y videos. Signal utiliza números de teléfono celular estándar como identificadores y protege todas las comunicaciones con otros usuarios de Signal con encriptación de extremo a extremo. Las aplicaciones incluyen mecanismos mediante los cuales los usuarios pueden verificar de forma independiente la identidad de sus contactos y la integridad del canal de datos. El documento señala sobre Signal:

     Sin contenido de mensaje.
     Fecha y hora en que se registró un usuario.
     Última fecha de conectividad de un usuario al servicio.

Telegram

Telegram es un sistema de mensajería instantánea (IM) gratuito, multiplataforma y basado en la nube. El servicio también proporciona videollamadas encriptadas de extremo a extremo, VoIP, intercambio de archivos y varias otras funciones. También hay dos aplicaciones gemelas web oficiales de Telegram, WebK y WebZ, y numerosos clientes no oficiales que utilizan el protocolo de Telegram. El documento del FBI dice sobre Telegram:

     Sin contenido de mensaje.
     No se proporcionó información de contacto para que las fuerzas del orden sigan una orden judicial. Según la declaración de privacidad de Telegram, para investigaciones terroristas confirmadas, Telegram puede revelar la IP y el número de teléfono a las autoridades pertinentes.

Line

Line es una aplicación gratuita para comunicaciones instantáneas en dispositivos electrónicos como teléfonos inteligentes, tabletas y computadoras personales. En julio de 2016, Line Corporation activó el cifrado de extremo a extremo de forma predeterminada para todos los usuarios de Line, después de haber estado disponible anteriormente como una función opcional desde octubre de 2015. El documento señala sobre Line:

     Contenido del mensaje limitado.
     La información registrada del sospechoso y/o de la víctima (imagen de perfil, nombre para mostrar, dirección de correo electrónico, número de teléfono, ID DE LÍNEA, fecha de registro, etc.)
     Información sobre el uso.
     Máximo de siete días de chats de texto de usuarios específicos (solo cuando no se haya elegido y aplicado el cifrado de extremo a extremo y solo cuando se reciba una orden efectiva; sin embargo, video, imagen, archivos, ubicación, audio de llamadas telefónicas y otros dichos datos no serán divulgados).


Threema

Threema es una aplicación de mensajería móvil encriptada de extremo a extremo. A diferencia de otras aplicaciones, no requiere que ingrese una dirección de correo electrónico o un número de teléfono para crear una cuenta. Los contactos y mensajes de un usuario se almacenan localmente, en el dispositivo de cada usuario, en lugar de en el servidor. Del mismo modo, sus claves públicas residen en dispositivos en lugar de en los servidores centrales. Threema utiliza la biblioteca de código abierto NaCl para el cifrado. El documento del FBI dice que puede acceder a:

    Sin contenido de mensaje.
    Hash de número de teléfono y dirección de correo electrónico, si los proporciona el usuario.
    Push Token, si se utiliza el servicio push.
    Llave pública
    Fecha (sin hora) de creación de Threema ID.
    Fecha (sin hora) del último inicio de sesión.

Viber

Viber es una aplicación de mensajería multiplataforma que le permite enviar mensajes de texto y realizar llamadas telefónicas y videollamadas. Las funciones principales de Viber están protegidas con encriptación de extremo a extremo: llamadas, mensajes uno a uno, mensajes grupales, uso compartido de medios y dispositivos secundarios. Esto significa que las claves de cifrado se almacenan solo en los propios clientes y nadie, ni siquiera el propio Viber, tiene acceso a ellas. El FBI señala:

    Sin contenido de mensaje.
    Proporciona los datos de registro de la cuenta (es decir, el número de teléfono) y la dirección IP en el momento de la creación.
    Historial de mensajes: hora, fecha, número de origen y número de destino.

WeChat

WeChat es una aplicación china multipropósito de mensajería instantánea, redes sociales y pagos móviles. Se sabe que la actividad de los usuarios en WeChat se analiza, rastrea y comparte con las autoridades chinas a pedido como parte de la red de vigilancia masiva en China. WeChat usa encriptación AES simétrica pero no usa encriptación de extremo a extremo para encriptar los mensajes de los usuarios. El FBI tiene menos acceso que las autoridades chinas y puede acceder a:

    Sin contenido de mensaje.
    Acepta cartas de preservación de cuentas y citaciones, pero no puede proporcionar registros para cuentas creadas en China.
    Para las cuentas fuera de China, pueden proporcionar información básica (nombre, número de teléfono, correo electrónico, dirección IP), que se conserva mientras la cuenta esté activa.

Wickr

Wickr ha desarrollado varias aplicaciones de mensajería segura basadas en las diferentes necesidades de los clientes: Wickr Me, Wickr Pro, Wickr RAM y Wickr Enterprise. Las aplicaciones de mensajería instantánea de Wickr permiten a los usuarios intercambiar mensajes encriptados y con contenido que expira de extremo a extremo, incluidas fotos, videos y archivos adjuntos. Wickr fue fundada en 2012 por un grupo de expertos en seguridad y defensores de la privacidad, pero fue adquirida por Amazon Web Services. El FBI señala:

    Sin contenido de mensaje.
    Fecha y hora de creación de la cuenta.
    Tipo de aplicación de dispositivo(s) instalada.
    Fecha del último uso.
    Número de mensajes.
    Número de identificaciones externas (direcciones de correo electrónico y números de teléfono) conectadas a la cuenta, pero no a las identificaciones externas de texto sin formato.
    imagen de avatar.
    Registros limitados de cambios recientes en la configuración de la cuenta, como agregar o suspender un dispositivo (no incluye el contenido del mensaje ni la información de enrutamiento y entrega).
    Número de versión de Wickr.

Conclusión

Si hay algo claro de la información de este documento es que la mayoría de sus mensajes, si no todos, están a salvo de miradas indiscretas en estas aplicaciones, a menos que esté usando WeChat en China.

Fuente:
propertyofthepeople.org
FBI training document
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Malwarebytes Labs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El rey de los trucos ha muerto. ¿O volverá?

Si bien ya asumimos que TrickBot estaba muerto, el cierre de la infraestructura del servidor el 24 de febrero de 2022 no pasó desapercibido. ¿Es este realmente el final de una de las botnets más activas de la última década?

Historia

El auge de TrickBot comenzó cuando era un troyano bancario diseñado para robar datos financieros personales. El desarrollo inicial comenzó en 2016, con muchas de sus funciones originales inspiradas en Dyreza, que era otro troyano bancario.

Avanzó rápido unos años hasta 2018, y debido a su construcción modular y las capacidades para moverse lateralmente en una red, TrickBot se converti en la principal amenaza para las empresas. En aquel entonces, los autores de TrickBot eran ágiles y creativos, y desarrollaban e implementaban nuevas funciones con regularidad. Los módulos separados facilitaron el desarrollo de nuevas capacidades y el uso del malware para varios propósitos. Por ejemplo, en 2019, los investigadores encontraron una nueva característica en TrickBot que le permitía manipular las sesiones web de los usuarios que estaban en ciertos operadores móviles. En algún momento también se agregaron otras características, como deshabilitar el monitoreo en tiempo real de Windows Defender.

En 2021, se realizaron varios arrestos que dieron una idea de la escala y la complejidad del grupo TrickBot. Estas detenciones también parecen haber sido algunos de los puntos de partida que marcaron el final del grupo. Algunos podrían haberse sentido inseguros, incluso con todos los guardias de seguridad que desplegaron para mantener en secreto su verdadera identidad, al ver que algunos de sus compañeros de trabajo fueron acusados.

Cooperación

La escena del ransomware se puede comparar con cualquier negocio vertical legítimo en más de una forma. Verá cooperación de corta duración, fusiones y personal moviéndose de una empresa a otra. Algunos de los traficantes de malware y bandas de ransomware han establecido una relación que puede describirse como una alianza entre ellos. Dada su naturaleza y la cantidad de dinero que circula en estos grupos de ransomware, a veces se los denomina sindicatos del ciber-delito.

A lo largo de los años, hemos visto varias campañas en las que Emotet actuó como cuentagotas del troyano TrickBot. TrickBot luego robó la información financiera que buscaba y descargó el ransomware Ryuk. Esta cadena de suministro de Emotet-TrickBot-Ryuk fue temida en todo el mundo y resultó ser extremadamente resistente. Después del cambio de marca de Ryuk a Conti, esto no cambió. Pero Conti ha crecido a lo largo de los años y se ha expandido hasta el punto de que ahora puede considerarse uno de los principales actores de esta "industria" por derecho propio.

Su relación con TrickBot fue una de las principales razones del rápido ascenso de Conti. En algún momento, Conti se convirtió en el único usuario final del producto botnet de TrickBot. A fines de 2021, Conti había adquirido esencialmente TrickBot, con múltiples desarrolladores y gerentes de élite que se mudaron para unirse a Conti.

El fin(?)

Hay algunos factores contribuyentes que indican que esto realmente puede ser el final de TrickBot.

    La mudanza de desarrolladores y gerentes a Conti, y posiblemente a otras bandas.
    La alta tasa de detección de TrickBot. Un malware desarrollado de forma menos activa se convierte en un objetivo fácil para las rutinas de detección y reparación.
    El surgimiento de BazarLoader, que solía ser parte del conjunto de herramientas de Trickbot, pero ahora se ha convertido en una herramienta totalmente autónoma. Parece el candidato probable para que Conti se desarrolle aún más.
    El cierre voluntario de los servidores y el hecho de que no habían instalado ningún servidor nuevo durante meses.
    La falta de nuevas campañas de spam por correo electrónico de TrickBot en el año 2022.

Investigadores de renombre esperan que este sea el final de TrickBot tal como lo conocemos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Eso no significa que no pueda resurgir como un ave fénix de las llamas con una nueva etiqueta o bajo una administración diferente. La mayoría de las personas que han liderado y desarrollado TrickBot a lo largo de su larga trayectoria no desaparecerán simplemente de la escena, sino que encontrarán nuevos empleadores, como Conti.

Queda por ver si nos daremos cuenta de que TrickBot se ha ido. Hay muchos métodos nuevos de infiltración disponibles para las pandillas de ransomware y sus afiliados. Y probablemente incluso pasarán años antes de que dejemos de ver detecciones de TrickBot, inactivas o no, en algún sistema.

Fuente:
Malwarebytes Labs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

4 mar (Reuters) - Rusia dijo que bloquearía a Facebook por excluir a los medios estatales y CNN dijo que dejaría de transmitir en Rusia después de que una nueva ley que castiga las "noticias falsas" aumentara las apuestas en la lucha de Moscú con las corporaciones extranjeras.

El viernes marcó una escalada en la disputa que comenzó después de la invasión de Ucrania. Rusia bloqueó una ola de compañías de medios y nuevos grandes nombres anunciaron que cerrarían las ventas en Rusia, incluidos Microsoft Corp y el fabricante de videojuegos Electronic Arts Inc.

Rusia dijo que el Facebook de Meta Platforms Inc estaba siendo bloqueado por restringir los canales respaldados por el estado, y también bloqueó los sitios web de la BBC, Deutsche Welle y Voice of America por lo que dijo que era información falsa sobre la guerra en Ucrania. Twitter también será bloqueado, dijeron medios rusos.

La BBC dijo que suspendería temporalmente su trabajo en Rusia después de la introducción de una nueva ley que podría encarcelar a cualquier persona que difunda intencionalmente noticias "falsas".

CNN de AT&T Inc está deteniendo las transmisiones para "evaluar la situación y nuestros próximos pasos a seguir", dijo un portavoz.

Muchos rusos han descargado software VPN para evitar las restricciones estatales, pero el proveedor de Internet Cogent, que dijo que era el segundo operador más grande fuera de Rusia, reveló planes para cortar el servicio, en parte para evitar ser utilizado para ataques cibernéticos.

Una gran cantidad de importantes marcas occidentales en una amplia gama de industrias ha salido de Rusia. Algunos de los más conocidos han reprendido duramente a Moscú por el ataque a Ucrania. Otros han descrito reaccionar ante las circunstancias, incluido el fabricante de artículos de lujo LVMH, que el viernes dijo que cerraría temporalmente 124 tiendas en Rusia.

Canadian Tire también anunció que cerraría temporalmente 41 tiendas rusas de su grupo de ropa exterior y equipaje Helly Hansen, y el fabricante de aviones privados Bombardier Inc dijo que había suspendido todas las actividades con clientes rusos, de conformidad con las leyes internacionales.

Los problemas de envío y cadena de suministro también han dificultado trabajar en Rusia. Empresas desde Royal Dutch Shell hasta Apple Inc y Toyota Motor Corp han tomado medidas que van desde detener las ventas y las operaciones hasta salir por completo. El comerciante de productos básicos agrícolas Louis Dreyfus anunció la suspensión de operaciones en Rusia el viernes.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WASHINGTON, 4 mar (Reuters) - Una semana después de que la notoria banda de extorsionistas con sede en Rusia Conti fuera humillada cuando se publicaron en línea una gran cantidad de datos sobre sus chats internos, un segundo grupo, Trickbot, parece haber sido afectado por una filtración también.

La información detallada supuestamente sobre esta segunda pandilla de ransomware apareció en línea, dijeron los expertos el jueves por la noche, más evidencia de que los grupos con supuestos vínculos rusos han sido objeto de exposición en los últimos días.

Los detalles de identificación de supuestos pandilleros difundidos por una cuenta de Twitter que se hace llamar "TrickbotLeaks" comenzaron a filtrarse en la web el jueves.

La cuenta fue suspendida y Reuters no pudo verificar de inmediato la autenticidad de la información, pero los expertos dijeron que los detalles que se publicaron coincidían con su comprensión del grupo.

"Se superpone, en gran medida, con nuestra investigación", dijo Vitali Kremez, director ejecutivo de la firma de seguridad cibernética AdvIntel, con sede en Florida.

Kremez, quien dice que está en contacto con un investigador ucraniano supuestamente responsable de la filtración anterior de la correspondencia de Conti, dijo que el ritmo de las revelaciones parecía haber sido provocado de una forma u otra por la invasión rusa de Ucrania.

"Todos los guantes están fuera" en la esfera cibercriminal rusa, dijo Kremez.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sea bienvenido.

Por aquí también amamos la música... otra cosa es tocarla no le vamos a engañar.

Muchas cosas buenas para los amigos venezolanos; que Venezuela es tierra bella y querida.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Kaspersky Lab protege los recursos del Ministerio de Defensa ruso y otros dominios de alto valor que son fundamentales para la maquinaria de propaganda rusa: Russia Today, la agencia de noticias TASS, el banco Gazprom.

La empresa insiste en que "nunca proporcionan acceso a los datos de los usuarios o a la infraestructura de la empresa a ninguna organización gubernamental o de aplicación de la ley".

Intenta mantenerte neutral

La negativa de Eugene Kaspersky a condenar al Kremlin por su invasión de Ucrania incendió a la comunidad de ciberseguridad. Su empresa ha tratado de romper los lazos con el gobierno ruso durante años, pero aún no lo ha logrado. Y los eventos recientes, al parecer, solo empeoraron las cosas.

"Acogemos con beneplácito el inicio de negociaciones para resolver la situación actual en Ucrania y esperamos que conduzcan a un cese de hostilidades y un compromiso. Creemos que el diálogo pacífico es el único instrumento posible para resolver conflictos. La guerra no es buena para nadie." , tuiteó Eugene Kaspersky cuando las delegaciones rusa y ucraniana se reunieron para conversaciones de paz cerca de la frontera de Ucrania con Bielorrusia.

Sin embargo, el vago lenguaje de Kaspersky enfureció a muchos pro-ucranianos cuando trató de restar importancia al papel de Putin al llamar a la invasión de Rusia una "situación en Ucrania".

Kaspersky, siendo una marca bien reconocida en todo el mundo, siempre ha estado obsesionada por sus orígenes y se ha esforzado por sacudir los lazos con el gobierno ruso, incluido el traslado de su infraestructura central de Rusia a Suiza y demandar sin éxito al gobierno de EE. UU. por su decisión de prohibir el uso de Kaspersky Lab dentro del gobierno de EE.UU.

La compañía enfatiza que no comparte ningún dato de usuario con las fuerzas del orden. Sin embargo, una mirada más cercana a las actividades de Kaspersky expone sus estrechos vínculos comerciales con actores clave en la Rusia de Putin.

Ayudando al Kremlin

El investigador principal de seguridad de la información de Cybernews, Mantas Sasnauskas, ejecutó algunos comandos simples (nslookup y traceroute) y descubrió que la dirección IP detrás de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (el Ministerio de Defensa de Rusia) pertenece a Kaspersky labs. Si bien esto puede significar muchas cosas diferentes, los investigadores especulan que Kaspersky podría tener algún contrato en el que el gobierno ruso aloja sus servidores frontales o Internet a través de ellos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

También vale la pena señalar que muchos dominios de alto valor para el gobierno ruso que engrasan su máquina de propaganda, como la agencia de noticias estatal TASS, la red de televisión estatal Russia Today y GazpromBank, están protegidos por Kaspersky Labs.

TASS y RT, entre otros, juegan un papel fundamental en la propaganda de Putin, y los gigantes tecnológicos, siguiendo las solicitudes de muchos gobiernos, ya han restringido su acceso en muchos países, incluida Ucrania, y les han impedido ganar dinero en sus plataformas.

   "Dado que Russia Today y TASS están difundiendo la propaganda del gobierno de Rusia y censurando lo que sucede en Ucrania, el anuncio de Kaspersky en Twitter de que son neutrales en esta guerra queda obsoleto, ya que están ayudando a que la máquina de propaganda se mantenga viva.", Sasnauskas dijo.

Nos comunicamos con Kaspersky Labs para obtener más información sobre el tipo de cooperación que tiene con el gobierno ruso y si eso hace que sus clientes sean vulnerables.

"You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no está alojado en la infraestructura de Kaspersky", dijo Kaspersky a Cybernews en un correo electrónico. Además, se lee que Kaspersky DDoS (distributed-denial-of-service) Protection "ha estado protegiendo los recursos del Ministerio de Defensa ruso durante varios años, así como una variedad de clientes en industrias como transporte, medios, comercio minorista, tecnología, etc."

El Ministerio de Defensa ruso ha sido uno de los principales objetivos de los ciberactivistas pro-ucranianos en innumerables intentos de cerrar su sitio web y filtrar sus datos.

A continuación se muestra la declaración completa de Kasperky sobre sus servicios para el Ministerio de Defensa de Rusia:

"Los recursos de esta organización están protegidos según el esquema de redirección de tráfico con proxy inverso: para poner un recurso en Internet, se utiliza la dirección del servidor proxy de Kaspersky, a la que apunta el registro de recursos DNS A".
A" significa "Dirección", es uno de los principales registros DNS que se utiliza para transformar los nombres de dominio en direcciones IP. Por ejemplo, en este momento, una entrada de este tipo para You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login apunta a la dirección 82.202.190.92, que es la dirección del servidor proxy Kaspersky DDoS Protection.

La dirección real del recurso en tal esquema está oculta para los usuarios en Internet, sus solicitudes son recibidas por el servidor proxy Kaspersky, que ya los redirige a la dirección real del recurso, y las respuestas de este se envían al cliente de la misma manera, a través del proxy. Por lo tanto, la infraestructura de la solución Kaspersky se ocupa exclusivamente de redirigir las solicitudes, prefiltrarlas del tráfico espurio y ocultar la dirección real del recurso detrás de él.

Así es como todos los recursos protegidos bajo el esquema de proxy inverso: no solo por nuestra solución sino por las de cualquier otra empresa que utilice un esquema de redirección de tráfico similar.

La solución Kaspersky DDoS Protection no modifica las solicitudes a los recursos protegidos ni las respuestas de estos a los clientes, sino que solo los filtra de los ataques, la gestión de recursos se lleva a cabo completamente del lado del cliente sin la participación de Kaspersky".

La empresa también destacó que la seguridad y la privacidad de los usuarios son su principal prioridad. Nunca proporciona a "ninguna organización gubernamental o de aplicación de la ley acceso a los datos del usuario o a la infraestructura de la empresa".

Señaló además que no está obligado a proporcionar ninguna información y que dos organizaciones externas han auditado la seguridad e integridad de sus servicios de datos y prácticas de ingeniería.

"Kaspersky trabaja con las autoridades en el mejor interés de la ciberseguridad internacional, brindando consultas técnicas o análisis de expertos de programas maliciosos para respaldar las investigaciones de delitos cibernéticos y de acuerdo con las leyes aplicables".

Kaspersky también nos señaló su informe de Transparencia que detalla cómo la empresa responde a las solicitudes de las autoridades.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de piratas informáticos afiliados a Anonymous afirma haber interrumpido el sistema de monitoreo de vehículos de Rusia.

Los piratas informáticos NB65 dicen que lograron impactar las actividades diarias de Roscosmos, la agencia espacial rusa. El objetivo preciso: el sistema de seguimiento de vehículos del país.

"A la Agencia Espacial Rusa le encantan sus imágenes satelitales. Mejor aún, les encanta su sistema de monitoreo de vehículos", comienza un mensaje de NB65.

El mensaje dice que el grupo eliminó el software WS02 de la agencia, una herramienta de administración de interfaz de programa de aplicación (API) de código abierto, rotó las credenciales y apagó el servidor.

Cybernews puede confirmar estas declaraciones. Sin embargo, el jefe de Roscosmos, Dmitry Rogozin, descartó tales afirmaciones como falsas.

Más tarde, Rogozin agregó que piratear un satélite constituiría un motivo de guerra. Al mismo tiempo, dijo que a menos que OneWeb, una empresa de tecnología británico-india, ofrezca garantías de que sus satélites no se utilizarán contra Rusia, Roscosmos cancelará el lanzamiento planificado de los satélites OneWeb en su cosmódromo en Kazajstán.

Rogozin amenazó con que las sanciones podrían provocar que la Estación Espacial Internacional (ISS) "se estrellara contra la Tierra de manera descontrolada".

La declaración podría estar relacionada con el hecho de que el segmento ruso de la ISS es responsable de la orientación, la navegación y el control de todo el complejo.

Ese es solo el último de una serie de hacks dirigidos contra Rusia después de que el país invadiera Ucrania la semana pasada.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los activistas cibernéticos atacaron los medios de comunicación controlados por el estado ruso TASS, Kommersant, Izvestia, Fontanka y RBC, obligándolos a desconectarse.

Hay al menos una docena de grupos diferentes de hackers e investigadores, siendo Anonymous el más destacado, invirtiendo su esfuerzo y conocimiento para ayudar a Ucrania.

Un grupo desconocido ha creado una herramienta de sitio web que permite a las personas participar en ataques de denegación de servicio distribuido (DDoS) contra sitios web rusos que, según afirma, están difundiendo desinformación.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login