Se observó un aumento en la actividad de TrueBot en mayo de 2023, revelaron los investigadores de ciberseguridad.

"TrueBot es una botnet troyana de descarga que utiliza servidores de comando y control para recopilar información sobre sistemas comprometidos y utiliza ese sistema comprometido como punto de lanzamiento para nuevos ataques", dijo Fae Carlisle de VMware.

Activo desde al menos 2017, TrueBot está vinculado a un grupo conocido como Silence que se cree que comparte superposiciones con el notorio actor ruso de delitos cibernéticos conocido como Evil Corp.

Las infecciones recientes de TrueBot han aprovechado una falla crítica en el auditor Netwrix (CVE-2022-31199, puntuación CVSS: 9., así como en Raspberry Robin como vectores de entrega.


La cadena de ataque documentada por VMware, por otro lado, comienza con una descarga drive-by-download de un ejecutable llamado "update.exe" de Google Chrome, lo que sugiere que los usuarios son atraídos a descargar el malware bajo el pretexto de una actualización de software.

Una vez ejecutada, actualiza.exe establece conexiones con una dirección IP TrueBot conocida ubicada en Rusia para recuperar un ejecutable de segunda etapa ("3ujwy2rz7v.exe") que posteriormente se inicia mediante el símbolo del sistema de Windows.

El ejecutable, por su parte, se conecta a un dominio de comando y control (C2) y filtra información confidencial del host. También es capaz de enumerar procesos y sistemas.

"TrueBot puede ser una infección particularmente desagradable para cualquier red", dijo Carlisle. "Cuando una organización está infectada con este malware, puede escalar rápidamente para convertirse en una infección más grande, similar a cómo el ransomware se propaga a través de una red".

Los hallazgos se producen cuando SonicWall detalló una nueva variante de otro malware descargador conocido como GuLoader (también conocido como CloudEyE) que se utiliza para entregar una amplia gama de malware como Agent Tesla, Azorult y Remcos.

"En la última variante de GuLoader, introduce nuevas formas de plantear excepciones que dificultan el proceso de análisis completo y su ejecución en un entorno controlado", dijo SonicWall.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cada vez tenemos más opciones a la hora de elegir una plataforma de vídeo vía streaming y disfrutar de nuestras películas, series y documentales a la carta. Quizá una de las más populares en todo el mundo sea Netflix, aunque últimamente se ha rodeado bastante de polémica debido a las cuentas compartidas.

En el caso de que seáis clientes de esta propuesta streaming, seguramente ya sois conscientes del bloqueo ejercido con las cuentas compartidas fuera del hogar. Esta es una medida que ha generado mucha controversia y una buena huida de clientes tras las restricciones para compartir cuentas en multitud de países. Esto es algo contrario a lo que sucede con otras alternativas de la competencia que permiten llevar a cabo este tipo de tareas.

Evidentemente con estos cambios lo que Netflix en un principio pretende es ganar clientes que paguen por su propia suscripción. Todo ello eliminando las cuentas compartidas entre varios. Lo que no sabemos es si más tarde o más temprano esta es una medida que llegará a otros servicios online similares. Os contamos todo esto porque parece que otro de los gigantes del sector como es Amazon con su Prime Video, también se suma a esta medida.

La afirmación viene dada debido a la respuesta en redes sociales del gigante del comercio electrónico a una publicación de Netflix por estos bloqueos. La compañía de la gran N hizo una publicación rechazando el uso compartido de cuentas en Alemania, y Amazon parece ser que respaldó esta decisión. Por tanto, se podría traducir en que el servicio mencionado de Prime Video podría recibir un sistema de restricciones similar, pronto.

Amazon apoya el bloqueo de cuentas compartidas

Desde el punto de vista de estas plataformas de vídeo, compartir cuentas entre varios usuarios es una pérdida importante de beneficios. No hace falta decir que de manera paralela los propios usuarios ahorran parte de la suscripción compartiendo su coste. De ahí que con el apoyo que Amazon ha dado a Netflix acerca de su bloqueo de cuentas compartidas fuera del hogar, nos esté intentando decir algo.


La publicación de apoyo a esta medida de bloqueo, Amazon la hizo en la popular red social de Twitter. Sin embargo, poco después eliminó el tweet a pesar del apoyo que recibió. Tal y como vemos en la imagen, el gigante de las compras nos mostraba una selección de perfiles de Amazon Prime Video con el mensaje que se podría traducir como Todo el mundo con su propia contraseña.

Eso sí, debemos tener muy presente que Amazon hasta la fecha no ha hecho ningún comunicado oficial acerca de la publicación en Twitter ni de su eliminación. Con todo y con ello la propia empresa afirma que compartir cuentas está prohibido en las condiciones de su servicio. En concreto en las mismas encontramos que nos dejan claro que son los propios clientes de Amazon Prime Video los responsables de asegurar la confidencialidad de la cuenta y su contraseña. Básicamente podemos traducir que compartir la cuenta y contraseña con terceros viola las políticas de uso de la plataforma de vídeo.

De momento, tal y como ha sucedido recientemente en la mencionada Netflix, el gigante del comercio no ha impuesto ninguna función de bloqueo. De momento tan solo advierte que en sus políticas es de uso deja claro la prohibición de compartir cuentas. Veremos si dadas las circunstancias, en breve no nos encontremos con una característica integrada para restringir este uso, en Amazon Prime Video.

Fuente: Ghacks/You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Python Package Index (PyPI) anunció la semana pasada que cada cuenta que mantenga un proyecto en el repositorio oficial de software de terceros deberá activar la autenticación de dos factores (2FA) para fin de año.

"Entre ahora y fin de año, PyPI comenzará a bloquear el acceso a ciertas funcionalidades del sitio en función del uso de 2FA", dijo el administrador de PyPI, Donald Stufft. "Además, podemos comenzar a seleccionar ciertos usuarios o proyectos para la aplicación temprana".

La aplicación también incluye a los mantenedores de la organización, pero no se extiende a todos los usuarios del servicio.

El objetivo es neutralizar las amenazas planteadas por los ataques de adquisición de cuentas, que un atacante puede aprovechar para distribuir versiones troyanizadas de paquetes populares para envenenar la cadena de suministro de software e implementar malware a gran escala.

PyPI, al igual que otros repositorios de código abierto como npm, ha sido testigo de innumerables casos de malware y suplantación de paquetes.

A principios de este mes, Fortinet FortiGuard Labs descubrió más de 30 bibliotecas de Python que incorporaban varias características para conectarse a URL remotas arbitrarias y robar datos confidenciales de máquinas comprometidas.

El desarrollo se produce casi un año después de que PyPI hiciera obligatoria la 2FA para los mantenedores críticos del proyecto. El registro alberga 457.125 proyectos y 704.458 usuarios.

Según el proveedor de servicios de monitoreo en la nube Datadog, 9,580 usuarios y 4,541 proyectos han sido identificados como críticos, con 2FA habilitado en total para 38,248 usuarios hasta la fecha.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores han descubierto una técnica de ataque de bajo costo que podría aprovecharse para las huellas dactilares de fuerza bruta en los teléfonos inteligentes para eludir la autenticación del usuario y tomar el control de los dispositivos.

El enfoque, denominado BrutePrint, evita los límites establecidos para contrarrestar los intentos fallidos de autenticación biométrica al convertir en armas dos vulnerabilidades de día cero en el marco de autenticación de huellas dactilares de teléfonos inteligentes (SFA).

Las fallas, Cancel-After-Match-Fail (CAMF) y Match-After-Lock (MAL), aprovechan los defectos lógicos en el marco de autenticación, que surgen debido a la protección insuficiente de los datos de huellas dactilares en la interfaz periférica serie (SPI) de los sensores de huellas dactilares.

El resultado es un "enfoque de hardware para realizar ataques man-in-the-middle (MitM) para el secuestro de imágenes de huellas dactilares", dijeron los investigadores Yu Chen y Yiling He en un trabajo de investigación. "BrutePrint actúa como intermediario entre el sensor de huellas dactilares y TEE [Trusted Execution Environment]".

El objetivo, en esencia, es poder realizar un número ilimitado de presentaciones de imágenes de huellas dactilares hasta que haya una coincidencia. Sin embargo, presupone que un actor de amenazas ya está en posesión del dispositivo objetivo en cuestión.

Además, requiere que el adversario esté en posesión de una base de datos de huellas dactilares y una configuración que comprende una placa de microcontrolador y un clicker automático que puede secuestrar los datos enviados por un sensor de huellas dactilares para llevar a cabo el ataque por tan solo $ 15.

La primera de las dos vulnerabilidades que hacen posible este ataque es CAMF, que permite aumentar las capacidades de tolerancia a fallos del sistema al invalidar la suma de comprobación de los datos de la huella digital, dando así a un atacante intentos ilimitados.

MAL, por otro lado, explota un canal lateral para inferir coincidencias de las imágenes de huellas dactilares en los dispositivos de destino, incluso cuando entra en un modo de bloqueo después de demasiados intentos repetidos de inicio de sesión.

"Aunque el modo de bloqueo se verifica aún más en Keyguard para deshabilitar el desbloqueo, el resultado de la autenticación ha sido realizado por TEE", explicaron los investigadores.

"Como el resultado de la autenticación de éxito se devuelve inmediatamente cuando se cumple una muestra coincidente, es posible que los ataques de canal lateral deduzcan el resultado de comportamientos como el tiempo de respuesta y el número de imágenes adquiridas".

En una configuración experimental, BrutePrint se evaluó contra 10 modelos diferentes de teléfonos inteligentes de Apple, Huawei, OnePlus, OPPO, Samsung, Xiaomi y vivo, produciendo infinitos intentos en Android y HarmonyOS, y 10 intentos adicionales en dispositivos iOS.

Los hallazgos se producen cuando un grupo de académicos detalló un canal lateral híbrido que aprovecha la "compensación de tres vías entre la velocidad de ejecución (es decir, la frecuencia), el consumo de energía y la temperatura" en los modernos sistemas en chips (SoC) y GPU para llevar a cabo "ataques de robo de píxeles e historial basados en navegador" contra Chrome 108 y Safari 16.2.

El ataque, llamado Hot Pixels, aprovecha este comportamiento para montar ataques de huellas dactilares de sitios web y emplear código JavaScript para recopilar el historial de navegación de un usuario.

Esto se logra diseñando un filtro SVG computacionalmente pesado para filtrar colores de píxeles midiendo los tiempos de renderizado y recolectando sigilosamente la información con una precisión de hasta el 94%.

Los problemas han sido reconocidos por Apple, Google, AMD, Intel, Nvidia, Qualcomm. Los investigadores también recomiendan "prohibir que se apliquen filtros SVG a iframes o hipervínculos" y evitar el acceso sin privilegios a las lecturas de los sensores.

BrutePrint y Hot Pixels también siguen el descubrimiento de Google de 10 defectos de seguridad en las extensiones de dominio de confianza (TDX) de Intel que podrían conducir a la ejecución de código arbitrario, condiciones de denegación de servicio y pérdida de integridad.

En una nota relacionada, las CPU Intel también se han encontrado susceptibles a un ataque de canal lateral que hace uso de las variaciones en el tiempo de ejecución causadas por el cambio del registro EFLAGS durante la ejecución transitoria para decodificar datos sin depender de la memoria caché.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitLab ha publicado una actualización de seguridad de emergencia, versión 16.0.1, para abordar una falla de recorrido de ruta de gravedad máxima (puntuación CVSS v3.1: 10.0) rastreada como CVE-2023-2825.

GitLab es un repositorio Git basado en la web para equipos de desarrolladores que necesitan administrar su código de forma remota y tiene aproximadamente 30 millones de usuarios registrados y un millón de clientes de pago.

La vulnerabilidad abordada en la última actualización fue descubierta por un investigador de seguridad llamado 'pwnie', quien informó del problema en el programa de recompensas de errores HackOne del proyecto.

Afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) versión 16.0.0, pero todas las versiones anteriores a esta no se ven afectadas.

La falla surge de un problema de recorrido de ruta que permite a un atacante no autenticado leer archivos arbitrarios en el servidor cuando existe un archivo adjunto en un proyecto público anidado dentro de al menos cinco grupos.

La explotación de CVE-2023-2825 podría exponer datos confidenciales, incluido el código de software propietario, credenciales de usuario, tokens, archivos y otra información privada.

Este requisito previo sugiere que el problema se relaciona con la forma en que GitLab administra o resuelve rutas para archivos adjuntos anidados dentro de varios niveles de jerarquía de grupos. Sin embargo, debido a la criticidad del problema y la frescura de su descubrimiento, el proveedor no reveló muchos detalles esta vez.

En cambio, GitLab destacó la importancia de aplicar la última actualización de seguridad sin demora.

"Recomendamos encarecidamente que todas las instalaciones que ejecuten una versión afectada por los problemas descritos a continuación se actualicen a la última versión lo antes posible", se lee en el boletín de seguridad de GitLab.

"Cuando no hay un tipo de implementación específico (ómnibus, código fuente, gráfico de timón, etc.) de un producto se menciona, esto significa que todos los tipos se ven afectados".

Un factor atenuante es que la vulnerabilidad solo se puede activar bajo condiciones específicas, es decir, cuando hay un archivo adjunto en un proyecto público anidado dentro de al menos cinco grupos, que no es la estructura seguida en todos los proyectos de GitHub.

Sin embargo, se recomienda a todos los usuarios de GitLab 16.0.0 que actualicen a la versión 16.0.1 lo antes posible para mitigar el riesgo. Desafortunadamente, no hay soluciones disponibles en este momento.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

D-Link ha corregido dos vulnerabilidades de gravedad crítica en su suite de administración de red D-View 8 que podrían permitir a los atacantes remotos eludir la autenticación y ejecutar código arbitrario.

D-View es una suite de administración de red desarrollada por el proveedor taiwanés de soluciones de red D-Link, utilizada por empresas de todos los tamaños para monitorear el rendimiento, controlar las configuraciones de dispositivos, crear mapas de red y, en general, hacer que la administración y administración de redes sea más eficiente y consuma menos tiempo.

Los investigadores de seguridad que participan en Zero Day Initiative (ZDI) de Trend Micro descubrieron seis fallas que afectaron a D-View a fines del año pasado y las informaron al proveedor el 23 de diciembre de 2022.

Dos de las vulnerabilidades descubiertas son de gravedad crítica (puntuación CVSS: 9.8 ) y dan a los atacantes no autenticados una fuerte influencia sobre las instalaciones afectadas.

El primer error se rastrea como CVE-2023-32165 y es un error de ejecución remota de código que surge de la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivo.

Un atacante que aprovechara la vulnerabilidad podría ejecutar código con privilegios SYSTEM, que para Windows, el código se ejecutará con los privilegios más altos, lo que podría permitir la toma completa del sistema.

La segunda falla crítica ha recibido el identificador CVE-2023-32169 y es un problema de omisión de autenticación resultante del uso de una clave criptográfica codificada en la clase TokenUtils del software.

La explotación de esta falla permite la escalada de privilegios, el acceso no autorizado a la información, el cambio de configuración y ajustes en el software, e incluso la instalación de puertas traseras y malware.

D-Link ha publicado un aviso sobre las seis fallas reportadas por ZDI, que afectan a D-View 8 versión 2.0.1.27 y anteriores, instando a los administradores a actualizar a la versión corregida, 2.0.1.28, lanzada el 17 de mayo de 2023.

"Tan pronto como D-Link se enteró de los problemas de seguridad reportados, comenzamos rápidamente nuestra investigación y comenzamos a desarrollar parches de seguridad", se lee en el boletín de seguridad de D-Link.

Aunque el proveedor "recomienda encarecidamente" a todos los usuarios que instalen la actualización de seguridad, el anuncio también advierte que el parche es "software beta o versión de corrección en caliente", que aún se encuentra en pruebas finales.

Esto significa que la actualización a 2.0.1.28 puede causar problemas o introducir inestabilidad en D-View, pero la gravedad de los defectos probablemente supere cualquier posible problema de rendimiento.

La compañía también aconseja a los usuarios que verifiquen la revisión de hardware de sus productos verificando la etiqueta inferior o el panel de configuración web antes de descargar la actualización de firmware correspondiente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Zyxel ha lanzado actualizaciones de software para abordar dos fallas de seguridad críticas que afectan a determinados productos de firewall y VPN que podrían ser abusados por atacantes remotos para lograr la ejecución del código.

Ambas fallas, CVE-2023-33009 y CVE-2023-33010, son vulnerabilidades de desbordamiento de búfer y tienen una calificación de 9.8 sobre 10 en el sistema de puntuación CVSS.

A continuación se ofrece una breve descripción de las dos cuestiones:

• CVE-2023-33009: vulnerabilidad de desbordamiento de búfer en la función de notificación que podría permitir a un atacante no autenticado provocar una condición de denegación de servicio (DoS) y la ejecución remota de código.
• CVE-2023-33010: vulnerabilidad de desbordamiento de búfer en la función de procesamiento de ID que podría permitir a un atacante no autenticado provocar una condición de denegación de servicio (DoS) y la ejecución remota de código.

Los siguientes dispositivos se ven afectados:

• ATP (versiones ZLD V4.32 a V5.36 Parche 1, parcheado en ZLD V5.36 Parche 2)
• USG FLEX (versiones ZLD V4.50 a V5.36 Parche 1, parcheado en ZLD V5.36 Parche 2)
• USG FLEX50(W) / USG20(W)-VPN (versiones ZLD V4.25 a V5.36 Parche 1, parcheado en ZLD V5.36 Parche 2)
• VPN (versiones ZLD V4.30 a V5.36 Parche 1, parcheado en ZLD V5.36 Parche 2), y
• ZyWALL/USG (versiones ZLD V4.25 a V4.73 Parche 1, parcheado en ZLD V4.73 Parche 2)

Los investigadores de seguridad de TRAPA Security y STAR Labs SG han sido acreditados con el descubrimiento y la notificación de las fallas.

El aviso se produce menos de un mes después de que Zyxel enviara correcciones para otra falla de seguridad crítica en sus dispositivos de firewall que podría explotarse para lograr la ejecución remota de código en los sistemas afectados.

El problema, rastreado como CVE-2023-28771 (puntuación CVSS: 9.8 ), también se atribuyó a TRAPA Security, y el fabricante de equipos de red lo culpó de un manejo incorrecto de los mensajes de error. Desde entonces, ha sido objeto de explotación activa por parte de actores de amenazas asociados con la botnet Mirai.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una entidad gubernamental no identificada asociada con los Emiratos Árabes Unidos (EAU) fue atacada por un probable actor de amenazas iraní para violar el servidor Microsoft Exchange de la víctima con una puerta trasera "simple pero efectiva" llamada PowerExchange.

Según un nuevo informe de Fortinet FortiGuard Labs, la intrusión se basó en el phishing de correo electrónico como una vía de acceso inicial, lo que llevó a la ejecución de un ejecutable .NET contenido con un archivo ZIP adjunto.

El binario, que se hace pasar por un documento PDF, funciona como un cuentagotas para ejecutar la carga útil final, que luego lanza la puerta trasera.

PowerExchange, escrito en PowerShell, emplea archivos de texto adjuntos a correos electrónicos para la comunicación de comando y control (C2). Permite al actor de amenazas ejecutar cargas arbitrarias y cargar y descargar archivos desde y hacia el sistema.

El implante personalizado logra esto haciendo uso de la API de servicios Web Exchange (EWS) para conectarse al servidor Exchange de la víctima y utiliza un buzón en el servidor para enviar y recibir comandos codificados de su operador.

"El servidor de Exchange es accesible desde Internet, ahorrando la comunicación C2 a servidores externos desde los dispositivos en las organizaciones", dijeron los investigadores de Fortinet. "También actúa como un representante para que el atacante se enmascare".


Dicho esto, actualmente no se sabe cómo el actor de amenazas logró obtener las credenciales de dominio para conectarse al servidor de Exchange de destino.

La investigación de Fortinet también descubrió servidores Exchange que tenían varias puertas traseras con varios shells web, uno de los cuales se llama ExchangeLeech (también conocido como System.Web.ServiceAuthentication.dll), para lograr un acceso remoto persistente y robar credenciales de usuario.

Se sospecha que PowerExchange es una versión mejorada de TriFive, que fue utilizada anteriormente por el actor iraní APT34 (también conocido como OilRig) en intrusiones dirigidas a organizaciones gubernamentales en Kuwait.

Además, la comunicación a través de servidores Exchange orientados a Internet es una táctica probada adoptada por los actores de OilRig, como se observó en el caso de Karkoff y MrPerfectionManager.

"El uso del servidor Exchange de la víctima para el canal C2 permite que la puerta trasera se mezcle con el tráfico benigno, asegurando así que el actor de la amenaza pueda evitar fácilmente casi todas las detecciones y remediaciones basadas en la red dentro y fuera de la infraestructura de la organización objetivo", dijeron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Al menos ocho sitios web asociados con compañías de envío, logística y servicios financieros en Israel fueron atacados como parte de un ataque de abrevadero.

La compañía de ciberseguridad ClearSky, con sede en Tel Aviv, atribuyó los ataques con poca confianza a un actor de amenazas iraní rastreado como Tortoiseshell, que también se llama Crimson Sandstorm (anteriormente Curium), Imperial Kitten y TA456.

"Los sitios infectados recopilan información preliminar del usuario a través de un script", dijo ClearSky en un informe técnico publicado el martes. La mayoría de los sitios web afectados han sido despojados del código malicioso.

Se sabe que el carey está activo desde al menos julio de 2018, con ataques tempranos dirigidos a proveedores de TI en Arabia Saudita. También se ha observado la creación de sitios web de contratación falsos para veteranos militares estadounidenses en un intento por engañarlos para que descarguen troyanos de acceso remoto.

Dicho esto, esta no es la primera vez que los grupos de actividad iraníes han puesto su mirada en el sector naviero israelí con abrevaderos.

El método de ataque, también llamado compromisos estratégicos de sitios web, funciona infectando un sitio web que se sabe que es visitado comúnmente por un grupo de usuarios o aquellos dentro de una industria específica para permitir la distribución de malware.


En agosto de 2022, un actor iraní emergente llamado UNC3890 fue atribuido a un abrevadero alojado en una página de inicio de sesión de una compañía naviera israelí legítima que está diseñada para transmitir datos preliminares sobre el usuario conectado a un dominio controlado por el atacante.

Las últimas intrusiones documentadas por ClearSky muestran que el JavaScript malicioso inyectado en los sitios web funciona de manera similar, recopilando información sobre el sistema y enviándola a un servidor remoto.

El código JavaScript intenta determinar la preferencia de idioma del usuario, lo que ClearSky dijo que podría ser "útil para el atacante para personalizar su ataque en función del idioma del usuario".

Además de eso, los ataques también hacen uso de un dominio llamado jquery-stack[.] en línea para comando y control (C2). El objetivo es volar bajo el radar haciéndose pasar por el marco legítimo de JavaScript jQuery.

El desarrollo se produce cuando Israel sigue siendo el objetivo más prominente para las tripulaciones patrocinadas por el estado iraní. Microsoft, a principios de este mes, destacó su nuevo enfoque de combinar "operaciones cibernéticas ofensivas con operaciones de influencia múltiple para impulsar el cambio geopolítico en alineación con los objetivos del régimen".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una versión actualizada del malware básico llamado Legion viene con características ampliadas para comprometer los servidores SSH y las credenciales de Amazon Web Services (AWS) asociadas con DynamoDB y CloudWatch.

"Esta actualización reciente demuestra una ampliación del alcance, con nuevas capacidades como la capacidad de comprometer servidores SSH y recuperar credenciales adicionales específicas de AWS de las aplicaciones web de Laravel", dijo el investigador de Cado Labs Matt Muir en un informe compartido con The Hacker News.

"Está claro que la orientación del desarrollador a los servicios en la nube está avanzando con cada iteración".

Legion, una herramienta de piratería basada en Python, fue documentada por primera vez el mes pasado por la firma de seguridad en la nube, detallando su capacidad para violar servidores SMTP vulnerables para recolectar credenciales.

También se sabe que explota servidores web que ejecutan sistemas de gestión de contenido (CMS), aprovecha Telegram como punto de exfiltración de datos y envía mensajes SMS de spam a una lista de números móviles de EE.

Una adición notable a Legion es su capacidad para explotar servidores SSH utilizando el módulo Paramiko. También incluye características para recuperar credenciales adicionales específicas de AWS relacionadas con DynamoDB, CloudWatch y AWS Owl de aplicaciones web de Laravel.

Otro cambio se relaciona con la inclusión de rutas adicionales para enumerar la existencia de archivos .env como /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env y /web/.env entre otros.

"Las configuraciones erróneas en las aplicaciones web siguen siendo el método principal utilizado por Legion para recuperar credenciales", dijo Muir.

"Por lo tanto, se recomienda que los desarrolladores y administradores de aplicaciones web revisen regularmente el acceso a los recursos dentro de las propias aplicaciones y busquen alternativas para almacenar secretos en archivos de entorno".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La 61 edición del TOP500 ha renovado la lista de las supercomputadoras más rápidas del planeta, las cuales funcionan todas con Linux desde hace un tiempo. En esta ocasión nos encontramos con una clasificación en la que muchas máquinas han mantenido sus posiciones en comparación con las obtenidas el año pasado, así que volvemos a encontrarnos con Frontier ocupando el primer lugar seguida de Fugaku, Lumi y Leonardo.

Como vemos, no ha habido movimientos al menos en lo que respecta a la posición dentro del TOP500. Esto quiere decir que Europa todavía retiene los logros alcanzados el año pasado, lo que es una buena señal viendo que el viejo continente, durante el transcurso de los últimos tiempos, parecía perder fuelle frente a China, Estados Unidos y Japón.

Sobre la supercomputadora más rápida del mundo, Frontier, le dedicamos en su momento un artículo derivado de las explicaciones de SUSE, ya que como sistema operativo emplea HPE Cray OS, un derivado de SUSE Enterprise Linux. Como tecnología de procesador emplea AMD Epyc para equipar un total de 8.699.904 de núcleos y lograr una puntuación en High-Performance Linpack (HPL) de 1,194 exaflops por segundo.

Fugaku, que ha vuelto a hacerse con la segunda posición y está ubicada en Centro RIKEN para las Ciencias de la Computación de Kobe, Japón, implementa 7.630.848 de núcleos de arquitectura ARM para alcanzar una puntuación con HPL de 442 petaflops por segundo. Como sistema operativo emplea Red Hat Enterprise Linux.

Lumi, la supercomputadora situada en Finlandia, emplea la misma base tecnológica que Frontier, o sea, procesadores AMD Epyc y HPE Cray OS como sistema operativo. Sin embargo, "solo" implementa un total de 2.220.288 de núcleos y la medición de su rendimiento con HPL ha arrojado una puntuación de 309,1 petaflops por segundo.


Leonardo, la máquina ubicada en la Tecnópolis de la ciudad italiana de Bolonia, retiene el cuarto puesto que obtuvo el año pasado y es una de las dos máquinas de las diez primeras que emplean la tecnología de procesadores de Intel, siendo Tianhe-2A, ubicada en China y que ocupa el décimo puesto, la otra supercomputadora que emplea la tecnología Xeon. Leonardo implementa un total de 1.824.768 de núcleos para alcanzar una puntuación de 238,7 petaflops por segundo con HPL.

Cogiendo el total del TOP500, lo que hay es una clara competencia entre China y Estados Unidos. La cantidad de supercomputadoras que el país asiático ha conseguido colocar ha bajado de 162 en 2022 a 134 en 2023, mientras que el estado federal norteamericano ha aumentado su presencia de 126 a 150. Aquí posiblemente haya influido el conflicto político-comercial que mantienen ambos países, y es que Estados Unidos, si ve que puede hacerse con el primer puesto en algo, nunca se conforma con el segundo, más si el rival a batir se ha convertido en una amenaza para sus intereses.

Alemania se hace con el tercer puesto al colocar 36 supercomputadoras seguido de Japón con 33, Francia con 24, Reino Unido con 14 y Canadá con 10. Para sorpresa de algunos, Brasil se ha hecho con octavo puesto con 9 máquinas, mientras que España solo ha logrado colocar una supercomputadora, la MareNostrum, que está ubicada en Barcelona e implementa 153.216 núcleos Intel Xeon para lograr un puntuación de 6,47 petaflops por segundo.

Ethernet sigue siendo la interfaz predilecta para las interconexiones del sistema al ser empleada en 227 supercomputadoras, lo que representa un ligero descenso en comparación con las 233 del año pasado. Infiniband ha pasado de 194 a 200, Omnipath de 36 a 35 y el uso de las interconexiones personalizadas ha subido de manera notable al pasar de 4 a 31, lo que supone multiplicar su presencia casi por ocho.

Y hasta aquí los aspectos más interesantes del TOP500 de junio de 2023.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

EuroLinux 9.2 es, en efecto, la nueva versión de esta derivada de Red Hat Enterprise Linux (RHEL), cuyo lanzamiento nos llegó hace unos días y cuya estirpe ha seguido a pies juntillas, cada cual, eso sí, a su manera, con una propuesta ligeramente adaptada a su propia audiencia, pero sin desligarse de lo que marca la base, cabe repetir.

Así, mientras que Red Hat Enterprise Linux 9.2 conforma el lanzamiento original, con todos los cambios de fondo de los que se nutre el resto y sobre ellos extiende sus propias cualidades, muchas de ellas articuladas en diferentes productos o servicios adicionales, no ocurre así con las derivadas. De estas, la más rápida -y completa en cuanto a oferta- sigue siendo AlmaLinux, aunque en los últimos meses EuroLinux está haciendo méritos para posicionarse.

EuroLinux 9.2 continúa esa marcha con el lanzamiento que nos ocupa, el cual cuenta con todo lo presentado por RHEL 9.2 y lo adereza con sus propios retoques. Lo hace, además, en tiempo récord, pues aunque sacamos la noticia ahora, su lanzamiento se dio casi al unísono del de AlmaLinux y, al igual que esta, su principal punto es la compatibilidad con los repositorios del sistema de Red Hat, así como el recoger todas las actualizaciones de la pila de software.

En especial, tanto AlmaLinux 9.2 como EuroLinux 9.2 incluyen en sus repositorios actualizaciones de herramientas para desarrolladores como Python 3.11, Nginx 1.22, PostgreSQL 15, Rust v1.66, Go v1.19 y LLVM v15, entre muchas otras, que RHEL distribuye por otros canales, según se puede leer en el anuncio de lanzamiento.


El anuncio también que EuroLinux se ofrece ahora en un modelo denominado Open Core tanto como servicio de pago mediante suscripción, o gratuito, incluyendo ambos el mismo nivel de soporte relativo a las actualizaciones de paquetes en tiempo y forma. Con el plan de pago, obviamente, el suscriptor tiene a su alcance soporte técnico profesional, acceso a paquetes adicionales y otras ventajas. En esencia, funciona de modo similar a como lo hacen el resto de derivadas de RHEL e incluso la propia RHEL.

EuroLinux presume asimismo de ser la única de las derivadas de RHEL «que proporciona oficialmente árboles de compilación completos y los llamados buildroots», esto es, el mecanismo y el código fuente para compilar uno mismo los paquetes tal y como han sido compilados para la distribución, con sus intrucciones, dependencias y demás. Esta es una forma de afinar el funcionamiento y también la funcionalidad de las aplicaciones en el sistema.

Por último, EuroLinux recuerda el tiempo de soporte que le quedan a sus versiones en curso, y es que aunque estamos ante una de las derivadas de RHEL más recientes, lo cierto es que se trata de un proyecto veterano que no ha salido de su ámbito de actividad -es una distro polaca- hasta hace poco. De hecho, aún falta por anunciarse el lanzamiento de EuroLinux Desktop 9.2, la versión específica para escritorio. Sea como fuere, las fechas que manejan son:

• EuroLinux 9.2 recibirá soporte hasta junio de 2032
• EuroLinux 8.7 recibirá soporte hasta junio de 2029
• EuroLinux 7.9 recibirá soporte hasta julio de 2024

Para más datos acerca de EuroLinux 9.2, pueden revisar las notas de lanzamiento en su sitio oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El fabricante alemán de automóviles y armas Rheinmetall AG confirma que sufrió un ataque de ransomware BlackBasta que afectó a su negocio civil.

Rheinmetall es un fabricante alemán de automóviles, vehículos militares, armamentos, sistemas de defensa aérea, motores y diversos productos de acero, que emplea a más de 25,000 personas y tiene un ingreso anual de más de $ 7 mil millones.

El sábado 20 de mayo de 2023, BlackBasta publicó Rheinmetall en su sitio de extorsión junto con muestras de los datos que los piratas informáticos afirmaron haber robado de la compañía alemana.

Los ejemplos de datos publicados incluyen acuerdos de confidencialidad, esquemas técnicos, escaneos de pasaportes y órdenes de compra.


En respuesta a una solicitud de comentarios sobre la autenticidad de los datos filtrados y las reclamaciones de violación de la red, un portavoz de Rheinmetall ha confirmado el ataque, aclarando que solo afecta a su departamento civil.

"Rheinmetall continúa trabajando para resolver un ataque de TI del grupo de ransomware Black Basta. Esto se detectó el 14 de abril de 2023. Afecta al negocio civil del Grupo.

Debido a la infraestructura de TI estrictamente separada dentro del Grupo, el negocio militar de Rheinmetall no se ve afectado por el ataque".

Además, la empresa declaró que había informado a las autoridades policiales pertinentes y había presentado una denuncia penal ante la fiscalía de Colonia.

Rheinmetall tiene un papel importante en la prestación de ayuda a Ucrania y recientemente mejoró sus lazos con un fabricante de tanques de propiedad estatal en Ucrania mediante el lanzamiento de un nuevo programa de cooperación estratégica.

Actividad reciente de BlackBasta

La pandilla de ransomware BlackBasta lanzó sus operaciones en abril de 2022 y ha tenido múltiples infracciones exitosas contra entidades de alto perfil recientemente.

El 07 de mayo de 2023, el grupo de amenazas anunció un ataque contra el proveedor líder de tecnología de electrificación y automatización ABB.

En abril de 2023, BlackBasta violó el editor de directorios canadiense Yellow Pages Group, robando documentos y datos confidenciales en el proceso.

El 22 de marzo de 2023, los actores de la amenaza se infiltraron en la red corporativa de Capita, un gigante británico de subcontratación contratado por múltiples departamentos del gobierno y el ejército del Reino Unido.

Más tarde, el 13 de mayo, Capita advirtió a sus clientes que debían asumir que BlackBasta comprometía sus datos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft está agregando soporte nativo para archivos RAR, 7-Zip y GZ a una próxima versión de Windows 11 que se espera esta semana.

Hoy, Microsoft anunció una ráfaga de noticias en la conferencia Build 2023, incluida la actualización de Windows 11 Moment 3 de mañana y el nuevo Windows Copilot impulsado por IA.

En una nueva publicación de blog, el Director de Producto de Microsoft, Panos Panay, describió estas nuevas características y cuándo estarían disponibles para el público en general.

Como fue descubierto por primera vez por TheVerge, oculto en una sección que discute una nueva característica para desarrolladores de Windows 11 llamada Dev Home, Panay mencionó que Windows 11 pronto tendría soporte nativo para archivos RAR, 7-Zip y gz.

"Hemos agregado soporte nativo para formatos de archivo adicionales, incluidos tar, 7-Zip, RAR, gz y muchos otros que utilizan el proyecto de código abierto libarchive", explica Panay en la publicación de blog de hoy.

"Ahora puede obtener un rendimiento mejorado de la funcionalidad de archivo durante la compresión en Windows".

En Windows, ZIP, 7-Zip y RAR son todos formatos de archivo populares, siendo ZIP el más utilizado entre ellos.

Microsoft integró el soporte de archivos ZIP en Windows en 1998. Sin embargo, para manipular archivos 7-Zip (.7z), RAR (.rar) o gz (.gz), necesitaría instalar aplicaciones de terceros.

Aunque 7-Zip es gratuito y de código abierto, y WinRar ofrece una prueba de 40 días que nunca termina, convirtiéndose en una especie de broma en el mundo de la tecnología, tener soporte nativo para estos formatos de archivo será muy útil para los usuarios de Windows.

El formato de archivo gz se usa más comúnmente en Linux a través de la utilidad GNU Zip (gzip), junto con los archivos TAR.

A medida que Windows y Linux se han integrado más estrechamente, es decir, Windows Subsystem for Linux, el soporte para formatos comunes de archivo de Linux como gzip y TAR también será muy útil.
Dado que Microsoft está utilizando el proyecto libarchive de código abierto para agregar estos formatos, es probable que veamos soporte nativo para otros formatos de archivo comunes como TAR y bzip2 en el futuro.

Microsoft le dijo a The Verge que el soporte para estos formatos de archivo se implementará para los usuarios de Windows 11 en los próximos días en una actualización de "trabajo en progreso".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que un actor de amenazas desconocido aprovecha un controlador malicioso del kernel de Windows en ataques que probablemente se dirijan a Oriente Medio desde al menos mayo de 2020.

Fortinet Fortiguard Labs, que apodó al artefacto WINTAPIX (WinTapix.sys), atribuyó el malware con poca confianza a un actor de amenazas iraní.

"WinTapix.sys es esencialmente un cargador", dijeron los investigadores de seguridad Geri Revay y Hossein Jazi en un informe publicado el lunes. "Por lo tanto, su propósito principal es producir y ejecutar la siguiente etapa del ataque. Esto se hace usando un shellcode".

Las muestras y los datos de telemetría analizados por Fortinet muestran que el enfoque principal de la campaña está en Arabia Saudita, Jordania, Qatar y los Emiratos Árabes Unidos. La actividad no se ha vinculado a un actor o grupo de amenazas conocido.

Mediante el uso de un controlador de modo kernel malicioso, la idea es subvertir o deshabilitar los mecanismos de seguridad y obtener acceso arraigado al host objetivo.

Dichos controladores se ejecutan dentro de la memoria del kernel y, por lo tanto, pueden realizar cualquier operación, incluida la alteración de mecanismos de seguridad críticos y la ejecución de código arbitrario con los privilegios más altos.

En otras palabras, ofrece una forma sigilosa de infiltrarse más profundamente en el sistema objetivo, mantener la persistencia y ejecutar cargas útiles o comandos adicionales como parte del ataque de múltiples etapas del actor de amenazas.


Una medida de seguridad clave para mitigar los controladores malintencionados es la aplicación de firmas de controladores, que garantiza que solo los controladores firmados por Microsoft se puedan cargar en el sistema. El gigante tecnológico también mantiene reglas de bloqueo de conductores para protegerse contra conductores vulnerables conocidos.

WinTapix.sys, por otro lado, viene con una firma no válida, lo que indica que el actor de amenazas tendrá que cargar primero un controlador legítimo pero vulnerable para iniciar WINTAPIX.

Pero una vez que se carga en el kernel, WinTapix.sys está configurado para inyectar un shellcode incrustado en un proceso de modo de usuario apropiado que, a su vez, ejecuta una carga útil .NET cifrada.

WINTAPIX, además de incrustar el shellcode creado utilizando el proyecto de código abierto Donut, establece la persistencia mediante modificaciones del Registro de Windows que permite cargarlo incluso cuando la máquina se inicia en Modo Seguro.

Por su parte, el malware .NET está equipado con funciones de puerta trasera y proxy para ejecutar comandos, llevar a cabo la descarga y carga de archivos, y funcionar como un proxy para pasar datos entre dos puntos finales de comunicación.

"Dado que se sabe que los actores de amenazas iraníes explotan los servidores de Exchange para implementar malware adicional, también es posible que este controlador se haya empleado junto con los ataques de Exchange", dijeron los investigadores.

"Hasta ese punto, el tiempo de compilación de los controladores también está alineado con los tiempos en que los actores de amenazas iraníes explotaban las vulnerabilidades del servidor Exchange".

El desarrollo se produce cuando se ha observado que el grupo de ransomware ALPHV (también conocido como BlackCat o Noberus) aprovecha un controlador firmado malicioso para perjudicar las defensas de seguridad y escapar de la detección durante largos períodos de tiempo.

El controlador en cuestión, ktgn.sys, es una versión actualizada de POORTRY que está firmada con un certificado de firma cruzada robado o filtrado, dijo la firma de ciberseguridad Trend Micro en un informe.

POORTRY es el nombre asignado a un controlador de kernel de Windows que viene con capacidades para terminar el software de seguridad. A fines del año pasado, se reveló que era utilizado por bandas de ransomware y un actor de amenazas conocido como UNC3944 (también conocido como Roasted 0ktapus y Scattered Spider).

"Los actores maliciosos que buscan activamente un acceso de alto privilegio al sistema operativo Windows utilizan técnicas que intentan combatir el aumento de la protección de los usuarios y los procesos a través de la plataforma de protección de puntos finales (EPP) y las tecnologías de detección y respuesta de puntos finales (EDR)", dijo Trend Micro.

"Estos actores maliciosos también tienden a poseer suficientes recursos financieros para comprar rootkits de fuentes subterráneas o comprar certificados de firma de código para construir un rootkit".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

China prohibió al fabricante estadounidense de chips Micron vender sus productos a compañías chinas que trabajan en proyectos clave de infraestructura, citando riesgos de seguridad nacional.

El desarrollo se produce casi dos meses después de que la autoridad de ciberseguridad del país iniciara una investigación a fines de marzo de 2023 para evaluar los posibles riesgos de seguridad de la red.

"El propósito de esta revisión de seguridad de red de los productos de Micron es evitar que los problemas de seguridad de la red de productos pongan en peligro la seguridad de la infraestructura nacional de información crítica, que es una medida necesaria para mantener la seguridad nacional", dijo la Administración del Ciberespacio de China (CAC).

El CAC dijo además que la investigación encontró "serios problemas de ciberseguridad" en los productos de Micron, poniendo en peligro la cadena de suministro de infraestructura de información crítica del país.

Como resultado, los operadores involucrados en tales proyectos de infraestructura de información crítica deberían dejar de comprar productos de Micron, agregó.

La autoridad no reveló las preocupaciones específicas de ciberseguridad planteadas por Micron, pero citó violaciones de las leyes y regulaciones locales.

En un comunicado compartido con el Wall Street Journal, Micron dijo que está "evaluando la conclusión y evaluando nuestros próximos pasos". Las restricciones "no tienen ninguna base de hecho", dijo el Departamento de Comercio de Estados Unidos a la BBC.

El desarrollo de ojo por ojo se produce en medio de crecientes tensiones geopolíticas entre China y Estados Unidos, y refleja movimientos similares realizados por el gobierno de Estados Unidos contra los fabricantes de equipos chinos por preocupaciones de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La adquisición de Twitter por parte de Elon Musk ha despertado el interés entre el público por las alternativas a la red social de microblogging. Aquí la que más sobresale con creces es Mastodon, pero en los últimos tiempos hay otra que intenta hacerse un hueco, Bluesky Social, que opera como una Sociedad de Beneficio e Interés Común y tiene a Jack Dorsey, ex CEO de Twitter, en su junta directiva.

Bluesky Social es una red social que pretende ser descentralizada. Todavía se encuentra en fase beta y hace poco dio un paso importante al publicar el software de su cliente como código abierto en GitHub bajo la permisiva licencia MIT. Esto, como es obvio, abre la puerta a que cualquiera pueda tomar dicho código fuente, modificarlo, mejorarlo y bifurcarlo para implementarlo en otras aplicaciones, las cuales pueden dar soporte a otras redes sociales como Mastodon.

El código fuente publicado, además de la base de la aplicación de Bluesky Social, también es un recurso para programadores del AT Protocol, que es un protocolo que soporta una red social descentralizada y que está impulsado por Bluesky. Sus características incluyen la posibilidad de conectarse con cualquier persona en un servidor que admita el protocolo AT, controlar cómo los usuarios ven el mundo a través de un mercado de algoritmos abiertos y permitir a los usuarios cambiar de host sin perder su contenido, seguidores e identidad. Como tecnología se ha empleado React Native y tiene el foco puesto en dispositivos Android e iOS.

A pesar de que el código fuente se puede bifurcar, en caso de hacerlo hay que tener en cuenta una serie de exigencias o restricciones, que son eliminar toda referencia a la marca de Bluesky del código fuente y la interfaz de usuario, cambiar todos los enlaces de soporte hacia los del o la responsable de la bifurcación en lugar de los contactos de Bluesky, además de reemplazar los sistemas de analíticas y recolección de errores de Bluesky por los mecanismos del o la responsable de la bifurcación. Esto recuerda a las exigencias de Red Hat de eliminar todo rastro de su marca en las bifurcaciones de RHEL.

Como vemos, Bluesky Social tiene un enfoque aparentemente más similar al de Mastodon que al de Twitter, pero veremos cómo funciona a la hora de la verdad, cuando sea publicada oficialmente como un servicio en fase estable. Mastodon ya ha demostrado más que de sobra su descentralización y su enfoque abierto con la existencia de diversos clientes procedentes de distintos proyectos.

Llegados a este punto, no podemos olvidarnos que Elon Musk anunció la publicación del algoritmo de Twitter como código abierto, pero esto contrasta con el hecho de que la API de la red social se haya vuelto de pago, lo que obliga a todos los desarrolladores de aplicaciones de terceros a pasar por caja para soportar la que es todavía la mayor red social de microblogging del planeta (si bien ya ha perdido parte de ese espíritu desde Musk está al frente).

En resumidas cuentas, veremos hasta dónde llega Bluesky Social. Su propuesta es, al menos en apariencia, atractiva y ajustada a aquello que pregonan muchos defensores del código abierto y sobre todo el software libre, pero el mercado de consumo de masas raras veces resulta meritocrático y Twitter no ha dejado tanto espacio como algunos creen.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que un actor de amenazas motivado financieramente de origen indonesio aprovecha las instancias Elastic Compute Cloud (EC2) de Amazon Web Services (AWS) para llevar a cabo operaciones ilícitas de criptominería.

Permiso P0 Labs de la compañía de seguridad en la nube, que detectó por primera vez al grupo en noviembre de 2021, le ha asignado el apodo GUI-vil (pronunciado Goo-ee-vil).

"El grupo muestra una preferencia por las herramientas de interfaz gráfica de usuario (GUI), específicamente S3 Browser (versión 9.5.5) para sus operaciones iniciales", dijo la compañía en un informe compartido con The Hacker News. "Al obtener acceso a la consola de AWS, realizan sus operaciones directamente a través del navegador web".

Las cadenas de ataque montadas por GUI-vil implican obtener acceso inicial mediante la militarización de claves de AWS en repositorios de código fuente expuestos públicamente en GitHub o el escaneo de instancias de GitLab que son vulnerables a fallas de ejecución remota de código (por ejemplo, CVE-2021-22205).

Una entrada exitosa es seguida por una escalada de privilegios y un reconocimiento interno para revisar todos los buckets de S3 disponibles y determinar los servicios a los que se puede acceder a través de la consola web de AWS.


Un aspecto notable del modus operandi del actor de amenazas es su intento de mezclarse y persistir dentro del entorno de la víctima mediante la creación de nuevos usuarios que se ajusten a la misma convención de nomenclatura y, en última instancia, cumplan sus objetivos.

"GUI-vil también creará claves de acceso para las nuevas identidades que están creando para que puedan continuar el uso de S3 Browser con estos nuevos usuarios", explicó la compañía.

Alternativamente, el grupo también ha sido visto creando perfiles de inicio de sesión para usuarios existentes que no los tienen para permitir el acceso a la consola de AWS sin levantar banderas rojas.

Los vínculos de GUI-vil con Indonesia se derivan del hecho de que las direcciones IP de origen asociadas con las actividades están vinculadas a dos números de sistema autónomo (ASN) ubicados en el país del sudeste asiático.

"La misión principal del grupo, impulsada financieramente, es crear instancias EC2 para facilitar sus actividades de criptominería", dijeron los investigadores. "En muchos casos, las ganancias que obtienen de la criptominería son solo una pequeña parte del gasto que las organizaciones víctimas tienen que pagar por ejecutar las instancias EC2".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Comisión de Protección de Datos de Irlanda (DPC) ha anunciado una multa de $ 1.3 mil millones en Facebook después de afirmar que la compañía violó el Artículo 46 (1) del GDPR (Reglamento General de Protección de Datos).

Más específicamente, se descubrió que Facebook transfirió datos de usuarios de la plataforma con sede en la UE a los Estados Unidos, donde las regulaciones de protección de datos varían según el estado y se han considerado inadecuadas para proteger los derechos de los interesados de la UE.

El artículo 46 (1) del GDPR prohíbe las transferencias de datos personales a países u organizaciones internacionales que carezcan de salvaguardias que garanticen mecanismos de seguridad y reparación legal.

Como resultado de la infracción, el DPC impuso una multa récord de € 1.2 mil millones ($ 1.3 mil millones) a la empresa matriz de Facebook, Meta Ireland, y solicitó que todas las transferencias de datos que violen el GDPR se suspendan dentro de los cinco meses posteriores a la decisión.

Además, Meta deberá dejar de procesar o retener cualquier dato transferido ilegalmente de la UE a los Estados Unidos dentro de los seis meses posteriores al anuncio de DPA.

La línea de tiempo

Facebook había estado transfiriendo datos entre países europeos y EE. UU. bajo el Escudo de privacidad UE-EE. UU. de 2016 del GDPR, que permitió el almacenamiento de datos de la UE con empresas estadounidenses en la lista del Escudo de privacidad.

Los cambios en las transferencias internacionales de datos bajo GDPR se cambiaron en el caso "Schrems II" de julio de 2020, donde el TJUE juzgó que cualquier transferencia de datos personales en la Decisión del Escudo de Privacidad es ilegal y se deben introducir regulaciones de control de datos más estrictas.

En agosto de 2020, el DPC irlandés inició una investigación sobre las actividades de transferencia de datos de Meta. En julio de 2022, publicó un borrador de decisión destacando que el gigante tecnológico estaba violando el Artículo 46 (1) del GDPR.

El 13 de abril de 2023, el Comité Europeo de Protección de Datos (CEPD) adoptó una decisión vinculante, instruyendo a la DPA a imponer una multa a Meta y ordenarle que cumpla con GDPR.

Hoy, el DPC irlandés impone la multa administrativa de $ 1.3 mil millones que refleja la decisión del CEPD, castigando a Meta con una sanción determinada en las directrices del CEPD (20% a 100% del máximo aplicable), dada la gravedad de la infracción.

La respuesta de Meta

Meta ha respondido a la decisión a través de una publicación de blog, diciendo que las transferencias de datos transfronterizas sin problemas son de crucial importancia para la continuidad del negocio, y encuentra que la multa administrativa y las órdenes de restricción tendrán un impacto severo en sus servicios en Europa.

La compañía dice que todas las transferencias transatlánticas de datos están controladas por Cláusulas Contractuales Estándar (SCC) utilizadas por todas las organizaciones, que el TJUE aceptó previamente como una alternativa válida para determinar las "garantías legales".

"Al igual que miles de otras empresas, Meta utilizó SCC creyendo que cumplían con el Reglamento General de Protección de Datos (GDPR)", comenta el gigante tecnológico.

La compañía considera que la multa es injusta, innecesaria y desproporcionada, y planea apelar el fallo e impugnar la gravedad de la multa y las órdenes subyacentes.

"No se trata de las prácticas de privacidad de una empresa: existe un conflicto de leyes fundamental entre las normas del gobierno de los Estados Unidos sobre el acceso a los datos y los derechos de privacidad europeos, que se espera que los responsables políticos resuelvan en el verano", explicó Meta.

Meta critica la decisión de CEPD de ignorar el reconocimiento de DPC de que la compañía había actuado previamente de buena fe y también destaca el mal momento de estos procedimientos, considerando que el próximo Marco de Privacidad de Datos (DPF) pronto se implementará, resolviendo los conflictos legales actuales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha lanzado el Mobile Vulnerability Rewards Program (Mobile VRP), un nuevo programa de recompensas por errores que pagará a los investigadores de seguridad por las fallas encontradas en las aplicaciones Android de la compañía.

"¡Estamos muy contentos de anunciar el nuevo VRP móvil! Estamos buscando cazadores de errores que nos ayuden a encontrar y corregir vulnerabilidades en nuestras aplicaciones móviles", tuiteó Google VRP.

Como dijo la compañía, el objetivo principal detrás del VRP móvil es acelerar el proceso de encontrar y corregir debilidades en las aplicaciones de Android de primera parte, desarrolladas o mantenidas por Google.

Las aplicaciones en el alcance del VRP móvil incluyen las desarrolladas por Google LLC, Developed with Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC y Waze.

La lista de aplicaciones dentro del ámbito también contiene lo que Google describe como aplicaciones Android de "nivel 1", que incluye las siguientes aplicaciones (y sus nombres de paquete):

• Servicios de Google Play (com.google.android.gms)
• AGSA( com.google.android.googlequicksearchbox)
• Google Chrome (com.android.chrome)
• Google Cloud (com.google.android.apps.cloudconsole)
• Gmail (com.google.android.gm)
• Escritorio remoto de Chrome (com.google.chromeremotedesktop)

Las vulnerabilidades calificadas incluyen aquellas que permiten la ejecución de código arbitrario (ACE) y el robo de datos confidenciales, y debilidades que podrían encadenarse con otras fallas para provocar un impacto similar.

Estos incluyen permisos huérfanos, fallas de recorrido de ruta o recorrido de ruta zip que conducen a la escritura arbitraria de archivos, redirecciones de intención que se pueden explotar para iniciar componentes de aplicaciones no exportados y errores de seguridad causados por el uso inseguro de intenciones pendientes.

Google dice que recompensará un máximo de $ 30,000 por la ejecución remota de código sin interacción del usuario y hasta $ 7,500 por errores que permitan el robo de datos confidenciales de forma remota.


"El VRP móvil reconoce las contribuciones y el arduo trabajo de los investigadores que ayudan a Google a mejorar la postura de seguridad de nuestras aplicaciones Android de primera parte", dijo Google.

"El objetivo del programa es mitigar las vulnerabilidades en las aplicaciones de Android de primera parte y, por lo tanto, mantener seguros a los usuarios y sus datos".

En agosto de 2022, la compañía anunció que pagaría a los investigadores de seguridad para encontrar errores en las últimas versiones publicadas del software de código abierto de Google (Google OSS), incluidos sus proyectos más sensibles como Bazel, Angular, Golang, Protocol buffers y Fuchsia.

Desde el lanzamiento de su primer VRP hace más de una década, en 2010, Google ha recompensado más de 50 millones de dólares a miles de investigadores de seguridad en todo el mundo por informar sobre más de 15.000 vulnerabilidades.

En 2022 otorgó $ 12 millones, incluido un pago récord de $ 605,000 por una cadena de explotación de Android de cinco errores de seguridad separados reportados por gzobqq, el más alto en la historia de Android VRP.

Un año antes, el mismo investigador presentó otra cadena de exploits críticos en Android, ganando otros $ 157,000, el récord anterior de recompensas de errores en la historia de Android VRP en ese momento.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login