La plataforma de recompensas por errores HackerOne deshabilitó el programa de recompensas por errores de Kaspersky el viernes luego de las sanciones impuestas a Rusia y Bielorrusia después de la invasión de Ucrania.

"Seguiremos trabajando con las entidades apropiadas sobre las sanciones", explicó HackerOne en una  pregunta frecuente sobre sanciones  publicada la semana pasada.

"Con ese fin, hemos suspendido programas para clientes con sede en los países de Rusia, Bielorrusia y las áreas sancionadas de Ucrania".

La firma rusa de ciberseguridad dijo que las sanciones no justificarían la suspensión del programa ya que ninguna de ellas fue impuesta a Kaspersky.

La plataforma de recompensas por errores también bloqueó el acceso de Kaspersky al programa y congeló los fondos existentes para las vulnerabilidades de seguridad ya informadas en los productos del proveedor antivirus ruso.

Kaspersky también agregó que su programa de recompensas por errores se deshabilitó indefinidamente luego de una "acción unilateral de HackerOne".

"Kaspersky considera que esta acción unilateral es un comportamiento inaceptable, especialmente para el jugador clave en la comunidad de coordinación de vulnerabilidades, donde la confianza entre todas las partes es primordial para hacer que los productos y servicios sean más seguros", dijo la compañía de  ciberseguridad .

"Nuestras conversaciones con Kaspersky continúan y continuaremos trabajando con su equipo para abordar sus inquietudes", dijo un portavoz de HackerOne a BleepingComputer.

Kaspersky ahora les pide a los investigadores que encuentren vulnerabilidades en sus productos que las informen utilizando su programa de recompensas por errores autohospedado .


La decisión de HackerOne de eliminar el programa de recompensas por errores de Kaspersky de su plataforma sigue a otro golpe que recibió la compañía rusa desde el comienzo de la guerra rusa en Ucrania.

La Oficina Federal Alemana para la Seguridad de la Información, BSI, advirtió a las empresas la semana pasada que no utilicen los productos antimalware de Kaspersky debido a las amenazas de Rusia contra la UE, la OTAN y Alemania.

El BSI sugirió que Kaspersky podría verse obligado a ayudar a la inteligencia rusa a lanzar ataques contra sus clientes o hacer que sus productos se utilicen indebidamente para el ciberespionaje.

Esta advertencia se produjo después de que el fundador y director ejecutivo de Kaspersky, Eugene Kaspersky, dijera que sería bienvenido un "compromiso" con las hostilidades rusas en Ucrania,  lo que provocó indignación en Twitter .

La semana pasada, HackerOne se disculpó con los piratas informáticos ucranianos después de congelar erróneamente sus cuentas y bloquear sus pagos de recompensas por errores luego de las sanciones impuestas después del comienzo de la guerra rusa.

Actualización: declaración de HackerOne agregada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha lanzado Chrome 99.0.4844.84 para usuarios de Windows, Mac y Linux para abordar un error de día cero de alta gravedad explotado en la naturaleza.

"Google es consciente de que existe un exploit para CVE-2022-1096", dijo el proveedor del navegador en un  aviso de seguridad  publicado el viernes.

La versión 99.0.4844.84 ya se está implementando en todo el mundo en el canal Stable Desktop, y Google dice que podría ser cuestión de semanas hasta que llegue a toda la base de usuarios.

Esta actualización estuvo disponible de inmediato cuando BleepingComputer buscó nuevas actualizaciones en el menú de Chrome > Ayuda > Acerca de Google Chrome.

El navegador web también buscará automáticamente nuevas actualizaciones y las instalará automáticamente después del próximo lanzamiento.


Detalles de explotación no revelados

El error de día cero solucionado hoy (seguido como  CVE-2022-1096 ) es una debilidad de confusión de tipo de alta gravedad   en el motor de JavaScript Chrome V8 informada por un investigador de seguridad anónimo.

Si bien las fallas de confusión de tipos generalmente provocan fallas en el navegador luego de una explotación exitosa al leer o escribir memoria fuera de los límites del búfer, los atacantes también pueden explotarlas para ejecutar código arbitrario.

Aunque Google dijo que detectó ataques que explotaban este día cero en la naturaleza, la empresa no compartió detalles técnicos ni información adicional sobre estos incidentes.

"El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución", dijo Google.

"También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado".

Los usuarios de Google Chrome deberían tener tiempo suficiente para actualizar Chrome y evitar intentos de explotación hasta que el proveedor del navegador publique más información.

Segundo Chrome día cero parcheado este año

Con esta actualización, Google abordó el segundo día cero de Chrome desde principios de 2022, el otro (registrado como CVE-2022-0609) parcheado el mes pasado.

El Grupo de Análisis de Amenazas de Google (TAG) reveló que los piratas informáticos estatales respaldados por Corea del Norte  explotaron el CVE-2022-0609 de día cero semanas antes del parche de febrero . El primer signo de explotación activa se encontró el 4 de enero de 2022.

El día cero fue explotado por dos grupos de amenazas separados respaldados por el gobierno de Corea del Norte en campañas que impulsan malware a través de correos electrónicos de phishing utilizando señuelos de trabajos falsos y sitios web comprometidos que alojan iframes ocultos para servir un kit de explotación.

"Los correos electrónicos contenían enlaces que falsificaban sitios web legítimos de búsqueda de empleo como Indeed y ZipRecruiter", explicaron los investigadores.

"En otros casos, observamos sitios web falsos, ya configurados para distribuir aplicaciones de criptomonedas troyanizadas, que alojan iframes y dirigen a sus visitantes al kit de explotación".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Ley de Mercados Digitales (DMA) está llamada a cambiar el sector tecnológico. Una directiva tan ambiciosa por parte de la Unión Europea que sus implicaciones amenazan directamente a los cimientos de empresas como Google, Amazon, Meta, Microsoft y los llamados "guardianes" tecnológicos. Esos gigantes, la mayoría estadounidenses, que controlan a través de sus servicios cómo los usuarios accedemos a internet y las distintas aplicaciones.

Ha sido más de un año de negociaciones pero finalmente ya conocemos las líneas maestras de cómo quiere la Unión Europea regular el sector tecnológico. Aquí os explicamos en qué consiste esta nueva directiva, cuáles son sus puntos principales y cuándo se pretende que empiece a entrar en funcionamiento.

Quiénes son los "guardianes". El concepto de 'gatekeeper' o 'guardián' es primordial para entender el funcionamiento de la DMA. Principalmente porque estar incluido en esta categoría implicará una serie de requisitos y obligaciones adicionales. Entre los incluidos están las grandes empresas tecnológicas que todos conocemos: Google, Amazon, Meta, Apple y Microsoft. Pero se deja la puerta abierta a que estén incluidas otras.

El punto ha sido establecido en 7.500 millones de volumen anual o una capitalización de al menos 75.000 millones de euros. Además, también deberán tener al menos 45 millones de usuarios mensuales en Europa o 10.000 usuarios comerciales al año. Todas las empresas nombradas cumplen de sobra estos requisitos, pero en el futuro compañías europeas tecnológicas como Booking, Zalando, SAP o Spotify también podrían encajar. También gigantes asiáticos como Alibaba o Byte Dance podrían acabar superando estos números y ser catalogados como guardianes.

Obligaciones para compañías de servicios, no de dispositivos. Si nos fijamos, no se incluyen empresas como Samsung o Sony, debido a que la DMA gira entorno a los usuarios y los servicios, no sobre el hardware. De hecho, hay un listado de tipos de servicios digitales incluidos: intermediación, publicidad online, motores de búsqueda, redes sociales, plataformas para compartir videos, servicios de mensajería, sistemas operativos, navegadores web y asistentes virtuales.

La interoperabilidad llega por ley. Es quizás la propuesta más fácil de apreciar por el usuario final. La Unión Europea obligará que estos gigantes tecnológicos faciliten la interoperabilidad de sus aplicaciones. Es decir, por ejemplo iMessage deberá funcionar en Android y enviar un mensaje desde Signal a WhatsApp deberá ser posible. Habrá que ver cómo se realiza, ya que esto es un cambio de paradigma radical, pero la intención es que los "guardianes" apuesten por protocolos abiertos y dejen de excluirse mutuamente. Lo que ahora tenemos con el estándar Matter para IoT, pero aplicado a las apps de mensajería. Todo un desafío técnico a nivel de cifrado, como ya hemos visto con Facebook y Messenger, que habrá que ver cómo se acaba implementando.

Los usuarios podremos enviar mensajes, imágenes, vídeos y hacer llamadas entre las aplicaciones de distintas empresas. También se incluyen los chats grupales, aunque en este caso se tendrán hasta tres años para poder garantizar el cifrado, aseguran desde Euractiv.

Eliminar aplicaciones preinstaladas y prohibido incluir servicios por defecto. De alguna manera, podemos entender la DMA como aquella ley donde se implementarán algunas de las posiciones que desde la Comisión Europea han venido defendiendo en varios casos de Competencia. Un ejemplo es el de las aplicaciones preinstaladas que no se pueden eliminar, los servicios que nos obligan a aceptar si queremos usar cierta aplicación o la inclusión por defecto de determinados navegadores.

Pongamos el caso de la conocida como 'Choice Screen' de Android. A partir de que la DMA entre en acción, todas las grandes empresas estarán advertidas de que tienen esta obligación. Si bien, la obligación aplicará solo a los buscadores y navegadores, ya que crear una pantalla de elección para todas las herramientas sería muy engorroso.

El objetivo de fondo es evitar ir caso por caso. La DMA establece que no se podrán mezclar datos como los de Instagram y Facebook y tampoco prohibir descargar datos personales para llevarlos a otro ecosistema. En esta dirección, las grandes compañías ya se han anticipado con iniciativas como Data Transfer Project. Sin embargo no está ahí Amazon. Con la llegada de la DMA, Amazon tendrá la obligación de incorporarse a esta iniciativa o alguna similar.

También afecta a las tiendas de aplicaciones y los sistemas de pagos. Otro ejemplo de lo que actualmente son juicios individuales y que acabarán convertidos en ley. Hablamos por ejemplo de la lucha de Epic Games con Apple y la posibilidad de utilizar sistemas de pago propios. También la presencia de tiendas de apps alternativas en sistemas operativos como iOS o Android. La DMA obligará a esta interoperabilidad, aunque bajo un concepto que abre la puerta a muchas interpretaciones.

FRAND. Son las siglas de 'fair, reasonable, and non-discriminatory terms'. Esta frase es la que aparecerá en ciertos apartados como las obligaciones de las empresas de cara a los desarrolladores. Es decir, la interoperabilidad o la compatibilidad de servicios con la competencia no será siempre, ya que técnicamente es impensable, sino bajo unos términos razonables. Previsiblemente en esta definición de "razonable" es donde muchas grandes compañías se amparen para justificar que todavía no han añadido compatibilidad con la competencia.

Las redes sociales y los medios de comunicación quedan para otra ocasión. Mientras las aplicaciones de mensajería y las tiendas de apps están incluidas en estas obligaciones, desde el Parlamento Europeo han decidido dejar fuera las redes sociales, por un tema de complejidad respecto a la moderación del contenido. Tampoco se incluyen los medios de comunicación y su relación con servicios como Google News. El debate sobre el copyright será abordado fuera de la DMA.

Algunos aspectos se han dejado para su hermana, la Ley de Servicios Digitales (DSA). Por ejemplo el hecho de la gestión de datos de forma conjunta y su utilización en la publicidad. El texto final de las dos leyes todavía esté pendiente y previsiblemente dará lugar a muchos debates.

Las Big Tech tienen poco más de 6 meses para empezar a aplicar los cambios. El acuerdo tiene que se ratificado por el Consejo de la Unión Europea y por el pleno del Parlamento Europeo, algo que una vez llegado a un acuerdo se prevé que ocurra próximamente. Una vez se vote, al cabo de 20 días entrará en vigor. Las empresas tendrán un margen de 6 meses para llevar a cabo los cambios que exige la ley. Una vez pase este tiempo, quienes no cumplan con la DMA se enfrentarán a multas millonarias, que podrán ser del 10% de su volumen total mundial o de hasta el 20% en caso de infracción repetida. Esto es, multas equivalentes a los distintos casos de Competencia que han ido sirviendo como ejemplo durante años anteriores.

Siguiendo los tiempos, a partir de principios del 2023 podríamos empezar a ver las primeras multas a las compañías que no se hayan adaptado a la normativa. "Lo que hemos aprendido en estos años es que podemos corregir casos puntuales, pero cuando las cosas se vuelven sistemáticas, necesitamos regulación", explica Margrethe Vestager, comisaria europea de Competencia. Tras una década de juicios y multas millonarias a empresas como Google, Amazon o Facebook, ahora la Unión Europea ya tiene una ley donde remarca a las tecnológicas todas las obligaciones que deberán cumplir.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores han descubierto una variante de malware macOS previamente desconocida llamada GIMMICK, que se cree que es una herramienta personalizada utilizada por un actor de amenazas de espionaje chino conocido como 'Storm Cloud'.

El malware fue descubierto por investigadores de Volexity, quienes lo recuperaron de la RAM de una MacBook Pro con macOS 11.6 (Big Sur), que se vio comprometida en una campaña de ciberespionaje a fines de 2021.

La exposición de malware personalizado utilizado por actores de amenazas sofisticados no es común. Esos grupos operan con mucho cuidado, dejan un rastro mínimo y eliminan los restos del malware para mantener sus herramientas en secreto y evadir la detección basada en IoC.

Sin embargo, a veces, incluso los ciberdelincuentes más avanzados se equivocan y dejan malware que luego puede ser analizado por los investigadores de seguridad, como es el caso de GIMMICK.

Diseccionando el malware GIMMICK

GIMMICK es un malware multiplataforma escrito en Objective C (macOS) o .NET y Delphi (Windows).

Todas las variantes usan la misma arquitectura C2, rutas de archivo, patrones de comportamiento y abusan mucho de los servicios de Google Drive, por lo que se rastrea como una herramienta a pesar de las diferencias de código.

GIMMICK es lanzado directamente por el usuario o como un demonio en el sistema y se instala como un archivo binario llamado 'PLIST', que generalmente imita una aplicación muy utilizada en la máquina de destino.

A continuación, el malware se inicializa realizando varios pasos de decodificación de datos y, finalmente, establece una sesión en Google Drive, utilizando credenciales OAuth2 codificadas.


Después de la inicialización, GIMMICK carga tres componentes de malware, a saber, DriveManager, FileManager y GCDTimerManager, siendo el primero responsable de las siguientes acciones:

- Administre las sesiones de Google Drive y proxy.
- Mantenga un mapa local de la jerarquía de directorios de Google Drive en la memoria.
- Administre bloqueos para sincronizar tareas en la sesión de Google Drive.
- Manejar tareas de carga y descarga hacia y desde la sesión de Google Drive.

El UUID de hardware de cada sistema infectado se utiliza como identificador del directorio de Google Drive que le corresponde.

FileManager administra el directorio local donde se almacenan la información de C2 y las tareas de comando, y GCDTimerManager se encarga de la administración de los diversos objetos GCD.


Los comandos admitidos por GIMMICK, que llegan al sistema en formato cifrado con AES, son los siguientes:

- Transmitir información del sistema base
- Subir archivo a C2
- Descargar archivo al cliente
- Ejecute un comando de shell y escriba la salida en C2
- Establecer el intervalo del temporizador de Google Drive del cliente
- Establecer el intervalo del temporizador del cliente para el mensaje de latido de información del cliente
- Sobrescribir la información del período de trabajo del cliente

"Debido a la naturaleza asincrónica de la operación de malware, la ejecución de comandos requiere un enfoque por etapas. Aunque los pasos individuales ocurren de forma asíncrona, cada comando sigue lo mismo". explica Volexity en su informe técnico

Es este diseño asíncrono lo que hace que GIMMICK sea tan robusto y al mismo tiempo complejo, por lo que trasladarlo a una nueva plataforma, macOS en este caso, es una hazaña que destaca las habilidades y los recursos de Storm Cloud.

Volexity señala que no se debe descartar la posibilidad de que Storm Cloud compre el malware de un desarrollador externo y lo use exclusivamente.

Protégete contra el truco

Apple también implementó nuevas protecciones para todas las versiones compatibles de macOS con nuevas firmas para XProtect y MRT, que deberían poder bloquear y eliminar el malware desde el 17 de marzo de 2022. Para asegurarse de haber recibido estas firmas, siga  las instrucciones de la página de soporte de Apple .

Para evitar que GIMMICK y malware similar establezcan un punto de apoyo en su macOS, comience aplicando las actualizaciones del sistema disponibles para su dispositivo, que también obtendrán las últimas firmas de detección.

A continuación, asegúrese de que XProtect y MRT estén habilitados y ejecutándose activamente en el sistema.

Las medidas avanzadas incluyen el uso de herramientas de monitoreo de tráfico de red y soluciones EDR para detectar el lanzamiento de demonios en los puntos finales.

Volexity también ha publicado una lista de indicadores de compromiso (IoC) de  GIMMICK y reglas YARA , que pueden ayudar a los defensores a detectar y detener el malware.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft solucionó un problema conocido de Bluetooth que causaba que algunos sistemas Windows 10 fallaran con una pantalla azul de la muerte (BSOD) después de instalar la actualización acumulativa KB5009596 de enero.

Microsoft solucionó el problema con el lanzamiento de la  actualización acumulativa opcional KB5011543 Preview .

Lo más probable es que solo afecte a los usuarios empresariales porque las políticas de CSP no son comunes fuera de los entornos empresariales.

La lista de versiones de Windows afectadas incluye solo plataformas cliente: Windows 10 21H2, Windows 10 21H1 y Windows 10 20H2.

"Después de instalar KB5009596 o actualizaciones posteriores, algunas organizaciones que tienen dispositivos Windows emparejados con dispositivos Bluetooth pueden recibir un mensaje de error 'Tu dispositivo tuvo un problema y necesita reiniciarse'. con una pantalla azul y 'Código de detención: IRQ NI MENOS NI IGUAL'", explica Microsoft.

"El error registrado en los dispositivos afectados estará en el registro del sistema en el Visor de eventos y se registrará como 'Microsoft-Windows-WER-SystemErrorRe event 1001' con el texto 'La computadora se reinició desde una verificación de errores. La verificación de errores fue: 0x0000000a'. "

Los BSOD pueden activarse en sistemas donde el perfil de Bluetooth A2dp se ve afectado por políticas específicas del  proveedor de servicios de configuración  (CSP) habilitadas en el dispositivo.

Las pantallas azules pueden ocurrir durante uno de dos escenarios posibles, según Microsoft:

- Durante el reinicio al final del proceso de instalación de la actualización, si el dispositivo cliente de Windows se emparejó previamente con teléfonos móviles u otros dispositivos de audio a través de Bluetooth.
- Una vez que se instalan las actualizaciones, en este momento los usuarios emparejan su dispositivo cliente de Windows actualizado con un nuevo teléfono móvil o dispositivo de audio a través de Bluetooth.

Solución alternativa también disponible

Los administradores de TI que no pueden implementar de inmediato la actualización acumulativa KB5011543 lanzada el martes pueden mitigar el problema utilizando Intune u otras herramientas que permiten modificar el registro de Windows antes de instalar la actualización con errores KB5009596.

Los pasos necesarios para instalar la actualización y garantizar que los BSOD de Bluetooth no se activen requieren uno para:

1. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Bluetooth\
2. Agregue la siguiente entrada de registro: {0000110a-0000-1000-8000-00805f9b34fb} y {0000110b-0000-1000-8000-00805f9b34fb} al valor ServicesAllowedList

"Asegúrese de hacer una copia de seguridad del registro antes de modificarlo. Asegúrese de saber cómo restaurar el registro si ocurre un problema", agregó Microsoft.

"Para obtener más información sobre cómo realizar una copia de seguridad, restaurar y modificar el registro, consulte  Cómo realizar una copia de seguridad y restaurar el registro en Windows ".

Puede encontrar más información sobre este problema conocido y cómo mitigarlo en el panel de control de estado de Windows .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los enrutadores vulnerables de MikroTik se han utilizado indebidamente para formar lo que los investigadores de seguridad cibernética han llamado una de las operaciones de ciberdelincuencia de botnet como servicio más grandes vistas en los últimos años.

Según una nueva investigación publicada por Avast, una campaña de minería de criptomonedas que aprovechó la red de bots Glupteba recientemente interrumpida , así como el infame malware TrickBot, se distribuyó utilizando el mismo servidor de comando y control (C2).

"El servidor C2 sirve como una botnet como servicio que controla casi 230,000 enrutadores MikroTik vulnerables", dijo el investigador principal de malware de Avast, Martin Hron, en un artículo, vinculándolo potencialmente a lo que ahora se llama la botnet Mēris.

Se sabe que la botnet explota una vulnerabilidad conocida en el componente Winbox de los enrutadores MikroTik ( CVE-2018-14847 ), lo que permite a los atacantes obtener acceso administrativo remoto no autenticado a cualquier dispositivo afectado. Partes de la botnet Mēris se hundieron a fines de septiembre de 2021 .

"La vulnerabilidad CVE-2018-14847 , que se publicó en 2018, y para la cual MikroTik emitió una solución, permitió a los ciberdelincuentes detrás de esta botnet esclavizar a todos estos enrutadores y presumiblemente alquilarlos como un servicio", dijo Hron. .

En la cadena de ataque observada por Avast en julio de 2021, los enrutadores MikroTik vulnerables fueron atacados para recuperar la carga útil de la primera etapa de un dominio llamado bestony[.]club, que luego se usó para obtener scripts adicionales de un segundo dominio "globalmoby[.]xyz ."

Bastante interesante, ambos dominios estaban vinculados a la misma dirección IP: 116.202.93[.]14, lo que llevó al descubrimiento de siete dominios más que se usaron activamente en ataques, uno de los cuales (tik.anyget[.]ru) era se utiliza para servir muestras de malware Glupteba a hosts específicos.

"Cuando solicité la URL https://tik.anyget[.]ru, fui redirigido al dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (que nuevamente está oculto por el proxy de Cloudflare)", dijo Hron. "Este es un panel de control para la orquestación de enrutadores MikroTik esclavizados", y la página muestra un contador en vivo de los dispositivos conectados a la botnet.

Pero después de que los detalles de la botnet Mēris entraran en el dominio público a principios de septiembre de 2021, se dice que el servidor C2 dejó de servir scripts abruptamente antes de desaparecer por completo.

La divulgación también coincide con un nuevo informe de Microsoft, que reveló cómo el malware TrickBot ha armado los enrutadores MikroTik como servidores proxy para las comunicaciones de comando y control con los servidores remotos, lo que plantea la posibilidad de que los operadores hayan usado la misma red de bots. un servicio.

A la luz de estos ataques, se recomienda que los usuarios actualicen sus enrutadores con los parches de seguridad más recientes, establezcan una contraseña segura para el enrutador y desactiven la interfaz de administración del enrutador desde el lado público.

"También muestra, lo que es bastante obvio desde hace algún tiempo, que los dispositivos IoT están siendo fuertemente atacados no solo para ejecutar malware en ellos, que es difícil de escribir y propagar masivamente considerando todas las diferentes arquitecturas y versiones del sistema operativo, sino simplemente para usar sus capacidades legales e integradas para configurarlos como apoderados", dijo Hron. "Esto se hace para anonimizar los rastros del atacante o para servir como una herramienta de amplificación de DDoS".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft confirmó el martes que el equipo de hacking centrado en la extorsión de LAPSUS$ había obtenido "acceso limitado" a sus sistemas, ya que el proveedor de servicios de autenticación Okta reveló que casi el 2,5% de sus clientes se vieron potencialmente afectados a raíz de la filtración.

"Ningún código o datos del cliente estuvieron involucrados en las actividades observadas", dijo el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), y agregó que la violación se facilitó por medio de una sola cuenta comprometida que desde entonces se ha remediado para evitar más actividades maliciosas.

El fabricante de Windows, que ya estaba rastreando al grupo bajo el nombre DEV-0537 antes de la divulgación pública, dijo que "no confía en el secreto del código como medida de seguridad y que ver el código fuente no conduce a una elevación del riesgo".

"Esta divulgación pública intensificó nuestra acción, lo que permitió que nuestro equipo interviniera e interrumpiera al actor en medio de la operación, lo que limitó un impacto más amplio", señalaron los equipos de seguridad de la compañía.

La empresa de administración de acceso e identidad Okta, que también reconoció la violación a través de la cuenta de un ingeniero de atención al cliente que trabaja para un proveedor externo, dijo que los atacantes tuvieron acceso a la computadora portátil del ingeniero durante un período de cinco días entre el 16 y el 21 de enero. pero que el servicio en sí no se vio comprometido.

La firma de software en la nube con sede en San Francisco también dijo que identificó a los clientes afectados y que los está contactando directamente, y enfatizó que "el servicio de Okta está completamente operativo y no hay acciones correctivas que nuestros clientes deban tomar".

"En el caso del compromiso de Okta, no sería suficiente simplemente cambiar la contraseña de un usuario", dijo la empresa de infraestructura web Cloudflare en un análisis post mortem del incidente. "El atacante también necesitaría cambiar el token de hardware (FIDO) configurado para el mismo usuario. Como resultado, sería fácil detectar las cuentas comprometidas en función de las claves de hardware asociadas".

Dicho esto, de particular preocupación es el hecho de que Okta no reveló públicamente la violación durante dos meses, lo que llevó al grupo ciberdelincuente a preguntarse "¿Por qué esperar tanto?". en su declaración contraria.

LAPSUS$ también ha afirmado en su refutación que Okta estaba almacenando claves de Amazon Web Services (AWS) dentro de Slack y que los ingenieros de soporte parecen tener "acceso excesivo" a la plataforma de comunicaciones. "El impacto potencial para los clientes de Okta NO es limitado, estoy bastante seguro de que restablecer las contraseñas y MFA resultaría en un compromiso completo de los sistemas de muchos clientes", explicó la pandilla.

Microsoft expone las tácticas de LAPSUS$

LAPSUS$, que surgió por primera vez en julio de 2021, ha estado en una ola de piratería en los últimos meses, apuntando a una gran cantidad de empresas durante el período intermedio, incluidas Impresa, el Ministerio de Salud de Brasil, Claro, Embratel, NVIDIA, Samsung, Mercado Libre, Vodafone , y más recientemente Ubisoft.

El modus operandi del grupo motivado financieramente ha sido relativamente sencillo: irrumpir en la red de un objetivo, robar datos confidenciales y chantajear a la empresa víctima para que pague publicando fragmentos de los datos robados en su canal de Telegram.


Microsoft describió a LAPSUS$ como un grupo que sigue un "modelo puro de extorsión y destrucción sin implementar cargas útiles de ransomware" y que "no parece cubrir sus huellas".

Otras tácticas adoptadas por la tripulación incluyen esquemas de ingeniería social basados ​​en teléfonos, como el intercambio de tarjetas SIM para facilitar la toma de control de cuentas, acceder a cuentas de correo electrónico personales de empleados en organizaciones objetivo, sobornar a empleados, proveedores o socios comerciales de empresas para acceder e inmiscuirse en el llamadas continuas de respuesta a la crisis de sus objetivos para iniciar demandas de extorsión.

También se ha observado que LAPSUS$ implementa el RedLine Stealer que está disponible para la venta en foros clandestinos para obtener contraseñas y tokens de sesión, además de comprar credenciales y tokens de acceso de mercados de la web oscura, así como buscar credenciales expuestas en repositorios de códigos públicos, para obtener una punto de apoyo inicial.

"El objetivo de los actores DEV-0537 es obtener acceso elevado a través de credenciales robadas que permiten el robo de datos y ataques destructivos contra una organización objetivo, lo que a menudo resulta en extorsión", dijo la compañía. "Las tácticas y los objetivos indican que se trata de un actor ciberdelincuente motivado por el robo y la destrucción".

Después del acceso inicial, se sabe que el grupo explota vulnerabilidades sin parches en servidores Confluence, JIRA y GitLab accesibles internamente para escalar privilegios, antes de proceder a filtrar información relevante y eliminar los sistemas y recursos del objetivo.

Para mitigar tales incidentes, Microsoft recomienda a las organizaciones que exijan la autenticación multifactor (pero no basada en SMS ), utilicen opciones de autenticación modernas como OAuth o SAML, revisen los inicios de sesión individuales en busca de signos de actividad anómala y supervisen la respuesta a incidentes. comunicaciones para asistentes no autorizados.

"Según la actividad observada, este grupo comprende la naturaleza interconectada de las identidades y las relaciones de confianza en los ecosistemas tecnológicos modernos y se dirige a las empresas de telecomunicaciones, tecnología, servicios de TI y soporte, para aprovechar su acceso desde una organización para acceder a las organizaciones asociadas o proveedoras".

En medio de las consecuencias de las filtraciones, LAPSUS$ parece estar tomando un descanso. "Algunos de nuestros miembros tienen [sic] vacaciones hasta el 30/3/2022. Es posible que estemos tranquilos por algunos momentos [sic]", dijo el grupo en su canal de Telegram.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Raspberry Pi son ordenadores de placa simple cuyo bajo coste hacen que sean utilizados para multitud de proyectos tecnológicos de lo más variopintos. Los expertos en seguridad informática ahora han descubierto vulnerabilidades, por lo que deberías cambiar ya tu contraseña cuanto antes.

Los usuarios que tengan Raspberry Pi o Linux deberían cambiar de inmediato las contraseñas predeterminadas, a juzgar por los resultados de un informe del proveedor de ciberseguridad Bulletproof.

Peligro con las contraseñas de Raspberry Pi

En Bulletproof instalaron una serie de trampas honeypots en la nube para analizar para analizar el comportamiento de los actores de amenazas y cómo actuaban los piratas informáticos durante 37 días.

Entre los resultados de esta observación, se comprobó que el 70% del tráfico web estaba compuesto por bots y, de cara a poder entrar en los sistemas y dispositivos, siendo las credenciales predeterminadas las contraseñas más comunes utilizadas por los malhechores para intentar acceder.


Estos mismos investigadores de seguridad indican que hay más de 200.000 equipos en Internet que ejecutan el sistema de Raspberry Pi. Entre los principales intentos fallidos de inicio de sesión con credenciales predeterminadas dirigidos a los honeypots, el nombre de usuario y la contraseña de Linux «nproc» ocuparon el segundo lugar, y la combinación de «pi» y «raspberry» quedó en octavo lugar.

Hay que tener en cuenta que el sistema operativo Raspberry Pi utiliza una contraseña predeterminada. «El sistema operativo Raspberry Pi se envía con credenciales predeterminadas (usuario: pi y contraseña: raspberry) muy fáciles para los piratas informáticos. Lo que esto nos dice es que incluso las contraseñas predeterminadas no se cambian», afirma el informe.

Cualquier usuario que sea consciente de esto, podría lograr acceder a nuestra Raspberry Pi con permisos avanzados.

«Un objetivo para un ataque cibernético podría ser tan simple como la pantalla de una oficina que utiliza el sistema operativo Raspberry Pi. Los piratas generalmente centrarán su atención primero en los objetivos fáciles y los dispositivos Raspberry Pi son baratos, fáciles de configurar, tienen beneficios listos para usar y probablemente se conectarán a través de una VPN o WiFi. Si se configuran incorrectamente, aumentan la superficie de ataque, con el riesgo de que los piratas informáticos tomen el control operativo total y expongan áreas sensibles del negocio».

Cambia las contraseñas predeterminadas

Pese a que este estudio se haya centrado en Raspberry Pi y Linux, son muchos otros los dispositivos que usamos en el día a día y que dejamos funcionar con las contraseñas por defecto, como por ejemplo el router.

Cuando se trataba de ataques de fuerza bruta, entre las contraseñas más comunes utilizadas por los atacantes eran «1», «admin», «admin123» y «PASswoRD», según se recoge en el informe de Bulletproof.

Una buena contraseña para cualquier dispositivo, además de estar personalizada y no usarse aquella que viene por defecto, es importante que sea larga y tenga letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales.

Todo ello siempre de forma aleatoria y nunca habría que repetir la contraseña en otro lugar, para no acabar provocando un efecto dominó si los ciberdelincuentes o hackers descubren una de ellas.

Fuente:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hay diferentes amenazas de seguridad que pueden poner en riesgo nuestro routers y afectar el buen funcionamiento. Una de las más peligrosas que ha habido en los últimos años es TrickBot. Ahora Microsoft ha creado una herramienta para escanear routers MikroTik para saber si están o no infectados por esta amenaza. Es una de las marcas más utilizadas, por lo que es una solución muy interesante para muchos usuarios.

Detecta si tu router está afectado por TrickBot

TrickBot es una amenaza de seguridad que ha estado muy presente en los últimos años. Se trata de una botnet que se distribuye normalmente a través del correo electrónico mediante la táctica del Phishing o mediante otro malware que previamente ha infectado a la víctima. Lo que hace a partir de ese momento es conectarse a un servidor controlado por el atacante y permite enviar cargas útiles maliciosas al equipo infectado.

Esta amenaza ha afectado a una gran variedad de dispositivos IoT y también a routers. Hace que ese equipo atacado actúe como un proxy entre el dispositivo y el servidor de los atacantes. En los últimos tiempos, los atacantes han utilizado TrickBot para poner en riesgo los routers MikroTik.

Para acceder a ellos, principalmente se basaban en utilizar credenciales predeterminadas. Por ello es importante que siempre cambies los datos de acceso que vienen de fábrica cuando compras un router. Pueden realizar ataques de fuerza bruta para tener el control de los dispositivos. Pero también han explotado vulnerabilidades como la CVE-2018-14847.

El problema es que hay cientos de miles de routers MikroTik que siguen siendo vulnerables. Por ello desde Microsoft han lanzado una herramienta llamada routeros-scanner con la que los administradores pueden analizar dispositivos de esta marca para saber si están infectados o no con TrickBot y poder tomar medidas lo antes posible.

Básicamente lo que hace el script es conocer la versión del dispositivo y si es o no vulnerable a un fallo determinado, comprobar tareas programadas, reglas de redirección de tráfico, envenenamiento de caché DNS, cambio en los puertos predeterminados, archivos sospechosos o proxies. Esto ayudará a saber si ese equipo en concreto está en peligro.


Cómo proteger los routers MikroTik

Lo primero que debes hacer es asegurarte de contar con la última versión del router. Por parte de los investigadores de seguridad recomiendan contar con versiones de RouterOS superiores a 6.45.6. Tener siempre los dispositivos actualizados es imprescindible de cara a estar protegidos y evitar problemas.

Además, también es importante cambiar la contraseña que viene predeterminada en el router. Es esencial que utilices una clave nueva, que sea segura y cuente con todo lo necesario para que sea muy difícil de averiguar a través de los métodos que utilizan los piratas informáticos, como es la fuerza bruta.

Otro consejo que indican los investigadores de seguridad es bloquear el puerto 8291 de acceso externo, así como cambiar el puerto predeterminado SSH, que es el 22, por otro distinto. Una recomendación más es una VPN para acceder de forma remota y restringir el acceso remoto al router.

En definitiva, como has podido ver Microsoft ha lanzado una herramienta para verificar si un router MikroTik está afectado por TrickBot. No obstante, es importante que sigas una serie de consejos para evitar que puedan sufrir algún tipo de ataque cibernético.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

ACTUALIZACIÓN: Pavel Durov, CEO y fundador de Telegram ha publicado una declaración a propósito de la orden en Brasil, señalando que todo se debe a que entre la comunicación con la Corte se indicó hacer las solicitudes de eliminación a una dirección de correo "dedicada", pero el tribunal siguió utilizando una para propósito general. Además menciona que encontraron los correos y están tratando de remediar la situación.

Telegram será bloqueada en Brasil, luego que un fallo de la Corte Suprema del país, considerara que no cumple con las órdenes judiciales para evitar el intercambio de contenido peligroso en su plataforma, de acuerdo con el medio local G1.


El fallo se da a petición de la Policía Federal, quien señaló que "es notoriamente conocida por no cooperar con las autoridades judiciales y policiales en varios países". Además, la PF también mencionó que Telegram tiene un "terreno libre" para la proliferación de diversos contenidos, incluso en el ámbito delictivo.

A partir de esta orden, todos los proveedores de internet, así como plataformas digitales, deben tomar medidas para detener los servicios de Telegram en el país, lo que implica que sea eliminada de las distintas tiendas de aplicaciones.

Además ANATEL, el regulador de comunicaciones de Brasil, también señaló que se está notificando a las empresas para que cumplan con la decisión de la Corte, y quienes no lo hagan (entre ellas Apple y Google) serán acreedoras de una multa de 100,000 reales brasileños al día, poco más de 400,000 pesos mexicanos.

No es el primer caso de la aplicación

Telegram ha estado bajo investigación desde hace varios años en Brasil, y hace apenas unos días se dio a conocer que se utilizaba para propagar discursos de odio, tráfico de drogas, comercio de dinero falso, propaganda extremista y hasta venta de certificados de vacunación.


La Policía Federal ya había solicitado a la aplicación para que eliminara estos grupos y proporcionara datos de sus miembros, peticiones que Telegram no cumplió, aunque las leyes brasileñas señalan que las empresas deben acatar las órdenes judiciales que se les hagan llegar.

Ante esto Alexandre de Morais, juez de la Corte Suprema dijo que la aplicación había mostrado "desprecio" por la justicia brasileña, luego de múltiples oportunidades para cooperar con las fuerzas del orden locales.

Este no es el primer país donde Telegram se enfrenta a un bloqueo. Hasta ahora la lista incluye a Azerbaiyán (2020), Baréin (2016), Bielorrusia (2020), China (2015), Cuba (2021), Alemania (2022), Hong Kong (2019), India (2019), Indonesia (2017), Irán (2015), Pakistan (2017), Rusia (2018) y Tailandia (2020).

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

De frente a la próxima Games Developer Conference, Ubisoft ha revelado a Scalar, una nueva tecnología que planea dar un golpe sobre la mesa para plantear una nueva manera de crear juegos proveyéndoles de un poder computacional casi ilimitado

Ubisoft Scalar ha sido el logro de más de 500 expertos y juntando a 4 divisiones de la empresa. Es un proyecto que planea llevar el proceso creativo de los videojuegos a un campo totalmente nuevo, haciendo uso de cloud computing para ayudar a los desarrolladores a depender menos del hadware y mejorar la experiencia del jugador.

La forma de trabajo que manejará Scalar planea traer juegos que "siempre estén corriendo" gracias a su sistema de microservicios que rompe cada engine de desarrollo en piezas independientes quitando el peso de tener todos los componentes en una misma máquina, logrando que el trabajo se comparta aún más rápido. Algo similar a lo que hace AWS de Amazon.

Migrar la producción a la nube y contar con un sistema de constante desarrollo permitirá que las actualizaciones de los juegos no interrumpan las partidas activas de los jugadores, así lo deja ver Christian Holmqvist, Director Técnico de Ubisoft Estocolmo:

Un aspecto muy importante que aporta Ubisoft Scalar es que los servicios están siempre disponibles. El juego siempre está en marcha y siempre es posible actualizarlo. Los desarrolladores pueden crear mundos muy ricos que pueden desarrollarse, evolucionar y transformarse a medida que los jugadores los juegan. Esto aporta una conexión mucho más estrecha con los desarrolladores y los jugadores.

Ubisoft Scalar apunta a impulsar videojuegos masivos de naturaleza multiplataforma y escalables, permitiendo la reunión de enormes cantidades de jugadores en un mismo entrono virtual, donde las acciones de cada jugador tenga un impacto visible e inmediato en el mundo.

Actualmente Ubisoft está trabajando en una nueva IP que estrenará esta tecnología, de la cual la compañía promete dar más información en el futuro próximo. La presentación oficial de Scalar será durante la Games Developer Conferencia que se celebrará este 23 de marzo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La privacidad es una meta cada vez más deseada por los usuarios de Internet; también es una promesa cada vez más enarbolada por los desarrolladores de navegadores web. Y, sin embargo, en ocasiones pareciera que lo que nos dan por una mano nos lo quitasen con la otra.

Sin ir más lejos, ahora se ha sabido que Mozilla Firefox —cuyos desarrolladores respaldan múltiples iniciativas pro-privacidad—, proporciona a sus usuarios, sin saberlo ellos, un identificador individual presente ya en el ejecutable del instalador.

El 'dltoken' se 'graba' en el instalador en el momento en que la web de Firefox nos genera la descarga

Este identificador, bautizado internamente en Mozilla como 'dltoken' se utiliza para vincular las descargas (de ahí la 'dl' de su nombre) a las instalaciones y primeras ejecuciones del navegador Firefox, siendo enviado a Mozilla siempre que se utiliza.

Como lo más habitual es que el navegador se actualice a sí mismo (aunque podamos optar por bajarnos un instalador diferente con cada nueva versión de Firefox), eso permite a Mozilla llevar un control de las instalaciones activas y su ritmo de actualización, así como relacionarlas con los ID de telemetría y con los de Google Analytics.


Ha sido un informe de errores en Bugzilla —el sitio web oficial de seguimiento de errores de Mozilla—, publicado ya hace un año, el que ha permitido descubrir la existencia del 'dltoken'; por desgracia, el documento de Google Drive vinculado en dicho informe, y que podría ampliar la información sobre este polémico mecanismo, no es público.


Qué opciones tiene un usuario concienciado con la privacidad
En cualquier caso, si prefieres comprobarlo por ti mismo, buscar 'dltoken' mientras abres el instalador de Firefox con cualquier editor hexadecimal revelará el contenido de la cadena individual de tu dltoken.

El problema para el usuario es que esta función está implementada en todos los 'canales' (estable, beta, en desarrollo...) de Mozilla Firefox, por lo que los usuarios este navegador que prefieran descargar un instalador del mismo desprovisto de este identificador sólo cuentan con dos opciones:

- O bien bajarlo directamente desde el repositorio HTTPS de Mozilla.
- O recurrir a un sitio de descarga de terceros.

Y si estás pensando en recurrir al mecanismo de exclusión voluntaria de telemetría de Firefox, debes saber dos cosas. Una, que sólo afecta a la telemetría estándar; dos, que resulta imposible activarlo antes de que Firefox notifique a Mozilla la existencia de tu instalación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mesa 22 ya está disponible para continuar con el desarrollo y la evolución de la pila de drivers encargada de suministrar el soporte para las API Vulkan y OpenGL en Linux y otros sistemas operativos tipo Unix. En esta ocasión nos encontramos con la adopción de Vulkan 1.3 y ciertas mejoras significativas para Intel, cuyo soporte intenta mejorar a toda velocidad ante la proximidad de sus gráficas dedicadas.

Para empezar, tenemos el soporte de Vulkan 1.3, o al menos la inclusión de algunas de sus extensiones, en ANV (Intel) y RADV (Radeon). Sin embargo, la adopción de dicha versión de la API no tiene que confundir a los usuarios, porque mientras RADV es capaz de competir en potencia con lo ofrecido por NVIDIA desde hace tiempo, por ahora ANV se encuentra algo lejos de tener un estado óptimo para la ejecución de videojuegos.

En lo que respecta a Intel, Mesa 22 ha traído el soporte para Alder Lake N y ha empezado a hacer lo mismo (fase inicial) con la futura generación de procesadores de la compañía: Raptor Lake. Por otro lado, el soporte de Adaptive Sync/VRR ha llegado a los drivers de OpenGL y Vulkan, lo que obviamente apunta sobre todo a una futura ejecución de videojuegos a través de una gráfica dedicada.

RADV no ha incluido en esta ocasión muchas novedades de impacto, cosa normal si tenemos en cuenta que este driver de Vulkan está bastante maduro como mínimo para la ejecución de videojuegos, incluso títulos triple AAA compilados para Windows, así que nos limitaremos a mencionar el soporte para el estándar de compresión de texturas ETC2 emulado y la mejora del soporte para el trazado de rayos, cuyo estado actual no tiene por qué ser óptimo.

Para RadeonSI, el driver de OpenGL para Radeon, ha llegado el soporte de eliminación de sombreados de la Geometría de Próxima Generación (NGG) para las gráficas Navi 1x que han llegado a consumo y el soporte de textura dispersa. Moviéndonos hacia un terreno más abstracto, pero sin salirnos de Radeon, está la mejora del rendimiento de VCE para renderizado de vídeo.

A pesar de que Radeon e Intel siguen caminos separados en Mesa debido a que sus drivers son diferentes, de vez en cuando hay cosas que llegan a los dos fabricantes, como el soporte de sombreadores de malla (mesh shaders) para ANV sobre las gráficas DG2/Alchemist y RADV.

El controversial Wayland también ha recibido algo importante con Mesa 22, más concretamente el soporte de retroalmentación de DMA-BUF en el código de EGL, que debería representar un paso importante en los sistemas con varias gráficas que funcionan bajo una sesión de Wayland. El propósito es obtener más información sobre la GPU empleada por el compositor y para intercambiar búferes de manera más eficiente entre las gráficas primaria y secundaria.

Por lo demás, tenemos el soporte de OpenGL ES 3.1 en el código de D3D12 de Microsoft con las miras puestas en soportar la versión 4 de la API de Khronos Group; el soporte de OpenGL 4.3 para WMware SVGA, si bien aquí se requiere Linux 5.17 o posterior; el soporte de textura dispersa para Zink, el driver que se encarga de renderizar OpenGL sobre Vulkan; el hecho de que el driver de Vulkan V3DV para Raspberry Pi funcione en Android; el soporte básico de Clover OpenCL para Freedreno; además de las típicas correcciones y mejoras del rendimiento.

Mesa 22 puede ser instalado a través de la compilación de su código fuente, una vía que para la mayoría de los mortales no es muy práctica y que conlleva sus riesgos, así que lo recomendable es usar una distribución rolling release y bleeding edge como Arch Linux, Manjaro o Gentoo. Si se tiene un poco de paciencia, debería de llegar a Fedora 35 como una actualización estándar y a Flathub de la misma manera debido a que es empleado como dependencia por aplicaciones como Steam y Minigalaxy, mientras que los usuarios de Ubuntu pueden recurrir a los PPA stable y fresh de Kisak.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los administradores de Windows se vieron afectados hoy por una ola de falsos positivos de Microsoft Defender para Endpoint donde las actualizaciones de Office se etiquetaron como maliciosas en alertas que apuntaban al comportamiento de ransomware detectado en sus sistemas.

Según los informes de los administradores del sistema de Windows [ 1 ,  2 ,  3 ,  4 ], esto comenzó a suceder hace varias horas y, en algunos casos, provocó una "lluvia de alertas de ransomware".

Tras la oleada de informes, Microsoft confirmó que las actualizaciones de Office se marcaron por error como actividad de ransomware debido a falsos positivos.

Redmond agregó que sus ingenieros actualizaron la lógica de la nube para evitar que aparezcan futuras alertas y eliminar los falsos positivos anteriores.

"A partir de la mañana del 16 de marzo, los clientes pueden haber experimentado una serie de detecciones de falsos positivos que se atribuyen a una detección de comportamiento de ransomware en el sistema de archivos. Los administradores pueden haber visto que las alertas erróneas tenían el título de 'Comportamiento de ransomware detectado en el sistema de archivos', y las alertas se activaron en OfficeSvcMgr.exe", dijo Microsoft siguiendo los informes de los usuarios.

"Nuestra investigación encontró que una actualización implementada recientemente dentro de los componentes del servicio que detectan alertas de ransomware introdujo un problema de código que provocaba que se activaran las alertas cuando no había ningún problema presente. Implementamos una actualización de código para corregir el problema y asegurarnos de que no haya nuevas alertas. enviado, y hemos vuelto a procesar una acumulación de alertas para remediar completamente el impacto".

Después de la implementación de la actualización de la lógica de la nube, ya no se generarán las alertas de actividad de ransomware incorrectas. Todos los falsos positivos registrados también deberían borrarse automáticamente del portal sin requerir la intervención de los administradores.

Falsos positivos provocados por un cambio de código

Según Microsoft, el problema "puede haber afectado potencialmente" a los administradores que intentaron ver las alertas de ransomware en Microsoft Defender para Endpoint.

La causa raíz de los falsos positivos fue una actualización implementada recientemente dentro de los componentes del servicio para detectar alertas de ransomware.

Esto introdujo un problema de código que provocó que las alertas se activaran incorrectamente sin que hubiera actividad de ransomware en el sistema.

En noviembre, Defender for Endpoint también bloqueó la apertura de documentos de Office y el lanzamiento de algunos ejecutables de Office debido a otro falso positivo que etiquetaba los archivos de las cargas útiles del malware Emotet .

Un mes después,  también mostró por error alertas de "manipulación del sensor"  vinculadas al escáner Microsoft 365 Defender recientemente implementado por la empresa para los procesos de Log4j.

Desde octubre de 2020, los administradores han tenido que lidiar con otros problemas similares de Defender for Endpoint, incluida una  alerta de dispositivos de red infectados con Cobalt Strike  y otra que  marca las actualizaciones de Chrome como puertas traseras de PHP .


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los analistas de amenazas que siguen la actividad de LightBasin, un grupo de piratas informáticos motivado financieramente, informan del descubrimiento de un rootkit de Unix previamente desconocido que se utiliza para robar datos bancarios de cajeros automáticos y realizar transacciones fraudulentas.

Recientemente, se ha observado que el grupo particular de adversarios se dirige a las empresas de telecomunicaciones con implantes personalizados, mientras que en 2020, fueron vistos comprometiendo a los proveedores de servicios administrados y victimizando a sus clientes .

En un nuevo informe de Mandiant, los investigadores presentan más pruebas de la actividad de LightBasin, centrándose en el fraude con tarjetas bancarias y el compromiso de sistemas cruciales.

Aprovechando sus datos bancarios

El nuevo rootkit de LightBasin es un módulo del kernel de Unix llamado "Caketap" que se implementa en servidores que ejecutan el sistema operativo Oracle Solaris.

Cuando se carga, Caketap oculta las conexiones de red, los procesos y los archivos mientras instala varios enlaces en las funciones del sistema para recibir comandos y configuraciones remotas.

Los comandos observados por los analistas son los siguientes:

- Agregue el módulo CAKETAP nuevamente a la lista de módulos cargados
- Cambiar la cadena de señal para el gancho getdents64
- Agregar un filtro de red (formato p)
- Eliminar un filtro de red
- Configure el hilo TTY actual para que no sea filtrado por el gancho getdents64
- Configure todos los TTY para que sean filtrados por el enlace getdents64
- Muestra la configuración actual

El objetivo final de Caketap es interceptar la tarjeta bancaria y los datos de verificación del PIN de los servidores conmutadores de cajeros automáticos violados y luego usar los datos robados para facilitar transacciones no autorizadas.

Los mensajes interceptados por Caketap están destinados al Payment Hardware Security Module (HSM), un dispositivo de hardware resistente a la manipulación utilizado en la industria bancaria para generar, administrar y validar claves criptográficas para PIN, bandas magnéticas y chips EMV.

Caketap manipula los mensajes de verificación de la tarjeta para interrumpir el proceso, detiene los que coinciden con tarjetas bancarias fraudulentas y, en su lugar, genera una respuesta válida.

En una segunda fase, guarda internamente los mensajes válidos que coinciden con los PAN (Números de cuenta primarios) no fraudulentos y los envía al HSM para que las transacciones rutinarias de los clientes no se vean afectadas y las operaciones de implante permanezcan sigilosas.

"Creemos que UNC2891 (LightBasin) aprovechó CAKETAP como parte de una operación más grande para usar con éxito tarjetas bancarias fraudulentas para realizar retiros de efectivo no autorizados de terminales de cajeros automáticos en varios bancos", explica  el informe de Mandiant .

Otras herramientas vinculadas al actor en ataques anteriores incluyen Slapstick, Tinyshell, Steelhound, Steelcorgi, Wingjook, Wingcrack, Binbash, Wiperight y Mignogcleaner, todas las cuales Mandiant confirmó que todavía están implementadas en ataques LightBasin.


Orientación sofisticada

LightBasin es un actor de amenazas altamente hábil que aprovecha la seguridad relajada en los sistemas Unix y Linux de misión crítica que a menudo se tratan como intrínsecamente seguros o se ignoran en gran medida debido a su oscuridad.

Aquí es precisamente donde los adversarios como LightBasic prosperan, y Mandiant espera que continúen capitalizando la misma estrategia operativa.

En cuanto a la atribución, los analistas detectaron algunas superposiciones con el grupo de amenazas UNC1945, pero aún no tienen vínculos concretos para sacar conclusiones seguras en ese frente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un atacante podría explotar una vulnerabilidad de seguridad recientemente revelada en el motor de contenedores de Kubernetes CRI-O llamada cr8escape para escapar de los contenedores y obtener acceso de root al host.

"La invocación de CVE-2022-0811 puede permitir que un atacante realice una variedad de acciones en los objetivos, incluida la ejecución de malware, la filtración de datos y el movimiento lateral a través de los pods", dijeron los investigadores de CrowdStrike John Walker y Manoj Ahuje en un análisis publicado este. semana.

Una alternativa ligera a Docker, CRI-O es una implementación de tiempo de ejecución de contenedores de la interfaz de tiempo de ejecución de contenedores (CRI) de Kubernetes que se usa para extraer imágenes de contenedores de los registros y lanzar un tiempo de ejecución compatible con Open Container Initiative ( OCI ), como runC para generar y ejecutar procesos de contenedores.

La vulnerabilidad tiene una calificación de 8.8 en el sistema de puntuación de vulnerabilidad CVSS y afecta a las versiones 1.19 y posteriores de CRI-O. Luego de la divulgación responsable, se lanzaron parches para corregir la falla en la versión 1.23.2 enviada el 15 de marzo de 2022.

CVE-2022-0811 se deriva de un cambio de código introducido en la versión 1.19 para configurar las opciones del kernel para un pod, lo que da como resultado un escenario en el que un mal actor con permisos para implementar un pod en un clúster de Kubernetes mediante el tiempo de ejecución de CRI-O puede aprovechar el parámetro " kernel.core_pattern " para lograr el escape del contenedor y la ejecución de código arbitrario como raíz en cualquier nodo del clúster.

El parámetro "kernel.core_pattern" se usa para especificar un nombre de patrón para un volcado del núcleo , que es un archivo que contiene la instantánea de la memoria de un programa en un momento específico que normalmente se activa en respuesta a bloqueos inesperados o cuando el proceso finaliza de manera anormal.

"Si el primer carácter del patrón es un '|' [una tubería ], el kernel tratará el resto del patrón como un comando para ejecutar. El volcado del núcleo se escribirá en la entrada estándar de ese programa en lugar de en un archivo", se lee en la documentación del kernel de Linux .

Por lo tanto, al establecer esta opción para apuntar a un script de shell malicioso y desencadenar un volcado del núcleo, la vulnerabilidad conduce a la invocación del script, logrando efectivamente la ejecución remota del código y otorgando al adversario la capacidad de hacerse cargo del nodo.

"Kubernetes no es necesario para invocar CVE-2022-8011", señalaron los investigadores. "Un atacante en una máquina con CRI-O instalado puede usarlo para configurar los parámetros del kernel por sí mismo".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El malware conocido como DirtyMoe ha adquirido nuevas capacidades de propagación similares a las de los gusanos que le permiten expandir su alcance sin requerir ninguna interacción del usuario, según ha descubierto la última investigación.

"El módulo de gusanos se enfoca en vulnerabilidades conocidas más antiguas, por ejemplo, la escalada de privilegios de EternalBlue y Hot Potato Windows", dijo el investigador de Avast, Martin Chlumecký , en un informe publicado el miércoles.

"Un módulo de gusano puede generar y atacar cientos de miles de direcciones IP públicas y privadas por día; muchas víctimas están en riesgo ya que muchas máquinas todavía usan sistemas sin parches o contraseñas débiles".

Activo desde 2016, el botnet DirtyMoe se utiliza para llevar a cabo ataques de cryptojacking y de denegación de servicio distribuido (DDoS), y se implementa mediante kits de explotación externos como PurpleFox o instaladores inyectados de Telegram Messenger.

También se emplea como parte de la secuencia de ataque un servicio DirtyMoe que activa el lanzamiento de dos procesos adicionales, a saber, Core y Executioner, que se utilizan para cargar los módulos para la minería de Monero y para propagar el malware como un gusano.


Los módulos de gusanos atacan las máquinas de las víctimas mediante el uso de varias vulnerabilidades para instalar el malware, y cada módulo apunta a una falla específica según la información recopilada después del reconocimiento:

- CVE-2019-9082: ThinkPHP – Múltiples RCE de inyección de PHP
- CVE-2019-2725: Oracle Weblogic Server – RCE de deserialización 'AsyncResponseService'
- CVE-2019-1458: Escalada de privilegios locales de WizardOpium
- CVE-2018-0147: vulnerabilidad de deserialización
- CVE-2017-0144: Ejecución remota de código EternalBlue SMB (MS17-010)
- MS15-076: RCE Permitir elevación de privilegios (escalada de privilegios de Hot Potato Windows)
- Ataques de diccionario dirigidos a servidores MS SQL, SMB y servicios de instrumentación de administración de Windows (WMI) con contraseñas débiles

"El objetivo principal del módulo de detección de gusanos es lograr RCE con privilegios de administrador e instalar una nueva instancia de DirtyMoe", explicó Chlumecký, y agregó que una de las funciones principales del componente es generar una lista de direcciones IP para atacar en función de la ubicación geológica del módulo.

Además, se descubrió que otro módulo de gusanos en desarrollo contenía exploits dirigidos a PHP, Java Deserialization y Oracle Weblogic Servers, lo que implica que los atacantes buscan ampliar el alcance de las infecciones.

"Las direcciones IP de destino de gusanos se generan utilizando el algoritmo ingeniosamente diseñado que genera uniformemente direcciones IP en todo el mundo y en relación con la ubicación geológica del módulo de gusanos", dijo Chlumecký. "Además, el módulo apunta a redes locales/domésticas. Debido a esto, las direcciones IP públicas e incluso las redes privadas detrás de los cortafuegos están en riesgo".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft lanzó un escáner que detecta enrutadores MikroTik pirateados por la pandilla TrickBot para actuar como servidores proxy para comandos y control.

TrickBot es una botnet de malware distribuida a través de correos electrónicos de phishing o lanzada por otro malware que ya ha infectado un dispositivo. Una vez ejecutado, TrickBot se conectará a un servidor de comando y control remoto para recibir comandos y descargar más cargas útiles para ejecutar en la máquina infectada.

Durante años, TrickBot ha utilizado dispositivos IoT, como enrutadores, para  actuar como un proxy  entre un dispositivo infectado y los servidores de comando y control (C2). Estos proxies se utilizan para evitar que los investigadores y las fuerzas del orden encuentren e interrumpan su infraestructura de mando y control.

En un nuevo informe de Microsoft, los investigadores explican cómo la pandilla TrickBot apuntó a los enrutadores MikroTik vulnerables utilizando varios métodos para incorporarlos como servidores proxy para las comunicaciones C2.

Enrutamiento de tráfico malicioso

Las operaciones de TrickBot utilizaron varios métodos al piratear enrutadores MikroTik, comenzando con el uso de credenciales predeterminadas y luego realizando ataques de fuerza bruta para adivinar la contraseña.

Si estos métodos iniciales no proporcionaran acceso al enrutador, los actores de amenazas intentarían explotar  CVE-2018-14847 , una vulnerabilidad transversal de directorio crítica que permite a atacantes remotos no autenticados leer archivos arbitrarios. Usando esta vulnerabilidad, los actores de amenazas robarían el archivo 'user.dat', que contiene las credenciales de usuario para el enrutador.

Una vez que obtuvieron acceso al dispositivo, los atacantes utilizaron los comandos integrados '/ip', '/system' o '/tool' para crear una regla de traducción de direcciones de red (NAT) que redirigió el tráfico enviado al puerto 449 en el enrutador al puerto 80 en un servidor de comando y control remoto.

/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=[infected device] dst-address=[real C2 address]

Con esta regla IP NAT, los servidores C2 no están expuestos directamente al análisis de amenazas, pero aún permiten la comunicación de los dispositivos infectados.


Como subraya Microsoft, los actores parecen tener un conocimiento profundo de las funciones limitadas del sistema operativo basado en Linux en los dispositivos MikroTik, utilizando comandos SSH personalizados que tendrían poco sentido en otros dispositivos.

El problema de MikroTik

Un  informe de Eclypsium destacó en diciembre pasado que cientos de miles de enrutadores MikroTik aún son vulnerables a las botnets de malware, varios años después de que el proveedor advirtiera sobre la existencia de fallas críticas.

Debido a que estos dispositivos cuentan con un hardware inusualmente poderoso, los actores malintencionados los consideran objetivos de gran valor, especialmente aquellos interesados ​​en operaciones que requieren muchos recursos, como los ataques DDoS .

Aunque las actualizaciones de seguridad han estado disponibles durante años, muchas siguen siendo vulnerables al reclutamiento de botnets al explotar fallas de ejecución de código, acceso remoto y no autenticadas.

Se ha instado repetidamente a los propietarios de dispositivos MikroTik a actualizar a versiones de RouterOS más nuevas que 6.45.6 y evitar exponer el protocolo WinBox.

"Este análisis destaca la importancia de mantener seguros los dispositivos IoT en el entorno de amenazas en constante evolución de hoy", advierte Microsoft en su informe .

Microsoft ahora ha lanzado una herramienta forense llamada ' routeros-scanner ' que los administradores de red pueden usar para escanear dispositivos MikroTik en busca de señales de que TrickBot los haya comprometido.

Este script escaneará los dispositivos MikroTik en busca de la siguiente información:

- Obtener la versión del dispositivo y asignarlo a CVE
- Comprobar las tareas programadas
- Busque reglas de redirección de tráfico
- Busque envenenamiento de caché de DNS
- Busque el cambio de puertos predeterminados
- Busque usuarios no predeterminados
- Busque archivos sospechosos
- Busque reglas de proxy, calcetines y FW

Además,  Microsoft recomienda  realizar los siguientes pasos en los dispositivos MikroTik para protegerlos aún más:

- Cambie la contraseña predeterminada a una segura
- Bloquear el puerto 8291 del acceso externo
- Cambie el puerto SSH a algo que no sea el predeterminado (22)
- Asegúrese de que los enrutadores estén actualizados con el firmware y los parches más recientes
- Use un servicio seguro de red privada virtual (VPN) para el acceso remoto y restrinja el acceso remoto al enrutador

TrickBot sigue vivo?

En febrero de 2022,  se cerró la operación TrickBot y los desarrolladores ahora están  trabajando con la pandilla de ransomware Conti  para trabajar en malware más sigiloso, como las  familias BazaarBackdoor  y  Anchor  .

Como  TrickBot se interrumpió  en el pasado y luego se volvió a lanzar, es posible que veamos actores de amenazas que revivan la operación en el futuro. Por lo tanto, es esencial asegurarse de que los dispositivos estén debidamente protegidos para que no puedan ser objeto de abuso en campañas posteriores o por parte de otros grupos de malware.

Mientras tanto, si está utilizando un dispositivo MikroTik, se le recomienda utilizar el escáner de infecciones de Microsoft, ya que los comandos maliciosos no se revertirán debido al apagado y podrían reactivarse en el futuro.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Múltiples modelos de enrutadores ASUS son vulnerables a la amenaza de malware Cyclops Blink vinculada a Rusia, lo que hace que el proveedor publique un aviso con mitigaciones para el riesgo de seguridad.

Cyclops Blink es un malware  vinculado al grupo de piratería Sandworm respaldado por Rusia  que históricamente se ha centrado en WatchGuard Firebox y otros dispositivos de red SOHO.

El papel de Cyclops Blink es establecer la persistencia para los actores de amenazas en el dispositivo, permitiéndoles un punto de acceso remoto a las redes comprometidas.

Debido a que Cyclops Blink es modular, se puede actualizar fácilmente para apuntar a nuevos dispositivos, actualizando constantemente su alcance y aprovechando nuevos grupos de hardware explotable.

Cyclops Blink ahora apunta a enrutadores ASUS

En una divulgación coordinada, Trend Micro advirtió que el malware presenta  un módulo especializado  que se dirige a varios enrutadores ASUS, lo que le permite leer la memoria flash para recopilar información sobre archivos críticos, ejecutables, datos y bibliotecas.

Luego, el malware recibe un comando para anidar en la memoria flash y establecer una persistencia permanente, ya que este espacio de almacenamiento no se borra ni siquiera con los restablecimientos de fábrica.

Para obtener más detalles sobre el módulo ASUS de Cyclops Blink,  Trend Micro  ha publicado hoy un artículo técnico que explica cómo funciona.


En este punto, la propagación de Cyclops Blink parece indiscriminada y generalizada, por lo que no importa si te consideras un objetivo legítimo o no.

Como el malware está vinculado al grupo de hackers de élite Sandworm (también rastreado como Voodoo Bear, BlackEnergy y TeleBots), es probable que veamos a los actores de amenazas apuntando a otros fabricantes de enrutadores en el futuro.

Sandworm se ha relacionado con otros ciberataques conocidos, incluido el malware BlackEnergy detrás de los apagones en Ucrania de 2015 y 2016 [ 1 ,  2 ,  3 ] y el  ransomware NotPetya , que provocó daños por valor de miles de millones a empresas de todo el mundo a partir de junio de 2017.

Dispositivos ASUS vulnerables

En un aviso publicado hoy , ASUS advierte que los siguientes modelos de enrutadores y versiones de firmware son vulnerables a los ataques de Cyclops Blink:

- Firmware GT-AC5300 bajo 3.0.0.4.386.xxxx
- Firmware GT-AC2900 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC5300 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC88U bajo 3.0.0.4.386.xxxx
- Firmware RT-AC3100 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC86U bajo 3.0.0.4.386.xxxx
- Firmware RT-AC68U, AC68R, AC68W, AC68P bajo 3.0.0.4.386.xxxx
- Firmware RT-AC66U_B1 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC3200 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC2900 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC1900P, RT-AC1900P bajo 3.0.0.4.386.xxxx
- RT-AC87U (fin de vida)
- RT-AC66U (fin de vida)
- RT-AC56U (fin de vida)


En este momento, ASUS no ha lanzado nuevas actualizaciones de firmware para proteger contra Cyclops Blink, pero ha lanzado las siguientes mitigaciones que se pueden usar para proteger los dispositivos:

Restablezca el dispositivo a los valores predeterminados de fábrica: inicie sesión en la GUI web, vaya a Administración → Restaurar/Guardar/Cargar configuración, haga clic en "Inicializar todas las configuraciones y borrar todo el registro de datos" y luego haga clic en el botón Restaurar.
Actualice al último firmware disponible.
Asegúrese de que la contraseña de administrador predeterminada se haya cambiado a una más segura.
Deshabilitar la administración remota (deshabilitada de forma predeterminada, solo se puede habilitar a través de la configuración avanzada).
Si está utilizando cualquiera de los tres modelos designados como EOL (fin de vida útil), tenga en cuenta que estos ya no son compatibles y, por lo tanto, no recibirán una actualización de seguridad de firmware. En este caso, se recomienda reemplazar el dispositivo por uno nuevo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado una puerta trasera no documentada anteriormente dirigida a los sistemas Linux con el objetivo de acorralar las máquinas en una botnet y actuar como conducto para descargar e instalar rootkits.

El equipo de seguridad de Netlab de Qihoo 360 lo llamó B1txor20 "basado en su propagación usando el nombre de archivo 'b1t', el algoritmo de cifrado XOR y la longitud de clave del algoritmo RC4 de 20 bytes".

Observado por primera vez al propagarse a través de la vulnerabilidad Log4j el 9 de febrero de 2022, el malware aprovecha una técnica llamada tunelización de DNS para crear canales de comunicación con servidores de comando y control (C2) mediante la codificación de datos en consultas y respuestas de DNS.


B1txor20, aunque también tiene errores en algunos aspectos, actualmente admite la capacidad de obtener un shell, ejecutar comandos arbitrarios, instalar un rootkit, abrir un proxy SOCKS5 y funciones para cargar información confidencial al servidor C2.

Una vez que una máquina se ve comprometida con éxito, el malware utiliza el túnel DNS para recuperar y ejecutar los comandos enviados por el servidor.

"El bot envía la información confidencial robada, los resultados de la ejecución de comandos y cualquier otra información que deba entregarse, después de ocultarla mediante técnicas de codificación específicas, a C2 como una solicitud de DNS", explicaron los investigadores.

"Después de recibir la solicitud, C2 envía la carga útil al lado del Bot como respuesta a la solicitud de DNS. De esta manera, Bot y C2 logran la comunicación con la ayuda del protocolo DNS".

Se implementan un total de 15 comandos, entre los que destacan la carga de información del sistema, la ejecución de comandos arbitrarios del sistema, la lectura y escritura de archivos, el inicio y la detención de servicios proxy y la creación de shells inversos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login