Juniper Networks ha emitido una advertencia crítica sobre una campaña maliciosa que explota los routers Session Smart Router (SSR) configurados con contraseñas predeterminadas. Esta actividad maliciosa utiliza el conocido malware de botnet Mirai para comprometer sistemas y lanzar ataques de denegación de servicio distribuido (DDoS).

El aviso fue emitido después de que "varios clientes" reportaran actividad anómala en las plataformas Session Smart Network (SSN) el 11 de diciembre de 2024. Según la compañía:
"Estos sistemas han sido infectados con el malware Mirai y utilizados como fuentes de ataques DDoS. Todos los dispositivos afectados empleaban contraseñas predeterminadas."

¿Qué es el malware Mirai?

Mirai, cuyo código fuente se filtró en 2016, es un malware especializado en reclutar dispositivos vulnerables en una botnet. Busca activamente vulnerabilidades conocidas y credenciales predeterminadas para tomar el control de sistemas conectados. Este malware ha evolucionado en diversas variantes utilizadas para ejecutar ataques DDoS de alto impacto.

Recomendaciones para mitigar el riesgo

Para proteger dispositivos contra estas amenazas, Juniper Networks recomienda implementar las siguientes medidas de seguridad:

• Cambiar contraseñas predeterminadas por otras únicas y seguras.
• Auditar registros de acceso para identificar actividad sospechosa, como intentos de fuerza bruta en SSH o escaneos de puertos inusuales.
• Configurar firewalls para bloquear accesos no autorizados y restringir el tráfico saliente a direcciones IP no reconocidas.
• Actualizar el software regularmente para cerrar posibles vulnerabilidades.
• Reimaginar el sistema en caso de infección, ya que no se puede garantizar que el malware no haya alterado configuraciones o robado información.

Indicadores de infección por Mirai

Los siguientes comportamientos pueden indicar la presencia del malware Mirai:

• Escaneo de puertos inusual.
• Intentos repetidos de inicio de sesión SSH (ataques de fuerza bruta).
• Aumento del tráfico saliente hacia direcciones IP sospechosas.
• Reinicios inesperados del sistema.
• Conexiones desde IPs maliciosas conocidas.

Amenaza emergente: malware cShell

En paralelo, el Centro de Inteligencia de Seguridad de AhnLab (ASEC) advirtió sobre una nueva familia de malware DDoS denominada cShell, que apunta a servidores Linux mal configurados, especialmente aquellos con servicios SSH expuestos públicamente.

Desarrollado en el lenguaje Go, cShell aprovecha herramientas de Linux como screen y hping3 para ejecutar ataques DDoS. Este descubrimiento subraya la importancia de fortalecer la seguridad de los servidores Linux y limitar la exposición de servicios críticos.

En fin, el reciente aumento en ataques relacionados con Mirai y cShell destaca la necesidad de una gestión robusta de contraseñas y medidas proactivas de seguridad en infraestructuras conectadas. Organizaciones y administradores deben priorizar la protección de sus redes para prevenir que dispositivos vulnerables sean utilizados como herramientas en campañas maliciosas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Recientes investigaciones han detectado que ciberdelincuentes utilizan ataques de typosquatting para distribuir bibliotecas npm maliciosas, haciéndose pasar por herramientas populares como typescript-eslint y @types/node. Estas versiones falsificadas, denominadas @typescript_eslinter/eslint y types-node, han acumulado miles de descargas en el registro npm, permitiendo la distribución de troyanos y cargas útiles secundarias.

Ax Sharma, analista de seguridad en Sonatype, destacó:
"Aunque los ataques de typosquatting no son nuevos, la sofisticación de estas bibliotecas y sus altas descargas evidencian el esfuerzo de los atacantes y su impacto en los desarrolladores desprevenidos."

El análisis reveló que @typescript_eslinter/eslint apunta a un repositorio falso en GitHub bajo la cuenta "typescript-eslinter", creada el 29 de noviembre de 2024. Este paquete incluye un archivo llamado prettier.bat, que en realidad es un ejecutable malicioso (prettier.exe) identificado como dropper en VirusTotal. Al ejecutarse, este archivo instala persistencia en el sistema, permitiendo la ejecución automática tras reinicios.

Por su parte, el paquete types-node descarga scripts desde una URL de Pastebin, ejecutando un archivo malicioso nombrado engañosamente como npm.exe.

Extensiones VSCode maliciosas detectadas

El descubrimiento coincide con informes de extensiones maliciosas para Visual Studio Code (VSCode), detectadas por ReversingLabs en octubre de 2024. Estas extensiones, dirigidas inicialmente a la comunidad de criptomonedas, evolucionaron para suplantar aplicaciones como Zoom. Entre las extensiones eliminadas destacan:

• EVM. Kit de herramientas de cadena de bloques
• VoiceMod.VoiceMod
• ZoomVideoComunicaciones.Zoom
• Ethereum.SoliditySupport

CitarLucija Valentić, investigadora de ReversingLabs, afirmó:
"La posibilidad de comprometer un IDE lo convierte en un objetivo clave para los atacantes, especialmente cuando se trata de extensiones maliciosas que pasan desapercibidas."

Estas extensiones y bibliotecas incluyen JavaScript ofuscado, que actúa como descargador de cargas útiles de segunda etapa desde servidores remotos. Aún se desconoce la naturaleza exacta de estas cargas.

En fin, en este caso subraya la necesidad urgente de fortalecer la seguridad en la cadena de suministro de software y fomentar una mayor vigilancia al descargar herramientas de código abierto. Para los desarrolladores, es crucial evitar dependencias no verificadas que puedan comprometer proyectos y empresas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una reciente campaña de phishing, rastreada como FLUX#CONSOLE por la compañía de ciberseguridad Securonix, emplea archivos MSC (Microsoft Common Console Document) para desplegar una puerta trasera sigilosa y robar datos de sistemas comprometidos en Pakistán.

Inicio del ataque: Phishing con archivos MSC

Los investigadores Den Iuzvyk y Tim Peck señalaron que el ataque comienza con un enlace de phishing o un archivo adjunto malicioso, aunque el correo original no ha sido recuperado. La técnica principal se basa en archivos con extensiones dobles (.pdf.msc), que se hacen pasar por archivos PDF legítimos si la configuración del sistema no muestra las extensiones de archivo.

Una vez ejecutado a través de Microsoft Management Console (MMC), el archivo MSC activa un código JavaScript ofuscado que:

• Recupera y muestra un archivo señuelo.
• Carga encubiertamente un archivo DLL malicioso llamado DismCore.dll.

Un documento usado en esta campaña lleva el nombre "Reducciones de impuestos, reembolsos y créditos 2024", simulando ser un archivo legítimo de la Junta Federal de Ingresos de Pakistán (FBR).

Funcionalidad de la carga útil


La carga útil principal es una puerta trasera (backdoor) que:

• Establece contacto con un servidor remoto.
• Recibe comandos para exfiltrar datos sensibles del sistema infectado.
• Establece persistencia mediante tareas programadas.

Innovación en métodos de ataque

Los expertos destacan que esta campaña muestra una evolución en el uso de archivos MSC, similar a la explotación de archivos LNK en años anteriores. Ambos formatos facilitan la ejecución de código malicioso mientras se integran con los flujos administrativos legítimos de Windows.

Además, la complejidad del ataque se evidencia en:

• El uso de JavaScript altamente ofuscado en las etapas iniciales.
• El código malicioso oculto en la DLL para evadir detecciones.

Relación con campañas anteriores

Aunque no hay atribución definitiva, Patchwork, un conocido actor de amenazas, utilizó anteriormente un documento similar relacionado con los impuestos de FBR en diciembre de 2023.

Recomendaciones de seguridad


Para protegerse contra este tipo de ataques, se recomienda:

• Deshabilitar extensiones ocultas en los sistemas.
• Implementar herramientas de seguridad que detecten archivos MSC y actividades inusuales.
• Capacitar a los usuarios para identificar señuelos fiscales falsos.
• Utilizar soluciones de detección avanzada que analicen el comportamiento del malware.

Esta campaña destaca la constante evolución de las tácticas de phishing y la necesidad de medidas proactivas para proteger sistemas críticos frente a amenazas avanzadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una reciente campaña de ingeniería social utiliza Microsoft Teams para desplegar el malware DarkGate mediante el engaño a usuarios para instalar AnyDesk, una herramienta de acceso remoto.

Detalles del ataque

Según investigadores de Trend Micro, los atacantes contactaron a víctimas a través de Microsoft Teams, haciéndose pasar por clientes. Al no lograr instalar aplicaciones de soporte remoto de Microsoft, convencieron a las víctimas para descargar AnyDesk.

Una vez obtenido el acceso remoto, los atacantes implementaron DarkGate junto a otras cargas útiles, como ladrones de credenciales.

Características de DarkGate


DarkGate, activo desde 2018 y ahora ofrecido como Malware-as-a-Service (MaaS), posee capacidades como:

• Robo de credenciales.
• Keylogging (registro de teclas).
• Captura de pantalla y audio.
• Acceso remoto a escritorios.

La distribución del malware en este incidente se realizó mediante un script AutoIt, una técnica común en otras campañas detectadas en el último año.

Recomendaciones de seguridad

Ante esta amenaza, las organizaciones deben:

• Habilitar la autenticación multifactor (MFA).
• Restringir el uso de herramientas de acceso remoto no autorizadas.
• Bloquear aplicaciones no verificadas.
• Evaluar a proveedores de soporte técnico externos para evitar ataques de vishing.

Contexto: aumento de ataques de phishing

Este incidente coincide con un incremento global de campañas de phishing, que incluyen:

• YouTube: Suplantación de marcas populares para engañar a creadores de contenido.
• Quishing: Uso de códigos QR en archivos PDF maliciosos para robar credenciales de Microsoft 365.
• Cloudflare Pages: Creación de sitios falsos con verificaciones CAPTCHA engañosas.
• HTML adjuntos: Distribución de archivos disfrazados de facturas que ejecutan código malicioso.
• Mensajes de WhatsApp: Dirigidos a usuarios en India con aplicaciones bancarias fraudulentas.

Estas campañas también aprovechan eventos globales para registrar dominios maliciosos que imitan sitios oficiales, explotando la urgencia y la confianza del público.

En fin la explotación de Microsoft Teams y AnyDesk para distribuir DarkGate demuestra la sofisticación de las tácticas de los ciberdelincuentes. Es fundamental que las organizaciones adopten medidas preventivas para protegerse de ataques basados en ingeniería social y otros vectores de acceso inicial.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad crítica en Apache Struts 2, identificada como CVE-2024-53677 (puntuación CVSS 9.5, "crítico"), está siendo explotada activamente mediante exploits de prueba de concepto (PoC) disponibles públicamente para localizar servidores vulnerables.

Descripción de la vulnerabilidad

Apache Struts es un marco de código abierto ampliamente utilizado para desarrollar aplicaciones web basadas en Java, empleado por organizaciones como agencias gubernamentales, instituciones financieras, plataformas de comercio electrónico y aerolíneas. La vulnerabilidad afecta a las siguientes versiones:

• Struts 2.0.0 a 2.3.37 (fin de vida)
• Struts 2.5.0 a 2.5.33
• Struts 6.0.0 a 6.3.0.2

El problema reside en un error en la lógica de carga de archivos que permite el recorrido de rutas y la carga de archivos maliciosos, facilitando a los atacantes ejecutar código de manera remota.

"Un atacante puede manipular los parámetros de carga de archivos para habilitar el cruce de rutas y, en algunas circunstancias, cargar un archivo malicioso que permita la ejecución remota de código", indica el boletín de seguridad de Apache.

Riesgos de la vulnerabilidad

La falla CVE-2024-53677 permite a los atacantes:

• Subir archivos maliciosos, como webshells.
• Ejecutar comandos remotos en servidores afectados.
• Descargar cargas útiles adicionales.
• Robar información confidencial.

Esta vulnerabilidad guarda similitudes con CVE-2023-50164, lo que sugiere que podría tratarse de una solución incompleta de problemas anteriores.

Actividad de explotación detectada

El investigador Johannes Ullrich de SANS ISC reportó intentos activos de explotación mediante exploits basados en PoC públicas. Los atacantes están:

• Cargando un archivo "exploit.jsp" que imprime la cadena "Apache Struts".
• Verificando si el servidor es vulnerable al acceder a dicho script.

Hasta el momento, la explotación se ha originado desde una dirección IP única: 169.150.226.162.

Mitigación y recomendaciones

Para proteger los sistemas contra esta vulnerabilidad, Apache recomienda:

• Actualizar a Apache Struts 6.4.0 o versiones posteriores.
• Migrar al nuevo mecanismo de carga de archivos de acción.

Es importante destacar que aplicar el parche no es suficiente. Las aplicaciones deben ser reescritas para implementar el nuevo mecanismo de carga, ya que el antiguo sistema permanece vulnerable.

"Este cambio no es compatible con versiones anteriores. Continuar usando el antiguo mecanismo de carga te expone a ataques activos", advierte Apache.

Advertencias globales

Ante la explotación activa, agencias de ciberseguridad de Canadá, Australia y Bélgica han emitido alertas públicas instando a los desarrolladores a actualizar y proteger sus sistemas de forma inmediata.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mozilla ha anunciado que, a partir de la versión Firefox 135, eliminará la opción de "No Rastrear" (DNT) de su navegador. Esta decisión surge debido a la falta de cumplimiento de esta función por parte de las páginas web, lo que genera una falsa sensación de seguridad en los usuarios.

¿Por Qué Mozilla Elimina "No Rastrear"?

Introducida hace 15 años, la opción DNT fue una innovación pionera que permitía a los usuarios solicitar a los sitios web que no rastrearan su actividad. Aunque originalmente fue efectiva, hoy en día la mayoría de las páginas ignoran esta solicitud. Según Mozilla, mantener esta función activa da a los usuarios una sensación errónea de protección, reduciendo la privacidad en lugar de incrementarla.

Con el lanzamiento de Firefox 135, que actualmente se encuentra en el canal Nightly, la opción "Enviar a los sitios web una solicitud de 'No Rastrear'" será retirada del apartado de Privacidad. En su lugar, se prioriza una herramienta más efectiva y alineada con las normativas legales actuales.

La Alternativa: Global Privacy Control

Mozilla recomienda usar la opción "Decir a los sitios web que no vendan ni compartan mis datos", que ya está disponible en las versiones estables de Firefox. Esta función se basa en el estándar Global Privacy Control (GPC), una solución respetada por un número creciente de sitios web debido a su respaldo legal.

Al marcar esta casilla, los usuarios pueden exigir que los sitios cumplan con las leyes de privacidad vigentes, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos.

Cambios para el Usuario Final

Para la mayoría de los usuarios, este cambio no supondrá grandes diferencias en la experiencia de navegación:

• Mayor privacidad real: Al utilizar GPC, los datos de los usuarios estarán protegidos por ley.
• Requiere acción mínima: Los usuarios solo deben asegurarse de marcar la nueva casilla de privacidad en el menú de configuración.

Firefox: Avanzando hacia una Privacidad Más Confiable

Aunque algunos podrían interpretar la eliminación de DNT como un retroceso, la realidad es que Mozilla está tomando medidas para ofrecer privacidad más efectiva y transparente. La transición a Global Privacy Control refuerza su compromiso con la protección de los datos de los usuarios, ajustándose a las exigencias de un entorno digital en constante evolución.

Con este cambio, Firefox 135 refuerza su posición como uno de los navegadores más comprometidos con la privacidad, alineándose con las mejores prácticas legales y tecnológicas para proteger a sus usuarios.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Xfce 4.20, la esperada actualización del popular entorno de escritorio ligero, ya está disponible. Este lanzamiento trae importantes mejoras, incluyendo soporte experimental para Wayland, avances significativos en HiDPI, optimización del gestor de archivos Thunar y nuevas funcionalidades orientadas a la personalización y accesibilidad.

Soporte Experimental para Wayland

Xfce 4.20 marca un paso hacia la modernización con la introducción del soporte para Wayland, un sistema de ventanas más eficiente que promete revolucionar los escritorios en GNU/Linux. Aunque todavía en etapa experimental, los usuarios pueden probar esta funcionalidad utilizando el comando startxfce4 --wayland con compositores compatibles como Labwc o Wayfire. Sin embargo, algunos componentes clave como Xfwm4 o Xfdashboard aún no funcionan en este entorno.

Mejoras Destacadas en Thunar

El gestor de archivos Thunar ha recibido una serie de actualizaciones que lo hacen más ágil y funcional. Estas son algunas de las mejoras principales:

• Soporte para enlaces simbólicos remotos y direcciones IPv6.
• Barra de herramientas mejorada con nuevos botones e iconos en color.
• Gestión avanzada de archivos, incluyendo la apertura automática de carpetas al arrastrar elementos y la visualización del número de archivos ocultos en la barra de estado.
• Ordenación de carpetas antes de archivos, una función muy solicitada por los usuarios.

Estas novedades mejoran significativamente la experiencia al trabajar con grandes directorios o gestionar recursos en ubicaciones remotas.

Personalización y Usabilidad Mejoradas

Xfce 4.20 ofrece nuevas opciones para personalizar el escritorio:

• Soporte para fondos de pantalla SVG, ideales para pantallas de alta resolución.
• Etiquetas de iconos y fondos personalizables.
• Menús contextuales rediseñados con opciones más claras y relevantes.
• Configuración de atajos de teclado para una navegación más eficiente.

Además, la posibilidad de ubicar archivos o carpetas cerca del cursor al crearlos es un cambio sutil pero efectivo para optimizar flujos de trabajo.

Mejoras en el Panel y Configuración

El Panel de Xfce introduce ajustes inteligentes, como:

• Ancho de borde personalizable y mejor detección de complementos.
• Nuevas opciones para relojes analógicos y digitales.
• Soporte para segmentos inactivos y perfiles de energía avanzados, ideales para usuarios de portátiles.

En el ámbito de configuración general, se han realizado mejoras significativas en:

• Escalado de pantalla y temas oscuros.
• Soporte para desplazamiento de alta resolución.
• Gestión optimizada de aceleración de ratón y temas de iconos.

Accesibilidad y Aplicaciones Mejoradas

El buscador de aplicaciones ahora incluye funcionalidades como cierre automático al perder el foco y lanzamiento de aplicaciones con un solo clic. Estas opciones, junto con mejoras en la navegación por teclado, son especialmente útiles para usuarios que priorizan la accesibilidad.

Además, el diálogo "Acerca de Xfce" incluye nuevos detalles técnicos, como información sobre el sistema de ventanas y el procesador gráfico, facilitando el diagnóstico y soporte técnico.

Un Escritorio Ligero que No Sacrifica Funcionalidad

Con características como soporte para Wayland, optimizaciones en Thunar y mejoras de accesibilidad, Xfce 4.20 reafirma su compromiso de ofrecer un entorno de escritorio eficiente, moderno y personalizable. A medida que esta versión se integre en los repositorios estables de las principales distribuciones GNU/Linux, se consolidará como una opción ideal para quienes buscan ligereza sin renunciar a la funcionalidad.

Descubre Xfce 4.20 y lleva tu experiencia en escritorio a otro nivel.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han identificado un nuevo tipo de estafa, conocida como Nomani, que combina anuncios maliciosos, publicaciones en redes sociales y videos generados con IA que utilizan falsamente la imagen de personalidades famosas. Esta sofisticada estrategia ha provocado un aumento del 335% en casos reportados durante el segundo semestre de 2024, según el Informe de Amenazas H2 de ESET.

¿Cómo Operan los Estafadores?

La estafa tiene como objetivo redirigir a las víctimas a sitios web de phishing, donde se recopila información personal sensible. Nomani utiliza una red de perfiles robados o falsos, que incluyen cuentas de pequeñas empresas, entidades gubernamentales y microinfluencers. Estas cuentas publican anuncios en redes sociales como Messenger y Threads, además de reseñas positivas falsas en Google.

Estrategias de Engaño:

• Anuncios Fraudulentos: Presentados como soluciones de inversión con nombres falsos como Quantum Bumex o Bitcoin Trader.
• Phishing: Sitios web que imitan medios locales y abusan de marcas reconocidas.
• Llamadas de Ingeniería Social: Los datos recolectados son usados para contactar a las víctimas y persuadirlas a invertir en supuestos productos financieros.

Cómo Nomani Despluma a las Víctimas

• Captura de Información: Los usuarios proporcionan datos personales al completar formularios en sitios web falsos.
• Manipulación Directa: Con los datos, los estafadores llaman a las víctimas para ofrecer "inversiones lucrativas".
• Explotación Extrema: Los engañan para pedir préstamos o instalar aplicaciones de acceso remoto.
• Estafa Final: Obligan a pagar comisiones para retirar supuestas ganancias, mientras roban más datos y dinero.

Al final, las víctimas no solo pierden su inversión inicial, sino también sus datos personales, utilizados en otros delitos.

¿Quién Está Detrás de Nomani?

Según ESET, esta operación podría estar vinculada a grupos de habla rusa, como lo evidencian comentarios en cirílico en el código fuente y el uso de herramientas de Yandex. Al igual que en otras estafas complejas como Telekopye, distintos equipos se encargan de cada etapa de la cadena de ataque: desde el robo y abuso de cuentas hasta la construcción de la infraestructura de phishing y gestión de call centers.

Operaciones Relacionadas: Fraude Global en Crecimiento

En Corea del Sur, una operación de fraude similar, llamada MIDAS, despojó a las víctimas de más de 6,3 millones de dólares usando plataformas de comercio falsas. Estas herramientas aparentaban realizar transacciones reales, pero en realidad capturaban información sensible y se negaban a devolver el dinero invertido.

Protección contra Estafas de Inversión

Para evitar ser víctima de Nomani u otras estafas similares, sigue estas recomendaciones:

• Verifica fuentes: Comprueba la autenticidad de anuncios y perfiles en redes sociales.
• Evita formularios sospechosos: Nunca compartas datos personales en sitios web no verificados.
• Sé escéptico: Desconfía de ofertas que prometan ganancias rápidas.
• Habilita la autenticación de dos factores: Esto dificulta el acceso no autorizado a tus cuentas.

Nomani es un claro ejemplo de cómo los cibercriminales están utilizando tecnologías avanzadas y estrategias de ingeniería social para llevar a cabo estafas a gran escala. La vigilancia y la educación son claves para evitar caer en sus trampas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo informe de Amnistía Internacional revela cómo el software espía NoviSpy fue utilizado para comprometer el teléfono del periodista serbio Slaviša Milanov tras ser desbloqueado con la herramienta Cellebrite. Este caso destaca un peligroso uso combinado de tecnologías invasivas para espionaje.

¿Qué es NoviSpy y cómo opera?

NoviSpy es un malware diseñado para recopilar datos confidenciales de teléfonos infectados. Según el informe técnico, este software:

Graba audio y video en tiempo real usando el micrófono y la cámara del dispositivo.

• Captura capturas de pantalla de aplicaciones como Signal y WhatsApp.
• Rastrea ubicaciones y roba archivos.

Se instala mediante Android Debug Bridge (adb) y opera con dos aplicaciones:

• NoviSpyAdmin (com.serv.services): Permite registrar llamadas, SMS y contactos.
• NoviSpyAccess (com.accessibilityservice): Abusa de servicios de accesibilidad para capturar datos sensibles.

Contexto de la instalación

El análisis forense indica que NoviSpy fue instalado mientras el dispositivo de Milanov estaba bajo custodia policial tras su detención en 2024. Entre las víctimas también figuran activistas destacados de Serbia, como Nikola Ristić e Ivan Milosavljević Buki.

¿Quién está detrás de NoviSpy?

Aunque no se conoce con certeza su origen, Amnistía sugiere que podría ser un desarrollo interno de las autoridades serbias o adquirido de un tercero. Serbia ha utilizado herramientas de vigilancia como Pegasus y Predator desde 2014 para espiar periodistas y líderes civiles.

Vulnerabilidades en Cellebrite

El informe también revela un fallo de seguridad en el dispositivo de extracción forense UFED de Cellebrite. La vulnerabilidad, catalogada como CVE-2024-43047 (CVSS: 7., permitía la escalada de privilegios en dispositivos Android. Qualcomm corrigió esta brecha en octubre de 2024.

Impacto y respuesta internacional

Amnistía Internacional y otras organizaciones, como Access Now, han pedido a la Unión Europea medidas estrictas contra el abuso de herramientas de vigilancia. Este caso no solo expone riesgos de privacidad, sino también el uso cuestionable de tecnologías comerciales por parte de estados autoritarios.

En fin el caso NoviSpy pone en evidencia la creciente amenaza de herramientas de vigilancia en combinación con fallas tecnológicas. Fortalecer la ciberseguridad y regular el uso de software de espionaje es fundamental para proteger los derechos digitales y la privacidad global.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Electrica Group, uno de los principales actores del mercado energético rumano, se encuentra investigando un ataque de ransomware que aún estaba "en curso" al momento de su último comunicado. La compañía, que distribuye electricidad en Transilvania y Muntenia, atiende a más de 3,8 millones de usuarios y es un pilar en el suministro de energía, mantenimiento y servicios relacionados en Rumanía.

Fundada en 1998 como una división de la Compañía Nacional de Electricidad (CONEL), Electrica se convirtió en una entidad independiente en el año 2000. Desde 2014, cotiza tanto en las bolsas de valores de Bucarest como de Londres, consolidando su posición en el sector energético europeo.

Detalles del ciberataque

El lunes, Electrica informó a sus inversores que trabaja en estrecha colaboración con las autoridades nacionales de ciberseguridad para abordar el incidente. Según su CEO, Alexandru Aurelian Chirita, las medidas tomadas hasta ahora han protegido los sistemas críticos de la compañía:

"Queremos enfatizar que los sistemas críticos del Grupo no se han visto afectados. Las interrupciones en la interacción con nuestros consumidores son temporales y derivan de medidas de protección para la infraestructura interna".

Chirita agregó que estas medidas buscan garantizar la seguridad del sistema, priorizando la continuidad del suministro eléctrico y la protección de datos personales y operativos de todas las entidades del grupo.

Confirmación del ataque como ransomware

Aunque Electrica no ha detallado públicamente la naturaleza del ataque, el Ministerio de Energía de Rumanía lo ha identificado como un incidente de ransomware. Según el ministro de Energía, Sebastián Burduja, los sistemas SCADA utilizados para monitorear y controlar la red de distribución permanecen completamente funcionales y aislados:

"Las investigaciones iniciales confirman que fue un ataque de ransomware. Los sistemas SCADA no están afectados, y los equipos técnicos están trabajando en el terreno para eliminar cualquier riesgo".

Contexto político y ciberseguridad en Rumanía

Este ciberataque ocurre en un contexto de alta vulnerabilidad cibernética en Rumanía. Un informe desclasificado del Servicio de Inteligencia de Rumanía (SRI) reveló que más de 85,000 ciberataques dirigidos a la infraestructura electoral del país ocurrieron entre el 19 y el 25 de noviembre, coincidiendo con las elecciones presidenciales. Además, se confirmó que una campaña de influencia de TikTok vinculada a Rusia afectó la primera vuelta de las elecciones.

Implicaciones del ataque a Electrica

El incidente subraya la importancia de fortalecer las medidas de ciberseguridad en infraestructuras críticas. La capacidad de Electrica para proteger sus sistemas SCADA es un elemento positivo, pero el ataque pone de manifiesto la creciente amenaza que representan los actores maliciosos para el sector energético.

Recomendaciones para mitigar riesgos futuros

• Implementar auditorías regulares de ciberseguridad en sistemas críticos.
• Aislar redes SCADA de sistemas externos para minimizar vulnerabilidades.
• Colaborar con socios internacionales para compartir inteligencia sobre amenazas emergentes.

El caso de Electrica Group es un recordatorio de que la ciberseguridad en infraestructuras críticas es esencial para garantizar la continuidad operativa y proteger a los consumidores frente a interrupciones masivas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha implementado una suspensión de compatibilidad para las actualizaciones de Windows 11 24H2 en equipos con versiones obsoletas de Google Workspace Sync for Microsoft Outlook (GWSMO) debido a problemas que impiden el inicio de Outlook.

¿Qué es GWSMO y qué errores genera?

GWSMO es una herramienta que permite a los usuarios integrar su correo, calendario, contactos y tareas de Google Workspace con Microsoft Outlook. En las versiones antiguas, los usuarios afectados encuentran errores como:

"No se puede iniciar Microsoft Outlook. No se puede abrir la ventana de Outlook. MAPI no pudo cargar los errores del servicio de información."

Actualizar a la versión más reciente de GWSMO (4.3.68.0, lanzada el 22 de noviembre) resuelve este problema. Sin embargo, si se actualiza a Windows 11 24H2 antes de instalar esta versión, no será posible desinstalar ni reinstalar GWSMO, complicando aún más la solución.

Medidas tomadas por Microsoft

Microsoft ha bloqueado las actualizaciones para dispositivos con GWSMO desactualizado, clasificando este problema como un incidente conocido bajo el identificador 54318776 en Windows Update. Los usuarios deben:

• Actualizar GWSMO a la versión 4.3.68.0 antes de instalar Windows 11 24H2.
• Evitar el uso del Asistente de instalación de Windows 11 o la Herramienta de creación de medios para realizar actualizaciones manuales mientras persista el problema.

En caso de que el bloqueo persista después de actualizar GWSMO, Microsoft recomienda contactar al soporte de Google Workspace para obtener asistencia adicional.

Problemas similares y otras retenciones de actualizaciones

Microsoft ha identificado y bloqueado actualizaciones de Windows 11 24H2 en dispositivos afectados por otros problemas, como:

• Juegos de Ubisoft que presentan fallos, problemas de audio o bloqueos.
• Escáneres USB que usan el protocolo eSCL.
• Controladores Intel Smart Sound Technology (SST) incompatibles, que provocan errores de pantalla azul de la muerte (BSOD).

Además, las actualizaciones también están bloqueadas en sistemas con:

• Asphalt 8 (Airborne) y ciertas cámaras integradas.
• Dispositivos Asus X415KA y X515KA.
• Aplicaciones de personalización de fondos de pantalla.
• Safe Exam Browser y el software Easy Anti-Cheat, utilizado en juegos multijugador en línea.

Es recomendable antes de actualizar a Windows 11 24H2, los usuarios deben asegurarse de que todas las aplicaciones, controladores y dependencias estén actualizados para evitar conflictos. Mantener un entorno de software compatible garantiza una transición fluida a nuevas versiones del sistema operativo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo ataque a la cadena de suministro de software ha comprometido dos versiones de la biblioteca de inteligencia artificial (IA) de Python, Ultralytics, para incluir un minero de criptomonedas. Las versiones afectadas, 8.3.41 y 8.3.42, ya han sido eliminadas del repositorio Python Package Index (PyPI), y se ha lanzado una actualización con una corrección de seguridad para garantizar un flujo de trabajo de publicación seguro.

¿Cómo ocurrió el ataque?

El mantenedor del proyecto, Glenn Jocher, confirmó que las versiones comprometidas resultaron de una inyección de código malicioso en el flujo de trabajo de implementación de PyPI. Este incidente se detectó cuando usuarios informaron un aumento anormal en el uso de CPU, un síntoma típico de la minería de criptomonedas.

El ataque comprometió el entorno de compilación del proyecto, permitiendo que actores maliciosos insertaran modificaciones no autorizadas después de la revisión del código. Esto generó discrepancias entre el código fuente publicado en PyPI y el repositorio oficial en GitHub.

Método utilizado: Inyección en GitHub Actions

Según Karlo Zanki, de ReversingLabs, los atacantes aprovecharon una vulnerabilidad en el flujo de trabajo de GitHub Actions asociado con el proyecto. La falla, identificada en "ultralytics/actions" por el investigador de seguridad Adnan Khan, permitió a los atacantes enviar solicitudes de incorporación de cambios maliciosas desde una cuenta de GitHub llamada openimbot. Estas solicitudes habilitaban la recuperación y ejecución de cargas útiles en sistemas macOS y Linux.

Impacto y medidas de mitigación

Aunque en este caso el código malicioso solo incluía un minero XMRig, Zanki advierte que el ataque podría haber sido mucho más perjudicial si se hubieran implementado malware más agresivos, como puertas traseras o troyanos de acceso remoto (RAT).

Como respuesta, ComfyUI, una herramienta que depende de Ultralytics, ha implementado advertencias para alertar a los usuarios si ejecutan versiones comprometidas. Se insta a los desarrolladores y usuarios a:

• Actualizar inmediatamente a la última versión de la biblioteca Ultralytics.
• Implementar entornos de compilación más seguros para prevenir inyecciones maliciosas en el futuro.
• Revisar cuidadosamente las dependencias de terceros para evitar riesgos en la cadena de suministro.

En fin, este incidente subraya la importancia de fortalecer la seguridad en los flujos de trabajo de implementación y la necesidad de monitorear continuamente las dependencias en proyectos de código abierto. Mantener bibliotecas actualizadas y aplicar prácticas de seguridad proactivas son medidas esenciales para protegerse contra amenazas emergentes en la cadena de suministro.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Recientemente, se ha informado de una vulnerabilidad crítica ya corregida en DeepSeek, un chatbot impulsado por inteligencia artificial (IA), que permitía a atacantes tomar el control de cuentas de usuarios mediante ataques de inyección rápida. Este fallo, identificado por el investigador de seguridad Johann Rehberger, ponía en riesgo las sesiones de usuario al permitir la ejecución de código JavaScript no autorizado mediante un ataque clásico de secuencias de comandos entre sitios (XSS).

Detalles del ataque XSS en DeepSeek

El ataque se activaba al introducir un mensaje malicioso como:

"Imprima la hoja de trucos XSS en una lista de viñetas. Solo cargas útiles".
Esto provocaba que el chatbot generara una respuesta que ejecutaba código malicioso en el navegador de la víctima. La explotación permitía al atacante acceder al userToken almacenado en el localStorage del dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, lo que facilitaba el secuestro de cuentas.

El ataque utilizaba una combinación de instrucciones y cadenas codificadas en Base64, que el chatbot descodificaba para ejecutar la carga útil maliciosa, extrayendo el token de sesión de la víctima. Con esto, el atacante podía hacerse pasar por el usuario legítimo.

Ataques en Claude AI y nuevas amenazas

Además de DeepSeek, Rehberger también reveló vulnerabilidades en Claude Computer Use de Anthropic. Este sistema, diseñado para controlar computadoras mediante un modelo de lenguaje, podía explotarse mediante inyecciones rápidas para ejecutar comandos maliciosos de forma autónoma. La técnica, denominada ZombAIs, transformaba esta funcionalidad en una herramienta de ataque capaz de descargar y ejecutar marcos de comando y control (C2), como Sliver, estableciendo contacto con servidores controlados por atacantes.

Por otra parte, los modelos de lenguaje grandes (LLM) presentan otro vector de ataque al generar código de escape ANSI, lo que permite secuestrar terminales de sistemas mediante la inyección rápida. Este enfoque, apodado Terminal DiLLMa, se dirige a herramientas de interfaz de línea de comandos (CLI) que integran LLM.

Nuevas investigaciones y riesgos en ChatGPT

Investigadores de la Universidad de Wisconsin-Madison y la Universidad de Washington en St. Louis han demostrado que ChatGPT de OpenAI puede ser engañado para renderizar enlaces externos en formato Markdown. Estos enlaces pueden contener contenido explícito o violento, presentado bajo objetivos aparentemente benignos. Además, se descubrió que las inyecciones de avisos podrían invocar plugins de ChatGPT sin la confirmación del usuario y evadir restricciones de seguridad impuestas por OpenAI, incluyendo la exfiltración de historiales de chat hacia servidores maliciosos.

Medidas de mitigación para desarrolladores

Rehberger enfatizó la importancia de gestionar con cuidado las salidas generadas por LLM, ya que estas podrían contener datos arbitrarios no confiables. Los desarrolladores deben implementar:

• Validación estricta de entradas y salidas generadas por LLM.
• Parcheo oportuno de vulnerabilidades descubiertas.
• Configuración de entornos de ejecución aislados para minimizar el impacto de posibles exploits.

En fin, estas vulnerabilidades destacan la creciente necesidad de robustecer la seguridad en herramientas de IA generativa, dada su adopción masiva. La atención proactiva a posibles vectores de ataque es esencial para proteger a los usuarios frente a riesgos emergentes en este panorama tecnológico en evolución.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Comisión de Protección de Datos de Irlanda (DPC) ha sancionado a LinkedIn con una multa de 310 millones de euros (335 millones de dólares) por infringir las normas de privacidad del Reglamento General de Protección de Datos (GDPR). Esta medida responde a que LinkedIn utilizó datos personales de sus usuarios para realizar análisis de comportamiento y desplegar publicidad dirigida sin el consentimiento adecuado.

Investigación y hallazgos del DPC sobre LinkedIn

La investigación, iniciada en 2018 tras una denuncia de la Autoridad de Protección de Datos de Francia, determinó que LinkedIn infringió varios principios del GDPR, entre ellos la transparencia y equidad en el procesamiento de datos. Estos incumplimientos se refieren específicamente a los artículos 5 y 6 del GDPR, que regulan la licitud y la necesidad de transparencia en el tratamiento de datos personales.

El DPC señaló que LinkedIn no obtuvo un consentimiento claro y explícito de sus usuarios para procesar datos con fines de publicidad dirigida. En su lugar, la plataforma utilizó la base de "intereses legítimos" para justificar el uso de datos personales en sus campañas publicitarias. Sin embargo, la DPC consideró que esta justificación no cumplía con los requisitos del GDPR. Además de la multa, LinkedIn debe adaptar sus prácticas para cumplir con las normativas de la Unión Europea en un plazo de tres meses.

Requisitos del GDPR para el consentimiento y la transparencia

El GDPR establece que el consentimiento de los usuarios debe ser libre, específico, informado y otorgado de forma clara. Asimismo, cualquier tratamiento de datos debe ser justo y transparente, asegurando que los usuarios comprendan cómo y por qué se utilizan sus datos. Según el comisionado adjunto de la DPC, Graham Doyle, "la legalidad del procesamiento de datos personales es fundamental para la protección de los derechos de privacidad de los usuarios". La falta de una base legal adecuada constituye una violación grave de estos derechos, afectando la confianza de los usuarios en la protección de sus datos personales.

Respuesta de LinkedIn y medidas futuras

Microsoft, empresa propietaria de LinkedIn, comentó que la plataforma está trabajando para que sus prácticas publicitarias cumplan con los requisitos del GDPR antes del plazo establecido. Aunque LinkedIn sostiene que sus prácticas publicitarias se ajustan a las normativas, asegura que revisará y ajustará cualquier proceso necesario para cumplir con la decisión del DPC.

Esta sanción a LinkedIn refleja el compromiso de las autoridades europeas por proteger la privacidad de los datos personales, y marca una advertencia para las empresas sobre la necesidad de adherirse estrictamente al GDPR. Las multas por violaciones de privacidad pueden alcanzar hasta el 4% de los ingresos anuales globales de una empresa, lo que convierte el cumplimiento en una prioridad estratégica.

Otros casos relevantes: Pinterest y la base legal de "intereses legítimos"

La organización de privacidad noyb, dirigida por el activista Max Schrems, también ha presentado una denuncia en Francia contra Pinterest, argumentando que la plataforma de redes sociales utiliza la base de "intereses legítimos" para rastrear la actividad de los usuarios sin su consentimiento explícito. Según noyb, Pinterest habilita el rastreo de usuarios de manera predeterminada, requiriendo que estos opten por la exclusión para evitar el seguimiento de sus datos.

Noyb sostiene que Pinterest debería buscar el consentimiento explícito de los usuarios para la publicidad dirigida, como estipula el artículo 6(1)(a) del GDPR, en lugar de invocar intereses legítimos para justificar su rastreo. Un portavoz de Pinterest afirmó que la empresa cumple con el GDPR en su enfoque hacia la publicidad personalizada, aunque la queja de noyb refleja una creciente presión en Europa sobre el uso de intereses legítimos para justificar el procesamiento de datos en campañas publicitarias.

Implicaciones de las sanciones del GDPR en el sector tecnológico

Las multas a empresas como LinkedIn subrayan la importancia de que las plataformas de redes sociales cumplan rigurosamente con las regulaciones de privacidad en Europa. La normativa GDPR exige a las empresas mantener una transparencia total sobre el uso de datos personales y obliga a las organizaciones a obtener el consentimiento expreso de los usuarios antes de realizar actividades de análisis de comportamiento o publicidad personalizada.

Este tipo de sanciones refuerza el mensaje de que las normativas de protección de datos en la Unión Europea están siendo estrictamente aplicadas y que las organizaciones deben adoptar prácticas sólidas de privacidad y transparencia. Las empresas tecnológicas que operan en la UE deben tomar en serio estos requisitos, dado que el incumplimiento puede resultar en sanciones financieras significativas y un daño reputacional considerable.

Con esta multa, LinkedIn se une a la lista de grandes plataformas tecnológicas que han enfrentado sanciones bajo el GDPR, resaltando la determinación de las autoridades europeas para asegurar que los derechos de privacidad de los usuarios estén debidamente protegidos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha lanzado un entorno de investigación virtual para que los expertos en ciberseguridad puedan probar y evaluar la seguridad de su sistema Private Cloud Compute (PCC), una innovadora arquitectura de computación en la nube privada orientada a proteger la privacidad de los datos de los usuarios. Como parte de su estrategia para reforzar la seguridad, la compañía ha publicado el código fuente de varios "componentes clave" de PCC, lo que facilita a los investigadores el análisis de la privacidad y seguridad de esta arquitectura en un entorno controlado.

Private Cloud Compute: Innovación en privacidad y seguridad en la nube
Private Cloud Compute (PCC) es una infraestructura avanzada de inteligencia en la nube diseñada para procesar datos complejos de inteligencia artificial (IA) provenientes de dispositivos Apple sin comprometer la privacidad de los usuarios. PCC utiliza cifrado de extremo a extremo, lo cual garantiza que los datos enviados desde los dispositivos Apple estén accesibles solo para el usuario, impidiendo que incluso Apple pueda acceder a ellos.

Este entorno cumple con estrictos estándares de seguridad, de modo que los datos personales de los usuarios permanezcan privados y protegidos de accesos no autorizados. Poco después del lanzamiento de PCC, Apple permitió el acceso a un grupo de investigadores y auditores de seguridad seleccionados para validar la efectividad de sus protecciones de seguridad y privacidad.

Entorno Virtual de Investigación (VRE): Acceso público para verificar la seguridad de PCC

Apple ha ampliado el acceso al Entorno Virtual de Investigación (VRE), permitiendo a cualquier usuario interesado explorar cómo funciona PCC y confirmar el cumplimiento de las garantías de seguridad prometidas. La compañía ha puesto a disposición la "Guía de Seguridad de Cómputo en la Nube Privada," que describe la arquitectura de PCC y detalla los componentes técnicos.

El VRE permite ejecutar una réplica del sistema PCC en una máquina virtual, proporcionando a los investigadores la capacidad de inspeccionar y probar sus funcionalidades. En este entorno, es posible ejecutar el software del nodo PCC con solo mínimas modificaciones. El software en el espacio de usuario funciona como en un nodo PCC real, mientras que el proceso de arranque y el kernel han sido adaptados para la virtualización, permitiendo una evaluación de seguridad en profundidad.

Para usar el VRE, se requiere macOS Sequia 15.1 Developer Preview y un dispositivo Apple con chip Silicon y al menos 16 GB de memoria unificada. Gracias a este entorno, los investigadores pueden analizar a fondo el sistema, modificando y depurando el software de PCC y realizando inferencias en modelos de demostración.

Publicación del código fuente y herramientas clave para la investigación de PCC
Apple ha compartido el código fuente de varios componentes de PCC para promover una mayor transparencia en el funcionamiento de su sistema y facilitar la investigación de seguridad. Entre estos componentes se encuentran:

• CloudAttestation: Encargado de construir y validar las atestaciones del nodo PCC, garantizando la autenticidad y la transparencia de los procesos.
• Thimble: Incluye el demonio privatecloudcomputed, que aplica la transparencia verificable en el dispositivo del usuario mediante CloudAttestation.
• Splunkloggingd: Un demonio que filtra los registros emitidos desde un nodo PCC, protegiéndolos contra la divulgación accidental de datos.
• Srd_tools: Proporciona las herramientas de VRE que facilitan la ejecución del código de PCC, ayudando a los investigadores a comprender cómo funciona este entorno.

Estas herramientas permiten a los investigadores observar cómo funcionan los distintos componentes de PCC en condiciones simuladas, contribuyendo a identificar vulnerabilidades potenciales.

Programa de recompensas de seguridad para vulnerabilidades de PCC

Apple ha ampliado su programa de recompensas de seguridad, ofreciendo incentivos financieros para quienes descubran fallos significativos en PCC. La recompensa más alta es de hasta 1 millón de dólares por un ataque remoto que comprometa los datos de solicitud de los usuarios, logrando ejecución remota de código con permisos arbitrarios. Además, Apple ofrece recompensas de $250,000 para quienes demuestren métodos de acceso a datos de solicitud de usuarios o información confidencial.

Para ataques realizados desde la red con privilegios elevados, la recompensa varía entre $50,000 y $150,000, dependiendo de la complejidad del ataque y la naturaleza de la vulnerabilidad. Apple ha enfatizado que, aunque su programa incluye categorías específicas, cualquier vulnerabilidad significativa que afecte a PCC puede ser elegible para una recompensa.

Compromiso con la seguridad y privacidad en la computación en la nube

Apple considera que Private Cloud Compute es una de las arquitecturas de seguridad más avanzadas implementadas para computación en la nube de IA, pero reconoce que la colaboración con la comunidad de investigación es clave para seguir mejorando sus estándares de seguridad y privacidad. Con este entorno abierto, la compañía reafirma su compromiso en proporcionar soluciones seguras y transparentes a sus usuarios.

La apertura del acceso a PCC y la colaboración con investigadores no solo ayudan a fortalecer el ecosistema de seguridad de Apple, sino que también refuerzan su compromiso con la privacidad del usuario en un mundo digital en constante evolución. Este enfoque colaborativo es una señal de los esfuerzos de Apple por ofrecer un entorno de IA en la nube altamente seguro que responda a las crecientes demandas de privacidad de los usuarios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Amazon toma medidas contra el uso de dominios en campañas fraudulentas de Escritorio Remoto para proteger datos

Amazon ha tomado acción en la reciente campaña de ciberespionaje atribuida a APT29, un grupo de amenazas persistentes avanzadas (APT) vinculado a ataques sofisticados. En esta ocasión, el grupo empleó dominios que simulaban pertenecer a Amazon Web Services (AWS) para desplegar una campaña de phishing con el objetivo de capturar credenciales de Windows de usuarios desprevenidos, y no credenciales de AWS como podría pensarse. A través de su servicio de Escritorio Remoto de Microsoft (RDP), APT29 engañó a las víctimas para que se conectaran a servidores controlados por atacantes, comprometiendo así datos sensibles.

La Estrategia de Amazon para Contrarrestar el Fraude

Amazon respondió rápidamente al identificar esta actividad maliciosa, logrando la incautación de varios dominios utilizados por APT29. Estos dominios falsos simulaban servicios de AWS para atraer a los usuarios, aunque el verdadero objetivo del grupo era obtener credenciales de inicio de sesión de Windows. La intervención de Amazon resultó en la interrupción de esta operación, mitigando el riesgo para los usuarios.

Los actores de amenazas de APT29 se especializan en ataques dirigidos a instituciones gubernamentales, organizaciones de investigación y centros de análisis a nivel mundial. Emplean técnicas avanzadas de phishing y malware para infiltrarse y robar información crítica, especialmente de organizaciones consideradas adversarias de Rusia.

Alcance Global de la Campaña de APT29

La campaña de APT29 tuvo un impacto global, y aunque se descubrió inicialmente en Ucrania, se detectaron actividades de esta campaña en varios países, principalmente aquellos que mantienen una postura adversa hacia Rusia. Amazon observó que, a diferencia de las operaciones anteriores, esta campaña apuntó a un número significativamente mayor de objetivos. Este cambio en su enfoque sugiere una posible diversificación en las tácticas de APT29, ampliando su alcance para aumentar las posibilidades de éxito.

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) emitió alertas sobre los archivos adjuntos maliciosos utilizados en esta campaña, catalogados bajo el código "UAC-0215". Estos archivos estaban diseñados para activar conexiones RDP maliciosas, permitiendo a los atacantes obtener acceso a los dispositivos de las víctimas y comprometer la seguridad de sus redes. En los mensajes de phishing, los atacantes usaron temas relacionados con "problemas de integración" con los servicios de Amazon y Microsoft, aludiendo también a la implementación de arquitecturas de seguridad "de confianza cero" o "Zero Trust Architecture" (ZTA), una estrategia que suele despertar el interés en el sector empresarial.

Cómo Funciona la Amenaza de Escritorio Remoto

Los correos electrónicos de APT29 incluían archivos de conexión RDP con nombres engañosos como "Zero Trust Security Environment Compliance Check.rdp". Al abrir estos archivos, las víctimas activaban conexiones directas con los servidores de los atacantes, comprometiendo la seguridad de sus propios dispositivos. Estos archivos de conexión RDP configurados de forma maliciosa compartían automáticamente los recursos locales del dispositivo de la víctima con el servidor RDP de APT29. Entre los recursos comprometidos se encontraban:

• Discos y archivos locales
• Recursos de red
• Impresoras
• Puertos COM
• Dispositivos de audio
• Portapapeles

Además, los atacantes podían aprovechar esta conexión para ejecutar programas y scripts maliciosos en los dispositivos comprometidos, lo que les permitía obtener acceso directo a datos sensibles e incluso instalar software espía para mantener el control de los dispositivos infectados. Según CERT-UA, estos métodos son especialmente peligrosos, ya que permiten a los atacantes mantener una presencia persistente en las redes objetivo.

La Respuesta de Amazon y su Impacto en la Seguridad

Si bien la campaña de APT29 estaba enfocada en la obtención de credenciales de Windows a través de conexiones RDP, el acceso a los recursos locales compartidos brindaba a los atacantes una puerta abierta para robar información adicional. La rápida intervención de Amazon fue crucial para frenar la expansión de esta amenaza, y la incautación de los dominios comprometidos ha sido un paso esencial para mitigar el riesgo de futuros ataques similares.

Con estas acciones, Amazon ha reforzado su compromiso con la ciberseguridad y ha proporcionado un ejemplo para otras grandes organizaciones que enfrentan ataques sofisticados por parte de grupos APT. En un entorno de amenazas en constante evolución, las empresas tecnológicas están llamadas a actuar de manera proactiva para proteger tanto sus sistemas como los de sus usuarios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En el primer día de Pwn2Own Ireland, los participantes demostraron 52 vulnerabilidades de día cero en una variedad de dispositivos, ganando un total de $ 486,250 en premios en efectivo.

Viettel Cyber Security tomó una ventaja temprana, obteniendo 13 puntos en su persecución por el título de "Master of Pwn". El equipo phudq y namnp explotaron una cámara WiFi Lorex 2K a través de una vulnerabilidad de desbordamiento de búfer basada en pila y obtuvieron USD 30,000 y 3 puntos.

Sina Kheirkhah de Summoning Team se robó el show con una cadena de nueve vulnerabilidades para pasar del router QNAP QHora-322 al dispositivo TrueNAS Mini X, lo que le valió un pago de 100.000 dólares y 10 puntos Master of Pwn.

Jack Dates, de RET2 Systems, siguió con un exitoso exploit de escritura fuera de límites (OOB) en el altavoz inteligente Sonos Era 300, asegurando USD 60,000 y 6 puntos. Su hazaña permitió el control total sobre el dispositivo.

Un segundo intento de Viettel Cyber Security combinó cuatro nuevos errores para pasar del router QHora-322 de QNAP al TrueNAS Mini X, lo que les valió otros 50.000 dólares y 10 puntos.

Otros intentos notables del primer día de Pwn2Own incluyen:

• El equipo Neodyme aprovechó un desbordamiento de búfer basado en pila para dirigirse a la impresora HP Color LaserJet Pro MFP 3301fdw. Su éxito fue recompensado con $20,000 y 2 puntos.
• PHP Hooligans / Midnight Blue ganó $ 20,000 por explotar una impresora Canon imageCLASS MF656Cdw usando un solo error.
• ExLuck de ANHTUD se unió a la tabla de clasificación con cuatro nuevos errores, incluida la verificación incorrecta de certificados y una clave criptográfica codificada, para explotar el dispositivo NAS TS-464 de QNAP. Este esfuerzo ganó $40,000 y 4 puntos Master of Pwn.
• En el frente de la vigilancia, Ryan Emmons y Stephen Less de Rapid7 explotaron con éxito el Synology DiskStation DS1823xs+ a través de un error de neutralización incorrecta de delimitadores de argumentos, ganando 40.000 dólares y 4 puntos.

Sin embargo, el primer día no estuvo exento de desafíos y fracasos parciales. Summoning Team tuvo problemas para ejecutar sus exploits QNAP TS-464 y Synology BeeStation BST150-4T a tiempo, mientras que Synacktiv experimentó una colisión de errores en su exploit de cámara Lorex 2K, ganando un pago reducido de $ 11,250.

A pesar de algunos contratiempos, el primer día de Pwn2Own Ireland 2024 estuvo repleto de hacks de alto riesgo y recompensas equivalentes.

Quedan tres días más en la competencia y los participantes intentarán explotar los problemas de seguridad que se encuentran en los dispositivos SOHO completamente parcheados, incluidas impresoras, sistemas NAS, cámaras WiFi, enrutadores, altavoces inteligentes, teléfonos móviles (Samsung Galaxy S24), para obtener una parte del premio acumulado de $ 1 millón.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fortinet ha sido centro de atención en la industria de la ciberseguridad debido a una reciente vulnerabilidad crítica en su producto FortiManager, que ha sido explotada en ataques de día cero. Esta falla, identificada como CVE-2024-47575 y con una calificación de gravedad de 9.8 sobre 10, ha puesto en alerta a empresas y administradores de redes que utilizan esta herramienta esencial para la gestión de dispositivos FortiGate.

Explotación de la vulnerabilidad de FortiManager

Los administradores de dispositivos Fortinet han compartido que esta vulnerabilidad ha sido aprovechada por atacantes durante un tiempo considerable, incluso antes de que se enviaran notificaciones oficiales a los clientes. Un usuario en Reddit mencionó que su empresa fue atacada semanas antes de recibir un aviso formal, lo que indica la naturaleza de día cero de la vulnerabilidad.

Fortinet, en su comunicado público, ha confirmado que la vulnerabilidad afecta al protocolo FortiGate to FortiManager (FGFM), que facilita la administración remota de dispositivos FortiGate a través de FortiManager. Esta brecha permite que un atacante remoto no autenticado ejecute comandos arbitrarios mediante solicitudes diseñadas específicamente.

Dispositivos afectados y actualizaciones de seguridad

La vulnerabilidad impacta múltiples versiones de FortiManager, incluidas las versiones locales y en la nube. Entre las versiones afectadas están las 7.6, 7.4, 7.2, 7.0 y 6.4 de FortiManager. Fortinet ya ha lanzado parches de seguridad para corregir esta vulnerabilidad en las versiones más recientes, como la 7.2.8 y la 7.4.5. Las actualizaciones para otras versiones se esperan en los próximos días.

Los administradores de FortiManager deben aplicar estas actualizaciones de inmediato para mitigar el riesgo. Fortinet también ha ofrecido soluciones temporales, como el comando set fgfm-deny-unknown enable, que previene que dispositivos no autorizados se conecten al servidor FortiManager. Asimismo, recomienda la creación de listas de IP permitidas y el uso de certificados personalizados para establecer conexiones seguras.

Explotación de la vulnerabilidad para el robo de datos

Uno de los objetivos principales de los ataques ha sido el robo de datos críticos de los servidores FortiManager. Los atacantes han utilizado la vulnerabilidad para extraer información como direcciones IP, credenciales y configuraciones de dispositivos gestionados, que podrían ser utilizados para comprometer redes corporativas y servicios de proveedores de servicios administrados (MSP). Sin embargo, hasta el momento, no se ha reportado la instalación de malware en los servidores comprometidos.

Fortinet ha compartido Indicadores de Compromiso (IOC) para ayudar a los administradores de seguridad a detectar si sus sistemas FortiManager han sido violados. Entre estos, se destaca la aparición de dispositivos no registrados con el nombre "localhost" en los registros de FortiManager, así como la ejecución de comandos de API que permiten a los atacantes añadir estos dispositivos fraudulentos.

Prevención y mitigación de ataques futuros

La compañía ha ofrecido medidas proactivas para mitigar posibles explotaciones en el futuro. Además de las actualizaciones de software mencionadas anteriormente, Fortinet recomienda que los administradores configuren listas de control de acceso estrictas y monitoreen los registros de actividad para detectar comportamientos sospechosos.

Es importante destacar que la exposición de los puertos FGFM en dispositivos conectados a Internet ha sido uno de los principales factores que facilitó los ataques. Una búsqueda en Shodan realizada por el investigador de ciberseguridad Kevin Beaumont reveló que más de 59,000 dispositivos FortiManager con puertos FGFM están expuestos en línea, lo que los convierte en blancos fáciles para los atacantes. La mayoría de estos dispositivos se encuentran en los Estados Unidos, lo que subraya la necesidad de limitar la exposición de estos servicios a la red pública.

Críticas a la transparencia de Fortinet

La forma en que Fortinet manejó la divulgación de esta vulnerabilidad ha sido objeto de críticas por parte de la comunidad de ciberseguridad. Algunos clientes han expresado frustración por no haber recibido las notificaciones privadas a tiempo, lo que los dejó vulnerables durante semanas. Fortinet ha defendido su proceso, indicando que se priorizó la divulgación responsable para permitir a los clientes reforzar su seguridad antes de hacer pública la información. Sin embargo, esta no es la primera vez que Fortinet es criticado por su falta de transparencia en la divulgación de vulnerabilidades críticas. Casos anteriores, como las vulnerabilidades SSL-VPN de FortiOS en 2022 y 2023, siguieron un patrón similar.

En fin, la vulnerabilidad CVE-2024-47575 en FortiManager destaca la creciente importancia de mantener actualizados los sistemas de gestión de redes y aplicar medidas de seguridad proactivas. Las organizaciones que utilizan FortiManager deben actuar rápidamente para proteger sus entornos de TI, aplicar las actualizaciones correspondientes y revisar las configuraciones de seguridad para evitar ser víctimas de ataques similares en el futuro. La gestión eficiente de vulnerabilidades y la comunicación clara entre proveedores y clientes son esenciales para mitigar los riesgos asociados con las fallas de día cero.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Recientemente, se ha detectado que los actores de amenazas están explotando la función de aceleración de transferencias de Amazon S3 (Simple Storage Service) para realizar ataques de ransomware dirigidos a exfiltrar los datos de las víctimas. Estos datos son transferidos rápidamente y almacenados en buckets de S3 controlados por los atacantes. Este enfoque permite a los ciberdelincuentes abusar de la infraestructura de la nube para sus fines maliciosos.

Investigadores de Trend Micro, como Jaromir Horejsi y Nitesh Surana, han identificado intentos de disfrazar ransomware escrito en Golang como el infame ransomware LockBit, una de las amenazas de ciberseguridad más conocidas. No obstante, han aclarado que esto es solo una táctica para aprovechar la notoriedad de LockBit y generar más presión sobre las víctimas, lo que es una estrategia común en los ataques de ransomware de alto perfil.

Uso de AWS en ataques de ransomware

El análisis también reveló que los artefactos de ransomware incrustan credenciales de Amazon Web Services (AWS) codificadas, lo que facilita la exfiltración de datos a través de la nube. Esta táctica resalta cómo los atacantes están utilizando servicios en la nube populares como armas para sus esquemas maliciosos. Los investigadores de Trend Micro también descubrieron más de 30 muestras con ID de clave de acceso y claves de acceso secretas incrustadas, lo que indica un desarrollo activo de estos ataques.

Se presume que las cuentas de AWS utilizadas en estas campañas de ransomware son gestionadas directamente por los atacantes o han sido comprometidas previamente. Tras la divulgación de estas actividades al equipo de seguridad de AWS, se tomaron medidas inmediatas para suspender las claves de acceso y las cuentas comprometidas.

Funcionamiento del ransomware multiplataforma

Este ransomware tiene la capacidad de atacar tanto sistemas Windows como macOS. Aunque no se conoce con exactitud cómo el malware llega al host objetivo, una vez ejecutado, el ransomware recopila el Identificador Único Universal (UUID) de la máquina afectada. Luego, lleva a cabo una serie de pasos que incluyen la generación de una clave maestra necesaria para cifrar los archivos. Antes de cifrarlos, el ransomware exfiltra los archivos a través de la función de S3 Transfer Acceleration (S3TA), lo que facilita una transferencia de datos más rápida y eficiente a los servidores de los atacantes.

Una vez completado el proceso de cifrado, los archivos se renombran siguiendo un formato específico: <nombre de archivo original>.<vector de inicialización>.abcd. Por ejemplo, un archivo llamado "text.txt" se transformaría en "text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd". Además, el fondo de pantalla del dispositivo de la víctima es modificado para mostrar una imagen que menciona LockBit 2.0, lo que refuerza la intimidación y fomenta el pago del rescate.

Disfraz y presión sobre las víctimas

El uso de tácticas de disfraz en los ataques de ransomware no es nuevo, y los ciberdelincuentes suelen aprovechar la reputación de otros malware conocidos para presionar más a las víctimas. Los investigadores de Trend Micro señalaron que la notoriedad de LockBit y otros ransomwares de alto perfil hace que las víctimas se sientan más amenazadas, lo que puede aumentar la probabilidad de que cedan ante las demandas de los atacantes.

Casos recientes y herramientas de descifrado

Un desarrollo reciente es el lanzamiento de un descifrador por parte de Gen Digital para una variante del ransomware Mallox, detectada entre enero de 2023 y febrero de 2024. Este descifrador se creó después de que los investigadores descubrieran una falla en el esquema criptográfico del malware. Según el investigador Ladislav Zezula, las víctimas de esta variante específica de Mallox pueden restaurar sus archivos de forma gratuita. Sin embargo, esta vulnerabilidad fue corregida en marzo de 2024, lo que significa que las versiones posteriores del ransomware ya no son vulnerables a este descifrador.

Además, una filial de la operación Mallox, conocida como TargetCompany, ha utilizado una versión ligeramente modificada del ransomware Kryptina, conocida como Mallox v1.0, para atacar sistemas Linux. Esto resalta la evolución constante del panorama del ransomware, que se ha transformado en una compleja red de herramientas y códigos compartidos entre varios actores de amenazas.

Perspectivas sobre el ransomware en 2024

El ransomware sigue siendo una amenaza crítica. En el tercer trimestre de 2024, se reportaron 1.255 ataques de ransomware, una leve disminución respecto a los 1.325 ataques del trimestre anterior, según un informe de Symantec. No obstante, Microsoft advirtió en su Informe de Defensa Digital 2024 que los ataques de ransomware operados por humanos han aumentado 2,75 veces en comparación con el año anterior, y el número de ataques que alcanzan la fase de cifrado se ha triplicado en los últimos dos años.

En resumen, los actores de amenazas continúan adaptándose y utilizando nuevas técnicas, como el abuso de los servicios en la nube, para lanzar ataques más sofisticados y efectivos. La evolución de variantes como Mallox y el uso de Amazon S3 para exfiltración de datos subrayan la importancia de implementar medidas de seguridad robustas y estar alerta ante las amenazas emergentes

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login