Hasta USD 7 mil millones en criptomonedas se han lavado ilícitamente a través de delitos entre cadenas, y el Grupo Lazarus, vinculado a Corea del Norte, está vinculado al robo de aproximadamente USD 900 millones de esas ganancias entre julio de 2022 y julio de este año.

"A medida que las entidades tradicionales, como los mezcladores, continúan siendo objeto de incautaciones y escrutinio de sanciones, el desplazamiento de los criptodelitos a tipologías de salto de cadena o activo también está en aumento", dijo la firma de análisis de blockchain Elliptic en un nuevo informe publicado esta semana.

La delincuencia entre cadenas se refiere a la conversión de criptoactivos de un token o blockchain a otro, a menudo en rápida sucesión, en un intento de ofuscar su origen, lo que lo convierte en un método lucrativo para el lavado de dinero para los robos de criptomonedas y una alternativa a los enfoques de Acc como los mezcladores.

Según los datos recopilados por Elliptic, el uso de puentes entre cadenas por parte del Grupo Lazarus contribuyó a la mayor parte del aumento del 111% en la proporción de fondos enviados a través de dichos servicios.

Se estima que el equipo de hackers norcoreanos ha robado casi 240 millones de dólares en criptomonedas desde junio de 2023, tras una serie de ataques dirigidos a Atomic Wallet (100 millones de dólares), CoinsPaid (37,3 millones de dólares), Alphapo (60 millones de dólares), You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (41 millones de dólares) y CoinEx (31 millones de dólares).


"La diversidad, el número y la excentricidad en la implementación de las campañas de Lazarus definen a este grupo, así como que realiza los tres pilares de las actividades cibercriminales: ciberespionaje, sabotaje cibernético y búsqueda de ganancias financieras", dijo ESET sobre el actor de amenazas a fines del mes pasado.

El actor de amenazas también se ha relacionado con el uso de Avalanche Bridge para depositar más de 9.500 bitcoins, al tiempo que emplea soluciones de cadena cruzada para mover algunos de los activos saqueados.

"Como lo demuestra el hecho de que los activos terminen en la misma cadena de bloques en numerosas ocasiones, estas transacciones no tienen ningún propósito comercial legítimo más que ofuscar su origen", dijo Elliptic. "Tender puentes de un lado a otro en aras de la ofuscación, es decir, 'saltar en cadena', es ahora una tipología reconocida de lavado de dinero".

La revelación se produce cuando el Servicio Nacional de Inteligencia de Corea del Sur (NIS, por sus siglas en inglés) ha advertido de que Corea del Norte está atacando su sector de construcción naval desde principios de año.

"Los métodos de piratería utilizados principalmente por las organizaciones de piratería de Corea del Norte fueron ocupar y eludir las PC de las empresas de mantenimiento de TI, e instalar código malicioso después de distribuir correos electrónicos de phishing a empleados internos", dijo la agencia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitHub ha anunciado una mejora en su función de escaneo de secretos que extiende las comprobaciones de validez a servicios populares como Amazon Web Services (AWS), Microsoft, Google y Slack.

Las comprobaciones de validez, introducidas por la filial de Microsoft a principios de este año, alertan a los usuarios sobre si los tokens expuestos encontrados por el escaneo de secretos están activos, lo que permite medidas de corrección efectivas. Se habilitó por primera vez para los tokens de GitHub.

El servicio de alojamiento de código y control de versiones basado en la nube dijo que tiene la intención de admitir más tokens en el futuro.

Para alternar la configuración, los propietarios de empresas u organizaciones y los administradores de repositorios pueden dirigirse a Configuración > Seguridad y análisis de código > Análisis de secretos y marcar la opción "Verificar automáticamente si un secreto es válido enviándolo al socio correspondiente".

A principios de este año, GitHub también amplió las alertas de escaneo de secretos para todos los repositorios públicos y anunció la disponibilidad de la protección push para ayudar a los desarrolladores y mantenedores a proteger de manera proactiva su código mediante el escaneo de secretos altamente identificables antes de que se envíen.

El desarrollo se produce cuando Amazon presentó una vista previa de los requisitos mejorados de protección de cuentas que obligarán a los usuarios privilegiados (también conocidos como usuarios raíz) de una cuenta de AWS Organization a activar la autenticación multifactor (MFA) a partir de mediados de 2024.

"MFA es una de las formas más simples y efectivas de mejorar la seguridad de las cuentas, ya que ofrece una capa adicional de protección para ayudar a evitar que personas no autorizadas obtengan acceso a los sistemas o datos", dijo Steve Schmidt, director de seguridad de Amazon.

Los métodos de MFA débiles o mal configurados también encontraron un lugar entre las 10 configuraciones erróneas de red más comunes, según un nuevo aviso conjunto emitido por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).


"Algunas formas de MFA son vulnerables al phishing, al 'push bombing', a la explotación de las vulnerabilidades del protocolo Signaling System 7 (SS7) y/o a las técnicas de 'SIM swap'", dijeron las agencias.

"Estos intentos, si tienen éxito, pueden permitir que un actor de amenazas obtenga acceso a las credenciales de autenticación de MFA o eluda MFA y acceda a los sistemas protegidos por MFA".

Las otras configuraciones erróneas de ciberseguridad prevalentes son las siguientes:

• Configuraciones predeterminadas de software y aplicaciones
• Separación incorrecta del privilegio de usuario/administrador
• Supervisión insuficiente de la red interna
• Falta de segmentación de la red
• Mala gestión de parches
• Derivación de los controles de acceso al sistema
• Listas de control de acceso (ACL) insuficientes en recursos compartidos de red y servicios
• Mala higiene de las credenciales
• Ejecución de código sin restricciones

Como mitigaciones, se recomienda que las organizaciones eliminen las credenciales predeterminadas y protejan las configuraciones; deshabilitar los servicios no utilizados e implementar controles de acceso; priorizar la aplicación de parches; Audite y supervise las cuentas y privilegios administrativos.

También se ha instado a los proveedores de software a que implementen principios de seguridad por diseño, utilicen lenguajes de programación seguros para la memoria siempre que sea posible, eviten incrustar contraseñas predeterminadas, proporcionen registros de auditoría de alta calidad a los clientes sin cargo adicional y exijan métodos de MFA resistentes al phishing.

"Estas configuraciones erróneas ilustran (1) una tendencia de debilidades sistémicas en muchas grandes organizaciones, incluidas aquellas con posturas cibernéticas maduras, y (2) la importancia de que los fabricantes de software adopten principios de seguridad por diseño para reducir la carga de los defensores de la red", señalaron las agencias.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

23andMe ha confirmado a BleepingComputer que está al tanto de los datos de los usuarios de su plataforma que circulan en foros de hackers y atribuye la filtración a un ataque de relleno de credenciales.

23andMe es una empresa estadounidense de biotecnología y genómica que ofrece servicios de pruebas genéticas a los clientes que envían una muestra de saliva a sus laboratorios y obtienen un informe de ascendencia y predisposiciones genéticas.

Recientemente, un actor de amenazas filtró muestras de datos que supuestamente fueron robados de una empresa de genética y, unos días después, se ofreció a vender paquetes de datos pertenecientes a clientes de 23andMe.


La fuga de datos inicial fue limitada, ya que el actor de amenazas publicó 1 millón de líneas de datos para personas asquenazíes. Sin embargo, el 4 de octubre, el actor de amenazas ofreció vender perfiles de datos al por mayor por entre 1 y 10 dólares por cuenta de 23andMe, dependiendo de cuántos se compraran.


Un portavoz de 23andMe confirmó que los datos son legítimos y le dijo a BleepingComputer que los actores de amenazas utilizaron credenciales expuestas de otras violaciones para acceder a las cuentas de 23andMe y robar los datos confidenciales.

"Nos enteramos de que cierta información del perfil del cliente de 23andMe se recopiló a través del acceso a cuentas de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login individuales", declaró el portavoz de 23andMe

"No tenemos ningún indicio en este momento de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas".

"Más bien, los resultados preliminares de esta investigación sugieren que las credenciales de inicio de sesión utilizadas en estos intentos de acceso pueden haber sido recopiladas por un actor de amenazas a partir de datos filtrados durante incidentes que involucran a otras plataformas en línea donde los usuarios han reciclado credenciales de inicio de sesión".

La información que se ha expuesto a partir de este incidente incluye nombres completos, nombres de usuario, fotos de perfil, sexo, fecha de nacimiento, resultados de ascendencia genética y ubicación geográfica.

BleepingComputer también se ha enterado de que el número de cuentas vendidas por el ciberdelincuente no refleja el número de cuentas de 23andMe violadas utilizando credenciales expuestas.

Las cuentas comprometidas habían optado por la función 'Parientes de ADN' de la plataforma, que permite a los usuarios encontrar parientes genéticos y conectarse con ellos.

El actor de amenazas accedió a un pequeño número de cuentas de 23andMe y luego extrajo los datos de sus coincidencias de ADN relativo, lo que muestra cómo optar por una función puede tener consecuencias inesperadas para la privacidad.

23andMe le dijo a BleepingComputer que la plataforma ofrece autenticación de dos factores como una medida adicional de protección de cuentas y alienta a todos los usuarios a habilitarla.

Los usuarios deben abstenerse de reutilizar contraseñas y emplear constantemente credenciales seguras y distintas para cada cuenta en línea que tengan.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft finalmente eliminó la aplicación independiente Cortana de Windows 11 en la última versión preliminar para Insiders en Canary Channel.

"La aplicación Cortana se quita después de actualizar a esta compilación. Hemos finalizado el soporte para Cortana", anunciaron hoy los miembros del equipo de Windows Insider, Amanda Langowski y Brandon LeBlanc.

Antes de principios de agosto, cuando quedó obsoleto en otra versión canary, el asistente personal estaba profundamente integrado en el ecosistema de Microsoft y estaba diseñado para funcionar en estrecha colaboración con otros productos de Microsoft.

Redmond anunció por primera vez que finalizaría el soporte para la aplicación independiente de Windows Cortana en un documento de soporte publicado en junio.

"El soporte para Cortana en Teams Mobile, Microsoft Teams display y Microsoft Teams Rooms finalizará en el otoño de 2023. La asistencia de voz en Outlook Mobile y Microsoft 365 Mobile también finalizará en el otoño de 2023", dijo Microsoft en ese momento.

"Este cambio solo afecta a Cortana en Windows, y su asistente de productividad, Cortana, seguirá estando disponible en Outlook Mobile, Teams Mobile, Microsoft Teams display y Microsoft Teams Rooms".

Hoy, ha llegado el momento de que Cortana finalmente se elimine de Windows 11 después de instalar Windows 11 Insider Preview Build 25967.

Microsoft Copilot entra en escena

El anuncio de hoy se produce después de que Redmond dijera que dejó de dar soporte a la aplicación móvil Cortana hace dos años, a partir de marzo de 2021.

La compañía reveló durante la conferencia Build de este año que el lugar de Cortana sería ocupado por su nuevo asistente digital de Windows, el Microsoft Copilot impulsado por IA.

Este nuevo asistente digital impulsado por IA comenzó a implementarse para todos los clientes de Windows el 26 de septiembre, con una amplia gama de nuevas capacidades de IA como parte de la última actualización de Windows 11 22H2.

"Copilot incorporará de manera única el contexto y la inteligencia de la web, sus datos de trabajo y lo que está haciendo en el momento en su PC para brindar una mejor asistencia, con su privacidad y seguridad a la vanguardia", dijo Yusuf Mehdi, vicepresidente ejecutivo de Microsoft.

"Con la actualización de características, Copilot en Windows estará activado de forma predeterminada, pero bajo su control con la política de Microsoft Intune o la política de grupo", agregó Harjit Dhaliwal de Microsoft en una publicación de blog empresarial separada.

Microsoft también sugiere que los usuarios de Cortana pueden reemplazar con algunos de sus otros productos lanzados recientemente, incluido el nuevo motor de búsqueda Bing impulsado por IA y el acceso por voz en Windows 11 para controlar las PC con sus voces.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco ha lanzado actualizaciones para abordar una falla de seguridad crítica que afecta a Emergency Responder y que permite a los atacantes remotos no autenticados iniciar sesión en sistemas susceptibles utilizando credenciales codificadas.

La vulnerabilidad, rastreada como CVE-2023-20101 (puntuación CVSS: 9,8), se debe a la presencia de credenciales de usuario estáticas para la cuenta raíz que, según la empresa, suele reservarse para su uso durante el desarrollo.

"Un atacante podría explotar esta vulnerabilidad utilizando la cuenta para iniciar sesión en un sistema afectado", dijo Cisco en un aviso. "Un exploit exitoso podría permitir al atacante iniciar sesión en el sistema afectado y ejecutar comandos arbitrarios como usuario root".

El problema afecta a la versión 12.5(1)SU4 de Cisco Emergency Responder y se ha solucionado en la versión 12.5(1)SU5. Otras versiones del producto no se ven afectadas.

La empresa de equipos de red dijo que descubrió el problema durante las pruebas de seguridad internas y que no tiene conocimiento de ningún uso malicioso de la vulnerabilidad en la naturaleza.

La revelación se produce menos de una semana después de que Cisco advirtiera sobre el intento de explotación de una falla de seguridad en su software IOS y software IOS XE (CVE-2023-20109, puntuación CVSS: 6.6) que podría permitir a un atacante remoto autenticado lograr la ejecución remota de código en los sistemas afectados.

En ausencia de soluciones temporales, se recomienda a los clientes que actualicen a la versión más reciente para mitigar las posibles amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una entidad gubernamental de Guyana ha sido atacada como parte de una campaña de ciberespionaje denominada Operación Jacana.

La actividad, que fue detectada por ESET en febrero de 2023, supuso un ataque de spear-phishing que llevó al despliegue de un implante hasta ahora indocumentado escrito en C++ llamado DinodasRAT.

La firma eslovaca de ciberseguridad dijo que podría vincular la intrusión a un actor o grupo de amenazas conocido, pero atribuyó con confianza media a un adversario del nexo con China debido al uso de PlugX (también conocido como Korplug), un troyano de acceso remoto común a los equipos de piratas informáticos chinos.

"Esta campaña fue dirigida, ya que los actores de amenazas elaboraron sus correos electrónicos específicamente para atraer a la organización víctima elegida", dijo ESET en un informe compartido con The Hacker News.

"Después de comprometer con éxito un conjunto inicial pero limitado de máquinas con DinodasRAT, los operadores procedieron a moverse hacia el interior y violar la red interna del objetivo, donde nuevamente desplegaron esta puerta trasera".

La secuencia de infección comenzó con un correo electrónico de phishing que contenía un enlace con trampas explosivas con líneas de asunto que hacían referencia a un supuesto informe de noticias sobre un fugitivo guyanés en Vietnam.

Si un destinatario hace clic en el enlace, se descarga un archivo ZIP del dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[.] vn, lo que indica un compromiso de un sitio web del gobierno vietnamita para alojar la carga útil.

Incrustado dentro del archivo ZIP hay un ejecutable que inicia el malware DinodasRAT para recopilar información confidencial de la computadora de la víctima.

DinodasRAT, además de cifrar la información que envía al servidor de comando y control (C2) mediante el algoritmo de cifrado diminuto (TEA), viene con capacidades para exfiltrar metadatos del sistema, archivos, manipular claves de registro de Windows y ejecutar comandos.

También se han desplegado herramientas para el movimiento lateral, Korplug y el cliente VPN SoftEther, el último de los cuales ha sido utilizado por otro clúster afiliado a China rastreado por Microsoft como Flax Typhoon.

"Los atacantes utilizaron una combinación de herramientas previamente desconocidas, como DinodasRAT, y puertas traseras más tradicionales como Korplug", dijo el investigador de ESET Fernando Tavella.

"Sobre la base de los correos electrónicos de spear-phishing utilizados para obtener acceso inicial a la red de la víctima, los operadores realizan un seguimiento de las actividades geopolíticas de sus víctimas para aumentar la probabilidad de éxito de su operación".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía australiana de software Atlassian lanzó actualizaciones de seguridad de emergencia para corregir una vulnerabilidad de día cero de máxima gravedad en su software Confluence Data Center and Server, que ha sido explotada en ataques.

"Atlassian ha sido informada de un problema reportado por un puñado de clientes en el que los atacantes externos pueden haber explotado una vulnerabilidad previamente desconocida en instancias de Confluence Data Center y Server de acceso público para crear cuentas de administrador de Confluence no autorizadas y acceder a instancias de Confluence", dijo la compañía.

"Los sitios de Atlassian Cloud no se ven afectados por esta vulnerabilidad. Si se accede a tu sitio de Confluence a través de un dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, está alojado en Atlassian y no es vulnerable a este problema".

Rastreado como CVE-2023-22515, este error crítico de escalada de privilegios afecta a Confluence Data Center y Server 8.0.0 y versiones posteriores y se describe como explotable de forma remota en ataques de baja complejidad que no requieren la interacción del usuario.

Se recomienda a los clientes que utilicen versiones vulnerables de Confluence Data Center y Server que actualicen sus instancias lo antes posible a una de las versiones corregidas (es decir, 8.3.3 o posterior, 8.4.3 o posterior, 8.5.2 o posterior).

Además de actualizar y aplicar medidas de mitigación, Atlassian también insta a los clientes a cerrar las instancias afectadas o aislarlas del acceso a Internet si no es posible aplicar parches inmediatos.

Los administradores pueden eliminar los vectores de ataque conocidos asociados a esta vulnerabilidad impidiendo el acceso a los puntos de enlace /setup/* en las instancias de Confluence.

"Las instancias en la Internet pública están particularmente en riesgo, ya que esta vulnerabilidad se puede explotar de forma anónima", agregó Atlassian.

Se aconseja a los administradores que comprueben si hay señales de infracción
La compañía también recomienda verificar todas las instancias de Confluence en busca de indicadores de compromiso, que incluyen:

• Miembros inesperados del grupo Confluence-Administrator
• Cuentas de usuario inesperadas recién creadas
• solicitudes a /setup/*.action en los registros de acceso a la red
• presencia de /setup/setupadministrator.action en un mensaje de excepción en atlassian-confluence-security.log en el directorio principal de Confluence

Con el lanzamiento de un parche, existe una mayor posibilidad de que los actores de amenazas hagan bin-diff de los parches de seguridad lanzados para descubrir la debilidad parcheada, lo que podría acelerar la creación de un exploit utilizable.

"Si se determina que su instancia de Confluence Server/DC se ha visto comprometida, nuestro consejo es apagar y desconectar inmediatamente el servidor de la red/Internet", advirtió Atlassian.

"Además, es posible que desee apagar inmediatamente cualquier otro sistema que potencialmente comparta una base de usuarios o tenga combinaciones comunes de nombre de usuario / contraseña con el sistema comprometido".

Proteger inmediatamente los servidores de Confluence es extremadamente importante, teniendo en cuenta su atractivo pasado para los actores maliciosos, con incidentes anteriores relacionados con el ransomware AvosLocker y Cerber2021, el malware de botnet de Linux y los mineros de criptomonedas que subrayan la urgencia del asunto.

El año pasado, CISA ordenó a las agencias federales que parchearan otra vulnerabilidad crítica de Confluence (CVE-2022-26138) explotada en la naturaleza, basándose en alertas anteriores de la empresa de ciberseguridad Rapid7 y la empresa de inteligencia de amenazas GreyNoise.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que los piratas informáticos intentan violar los entornos en la nube a través de Microsoft SQL Server vulnerables a la inyección SQL.

Los investigadores de seguridad de Microsoft informan que esta técnica de movimiento lateral se ha visto anteriormente en ataques a otros servicios como máquinas virtuales y clústeres de Kubernetes.

Sin embargo, esta es la primera vez que ven SQL Server aprovechado para este propósito.

Cadena de ataque

Los ataques que Microsoft observó comienzan con la explotación de una vulnerabilidad de inyección SQL en una aplicación en el entorno del objetivo.

Esto permite a los actores de amenazas obtener acceso a la instancia de SQL Server hospedada en Máquina virtual de Azure con permisos elevados para ejecutar comandos SQL y extraer datos valiosos.

Esto incluye datos sobre bases de datos, nombres de tablas, esquemas, versiones de bases de datos, configuración de red y permisos de lectura/escritura/eliminación.

Si la aplicación comprometida tiene permisos elevados, los atacantes pueden activar el comando 'xp_cmdshell' para ejecutar comandos del sistema operativo (SO) a través de SQL, dándoles un shell en el host.

Los comandos ejecutados por los atacantes en esta etapa incluyen los siguientes:

• Lea directorios, enumere procesos y compruebe recursos compartidos de red.
• Descargue ejecutables codificados y comprimidos y scripts de PowerShell.
• Configure una tarea programada para iniciar un script de puerta trasera.
• Recupere las credenciales de usuario volcando las claves de registro SAM y SECURITY.
• Exfiltrar datos utilizando un método único que involucra el servicio gratuito 'webhook.site', que facilita la solicitud HTTP y la inspección y depuración de correo electrónico.

El uso de un servicio legítimo para la exfiltración de datos hace que la actividad sea menos probable que parezca sospechosa o levante banderas por parte de los productos de seguridad, lo que permite a los atacantes robar discretamente datos del host.

A continuación, los atacantes intentaron explotar la identidad en la nube de la instancia de SQL Server para acceder al IMDS (servicio de metadatos instantáneos) y obtener la clave de acceso de identidad en la nube.

En Azure, a menudo se asignan identidades administradas a los recursos para la autenticación con otros recursos y servicios en la nube. Si los atacantes tienen ese token, pueden usarlo para acceder a cualquier recurso en la nube para el que la identidad tenga permisos.

Microsoft dice que los atacantes no lograron aprovechar con éxito esta técnica debido a errores, pero el enfoque sigue siendo válido y constituye una grave amenaza para las organizaciones.

Finalmente, los actores de amenazas eliminaron todos los scripts descargados y borraron las modificaciones temporales de la base de datos para borrar los rastros del ataque.


Consejos de defensa

Microsoft sugiere usar Defender for Cloud y Defender for Endpoint para detectar inyecciones SQL y actividad sospechosa de SQLCMD, ambos empleados en el ataque observado.

Para mitigar la amenaza, Microsoft recomienda aplicar el principio de privilegios mínimos al conceder permisos de usuario, lo que siempre agrega fricción en los intentos de movimiento lateral.

Las consultas de búsqueda para 365 Defender y Sentinel se proporcionan en el apéndice del informe de Microsoft.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La organización educativa estadounidense sin fines de lucro National Student Clearinghouse ha revelado una violación de datos que afecta a 890 escuelas que utilizan sus servicios en todo Estados Unidos.

En una carta de notificación de violación presentada ante la Oficina del Fiscal General de California, Clearinghouse dijo que los atacantes obtuvieron acceso a su servidor de transferencia de archivos administrada (MFT) MOVEit el 30 de mayo y robaron archivos que contenían una amplia gama de información personal.

"El 31 de mayo de 2023, nuestro proveedor de software externo, Progress Software, informó a Clearinghouse de un problema de ciberseguridad relacionado con la solución MOVEit Transfer del proveedor", dijo Clearinghouse.

"Después de enterarnos del problema, iniciamos rápidamente una investigación con el apoyo de los principales expertos en ciberseguridad. También nos hemos coordinado con la policía".

La información de identificación personal (PII) contenida en los documentos robados incluye nombres, fechas de nacimiento, información de contacto, números de Seguro Social, números de identificación de estudiantes y algunos registros relacionados con la escuela (por ejemplo, registros de inscripción, registros de títulos y datos de nivel de curso).

De acuerdo con las cartas de notificación de violación de datos, los datos expuestos en el ataque varían para cada individuo afectado. La lista completa de organizaciones educativas afectadas por esta violación masiva de datos se puede encontrar aquí.

Clearinghouse proporciona informes educativos, intercambio de datos, verificación y servicios de investigación a aproximadamente 22,000 escuelas secundarias y alrededor de 3,600 colegios y universidades.

La organización dice que sus participantes inscriben aproximadamente al 97% de los estudiantes en instituciones públicas y privadas.

Clop ransomware gang detrás de los hacks de MoveIT

La pandilla de ransomware Clop es responsable de los extensos ataques de robo de datos que comenzaron el 27 de mayo, aprovechando una falla de seguridad de día cero en la plataforma de transferencia segura de archivos MOVEit Transfer.

A partir del 15 de junio, los ciberdelincuentes comenzaron a extorsionar a las organizaciones que fueron víctimas de los ataques, exponiendo sus nombres en el sitio de fuga de datos de la web oscura del grupo.

Se prevé que las consecuencias de estos ataques afecten a cientos de organizaciones en todo el mundo, y muchas ya han notificado a los clientes afectados en los últimos cuatro meses.

A pesar del amplio grupo de víctimas potenciales, las estimaciones de Coveware sugieren que es probable que solo un número limitado ceda a las demandas de rescate de Clop. No obstante, se espera que la banda de ciberdelincuentes recaude un estimado de $ 75-100 millones en pagos debido a las altas solicitudes de rescate.

Los informes también han revelado que múltiples agencias federales de los Estados Unidos y dos entidades del Departamento de Energía de los Estados Unidos (DOE) han sido víctimas de estos ataques de robo de datos y extorsión.

H/T Brett Callow
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Air Canada, la aerolínea de bandera y la aerolínea más grande de Canadá, reveló un incidente de seguridad cibernética esta semana en el que los piratas informáticos obtuvieron "brevemente" acceso limitado a sus sistemas internos.

Según la aerolínea, el incidente resultó en el robo de una cantidad limitada de información personal de algunos de sus empleados y "ciertos registros". Los datos de los clientes no se vieron afectados.

Los hackers obtuvieron acceso "brevemente"

Air Canada, la aerolínea que recientemente fue criticada por obligar a sus pasajeros a sentarse en asientos cubiertos de vómito o arriesgarse a ser agregada a una lista de exclusión aérea, una vez más ha sido noticia, esta vez, por un incidente de seguridad cibernética que afectó a uno de sus sistemas internos.

"Un grupo no autorizado obtuvo brevemente acceso limitado a un sistema interno de Air Canada relacionado con información personal limitada de algunos empleados y ciertos registros", se lee en un comunicado publicado el miércoles 20 de septiembre en el sitio web de prensa de Air Canada.

Los sistemas de operaciones de vuelo de la aerolínea y los sistemas orientados al cliente no se vieron afectados, y no se accedió a la información del cliente en este incidente.

La aerolínea se ha puesto en contacto con las partes afectadas y con las autoridades policiales pertinentes.

"También podemos confirmar que todos nuestros sistemas están en pleno funcionamiento", continúa el comunicado.

"Desde entonces, hemos implementado nuevas mejoras en nuestras medidas de seguridad, incluso con la ayuda de los principales expertos mundiales en seguridad cibernética, para prevenir tales incidentes en el futuro como parte de nuestro compromiso continuo de mantener la seguridad de los datos que tenemos".

La breve divulgación del incidente no incluyó ningún detalle más allá de eso, como qué causó el incidente, y terminó con la compañía afirmando que "no tenía más comentarios públicos sobre este asunto".

Esta no es la primera vez que los sistemas de Air Canada han experimentado un hackeo.

En 2018, Air Canada reveló que la información de perfil de 20,000 de sus usuarios de aplicaciones móviles había sido accedida por partes no autorizadas.

Como resultado de este incidente, la aerolínea, en ese momento, tuvo que bloquear todas sus 1,7 millones de cuentas de aplicaciones móviles como medida de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las tres fallas de día cero abordadas por Apple el 21 de septiembre de 2023 se aprovecharon como parte de una cadena de explotación de iPhone en un intento de entregar una cepa de spyware llamada Predator dirigida al ex miembro del parlamento egipcio Ahmed Eltantawy entre mayo y septiembre de 2023.

"El ataque tuvo lugar después de que Eltantawy declarara públicamente sus planes de postularse para presidente en las elecciones egipcias de 2024", dijo el Citizen Lab, atribuyendo el ataque con alta confianza al gobierno egipcio debido a que era un cliente conocido de la herramienta de espionaje comercial.

Según una investigación conjunta realizada por el laboratorio interdisciplinario canadiense y el Grupo de Análisis de Amenazas (TAG) de Google, se dice que la herramienta de vigilancia mercenaria se entregó a través de enlaces enviados por SMS y WhatsApp.

"En agosto y septiembre de 2023, la conexión móvil Vodafone Egipto de Eltantawy se seleccionó persistentemente para la orientación a través de la inyección de red; cuando Eltantawy visitó ciertos sitios web que no usaban HTTPS, un dispositivo instalado en la frontera de la red de Vodafone Egipto lo redirigió automáticamente a un sitio web malicioso para infectar su teléfono con el spyware Predator de Cytrox", dijeron los investigadores de Citizen Lab.

La cadena de exploits aprovechó un conjunto de tres vulnerabilidades: CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993, que podrían permitir a un actor malintencionado eludir la validación de certificados, elevar los privilegios y lograr la ejecución remota de código en dispositivos específicos al procesar un contenido web especialmente diseñado.

Predator, fabricado por una compañía llamada Cytrox, es análogo a Pegasus de NSO Group, lo que permite a sus clientes vigilar objetivos de interés y recopilar datos confidenciales de dispositivos comprometidos. Parte de un consorcio de proveedores de spyware llamado Intellexa Alliance, fue bloqueado por el gobierno de los Estados Unidos en julio de 2023 por "permitir campañas de represión y otros abusos contra los derechos humanos".


El exploit, alojado en un dominio llamado sec-flare[.] com, se dice que fue entregado después de que Eltantawy fue redirigido a un sitio web llamado c.betly[.] Me por medio de un sofisticado ataque de inyección de red utilizando el middlebox PacketLogic de Sandvine situado en un enlace entre Telecom Egypt y Vodafone Egypt.

"El cuerpo del sitio web de destino incluía dos iframes, ID 'if1' que contenía contenido de cebo aparentemente benigno (en este caso un enlace a un archivo APK que no contenía spyware) e ID 'if2' que era un iframe invisible que contenía un enlace de infección Predator alojado en sec-flare[.] com", dijo el Citizen Lab.

La investigadora de Google TAG Maddie Stone lo caracterizó como un caso de un ataque adversario en el medio (AitM) que aprovecha una visita a un sitio web utilizando HTTP (en lugar de HTTPS) para interceptar y obligar a la víctima a visitar un sitio diferente operado por el actor de la amenaza.

"En el caso de esta campaña, si el objetivo iba a cualquier sitio 'http', los atacantes inyectaban tráfico para redirigirlos silenciosamente a un sitio de Intellexa, c.betly[.] yo", explicó Stone. "Si el usuario era el usuario objetivo esperado, el sitio redirigiría el objetivo al servidor de exploits, sec-flare[.] com."

Eltantawy recibió tres mensajes SMS en septiembre de 2021, mayo de 2023 y septiembre de 2023 que se hicieron pasar por alertas de seguridad de WhatsApp instando a Eltantawy a hacer clic en un enlace para finalizar una sesión de inicio de sesión sospechosa originada en un supuesto dispositivo Windows.

Si bien estos enlaces no coinciden con la huella digital del dominio antes mencionado, la investigación reveló que el spyware Predator se instaló en el dispositivo aproximadamente 2 minutos y 30 segundos después de que Eltantawy leyera el mensaje enviado en septiembre de 2021.

También recibió dos mensajes de WhatsApp el 24 de junio de 2023 y el 12 de julio de 2023, en los que una persona que afirmaba estar trabajando para la Federación Internacional de Derechos Humanos (FIDH) solicitaba su opinión sobre un artículo que apuntaba al sitio web sec-flare. .com. Los mensajes quedaron sin leer.

Google TAG dijo que también detectó una cadena de exploits que armó una falla de ejecución remota de código en el navegador web Chrome (CVE-2023-4762) para entregar Predator en dispositivos Android utilizando dos métodos: la inyección AitM y a través de enlaces únicos enviados directamente al objetivo.


CVE-2023-4762, una vulnerabilidad de confusión de tipo en el motor V8, fue reportada anónimamente el 16 de agosto de 2023 y parcheada por Google el 5 de septiembre de 2023, aunque el gigante de Internet evalúa que Cytrox / Intellexa puede haber utilizado esta vulnerabilidad como un día cero.

Según una breve descripción en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, CVE-2023-4762 se refiere a una "confusión de tipo en V8 en Google Chrome anterior a 116.0.5845.179 [que] permitió a un atacante remoto ejecutar código arbitrario a través de una página HTML diseñada".

Los últimos hallazgos, además de destacar el abuso de las herramientas de vigilancia para atacar a la sociedad civil, subrayan los puntos ciegos en el ecosistema de telecomunicaciones que podrían explotarse para interceptar el tráfico de la red e inyectar malware en los dispositivos de los objetivos.

"Aunque se han logrado grandes avances en los últimos años para 'cifrar la web', los usuarios todavía visitan ocasionalmente sitios web sin HTTPS, y una sola visita al sitio web que no sea HTTPS puede resultar en una infección de spyware", dijo el Citizen Lab.

Se recomienda a los usuarios que están en riesgo de amenazas de spyware debido a "quiénes son o qué hacen" que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo en iPhones, iPads y Mac para evitar tales ataques

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han descubierto una puerta trasera avanzada previamente indocumentada llamada Deadglyph empleada por un actor de amenazas conocido como Stealth Falcon como parte de una campaña de espionaje cibernético.

"La arquitectura de Deadglyph es inusual, ya que consiste en componentes cooperantes, uno un binario x64 nativo, el otro un ensamblaje .NET", dijo ESET en un nuevo informe compartido con The Hacker News.

"Esta combinación es inusual porque el malware generalmente usa solo un lenguaje de programación para sus componentes. Esta diferencia podría indicar un desarrollo separado de esos dos componentes al tiempo que aprovecha las características únicas de los distintos lenguajes de programación que utilizan".

También se sospecha que el uso de diferentes lenguajes de programación es una táctica deliberada para dificultar el análisis, lo que hace que sea mucho más difícil navegar y depurar.

A diferencia de otras puertas traseras tradicionales de su tipo, los comandos se reciben de un servidor controlado por actores en forma de módulos adicionales que le permiten crear nuevos procesos, leer archivos y recopilar información de los sistemas comprometidos.

Stealth Falcon (también conocido como FruityArmor) fue expuesto por primera vez por el Citizen Lab en 2016, vinculándolo a un conjunto de ataques de spyware dirigidos en el Medio Oriente dirigidos a periodistas, activistas y disidentes en los Emiratos Árabes Unidos utilizando señuelos de spear-phishing que incrustan enlaces con trampas explosivas que apuntan a documentos macro-atados para entregar un implante personalizado capaz de ejecutar comandos arbitrarios.

Una investigación posterior realizada por Reuters en 2019 reveló una operación clandestina llamada Proyecto Raven que involucró a un grupo de ex agentes de inteligencia estadounidenses que fueron reclutados por una firma de ciberseguridad llamada DarkMatter para espiar objetivos críticos de la monarquía árabe.

Se cree que Stealth Falcon y Project Raven son el mismo grupo basado en las superposiciones en tácticas y objetivos.

Desde entonces, el grupo se ha relacionado con la explotación de día cero de fallas de Windows como CVE-2018-8611 y CVE-2019-0797, y Mandiant señaló en abril de 2020 que el actor de espionaje "usó más días cero que cualquier otro grupo" de 2016 a 2019.

Casi al mismo tiempo, ESET detalló el uso por parte del adversario de una puerta trasera llamada Win32 / StealthFalcon que se descubrió que usaba el Servicio de transferencia inteligente en segundo plano (BITS) de Windows para las comunicaciones de comando y control (C2) y para obtener el control completo de un punto final.

Deadglyph es la última incorporación al arsenal de Stealth Falcon, según la firma eslovaca de ciberseguridad, que analizó una intrusión en una entidad gubernamental no identificada en el Medio Oriente.

El método exacto utilizado para administrar el implante es actualmente desconocido, pero el componente inicial que activa su ejecución es un cargador de shellcode que extrae y carga shellcode del Registro de Windows, que posteriormente inicia el módulo x64 nativo de Deadglyph, conocido como Executor.

A continuación, el ejecutor continúa cargando un componente .NET conocido como Orchestrator que, a su vez, se comunica con el servidor de comando y control (C2) para esperar más instrucciones. El malware también se involucra en una serie de maniobras evasivas para volar bajo el radar, contando la capacidad de desinstalarse.

Los comandos recibidos del servidor se ponen en cola para su ejecución y pueden clasificarse en una de tres categorías: tareas de Orchestrator, tareas de ejecutor y tareas de carga.

"Las tareas de Ejecutor ofrecen la capacidad de administrar la puerta trasera y ejecutar módulos adicionales", dijo ESET. "Las tareas de Orchestrator ofrecen la capacidad de administrar la configuración de los módulos Red y Timer, y también de cancelar tareas pendientes".

Algunas de las tareas de Executor identificadas comprenden la creación de procesos, el acceso a archivos y la recopilación de metadatos del sistema. El módulo Timer se utiliza para sondear el servidor C2 periódicamente en combinación con el módulo Network, que implementa las comunicaciones C2 mediante solicitudes HTTPS POST.

Las tareas de carga, como su nombre lo indica, permiten que la puerta trasera cargue la salida de comandos y errores.

ESET dijo que también identificó un archivo de panel de control (CPL) que se cargó en VirusTotal desde Qatar, que se dice que funcionó como punto de partida para una cadena de múltiples etapas que allana el camino para un descargador de shellcode que comparte algunas semejanzas de código con Deadglyph.

Si bien la naturaleza del shellcode recuperado del servidor C2 sigue sin estar clara, se ha teorizado que el contenido podría servir como instalador para el malware Deadglyph.

Deadglyph recibe su nombre de los artefactos encontrados en la puerta trasera (identificadores hexadecimales 0xDEADB001 y 0xDEADB101 para el módulo Timer y su configuración), junto con la presencia de un ataque homoglifo que se hace pasar por Microsoft ("Ϻicrоsоft Corpоratiоn") en el recurso VERSIONINFO del cargador de shellcode del Registro.

"Deadglyph cuenta con una gama de mecanismos de contradetección, incluido el monitoreo continuo de los procesos del sistema y la implementación de patrones de red aleatorios", dijo la compañía. "Además, la puerta trasera es capaz de desinstalarse para minimizar la probabilidad de su detección en ciertos casos".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La firma de análisis de blockchain Ethereum Nansen le pide a un subconjunto de sus usuarios que restablezcan las contraseñas luego de una reciente violación de datos en su proveedor de autenticación.

Nansen es una entidad popular en el espacio de criptomonedas, que ofrece a los usuarios información sobre la actividad de la billetera Ethereum, ayuda a identificar proyectos emergentes y, en general, ayuda a las personas a tomar decisiones de inversión informadas.

En una carta enviada a los usuarios afectados, Nansen dice que se enteraron el 20 de septiembre de que uno de sus proveedores externos sufrió una violación de datos.

El proveedor no identificado fue comprometido por un atacante que de alguna manera obtuvo acceso a un panel de administración que controla el acceso de los clientes de Nansen en la plataforma de análisis.

Nansen detuvo la actividad maliciosa poco después de que el proveedor les informara sobre el incidente, pero la investigación posterior confirmó que los datos del usuario estaban comprometidos.

"Según nuestras investigaciones preliminares en las últimas 48 horas, el 6,8% de nuestros usuarios se vieron afectados", se lee en el aviso de Nansen compartido en Twitter.

"Estos usuarios tenían sus direcciones de correo electrónico expuestas, una porción más pequeña también tenía hashes de contraseña expuestos, y un último grupo más pequeño también tenía su dirección de blockchain expuesta".



Todos los usuarios afectados han sido informados sobre la violación a través de notificaciones por correo electrónico, mientras que el soporte de Nansen también se ha puesto en contacto con ellos para solicitar una acción de restablecimiento de contraseña.

Nansen dice que las contraseñas fueron encriptadas, pero aconseja a las personas afectadas que cambien las contraseñas, ya que la fuerza bruta siempre es un escenario plausible.

La firma enfatiza el mayor riesgo de phishing para las personas cuyos detalles están expuestos. Los actores de amenazas, ahora armados con conocimiento de la propiedad de activos digitales y sus direcciones de correo electrónico, pueden atacarlos de manera más efectiva.

Como la investigación aún no se ha completado, no es improbable que el alcance del impacto se revise para incluir a más usuarios.

Por lo tanto, sería aconsejable que todos los usuarios de Nansen, independientemente de si han recibido un aviso, restablezcan sus contraseñas por precaución.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La ciudad de Dallas, Texas, dijo esta semana que el ataque de ransomware Royal que lo obligó a cerrar todos los sistemas de TI en mayo comenzó con una cuenta robada.

Royal obtuvo acceso a la red de la Ciudad utilizando una cuenta de servicio de dominio robada a principios de abril y mantuvo el acceso a los sistemas comprometidos entre el 7 de abril y el 4 de mayo.

Durante este período, recopilaron y exfiltraron con éxito 1.169 TB de archivos basados en el análisis de datos de registro del sistema realizado por funcionarios de la ciudad y expertos externos en ciberseguridad.

La pandilla también preparó la fase de implementación de ransomware lanzando balizas de comando y control de Cobalt Strike en los sistemas de la ciudad. A las 2 AM del 3 de mayo, Royal comenzó a implementar las cargas útiles de ransomware, utilizando herramientas administrativas legítimas de Microsoft para cifrar los servidores.

Después de detectar el ataque, la Ciudad inició esfuerzos de mitigación, desconectando servidores de alta prioridad para impedir el progreso de Royal. Simultáneamente, comenzó los esfuerzos de restauración del servicio con la ayuda de equipos de expertos en ciberseguridad internos y externos.

El proceso de restauración de todos los servidores tomó poco más de 5 semanas, desde el 9 de mayo, cuando se revivió el servidor financiero, hasta el 13 de junio, cuando se restauró el último servidor afectado por el ataque, el servidor de gestión de residuos.

"La Ciudad informó a la TxOAG que la información personal de 26,212 residentes de Texas y un total de 30,253 personas fue potencialmente expuesta debido al ataque", dijo la Ciudad en una autopsia publicada esta semana.

"El sitio web de la Procuraduría General indicó que la información personal como nombres, direcciones, información de seguridad social, información de salud, información de seguro de salud y otra información similar fue expuesta por Royal".

Hasta ahora, el Ayuntamiento de Dallas ha establecido un presupuesto de $ 8.5 millones para los esfuerzos de restauración de ataques de ransomware, y los costos finales se compartirán más adelante.

Dallas es la cuarta área metropolitana más grande y la novena ciudad más grande de los Estados Unidos, con una población de aproximadamente 2.6 millones de personas.

Notas de rescate entregadas a través de impresoras de red

Los medios locales informaron por primera vez que las comunicaciones policiales y los sistemas de TI de la Ciudad se cerraron el lunes por la mañana, 3 de mayo, debido a un presunto ataque de ransomware.

"El miércoles por la mañana, las herramientas de monitoreo de seguridad de la Ciudad notificaron a nuestro Centro de Operaciones de Seguridad (SOC) que se había lanzado un probable ataque de ransomware dentro de nuestro entorno. Posteriormente, la Ciudad ha confirmado que varios servidores se han visto comprometidos con ransomware, afectando varias áreas funcionales, incluido el sitio web del Departamento de Policía de Dallas ", explicó la Ciudad de Dallas en un comunicado emitido el 3 de mayo.

"El equipo de la ciudad, junto con sus proveedores, están trabajando activamente para aislar el ransomware para evitar su propagación, eliminar el ransomware de los servidores infectados y restaurar cualquier servicio afectado actualmente. El alcalde y el Concejo Municipal fueron notificados del incidente de conformidad con el Plan de Respuesta a Incidentes (IRP) de la Ciudad".

Las impresoras de red en la red de la ciudad de Dallas comenzaron a imprimir notas de rescate la mañana del incidente, lo que permitió a BleepingComputer confirmar que la pandilla de ransomware Royal estaba detrás del ataque después de que se compartiera una foto de la nota con nosotros.


Se cree que la pandilla de ransomware Royal surgió como una rama de la pandilla de cibercrimen Conti, ganando prominencia después de que Conti cerrara las operaciones.

Tras su lanzamiento en enero de 2022, Royal utilizó inicialmente encriptadores de otras operaciones de ransomware, como ALPHV / BlackCat, para evitar llamar la atención. Sin embargo, posteriormente comenzaron a utilizar su propio encriptador, Zeon, en sus ataques durante todo el año.

La operación de ransomware se sometió a un cambio de marca hacia fines de 2022, adoptando el nombre de "Royal" y emergiendo como una de las pandillas de ransomware más activas dirigidas a empresas.

Si bien Royal es conocido por explotar fallas de seguridad en dispositivos de acceso público para violar las redes de los objetivos, también recurre con frecuencia a ataques de phishing de devolución de llamada para obtener acceso inicial a las redes empresariales.

Cuando los objetivos llaman a los números de teléfono incrustados en correos electrónicos camuflados como renovaciones de suscripción, los atacantes utilizan la ingeniería social para engañar a las víctimas para que instalen software de acceso remoto que proporcione a los actores de amenazas acceso a su red.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Ministerio de Seguridad del Estado de China (MSS) ha acusado a Estados Unidos de irrumpir en los servidores de Huawei, robar datos críticos e implantar puertas traseras desde 2009, en medio de las crecientes tensiones geopolíticas entre los dos países.

En un mensaje publicado en WeChat, la autoridad gubernamental dijo que las agencias de inteligencia estadounidenses han "hecho todo lo posible" para llevar a cabo vigilancia, robos secretos e intrusiones en muchos países del mundo, incluida China, utilizando un "poderoso arsenal de ataques cibernéticos". Los detalles sobre los supuestos hackeos no fueron compartidos.

Señaló explícitamente las Operaciones de Red Informática de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) (anteriormente la Oficina de Operaciones de Acceso a Medida o TAO) por haber "llevado a cabo repetidamente ataques sistemáticos y basados en plataformas" contra el país para saquear sus "importantes recursos de datos".

La publicación continuó afirmando que la unidad de recopilación de inteligencia de guerra cibernética pirateó los servidores de Huawei en 2009 y que había llevado a cabo "decenas de miles de ataques de red maliciosos" contra entidades nacionales, incluida la Universidad Politécnica del Noroeste, para desviar datos confidenciales, una acusación que China planteó por primera vez en septiembre de 2022.

Además, se dice que el Centro Nacional de Respuesta de Emergencia de Virus Informáticos de China (NCVERC) aisló un artefacto de spyware denominado Second Date cuando se trata de un incidente en la universidad pública de investigación que supuestamente es desarrollado por la NSA y se ejecuta sigilosamente en "miles de dispositivos de red en muchos países del mundo".

Los detalles sobre Second Date fueron reportados previamente por South China Morning Post y China Daily la semana pasada, describiéndolo como un malware multiplataforma capaz de monitorear y secuestrar el tráfico de la red, así como inyectar código malicioso. Se cree que Alemania, Japón, Corea del Sur, India y Taiwán son algunos de los países atacados por el spyware.

"La agencia de inteligencia de Estados Unidos ha utilizado estas armas y equipos a gran escala para llevar a cabo ataques cibernéticos y operaciones de espionaje cibernético durante más de diez años contra China, Rusia y otros 45 países y regiones de todo el mundo", dijo MSS, y agregó que los ataques se dirigieron a los sectores de telecomunicaciones, investigación científica, economía, energía y militar.

MSS también afirmó que Estados Unidos ha obligado a las compañías de tecnología a instalar puertas traseras en su software y equipo para realizar espionaje cibernético y robar datos, citando ejemplos de compañías como X-Mode Social y Anomaly Six, que han demostrado habilidades para rastrear los teléfonos móviles de los usuarios.

"Durante mucho tiempo ha sido un secreto a voces que Estados Unidos ha confiado durante mucho tiempo en sus ventajas tecnológicas para realizar escuchas a gran escala en países de todo el mundo, incluidos sus aliados, y ha llevado a cabo actividades de robo cibernético", dijo el MSS, y agregó que Rusia, Irán, China y Corea del Norte son sus principales objetivos.

"Al mismo tiempo, Estados Unidos está haciendo todo lo posible para presentarse como una víctima de un ataque cibernético, incitando y coaccionando a otros países para que se unan al llamado programa de 'red limpia' bajo la bandera de mantener la seguridad de la red, en un intento de eliminar a las empresas chinas del mercado internacional de redes".

En julio de 2023, después de que Microsoft revelara una campaña de espionaje vinculada a China montada por un actor con nombre en código Storm-0558 dirigida a dos docenas de organizaciones en los Estados Unidos y Europa, China respondió llamando a Estados Unidos "el imperio de piratería más grande del mundo y el ladrón cibernético global".

El MSS hizo su debut en WeChat el 1 de agosto de 2023, enfatizando la necesidad de impulsar los esfuerzos de contraespionaje y alentar a los ciudadanos a denunciar actividades sospechosas, así como a ser recompensados y protegidos por sus contribuciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña activa de malware dirigida a América Latina está distribuyendo una nueva variante de un troyano bancario llamado BBTok, particularmente usuarios en Brasil y México.

"El banquero BBTok tiene una funcionalidad dedicada que replica las interfaces de más de 40 bancos mexicanos y brasileños, y engaña a las víctimas para que ingresen su código 2FA en sus cuentas bancarias o en su número de tarjeta de pago", dijo Check Point en una investigación publicada esta semana.

Las cargas útiles son generadas por un script de PowerShell personalizado del lado del servidor y son únicas para cada víctima según el sistema operativo y el país, mientras que se entregan a través de correos electrónicos de phishing que aprovechan una variedad de tipos de archivos.

BBTok es un malware bancario basado en Windows que apareció por primera vez en 2020. Está equipado con características que ejecutan la gama típica de troyanos, lo que le permite enumerar y eliminar procesos, emitir comandos remotos, manipular el teclado y servir páginas de inicio de sesión falsas para los bancos que operan en los dos países.

Las cadenas de ataque en sí mismas son bastante sencillas, empleando enlaces falsos o archivos adjuntos ZIP para desplegar sigilosamente el banquero recuperado de un servidor remoto (216.250.251[.] 196) mientras mostraba un documento señuelo a la víctima.

Pero también están diversificados para los sistemas Windows 7 y Windows 10, principalmente tomando medidas para evadir los mecanismos de detección recientemente implementados, como la interfaz de escaneo antimalware (AMSI) que permite escanear la máquina en busca de amenazas.

Otros dos métodos clave para volar bajo el radar son el uso de binarios de vida fuera de la tierra (LOLBins) y controles de geofencing para garantizar que los objetivos sean solo de Brasil o México antes de servir el malware a través del script PowerShell.

Una vez lanzado, BBTok establece conexiones con un servidor remoto para recibir comandos para simular las páginas de verificación de seguridad para varios bancos.

Al hacerse pasar por las interfaces de los bancos latinoamericanos, el objetivo es recopilar la información de credenciales y autenticación ingresada por los usuarios para realizar adquisiciones de cuentas de las cuentas bancarias en línea.

"Lo que es notable es el enfoque cauteloso del operador: todas las actividades bancarias solo se ejecutan bajo comando directo de su servidor C2, y no se llevan a cabo automáticamente en todos los sistemas infectados", dijo la compañía.

El análisis de Check Point del malware ha revelado una mejora significativa en su ofuscación y focalización desde 2020, expandiéndose más allá de los bancos mexicanos. La presencia de español y portugués en el código fuente, así como en los correos electrónicos de phishing, ofrece una pista sobre el origen de los atacantes.

Se estima que más de 150 usuarios han sido infectados por BBTok, según una base de datos SQLite que se encuentra en el servidor que aloja el componente de generación de carga útil que registra el acceso a la aplicación maliciosa.

La orientación y el lenguaje apuntan a los actores de amenazas que probablemente operan fuera de Brasil, que sigue siendo el epicentro de un potente malware centrado en las finanzas.

"Aunque BBTok ha podido permanecer bajo el radar debido a sus técnicas esquivas y apuntando a las víctimas solo en México y Brasil, es evidente que todavía está desplegado activamente", dijo Check Point.

"Debido a sus muchas capacidades y su método de entrega único y creativo que involucra archivos LNK, SMB y MSBuild, todavía representa un peligro para las organizaciones e individuos en la región".

El desarrollo se produce cuando la compañía israelí de ciberseguridad detalló una nueva campaña de phishing a gran escala que recientemente se dirigió a más de 40 compañías prominentes en múltiples industrias en Colombia con el objetivo final de implementar Remcos RAT a través de una secuencia de infección de múltiples etapas.

"Remcos, una sofisticada RAT de 'navaja suiza', otorga a los atacantes el control total sobre la computadora infectada y puede usarse en una variedad de ataques. Las consecuencias comunes de una infección por Remcos incluyen el robo de datos, las infecciones de seguimiento y la adquisición de cuentas", dijo Check Point.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los desarrolladores de Free Download Manager (FDM) han publicado un script para comprobar si un dispositivo Linux fue infectado a través de un ataque a la cadena de suministro recientemente reportado.

Free Download Manager es un popular administrador de descargas multiplataforma que ofrece torrenting, proxy y descargas de video en línea a través de una interfaz fácil de usar.

La semana pasada, Kaspersky reveló que el sitio web del proyecto se vio comprometido en algún momento de 2020, redirigiendo a una parte de los usuarios de Linux que intentaron descargar el software a un sitio malicioso.

Este sitio lanzó un instalador FDM troyano para Linux que instalaba un ladrón de información Bash y una puerta trasera que establecía un shell inverso desde el servidor del atacante.

A pesar de que muchos usuarios informaron un comportamiento peculiar después de instalar el instalador malicioso, la infección permaneció sin ser detectada durante tres años hasta que se publicó el informe de Kaspersky.

Respuesta de Free Download Manager

Con el asunto ganando atención, FDM investigó y descubrió que los informes de Kaspersky y otros sobre el compromiso de su sitio habían sido ignorados debido a un error en su sistema de contacto.

"Parece que una página web específica en nuestro sitio fue comprometida por un grupo de hackers ucranianos, explotándola para distribuir software malicioso", explicó el anuncio de seguridad en el sitio de FDM.

"Solo un pequeño subconjunto de usuarios, específicamente aquellos que intentaron descargar FDM para Linux entre 2020 y 2022, fueron potencialmente expuestos".

"Curiosamente, esta vulnerabilidad se resolvió sin saberlo durante una actualización rutinaria del sitio en 2022".

Los desarrolladores dicen que el sitio fue violado a través de la vulnerabilidad del sitio web, lo que permitió a los atacantes introducir un código malicioso que cambió la página de descarga para un pequeño porcentaje de visitantes.

Hoy, FDM lanzó un script que escaneará computadoras Linux para verificar si estaban infectadas con el malware ladrón de información de esta campaña.

El script está disponible desde aquí, y ejecutarlo es un proceso de dos pasos desde un terminal:


Los usuarios deben tener en cuenta que el script del escáner solo identificará si el malware está instalado buscando la presencia de algunos archivos en el sistema, pero no los elimina.

Por lo tanto, si el escáner encuentra algo, los usuarios deben eliminar manualmente el malware o utilizar herramientas de seguridad adicionales para localizar y desarraigar los archivos de malware.

La acción recomendada de FDM es reinstalar el sistema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple lanzó actualizaciones de seguridad de emergencia para parchear tres nuevas vulnerabilidades de día cero explotadas en ataques dirigidos a usuarios de iPhone y Mac, para un total de 16 días cero corregidos este año.

Se encontraron dos errores en el motor del navegador WebKit (CVE-2023-41993) y el marco de seguridad (CVE-2023-41991), lo que permite a los atacantes eludir la validación de firmas utilizando aplicaciones maliciosas u obtener la ejecución de código arbitrario a través de páginas web creadas con fines malintencionados.

Apple lanzó actualizaciones de seguridad de emergencia para parchear tres nuevas vulnerabilidades de día cero explotadas en ataques dirigidos a usuarios de iPhone y Mac, para un total de 16 días cero corregidos este año.

Se encontraron dos errores en el motor del navegador WebKit (CVE-2023-41993) y el marco de seguridad (CVE-2023-41991), lo que permite a los atacantes eludir la validación de firmas utilizando aplicaciones maliciosas u obtener la ejecución de código arbitrario a través de páginas web creadas con fines malintencionados.

Apple corrigió los tres errores de día cero en macOS 12.7 / 13.6, iOS 16.7 / 17.0.1, iPadOS 16.7 / 17.0.1 y watchOS 9.6.3 / 10.0.1 abordando un problema de validación de certificados y mediante comprobaciones mejoradas.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS anteriores a iOS 16.7", reveló la compañía en avisos de seguridad que describen las fallas de seguridad.

La lista de dispositivos afectados abarca modelos de dispositivos más antiguos y más nuevos, e incluye:

• iPhone 8 y versiones posteriores
• iPad mini 5.ª generación y posteriores
• Macs con macOS Monterey y versiones posteriores
• Apple Watch Series 4 y versiones posteriores

Los tres días cero fueron encontrados e informados por Bill Marczak del Citizen Lab de la Escuela Munk de la Universidad de Toronto y Maddie Stone del Grupo de Análisis de Amenazas de Google.

Si bien Apple aún no ha proporcionado detalles adicionales sobre la explotación de las fallas en la naturaleza, los investigadores de seguridad de Citizen Lab y Google Threat Analysis Group a menudo han revelado errores de día cero abusados en ataques de spyware dirigidos a personas de alto riesgo, incluidos periodistas, políticos de la oposición y disidentes.

Citizen Lab reveló otros dos días cero (CVE-2023-41061 y CVE-2023-41064), también corregidos por Apple en actualizaciones de seguridad de emergencia a principios de este mes y abusados como parte de una cadena de exploits de clic cero (denominada BLASTPASS) para infectar iPhones completamente parcheados con el spyware comercial Pegasus de NSO Group.

Desde principios de año, Apple también ha parcheado:

• dos días cero (CVE-2023-37450 y CVE-2023-38606) en julio
• tres días cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio
• tres días cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo
• dos días cero (CVE-2023-28206 y CVE-2023-28205) en abril
• y otro WebKit de día cero (CVE-2023-23529) en febrero

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas previamente indocumentado apodado Sandman ha sido atribuido a un conjunto de ataques cibernéticos dirigidos a proveedores de koation de telecomunicaciones en el Medio Oriente, Europa Occidental y el subcontinente del sur de Asia.

En particular, las intrusiones aprovechan un compilador justo a tiempo (JIT) para el lenguaje de programación Lua conocido como LuaJIT como un vehículo para implementar un nuevo implante llamado LuaDream.

"Las actividades que observamos se caracterizan por un movimiento lateral estratégico a estaciones de trabajo específicas y un compromiso mínimo, lo que sugiere un enfoque deliberado destinado a lograr los objetivos establecidos y minimizar el riesgo de detección", dijo el investigador de seguridad de SentinelOne, Aleksandar Milenkoski, en un análisis publicado en colaboración con QGroup.

"La implementación de LuaDream indica un proyecto bien ejecutado, mantenido y desarrollado activamente de una escala considerable".

Ni la campaña ni sus tácticas se han correlacionado con ningún actor o grupo de amenazas conocido, aunque la evidencia disponible apunta a un adversario de espionaje cibernético con una inclinación por apuntar al sector de las telecomunicaciones en todas las geografías. Los ataques se observaron por primera vez durante varias semanas en agosto de 2023.

"La cadena de puesta en escena LuaDream está diseñada para evadir la detección y frustrar el análisis mientras se implementa el malware directamente en la memoria", explicó Milenkoski. "El proceso de implementación y puesta en escena de LuaDream aprovecha la plataforma LuaJIT, el compilador justo a tiempo para el lenguaje de scripting Lua. Esto es principalmente para hacer que el código malicioso del script Lua sea difícil de detectar".

Los artefactos de cadena contenidos en el código fuente del implante hacen referencia el 3 de junio de 2022, lo que indica que el trabajo preparatorio ha estado en marcha durante más de un año.

Se sospecha que LuaDream es una variante de una nueva cepa de malware conocida como DreamLand por Kaspersky en su informe de tendencias APT para el primer trimestre de 1, y la compañía rusa de ciberseguridad lo describe como empleando "el lenguaje de scripting Lua junto con su compilador Just-in-Time (JIT) para ejecutar código malicioso que es difícil de detectar".

El uso de Lua es algo raro en el panorama de amenazas, ya que se ha observado previamente en tres instancias diferentes desde 2012: Flame, Animal Farm (también conocido como SNOWGLOBE) y Project Sauron.


El modo exacto de acceso inicial sigue sin estar claro, pero se ha observado el robo de credenciales administrativas y la realización de reconocimientos para violar las estaciones de trabajo de interés y, en última instancia, entregar LuaDream.

Una puerta trasera modular y multiprotocolo con 13 componentes centrales y 21 de soporte, LuaDream está diseñada principalmente para filtrar información del sistema y del usuario, así como para administrar complementos proporcionados por el atacante que amplían sus características, como la ejecución de comandos. También cuenta con varias capacidades antidepuración para evadir la detección y frustrar el análisis.

La comunicación de comando y control (C2) se logra estableciendo contacto con un dominio llamado "mode.encagil[.] com" utilizando el protocolo WebSocket. Pero también puede escuchar conexiones entrantes a través de los protocolos TCP, HTTPS y QUIC.

Los módulos principales implementan todas las características mencionadas anteriormente, mientras que los componentes de soporte son responsables de aumentar las capacidades de la puerta trasera para esperar conexiones basadas en la API del servidor HTTP de Windows y ejecutar comandos.

"LuaDream se erige como una ilustración convincente de la innovación continua y los esfuerzos de avance que los actores de amenazas de ciberespionaje vierten en su arsenal de malware en constante evolución", dijo Milenkoski.

La revelación coincide con un informe paralelo de SentinelOne que detalla intrusiones estratégicas sostenidas por parte de actores de amenazas chinos en África, incluidos los dirigidos a los sectores de telecomunicaciones, finanzas y gobierno en África, como parte de grupos de actividad denominados BackdoorDiplomacy, Earth Estries y Operation Tainted Love.

El objetivo, dijo la compañía, es extender la influencia en todo el continente y aprovechar tales ofensivas como parte de su agenda de poder blando.

SentinelOne dijo que detectó un compromiso de una entidad de telecomunicaciones con sede en el norte de África por el mismo actor de amenazas detrás de la Operación Tainted Love, y agregó que el momento del ataque se alineó con las negociaciones privadas de la organización para una mayor expansión regional.

"Las intrusiones dirigidas por la APT BackdoorDiplomacy y el grupo de amenazas que orquesta la Operación Tainted Love indican una intención nivelada dirigida a apoyar [a China en sus esfuerzos para] dar forma a políticas y narrativas alineadas con sus ambiciones geoestratégicas, estableciéndose como una fuerza fundamental y definitoria en la evolución digital de África", dijo el investigador de seguridad Tom Hegel.

También se produce días después de que Cisco Talos revelara que los proveedores de servicios de telecomunicaciones en el Medio Oriente son el objetivo de un nuevo conjunto de intrusiones denominado ShroudedSnooper que emplea un conjunto de puertas traseras sigilosas llamadas HTTPSnoop y PipeSnoop.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han descubierto un nuevo lote de paquetes maliciosos en el registro de paquetes npm que están diseñados para filtrar configuraciones de Kubernetes y claves SSH de máquinas comprometidas a un servidor remoto.

Sonatype dijo que ha descubierto 14 paquetes npm diferentes hasta ahora: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am-fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy-fe, @virtualsearchtable/virtualsearchtable y shineouts.

"Estos paquetes [...] intentar hacerse pasar por bibliotecas y componentes de JavaScript, como los complementos de ESLint y las herramientas del SDK de TypeScript", dijo la firma de seguridad de la cadena de suministro de software. "Pero, tras la instalación, se vieron múltiples versiones de los paquetes ejecutando código ofuscado para recopilar y desviar archivos confidenciales de la máquina de destino".

Junto con la configuración de Kubernetes y las claves SSH, los módulos también son capaces de recolectar metadatos del sistema como nombre de usuario, dirección IP y nombre de host, todos los cuales se transmiten a un dominio llamado app.threatest[.] .com.

La revelación se produce poco más de una semana después de que Sonatype detectara paquetes npm falsificados que explotan una técnica conocida como confusión de dependencia para hacerse pasar por paquetes internos supuestamente utilizados por PayPal Zettle y los desarrolladores de Airbnb como parte de un experimento de investigación ética.

Dicho esto, los actores de amenazas continúan apuntando a registros de código abierto como npm y PyPI con cryptojackers, infostealers y otro malware novedoso para comprometer los sistemas de los desarrolladores y, en última instancia, envenenar la cadena de suministro de software.

En un caso destacado por Phylum a principios de este mes, un módulo npm llamado hardhat-gas-report permaneció benigno durante más de ocho meses desde el 6 de enero de 2023, antes de recibir dos actualizaciones consecutivas el 1 de septiembre de 2023, para incluir JavaScript malicioso capaz de exfiltrar claves privadas de Ethereum copiadas al portapapeles a un servidor remoto.

"Este enfoque dirigido indica una comprensión sofisticada de la seguridad de las criptomonedas y sugiere que el atacante tiene como objetivo capturar y filtrar claves criptográficas sensibles para el acceso no autorizado a billeteras Ethereum u otros activos digitales seguros", dijo la compañía.

Otro caso de un intento de ataque a la cadena de suministro involucró un astuto paquete npm llamado gcc-patch que se descubrió que se hacía pasar por un compilador GCC a medida, pero en realidad albergaba un minero de criptomonedas que "aprovecha encubiertamente el poder computacional de desarrolladores inocentes, con el objetivo de obtener ganancias a su costa".

Pero en una señal de que tales amenazas se están volviendo demasiado frecuentes, una campaña similar de cryptojacking dirigida a PyPI aprovechó un paquete fraudulento de Python llamado culturestreak para secuestrar recursos del sistema y extraer la criptomoneda Dero descargando una carga útil de un repositorio de GitLab, según Checkmarx.

Además, tales campañas se han diversificado para abarcar los ecosistemas Javascript (npm), Python (PyPI) y Ruby (RubyGems), con actores de amenazas que cargan varios paquetes con capacidades de recopilación y exfiltración de datos y lo siguen publicando nuevas versiones que llevan cargas útiles maliciosas.

La campaña se dirige específicamente a los usuarios de Apple macOS, lo que indica que el malware en los repositorios de paquetes de código abierto no solo se está volviendo cada vez más frecuente, sino que también está señalando otros sistemas operativos más allá de Windows.

"El autor de estos paquetes está organizando una amplia campaña contra los desarrolladores de software", señaló Phylum en un análisis. "El objetivo final de esta campaña sigue sin estar claro".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login