17 oct. 2021

Reporte de familias activas de ransomware

Según ha revelado un análisis exhaustivo de 80 millones de muestras relacionadas con ransomware realizado por VirusTotal, se han descubierto que, en 2020, hubo hasta 130 familias diferentes de ransomware activas y la primera mitad de 2021, con Israel, Corea del Sur, Vietnam, China, Singapur, India, Kazajstán, Filipinas, Irán y el Reino Unido emergiendo como los más afectados.

VirusTotal, atribuyó una parte significativa de la actividad al grupo de ransomware como servicio (RaaS) GandCrab (78,5%), seguido de Babuk (7,61%), Cerber (3,11%), Matsnu (2,63%), Wannacry (2,41%), Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) y Reveon (0,70%).

"Los atacantes están utilizando una variedad de enfoques, incluido las botnet y otros troyanos de acceso remoto (RAT) como vehículos para entregar su ransomware", dijo Vicente Díaz, de VirusTotal Threat Intelligence. "En la mayoría de los casos, utilizan muestras de ransomware nuevas o nuevas para sus campañas".

Algunos de los otros puntos clave descubiertos en el estudio son los siguientes:

  • GandCrab representó la mayor parte de la actividad de ransomware en los dos primeros trimestres de 2020, y la familia de ransomware Babuk generó un aumento de infecciones en julio de 2021.
  • El 95% de los archivos de ransomware detectados eran ejecutables basados ​​en Windows o bibliotecas de vínculos dinámicos (DLL), mientras que el 2% estaban basados ​​en Android.
  • Alrededor del 5% de las muestras analizadas se asociaron con exploits relacionados con la elevación de privilegios de Windows, la divulgación de información de SMB y la ejecución remota.
  • Emotet, Zbot, Dridex, Gozi y Danabot fueron los principales artefactos de malware utilizados para distribuir ransomware.

Los hallazgos se producen a raíz de una ola implacable de ataques de ransomware dirigidos a la infraestructura crítica, con bandas de ciberdelincuentes que persiguen agresivamente a las víctimas en sectores críticos, incluidos los operadores de oleoductos e instalaciones de atención médica, incluso cuando el panorama ha sido testigo de un cambio continuo en el que los grupos de ransomware evolucionan, se dividen, se reorganizan con nuevos nombres, o desaparecer del radar para evadir el escrutinio.

En todo caso, la explosión de nuevas familias de malware ha atraído a nuevos actores a participar en estos lucrativos esquemas, convirtiendo el ransomware en un modelo de negocio criminal rentable.

"Si bien las grandes campañas van y vienen, existe una línea de base constante de actividad de ransomware de aproximadamente 100 familias de ransomware que nunca se detiene", dice el informe. "En términos de distribución de ransomware, los atacantes no parecen necesitar exploits más que para la escalada de privilegios y la propagación de malware dentro de las redes internas".

Futente: VirusTotal

15 oct. 2021

Delincuentes clonan la voz con IA y roban U$S 35m #deepvoice

Según información publicada por la revista Forbes, se utizaron voces "deepfake" para engañar a un empleado del banco haciéndole creer que estaba haciendo una transacción comercial legítima asociada con el banco.

La historia, que proviene de un documento judicial recién descubierto. Tuvo lugar en enero pasado, cuando el gerente de la sucursal del banco de Emiratos Árabes (no se ha hecho público cual) recibió una llamada telefónica aparentemente normal. La persona que estaba al otro lado del teléfono afirmó ser el director de una gran empresa con la que el gerente había hablado anteriormente y que además sonaba igual que ellos, afirma el documento judicial. Esto, junto con lo que parecían ser una serie de correos electrónicos de la empresa y de su abogado, convenció al gerente de la sucursal de que iba a cerrar un gran negocio por valor de 35 millones de dólares. Posteriormente, siguiendo con las órdenes de la persona que había llamado, comenzó a realizar una serie de transferencias de dinero de la empresa a varias cuentas.

Desafortunadamente, todo resultó ser una sofisticada estafa. Lo que no sabía era que había sido engañado como parte de una elaborada estafa, en la que los estafadores habían utilizado tecnología de "deep voice" para clonar el discurso del director, según un documento judicial desenterrado por Forbes en el que U.A.E. ha buscado la ayuda de investigadores estadounidenses para rastrear U$S 400.000 de fondos robados que ingresaron en cuentas con sede en EE.UU. mantenidas por Centennial Bank. Los investigadores de Dubai creen que fue un plan elaborado, que involucró al menos a 17 personas, que envió el dinero robado a cuentas bancarias en todo el mundo.

Esta no es la primera vez que sucede algo así. En 2019, una empresa energética en Reino Unido sufrió un destino similar: los estafadores lograron robar unos 243.000 dólares haciéndose pasar por el director ejecutivo de la empresa. Y, según expertos en inteligencia artificial, tampoco es probable que vaya a ser la última vez.

Varias nuevas empresas tecnológicas están trabajando en tecnologías de voz de inteligencia artificial cada vez más sofisticadas, desde Aflorithmic de Londres hasta Respeecher de Ucrania y Resemble.AI de Canadá. La tecnología causó revuelo en los últimos meses con la revelación de que el difunto Anthony Bourdain tenía su voz sintetizada para un documental sobre su vida. Mientras tanto, reconociendo el potencial de uso malintencionado de la IA, un puñado de empresas, como la firma de seguridad Pindrop, valorada en 900 millones de dólares, ahora afirman que pueden detectar voces sintetizadas y así prevenir fraudes.

Los "deep fakes" de vídeo y de audio representan el fascinante desarrollo tecnológico del siglo XXI, pero también son increíblemente peligrosas y representan una gran amenaza para los datos, el dinero y las empresas”, dijo a Forbes Jake Moore, experto en ciberseguridad. Actualmente estamos viendo cómo actores malintencionados utilizan su experiencia y recursos para acceder a lo último en tecnología para manipular a personas que, inocentemente, desconocen el alcance de estas tecnologías de ‘deep fake’ e incluso su existencia. Está claro que la tecnologías "deep fake" se han vuelto tremendamente buenas en su trabajo; como estos vídeos de Tom Cruise.

¿Deberíamos regularlo? Podría ser una buena idea, aunque los críticos están divididos sobre qué camino deben tomar estas nuevas leyes. Algunas personas dicen que estas leyes crearían más problemas de los que resuelven, mientras que otros argumentan que podrían afectar la libertad de expresión y libertades creativas. De todas formas, parece algo que deberíamos resolver pronto, antes de que este tipo de robos bancarios se conviertan en la nueva normalidad.

Fuente: Forbes

Google rastrea 270+ actores de amenazas esponsoreados por 50+ Estados

El Grupo de Análisis de Amenazas (TAG) de Google dijo que están rastreando a más de 270 actores de amenazas respaldados por el gobierno de más de 50 países, y agregó que ha enviado aproximadamente 50.000 alertas de intentos de phishing o malware patrocinados por el estado a los clientes desde principios de 2021.

Las advertencias marcan un aumento del 33% desde 2020, dijo el gigante de Internet, y el aumento se debe principalmente al "bloqueo de una campaña inusualmente grande de un actor ruso conocido como APT28 o Fancy Bear".

Además, Google dijo que interrumpió una serie de campañas montadas por un grupo de atacantes patrocinado por el estado iraní que se rastreó como APT35 (también conocido como Charming Kitten, Phosphorous o Newscaster), incluido un sofisticado ataque de ingeniería social denominado "Operación SpoofedScholars" dirigido a grupos de expertos, periodistas y profesores con el objetivo de solicitar información confidencial haciéndose pasar por académicos de la Escuela de Estudios Orientales y Africanos de la Universidad de Londres (SOAS).

Los detalles del ataque fueron documentados públicamente por primera vez por la firma de seguridad empresarial Proofpoint en julio de 2021.

Otros ataques ​​involucraron el uso de una aplicación VPN infectada de software espía cargada en Google Play Store que, una vez instalada, podría aprovecharse para desviar información confidencial como registros de llamadas, mensajes de texto, contactos y datos de ubicación de los dispositivos infectados. Además, una táctica inusual adoptada por APT35 se refería al uso de Telegram para notificar a los atacantes cuando los sitios de phishing bajo su control han sido visitados en tiempo real a través de JavaScript malicioso incrustado en las páginas.

También se dice que el actor de la amenaza se hizo pasar por funcionarios políticos al enviar "mensajes de correo electrónico no maliciosos en el primer contacto" modelados en torno a las conferencias de Seguridad de Munich y Think-20 (T20) Italia como parte de una campaña de phishing para atraer a personas de alto perfil a visitar sitios web fraudulentos.

"Durante años, este grupo ha secuestrado cuentas, desplegado malware y utilizado técnicas novedosas para realizar espionaje alineado con los intereses del gobierno iraní", dijo Ajax Bash de Google TAG.

Fuente: THN

Aplicaciones de mensajería por si Facebook vuelve a fallar… o te preocupa la privacidad

Las aplicaciones de mensajería instantánea se han convertido en imprescindibles para una buena parte de internautas. Son junto a los navegadores web el software más usado y si hablamos de dispositivos móviles, son omnipresentes para todas las tareas de comunicaciones, chat de texto, voz y vídeo, además del envío de contenido multimedia.

WhatsApp es la aplicación más conocida y usada de todo el gran grupo de aplicaciones de mensajería alcanzando los 2.000 millones de usuarios. Es probablemente el servicio más transversal en cuanto a grupos de edad y habitualmente es la puerta de entrada a grupos de población menos digitalizados.

Los datos de uso que ofrece son asombrosos y las últimas estadísticas hablan de 100.000 millones de mensajes enviados diariamente; la consulta diaria por el 70% de usuarios y los casi 40 minutos de uso que de media le dedica al día cada uno de ellos.

Facebook es un ‘monstruo’ sin solución

La compra de WhatsApp por Facebook supuso una concentración que a nuestro juicio perjudicó a la industria y a los propios usuarios de la aplicación. Por supuesto, la firma de Zuckerberg quiere rentabilizar la inversión y no es de fiar. No es el único, pero Facebook es el mayor «traficante de datos» mundial y ha incumplido todas las normas legales y morales violando por acción u omisión el derecho a la privacidad de sus usuarios, con el escándalo de Cambridge Analytica como la culminación de unas prácticas indeseables.

La red social ha recopilado, utilizado y vendido datos de sus usuarios a terceros sin conocimiento ni consentimiento de estos. Del sector que hablamos y aunque solo uses WhatsApp, debes saber que tus datos son cedidos a Facebook obligatoriamente. Y todas las promesas de ‘cambio’ se han quedado en muy poco. Esta misma semana la compañía ha tenido que comenzar a lidiar con una grave denuncia donde se le acusa de priorizar los beneficios sobre la lucha contra los discursos de odio, desinformación y otros, consciente de sus efectos perniciosos para sus usuarios. Va a traer cola.

Y otro problema. La concentración de servicios masivos que están a manos de Facebook es alarmante y nadie en su sano juicio (los reguladores que dicen defender la competencia y a los usuarios) debería haber aprobado las adquisiciones de WhatsApp e Instagram.

La caída global de los servicios de Facebook de esta semana ha demostrado las peligrosas repercusiones que tiene depender de un monstruo como este. En mensajería instantánea, además de WhatsApp, hay que decir que Facebook acumula otros 1.300 millones de usuarios de Messenger que también se quedaron sin servicio durante unas cuantas horas.

Aplicaciones de mensajería alternativas

Más allá de WhatsApp y Telegram, hay otro grupo de aplicaciones sumamente interesante como para no tener que depender de Facebook. Como puedes imaginar y seguro has comprobado alguna vez, es muy difícil cambiar usuarios de una plataforma a otra. Aunque sean mejores técnicamente, cuenten con más funciones, sean más seguras o más cuidadosas con los datos personales. Esas son las alternativas que te vamos a recordar en este artículo.

Signal, la que más crece

Signal es un servicio de mensajería gratuito que ofrece chat de video, voz y texto, llamadas de voz y vídeo con cifrado de extremo a extremo, así como transferencias seguras de archivos y fotos. Con funciones similares a WhatsApp y una interfaz muy sencilla de usar típica en este tipo de aplicaciones, funciona bajo el protocolo Signal Messaging Protocol, ampliamente reconocido como el protocolo de mensajería más seguro disponible.

Más importante aún es la mínima información que el servicio recopila, solo el número de teléfono, la fecha que se unió al servicio y en la que se inició la sesión por última vez. Cualquier otro dato, como la lista de contactos, los grupos a los que perteneces o cualquier otro tipo de contenido se cifra y almacena en dispositivo. Como resultado, nadie, incluido el personal de Signal, puede ver ninguno de estos datos sin acceso físico a tu dispositivo.

Por si esas ventajas fueran pocas, Signal es un desarrollo Open Source, lo que significa que su código está disponible en línea para escrutinio público y cualquier cuestión de privacidad o fallo de seguridad puede ser verificado por los expertos. De hecho, el sistema de cifrado interno de WhatsApp está construido con el código de Signal.

Promocionado por Edward Snowden, Jack Dorsey o el tecnólogo Bruce Schneier, Signal es un proyecto que depende de una organización independiente sin ánimo de lucro, que no depende de ninguna gran tecnológica y que se mantiene con donaciones voluntarias. Está disponible gratuitamente para dispositivos móviles Android y los de Apple, así como PCs Windows, Mac y Linux. Desde el anuncio del cambio de política de Whatsapp sobre la cesión de los datos a Facebook las descargas de Signal se han disparado un 4.200%. Actualmente es el gran nombre en mensajería instantánea aunque está alejada del número de usuarios de WhatsApp o Telegram.

Telegram, la mayor alternativa

Telegram es la mayor alternativa a WhatsApp llega de una aplicación que acaba de superar los 500 millones de usuarios gracias al éxodo de la app de Facebook (25 millones de nuevos usuarios en 72 horas). Lo que en un principio era poco más que un clon de WhatsApp más seguro, ha terminado por convertirse en un software completísimo. De hecho, siempre ha ido por delante de WhatsApp en características, en tecnología y por supuesto en seguridad y privacidad.

La llevamos años recomendando y de hecho la usamos por sus funciones avanzadas como plataforma de comunicación para ofrecerte canales de seis de nuestros portales, desde MC a MCPRO pasando cómo no por muylinux donde lo iniciamos.

Telegram recopila menos datos que WhatsApp (aunque no tan pocos como Signal) y no entrega nada a Facebook. La aplicación tiene chats cifrados de extremo a extremo, pero los chats predeterminados también se almacenan en los servidores de Telegram. Si deseas un chat real con cifrado de dispositivo a dispositivo se puede usar el Modo secreto. Una vez habilitado, los mensajes solo se almacenan en tu dispositivo aumentando la privacidad. En cualquier modo, no obstante, si una persona elimina un mensaje, se elimina de ambos dispositivos.

Como Signal, el código fuente de Telegram es abierto liberado bajo licencia GPL v3 y cualquier puede revisarlo en GitHub. Está disponible gratuitamente para dispositivos móviles (Android, iPhone, iPad y hasta para Windows Phone), así como para ordenadores personales con aplicación para PCs Windows, macOS y Linux que bate por goleada desde hace años a la versión equivalente de WhatsApp. También tiene versión web.

Threema, de pago, pero segura

Si la mayoría de apps son «gratuitas» y algunas como WhatsApp el pago viene camuflado con tus datos, Threema no se corta y es de pago, eso sí a un precio insignificante como tarifa única de 2,99 dólares que muchos usuarios pagaríamos gustosos si funciona como promete.

Threema ofrece cifrado de extremo a extremo para todos los datos que se mueven a través de su servicio. Ello incluye mensajes, videollamadas, archivos e incluso actualizaciones de estado. La aplicación no escatima en funciones y cuenta con los mensajes de texto habituales, llamadas de voz, videollamadas, intercambio de archivos, grupos, listas y acceso a un cliente web de escritorio. Threema no recopila ningún dato de usuario y no muestra ningún anuncio publicitario.

Una aplicación creada en Suiza y con uso de servidores exclusivos alojados allí, que permite chatear de forma totalmente anónima ya que ni siquiera es necesario vincular un número de teléfono o correo electrónico a su cuenta (son opcionales). El servicio genera una ID aleatoria cuando comienzas a usar la aplicación que otros usuarios pueden usar para comunicarse contigo. Está disponible para Android (si quieres con una APK sin pasar por Google Play Store), iOS y navegadores web.

Threema completó recientemente una transición al software de código abierto, y el código se audita regularmente para que el usuario pueda estar seguro de que no hay nada bajo el capó que pueda comprometer el anonimato.

Keybase, la más privada

No es para todos los usuarios, pero los más preocupados por la privacidad quizá no vayan a encontrar otra como esta. Keybase comenzó como un directorio para claves de identificación públicas y privadas, pero también tiene un componente de mensajería instantánea que se puede usar para mensajería privada y grupales.

Keybase es una aplicación de código abierto y utiliza criptografía de clave pública para proteger los mensajes. Los mensajes, los medios y las transferencias de archivos están protegidos de tal manera que incluso Keybase no puede leer los mensajes. Debido a que está basada en identificadores de clave pública, también se puede usar de forma anónima. Está disponible de forma gratuita para Android, iOS, Windows, Linux y Mac.

Wire, empresarial

Es una suite de colaboración empresarial con mensajería segura, capacidades de chat grupal, intercambio de archivos y otras funciones, que ofrece una versión gratuita llamada Wire Personal de uso gratuito.

Para crear una cuenta debe proporcionarse una dirección de correo electrónico o un número de teléfono. Este desarrollo registra algunos datos, pero no en la medida en que lo hace WhatsApp. Cuenta con cifrado de extremo a extremo y está desarrollado bajo un modelo de código abierto.

Las aplicaciones de mensajería instantánea se han convertido en imprescindibles para una buena parte de internautas. Son junto a los navegadores web el software más usado y si hablamos de dispositivos móviles, son omnipresentes para todas las tareas de comunicaciones, chat de texto, voz y vídeo, además del envío de contenido multimedia.

WhatsApp es la aplicación más conocida y usada de todo el gran grupo de aplicaciones de mensajería alcanzando los 2.000 millones de usuarios. Es probablemente el servicio más transversal en cuanto a grupos de edad y habitualmente es la puerta de entrada a grupos de población menos digitalizados.

Los datos de uso que ofrece son asombrosos y las últimas estadísticas hablan de 100.000 millones de mensajes enviados diariamente; la consulta diaria por el 70% de usuarios y los casi 40 minutos de uso que de media le dedica al día cada uno de ellos. Como los «danones» cuando hablamos de yogures, WhatsApp se ha convertido en marca propia y su nombre a menudo se usa -incorrectamente- para definir el tipo de servicio.

Wickr Me, grado militar

Como el anterior, no es un desarrollo demasiado conocido (aunque está disponible desde hace unos cuantos años) ni está destinado a un consumo masivo porque pone la privacidad y seguridad por delante de cualquier otra función al igual que hace Keybase, pero un paso más allá, ya que promete seguridad "grado militar" en las comunicaciones y de hecho ha sido recomendado para uso por cuerpos militares tras ser verificado por prestigiosos equipos de investigación de seguridad.

Wickr Me usa cuentas anónimas, sin información de cualquiera identificación personal en el registro, sin almacenamiento de metadatos y sin que el desarrollador tenga acceso a cualquier información o contactos. Todos los datos que se envían, sean mensajes de texto o voz, vídeos o imágenes, están protegidos por un cifrado fuerte de extremo a extremo. Una de las características distintivas de este desarrollo es que todos los mensajes y archivos adjuntos se autodestruyen después de un periodo de tiempo que pueden fijar los usuarios.

El desarrollo es de código abierto y éste se encuentra disponible en GitHub para auditoria comunitaria. Está disponible gratuitamente para Android, iOS, Windows, Linux y Mac, aunque tiene algunas limitaciones en el número de participantes en grupos (hasta 10) o en llamadas de audio o vídeo (solo 1). La versión Wickr Pro es de pago y permite desplegar todo el potencial de este aplicación «ultra privada».

No faltan buenas aplicaciones de mensajería instantánea como habrás leído. El gran problema es cambiar a centenares de millones de usuarios de una plataforma a otra. El gran público es cómodo por naturaleza y le cuesta probar otra cosa a la que lleva usando años, y que como WhatsApp funciona y en sus grupos están la mayoría de sus familiares, amigos o conocidos.

Pero deben explorarse alternativas. Facebook es un ‘monstruo’ insaciable y sin solución. Cualquier empresa puede sufrir problemas de infraestructura o ciberataques, pero en el caso de Facebook una caída de servicios supone dejar fuera de juego a medio Internet por su enorme concentración de aplicaciones. De la privacidad ya está todo dicho.

Fuente: Muy Computer

14 oct. 2021

Informe sobre datos recogidos por Google en Android

Un equipo de investigadores universitarios del Reino Unido (University of Edinburgh, UK 2Trinity College Dublin, Ireland) ha publicado un estudio que pone de manifiesto los problemas de privacidad que surgen al utilizar smartphones Android.

Los expertos se han centrado en los dispositivos Android de Samsung, Xiaomi, Realme y Huawei, así como en LineageOS y /e/OS, dos forks de Android que pretenden ofrecer un soporte a largo plazo y una experiencia sin Google.

Con la excepción de /e/OS, el resto de variantes de Android transmiten cantidades sustanciales de información al desarrollador del sistema operativo y también a terceros (Google, Microsoft, LinkedIn, Facebook, etc.) cuyas aplicaciones vienen preinstaladas, incluso cuando están mínimamente configuradas y el teléfono está en reposo.

Como indica la siguiente tabla resumen, los datos sensibles del usuario, como los identificadores persistentes, los detalles de uso de las aplicaciones y la información telemétrica, no sólo se comparten con los fabricantes del dispositivo, sino que también van a parar a varios terceros, como Microsoft, LinkedIn y Facebook.

Y para empeorar las cosas, Google aparece en el extremo receptor de todos los datos recogidos casi en toda la tabla. Es importante señalar que se trata de la recopilación de datos para la que no hay opción de exclusión, por lo que los usuarios de Android están indefensos ante este tipo de telemetría.

Esto es especialmente preocupante cuando los vendedores de teléfonos inteligentes incluyen aplicaciones de terceros que recopilan datos de forma silenciosa incluso si no son utilizadas por el propietario del dispositivo, y que no pueden ser desinstaladas.

En el caso de algunas de las aplicaciones integradas en el sistema, como miui.analytics (Xiaomi), Heytap (Realme) e Hicloud (Huawei), los investigadores descubrieron que los datos cifrados pueden descifrarse en ocasiones, lo que supone un riesgo para los ataques de tipo Man-in-the-Middle (MitM).

Como señala el estudio, incluso si el usuario restablece los identificadores publicitarios de su cuenta de Google en Android, el sistema de recogida de datos puede volver a vincular trivialmente el nuevo identificador al mismo dispositivo y añadirlo al historial de seguimiento original.

La mayoría de los usuarios de Android siguen atrapados en un flujo interminable de recopilación de datos, que es donde los reguladores y las organizaciones de protección de los consumidores tienen que intervenir y poner fin a esto.

Un portavoz de Google ha declarado lo siguiente sobre las conclusiones del estudio:

Aunque apreciamos el trabajo de los investigadores, no estamos de acuerdo en que este comportamiento sea inesperado: así es como funcionan los smartphones modernos.
Como se explica en nuestro artículo del Centro de ayuda de los servicios de Google Play, estos datos son esenciales para los servicios básicos del dispositivo, como las notificaciones push y las actualizaciones de software, en un ecosistema diverso de dispositivos y versiones de software.
Por ejemplo, los servicios de Google Play utilizan los datos de los dispositivos Android certificados para respaldar las funciones principales del dispositivo. La recopilación de información básica limitada, como el IMEI de un dispositivo, es necesaria para ofrecer actualizaciones críticas de forma fiable en todos los dispositivos y aplicaciones Android.

Fuente: Teknofilo

13 oct. 2021

Documentos argentinos a la venta. Desmienten que se hayan hackeado la web de los DNI

Luego de que circularan en redes sociales capturas de pantallas que mostraban un presunto hackeo a la base de datos del Registro Nacional de las Personas (RENAPER), que cuenta con los datos de los DNI de las más de 45 millones de personas en el país, el organismo aseguró que sus sistemas de seguridad informática no fueron vulnerados. Según el RENAPER, hubo un uso indebido de una clave otorgada a un organismo público y se formalizó una denuncia penal

Desde el organismo dijeron: "El Registro Nacional de las Personas formalizó ayer una denuncia penal ante el Juzgado en lo Criminal y Correccional Federal N° 11 Secretaria N° 22 tras detectar que, mediante el uso de claves otorgadas a organismos públicos, en este caso el Ministerio de Salud, se filtraron imágenes como perteneciente a trámites personales realizados en el RENAPER. Desde el organismo dependiente del Ministerio del Interior se confirmó que se trató de un uso indebido de usuario o robo de la clave del mismo, y que la base de datos no sufrió vulneración o filtración alguna de datos".

El sábado 9 de octubre el RENAPER tomó conocimiento de que un usuario de Twitter identificado con el nombre de @aniballeaks -cuenta que fue denunciada y que actualmente se encuentra suspendida- había publicado en dicha red social las imágenes de 44 individuos, entre los cuales se encontraban funcionarios y personajes públicos de conocimiento en general”, explicaron desde el organismo que depende de Ministerio de Interior.

Según su versión, algunas de las publicaciones poseerían el número de trámite del Documento Nacional de Identidad asociado a dicha imagen. "De un primer análisis, se pudo identificar a las imágenes como perteneciente a trámites personales realizados en el Registro Nacional de las Personas", agregaron.

"Confirmando lo sucedido, el equipo de seguridad informática del RENAPER realizó una consulta sobre las 44 personas involucradas a fin de relevar los últimos consumos realizados mediante el uso del Sistema de Identidad Digital (SID) sobre dichos perfiles, detectando que 19 imágenes habían sido consultadas en el exacto momento que eran publicadas en la red social Twitter desde una conexión autorizada de VPN (Virtual Private Network) entre el RENAPER y el Ministerio de Salud de la Nación, y todas las imágenes habían sido consultadas recientemente desde esa misma conexión", indicaron.

Tras ese protocolo lograron determinar que "dicha conexión habría realizado varias consultas individuales a las bases de datos del Renaper entre las 15:01 y las 15:55 mediante el servicio de validación de datos del SID el cual, una vez invocados el DNI y Sexo de la persona, devuelve a la persona que consulta todos los datos impresos en el Documento Nacional de Identidad, incluyendo imagen y otros datos personales, los cuales luego fueron subidos inmediatamente a la red social Twitter, sin el consentimiento del Titular de los mismos".

Luego de este análisis preliminar, confirmaron los especialistas, se descartó de plano un ingreso no autorizado a los sistemas o una filtración masiva de datos del organismo", aseguró el RENAPER, y agregó: "Asimismo, se detectó que un usuario autorizado individual habría utilizado de forma indebida para fines personales el servicio de validación de identidad a través de un certificado habilitado del Ministerio de Salud de la Nación, conectándose a través de la correspondiente VPN, con usuario y contraseña".

Según pudo saber este medio son ocho las personas que pertenecen a la cartera que dirige Carla Vizzotti que quedaron bajo la lupa judicial. Esto es porque eran quienes tenían acceso a la clave desde la cual se hicieron las consultas que luego se publicaron en redes sociales.

Fuente: La Nación

MysterySnail: vulnerabilidad crítica en Windows (Parchea!)

En octubre, Microsoft ha publicado 74 correcciones de seguridad, incluido un error Zero-Day explotado activamente en Win32k. Se incluyen soluciones para un total de cuatro fallas de día cero, tres de las cuales son públicas. Los productos afectados por la actualización de seguridad de octubre incluyen Microsoft Office, Exchange Server, MSHTML, Visual Studio y el navegador Edge.

Los errores de día cero se identifican como CVE-2021-40449, CVE-2021-41338, CVE-2021-40469 y CVE-2021-41335. La primera está siendo aprovechada activamente por atacantes: MysterySnail.

CVE-2021-26427 es una vulnerabilidad RCE en Microsoft Exchange Server que recibió una puntuación CVSSv3 de 9, la más alta en esta versión del martes de parches. La vulnerabilidad se atribuye a Andrew Ruddick del Centro de Respuesta de Seguridad de Microsoft, así como a la Agencia de Seguridad Nacional (NSA). A pesar de la alta puntuación de CVSS, el aviso señala específicamente que la vulnerabilidad solo sería explotable desde una red adyacente. En abril, a la NSA también se le atribuyó el descubrimiento de cuatro vulnerabilidades de RCE en Microsoft Exchange Server.

MysterySnail

A finales de agosto y principios de septiembre de 2021, Kaspersky detectó ataques mediante el uso de un exploit de elevación de privilegios en varios servidores de Microsoft Windows. El nuevo exploit está basado en otro más más antiguo y conocido públicamente desde 2016 (CVE-2016-3309), pero un análisis más detallado reveló que era un Zero-Day.

Este Zero-Day está usando una vulnerabilidad previamente desconocida en el controlador Win32k y la explotación se basa en gran medida en una técnica para filtrar las direcciones base de los módulos del kernel. Microsoft asignó CVE-2021-40449 a esta vulnerabilidad use-after-free en el controlador del kernel Win32k y fue parcheada el 12 de octubre de 2021, como parte del martes de parches de octubre.

Además de encontrar este día cero in-the-wild, Kaspersky analizó el malware utilizado junto con el exploit y descubrieron que se detectaron variantes del malware en campañas de espionaje generalizadas contra empresas de TI, contratistas militares/defensa y entidades diplomáticas.

Kaspersky llamó a este ataque MysterySnail. La similitud de código y la reutilización de la infraestructura C2 que descubrieron permite conectar estos ataques con el actor conocido como IronHusky y la actividad APT de habla china que se remonta a 2012.

Este exploit  de elevación de privilegios funciona en los siguientes productos de Windows:

  • Microsoft Windows Vista
  • Microsoft Windows 7
  • Microsoft Windows 8
  • Microsoft Windows 8.1
  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows 10 (compilación 14393)
  • Microsoft Windows Server 2016 (compilación 14393)
  • Microsoft Windows 10 (compilación 17763)
  • Microsoft Windows Server 2019 (compilación 17763)
Fuente: ZDNet

12 oct. 2021

Banco Pichincha (EC) víctima de ciberataque

El Ministerio de Finanzas de Ecuador y Banco Pichincha, una de las entidades más grandes del país, fueron atacadas hoy por un grupo que los infectó con un ransomware.

Un grupo de delincuentes autodenominado "Hotarus Corp" se adjudicó el hackeo al Ministerio de Finanzas de Ecuador y al banco más grande del país, Banco Pichincha, a la vez que afirman haber robado datos internos.

Esta no es la primera vez que el banco es atacado por este grupo, porque ya en febrero de 2021 habían llevado a cabo una acción similar. En este momento la banda apuntó al Ministerio de Finanzas de Ecuador, el Ministerio de Economía y Finanzas de Ecuador, donde desplegaron un ransomware basado en PHP para cifrar un sitio que aloja un curso en línea dentro de la institución. En este momento habían utiliza el software Ronggolawe (también conocido como AwesomeWare). Poco después del ataque, los atacantes publicaron un archivo de texto que contenía 6.632 nombres de inicio de sesión y combinaciones de contraseñas hash en un foro.

En esta oportunidad, el banco confirmó el ataque en un comunicado oficial, pero afirma que fue un socio de marketing hackeado y no sus sistemas internos. Banco Pichincha continúa diciendo que "los atacantes utilizaron la plataforma comprometida para enviar correos electrónicos de phishing a los clientes para intentar robar información confidencial para realizar transacciones ilegítimas".

Hasta ahora, el Banco Pichincha no ha revelado públicamente la naturaleza del ataque. Sin embargo, fuentes de la industria de la ciberseguridad le han dicho a BleepingComputer que se trata de un ataque de ransomware con actores de amenazas que instalan Cobalt Strike en la red. Las bandas de ransomware y otros actores de amenazas suelen utilizar Cobalt Strike para obtener persistencia y acceso a otros sistemas en una red.

En una entrevista con BleepingComputer, el grupo de delincuentes informáticos cuestiona el estado de cuenta del banco y afirma que utilizó el ataque de la empresa de marketing como un trampolín hacia los sistemas internos del banco. Luego robaron los datos y utilizaron el ransomware para cifrar los dispositivos.

"Inicialmente entramos a una empresa que desarrolla aplicaciones web y marketing para el banco, luego de analizar códigos y datos nos dio la posibilidad de acceder a los sistemas internos del banco, fue allí donde usamos un ransomware, extrayendo toda la información posible. Una vez dentro, encontramos vulnerabilidades en las vulnerabilidades de sus aplicaciones en los puertos FTP y RDP que nos ayudaron a aumentar los privilegios. Actualmente solo está a la venta información bancaria, ya hemos vendido alrededor de 37.000 tarjetas de crédito a un grupo dedicado a esto, la información inicialmente será subastada o vendida por 250.000", dijo un operador de "Hotarus Corp" a BleepingComputer.", dijeron los actores de amenazas a BleepingComputer.

A través de este ataque, el grupo afirma haber robado "31.636.026 millones de registros de clientes y 58.456 registros confidenciales del sistema", incluidos números de tarjetas de crédito. Como prueba de su ataque, el grupo compartió varias imágenes de los datos presuntamente robados, incluida una carpeta de archivos.

Fuente: BC

Pronósticos de ciberseguridad 2022

La rápida evolución de las tendencias y las disrupciones tecnológicas, junto con el aumento de la ansiedad individual y la inestabilidad del contexto, establece una ruta inesperada y reto exigente para las organizaciones del siglo XXI (Cascio, 2020).

Este desafío implica el desarrollo de una capacidad de adaptación ágil, que demanda transformar inicialmente los imaginarios de las personas sobre lo que es la realidad y cómo entenderla, para luego articular una nueva cultura que le permita moverse mejor, fallar rápido, desaprender pronto y experimentar mucho (Cano, 2021).

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información resulta un "salto de fe" sobre los reportes, los documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará con el pasar de los días. Por tanto, lanzarse a efectuar visualización de oportunidades y retos para los modelos de seguridad y control en el 2022, demandará una lectura de umbrales los cuales estarán enmarcados en algunas temáticas que han venido referenciándose en diferentes informes a nivel internacional y en realidades emergentes o señales débiles del entorno.

Hacer una lectura de umbrales para explorar las tendencias de la ciberseguridad/seguridad en el 2022, exige crear una vista de transformación basada en un ejercicio de "feedforward". Esto es, establecer un mapa imperfecto del momento presente y decidir qué hacer ahora en función de lo que se percibe y en circunstancias radicalmente distintas. Lo anterior, implica plantear un camino potencial de cambios que se configuran en la actualidad creando una perspectiva de evolución basado en distinciones conocidas o novedosas (Hodgson, 2020).

Así las cosas, varias son las temáticas que se advierten para crear los umbrales de transformación propuestos en esta reflexión:

  • Robo de la realidad: cibercriminales científicos de datos.
  • Cybersafety: transformación del comportamiento en el entorno cibernético.
  • Cripto pasivos: ¿Los nuevos chicos "malos" del barrio?
  • Técnicas de blanco móvil: Cambiando la ecuación del adversario.
  • Nubes híbridas: inseguridad "en cascada".
Estas cinco temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar "ganancias teóricas" y "aproximaciones prácticas" que motivan transformaciones aceleradas que se advierten para los próximos meses.

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la amenaza interna, el aumento de las regulaciones y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de la sociedad ahora frágil, ansiosa, no-lineal e incomprensible (Sieber & Zamora, 2018).

Contenido completo en fuente original Blog de Jeimy Cano

11 oct. 2021

Exploit RCE para iOS 15.0.1 (Parchea!)

Apple acaba de publicar iOS 15.0.2 con algunas correcciones de errores importantes, incluidas algunas específicas de Find My y una falla de seguridad que, según Apple, se está utilizando activamente. Acreditado a un investigador anónimo, CVE-2021-30883 podría permitir a un atacante explotar el IOMobileFrameBuffer para "ejecutar código arbitrario con privilegios del kernel" y tomar el controldle dispositivo.

Cuando un dispositivo iOS se ha conectado a un host confiable, un atacante puede lanzar un sitio web que devuelve la llamada a un websocket que puede ejecutar código en el dispositivo, transferir datos, monitorear todas las acciones, incluso "reflejar" todo el dispositivo utilizando Quicktime.

Ya existen exploits in-the-wild que permite ejecución de código remoto, por lo que se recomienda actualizar de inmediato.

Apple lanzó iOS 15 el pasado el 20 de septiembre y ya lo actualizó una vez a iOS 15.0.1 para solucionar un problema en el que las personas no podían usar su Apple Watch para desbloquear su iPhone 13. Apple también está probando iOS 15.1 en versión beta, que actualmente incluye funciones como SharePlay, soporte para agregar una tarjeta de vacunación COVID-19 a Apple Wallet y nuevas funciones de la cámara del iPhone 13 Pro.

Fuente: The Verge