24 jun 2022

La Cámara de Representantes de EE.UU. aprueba proyecto de ley de capacitación en ciberseguridad de ICS

La Cámara de Representantes de Estados Unidos ha aprobado el proyecto de ley que establece dentro de la Agencia de Seguridad de Ciberseguridad e Infraestructuras (CISA) una iniciativa para proporcionar a la fuerza laboral de ciberseguridad cursos virtuales y presenciales sin coste y formación sobre ciberseguridad para sistemas de control industrial (ICS). Al llevar a cabo la iniciativa, el proyecto de ley ordena a CISA que participe en colaboración con los Laboratorios Nacionales del Departamento de Energía y consulte con las Agencias de Gestión de Riesgos Sectoriales (SRMA) y, según corresponda, el sector privado.

El proyecto de ley de Capacitación en Ciberseguridad de Sistemas de Control Industrial fue presentado el mes pasado por el Representante de los Estados Unidos Eric Swalwell, un demócrata de California y miembro del Comité Selecto de Inteligencia de la Cámara de Representantes, el Comité Judicial de la Cámara de Representantes y el Comité de Seguridad Nacional de la Cámara de Representantes.

El proyecto de ley también ordena a CISA que proporcione un informe anual sobre la iniciativa, junto con cualquier plan y recomendación para expandir y fortalecer la educación y capacitación en ciberseguridad de ICS.

"Hoy, la Cámara de Representantes aprobó mi Ley de Capacitación en Ciberseguridad de Sistemas de Control Industrial, que fortalecerá las protecciones de ciberseguridad de los Estados Unidos contra las amenazas emergentes y educará a los profesionales de la tecnología de la información en todo el país sobre la mejor manera de protegerse contra las amenazas cibernéticas extranjeras", escribió Swalwell en un mensaje de Twitter el martes.

Hablando en la Cámara, Swalwell dijo que "H.R.7777 no es un número ganador en una máquina tragamonedas, es una fórmula ganadora para llevar la higiene cibernética a nuestros sistemas de control industrial en todo Estados Unidos. Todos los días, dependemos de la infraestructura crítica para alimentar nuestros hogares, alimentar nuestros automóviles y conectarnos en línea. Un componente esencial de la infraestructura crítica son los sistemas de control industrial, también conocidos como ICS, que gestionan digitalmente las operaciones de estos sistemas vitales".

H.R.7777 haría permanente una iniciativa educativa existente dentro de la Agencia de Seguridad de Ciberseguridad e Infraestructura, o CISA. Esta iniciativa, la Iniciativa de Capacitación ICS, proporciona capacitación gratuita en ciberseguridad virtual y en persona a entidades de seguridad públicas y privadas, incluidos administradores de infraestructura crítica, laboratorios nacionales e incluso pequeñas empresas".

La capacitación equipará a los profesionales de la tecnología en todos los niveles con las herramientas y la experiencia necesarias para protegerse contra amenazas persistentes avanzadas, agregó Swalwell.

Antes de su aprobación en la Cámara, el proyecto de ley de Capacitación en Ciberseguridad de Sistemas de Control Industrial fue enviado al Comité de Seguridad Nacional.

El informe también se centró en incidentes recientes de ciberseguridad, incluido el hackeo de la planta de agua de Oldsmar, el ataque de ransomware Colonial Pipeline y una advertencia conjunta de ciberseguridad de abril de hackers específicos de amenazas persistentes avanzadas (APT) que han demostrado la capacidad de obtener acceso completo al sistema a múltiples dispositivos ICS / control de supervisión y adquisición de datos (SCADA).

El año pasado, un miembro del Comité de Seguridad Nacional de la Cámara de Representantes presentó una legislación apoyada por el partido bipartidista, 'DhS Industrial Control Systems Enhancement Act of 2021', en un paso crítico que podría ayudar a solidificar el papel principal de la CISA en la protección de la infraestructura crítica en los Estados Unidos, especialmente ICS, de las amenazas cibernéticas. Desde entonces, el proyecto de ley ha sido aprobado en la Cámara.

Fuente: IndustrialCyber

Ransomware ALPHV/BlackCat: nueva modalidad de extorsión

Los grupos de delincuentes que se especializan en robar datos corporativos y exigir un rescate para no publicarlos han intentado innumerables enfoques para avergonzar a sus víctimas para que paguen. La última innovación para aumentar el calor proviene del grupo de ransomware ALPHV/BlackCat, que tradicionalmente ha publicado los datos de las víctimas robadas en la Dark Web.

Ahora, ALPHV/BlackCat ha comenzado a publicar sitios web de víctimas individuales en internet abierto y al público, con los datos filtrados disponibles de forma que sean fáciles de buscar por los propios empleados y víctimas (por ejemplo, huéspedes de un hotel).

El sitio de ALPHV afirma preocuparse por la privacidad de las personas, pero permiten que cualquiera vea los datos confidenciales robados. ALPHV anunció recientemente en su sitio web de "extorsión y vergüenza" de víctimas que había hackeado un spa y resort de lujo en el oeste de los Estados Unidos. En algún momento de las últimas 24 horas, ALPHV publicó un sitio web con el nombre de la misma víctima en el dominio y su logotipo en la página de inicio.

El sitio web afirma enumerar la información personal de 1.500 empleados del resort y más de 2.500 residentes en las instalaciones. En la parte superior de la página hay dos botones "Revise usted mismo", uno para los empleados y otro para los invitados.

Como parte de este ataque, la banda de ransomware afirma haber robado 112 GB de datos, incluida la información de los empleados, como números de la Seguridad Social, fecha de nacimiento, números de teléfono y direcciones de correo electrónico de más de 1.500 empleados.

Los datos están en una web normal, accesible a todos, que permite a los empleados y clientes comprobar si sus datos fueron robados durante el ataque al hotel. En realidad, cualquier persona puede acceder a la información. En otro casos, las bandas recurren a la dark web, pero en este caso está a disponibilidad de cualquiera e incluso es indexable en un buscador. Así, es más fácil que la empresa acabe pagando, porque recibirá presión de trabajadores y clientes.

Brett Callow, un analista de amenazas de la firma de seguridad Emsisoft, calificó el movimiento de ALPHV como "una táctica astuta" que seguramente preocupará a sus otras víctimas.

Callow dijo que la mayoría de los blogs que avergüenzan a las víctimas mantenidos por los principales grupos de rescate de datos y ransomware existen en sitios oscuros y de carga lenta en Darknet, a los que solo se puede acceder mediante el uso de software de terceros como Tor. Pero el sitio web erigido por ALPHV como parte de esta nueva táctica de presión está disponible en Internet abierta.

"Es probable que las empresas estén más preocupadas por la posibilidad de que sus datos se compartan de esta manera que simplemente se publiquen en un sitio oscuro de Tor del que casi nadie conoce la URL", dijo Callow. "Enfadará a la gente y hará que las demandas colectivas sean más probables".

No está claro si ALPHV planea seguir este enfoque con cada víctima, pero otras víctimas recientes del grupo criminal incluyen un distrito escolar y una ciudad de EE.UU. Lo más probable es que se trate de una prueba para ver si mejora los resultados.

Sobre ALPHV

Surgido en noviembre de 2021, ALPHV es quizás más notable por su lenguaje de programación (está escrito en Rust). ALPHV ha estado reclutando activamente operadores de varias organizaciones de ransomware, incluidas REvil, BlackMatter y DarkSide, ofreciendo a los afiliados hasta el 90 por ciento de cualquier rescate pagado por una organización víctima.

Muchos expertos en seguridad creen que ALPHV/BlackCat es simplemente un cambio de marca de otro grupo de ransomware: "Darkside", también conocido como "BlackMatter", la misma pandilla responsable del ataque de 2021 en Colonial Pipeline que causó escasez de combustible y aumentos de precios durante varios días el verano pasado.

El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que está escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del malware que funcionan tanto en entornos Windows como Linux.

En segundo lugar, está la utilidad Fendr, que se utiliza para extraer datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el único grupo conocido que usaba esta herramienta, también conocido como ExMatter.

BlackCat también utiliza la herramienta PsExec para el movimiento lateral en la red de la víctima; Mimikatz, y software Nirsoft para extraer contraseñas de red.

Fuentes: Krebsonsecurity | Genbeta

23 jun 2022

Guía para asegurar PowerShell [NSA]

En este artículo nos hacemos eco de los consejos que ha dado la NSA para proteger Windows con PowerShell. La NSA y los centros de seguridad cibernética en los EE.UU. (CISA), Nueva Zelanda (NZ NCSC) y el Reino Unido (NCSC-UK) han creado un conjunto de recomendaciones para usar PowerShell para mitigar las amenazas cibernéticas en lugar de eliminarlo o deshabilitarlo, lo que menores capacidades defensivas.

PowerShell es una interfaz de consola que viene integrada con Windows. Desde allí podemos ejecutar comandos y llevar a cabo ciertas acciones. Por ejemplo podemos automatizar tareas o ver cierta información del equipo. También podemos utilizar sus capacidades de seguridad integradas para mejorar nuestra protección y hacer que el sistema sea más seguro.

Uno de los consejos que dan es proteger la comunicación remota de PowerShell, para evitar que puedan exponer las credenciales en texto sin formato cuando se ejecutan comandos de forma remota en los hosts de Windows. Indican que si los administradores habilitan esta función en redes privadas, automáticamente agregan una nueva regla en el firewall de Windows que permite todas las conexiones.

Por tanto, la personalización del Firewall de Windows para permitir conexiones solo desde puntos finales y redes confiables ayuda a reducir la posibilidad de que un atacante realice un movimiento lateral con éxito.

Desde la NSA recomiendan registrar la actividad de PowerShell para poder detectar un mal uso. De esta forma podremos monitorizar los registros y encontrar posibles señales de que algo no va bien. Registrar la actividad de PowerShell y monitorear los registros son dos recomendaciones que podrían ayudar a los administradores a encontrar signos de posibles abusos. Se proponen activar funciones como: Deep Script Block Logging (DSBL), Module Logging, and Over-the-Shoulder transcription (OTS).

Los dos primeros permiten crear una base de datos integral de registros que se pueden usar para buscar actividades de PowerShell sospechosas o maliciosas, incluidas acciones ocultas y los comandos y scripts utilizados en el proceso. Con OTS, los administradores obtienen registros de cada entrada o salida de PowerShell, lo que podría ayudar a determinar las intenciones de un atacante en el entorno.

Los administradores pueden usar la siguiente tabla para verificar las características que brindan varias versiones de PowerShell para ayudar a habilitar mejores defensas en su entorno:

La NSA, de cara a usar conexiones remotas, recomienda utilizar el protocolo Secure Shell (SSH), compatible con PowerShell 7. Esto aportará una mayor seguridad. Esto es así ya que las conexiones remotas no necesitan HTTPS con certificados SSL, ni hosts de confianza como sí ocurriría al realizar una conexión remota a través de WinRM.

También recomiendan reducir las operaciones de PowerShell con la ayuda de AppLocker o Windows Defender Application Control para poder configurar la herramienta en modo CLM y evitar así operaciones fuera de las políticas definidas por el administrador.

El documento completo "Keeping PowerShell: Security Measures to Use and Embrace" está disponible aquí [PDF].

Fuente: Bleeping Computer

21 jun 2022

Dos actualizaciones de MS para la misma vulnerabilidad en RDP

Los investigadores de la firma de seguridad de identidad CyberArk compartieron esta semana información técnica sobre una nueva vulnerabilidad en RDP en Windows, para la cual Microsoft tuvo que lanzar dos rondas de parches.

El problema, rastreado como CVE-2022-21893, se solucionó inicialmente el martes de parches de enero de 2022, pero un análisis de la solución reveló que no se había parcheado un nuevo vector de ataque. El martes de parches de abril de 2022, Microsoft resolvió el error como CVE-2022-24533.

CVE-2022-21893, es una vulnerabilidad de los servicios de escritorio remoto de Windows que podría permitir que un usuario sin privilegios acceda a una máquina a través de RDP para acceder al sistema de archivos de las máquinas cliente de otros usuarios conectados.

El problema también permitiría al atacante ver y modificar los datos de otros usuarios conectados, incluidos los contenidos del portapapeles, los archivos transferidos y los PIN de tarjetas inteligentes. Un atacante también podría hacerse pasar por otros usuarios que iniciaron sesión en la máquina y obtener acceso a los dispositivos redirigidos de la víctima, incluidos dispositivos USB, discos duros y más.

"Esto podría generar problemas de privacidad de datos, movimiento lateral y escalamiento de privilegios", señala CyberArk.

Según los investigadores, la vulnerabilidad existe porque los permisos de canalización con nombre se manejan incorrectamente en los Servicios de escritorio remoto, lo que permite que un usuario con privilegios normales "tome el control de los canales virtuales RDP en otras sesiones conectadas".

"La canalización con nombre se creó de tal manera que permitía a todos los usuarios del sistema crear instancias de servidor de canalización con nombre adicionales con el mismo nombre", explica CyberArk.

El parche inicial cambiaba los permisos de canalización, lo que impidió que los usuarios estándar crearan servidores de canalización con nombre. Sin embargo, no abordaba el riesgo asociado con la creación del primer servidor de canalización, cuando el usuario puede establecer permisos para instancias posteriores. 

Después del parche de abril de 2022, se genera un nuevo GUID para las nuevas canalizaciones, lo que evita que los atacantes predigan el siguiente nombre de canalización, y el servidor de canalización se crea con el nuevo nombre único. Además, Microsoft introdujo un control adicional para comparar el ID del proceso actual con el ID del proceso del servidor de canalización con nombre.

Con estos cambios, los riesgos de esta vulnerabilidad se han abordado adecuadamente y la vulnerabilidad queda finalmente parcheada completamente.

Fuente: SecurityWeek

Chromium podría almacenar contraseñas en texto plano

Hay datos que, por su naturaleza, siempre deben permanecer protegidos. Contraseñas, nombres de usuario, el contenido de determinadas cookies.. informaciones que, por norma general, consideramos que los navegadores web gestionan de manera adecuada, es decir, asegurándose de que siempre está protegida. Es lo que tendemos a pensar, ¿verdad? Pues lo cierto es que hay malas, muy malas noticias al respecto.

Y es que Zeev Ben Porat, investigador de CyberArk, ha comprobado que la mayoría de los navegadores web basados ​​en Chromium (como Google Chrome y Microsoft Edge) almacenan, en determinadas circunstancias, dichos tipos de información en texto plano, propiciando de este modo que cualquier persona que pueda tener acceso a nuestro PC, potencialmente pueda obtener dicha información, con los efectos que esto puede llegar a tener. Estos son algunos de los tipos de datos que el investigador afirma haber encontrado:

  • Nombre de usuario + contraseña utilizada al iniciar sesión en una aplicación web específica.
  • URL + nombre de usuario + contraseña cargada automáticamente en la memoria durante el inicio del navegador.
  • Todos los registros de URL + nombre de usuario + contraseña almacenados en Datos de inicio de sesión.
  • Todas las cookies pertenecientes a una aplicación web específica (incluidas las cookies de sesión).

Si bien es necesario que el usuario ingrese datos como nombres de usuario y contraseñas, antes de poder extraerlos, Zeev Ben Porat señala que es posible "cargar en la memoria todas las contraseñas almacenadas en el administrador de contraseñas". La seguridad de la autenticación de dos factores puede no ser suficiente

para proteger las cuentas de los usuarios si los datos de las cookies de sesión también están presentes en la memoria; la extracción de los datos puede dar lugar a ataques de secuestro de sesión utilizando los datos.

Más preocupante aún es que, tras detectar la vulnerabilidad, el investigador se puso en contacto con Google para informar de la misma, y la respuesta que obtuvo es que este problema no será solucionado próximamente. La razón dada es que Chromium no soluciona ningún problema relacionado con ataques de acceso físico local. El problema es que combinar esta debilidad de Chromium con cualquier ataque en el que se consiga acceso remoto, tendrá unas consecuencias realmente preocupantes.

Zeev Ben Porat publicó un artículo de seguimiento en el blog CyberArk, que describe las opciones de mitigación y diferentes tipos de ataques para explotar el problema, y resulta preocupante comprobar la cantidad de métodos que se pueden emplear para explotar este problema. Afortunadamente, también ofrece profusas instrucciones para mitigar esta amenaza, que se resumen en los siguientes puntos:

  • Denegar cualquier acceso de procesos no autorizados a archivos confidenciales (Crear archivo, Mover archivo).
  • Denegar cualquier acceso de procesos no autorizados a la máquina virtual del navegador (OpenProcess, OpenThread).
  • Impedir que procesos no autorizados creen procesos en el navegador (CreateProcess).
  • Bloquear las opciones de línea de comando sospechosas (línea de comando CreateProcess).
  • Impedir que el proceso del navegador cargue archivos DLL (LoadLibrary) sin firmar (no confiables).

Sorprende, no obstante, que Google no haya priorizado este problema al partir de la premisa de que no se solucionan problemas relacionados con ataques de acceso físico local, puesto que, como queda claro al revisar el informe del CyberArk, su explotación de manera remota es perfectamente factible con múltiples herramientas.

Fuente: Muy Seguridad

20 jun 2022

Qué son las reglas Sigma y por qué las necesitas

Es posible que algunos ya hayan oído hablar de las reglas Sigma o Sigma Rules, un enfoque genérico para las firmas utilizadas en los sistemas SIEM. Su objetivo principal es proporcionar una forma estructurada en la que los investigadores o analistas puedan describir sus métodos de detección, una vez desarrollados, y compartirlos con otros.

Las Reglas Sigma son para los registros o logs lo que las reglas Snort son para el tráfico de red y las reglas YARA son para los archivos.

Ruben Ramiro

En los proyectos típicos de monitorización de seguridad, las personas integran diferentes fuentes de registro y amenazas / casos de uso que desean monitorizar en estos registros. La selección de las fuentes de registro está determinada por la importancia, la disponibilidad y los requisitos operativos.

¿Qué es lo que quiero detectar?

Hay varios libros blancos y guías para las fuentes de registro más comunes, como son los registros de eventos de Windows o SO.

Lo que si debemos hacer es leer los documentos, extraer los métodos de detección interesantes y definir búsquedas y paneles para nuestro sistema SIEM. Uno de los propósitos principales de las reglas Sigma es disminuir los tiempos de este proceso que consume tanto tiempo. Estas descripciones públicas de los métodos de detección ya forman parte de Sigma o estarán integradas por uno de los colaboradores.

¿Qué son las reglas Sigma?

Proveniente de Generic Signature Format for SIEM Systems (Formato genérico de firma para sistemas SIEM) , las reglas Sigma son un formato de firma genérico y abierto que nos permite describir eventos de registros relevantes de una manera directa. El formato de regla es muy flexible, fácil de escribir y aplicable a cualquier tipo de archivo de registro. El objetivo principal de este proyecto es proporcionar una forma estructurada en la que los investigadores o analistas puedan describir sus métodos de detección, una vez desarrollados, y compartirlos con otros.

Sigma es para archivos de registro o logs lo que es para el tráfico de red y es para archivos.

Reglas-Sigma-SIEM

La mejor monitorización posible

Los analistas de seguridad intentan definir búsquedas útiles y análisis estadísticos en los datos de registro de todas las fuentes de logs diferentes. Por lo general, siguen las guías públicas y crean muchas reglas diferentes de "inicio de sesión fallido" para todo tipo de sistemas operativos y aplicaciones.

Pero, ¿qué sucede cuando comienzas a integrar fuentes de registro y tipos que no están cubiertos por directrices públicas?

Hay diferentes enfoques para este problema:

  • Cubrir los intentos fallidos de autenticación
  • Monitorizar cualquier evento fallido
  • Usar desviaciones estadísticas (muchos eventos nuevos de cierto tipo)
  • Mirar a través de los datos de registro y seleccionar mensajes "interesantes"
  • Hablar con los propietarios / administradores de la aplicación (a menudo de forma bastante decepcionante)
  • Hablar con los desarrolladores de la aplicación (en caso de desarrollo interno)

Todos estos métodos son válidos y pueden ayudarnos a configurar búsquedas útiles en los datos disponibles. Sin embargo, para crear las mejores firmas y alertas posibles tenemos que considerar lo siguiente:

  • Las condiciones de fallo más interesantes y relevantes no ocurren en condiciones normales y, por lo tanto, no aparecen en los datos de registro cotidianos (los datos de registro que tenemos para seleccionar eventos interesantes)
  • Los desarrolladores conocen las condiciones de error más raras o más relevantes y los ID y mensajes de error correspondientes
  • Todos los mensajes de error posibles de una aplicación aparecen en su código fuente

Imagina que pudiesemos extraer los mensajes más interesantes que la aplicación puede generar y definir reglas para estas condiciones. Imagina que este proceso es una tarea fácil que cualquier desarrollador puede realizar.

Bueno, pues tenemos a nuestro alcance todas lo que necesitamos para múltiples casos. La primera y más importante, empezar cuanto antes a aplicar todo el catálogo de reglas Sigmas posibles.

Hoy, todos recopilan datos de registro para el análisis. Las personas comienzan a trabajar por su cuenta, procesan numerosos libros blancos, publicaciones de blogs y guías de análisis de registros, extraen la información necesaria y crean sus propias búsquedas y paneles. Algunas de sus búsquedas y correlaciones son geniales y muy útiles, pero carecen de un formato estandarizado en el que puedan compartir su trabajo con otros.

Otros proporcionan análisis excelentes, incluyen IOCs y reglas YARA para detectar los archivos maliciosos y las conexiones de red, pero no tienen forma de describir un método de detección específico o genérico en los eventos de registro. Sigma pretende ser un estándar abierto en el que tales mecanismos de detección se puedan definir, compartir y recopilar a fin de mejorar las capacidades de detección para todos.

Mediante una serie de Especificaciones para Reglas Sigma, podemos encontrar ejemplos maravillosos a implementar

Fuente: Ciberseguridad

18 jun 2022

La doble extorsión del ransomware puede llegar hasta U$S 925.000

De acuerdo con el informe anual de Zscaler, ThreatLabz Ransomware Report, los ataques de ransomware han experimentado un aumento del 80% respecto al pasado año. Y no solo han crecido estos ataques, sino que la media del precio que se paga por los rescates ha aumentado un 71% este año.

Según los expertos, el precio de estos rescatesha ido en aumento y lejos quedan aquellas cifras iniciales de 500 euros para encarecerse hasta el millón de dólares. Hasta ahora, la teoría apuntaba que los ciberdelincuentes calculaban el precio de los rescates en función de los ingresos anuales de la compañía. A partir de ahí, se les pedía el 4% de esa facturación.

Sin embargo, los atacantes han visto que pueden sacar aún un mayor rédito de estos ataques aprovechando la técnica de la doble extorsión. De esta forma, una vez la víctima paga el importe solicitado por los atacantes para recuperar sus datos, antes de recuperarlos se le solicita una cantidad económica adicional. La suma de las dos cantidades solicitadas hace que el coste de los ataques de ransomware haya experimentado este crecimiento.

Como ejemplo, algunos casos de ransomware que han sido asistidos por personal de respuesta a incidentes en la empresa de ciberseguridad Unit 42 de Palo Alto Networks, el precio medio del rescate ha sido de 925.162 dólares en los cinco primeros meses de 2022.

Esto implica un aumento pronunciado y "sorprendente" con respecto a las cifras de años anteriores, cuando el precio medio de los pagos estaba entre los poco más de 300.000 dólares de 2020 y los 540.000 de 2021.

Unit 42 precio rescates ransomware

El ransomware de doble extorsión aparece en escena

El ransomware de doble extorsión se ha convertido en un modelo operativo popular en los últimos años, ya que las empresas están cada vez más atentas a este tipo de ataques y cuentan con mejores copias de seguridad para evitar tener que pagar rescates.

Pero muchas organizaciones siguen sin estar preparadas para hacer frente a las infecciones de sus redes corporativas con ransomware que bloquea máquinas y accesos a datos. Más preocupante aún es cuando los atacantes accedes a datos confidenciales que amenazan con filtrar si no se paga el rescate.

Los daños en la reputación de la compañía pueden ser incalculables en muchas ocasiones, especialmente a aquellas que están sujetas a normativas de protección de datos como RGPD.

Según apunta Ryan Olson, vicepresidente de inteligencia de amenazas en Unit 42, la tasa de doble extorsión que han observado en la compañía se traduje en una nueva víctima cada tres o cuatro horas. «Los detalles de unas siete nuevas víctimas de promedio se publican cada día en los sitios de filtraciones de la deep web que los grupos de ransomware usan para obligar a las víctimas a pagar rescates”, destaca el responsable.

En su opinión, la crisis de la ciberextorsión continúa porque los ciberdelincuentes han sido implacables en la introducción de herramientas de ataque, técnicas de extorsión y campañas de marketing cada vez más sofisticadas.

El incentivo económico

Esto ha impulsado también esta oleada de delitos digitales a nivel global. Al mismo tiempo, el modelo de negocio de ransomware como servicio (RaaS) ha reducido el listón técnico de entrada al hacer que estas herramientas sean accesibles, fáciles de usar y con soporte online.

Desde Unit 42 destacan dos casos con rescates multimillonarios que se pagaron este año, impulsados por el éxito de las operaciones de ransomware Quantum Locker y LockBit 2.0.

Costa Rica es un ejemplo de lo devastador que puede ser el ransomware en 2022, cinco años después de WannaCry y seis años después de que el precio medio de un rescate rondara los 500 dólares.

El país declaró el estado de emergencia después de sufrir un ataque del ransomware Conti y desde entonces ha tenido un segundo grupo de ransomware apuntando al país, esta vez centrándose en su servicio de salud.

Según un informe de Digital Shadows, el primer trimestre de 2022 vio una disminución del 25% en la actividad de ransomware en comparación con el trimestre anterior.

Para la firma, esta disminución de la actividad podría ser el resultado de una amenaza menos prominente de los grupos de ransomware más grandes y organizados que cerraron en los últimos meses, como REvil y BlackMatter.

Fuente: BitLifeMedia

17 jun 2022

Total Cookie Protection: el "tarro de cookies" de Firefox para la privacidad

A partir de esta semana, Firefox está implementando Total Cookie Protection de forma predeterminada para todos los usuarios de Firefox. Esta herramienta busca limitar las cookies solo al sitio donde se crearon, evitando así que las empresas de rastreo las utilicen para rastrear su navegación de un sitio a otro.

Dejamos grandes cantidades de su información personal en línea, y estos datos se filtran por toda la web. Los anuncios hiperespecíficos para cada usuario son posibles gracias a las cookies que se utilizan para rastrear su comportamiento en los sitios y crear un perfil extremadamente sofisticado de quién es el usuario.

Las historias recientes (incluido un excelente episodio de Last Week Tonight) han demostrado cuán robusta, aunque discreta, es la economía de venta de datos y cuán fácil es para cualquier persona comprar sus datos, combinarlos con más datos sobre el usuario y usarlos para una variedad de propósitos, incluso más allá de la publicidad.

Es una realidad alarmante: la posibilidad de que cada uno de los movimientos en línea esté siendo observado, rastreado y compartido.

¿Qué es la protección total de cookies?

Total Cookie Protection ofrece fuertes protecciones contra el seguimiento sin afectar la experiencia de navegación. Total Cookie Protection funciona mediante la creación de un "tarro de cookies" separado para cada sitio web visitado. En lugar de permitir que los rastreadores vinculen el comportamiento del usuario en varios sitios, solo pueden ver el comportamiento en sitios individuales. 

Cada vez que un sitio web, o el contenido de un tercero incrustado en un sitio web, deposita una cookie en su navegador, esa cookie se limita al contenedor de cookies asignado solo a ese sitio web. Ningún otro sitio web puede acceder a los tarros de cookies que no les pertenecen y descubrir qué saben las cookies de otros sitios web sobre el usuario, lo que lo libera de los anuncios invasivos y reduce la cantidad de información que las empresas recopilan.

Total Cookie Protection ofrece protecciones de privacidad adicionales más allá de las proporcionadas por las funciones anti-seguimiento ya existentes.

Enhanced Tracking Protection (ETP), lanzado en 2018, funciona mediante el bloqueo de rastreadores en función de una lista mantenida. Si una parte está en esa lista, pierde la capacidad de usar cookies de terceros. Si un rastreador por alguna razón no está en esa lista, aún puede rastrear a los usuarios y violar su privacidad. Y si un atacante quiere frustrar ETP, puede configurar un nuevo dominio de seguimiento que no está en la lista. Total Cookie Protection evita estos problemas al restringir la funcionalidad para todas las cookies, no solo para aquellas en una lista definida.

El lanzamiento de hoy de Total Cookie Protection es el resultado de la experimentación y las pruebas de funciones, primero en ETP Strict Mode y Private Browsing, y luego en Firefox Focus a principios de este año. Ahora lo estan convirtiendo en una función predeterminada para todos los usuarios de escritorio de Firefox en todo el mundo.

Fuente: Mozilla

16 jun 2022

El futuro es Passwordless

"Las contraseñas no solo son frustrantes, sino que se explotan fácilmente", dijo Andre Durand, director ejecutivo de Ping Identity. "Un futuro sin contraseña significa que las violaciones de datos y el fraude de identidad son mucho menos probables, y la productividad y las experiencias de los clientes y empleados mejoran drásticamente. Es tranquilizador ver a los líderes de TI de todo el mundo alineados en un futuro en el que las contraseñas se reemplazan por una autenticación simple, fácil y más segura".

Las contraseñas presentan serios problemas de seguridad

  • El 94% de los líderes de TI tienen serias preocupaciones sobre las contraseñas generadas por los usuarios.
  • El 91% de los líderes de TI se preocupan por el robo de contraseñas en su organización.
  • Al 50% le preocupa que las contraseñas sean demasiado débiles por razones de seguridad.
  • El 61% de las filtraciones de datos involucran el uso de credenciales no autorizadas.

Las contraseñas son una carga para la productividad

  • El 67% está preocupado por los costos de la mesa de ayuda asociados con las contraseñas.
  • El 33% de los tickets de la mesa de ayuda están relacionados con las contraseñas y, en el último año, los líderes de TI han visto un aumento del 30% en los incidentes relacionados con las contraseñas.
  • Los líderes de TI estiman que sus empleados deben ingresar contraseñas un promedio de 12 veces al día.

Los líderes de TI enfrentan desafíos y resistencia a la adopción sin contraseña

  • El 97% de los que no han adoptado la autenticación sin contraseña creen que enfrentarán desafíos al hacerlo.
  • El 91% está de acuerdo en que la seguridad de las contraseñas es una cuestión cultural por la que los líderes empresariales, no los usuarios, deben asumir la responsabilidad.
  • El 88% de los que no han adoptado la autenticación sin contraseña creen que su organización se resistiría un poco o mucho a adoptarla.
  • El 33% de los que no han adoptado la autenticación sin contraseña dicen que la falta de experiencia es una barrera para adoptar la autenticación sin contraseña.

Descubriendo los beneficios de un futuro sin contraseña

  • El 100% reconoce los beneficios de la autenticación sin contraseña, incluidos costos de seguridad reducidos (52%), seguridad mejorada (52%) y menos soporte necesario (48%).
  • El 96% dice que la autenticación sin contraseña crearía una experiencia de usuario (UX) más fácil para los empleados.
  • El 95% de los que tienen un portal de inicio de sesión de clientes dicen que crearía una UX más fácil para los clientes.
  • El 93% informa que es probable que su organización adopte la autenticación sin contraseña.
  • Entre las organizaciones que adoptaron o planean usar la autenticación sin contraseña, los principales son biométricos (67%), por PIN (48%) y claves de seguridad físicas (38%).

"La necesidad de adoptar la autenticación moderna se destaca a diario con ejemplos como la orden ejecutiva de seguridad cibernética de la Casa Blanca y la invasión rusa de Ucrania. Encuestas como esta demuestran la mentalidad de los líderes de la industria y el importante viaje hacia una autenticación sin contraseña simple y sólida", dijo Stina Ehrensvard, directora ejecutiva de Yubico.

Fuente: HelpNetsecurity

15 jun 2022

Hertzbleed: nuevo tipo de ataque de canal lateral para Intel y AMD

Hertzbleed es una nueva familia de ataques de canal lateral: canales laterales de frecuencia. En el peor de los casos, estos ataques pueden permitir que un atacante extraiga claves criptográficas de servidores remotos que antes se creía que eran seguros.

Hertzbleed aprovecha que, en determinadas circunstancias, la escala de frecuencia dinámica de los procesadores x86 modernos depende de los datos que se procesan. Esto significa que, en los procesadores modernos, el mismo programa puede ejecutarse a una frecuencia de CPU diferente (y, por lo tanto, tomar un tiempo diferente) al calcular, por ejemplo, 2022 + 23823 en comparación con 2022 + 24436.

Hertzbleed es una amenaza real y práctica para la seguridad del software criptográfico. Los investigadores han demostrado cómo un atacante inteligente puede usar un nuevo ataque de texto cifrado elegido contra el algoritmo SIKE para realizar la extracción de una clave completa.

El artículo de Hertzbleed se publicará en en la Simposio de Seguridad de USENIX 31 (Boston, 10-12 de agosto de 2022) con el siguiente título: Hertzbleed: Turning Power Side-Channel Attacks Into Remote Timing Attacks on x86. Puede descargar una vista previa desde aquí [PDF].

Quienes están afectados

El aviso de seguridad de Intel establece que todos los procesadores Intel están afectados. Experimentalmente los investigadores confirmaron que varios procesadores Intel están afectados, incluidos los modelos de computadoras de escritorio y portátiles de la microarquitectura Core de 8va y 11va generación.

El aviso de seguridad de AMD establece que varios de sus procesadores de escritorio, móviles y servidores están afectados. Experimentalmente han confirmado que los procesadores AMD Ryzen se ven afectados, incluidos los modelos de escritorio y portátiles de las microarquitecturas Zen 2 y Zen 3.

Otros proveedores de procesadores (por ej., ARM) también implementan el escalado de frecuencia en sus productos y se les informó sobre Hertzbleed. Sin embargo, no hemos confirmado si están o no afectados por Hertzbleed.

Hertzbleed no es un error. La causa raíz de Hertzbleed es el escalado dinámico de frecuencia, una característica de los procesadores modernos, que se utiliza para reducir el consumo de energía (durante cargas bajas de CPU) y para garantizar que el sistema se mantenga por debajo de los límites térmicos y de energía (durante cargas altas de CPU).

Hertzbleed se rastrea bajo CVE-2022-23823 y CVE-2022-24436.

Fuente: HertzBleed