18 mar 2024

Nuevo ataque acústico determina las pulsaciones de teclas a partir de patrones de escritura

Los investigadores han demostrado un nuevo ataque acústico de canal lateral en los teclados que puede deducir la entrada del usuario en función de sus patrones de escritura, incluso en malas condiciones, como entornos con ruido.

Aunque el método logra una tasa de éxito promedio del 43%, que es significativamente menor que otros métodos presentados en el pasado, no requiere condiciones de grabación controladas ni una plataforma de escritura específica.

Esto lo hace más aplicable en ataques reales y, dependiendo de algunos parámetros específicos del objetivo, puede producir suficientes datos confiables para descifrar la entrada general del objetivo con algún análisis posterior a la captura.

El ataque acústico

Los investigadores Alireza Taheritajar y Reza Rahaeimehr de la Universidad de Augusta en Estados Unidos han publicado un artículo técnico [PDF] que presenta los detalles de su exclusivo método acústico de canal lateral.

El ataque aprovecha las emisiones de sonido distintivas de diferentes pulsaciones de teclas y el patrón de escritura de los usuarios capturado por software especializado para recopilar un conjunto de datos.

Es fundamental recopilar algunas muestras de escritura del objetivo para que las pulsaciones de teclas y palabras específicas puedan correlacionarse con las ondas sonoras.

El documento profundiza en los posibles métodos para capturar texto, pero podría ser a través de malware, sitios web maliciosos o extensiones de navegador, aplicaciones comprometidas, secuencias de comandos entre sitios o teclados USB comprometidos.

La escritura del objetivo puede grabarse usando un micrófono oculto cerca de él o de forma remota usando dispositivos comprometidos en las proximidades, como teléfonos inteligentes, computadoras portátiles o parlantes inteligentes.

El conjunto de datos capturado incluye muestras de tipeo en diversas condiciones, por lo que se deben registrar múltiples sesiones de tipeo, lo cual es crucial para el éxito del ataque. Sin embargo, los investigadores dicen que el conjunto de datos no tiene por qué ser particularmente grande.

Luego, el conjunto de datos se utiliza para entrenar un modelo estadístico que produce un perfil completo de los patrones de escritura individuales del objetivo en función de los intervalos de tiempo entre pulsaciones de teclas.

Los investigadores descubrieron que aceptar una desviación del 5% para el modelo estadístico es crucial, ya que el comportamiento al escribir varía ligeramente incluso cuando una persona escribe la misma palabra dos veces.

Por ejemplo, cualquier intervalo registrado entre A y B que se encuentre entre 95 milisegundos (100 - 5%) y 105 milisegundos (100 + 5%) podría considerarse una coincidencia.

La desviación también ayuda a mitigar el impacto de los errores o el ruido en la grabación, asegurando que las discrepancias menores no provoquen una falta de coincidencia.

El método predice el texto escrito analizando grabaciones de audio de la actividad del teclado, y la precisión se mejora al filtrar las predicciones a través de un diccionario de inglés.

Lo que hace que el ataque sea diferente en comparación con otros enfoques es que puede alcanzar una precisión de predicción de escritura del 43 % (en promedio) incluso cuando:

  • las grabaciones contienen ruido ambiental
  • las sesiones de escritura grabadas para el mismo objetivo se llevaron a cabo en diferentes modelos de teclado.
  • las grabaciones fueron tomadas usando un micrófono de baja calidad
  • el objetivo es libre de utilizar cualquier estilo de escritura

Por otro lado, el método tiene limitaciones que en ocasiones hacen que el ataque sea ineficaz.

Por ejemplo, puede ser difícil perfilar a las personas que rara vez usan una computadora y no han desarrollado un patrón de mecanografía consistente, o a los mecanógrafos profesionales que escriben muy rápido.

Los resultados de las pruebas de 20 sujetos de prueba han producido un amplio rango de éxito, desde el 15% hasta el 85%, lo que hace que algunos sujetos sean mucho más predecibles y susceptibles que otros.

Los investigadores también observaron que la amplitud de la forma de onda producida se acentúa menos cuando se utilizan teclados silenciosos (interruptores mecánicos o de membrana con amortiguador de sonido), lo que puede obstaculizar la eficacia del entrenamiento para el modelo de predicción y reducir las tasas de detección de pulsaciones de teclas.

Fuente: BC

17 mar 2024

Chrome mejora la protección de URL para evitar phishing

Google anunció el jueves una versión mejorada de navegación segura para brindar protección de URL en tiempo real, preservando la privacidad y salvaguardando a los usuarios de visitar sitios potencialmente maliciosos.

"El modo de protección estándar para Chrome en escritorio e iOS comparará en tiempo real los sitios con la lista de sitios dañinos conocidos", dijeron Jonathan Li y Jasika Bawa de Google. "Si sospechamos que un sitio representa un riesgo para usted o su dispositivo, verá una advertencia con más información. Al revisar los sitios en tiempo real, esperamos bloquear un 25% más de intentos de phishing".

Hasta ahora, el navegador Chrome utilizaba una lista almacenada localmente de sitios inseguros conocidos que se actualiza cada 30 a 60 minutos y luego aprovechaba un enfoque basado en hash para comparar cada sitio visitado con la base de datos.

Google reveló sus planes de cambiar a comprobaciones del lado del servidor en tiempo real sin compartir el historial de navegación de los usuarios con la empresa en septiembre de 2023. La razón del cambio está motivada por el hecho de que la lista de sitios web dañinos está creciendo a un ritmo rápido y que el 60% de los dominios de phishing existen por menos de 10 minutos, lo que los hace difíciles de bloquear.

No todos los dispositivos tienen los recursos necesarios para mantener esta lista creciente, ni siempre pueden recibir y aplicar actualizaciones a la lista con la frecuencia necesaria para beneficiarse de una protección total. Por lo tanto, con la nueva arquitectura, cada vez que un usuario intenta visitar un sitio web, la URL se compara con las cachés globales y locales del navegador que contienen URL seguras conocidas y los resultados de comprobaciones anteriores de navegación segura para determinar el estado del sitio.

Si la URL visitada no está en las cachés, se realiza una verificación en tiempo real ofuscando la URL en hashes completos de 32 bytes, que luego se truncan en prefijos hash de 4 bytes de largo, se cifran y se envían a un servidor privado.

"El servidor de privacidad elimina los identificadores de usuarios potenciales y reenvía los prefijos hash cifrados al servidor de navegación segura a través de una conexión TLS que combina solicitudes con muchos otros usuarios de Chrome", explicó Google.

Posteriormente, el servidor de navegación segura descifra los prefijos hash y los compara con la base de datos del lado del servidor para devolver hashes completos de todas las URL no seguras que coinciden con uno de los prefijos hash enviados por el navegador.

Finalmente, en el lado del cliente, los hashes completos se comparan con los hashes completos de la URL visitada y se muestra un mensaje de advertencia si se encuentra una coincidencia.

Google también confirmó que el servidor de privacidad no es más que un retransmisor HTTP Oblivious (OHTTP) operado por Fastly que se ubica entre Chrome y el servidor de Navegación Segura para evitar que este último acceda a las direcciones IP de los usuarios, evitando así correlacionar las comprobaciones de URL con un Historial de navegación en Internet del usuario.

"En última instancia, Safe Browsing ve los prefijos hash de su URL pero no su dirección IP, y el servidor de privacidad ve su dirección IP pero no los prefijos hash. Ninguna parte tiene acceso a su identidad y a los prefijos hash. Como tal, su actividad de navegación permanece privada".

Fuente: THN

16 mar 2024

La lucha actual para proteger los PLC y redes OT

Han pasado muchos años desde que el infame ataque Stuxnet puso de relieve las vulnerabilidades de los sistemas de tecnología operativa (OT) que desempeñan un papel crucial en nuestra infraestructura crítica. Sin embargo, a pesar de los avances, estos sistemas siguen expuestos, lo que genera preocupación sobre nuestra preparación para futuras amenazas cibernéticas.

Por ejemplo, un artículo reciente de escrito por Dan Raywood destacó cómo los controladores lógicos programables (PLC), específicamente los controladores de la marca Siemens, siguen siendo vulnerables.

Vulnerabilidad de OT

Un desafío central de la vulnerabilidad OT radica en el comportamiento humano. Los actores de amenazas explotan el comportamiento humano. Esto conduce a contraseñas débiles, actualizaciones desatendidas y un cumplimiento poco estricto de los protocolos. Al explotar estas tendencias, los delincuentes informáticos convierten contraseñas fáciles de adivinar en claves maestras y aprovechan vulnerabilidades sin parches para obtener acceso.

La convergencia de IT y OT crea un arma de doble filo. Si bien fomenta la eficiencia y la innovación, también amplía la superficie de ataque. La creación de una red para gestionar dispositivos críticos (como los PLC) que controlan maquinaria y la interconexión de TI y OT tiene el potencial de convertirse en una pesadilla de seguridad.

Lo mejor es un enfoque en capas para la seguridad de OT

En principio se recomienda el uso de tecnología que aplique medidas de seguridad, como la utilización de protocolos de cifrado modernos. Aunque esto ofrece protecciones valiosas, está lejos de ser infalible. Los actores de amenazas decididos aún pueden explotar vulnerabilidades sin parches o aprovechar vectores de ataque alternativos, como la convergencia de IT y OT. Si los atacantes están lo suficientemente motivados, podrían cambiar a otros métodos en los que TLS resulte inútil. En referencia a las vulnerabilidades del PLC de Siemens, el atacante puede enviar instrucciones API directamente al PLC, dándole instrucciones que pueden dañar procesos críticos.

El artículo hace referencia a los comentarios de Colin Finck, líder tecnológico de ingeniería inversa y conectividad en Enlyze, sobre el firmware más reciente de Siemens que admite TLS, que según él no es lo suficientemente bueno. En este sentido, el artículo es correcto, pero no dice explícitamente que la ciberseguridad necesite un enfoque en capas, siendo el cifrado sólo una pieza del rompecabezas.

Por ejemplo, seria recomendable implementar el enfoque de defensa en profundidad para las operaciones de la planta y configurar el entorno de acuerdo con los lineamientos operativos de Siemens [PDF] para seguridad industrial.

No confíes en nadie

Aquí es donde la protección a nivel de dispositivo se vuelve crucial. Proteger y asegurar dispositivos, como los PLC, proporciona una solución tanto para las crecientes superficies de ataque como para el elemento humano. La seguridad implica un enfoque simple: no confíes en nadie. Por lo tanto, aplicar y hacer cumplir la confianza cero (Zero Trust) ayuda a proteger la infraestructura crítica.

Promover estas sólidas políticas de seguridad y establecer pautas claras para un entorno OT seguro implica una verificación meticulosa de cada intento de acceso a los PLC. Además, a usuarios específicos se les deben conceder sólo los permisos mínimos necesarios. Tanto los equipos de seguridad como los gerentes de OT deben defender los controles de acceso, garantizando que solo los usuarios autorizados puedan interactuar con los PLC que controlan los sistemas críticos en la fábrica. La aplicación de estas políticas de seguridad evita que determinados atacantes envíen instrucciones API directamente al PLC.

Construir resiliencia

Las vulnerabilidades de los PLC sirven como un crudo recordatorio de la lucha actual para proteger nuestra infraestructura crítica. Siemens es sólo uno de los muchos proveedores de PLC, cada uno de los cuales tiene diferentes vulnerabilidades.

Debido a esto, la ciberseguridad debe ser parte de las responsabilidades de los gerentes de OT y equipos de IT. Deben comprender que es necesario un enfoque por niveles, siendo el primer nivel la protección de los PLC. Hacer cumplir y gestionar el acceso y las credenciales a los PLC transforma la infraestructura vulnerable en infraestructura resiliente.

Fuente: Dark Reading

15 mar 2024

¿El sensor de luz ambiental de los móviles como herramienta espía?

Un nuevo estudio sobre algunas propiedades inesperadas de una función estándar de todos los smartphones y tabletas modernas. En un artículo de la revista Science publicado a mediados de enero, se describe un método no trivial de husmear a los usuarios de teléfonos inteligentes a través de un sensor de luz ambiental.

Todos los teléfonos inteligentes y tabletas cuentan con este componente integrado, al igual que muchos ordenadores portátiles y televisores. Su objetivo principal es detectar la cantidad de luz ambiental en el entorno en el que se encuentra el dispositivo y adecuar el brillo de la pantalla en consecuencia.

De todos modos, primero debemos explicar por qué un atacante usaría una herramienta poco adecuada para obtener imágenes en lugar de la cámara tradicional del dispositivo objetivo. La razón es que estos sensores "inadecuados para la tarea" suelen estar totalmente desprotegidos.

Imaginemos que un atacante engaña a un usuario para que instale un programa malicioso en su teléfono inteligente. El malware se encontrará con ciertas dificultades para acceder a componentes a los que suele dirigirse, como el micrófono o la cámara. Pero ¿al sensor de luz? ¡Pan comido!

Los investigadores demostraron que este sensor de luz ambiental se puede usar en lugar de una cámara; por ejemplo, para obtener una imagen instantánea de la mano del usuario al introducir un PIN en un teclado virtual. En teoría, al analizar dichos datos, es posible reconstruir la contraseña. En esta publicación, explicaremos todos los detalles en palabras simples.

Contenido completo en Kaspersky

Comienza el eSIM Swapping

Los intercambiadores de SIM han adaptado sus ataques para robar el número de teléfono de un objetivo de una tarjeta eSIM, un chip SIM regrabable presente en muchos modelos recientes de teléfonos inteligentes.

Conocida como SIM virtual, consta de una parte hardware que viene integrada de fábrica en el celular y una parte software que se utiliza para descargar la información de la línea al equipo.

Los módulos de identidad de suscriptor integrados (eSIM) son tarjetas digitales almacenadas en el chip del dispositivo móvil y cumplen la misma función y propósito que una tarjeta SIM física, pero pueden reprogramarse, aprovisionarse, desactivarse, intercambiarse y eliminarse de forma remota.

Normalmente, un usuario puede agregar una eSIM a un dispositivo que admita la funcionalidad escaneando un código QR del proveedor de servicios.

La tecnología se está volviendo cada vez más popular entre los fabricantes de teléfonos inteligentes porque las eSIM eliminan la necesidad de una ranura para tarjeta SIM y pueden ofrecer conectividad celular en dispositivos portátiles pequeños.

La empresa rusa de ciberseguridad F.A.C.C.T. informa que los SIM Swappers han estado aprovechando este cambio hacia las eSIM para secuestrar números de teléfono y luego eludir las protecciones para acceder a las cuentas bancarias.

"Desde el otoño de 2023, los analistas de Fraud Protection de F.A.C.C.T. han registrado más de cien intentos de acceso a las cuentas personales de clientes en servicios en línea en una sola organización financiera", se lee en el comunicado de prensa.

"Para robar el acceso a un número de móvil, los delincuentes utilizan la función de sustituir o restaurar una tarjeta SIM digital: transferir el teléfono de la 'tarjeta SIM' de la víctima a su propio dispositivo con una eSIM."

Para ello, los atacantes secuestran la cuenta del usuario para la plataforma o aplicación del proveedor de servicios, lo que les permite iniciar el procedimiento de portabilidad del número de la víctima a otro dispositivo.

Generan un código QR para activar una nueva eSIM y lo escanean con su dispositivo, esencialmente secuestrando el número. Simultáneamente, el legítimo titular tiene desactivada su eSIM/SIM.

"Al obtener acceso al número de teléfono móvil de la víctima, los ciberdelincuentes pueden obtener códigos de acceso y autenticación de dos factores a diversos servicios, incluidos bancos y mensajería, lo que abre una gran cantidad de oportunidades para que los delincuentes implementen esquemas fraudulentos", explicó F.A.C.C.T. analista Dmitri Dudkov.

"Hay muchas variantes del esquema, pero los estafadores están más interesados en los servicios bancarios en línea".

Una ventaja para los atacantes es que al transferir el número a su dispositivo, obtienen acceso a cuentas vinculadas a SIM en varias aplicaciones de mensajería, lo que abre más oportunidades para estafar a otras personas, como hacerse pasar por la víctima y engañarlas para que envíen dinero.

Anteriormente, los intercambiadores de SIM dependían de la ingeniería social o trabajaban con personal interno de los servicios de operadores de telefonía móvil para ayudarlos a portar el número de un objetivo. Sin embargo, a medida que las empresas implementaron más protecciones para frustrar estas adquisiciones, los ciberdelincuentes dirigieron su atención a las oportunidades emergentes en las nuevas tecnologías.

Para defenderse de los ataques de intercambio de eSIM, los investigadores recomiendan utilizar contraseñas complejas y únicas para la cuenta del proveedor de servicios celulares y habilitar la autenticación de dos factores si está disponible.

Para cuentas más valiosas, como banca electrónica y billeteras de criptomonedas, los usuarios deberían considerar protegerlas con claves físicas o aplicaciones de autenticación.

Fuente: BC

14 mar 2024

Vulnerabilidad en Kubernetes permite la adquisición del nodo de Windows

Se han hecho públicos detalles sobre una falla de alta gravedad en Kubernetes, identificada como CVE-2023-5528. "La vulnerabilidad permite la ejecución remota de código con privilegios de SYSTEM en todos los puntos finales de Windows dentro de un clúster de Kubernetes", dijo el investigador de seguridad de Akamai, Tomer Peled. "Para explotar esta vulnerabilidad, el atacante necesita aplicar archivos YAML maliciosos en el clúster".

Registrada como CVE-2023-5528 (puntuación CVSS: 7.2), la deficiencia afecta a todas las versiones de kubelet, incluida la versión 1.8.0 y posteriores. Se solucionó como parte de las actualizaciones publicadas el 14 de noviembre de 2023, en las siguientes versiones:

  • kubelet v1.28.4
  • kubelet v1.27.8
  • kubelet v1.26.11, y
  • kubelet v1.25.16

"Se descubrió un problema de seguridad en Kubernetes donde un usuario que puede crear pods y volúmenes persistentes en nodos de Windows puede escalar a privilegios de administrador en esos nodos", dijeron los mantenedores de Kubernetes en un aviso publicado en ese momento. "Los clústeres de Kubernetes sólo se ven afectados si utilizan un complemento de almacenamiento en el árbol para los nodos de Windows".

La explotación exitosa de la falla podría resultar en una toma completa de todos los nodos de Windows en un clúster. Vale la pena señalar que la empresa de infraestructura web reveló previamente otro conjunto de fallas similares en septiembre de 2023.

El problema surge del uso de "llamadas a funciones inseguras y falta de saneamiento de la entrada del usuario" y se relaciona con la característica llamada volúmenes de Kubernetes, que aprovecha especialmente un tipo de volumen conocido como volúmenes locales que permiten a los usuarios montar una partición de disco en un pod especificando o creando un volumen persistente.

"Al crear un pod que incluye un volumen local, el servicio kubelet (eventualmente) alcanzará la función 'MountSensitive()'", explicó Peled. "Dentro de él, hay una línea cmd que llama a 'exec.command', que crea un enlace simbólico entre la ubicación del volumen en el nodo y la ubicación dentro del pod".

Esto proporciona una laguna que un atacante puede aprovechar creando un PersistentVolume con un parámetro de ruta especialmente diseñado en el archivo YAML, que desencadena la inyección y ejecución de comandos mediante el uso del separador de comandos "&&".

"En un esfuerzo por eliminar la oportunidad de inyección, el equipo de Kubernetes optó por eliminar la llamada cmd y reemplazarla con una función GO nativa que realizará la misma operación 'os.Symlink()", dijo Peled sobre el parche implementado.

La divulgación se produce cuando una falla de seguridad crítica descubierta en el final de su vida útil (EoL) de la cámara Zhejiang Uniview ISC modelo 2500-S (CVE-2024-0778, puntuación CVSS: 9.8) está siendo explotada por actores de amenazas para lanzar una botnet Mirai. variante llamada NetKiller que comparte infraestructura se superpone con una botnet diferente llamada Condi.

"El código fuente de la botnet Condi se publicó públicamente en Github entre el 17 de agosto y el 12 de octubre de 2023", dijo Akamai. "Teniendo en cuenta que el código fuente de Condi ha estado disponible desde hace meses, es probable que otros actores de amenazas [...] lo estén utilizando".

La única mitigación disponible es parchear Kubernetes a una versión posterior a la 1.28.3.

Fuente: THN

13 mar 2024

Actualizaciones de seguridad de marzo

Ayer martes de parches de marzo de 2024 de Microsoft y se han publicado actualizaciones de seguridad para 60 vulnerabilidades, incluidas dieciocho fallas de ejecución remota de código.

Solo se corrigen dos vulnerabilidades críticas: ejecución remota de código de Hyper-V y fallas de denegación de servicio.

La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación.

  • 24 Vulnerabilidades de elevación de privilegios
  • 3 vulnerabilidades de omisión de funciones de seguridad
  • 18 vulnerabilidades de ejecución remota de código
  • 6 vulnerabilidades de divulgación de información
  • 6 vulnerabilidades de denegación de servicio
  • 2 vulnerabilidades de suplantación de identidad

El recuento total de 60 fallas no incluye 4 fallas de Microsoft Edge corregidas el 7 de marzo. Además, Microsoft no reveló ningún Zero-Day como parte de las actualizaciones del martes de parches de hoy.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, puede revisar nuestros artículos dedicados a la nueva actualización de Windows 11 KB5035853 y la actualización de Windows 10 KB5035845.

Defectos de interés

  • CVE-2024-21400: Vulnerabilidad de elevación de privilegios en el contenedor confidencial del servicio Microsoft Azure Kubernetes
    Microsoft solucionó una vulnerabilidad en Azure Kubernetes Service que podría permitir a los atacantes obtener privilegios elevados y robar credenciales. "Un atacante que explotara con éxito esta vulnerabilidad podría robar credenciales y afectar recursos más allá del alcance de seguridad administrado por Azure Kubernetes Service Confidential Containers (AKSCC)", explica un aviso de seguridad de Microsoft.
  • CVE-2024-26199: vulnerabilidad de elevación de privilegios en Microsoft Office. Microsoft ha solucionado una vulnerabilidad de Office que permite a cualquier usuario autenticado obtener privilegios de SYSTEM. "Cualquier usuario autenticado podría desencadenar esta vulnerabilidad. No requiere administrador ni otros privilegios elevados", explica Microsoft.
  • CVE-2024-20671: Vulnerabilidad de omisión de la característica de seguridad de Microsoft Defender. Microsoft ha solucionado una vulnerabilidad de Microsoft Defender que podría. "Un atacante autenticado que aprovechara con éxito esta vulnerabilidad podría impedir el inicio de Microsoft Defender", explica Microsoft.
    Sin embargo, esto se resolverá mediante las actualizaciones de la plataforma antimalware de Windows Defender que se instalan automáticamente en los dispositivos Windows. Esta falla se solucionó en la versión 4.18.24010.12 de la plataforma Antimalware.
  • CVE-2024-21411: Vulnerabilidad de ejecución remota de código en Skype for Consumer. Microsoft ha solucionado una vulnerabilidad de ejecución remota de código en Skype for Consumer que puede activarse mediante un enlace o una imagen maliciosos. "Un atacante podría explotar la vulnerabilidad enviando al usuario un enlace malicioso o una imagen maliciosa a través de un mensaje instantáneo y luego convenciéndolo de que haga clic en el enlace o la imagen", explica Microsoft.

Actualizaciones de otras empresas

Fuente: BC

Las pérdidas por ransomware aumentan un 74% en 2023 [FBI]

Las pérdidas por ransomware en EE.UU. aumentaron a 59,6 millones de dólares en 2023, un aumento del 74% con respecto a la cifra reportada el año anterior de 34,4 millones de dólares, según el informe "2023 INTERNET CRIME REPORT" [PDF]

Esta cifra se calculó a partir de 2.825 incidentes de ransomware reportados al FBI el año pasado, un aumento del 18% con respecto a 2022.

La agencia policial añadió que es probable que la cifra real sea mucho mayor, ya que muchas infecciones de ransomware no se denuncian. Por ejemplo, cuando el FBI se infiltró en la infraestructura del grupo Hive en 2023, descubrió que solo el 20% de las víctimas de Hive denunciaron a las autoridades.

El FBI atribuyó en parte este aumento a que los actores de amenazas ajustaron sus tácticas, como el despliegue de múltiples variantes de ransomware contra la misma víctima y el uso de la destrucción de datos para aumentar la presión sobre las víctimas para que negocien.

El Centro de Quejas de Delitos en Internet (IC3) del FBI recibió 1.193 quejas de ataques de ransomware por parte de organizaciones de infraestructura crítica.

La atención sanitaria fue el sector de infraestructura crítica más afectado por el vector, con 249 informes. Le siguieron la manufactura crítica (218) y las instalaciones gubernamentales (156).

La variante de ransomware que más afectó a las infraestructuras críticas el año pasado fue LockBit (175 incidentes), seguida de ALPHV/BlackCat (100), Akira (95), Royal (63) y Black Basta (41). En febrero de 2024, se informó que una operación policial global derribó la infraestructura de LockBit.

Por segundo año consecutivo, el fraude de inversiones fue el tipo de delito en Internet más costoso rastreado por IC3, con pérdidas que aumentaron de 3.310 millones de dólares en 2022 a 4.570 millones de dólares en 2023.

El segundo vector más lucrativo para los atacantes fue el compromiso del correo electrónico empresarial (BEC), con pérdidas de 2.900 millones de dólares registradas en 21.489 quejas. Esto representa un pequeño aumento de las pérdidas de 2.700 millones de dólares estimadas para BEC en 2022.

En tercer lugar se ubicaron las estafas de tecnología/atención al cliente y suplantación de identidad del gobierno, responsables de más de 1.300 millones de dólares en pérdidas. Estas estafas, que normalmente se perpetran desde centros de llamadas, se dirigieron abrumadoramente a adultos mayores: el 40% de los denunciantes tenían más de 60 años y este grupo sufrió el 58% de las pérdidas.

El phishing fue el delito en Internet denunciado con más frecuencia el año pasado, con casi 300.000 denuncias, un ligero descenso con respecto a 2022. Le siguió la violación de datos personales, con 55.851 denuncias.

El FBI recibió un total de 880.418 denuncias de delitos en Internet en 2023, un 10% más que en 2022. Las pérdidas estimadas aumentaron un 22% en el mismo período, de 10.300 millones de dólares en 2022 a 12.500 millones de dólares en 2023.

Fuente: InfoSecurity

12 mar 2024

12 millones de claves y secretos filtrados en GitHub

Según los expertos en ciberseguridad de GitGuardian, usuarios de GitHub expusieron accidentalmente 12,8 millones de secretos confidenciales y de autenticación en más de 3 millones de repositorios públicos durante 2023, y la gran mayoría sigue siendo válida después de cinco días.

La empresa envió 1,8 millones de alertas de correo electrónico gratuitas a quienes expusieron secretos, y solo un pequeño 1,8% de los contactados tomaron medidas rápidas para corregir el error.

Los secretos expuestos incluyen contraseñas de cuentas, claves API, certificados TLS/SSL, claves de cifrado, credenciales de servicios en la nube, tokens OAuth y otros datos confidenciales que podrían brindar a actores externos acceso ilimitado a diversos recursos y servicios privados, lo que provocaría filtraciones de datos y daños financieros. .

Un informe de Sophos de 2023 destacó que las credenciales comprometidas representaron el 50% de la causa raíz de todos los ataques registrados en la primera mitad del año, seguidas de la explotación de vulnerabilidades, que fue el método de ataque en el 23 % de los casos.

Los detectores específicos que pueden identificar y filtrar secretos filtrados en categorías más tangibles indican una exposición masiva de la API de Google y las claves de Google Cloud, las credenciales de MongoDB, los tokens de bot de OpenWeatherMap y Telegram, las credenciales de MySQL y PostgreSQL y las claves de GitHub OAuth.

El 2,6% de los secretos expuestos se revocan en la primera hora, pero un enorme 91,6% siguen siendo válidos incluso después de cinco días, que es cuando GitGuardian deja de monitorear su estado.

Riot Games, GitHub, OpenAI y AWS parecen tener los mejores mecanismos de respuesta para ayudar a detectar confirmaciones incorrectas y remediar la situación.

El mes pasado, GitHub habilitó la protección push de forma predeterminada para evitar la exposición accidental de secretos al enviar código nuevo a la plataforma.

Fuente: BC

11 mar 2024

Encuentran 150.000 Fortinet FortiOS vulnerables a CVE-2024-21762 (9.8)

Los análisis en Internet muestran que aproximadamente 150.000 sistemas de Fortinet FortiOS y FortiProxy secure web gateway son vulnerables a CVE-2024-21762, un problema de seguridad crítico que permite ejecutar código sin autenticación.

La Agencia CISA confirmó el mes pasado que los atacantes están explotando activamente la falla y la agregó a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Versiones vulnerables en todo el mundo

Casi un mes después de que Fortinet abordara CVE-2024-21762 (FG-IR-24-015), The Shadowserver Foundation anunció el jueves que encontró casi 150.000 dispositivos vulnerables. Piotr Kijewski de Shadowserver le dijo a BleepingComputer que sus escaneos buscan versiones vulnerables, por lo que la cantidad de dispositivos afectados puede ser menor si los administradores aplicaran mitigaciones en lugar de actualizar.

Un atacante remoto podría explotar CVE-2024-21762 (puntuación de gravedad de 9,8 según NIST) enviando solicitudes HTTP especialmente diseñadas a máquinas vulnerables.

Según datos de Shadowserver, los dispositivos más vulnerables, más de 24.000, se encuentran en Estados Unidos, seguido de India, Brasil y Canadá.

Los detalles sobre los actores de amenazas que explotan activamente CVE-2024-21762 son actualmente limitados, ya que las plataformas públicas no muestran dicha actividad o la vulnerabilidad está siendo aprovechada en ataques selectos por parte de adversarios más sofisticados.

Las empresas pueden comprobar si sus sistemas VPN SSL son vulnerables a este problema ejecutando un sencillo script Python desarrollado por investigadores de la empresa de seguridad ofensiva BishopFox.

Fuente: BC