6 jul. 2020

Magecart: grupo norcoreano Lazarus roba tarjetas de crédito de tiendas estadounidenses

Una nueva investigación indica que el grupo de delincuentes informáticos Lazarus, asociado al Estado de Corea del Norte, ha estado robando información de tarjetas de pago de clientes de grandes minoristas en los Estados Unidos y Europa durante al menos un año.

La actividad fraudulenta, que los investigadores atribuyen al grupo de atacantes Lazarus (Hidden Cobra), utilizó sitios web legítimos para filtrar los datos robados de la tarjeta de crédito y camuflar la operación.

Robar información de tarjetas de crédito de clientes de tiendas en línea se ha convertido en una amenaza creciente en los últimos años. Estos se conocen como ataques de MageCart y los actores de amenazas confían en scripts maliciosos (skimmers web) que copian la información confidencial de la página de pago.

Red de exfiltración

Mientras investigaban los robos de tarjetas de pago, los investigadores de la compañía de seguridad web Sansec descubrieron que los skimmers se cargaban desde dominios que servían malware en ataques exitosos de spear-phishing atribuidos a la actividad de delincuentes informáticos de Corea del Norte (RPDC), el grupo Lazarus en particular.

Este intercambio de la infraestructura junto con características de identificación únicas en el código ayudó a conectar los puntos y marcar los ataques de robo de tarjetas a Corea del Norte.

Las víctimas incluyen el gigante de accesorios Claire, Wongs Jewellers, Focus Camera, Paper Source, Jit Truck Parts, CBD Armor, Microbattery y Realchems. Sin embargo, la lista es mucho más grande e incluye docenas de tiendas.

Para cubrir sus huellas, los atacantes comprometieron sitios web de negocios legítimos para volcar la información de la tarjeta robada. Según los hallazgos de Sansec, el actor secuestró sitios pertenecientes a una agencia de modelos italiana (Lux Model Agency), una librería en Nueva Jersey, una tienda de música vintage de Teherán.

Registrar nombres de dominio similares a los de las tiendas de víctimas es otra táctica que parece dar frutos para Hidden Cobra. La imagen a continuación muestra los nodos de exfiltración (rojo) que los piratas informáticos de la RPDC utilizaron para recopilar información de la tarjeta de pago de las víctimas (verde).

Conectando los puntos

Los dominios de exfiltración han sido vinculados a los ataques cibernéticos de la RPDC por parte de múltiples compañías de ciberseguridad. Sirvieron a la distribución de malware después de las campañas de phishing que ocurrieron poco antes o después de los incidentes de descremado web:
En una campaña descubierta el 23 de junio de 2019, un skimmer en una tienda de EE.UU. para repuestos de camiones tenía una cadena codificada de doble base64 para "clientToken". La codificación específica y el intento de disfrazar la carga útil robada como "clientToken" forman una característica de identificación única, señala el informe.

Durante los siguientes meses, el mismo script malicioso infectó a varias docenas de tiendas para robar tarjetas. En otra campaña entre febrero y marzo de 2020, el grupo delictivo registró dominios que pueden confundirse fácilmente con los de Claire, Focus Camera y PaperSource. Más tarde, Sansec descubrió que los sitios de las tres marcas se habían visto comprometidos con malware de eliminación de pagos y los dominios falsos cargaron el script y recopilaron los datos recolectados.

Los investigadores admiten que existe la posibilidad de que estos ataques puedan ser el trabajo de otros actores, no relacionados con la RPDC, pero la posibilidad de control simultáneo sobre el mismo conjunto de sitios web secuestrados es poco probable. Una razón es que estos atacantes generalmente reclaman a la víctima para sí mismos y cierran la puerta a otros actores parcheando la vulnerabilidad que les dio acceso inicial.

Sansec cree que la RPDC ha llevado a cabo actividades de skimming digital a gran escala desde al menos mayo de 2019, como un medio alternativo para ganar dinero.

Fuente: BC

5 jul. 2020

Vulnerabilidad en F5 con puntaje CVSS 10/10 (Parchea CVE-2020-5902!)

La ejecución remota de código en dispositivos F5 BIG-IP expone a gobiernos, proveedores de la nube, ISP, bancos y muchas compañías de Fortune 500 a posibles intrusiones. F5 Networks, uno de los mayores proveedores mundiales de equipos de redes empresariales, ha publicado un aviso de seguridad esta semana advirtiendo a los clientes que corrijan una falla de seguridad peligrosa que es muy probable que se explote.

La vulnerabilidad afecta el producto BIG-IP de la compañía. Estos son dispositivos de red multipropósito que pueden funcionar como sistemas de configuración de tráfico web, balanceadores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL.
Identificado como CVE-2020-5902, Mikhail Klyuchnikov, investigador de seguridad de Positive Technologies, encontró el error BIG-IP y lo notificó en privado a F5. El error es una vulnerabilidad de Ejecución Remota de Código (RCE) en la interfaz de administración de BIG-IP, conocida como TMUI (Traffic Management User Interface). Los atacantes pueden explotar este error a través de Internet para obtener acceso al componente TMUI, que se ejecuta sobre un servidor Tomcat en el sistema operativo basado en Linux de BIG-IP.

Un atacante no autenticado puede explotar de forma remota esta vulnerabilidad enviando una solicitud HTTP malintencionada al servidor vulnerable. Los atacantes no necesitan credenciales válidas para atacar dispositivos, y una explotación exitosa puede permitir a los intrusos ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código arbitrario de Java, y eventualmente llevar a los atacantes a obtener el control total sobre El dispositivo BIG-IP.
La vulnerabilidad es tan peligrosa que recibió la rara puntuación de 10 sobre 10 en la escala de gravedad de vulnerabilidad CVSSv3. Este puntaje significa que el error de seguridad es fácil de explotar, automatizar, puede usarse en Internet y no requiere credenciales válidas o habilidades avanzadas de codificación para aprovecharlo.

Como coincidencia, esta fue la segunda falla 10/10 CVSS en un dispositivo de red divulgada esta semana, luego de que se revelara una falla crítica similar que afectaba a los dispositivos VPN y firewall de Palo Alto Networks el lunes.

Parchea urgente!

El Comando Cibernético de los Estados Unidos emitió una advertencia al sector privado y gubernamental esta semana para corregir el error de Palo Alto, ya que esperaban que los delincuentes informáticos estatales extranjeros intentaran explotar la vulnerabilidad. Una agencia de seguridad cibernética de EE.UU. no emitió ninguna advertencia oficial, pero el error F5 no es menos grave y es tan peligroso como el de Palo Alto.

"La urgencia de reparar este [error] no puede ser subestimada", dijo esta semana en Twitter Nate Warfield, un ex ingeniero de F5 Networks, y actualmente investigador de seguridad en Microsoft.

Actualmente, según una búsqueda de Shodan, hay alrededor de 8.400 dispositivos BIG-IP conectados en línea, ya hay scripts de nmap, exploits funcionales y ataques registrados in-the-wild.

Como el proceso de actualización puede ser traumático, mientras tanto, se puede limitar el acceso a TMUI por IP. La información de CVE-2020-5902 BIG-IP TMUI RCE está disponible aquí, con información sobre versiones y parches de firmware vulnerables.

Fuente: ZDNet

4 jul. 2020

"123456", esto es porqué las contraseñas deben desaparecer

En uno de los mayores estudios de reutilización de contraseñas de este tipo, un análisis de más de mil millones de credenciales filtradas descubrió que una de cada 142 contraseñas es la clásica cadena "123456".

El estudio, realizado el mes pasado por el estudiante de ingeniería informática Ata Hakçıl, analizó las combinaciones de nombre de usuario y contraseña que se filtraron en línea después de la violación de datos en varias compañías.

Estos "volcados de datos" han existido durante más de media década, y se han ido acumulando a medida que nuevas empresas están siendo hackeadas. Los volcados de datos están fácilmente disponibles en línea, en sitios como GitHub o GitLab, o se distribuyen libremente a través de foros de hackeo y portales de intercambio de archivos.

A lo largo de los años, las empresas tecnológicas han estado recopilando estos volcados de datos. Por ejemplo, Google, Microsoft y Apple han recopilado credenciales filtradas para crear sistemas de alerta internos que advierten a los usuarios cuando utilizan una contraseña "débil" o "común".

Resultados del estudio

El mes pasado, Hakçıl, un estudiante turco que estudiaba en una universidad de Chipre, descargó y analizó más de mil millones de credenciales filtradas. El descubrimiento principal fue que el conjunto de datos de credenciales de 1.000.000.000+ incluía solo 168.919.919 contraseñas únicas, de las cuales más de 7 millones eran la cadena "123456".

Esto significa que una de cada 142 contraseñas incluidas en la muestra que Hakçıl analizó era la contraseña más débil que se conoce hoy en día, siendo la cadena "123456" la contraseña en línea más comúnmente reutilizada durante los últimos cinco años seguidos, y contando.

Además, Hakçıl también descubrió que la longitud promedio de la contraseña suele ser de 9,48 caracteres, lo cual no es bueno, pero tampoco es terrible, ya que la mayoría de los expertos en seguridad recomiendan usar contraseñas el mayor tiempo posible, y generalmente en el ámbito de 16 a 24 caracteres o más.

Pero la longitud de la contraseña no fue el único problema que descubrió Hakçıl. El investigador turco dijo que la complejidad de la contraseña también era un problema, ya que solo el 12% de las contraseñas contenían un carácter especial.

En la mayoría de los casos, los usuarios eligieron contraseñas simplistas, como usar solo letras (29%) o números (13%). Esto significaba que alrededor del 42% de todas las contraseñas incluidas en el conjunto de datos de mil millones eran vulnerables a ataques rápidos de diccionario que permitirían a los actores de amenazas obtener acceso a las cuentas sin ningún esfuerzo o dificultad técnica.

Los resultados completos del estudio están disponibles en GitHub (junto a los diccionarios utilizados), con un breve resumen a continuación:
  • De más de 1.000.000.000 de líneas de vertederos, se filtraron 257.669.588 como datos corruptos (galimatías en formato incorrecto) o cuentas de prueba.
  • Mil millones de credenciales se reducen a 168.919.919 contraseñas y 393.386.953 nombres de usuario.
  • La contraseña más común es 123456. Cubre aproximadamente el 0.722% de todas las contraseñas (alrededor de 7 millones de veces por mil millones)
  • Las 1.000 contraseñas más comunes cubren 6.607% de todas las contraseñas.
  • Con la mayoría de las contraseñas de 1 millón, la tasa de aciertos está en 36.28%, y con la tasa de aciertos de 10 millones de contraseñas más comunes es de 54.00%.
  • La longitud promedio de la contraseña es de 9.4822 caracteres.
  • El 12.04% de las contraseñas contienen caracteres especiales.
  • El 28.79% de las contraseñas son solo letras.
  • 26.16% de las contraseñas son minúsculas solamente.
  • El 13.37% de las contraseñas son solo números.
  • El 34.41% de todas las contraseñas terminan con dígitos, pero solo el 4.522% de todas las contraseñas comienzan con dígitos.
  • El 8.83% de las contraseñas son únicas: solo se encontraron una vez.
  • La longitud promedio fue de 9.7965 caracteres.
  • Sorprendentemente, solo una fracción de estas contraseñas no tiene sentido.
  • Solo el 7.082% de estas contraseñas contienen caracteres especiales: las coincidencias de descanso ^[a-zA-Z0-9]$
  • El 20.02% de estas contraseñas son solo letras, y el 15.02% son solo minúsculas.
  • La longitud promedio de las contraseñas en minúsculas fue de 9.3694 caracteres.
Fuente: ZDNet

HTTP-revshell: controla el equipo de la víctima a través de un canal encubierto

Héctor de Armas (aka 3v4Si0N) presentó la herramienta HTTP-revshell que consiste en la utilización de un canal encubierto (covert channel) para obtener control sobre el equipo víctima a través de peticiones web y de esta forma evadir soluciones como un IDS, IPS y AV.

Covert channel es la manipulación de un protocolo de comunicación (en este caso HTTP y HTTPS) para enviar información de una manera fuera de la especificación del protocolo.

HTTP-revshell se ha desarrollado para ser utilizada en ejercicios de RedTeam y/o pentest para poner a prueba las capacidades de detección de las soluciones de seguridad que una empresa puede tener implementadas.

Comenzamos con la instalación de la herramienta. Lo primero, descargar el repositorio que se encuentra en la siguiente URL: https://github.com/3v4Si0N/HTTP-revshell

Para realizar una pequeña muestra de cómo funciona se puede ingresar a HackPlayers.

3 jul. 2020

Secuestran información de bases de datos MongoDB y piden rescate

Un cibercriminal se infiltró en 22.900 bases de datos MongoDB poco seguras, eliminó su contenido y dejó una nota de rescate indicando que exige un pago en bitcoins a cambio de los datos. Si el rescate no se paga dentro de dos días, el atacante amenaza con notificar a las autoridades a cargo de hacer cumplir el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea.
Según ZDNet, medio que dio a conocer la historia, el cibercriminal detrás de esta operación está utilizando scripts automáticos para buscar en Internet las instalaciones de MongoDB expuestas a Internet sin protección por contraseña, eliminando su contenido y solicitando el pago de 0.015 en bitcoins (equivalente unos US$140) para devolver los datos.

El cibercriminal fue incluso lo suficientemente "reflexivo" como para proporcionar una guía sobre cómo comprar bitcoins. Al parecer el atacante está usando múltiples billeteras de bitcoin y direcciones de correo electrónico, pero la redacción de la amenaza sigue siendo consistente. Si no se cumplen las condiciones, amenaza con filtrar los datos y contactar a los reguladores de GDPR.

Victor Gevers, un investigador de seguridad de la GDI Foundation, señaló al medio que los primeros ataques carecían de la función que eliminaba los datos. Una vez que el atacante se dio cuenta del error en su script, lo modificó y comenzó a borrar las bases de datos MongoDB. Se han registrado casos de ataques en los que se utiliza esta nota de rescate en particular desde abril de este año.

El investigador, cuyas responsabilidades incluyen informar sobre servidores expuestos, declaró que notó los sistemas borrados mientras revisaba bases de datos MongoDB que tenía programado reportar para que pudieran ser aseguradas. Según explicó Gevers a ZDNet, el 1 de julio solo pudo reportar una fuga de datos, cuando normalmente puede reportar al menos entre 5 o 10.

Si bien el rescate exigido puede parecer una suma insignificante, multiplíquelo por el número de bases de datos mal aseguradas y resulta que el actor malicioso está tratando de obtener casi US$ 3.2 millones en total. Aunque probablemente muchas de las entidades afectadas no ceda ante las demandas del atacante, la amenaza de alertar a las autoridades reguladoras del GDPR puede convencer a algunos a querer pagar, ya que el monto exigido es considerablemente bajo en comparación con las enormes multas que pueden imponer las autoridades reguladoras.

Bases de datos inseguras y mal configuradas difícilmente pueden considerarse algo poco común. De hecho, en el pasado hackers éticos dejaron "advertencias amistosas" en bases de datos Amazon S3 expuestas en la nube.

Más de 28.000 servidores fueron rescatados en una serie de ataques en enero de 2017, otros 26.000 en septiembre de 2017 y luego otros 3.000 en febrero de 2019. En 2017, Davi Ottenheimer, director senior de seguridad de productos en MongoDB, Inc., culpó de los ataques a los propietarios de bases de datos que no pudieron establecer una contraseña para sus bases de datos, y luego dejaron sus servidores expuestos en línea sin un firewall.

Los ataques que involucraron infiltraciones y el secuestro de la información almacenada en bases de datos en la nube para exigir el pago de un rescate han existido desde al menos 2016. Si usted es un administrador de una base de datos MongoDB que prefiere evitar tales intentos de extorsión, puede consultar este manual de seguridad de MongoDB o revisar nuestros cinco consejos generales para mantener sus bases de datos seguras.

Fuente: WeLiveSecurity

2 jul. 2020

Cientos de arrestados después de la toma de control de la red de mensajería cifrada EncroChat

Las agencias policiales europeas arrestaron a cientos de sospechosos en varios países, incluidos Francia, los Países Bajos, el Reino Unido, Noruega y Suecia, luego de infiltrarse en la red de comunicación móvil cifrada EncroChat utilizada por grupos del crimen organizado.

Los teléfonos EncroChat (dado de baja) utilizados por las redes criminales internacionales de todo el mundo para intercambiar datos cifrados y millones de mensajes venían con sistemas operativos duales (sistema operativo Android y sistema operativo EncroChat).

Los teléfonos también proporcionaban a los usuarios mensajes de autodestrucción, eliminación de pánico y contraseña, arranque seguro, protección contra manipulaciones y un motor criptográfico de hardware con certificación FIPS 140-2 resistente a la fuerza bruta. Los dispositivos EncroChat también pueden ser borrados remotamente por el revendedor o el servicio de asistencia previa notificación del cliente.

EncroChat vendía los cripto teléfonos por aproximadamente €1.000 cada uno en todo el mundo y los clientes podían obtener suscripciones de cobertura mundial de seis meses a un costo de €1.500 EUR con soporte 24/7.

Según la Agencia Nacional del Crimen (NCA) del Reino Unido, EncroChat tenía aproximadamente 60.000 usuarios en todo el mundo, con 10,000 de ellos activos solo en el Reino Unido.

Eliminación de grupos de crimen organizado

La operación fue un esfuerzo conjunto de agencias policiales y autoridades judiciales francesas y holandesas que pudieron desmantelar EncroChat con la ayuda de Europol y Eurojust.

Después de infiltrarse en la red EncroChat, el Equipo Conjunto de Nnvestigación (JIT) pudo "interceptar, compartir y analizar millones de mensajes que se intercambiaron entre delincuentes para planificar delitos graves, información que examinó Europol y compartió con los socios de JIT la información intercambio a los países interesados. Un gran número de sospechosos también han sido arrestados en varios países que no participan en JIT pero que se vieron particularmente afectados por el uso ilegal de estos teléfonos por parte de personas activas en el crimen organizado, incluso en el Reino Unido, Suecia y Noruega", dijo el Europol. "Muchas de estas investigaciones estaban relacionadas con el tráfico internacional de drogas y actividades criminales violentas".
La información ya ha sido relevante en una gran cantidad de investigaciones criminales en curso, lo que ha resultado en la interrupción de actividades criminales que incluyen ataques violentos, corrupción, intentos de asesinato y transporte de drogas a gran escala. Ciertos mensajes indicaron planes para cometer crímenes violentos inminentes y provocaron una acción inmediata. La información se analizará más a fondo como una fuente de información única, dando acceso a volúmenes sin precedentes de nuevas pruebas para abordar profundamente las redes delictivas organizadas. Europol
La operación conjunta, conocida en Francia como Emma 95 y Lemont en los Países Bajos, permitió a las fuerzas del orden supervisar las comunicaciones entre miles de sospechosos y el resto de cientos en toda la UE.

En los Países Bajos, la investigación hasta ahora ha llevado:
  • al arresto de 60 sospechosos;
  • el desmantelamiento de 19 laboratorios de drogas sintéticas;
  • la incautación de docenas de armas de fuego (automáticas), relojes caros y 25 automóviles, incluidos vehículos con compartimentos ocultos, y casi 20 millones de euros en efectivo;
  • la incautación de drogas
    • más de 10.000 kilos de cocaína
    • 70 kilos de heroína
    • 12.000 kilos de cannabis
    • 1.500 kilos de metanfetamina
    • 160.000 litro de una sustancia utilizada para producir drogas sintéticas.
En el Reino Unido, la NCA, las Unidades Regionales de Delincuencia Organizada (UOC) y las fuerzas policiales utilizaron la información proporcionada por el JIT para arrestar a 746 sospechosos como parte de la mayor operación policial del Reino Unido denominada Operación Venetic y confiscada:
  • Más de £ 54 millones en efectivo criminal;
  • 77 armas de fuego, incluyendo un rifle de asalto AK47, metralletas, pistolas, cuatro granadas y más de 1.800 rondas de municiones;
  • Más de dos toneladas de medicamentos de clase A y B;
  • Más de 28 millones de pastillas de Etizolam (Valium callejero) de un laboratorio ilícito;
  • 55 autos de alto valor y 73 relojes de lujo.

Cómo se desmanteló EncroChat

La Gendarmería francesa y las autoridades judiciales comenzaron a investigar EncroChat en 2017 después de descubrir que estos dispositivos, que utilizan servidores franceses, fueron incautados regularmente en operaciones dirigidas al crimen organizado.

"Eventualmente, fue posible establecer un dispositivo técnico para ir más allá de la técnica de cifrado y tener acceso a la correspondencia de los usuarios", explicó el Europol.

En abril de 2020 se creó un equipo conjunto de investigación (JIT) entre Francia y los Países Bajos, con el apoyo de los escritorios holandeses y franceses en Eurojust y Europol.

Las reuniones de coordinación posteriores a la creación del JIT también involucraron a otros países que no eran miembros del JIT, incluidos Noruega, España, Suecia y el Reino Unido.

La operación terminó el 13 de junio de 2020, cuando el grupo detrás de la red EncroChat se dio cuenta de que la plataforma estaba infiltrada por agentes de la ley. Ese día, EncroChat envió una advertencia a todos los usuarios informándoles que desecharan sus teléfonos con urgencia y procedió a apagar los servidores.

"Si bien las actividades en EncroChat se han detenido, esta compleja operación muestra el alcance global de la delincuencia grave y organizada y la conectividad de las redes criminales que utilizan tecnologías avanzadas para cooperar a nivel nacional e internacional", dijo el Europol.

Fuente: BC

25 vulnerabilidades en rDesktop y FreeRDP


Si bien Apache Guacamole es popular, con más de 10 millones de descargas de docker en todo el mundo, los investigadores de Check Point descubrieron que algunos de los ingredientes de Guacamole no cumplían con los estándares de seguridad requeridos. En particular, era vulnerable a varias vulnerabilidades críticas de RDP inverso, y estaba afectado por múltiples vulnerabilidades nuevas encontradas en FreeRDP. En particular, todas las versiones de Guacamole que se lanzaron antes de enero de 2020 están utilizando versiones vulnerables de FreeRDP.

Jonathan Fischbein, CISO en Check Point, explica que la preparación inicial para transferir a más de 5.000 empleados al trabajo remoto comenzó a mediados de febrero de 2020, durante las primeras señales de COVID-19 comenzaba a extenderse a nivel mundial. Durante este proceso de preparación, el primer paso fue reevaluar las soluciones de TI que estaban destinadas a permitir a los empleados conectarse de forma segura a la red corporativa de forma remota, simultánea y sin problemas.

"Elegimos dos soluciones de acceso remoto diferentes, por lo que en caso de falla, tendríamos redundancia y una alternativa para permitir que el trabajo continúe. Una de las soluciones se basó en Apache Guacamole de código abierto, el popular gateway de escritorio remoto sin cliente que admite protocolos estándar como VNC, RDP y SSH, junto con MFA (autenticación de múltiples factores), verificaciones de cumplimiento en el lado BYOD y varios controles de seguridad como IPS, detecciones de anomalías SOC y muchos más".

Usado por miles de profesionales de TI e investigadores de seguridad en todo el mundo, el Protocolo de escritorio remoto (RDP) generalmente se considera una aplicación segura y confiable para conectarse a computadoras remotas. Ya sea que se use para ayudar a quienes trabajan de forma remota o para trabajar en un entorno VM seguro, los clientes RDP son una herramienta invaluable.

Check Point Research descubrió 19 vulnerabilidades en rdesktop y 6 para FreeRDP. La lista completa se puede encontrar aquí.

Luego del análisis, encontratron vulnerabilidades que permitirían que un atacante, o cualquier actor malicioso que comprometa con éxito una computadora dentro de la organización, ataque el gateway de Guacamole cuando un trabajador desprevenido se conecta a su máquina infectada. Esto permite que un actor malicioso logre el control total sobre el servidor Guacamole e intercepte y controle todas las demás sesiones conectadas.

La investigación examinó 2 vectores de ataque:

  • Escenario de ataque inverso: una máquina comprometida dentro de la red corporativa aprovechará la conexión benigna entrante y volverá a atacar a través de la puerta de enlace, con el objetivo de tomar el control.
  • Escenario de trabajador malicioso: un empleado malintencionado, junto con su computadora maliciosa dentro de la red, puede aprovechar su control en ambos extremos de la conexión para hacerse cargo de la puerta de enlace
Después de los descubrimientos, simularon una PoC y en 24 horas posteriores al hallazgo y las pruebas, se implementó la corrección.

Fuente: CheckPoint

UC San Francisco paga U$S1,14 millones para descifrar sus archivos

La University of California San Francisco (UCSF) ha informado que ha pagado el rescate de 1,14 millones de dólares a los administradores de Netwalker para descifrar sus archivos.
UCSF es una universidad centrada en la investigación de ciencias de la salud y que forma parte en la investigación sobre el COVID-19, ocupando el segundo puesto en las universidades de investigación y el sexto en las universidades para la investigación de tratamientos de atención primaria basándonos en las noticias de EE.UU. y los rankings mundiales de universidades.

El 3 de junio, Netwalker publicaba en su sitio de data leaks que irrumpió en la red de la UCSF, publicando algunos de los archivos robados durante la intrusión, que incluían solicitudes de admisión de estudiantes con los números de la seguridad social y listados de directorios que parecían contener información sobre sus empleados, estudios médicos y financieros.

La UCSF ahora ha confirmado que el ataque del ransomware fue parcialmente exitoso, ya que los actores consiguieron cifrar datos en algunos de los sistemas de la escuela de medicina.

A pesar de que no se ha descubierto que ningún historial clínico de ningún paciente ha sido expuesto, han decidido pagar el rescate para asegurarse de que tienen la herramienta para descifrar el trabajo académico cifrado durante el ataque y volver a tener en su poder los datos robados.

La UCSF es una de las muchas universidades que han sido victimas de ataques de ransomware en los pasados meses, con la red de la Universidad del Estado de Michigan (MSU) siendo comprometida y cifrada el 28 de mayo de este año según los administradores de NetWalker. Desde entonces, se han filtrado todos los datos de la MSU obtenidos en el ataque ya que la universidad rechazó pagar el rescate.

Netwalker también dice que ha logrado cifrar los sistemas de Columbia College of Chicago, volviendo otra vez a amenazar con publicar los datos si no se pagaba el rescate.

Netwalker empezó como el ransomware Mailto en octubre de 2019 y ahora es un nuevo servicio de ransomware (RaaS) usado por sus afiliados en ataques que tienen como objetivo servidores RDP vulnerables.

Fuente: BC

1 jul. 2020

Datos robados de 945 sitios web salen a la luz en la Dark Web

La colección de estos datos contiene información sobre varios sitios web del mundo, los cuales parecen haber sido atacados por distintos cibercriminales, pero no por la entidad que las ofrece en la Dark Web.
Entre el 1 y 10 de junio, el delincuente filtro dos bases de datos conteniendo un total de 150GB de ficheros SQL sin comprimir, según la empresa de ciberseguridad Lucy Security.

Los ficheros ofrecidos contienen un amplio rango de datos personales, incluyendo nombres completos y números de teléfono, emails, nombres de usuario, contraseñas cifradas y en claro, direcciones IP, y direcciones postales, además de otra información.

Los sitios web objetivos parecen tener menos de un millón de visitas cada uno, basándose en los rankings de Alexa, según la empresa de ciberseguridad.

Los investigadores de Lucy, quienes han analizado las bases de datos, revelan que la colección contiene dumps SQL completos de los sitios web objetivo, con fechas comprendidas entre 2017 y 2020. De acuerdo con ellos, se han visto impactados unos 14 millones de usuarios.

Los investigadores también han encontrado varios sitios web gubernamentales en la colección. Estos dumps pertenecerían a Israel, Ucrania, Reino Unido, Bielorrusia, Rusia, Libano, Rwanda, Pakistán y Kirgistán.

Lucy, la empresa de ciberseguridad dice que los nuevos datos no parecen estar afiliados a la Collection #1, la colección masiva de 773 millones de registros que fueron amasados desde diferentes fuentes y que fueron compartidos online en enero de este último año.

Fuente: Security Week

Microsoft lanza dos actualizaciones fuera de ciclo

Microsoft ha publicado dos actualizaciones de seguridad, fuera del clásico ciclo de los martes, para parchear dos vulnerabilidades en la Biblioteca de códecs de Microsoft Windows. Las dos vulnerabilidades son descriptas como de Ejecución Remota de Código (RCE).

Identificados como CVE-2020-1425 y CVE-2020-1457, los errores solo afectan las distribuciones de Windows 10 y Windows Server 2019.  En los avisos de seguridad publicados hoy, Microsoft dice que los dos defectos de seguridad pueden explotarse con la ayuda de un archivo de imagen especialmente diseñado.

Si imágenes con formato incorrecto se abren dentro de aplicaciones que utilizan la biblioteca de códecs de Windows incorporada para manejar contenido multimedia, entonces los atacantes podrían ejecutar código malicioso en una computadora con Windows y potencialmente apoderarse del dispositivo.

Curiosamente, las actualizaciones están siendo desplegadas a través de una actualización de la Biblioteca de códecs de Windows, entregada a través de la aplicación de la Tienda Windows, no a través del mecanismo de Windows Update. "Los clientes no necesitan tomar ninguna medida para recibir la actualización", dijo Microsoft.

Redmond dijo que los errores se informaron en privado por Zero Day Initiative de Trend Micro y que no se habían utilizado in-the-wild antes de los parches de hoy.

Fuente: ZDNet