3 feb 2023

#ESXiArgs: nuevo ransomware cifra VMware ESXi 6.x vulnerables

Los administradores, los proveedores de alojamiento y el equipo francés de respuesta a emergencias informáticas (CERT-FR) están advirtiendo que los atacantes están atacando activamente servidores VMware ESXi sin parches contra una vulnerabilidad de ejecución remota de código (RCE) de dos años de antigüedad y luego instalan un ransomware.

Identificada como CVE-2021-21974, la falla de seguridad es causada por un problema de desbordamiento de pila en el servicio OpenSLP (puerto 427) que puede ser explotado por actores de amenazas no autenticados en ataques de baja complejidad.

"Las campañas parecen estar explotando la vulnerabilidad CVE-2021-21974, para la cual hay un parche disponible desde el 23 de febrero de 2021", dijo CERT-FR."Los sistemas objetivo actualmente serían los hipervisores ESXi en la versión 6.x y anteriores a la 6.7".

Para bloquear los ataques entrantes, los administradores deben deshabilitar el servicio vulnerable del Service Location Protocol (SLP) en los hipervisores ESXi que aún no se han actualizado.

CERT-FR recomienda encarecidamente aplicar el parche lo antes posible, pero agrega que los sistemas que no se hayan parcheado también deben escanearse para buscar signos de compromiso.

CVE-2021-21974 afecta a los siguientes sistemas:

  • Versiones de ESXi 7.x anteriores a ESXi70U1c-17325551
  • Versiones de ESXi 6.7.x anteriores a ESXi670-202102401-SG
  • Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG

El proveedor de nube francés OVHcloud también ha publicado hoy un informe que vincula esta ola masiva de ataques dirigidos a servidores VMware ESXi con la operación de ransomware Nevada. "Según los expertos, estos ataques podrían estar relacionados con el ransomware Nevada y están utilizando CVE-2021-21974 como vector de compromiso. La investigación aún está en curso para confirmar esas suposiciones", dijo el CISO de OVHcloud, Julien Levrard "El ataque está dirigido principalmente a servidores ESXi en una versión anterior a 7.0 U3i, aparentemente a través del puerto OpenSLP (427)".

Al menos 120 servidores VMware ESXi en todo el mundo ya se han visto comprometidos en esta campaña de ransomware, según una búsqueda de Shodan.

Nuevo ransomware ESXiArgs

Sin embargo, a partir de las notas de rescate vistas en este ataque, no parecen estar relacionadas con Nevada Ransomware y parecen ser de una nueva familia de ransomware.

Desde hace aproximadamente cuatro horas, las víctimas afectadas por esta campaña también han comenzado a denunciar los ataques en el foro de BleepingComputer, solicitando ayuda y más información sobre cómo recuperar sus datos.

El ransomware cifra los archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram en servidores ESXi comprometidos y crea un archivo .args para cada documento cifrado con metadatos (probablemente necesarios para el descifrado).

Si bien los actores de amenazas detrás de este ataque afirman haber robado datos, una víctima informó en los foros de BleepingComputer que ese no fue el caso en su incidente. "Nuestra investigación ha determinado que los datos no han sido infiltrados. En nuestro caso, la máquina atacada tenía más de 500 GB de datos, pero el uso diario típico de solo 2 Mbps. Revisamos las estadísticas de tráfico de los últimos 90 días y no encontramos evidencia de datos salientes. transferencia", dijo el administrador.

Las víctimas también han encontrado notas de rescate denominadas "ransom.html" y "How to Restore Your Files.html" en los sistemas bloqueados. Otros dijeron que sus notas son archivos de texto sin formato.

Michael Gillespie de ID Ransomware actualmente está rastreando el ransomware bajo el nombre 'ESXiArgs', pero le dijo a BleepingComputer que hasta que podamos encontrar una muestra, no hay forma de determinar si tiene alguna debilidad en el cifrado.

BleepingComputer tiene un tema de soporte dedicado donde las personas informan sus experiencias con este ataque.

Esta es una historia en desarrollo y se actualizará con nueva información a medida que esté disponible...

Fuente: BC

Consiguen crackear las [email protected]$w0rds de 14.000 empleados del Gobierno EE.UU.

Informe de la Oficina del Inspector General del Departamento del Interior echa una buena reprimenda a los funcionarios que la agencia que administra la tierra federal del país. Con estas contraseñas tan poco seguras se estaría protegiendo a servidores con información confidencial. Estas pruebas se iniciaron de manera rutinaria para poder determinar la seguridad de los departamentos.

Contraseñas poco seguras para proteger archivos confidenciales

En un principio se podía llegar a afirmar que las contraseñas que cumplen con requisitos mínimos de seguridad podían tardar más de 100 años en recuperarse con software de fuerza bruta. Pero esto es algo que ha sido desmentido con este tipo de investigaciones internas, ya que con un programa de cracking que ha costado 15.000 dólares en solo 90 minutos se había descifrado la contraseña de 14.000 empleados. Entre ellas se habían encontrado algunas como 'Polar_bear65' o 'Nationalparks2014!'.

Pero no se limitaba a los empleados rasos, puesto que este software pasó por todo el departamento y recuperaron la cuenta de diferentes altos cargos y con privilegios de alta seguridad. Algo que ha sorprendido en este caso es que se requiere de una gran potencia de hardware con dos equipos con 8 GB de GPU cada uno.

De esta manera el organismo determinó también que el 5% de las contraseñas era una variación de la palabra 'password'. Pero esto no queda aquí, ya que este organismo también reprendió al Departamento de Interior por no ser estricto en lo que respecta al uso de una autentificación de doble factor.

En definitiva, quedó demostrado que cualquier persona con 15.000 dólares y los conocimientos necesarios podía terminar desarrollando un programa de cracking que terminara atacando a un gobierno.

Fuentes: Doioig | Genbeta

2 feb 2023

Identifican 137 paquetes NPM y PyPI maliciosos

Check Point y Phylum advierten sobre paquetes NPM y PyPI recientemente identificados diseñados para robar información del usuario y descargar payloads adicionales.

Los repositorios Node.js (NPM) y Python (PyPI) son los objetivos preferidos para los paquetes maliciosos, principalmente porque la ejecución del código puede activarse durante la instalación del paquete, señala Check Point.

Según un informe de Sonatype de octubre de 2022, la cantidad de ataques a la cadena de suministro de software observados en 2022 fue un 633% mayor en comparación con el año anterior.

Aprovechando el amplio uso del código fuente abierto en el desarrollo de aplicaciones, los actores maliciosos confían cada vez más en los ataques de la cadena de suministro de software para infectar con malware tanto a los desarrolladores como a los usuarios.

En un nuevo informe, la firma de ciberseguridad dice que ha identificado dos paquetes maliciosos de Python que se ajustan a esta descripción. El primero de ellos, Python-drgn, se subió a PyPI el 8 de agosto de 2022. Basándose en errores tipográficos, el paquete está destinado a atraer a los usuarios que buscan Drgn, un depurador con énfasis en la programabilidad.

El paquete malicioso consta de un solo archivo setup.py, que se ejecuta automáticamente durante la instalación del paquete y que contiene malware. Cuando se ejecuta, el malware almacena el nombre de usuario, la ruta del directorio de trabajo y la información de red, y lo envía a un canal de Slack privado y remoto. El segundo paquete malicioso se llama bloxflip, y es un error tipográfico del paquete Bloxflip.py, que es un envoltorio API para bloxflip[].com.

El código malicioso dentro de bloxflip desactiva Windows Defender para evitar la detección, luego obtiene un ejecutable de un servidor remoto, crea un subproceso y ejecuta la carga útil maliciosa.

Phylum, por otro lado, dice que ha descubierto más de 100 paquetes NPM maliciosos que contienen la carga útil en el script de post-instalación de package.json, que se ejecuta durante la instalación del paquete.

El script malicioso recopila varios tipos de información del sistema infectado (incluido el nombre de host, el nombre de usuario, el directorio de trabajo y el nombre y la versión del paquete) y la envía a un servidor controlado por el atacante.

La empresa de seguridad de la cadena de suministro de software también observó que los autores del paquete cambiaban la dirección del servidor remoto en el transcurso de 24 horas.

"Los ataques a la cadena de suministro de paquetes de código, en los que los atacantes publican paquetes maliciosos o inyectan código malicioso en paquetes de código legítimos distribuidos a través de repositorios de código en línea y administradores de paquetes, han aumentado significativamente en los últimos años. Estos ataques pueden tener graves consecuencias, incluido el compromiso de los datos, la interrupción operativa y el daño a la reputación", concluye Check Point.

Fuente: SecurityWeek

1 feb 2023

Auditoría de Kubernetes con Wazuh

La tecnología de contenedores ha ganado terreno entre las empresas debido a la mayor eficiencia que proporciona. En este sentido, las organizaciones utilizan ampliamente Kubernetes para implementar, escalar y administrar aplicaciones en contenedores.

Las organizaciones deben auditar Kubernetes para garantizar el cumplimiento de las normas, encontrar anomalías e identificar riesgos de seguridad. La plataforma de código abierto de Wazuh juega un papel fundamental en el monitoreo de Kubernetes y otros componentes de la infraestructura de una organización.

¿Qué es Kubernetes?

Kubernetes es una solución de gestión de contenedores de código abierto que automatiza la implementación y el escalado de contenedores y también gestiona el ciclo de vida de los mismos. Organiza los contenedores en unidades lógicas para una gestión y un descubrimiento sencillos. Kubernetes amplía la forma en que escalamos las aplicaciones en contenedores para que podamos usar una infraestructura verdaderamente persistente.

Se pueden crear aplicaciones nativas de la nube basadas en microservicios con Kubernetes. Los entusiastas ven a Kubernetes como la piedra angular de la modernización de aplicaciones. Permite la contenedorización de las aplicaciones actuales, lo que permite a los desarrolladores crear aplicaciones rápidamente.

La complejidad de ejecutar programas crece cuando se distribuyen en varios servidores y contenedores. Para manejar esta complejidad, Kubernetes ofrece una API de código abierto que administra dónde y cómo se ejecutarán esos contenedores. Kubernetes incorpora balanceo de carga, controla el descubrimiento de servicios, realiza un seguimiento de la asignación de recursos y escala según el uso de cómputo. Además, evalúa la condición de cada recurso y brinda a los programas la capacidad de auto-arreglarse replicando contenedores o reiniciándolos automáticamente.

¿Qué es Wazuh?

Wazuh es una plataforma XDR y SIEM unificada de código abierto. Es comercialmente gratuito y tiene más de 10 millones de descargas anuales.

El indexador de Wazuh es un motor de análisis y búsqueda de texto completo altamente escalable. El indexador almacena los registros de auditoría de Kubernetes para brindar capacidades de análisis y búsqueda de datos en tiempo real. El indexador de Wazuh aumenta la eficiencia durante la investigación de un incidente cuando necesita recuperar datos relevantes de los registros de auditoría.

Wazuh cuenta con una gran comunidad de usuarios que se apoyan entre sí y ayudan a mejorar el producto. Puede unirse a la comunidad de Wazuh para contribuir con el producto y solicitar soporte para cualquier problema que pueda tener.

Auditoría de Kubernetes

Existen varias políticas que las organizaciones deben cumplir, dependiendo de la jurisdicción y el sector en el que operen. Algunas de estas políticas mejoran la resiliencia cibernética de la infraestructura de TI, por ejemplo, PCI DSS y GDPR. El clúster de Kubernetes es parte de la infraestructura de TI y las organizaciones deben asegurarse de cumplir con las políticas y las mejores prácticas de seguridad cuando corresponda.

Uno de los requisitos que aparecen en la mayoría de los documentos de políticas de TI es la política de retención de registros que dictan cuánto tiempo debe almacenar los registros. Se pueden usar estos registros para identificar amenazas durante el monitoreo activo y la investigación de incidentes.

Los administradores interactúan con el clúster de Kubernetes a través de la API de Kubernetes, y el clúster puede registrar todas las solicitudes y respuestas de la API. Se puede detectar llamadas API inusuales o no deseadas desde los registros de auditoría de Kubernetes y se puede recibir alertas para eventos como errores de autenticación, creación, modificación y eliminación de contenedores.

Por ejemplo, la función de registro de auditoría de Kubernetes está deshabilitada de forma predeterminada y por lo tanto, debe seguir algunos pasos necesarios para encenderlo.

Uso de Wazuh para monitorear y archivar registros de auditoría de Kubernetes

Se debe monitorear los registros de auditoría para detectar amenazas y anomalías de seguridad. Además, se debe indexar los registros para buscar información relevante durante la investigación de un incidente. Wazuh supervisa, almacena e indexa los registros de auditoría de Kubernetes. 

El equipo de desarrollo de Wazuh tiene una guía detallada sobre cómo auditar Kubernetes con Wazuh, entre ellos destaca:

  • Configurar el servidor de Wazuh para recibir y procesar los registros de auditoría de Kubernetes.
  • Habilitar los registros de auditoría en el clúster de Kubernetes y reenviarlos al servidor de Wazuh.
  • Crear reglas personalizadas para activar alertas cuando Wazuh detecta eventos específicos en el registro de auditoría de Kubernetes. Por ejemplo, puede crear reglas para activar alertas cuando se crean o eliminan recursos en el clúster de Kubernetes.
  • Configurar Wazuh para mostrar todos los registros archivados en el tablero. Estos son registros de eventos de Kubernetes que no activaron una alerta.

Fuente: THN

31 ene 2023

Nuevo malware para Linux afecta plugins de WordPress

Los sitios de WordPress están siendo atacados por una variedad previamente desconocida de malware de Linux que aprovecha las fallas en más de dos docenas de complementos y temas para comprometer los sistemas vulnerables.

"Si los sitios usan versiones desactualizadas de dichos complementos, que carecen de soluciones cruciales, las páginas web seleccionadas pueden ser inyectadas con JavaScripts maliciosos", dijo el proveedor de seguridad ruso Doctor Web en un informe publicado la semana pasada. "Como resultado, cuando los usuarios hacen clic en cualquier área de una página atacada, son redirigidos a otros sitios".

Los ataques implican armar una lista de vulnerabilidades de seguridad conocidas en 19 complementos y temas diferentes que probablemente estén instalados en un sitio de WordPress, usándolo para implantar un script que puede apuntar a un sitio web específico para expandir aún más la red.

También es capaz de inyectar código JavaScript recuperado de un servidor remoto para redirigir a los visitantes a un sitio web arbitrario elegido por el atacante.

Doctor Web dijo que identificó una segunda versión de la puerta trasera, que utiliza un nuevo dominio de comando y control (C2), así como una lista actualizada de fallas que abarca 11 complementos adicionales, lo que eleva el total a 30.

Los complementos y temas específicos y las versiones afectadas se encuentran a continuación:

  • WP Live Chat Support
  • Yuzo Related Posts (5.12.89)
  • Yellow Pencil Visual CSS Style Editor (< 7.2.0)
  • Easy WP SMTP (1.3.9)
  • WP GDPR Compliance (1.4.2)
  • Newspaper (CVE-2016-10972, 6.4 - 6.7.1)
  • Thim Core
  • Smart Google Code Inserter (discontinued as of January 28, 2022, < 3.5)
  • Total Donations (<= 2.0.5)
  • Post Custom Templates Lite (< 1.7)
  • WP Quick Booking Manager
  • Live Chat with Messenger Customer Chat by Zotabox (< 1.4.9)
  • Blog Designer (< 1.8.12)
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233, 1.24.2)
  • WP-Matomo Integration (WP-Piwik)
  • ND Shortcodes (<= 5.8)
  • WP Live Chat (8.0.27)
  • Coming Soon Page and Maintenance Mode (<= 5.1.0)
  • Hybrid
  • Brizy
  • FV Flowplayer Video Player
  • WooCommerce
  • Coming Soon Page & Maintenance Mode
  • Onetone
  • Simple Fields
  • Delucks SEO
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher, and
  • Rich ReviewsSe dice que ambas variantes incluyen un método no implementado para forzar cuentas de administrador de WordPress, aunque no está claro si es un remanente de una versión anterior o una funcionalidad que aún no ha visto la luz.

"Si se implementa tal opción en las versiones más nuevas de la puerta trasera, los ciberdelincuentes incluso podrán atacar con éxito algunos de esos sitios web que usan versiones actuales de complementos con vulnerabilidades parcheadas", dijo la compañía.

Se recomienda a los usuarios de WordPress que mantengan actualizados todos los componentes de la plataforma, incluidos los complementos y temas de terceros. También se recomienda utilizar nombres de usuario y contraseñas sólidos y únicos para proteger sus cuentas.

La divulgación se produce semanas después de que Fortinet FortiGuard Labs detallara otra red de bots llamada GoTrim que está diseñada para forzar sitios web alojados por fuerza bruta utilizando el sistema de administración de contenido (CMS) de WordPress para tomar el control de los sistemas específicos.

Hace dos meses, Sucuri notó que más de 15.000 sitios de WordPress habían sido violados como parte de una campaña maliciosa para redirigir a los visitantes a portales de preguntas y respuestas falsos. El número de contagios activos se sitúa actualmente en 9.314.

La empresa de seguridad de sitios web propiedad de GoDaddy, en junio de 2022, también compartió información sobre un sistema de dirección de tráfico (TDS) conocido como Parrot que se ha observado apuntando a sitios de WordPress con JavaScript no autorizado que arroja malware adicional en sistemas pirateados.

Fuente: THN

30 ene 2023

Lexmark advierte de una PoC para una vulnerabilidad crítica que permite RCE en 130 modelos de impresoras

Una vulnerabilidad de seguridad crítica que permite la ejecución remota de código (RCE) afecta a más de 130 modelos diferentes de impresoras Lexmark, advirtió el fabricante esta semana.

Ya hay un código de explotación de Prueba de Concepto (PoC) que circula públicamente, aunque hasta ahora, los ataques aún no se han materializado.

El error (CVE-2023-23560), que tiene una puntuación de 9 sobre 10 en la escala de gravedad de vulnerabilidad CVSS, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en la "función de servicios web de los dispositivos Lexmark más nuevos", según el aviso del gigante de la impresión (PDF).

Las impresoras tienen un servidor web integrado que permite a los usuarios ver y configurar de forma remota los ajustes de la impresora a través de un portal de Internet. En un ataque SSRF típico, un atacante puede apoderarse de un servidor de este tipo y forzarlo a establecer una conexión con recursos internos que albergan información confidencial; o a sistemas externos que sirven malware (o recolectan cosas como tokens y credenciales).

Las impresoras empresariales son una puerta de entrada sigilosa para los actores de amenazas en los entornos empresariales, pero a menudo la seguridad de TI las pasa por alto. Sin embargo, como la comunidad vio con la conocida falla RCE "PrintNightmare" en el administrador de trabajos de impresión de Windows de Microsoft, a menudo tienen acceso privilegiado a los recursos internos, y eso puede ser problemático.

Lexmark ha publicado un parche de firmware y ha señalado que la desactivación de los servicios web en el puerto TCP 65002 también servirá para la protección. En general, todas las versiones de firmware con el número 081.233 e inferiores son vulnerables independientemente de su codificación de letras, mientras que las versiones solucionadas tienen el número 0.81.234 y posteriores.

Fuente: DarkReading

Lanzan PoC para una vulnerabilidad en Windows CryptoAPI descubierto por NSA

Identificada como CVE-2022-34689 (puntaje CVSS: 7.5), el gigante tecnológico abordó la vulnerabilidad de suplantación de identidad como parte de las actualizaciones lanzadas en agosto de 2022, pero solo se reveló públicamente dos meses después, el 11 de octubre de 2022.

Ahora Akamai lanzó el código Proof-of-Concept (PoC) para una falla de seguridad de alta gravedad ahora parcheada en Windows CryptoAPI que la Agencia de Seguridad Nacional de EE.UU. (NSA) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido informaron a Microsoft el año pasado .

"Un atacante podría manipular un certificado x.509 público existente para suplantar su identidad y realizar acciones como autenticación o firma de código como el certificado de destino", dijo Microsoft en un aviso publicado en ese momento.

Windows CryptoAPI ofrece una interfaz para que los desarrolladores agreguen servicios criptográficos como cifrado/descifrado de datos y autenticación mediante certificados digitales a sus aplicaciones.

La PoC se basa en el hecho de que el código vulnerable que está diseñado para aceptar un certificado x.509 llevó a cabo una verificación que se basó únicamente en la huella digital MD5 del certificado. MD5, un algoritmo de resumen de mensajes que se usa para el hash, se rompió criptográficamente desde diciembre de 2008 debido al riesgo de ataques de cumpleaños, un método criptoanalítico que se usa para encontrar colisiones en una función hash.

El efecto neto de esta deficiencia es que abre la puerta para que un mal actor entregue una versión modificada de un certificado legítimo a una aplicación de la víctima, y luego cree un nuevo certificado cuyo hash MD5 colisione con el certificado manipulado y lo use para hacerse pasar por la entidad originaria.

En otras palabras, la falla podría ser armada por un intruso deshonesto para realizar un ataque Mallory-in-the-middle (MitM) y redirigir a los usuarios que dependen de una versión de Google Chrome (versión 48 y anterior) a un sitio web arbitrario del elección del actor simplemente porque la versión susceptible del navegador web confía en el certificado malicioso.

"Los certificados juegan un papel importante en la verificación de identidad en línea, lo que hace que esta vulnerabilidad sea lucrativa para los atacantes", dijo Akamai.

Aunque la falla tiene un alcance limitado, la firma con sede en Massachusetts señaló que "todavía hay mucho código que usa esta API y podría estar expuesto a esta vulnerabilidad, lo que justifica un parche incluso para versiones descontinuadas de Windows, como Windows 7".

Fuente: THN

28 ene 2023

FBI confirma que Lazarus robó U$S100 millones en criptomonedas desde Horizon Bridge / Harmony

El FBI atribuyó oficialmente el hackeo del puente Horizon y el robo de criptomonedas del año pasado a un grupo de amenazas que se cree que opera en nombre del gobierno de Corea del Norte.

El puente Horizon está diseñado para permitir que los titulares de criptomonedas muevan activos entre la red de Harmony y la red Ethereum, Binance Chain y Bitcoin. En junio de 2022, se conoció la noticia de que alguien había logrado robar USD 100 millones del puente Horizon, específicamente del lado de Ethereum, después de obtener y descifrar claves privadas.

Poco después de que saliera a la luz el robo de criptomonedas, la firma de análisis de blockchain Elliptic nombró al grupo Lazarus de Corea del Norte como el principal sospechoso.

Muchas veces se promocionan las transacciones de criptomonedas como totalmente seguras gracias a la tecnología de blockchain. Sin embargo, ya hemos visto varios robos y pérdidas que han afectado a cadenas de blockchain. De hecho, se han perdido miles de millones de dólares debido a los hackeos de este tipo.

Uno de estos fue el ocurrido hace poco más de medio año, en junio de 2022, cuando se anunció el robo de 100 millones de dólares en criptomonedas. En aquel entonces, se sabía que el robo había ocurrido en Horizon Bridge, un servicio operado por la blockchain Harmony que permitía transferir activos a otras cadenas de bloques.

Ahora el FBI ha informado en un comunicado que dos grupos fueron los encargados del robo de las criptomonedas. En concreto, menciona a Lazarus y APT38 como los culpables del hackeo que ocurrió en Horizon Bridge. Estos grupos son muy conocidos, sobre todo Lazarus, ya que estos llevan más de una década realizando ciberataques y robos.

Estos empezaron a ser conocidos tras su "Operation Troy", la cual tuvo lugar entre 2009 y 2012, donde se encargaron de emitir ataques DDoS hacia el gobierno de Corea del Sur. Más adelante, en 2014 su objetivo fue Sony Pictures, donde lograron adquirir más de 12.000 correos electrónicos y supuso una pérdida estimada de 200 millones de dólares. Por otro lado, APT38 es un grupo mucho más reciente, el cual se dio a conocer hace unos pocos años por estar ligado a Corea del Norte y se puede considerar parte del grupo Lazarus.

Horizon fue un desastre como software que permitía a los tokens moverse entre distintas blockchains. Pues si bien la idea era buena, sobre la práctica estos puentes entre cadenas de bloques se convirtieron en un blanco fácil. En total se estima que hubo el robo de criptomonedas debido a Horizon supuso un valor de 2.000 millones de dólares divididos en 13 hackeos distintos. El comunicado del FBI también da más detalles sobre los grupo vinculados con Corea del Norte en el robo de las criptomonedas.

Y es que, se indica que el 13 de enero, estos utilizaron un protocolo de privacidad denominado Railgun, con el que consiguieron blanquear 60 millones de dólares en Ethereum. Parte de esta cantidad se envió a diversas bolsas de criptomonedas y en estas se convirtió a Bitcoin. Todo este dinero debido a robos y blanqueos de criptomonedas será destinado a apoyar los proyectos de misiles balísticos y armas de destrucción masiva de Corea del Norte.

Fuentes: SecurityWeek | FBI

26 ene 2023

DoJ y Europol interrumpen la operación del ransomware #Hive

El Departamento de Justicia anunció hoy su campaña de interrupción de la red del ransomware Hiveluego de meses de trabajo contra el grupo. Hive que se ha centrado en más de 1.500 víctimas en más de 80 países de todo el mundo, incluidos hospitales, distritos escolares, empresas financieras e infraestructura crítica.

Según el informe del Departamento de Justicia [PDF], el FBI infiltró la red Hive frustrando más de U$S 130 millones en demandas de rescate. Desde finales de julio de 2022, el FBI penetró en las redes informáticas de Hive, capturó sus claves de descifrado y las ofreció a las víctimas en todo el mundo, evitando que tuvieran que pagar los 130 millones de dólares exigidos por el rescate.

Desde que se infiltró en la red de Hive en julio de 2022, el FBI ha proporcionado más de 300 claves de descifrado a las víctimas de Hive que estaban siendo atacadas. Además, el FBI distribuyó más de 1.000 claves de descifrado adicionales a víctimas anteriores de Hive.

La fiscalía de Stuttgart, Alemania, dijo en un comunicado que la operación, bautizada "Dawnbreaker", tuvo su origen en una investigación que sus servicios abrieron tras ataques contra empresas en la región. Europol dice que un total de trece naciones participaron en la Operación Dawnbreaker.

Finalmente, el departamento anunció hoy que, en coordinación con las fuerzas del orden alemanas (la Policía Criminal Federal Alemana y la Jefatura de Policía de Reutlingen-CID Esslingen) y la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, ha tomado el control de los servidores y sitios web que Hive utiliza para comunicarse con sus miembros, interrumpiendo la capacidad de Hive para atacar y extorsionar a las víctimas.

"Anoche, el Departamento de Justicia desmanteló una red internacional de ransomware responsable de extorsionar e intentar extorsionar a cientos de millones de dólares de víctimas en los Estados Unidos y en todo el mundo", dijo el Fiscal General Merrick B. Garland. "El FBI continuará aprovechando nuestras herramientas de inteligencia y aplicación de la ley, presencia global y asociaciones para contrarrestar a los ciberdelincuentes que se dirigen a empresas y organizaciones estadounidenses".

Los ataques de Hive ransomware han causado importantes interrupciones en las operaciones diarias de las víctimas en todo el mundo y han afectado las respuestas a la pandemia de COVID-19. En un caso, un hospital atacado por el ransomware Hive tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y no pudo aceptar nuevos pacientes inmediatamente después del ataque.

Hive usaba un modelo de ransomware como servicio (RaaS) con administradores, a veces llamados desarrolladores, y afiliados. RaaS es un modelo basado en suscripción en el que los desarrolladores o administradores desarrollan una variedad de ransomware y crean una interfaz fácil de usar con la que operarlo y luego reclutan afiliados para implementar el ransomware contra las víctimas. Los afiliados identificaron objetivos e implementaron este software malicioso preparado para atacar a las víctimas y luego ganaron un porcentaje de cada pago de rescate exitoso.

Los actores de Hive empleaba un modelo de ataque de doble extorsión. Antes de cifrar el sistema de la víctima, el afiliado filtraría o robaría datos confidenciales. Luego, el afiliado buscó un rescate tanto por la clave de descifrado necesaria para descifrar el sistema de la víctima como por la promesa de no publicar los datos robados. Los actores de Hive con frecuencia se enfocaban en los datos más confidenciales en el sistema de una víctima para aumentar la presión para pagar. Después de que una víctima paga, los afiliados y administradores dividen el rescate 80/20. Hive publicaba los datos de las víctimas que no pagan en el sitio de fugas de Hive.

Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA), los afiliados de Hive obtuvieron acceso inicial a las redes de las víctimas a través de varios métodos, que incluyen: inicios de sesión de un solo factor a través del Protocolo de escritorio remoto (RDP), redes privadas virtuales (VPN) y otros protocolos de conexión de red remota; explotar las vulnerabilidades de FortiToken; y enviar correos electrónicos de phishing con archivos adjuntos maliciosos.

Por su parte, el Departamento de Estado de los Estados Unidos ha ofrecido una recompensa de hasta 10 millones de dólares para cualquiera que aporte información que pueda ayudar a relacionar las acciones del grupo de ransomware Hive (o cualquier otro grupo similar) con gobiernos extranjeros.

Las víctimas del ransomware Hive deben comunicarse con la oficina local del FBI para obtener más información.

Fuente: DoJ

KeePass: potencial vulnerabilidad expone claves en texto plano

Los investigadores de seguridad han descubierto una supuesta vulnerabilidad (discutida) que representaría una seria amenaza para los usuarios del popular administrador de contraseñas KeePass. Una falla, identificada como CVE-2023-24055, permitiría a los atacantes obtener contraseñas almacenadas en texto no cifrado. Esto sólo sucede en la configuración por defecto de la herramienta.

Con el video exploit de prueba de concepto (PoC) disponible, y en vista de que KeePass es uno de los administradores de contraseñas más populares a nivel mundial, esta falla de seguridad sería un objetivo jugoso para los atacantes.

Esta situación es muy discutida por el creador de Keepass debido la Ley Nº 1 de las Diez leyes inmutables de seguridad: "si un actor malicioso puede persuadirte para ejecutar su propio programa en tu computadora, ya no es tu computadora".

Como se explica en la investigación de Alex Hernandez y se detalla en un hilo dedicado de SourceForge, la (supuesta) vulnerabilidad en cuestión podría permitir que un atacante con acceso de escritura al archivo de configuración XML obtenga las contraseñas de texto claro agregando un disparador de exportación. El exploit PoC para CVE-2023-24055, un escáner para él y una lista de ejemplos fue publicado en el GitHub de Alex Hernandez.

En particular, el proveedor afirma que la base de datos de contraseñas no está diseñada para ser segura contra un atacante que tenga ese nivel de acceso a una PC local. Además, la lista de versiones afectadas de KeePass aún se disputa. Por ahora, se considera que KeePass v2.5x está afectado. Se insta a los usuarios a actualizar a la última versión 2.53 para evitar posibles compromisos.

Recomendaciones

Mientras se resuelve la discusión, se recomienda desactivar la exportación de claves y los triggers desde la configuración de Keepass. Esta acción se puede realizar modificando el archivo de configuración o desde la pantalla propia de la herramienta. También se recomienda probar esta herramienta de hardening.

  • %AppData%\Roaming\KeePass\KeePass.config.xml
  • ~/.config/KeePass

Más información:

Fuente: SOCPrime