15 may. 2021

Scheme Flooding: vulnerabilidad que permite el seguimiento de usuarios en Chrome, Firefox, Safari y Tor Browser

El investigador Konstantin Darutkin de la empresa Fingerprintjs ha publicado un artículo presentando una vulnerabilidad denominada Scheme Flooding y el exploit funciona en los cuatro navegadores de escritorio principales (Chrome, Firefox, Safari y Tor Browser), lo cual implica una amenaza para la navegación anónima del usuario.

Esta vulnerabilidad permite el seguimiento de terceros en diferentes navegadores y, por lo tanto, es una violación de la privacidad. Un sitio web que explote la vulnerabilidad de inundación de esquema podría crear un identificador único, le permite vincular el navegador con la identidad del usuario y rastrearlo en la web.

Creación de perfiles basada en aplicaciones instaladas

Además, esta vulnerabilidad permite crear publicidad dirigida según los perfiles de los usuarios y sin su consentimiento. La lista de aplicaciones instaladas en el dispositivo puede revelar mucho sobre su ocupación, hábitos y edad. Por ejemplo, si se encuentra instalado un IDE de Python o un servidor PostgreSQL, es muy probable que sea un desarrollador de backend.

Dependiendo de las aplicaciones instaladas en un dispositivo, es posible que un sitio web identifique a personas con fines más siniestros. Por ejemplo, un sitio puede detectar a un oficial del gobierno o militar en Internet en función de sus aplicaciones instaladas y el historial de navegación asociado que está destinado a ser anónimo.

Esta vulnerabilidad ha estado presente al menos 5 años en los principales navegadores y se desconoce su verdadero impacto. En una búsqueda rápida en la web, los investigadores no pudieron encontrar ningún sitio web que lo explotara activamente.

¿Cómo funciona?

La vulnerabilidad de inundación del esquema (demo en línea) permite a un atacante determinar qué aplicaciones ha instalado. Para generar un identificador de dispositivo de 32 bits, un sitio web puede probar una lista de 32 aplicaciones populares y verificar si cada una está instalada o no. En promedio, el proceso de identificación toma unos segundos y funciona en los sistemas operativos de escritorio Windows, Mac y Linux.

Para comprobar si una aplicación está instalada, los navegadores pueden utilizar controladores de esquema de URL personalizados integrados. Por ejemplo, se puede ingresar skype:// en la barra de direcciones del navegador para abrir un cuadro de diálogo de confirmación que preguntará si desea iniciarse Skype. Esta función también se conoce como enlaces profundos y se usa ampliamente en dispositivos móviles, pero también está disponible en los navegadores de escritorio. Cualquier aplicación que se instale puede registrar su propio esquema, para permitir que otras aplicaciones lo abran. 

Nos referiremos a esta vulnerabilidad como inundación de esquemas, ya que utiliza esquemas de URL personalizados como vector de ataque. La vulnerabilidad utiliza información sobre las aplicaciones instaladas en la computadora para asignarle un identificador único permanente, incluso si cambia de navegador, usa el modo de incógnito o se utiliza una VPN.

Para hacer posible esta vulnerabilidad, se requieren los siguientes pasos:

  • Preparar una lista de los esquemas de URL de la aplicación que se desea probar. La lista puede depender de sus objetivos, por ejemplo, si desea verificar si están instaladas algunas aplicaciones específicas de la industria o de sus intereses.
  • Agregar un script en un sitio web que probará cada aplicación de la lista. El script devolverá una matriz ordenada de valores booleanos. Cada valor booleano es verdadero si la aplicación está instalada o falso si no lo está.
  • Utilizar esta matriz para generar un identificador permanente entre navegadores.
  • Opcionalmente, se puede utilizar algoritmos de aprendizaje automático para adivinar la ocupación, los intereses y la edad de los visitantes de su sitio web utilizando los datos de la aplicación instalada.

Los pasos anteriores pueden parecer fáciles, pero la mayoría de los navegadores cuentan con mecanismos de seguridad diseñados para evitar tales vulnerabilidades. Las debilidades en estos mecanismos de seguridad son las que hacen posible su explotación. Se puede usar una combinación de políticas CORS y características de la ventana del navegador para omitirlo.

La implementación real del exploit varía según el navegador, sin embargo, el concepto básico es el mismo. Funciona pidiendo al navegador que muestre un cuadro de diálogo de confirmación en una ventana emergente. Luego, el código JavaScript puede detectar si se acaba de abrir una ventana emergente y detectar la presencia de una aplicación basada en eso.

Fuente: Fingerprintjs

14 may. 2021

Colonial Pipeline y la petroquímica Brenntag pagaron US$5 millones cada uno a DarkSide

La empresa de distribución química Brenntag pagó un rescate de $ 4,4 millones en Bitcoin a la banda de ransomware DarkSide para recibir un descifrador de archivos cifrados y evitar que los actores de la amenaza filtren públicamente datos robados.

Brenntag es una empresa de distribución de productos químicos líder en el mundo con sede en Alemania, pero con más de 17.000 empleados en todo el mundo en más de 670 emplazamientos.

Según el informe de ICS Top 100 Chemical Distributors, Brenntag es el segundo más grande en ventas para América del Norte.

Además, COLONIAL PIPELINE también habría pagado un cuantioso rescate en criptodivisas.

El ataque contra Colonial, que diariamente transporta más de 100 millones de galones de gasolina, diésel, combustible para calefacción doméstica y combustible para aviones, conectando refinerías de Texas con Nueva York a través de la Costa Este de Estados Unidos, obligó a la empresa a desconectar sus sistemas el pasado viernes, luego de lo cual ha logrado restablecer algunas líneas menores.

Las fuentes dijeron que Colonial sintió una inmensa presión para que la gasolina y el combustible para aviones volvieran a fluir hacia las principales ciudades estadounidenses. Una tercera persona familiarizada con la situación dijo que los funcionarios del gobierno estadounidense están al tanto de que Colonial realizó el pago. El miércoles 12, el Washington Post y Reuters habían informado de que "la empresa no tenía intención inmediata de pagar el rescate", a pesar de que había pagado días antes.

Una vez recibido el pago, los delincuentes proporcionaron a la empresa una herramienta de descifrado para restaurar su red informática inhabilitada. La herramienta era tan lenta que la empresa siguió utilizando sus propias copias de seguridad para ayudar a restaurar el sistema, dijo una de las personas familiarizadas con los esfuerzos de la empresa.

Bloomberg News preguntó al presidente Joe Biden si había sido informado sobre el pago del rescate por parte de la empresa, el presidente hizo una pausa y luego dijo: "No tengo ningún comentario al respecto".

Además, se hizo público que "la herramienta de descifrado era MUY lenta y por lo tanto se debió seguir con el proceso manual de recuperación de backup".

Fuente: CNET

13 may. 2021

NSA publica alerta sobre debilidades de la tecnología 5G

El pasado lunes la NSA, junto a otras instituciones gubernamentales estadounidense, publicó un estudio sobre los principales riesgos y vulnerabilidades de las redes 5G.

Este nuevo estudio, publicado por la NSA, el DHS y la CISA, señala que los principales riesgos y vulnerabilidades se producen a consecuencia de:

  • Las políticas y estándares que regulan la tecnología 5G.
  • La cadena de abastecimiento.
  • La arquitectura de los sistemas 5G.

El estudio menciona la preocupación de que los Estados intenten "ejercer una influencia indebida en los estándares para beneficiar el uso de tecnologías privadas y así limitar las posibilidades de elección de los clientes".

También existe la posibilidad de que los Estados desarrollen estándares que con el tiempo hagan difícil actualizar, reparar y reemplazar la tecnología y/o el sistema en uso. La gravedad de lo que esto implica aumenta si los controles opcionales de seguridad no son implementados en los protocolos de telecomunicaciones, ya que podrían aparecer puertas traseras que permitan diversos ataques.

Se podría dar una situación en la que, por ejemplo, se añada código malicioso de manera intencionada a uno de los módulos de la cadena de suministro del software, el cual sería posteriormente derivado a los usuarios. Las víctimas del ataque no tendrían constancia de lo ocurrido y harían uso de los componentes comprometidos dentro de su propia red.

Por último, se señala, asimismo, que la propia arquitectura del 5G podría ser utilizada como una manera de llevar a cabo diversos tipos de ataque. El aspecto más alarmante en cuanto a la arquitectura podría ser la necesidad de ofrecer soporte a la infraestructura de comunicaciones de las redes 4G, las cuales tienen vulnerabilidades propias que se sumarían a todo lo explicado hasta el momento. Además, aparece la posibilidad de que actores maliciosos consigan interferir con rutas de comunicaciones que no son críticas, afectando, consecuentemente, a comunicaciones cuya prioridad es más alta.

Otros riesgos son que las redes 5G podrían ser vulnerables a la interceptación/modificación de comunicaciones, así como ToRPEDO, Piercer e IMSI-Cracking.

Fuente: Hispasec | THN

12 may. 2021

Microsoft, Adobe, Apple, CISCO, SAP, VMware, solucionan Zero-Days (Actualiza YA!)

Con la actualización de de mayo de 2021, Microsoft ha solucionado 55 vulnerabilidades, con cuatro clasificadas como críticas, 50 como importantes y una como moderada. Además, la empresa confirma que solucionó tres vulnerabilidades Zero-Day.

Para obtener información sobre las actualizaciones de Windows que no son de seguridad, se puede leer acerca de las actualizaciones acumulativas de Windows 10 KB5003169 & KB5003173 cumulative updates.

Las cuatro vulnerabilidades críticas solucionan problemas de día cero que se divulgaron públicamente, aunque no se sabe que hayan sido utilizadas en ataques in-the-wild.

  • CVE-2021-31166 (crítica) - HTTP.sys Protocol Stack Remote Code Execution Vulnerability
  • CVE-2021-26419 (crítica) - Scripting Engine Memory Corruption Vulnerability en Internet Explorer.
  • CVE-2021-28476 (crítica) - Remote Code Execution Vulnerability en Hyper-V 
  • CVE-2021-31194 (crítica) - OLE Automation Remote Code Execution Vulnerability
Otras vulnerabilidades importantes a tener en cuenta:
  • CVE-2021-31204 - .NET and Visual Studio Elevation of Privilege Vulnerability
  • CVE-2021-31207 - cinco vulnerabilidades en Microsoft Exchange Server Security Feature Bypass Vulnerability. Una de estas fue utilizada por en el desafío de Pwn2Own de 2021. No está claro si es la vulnerabilidad revelada por Devcore o Team Viettel.
  • CVE-2021-31200 - Common Utilities Remote Code Execution Vulnerability. Esta vulnerabilidad es para el kit de herramientas NNI (Neural Network Intelligence) de Microsoft y fue revelada por Abhiram V de Resec System en GitHub.

Se espera que los actores de amenazas analicen los parches para crear exploits para las vulnerabilidades, especialmente la de Microsoft Exchange. Por lo tanto, es vital aplicar las actualizaciones de seguridad lo antes posible.

Actualizaciones recientes de otras empresas

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, se puede ver el informe completo aquí.

Fuente: BC

FragAttacks: (casi) todos los dispositivos Wi-Fi vulnerables

Se han revelado fallas de diseño y de implementación múltiple en el estándar técnico IEEE 802.11 que sustenta el Wi-Fi, permitiendo potencialmente que un adversario tome el control de un sistema y extraiga datos confidenciales.

Llamadas FragAttacks (abreviatura de FRgmentation y AGgregation ataques), las debilidades afectan a todos los protocolos de seguridad Wi-Fi, desde Wired Equivalent Privacy (WEP) hasta Wi-Fi Protected Access 3 (WPA3), por lo que prácticamente todos los dispositivos inalámbricos habilitados dispositivo en riesgo de ataque. 

"Un adversario que se encuentra dentro del alcance de la radio de una víctima puede abusar de estas vulnerabilidades para robar información del usuario o atacar dispositivos", dijo Mathy Vanhoef, académico de seguridad de la Universidad de Nueva York en Abu Dhabi. "Los experimentos indican que todos los productos Wi-Fi se ven afectados por al menos una vulnerabilidad y que la mayoría de los productos se ven afectados por varias vulnerabilidades". Video demostración.

IEEE 802.11 proporciona la base para todos los dispositivos modernos que utilizan la familia de protocolos de red Wi-Fi. Introducido en enero de 2018, WPA3 es un protocolo de seguridad de tercera generación que se encuentra en el corazón de la mayoría de los dispositivos Wi-Fi con varias mejoras, como una autenticación sólida y una mayor capacidad criptográfica para proteger las redes informáticas inalámbricas.

Según Vanhoef, los problemas se derivan de errores de programación "generalizados" codificados en la implementación del estándar, con algunos defectos que se remontan a 1997. Las vulnerabilidades tienen que ver con la forma en que el estándar fragmenta y agrega marcos, lo que permite a los actores de amenazas para inyectar paquetes arbitrarios y engañar a una víctima para que use un servidor DNS malicioso, o falsificar los marcos para desviar datos.

La lista de 12 defectos es la siguiente:

  • CVE-2020-24588: Accepting non-SPP A-MSDU frames
  • CVE-2020-24587: Reassembling fragments encrypted under different keys
  • CVE-2020-24586: Not clearing fragments from memory when (re)connecting to a network
  • CVE-2020-26145: Accepting plaintext broadcast fragments as full frames (in an encrypted network)
  • CVE-2020-26144: Accepting plaintext A-MSDU frames that start with an RFC1042 header with EtherType EAPOL (in an encrypted network)
  • CVE-2020-26140: Accepting plaintext data frames in a protected network
  • CVE-2020-26143: Accepting fragmented plaintext data frames in a protected network
  • CVE-2020-26139: Forwarding EAPOL frames even though the sender is not yet authenticated
  • CVE-2020-26146: Reassembling encrypted fragments with non-consecutive packet numbers
  • CVE-2020-26147: Reassembling mixed encrypted/plaintext fragments
  • CVE-2020-26142: Processing fragmented frames as full frames
  • CVE-2020-26141: Not verifying the TKIP MIC of fragmented frames

Un atacante puede aprovechar estas fallas para inyectar paquetes de red arbitrarios, interceptar y exfiltrar datos de usuario, lanzar ataques de denegación de servicio e incluso posiblemente descifrar paquetes en redes WPA o WPA2.

"Si se pueden inyectar paquetes de red a un cliente, se puede abusar de esto para engañar al cliente y que use un servidor DNS malicioso", explicó Vanhoef en un artículo de investigación. "Si los paquetes de red se pueden inyectar hacia un [punto de acceso], el adversario puede abusar de esto para evitar el NAT / firewall y conectarse directamente a cualquier dispositivo en la red local".

En un escenario de ataque hipotético, estas vulnerabilidades pueden explotarse como un trampolín para lanzar ataques avanzados, permitiendo que un atacante se apodere de una máquina obsoleta con Windows 7 dentro de una red local. Las fallas de diseño son difíciles de explotar, ya que requieren la interacción del usuario o solo son posibles cuando se utilizan configuraciones de red poco comunes.

Los hallazgos se han compartido con Wi-Fi Alliance, después de lo cual se prepararon actualizaciones de firmware durante un período de divulgación coordinado de 9 meses. Microsoft, por su parte, lanzó correcciones para algunas de las fallas (CVE-2020-24587, CVE-2020-24588, y CVE-2020-26144) como parte de su actualización Patch Tuesday para mayo de 2021. Vanhoef dijo un kernel de Linux actualizado está en proceso para distribuciones con soporte activo.

Esta no es la primera vez que Vanhoef ha demostrado fallas graves en el estándar Wi-Fi. En 2017, el investigador reveló lo que se llama KRACKs (Key Reinstallation AttACKs) en el protocolo WPA2, lo que permite a un atacante leer información confidencial y robar números de tarjetas de crédito, contraseñas, mensajes y otros datos.

"Curiosamente, nuestro ataque de agregación podría haberse evitado si los dispositivos hubieran implementado mejoras de seguridad opcionales antes", concluyó Vanhoef. "Esto destaca la importancia de implementar mejoras de seguridad antes de que se conozcan los ataques prácticos. Las dos fallas de diseño basadas en la fragmentación fueron, en un alto nivel, causadas por no separar adecuadamente los diferentes contextos de seguridad. De esto aprendemos que separar adecuadamente los contextos de seguridad es un principio importante a tener en cuenta a la hora de diseñar protocolos".

Se puede acceder a las mitigaciones para FragAttacks de otras compañías como Cisco, HPE / Aruba Networks, Juniper Networks y Sierra Wireless en el aviso publicado por el Industry Consortium for Advancement of Security on the Internet (ICASI).

"No hay evidencia de que las vulnerabilidades se utilicen maliciosamente contra los usuarios de Wi-Fi, y estos problemas se mitigan mediante actualizaciones de dispositivos de rutina que permiten la detección de transmisiones sospechosas o mejoran el cumplimiento de las prácticas recomendadas de implementación de seguridad", dijo Wi-Fi Alliance.

Fuente: THN

11 may. 2021

La importancia de la "Confianza Cero"

Una investigación de CyberArk apunta que los atacantes aprovechan una sucesión de errores, previamente desconocidos, para infiltrarse en los sistemas de las organizaciones y atacar a diferentes usuarios.

Recientemente, la Cámara de Representantes de EE.UU. recomendó encarecidamente que las agencias gubernamentales adoptaran un marco de Confianza Cero para proteger sus redes más sensibles de ataques similares. La investigación de mercado muestra que los modelos Zero Trust y las tecnologías que los respaldan se están volviendo más comunes y fácilmente adoptados por organizaciones de nivel empresarial en todo el mundo.

"La naturaleza cambiante del trabajo requiere la apertura de más servicios y aplicaciones de acceso remoto. A su vez, los atacantes están extendiendo sus ataques de suplantación de identidad contra activos de alto valor o alto nivel. La posibilidad de comprometer las credenciales privilegiadas nunca ha sido tan elevada", explica Lavi Lazarovitz, director senior del equipo de investigación cibernética de CyberArk.

Para llevar a cabo este ataque, los ciberdelincuentes tienen que conocer las cuentas de correo electrónico de los administradores del sistema de las respectivas redes sociales. Por ello, se cree que los atacantes disponían de información personal que los conducía a las cuentas de correo electrónico de los administradores del sistema.

Para evitar este tipo de brechas de seguridad, las empresas deben adoptar estrategias de Zero Trust, limitando el número de cuentas en las que se confía de forma predeterminada, pueden protegerse contra este tipo de ataques.

Y es que, gracias al Zero Trust las compañías disponen de un privilegio en sus estrategias de seguridad de la identidad, lo que implica que podrán estar mejor posicionadas a la hora de interrumpir esta cadena de ataques.

Las empresas que adopten estrategias de Zero Trust, limitando el número de cuentas en las que se confía de forma predeterminada, pueden protegerse contra este tipo de ataques. El ataque a Microsoft se parece mucho a la cadena de ataques que estamos viendo cada día: realizar reconocimientos, ganar confianza y luego robar credenciales o datos. Las compañías que incorporen los principios de Zero Trust y el mínimo privilegio en sus estrategias de seguridad de la identidad estarán mejor posicionadas para poder interrumpir esta cadena de ataques», concluye este experto.

Fuente CyberArk I y II

10 may. 2021

Aseguradora detiene el reembolso por delitos de ransomware

En una aparente primera vez, la compañía global de seguros AXA dice que dejará de emitir pólizas de seguro de ciberseguridad en Francia y ha tomado la decisión de no devolver el dinero del rescate a los clientes que paguen por la extorsión realizada por los delincuentes de ransomware.

AXA, una de las cinco principales aseguradoras de Europa, dijo que suspendería esa opción en respuesta a las preocupaciones expresadas por funcionarios de justicia y ciberseguridad franceses durante una mesa redonda del Senado en París el mes pasado sobre la devastadora epidemia mundial de ransomware.

"Con respecto al ransomware, no pagamos y no pagaremos", dijo la fiscal de delitos cibernéticos Johanna Brousse en la audiencia. Solo EE.UU. supera a Francia el año pasado en daños por ransomware a empresas, hospitales, escuelas y gobiernos locales, según la firma de ciberseguridad Emsisoft, que estima las pérdidas generales relacionadas de Francia en más de 5.500 millones de dólares.

La suspensión solo se aplica a Francia y no afecta las pólizas existentes, dijo Christine Weirsky, portavoz de la subsidiaria estadounidense AXA, una de las principales aseguradoras de ciberseguros en Estados Unidos. Ella dijo que tampoco afecta la cobertura para responder y recuperarse de los ataques de ransomware, en los que los delincuentes con base en refugios seguros, incluida Rusia, irrumpen en las redes, plantan malware y los paralizan codificando datos.

Solo después de que se pagan los rescates, los delincuentes proporcionan claves de software para decodificar los datos. Y el año pasado, muchos comenzaron a robar datos confidenciales antes de cifrarlos y amenazar con descargarlos en línea a menos que las víctimas pagaran. Eso ayudó a que los pagos de rescate casi se triplicaran a un promedio de más de U$S 300.000. El tiempo medio de recuperación de un ataque de ransomware es de tres semanas.

La industria de seguros ha sido objeto de críticas considerables por reembolsar los pagos de rescate. La experta en ciberseguridad Josephine Wolff de la Universidad de Tufts dijo que se ha integrado en las prácticas de gestión de riesgos de las organizaciones "como uno de los costos de hacer negocios. Y creo que eso es realmente preocupante porque eso es lo que impulsa el negocio continuo del ransomware: la gente sigue pagando el rescate".

Un plan de acción urgente de 81 páginas entregado a la Casa Blanca la semana pasada por un grupo de trabajo público-privado señaló que enriquecer a los criminales de ransomware solo alimenta más delitos globales, incluido el terrorismo. Pero los autores no llegaron a defender la prohibición del pago de rescates, diciendo que a veces pagar puede ser la única forma en que una empresa afectada puede evitar la bancarrota. Los funcionarios estadounidenses llaman al ransomware una amenaza a la seguridad nacional, y algunos legisladores están pidiendo un alivio financiero inmediato para las autoridades locales afectadas, que carecen de recursos de TI y ejecutan sistemas vulnerables.

Michael Phillips, director de reclamos de la firma estadounidense de seguros cibernéticos Resilience y copresidente del grupo de trabajo, dijo que "la decisión de AXA Francia destaca el tumulto continuo en el mercado" mientras las compañías de seguros luchan por suscribir con éxito pólizas de ransomware mientras se enfrentan al aumento costos de pago que amenazan la rentabilidad.

Philips dijo que no espera que las aseguradoras estadounidenses impongan restricciones similares, o una ola de salidas, pero dijo que los mejores operadores se están volviendo más exigentes con la higiene de la ciberseguridad de los clientes. Muchas víctimas, como los gobiernos estatales y locales con problemas de liquidez, no han invertido adecuadamente en seguridad y son presa fácil de los delincuentes de ransomware.

A menudo, esos delincuentes han recopilado inteligencia sobre posibles objetivos con anticipación y saben cuándo una víctima tiene un seguro que cubre el pago de rescate. A veces, incluso conocen el límite de pago de una póliza.

El analista de Emsisoft Brett Callow calificó la decisión de AXA de inteligente y señaló que algunas organizaciones parecen más inclinadas a pagar un rescate si el dinero no proviene de sus propios bolsillos. "La única forma de romper este círculo vicioso es interrumpir el flujo de efectivo, y dejar de reembolsar las demandas de rescate puede lograrlo".

Fuente: ABC News

La mayor red de oleoductos de EE.UU. suspende sus operaciones por un ransomware

Colonial, la mayor red de oleoductos de Estados Unidos, se ha visto obligada a suspender sus actividades tras haber sufrido un ciberataque cuya autoría y alcance se desconocen, ha asegurado la empresa en un comunicado y el FBI. El corte afecta a las operaciones de Colonial en los 8.850 kilómetros de oleoductos que gestiona, vitales para abastecer a los grandes núcleos de población del este y el sur de Estados Unidos, incluida la región metropolitana de Nueva York, a donde llegan 380 millones de litros de combustible al día.

La organización habría sido atacado por un ransomware, aunque la empresa no ha dicho qué se exigió. Una persona cercana a la investigación, que habló bajo condición de anonimato, identificó al culpable como DarkSide, una de las bandas que profesionalizado la industria criminal que les ha costado a las naciones occidentales decenas de miles de millones de dólares en pérdidas en los últimos tres años. El ataque ha sido confirmado y EE.UU. ha declarado la emergencia en 17 Estados.

Darkside apareció en agosto de 2020, utilizando un modelo de negocio basado en Ransomware-as-a-Service (RaaS). El equipo de DarkSide recientemente anunció que DarkSide 2.0, con la velocidad de cifrado más rápida del mercado.

Al igual que muchas otras variantes de ransomware, DarkSide sigue la tendencia de la doble extorsión, lo que significa que los actores de la amenaza no solo cifran los datos del usuario, sino que primero exfiltran los datos y amenazan con hacerlos públicos si no se paga la demanda de rescate. Esta técnica hace que la estrategia de realizar copias de seguridad de los datos como precaución contra un ataque de ransomware sea discutible. Según IBM X-Force, el malware, una vez implementado, roba datos, cifra los sistemas mediante los protocolos de cifrado Salsa20 y RSA-1024 y ejecuta un comando de PowerShell codificado para eliminar instantáneas de volumen. SecureWorks los rastrea como Gold Waterfall y atribuye al grupo como un antiguo afiliado de habla rusa del servicio REvil ransomware RaaS.

La banda de ransomware publicó DarkSide Leaks, un sitio web de aspecto profesional y utilizan tácticas innovadoras para presionar a las víctimas y técnicas de marketing tradicionales.

La compañía transporta al día hasta 2,5 millones de barriles de gasolina, diésel y combustible de aviación desde las refinerías del golfo de México alrededor de Houston (Texas) hasta las grandes ciudades de la mitad oriental del país. El suministro de energía de Colonial es especialmente importante en la costa este del país, pues representa el 45% del transporte de combustible en esa área.

En un comunicado, la compañía dijo que "este incidente involucra a Ransomware y en respuesta, bajamos de manera proactiva ciertos sistemas para contener la amenaza, lo que ha detenido temporalmente todas las operaciones de tuberías y afectó a algunos de nuestros sistemas de TI". De acuerdo a Bloomberg y The Wall Street Journal, la división de respuesta a incidentes de la firma de ciberseguridad de FireEye está asistiendo con la investigación y ha realizado un informe técnico.

Mandiant actualmente rastrea cinco grupos de amenazas que han involucrado el despliegue de DARKSIDE. Estos grupos pueden representar diferentes afiliados de la plataforma DARKSIDE RaaS. A lo largo de los incidentes observados, el actor de la amenaza generalmente se basó en varias herramientas legítimas y disponibles públicamente que se utilizan comúnmente para facilitar las diversas etapas del ciclo de vida del ataque en los ataques de ransomware posteriores a la explotación.

A continuación se incluyen detalles adicionales sobre tres de estos grupos UNC (UNCategorized). UNC2628 ha estado activo desde al menos febrero de 2021. Sus intrusiones progresan relativamente rápido y el actor de amenazas generalmente implementa ransomware en dos o tres días. Hay evidencia e IOCs que sugiere que UNC2628 se ha asociado con otros RaaS, incluidos SODINOKIBI (REvil) y NETWALKER.

Colonial, que no ha especificado cuánto tiempo estará cerrada la red de ductos, ha contratado a una empresa de ciberseguridad "de primera línea" para investigar el suceso, además de alertar a las fuerzas de seguridad del Gobierno de Estados Unidos y otros organismos federales, ha explicado la firma en un comunicado. El ciberataque fue detectado este viernes y se conoció poco antes de la medianoche de ayer.

"Nuestro objetivo prioritario es restablecer con seguridad y eficiencia nuestros servicios para que vuelvan a funcionar con normalidad", asegura el comunicado.

Según la reportera del New York Times, Nicole Perlroth, un informe forense indica que el culpable dentro de la infraestructura de TI de Colonial eran los servidores vulnerables de Microsoft Exchange.

El ataque informático se produce poco antes de que el presidente de Estados Unidos, Joe Biden, firme, en los próximos días, una orden ejecutiva para incrementar la ciberseguridad en infraestructuras críticas para la economía del país. Según el diario The New York Times, el decreto presidencial podría demandar un incremento de los requisitos de seguridad a aquellas empresas que prestan servicios al Gobierno federal.

El cierre de un oleoducto tan vital, que ha servido a la costa este desde principios de la década de 1.960, destaca la vulnerabilidad de la infraestructura obsoleta que se ha conectado, directa o indirectamente, a Internet. En los últimos meses, señalan los funcionarios, la frecuencia y la sofisticación de los ataques de ransomware se han disparado, paralizando a víctimas tan variadas como el departamento de policía del Distrito de Columbia, los hospitales que tratan a pacientes con coronavirus y los fabricantes, que con frecuencia tratan de ocultar los ataques por vergüenza de que sus sistemas no funcionaran. perforado.

Washington contempla desde hace tiempo con preocupación la posibilidad de que países como China y Rusia puedan valerse de ciberataques contra infraestructuras básicas para golpear la economía, y a la vez minar la credibilidad de la primera superpotencia mundial. El último ejemplo es el hackeo masivo conocido como SolarWinds, que comprometió a millares de redes informáticas del Gobierno estadounidense y que empujó a la Casa Blanca a adoptar duras sanciones contra Rusia, a quien atribuyó el ataque.

Bloomberg dice que durante el ataque, se robaron más de 100 GB de datos corporativos en solo dos horas. Hasta ahora (11 de mayo), Colonial Pipeline no se ha agregado al sitio de fuga de DarkSide. LISTADO COMPLETO.

Este tipo de ataques es el motivo por el cual El Departamento de Justicia (DoJ) de EE.UU. ha creado un nuevo grupo de trabajo dedicado a contrarrestar los ataques de ransomware: Ransomware Task Force Framework (RTF)

La última vez que la red de oleoductos de Colonial se vio afectada por un corte fue con ocasión del huracán Harvey, que azotó el golfo de México en 2017.

Otro ataque a una planta petroquímica saudita en 2017 casi desencadena un gran desastre industrial. Pero se cerró rápidamente y los investigadores luego lo atribuyeron a delincuentes informáticos rusos. Este año, alguien tomó brevemente el control de una planta de tratamiento de agua en una pequeña ciudad de Florida en lo que parecía ser un esfuerzo por envenenar el suministro, pero el intento se detuvo rápidamente.

Más información

Google quiere 2FA para todos los usuarios por defecto

¡Las contraseñas han muerto!

Un informe de Microsoft dice que es "crítico respaldar su contraseña con alguna forma de credencial sólida, y sugiere que la Autenticación multifactor (MFA). Nuestros números muestran que el 99.9% de los ataques de identidad se han visto frustrados al activar MFA", indica el informe.

Goole afirma lo mismo: "Nuestra investigación muestra que simplemente agregar un número de teléfono de recuperación a su cuenta de Google puede bloquear hasta el 100% de los bots automatizados, el 99% de los ataques de phishing masivo y el 66% de los ataques dirigidos que ocurrieron durante nuestra investigación".

El uso de MFA (Multi-Factor Authentication) bloquea el 99.9% de los hacks de cuentas. La autenticación en dos pasos o autenticación de factor múltiple es un complemento muy interesante a las contraseñas. Sirve como segunda barrera, como una capa extra de seguridad para evitar intrusos en nuestras cuentas. En caso de que alguien lograra averiguar nuestra contraseña a través de algún ataque, como por ejemplo el Phishing, así como alguna filtración, necesitaría un segundo paso.

Ese segundo factor básicamente consiste en tener que introducir un código de seguridad. Por ejemplo podemos recibirlo por SMS y verificar así que somos el usuario legítimo que tiene derecho a entrar en esa red social, cuenta bancaria o cualquier aplicación.

Ahora Google quiere que los usuarios utilicen la verificación en dos pasos de manera predeterminada. Hasta ahora es algo que todos podíamos configurar de forma voluntaria. De esta forma, al iniciar sesión en nuestra cuenta de Google, por ejemplo, teníamos que verificar que somos nosotros desde nuestro teléfono.

Hay que indicar que tanto en Android como en iOS podemos utilizar nuestros móviles para autenticarnos en cuentas de Google. Esto es muy útil para proteger nuestras cuentas, ya que en caso de que alguien robara la contraseña por algún motivo, no podría acceder sin ese segundo paso.

No solo podemos autenticarnos a través de un código que recibimos por SMS, sino que existen muchos tipos de métodos. Por ejemplo podemos nombrar una llamada, una aplicación para móvil o incluso una llave física que conectamos por USB. Hay muchas amenazas en la red y conviene estar protegidos.Todo esto va a permitir que nuestros datos estén a salvo, que nadie pueda entrar en nuestra cuenta de Google sin ese segundo paso. Ya hemos indicado que incluso la contraseña más fuerte, aquella que es totalmente aleatoria, única y que cuenta con todo tipo de símbolos, podría ser averiguada. Puede haber filtración de datos y eso afectar a la seguridad.

Desde Google indican que esperan poner esta característica de forma predeterminada para que los usuarios utilicen siempre la verificación de factor múltiple. El objetivo no es otro que evitar que las contraseñas robadas siga siendo un problema importante en Internet.

Es fundamental proteger en todo momento nuestras cuentas. Debemos tomar medidas de precaución, como el hecho de usar claves que sean fuertes, pero también complementarlo con otras características. Entre ellas podemos nombrar la autenticación en dos pasos, pero no es la única. También hay que proteger los equipos con un buen antivirus, tener los sistemas actualizados y, lo más importante, el sentido común. La mayoría de ataques van a requerir de la interacción del usuario, por lo que es fundamental no cometer errores.

Fuente: RedesZone | Bleeping Computer

9 may. 2021

Actualizaciones críticas para Foxit

La vulnerabilidad de alta gravedad (identificada como CVE-2021-21822) es el resultado de un error Use After Free encontrado por Aleksandar Nikolic de Cisco Talos en el motor JavaScript V8 utilizado por Foxit Reader para mostrar formularios dinámicos y elementos de documentos interactivos. La vulnerabilidad afecta a Foxit Reader 10.1.3.37598 y versiones anteriores, y se solucionó con el lanzamiento de Foxit Reader 10.1.4.37651.

La explotación exitosa puede conducir a resultados inesperados que van desde fallas del programa y corrupción de datos hasta la ejecución de código arbitrario en computadoras que ejecutan el software vulnerable.

Esta falla de seguridad es causada por la forma en que la aplicación Foxit Reader y las extensiones del navegador manejan ciertos tipos de anotaciones, que los atacantes pueden abusar para crear archivos PDF maliciosos que les permitirán ejecutar código arbitrario.

"Un documento PDF especialmente diseñado puede desencadenar la reutilización de la memoria previamente libre, lo que puede llevar a la ejecución de código arbitrario", explicó Nikolic. "Si la extensión del complemento del navegador está habilitada, un atacante necesita engañar al usuario para que abra un archivo o sitio malicioso para activar esta vulnerabilidad".

Foxit corrigió varios otros errores de seguridad que afectaban a las versiones anteriores de Foxit Reader en la última versión, exponiendo los dispositivos de los usuarios a la denegación de servicio, ejecución remota de código, divulgación de información, inyección SQL, secuestro de DLL y otras vulnerabilidades.

Más vulnerabilidades solucionadas en Foxit Reader 10.1.4:

  • Problemas en los que la aplicación podría estar expuesta a la vulnerabilidad de corrupción de memoria y bloquearse al exportar ciertos archivos PDF a otros formatos.
  • Problemas en los que la aplicación podría estar expuesta a la vulnerabilidad de denegación de servicio y bloquearse al manejar ciertos formularios.
  • Problema en el que la aplicación podría estar expuesta a la vulnerabilidad de eliminación arbitraria de archivos debido a un control de acceso inadecuado.
  • Problema en el que la aplicación podía entregar información de firma incorrecta para ciertos archivos PDF que contenían firmas digitales invisibles.
  • Problemas en los que la aplicación podría estar expuesta a la vulnerabilidad de secuestro de DLL cuando se ejecutaba, que los atacantes podrían aprovechar para ejecutar código remoto colocando una DLL maliciosa en el directorio de ruta especificado.
  • Problemas en los que la aplicación podría estar expuesta a la vulnerabilidad de divulgación de información o ejecución remota de escritura / lectura fuera de límites y fallar al manipular determinados JavaScripts o formularios XFA.
  • Problema en el que la aplicación podría estar expuesta a la vulnerabilidad de escritura fuera de límites al analizar ciertos archivos PDF.
  • Problema en el que la aplicación podría estar expuesta a vulnerabilidades y bloquearse al convertir ciertos archivos PDF a archivos de Microsoft Office.
  • Problemas en los que la aplicación podría estar expuesta a la vulnerabilidad de ejecución remota de código de escritura arbitraria al ejecutar determinados JavaScripts.
  • Problemas en los que la aplicación podría estar expuesta a la vulnerabilidad de ejecución remota de código por inyección de SQL.
  • Problema en el que la aplicación podría estar expuesta a la vulnerabilidad de divulgación de información variable no inicializada y bloquearse.
  • Problemas en los que la aplicación podría estar expuesta a una vulnerabilidad de lectura fuera de límites o desbordamiento de búfer. Los atacantes podrían aprovechar para ejecutar código remoto o revelar información confidencial.

Fuente: BC