La policía de la ciudad de Londres reveló el viernes que
arrestó a un adolescente de 17 años de Oxfordshire bajo sospecha de ataques
informáticos.
"En la noche del jueves 22 de septiembre de 2022, la policía de la ciudad
de Londres arrestó a un joven de 17 años en Oxfordshire bajo sospecha de
piratería y el mismo permanece bajo custodia policial".
El departamento dijo que el arresto se realizó como parte de una investigación
en asociación con la unidad de delitos cibernéticos de la Agencia Nacional
contra el Crimen del Reino Unido.
No se revelaron más detalles sobre la naturaleza de la investigación, aunque
se sospecha que la acción policial puede tener algo que ver con la reciente
serie de hacks de alto perfil dirigidos a
Uber
y
Rockstar
Games.
Se alega que ambas intrusiones fueron cometidas por el mismo actor de
amenazas, que se hace llamar Tea Pot (también conocido como
teapotuberhacker). Uber, por su parte, ha atribuido la violación a un atacante (o atacantes) que
cree que está asociado con la pandilla de extorsión
LAPSUS$, dos de los cuales enfrentan cargos por fraude.
En marzo de este año, BBC News informó sobre un joven de 16 años de Oxford conocido en línea como "White" o "Breachbase", que fue acusado de ser uno de los líderes del grupo LAPSUSU$. Esto también significa que el actor teapotuberhacker es probablemente el mismo
que también es conocido por los
alias White, Breachbase y WhiteDoxbin
y se cree que es el
"líder aparente de LAPSUS$".
No está claro de inmediato si estas acusaciones son válidas, pero de ser
ciertas, podrían explicar el último arresto por parte de los agentes del
orden.
Una vulnerabilidad en el lenguaje de programación Python que se ha pasado por
alto durante 15 años ahora vuelve a ser el centro de atención, ya que
probablemente afecta a más de 350.000 repositorios de código abierto y puede
conducir a la ejecución de código.
Revelado en 2007 y etiquetado como
CVE-2007-4559, el problema de seguridad nunca recibió la atención necesaria ni el parche,
la única mitigación proporcionada fue una actualización de la documentación
que advertía a los desarrolladores sobre el riesgo.
La vulnerabilidad se encuentra en el paquete tarfile de Python, en el
código que utiliza la función tarfile.extract() no sanitiazada o en los
valores predeterminados integrados de tarfile.extractall(). Es un error
de path traversal que permite a un atacante sobrescribir archivos de
forma arbitraria.
Los detalles técnicos de CVE-2007-4559 han estado disponibles desde el
informe inicial en agosto de 2007. Si bien no hay informes sobre el aprovechamiento del error en los ataques,
representa un riesgo en la cadena de suministro de software.
.
"Si no se realiza ninguna acción para limpiar los nombres de los archivos
antes de solicitar tarfile.extract() o tarfile.extractall(), se genera una
vulnerabilidad de path traversal, lo que permite que un actor malintencionado
acceda al sistema de archivos"
dijo Charles McFarland, investigador de vulnerabilidades en el Equipo de
investigación de amenazas avanzadas de Trellix
En 2007, menos de una semana después de la divulgación,
un mensaje de Python anunció que el problema estaba solucionado: la solución fue actualizar la documentación con una advertencia
"que podría ser peligroso extraer archivos de fuentes no confiables".
Estimación de 350.000 proyectos afectados
Al analizar el impacto, los investigadores de Trellix descubrieron que la
vulnerabilidad estaba presente en miles de proyectos de software, tanto de
código abierto como cerrado.
Los investigadores rastrearon un conjunto de 257 repositorios con mayor
probabilidad de incluir el código vulnerable y verificaron manualmente 175 de
ellos para ver si estaban afectados. Esto reveló que el 61% de ellos eran
vulnerables. La ejecución de una verificación automatizada en el resto de los
repositorios aumentó la cantidad de proyectos afectados al 65%, lo que indica
un problema generalizado.
Sin embargo, el pequeño conjunto de muestras solo sirvió como referencia para
obtener una estimación de todos los repositorios afectados disponibles en
GitHub.
"Con la ayuda de GitHub, pudimos obtener un conjunto de datos mucho más
grande para incluir 588.840 repositorios únicos que incluyen 'import
tarfile' en su código Python"
dijo Charles McFarland
Usando la tasa de vulnerabilidad del 61% verificada manualmente, Trellix
estima que hay más de 350.000 repositorios vulnerables, muchos de ellos
utilizados por herramientas de aprendizaje automático (por ejemplo, GitHub
Copilot) que ayudan a los desarrolladores a completar un proyecto más rápido.
En una
publicación del blog, el investigador de vulnerabilidades de Trellix, Kasimir Schulz, quien
redescubrió el error, describió los pasos simples para explotar CVE-2007-4559
en la versión de Windows de Spyder IDE, un entorno de desarrollo integrado
multiplataforma de código abierto para programación científica.
Los investigadores demostraron que la vulnerabilidad también se puede
aprovechar en Linux. Lograron escalar la escritura de archivos y lograr la
ejecución del código en el producto Polemarch,
Además de llamar la atención sobre la vulnerabilidad y el riesgo que
representa, Trellix también creó parches para poco más de 11.000 proyectos.
Las correcciones estarán disponibles en un branch del repositorio
afectado y se agregarán al proyecto principal a través un pull.
Debido a la gran cantidad de repositorios afectados, los investigadores
esperan que más de 70.000 proyectos reciban una solución en las próximas
semanas. Sin embargo, alcanzar la marca del 100% es un desafío difícil, ya que
los mantenedores también deben aceptar las solicitudes de fusión.
Después de probarlo durante dos meses, en junio, la operación de ransomware
LockBit lanzó la versión 3.0 de su cifrador, cuyo nombre en código es LockBit
Black. La nueva versión prometía
"Hacer que el ransomware volviera a ser grandioso", agregando nuevas
características contra el análisis, un programa de recompensas por errores de
ransomware y nuevos métodos de extorsión.
Sin embargo, parece que LockBit ha sufrido una brecha, con dos personas (o tal
vez la misma persona) filtrando el constructor LockBit 3.0 en Twitter.
Según el investigador de seguridad 3xp0rt, un usuario de Twitter recién registrado llamado "Ali Qushji" afirma
que su equipo hackeo los servidores de LockBit y encontró un generador para el
cifrador de de LockBit 3.0. VX-Underground también compartió
que un usuario llamado "protonleaks" los contactó el 10 de septiembre y
también compartió una copia del constructor. Sin embargo, VX-Underground dice
que "LockBitSupp", el representante público de la operación LockBit,
afirma que no fueron hackeados, sino que un desarrollador descontento filtró
el generador de ransomware privado.
El Builder permite que cualquiera inicie una banda de ransomware
Independientemente de cómo se filtró el generador de ransomware privado, esto
no solo es un duro golpe para la operación del ransomware LockBit, sino
también para las empresas, que verán un aumento en los actores de amenazas que
lo utilizan para lanzar sus propios ataques.
El constructor filtrado de LockBit 3.0 permite que cualquier persona construya
rápidamente los ejecutables necesarios para iniciar su propia operación,
incluido un cifrador, un descifrador y herramientas especializadas para
iniciar el descifrador de ciertas maneras.
El constructor consta de cuatro archivos, un generador de claves de cifrado,
un constructor, un archivo de configuración modificable y un archivo por lotes
para crear todos los archivos.
Al modificar el archivo de configuración, cualquier actor de amenazas puede
personalizarlo según sus propias necesidades y modificar la nota de rescate
creada para vincularla a su propia infraestructura.
No es la primera vez que se filtra en línea un generador de ransomware o el
código fuente, lo que genera un aumento de los ataques de otros actores de
amenazas que lanzaron sus propias operaciones.
En junio de 2021,
se filtró el generador de ransomware Babuk, que permite a cualquier persona crear encriptadores y desencriptadores para
Windows y VMware ESXi, que otros actores de amenazas utilizaron en los
ataques.
Las funciones extendidas de revisión ortográfica en los navegadores web Google
Chrome y Microsoft Edge transmiten datos de formulario, incluida información
de identificación personal (PII) y, en algunos casos, contraseñas, a Google y
Microsoft respectivamente.
Si bien esta puede ser una función conocida e intencionada de estos
navegadores web, genera inquietudes sobre lo que sucede con los datos después
de la transmisión y qué tan segura podría ser la práctica, particularmente
cuando se trata de campos de contraseña.
Tanto Chrome como Edge se envían con correctores ortográficos básicos
habilitados. Sin embargo, características como el corrector ortográfico
mejorado de Chrome o el editor de Microsoft, cuando el usuario las habilita
manualmente, presentan este riesgo potencial para la privacidad.
Spell-jacking: Ese es su corrector ortográfico enviando PII a Big Tech
En caso de que se activen las funciones mejoradas de revisión ortográfica, los
datos de su formulario se transmiten a Google y Microsoft, respectivamente.
Según el sitio web que visite, los datos del formulario pueden incluir PII,
incluidos, entre otros, Números de Seguro Social (SSN)/Números de Seguro
Social (SIN), nombre, dirección, correo electrónico, fecha de nacimiento
(DOB), información de contacto, información bancaria y de pago, y así
sucesivamente.
Josh Summitt, cofundador y director de tecnología de la empresa de seguridad
de JavaScript otto-js, descubrió este problema mientras probaba la detección
de comportamientos de secuencias de comandos de su empresa.
En los casos en los que Chrome Enhanced Spellcheck o Edge's Microsoft Editor
(spellchecker) esten habilitados,
"básicamente cualquier cosa ingresada en los campos de formulario de estos
navegadores se transmitía a Google y Microsoft. Además, si hace clic en
'Mostrar contraseña', el corrector ortográfico mejorado incluso envía su
contraseña",
explica en una publicación.
Para demostrarlo, otto-js compartió el ejemplo de un usuario que ingresa sus
credenciales en la plataforma Cloud de Alibaba en el navegador web Chrome,
aunque se puede usar cualquier sitio web para esta demostración.
Con el corrector ortográfico mejorado habilitado, y suponiendo que el usuario
haya tocado la función "mostrar contraseña", los campos del formulario,
incluidos el nombre de usuario y la contraseña, se transmiten a Google en
googleapis.com.
La compañía también ha compartido un video de demostración:
BleepingComputer también observó que las credenciales se transmitían a Google
al visitar sitios importantes como:
CNN: tanto el nombre de usuario como la contraseña cuando se usa 'mostrar
contraseña'
Facebook.com: nombre de usuario y contraseña al usar 'mostrar contraseña'
SSA.gov (Inicio de sesión del Seguro Social): solo campo de nombre de
usuario
Bank of America: solo campo de nombre de usuario
Verizon: solo campo de nombre de usuario
Solución HTML simple: 'spellcheck=false'
Aunque la transmisión de los campos del formulario se realiza de forma segura
a través de HTTPS, es posible que no esté muy claro qué sucede con los datos
del usuario una vez que llegan al tercero, en este ejemplo, el servidor de
Google.
Para revisar si el corrector ortográfico mejorado está habilitado en su
navegador Chrome, copie y pegue el siguiente enlace en su barra de
direcciones. A continuación, puede optar por activarlo o desactivarlo:
chrome://settings/?search=Enhanced+Spell+Check
"El texto escrito por el usuario puede ser información personal
confidencial y Google no lo adjunta a ninguna identidad de usuario y solo lo
procesa en el servidor temporalmente. Para garantizar aún más la privacidad
del usuario, trabajaremos para excluir las contraseñas de manera proactiva
del corrector ortográfico" continuó Google en su declaración.
En cuanto a Edge, Microsoft Editor Spelling & Grammar Checker es un
complemento del navegador
que debe instalarse explícitamente para que se produzca este comportamiento.
En respuesta al informe de otto-js, tanto AWS como LastPass mitigaron el
problema. En el caso de LastPass, se llegó al remedio agregando un simple
atributo HTML Spellcheck="false" al campo de la contraseña. Un campo de
entrada con 'corrector ortográfico' establecido explícitamente en falso no se
procesará a través del corrector ortográfico de un navegador web.
Irónicamente, observamos que el formulario de inicio de sesión de Twitter,
tiene el atributo HTML "spellcheck" del campo de contraseña establecido
explícitamente en True:
Como protección adicional, los usuarios de Chrome y Edge pueden desactivar el
corrector ortográfico mejorado (siguiendo los pasos mencionados anteriormente)
o eliminar el complemento Microsoft Editor de Edge hasta que ambas compañías
hayan revisado los correctores ortográficos extendidos para excluir el
procesamiento de campos confidenciales, como contraseñas.
Que el derecho a la protección de los datos personales
en la República Argentina es reconocido a través del artículo 43 de la
Constitución Nacional donde establece que: "Toda persona podrá interponer esta
acción [expedita y rápida de amparo] para tomar conocimiento de los datos a ella
referidos y de su finalidad, que consten en registros o bancos de datos
públicos, o los privados destinados a proveer informes, y en caso de falsedad o
discriminación, para exigir la supresión, rectificación, confidencialidad o
actualización de aquéllos. No podrá afectarse el secreto de las fuentes de
información periodística".
...
LA DIRECTORA DE LA AGENCIA
DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1º.-
Ábrase el Procedimiento de Elaboración Participativa de Normas, conforme lo
establecido en el Reglamento General para la Elaboración Participativa de
Normas, aprobado por el artículo 3° del Decreto Nº 1172/03 (Anexo V) en relación
con la propuesta de Anteproyecto de Ley de Protección de Datos Personales, que
como Anexo I (IF-2022-94737490-APN-AAIP) integra la presente Resolución,
formándose el expediente administrativo conforme lo dispuesto por el artículo 12
del Decreto Nº 1172/03.
La presente Ley tiene por objeto garantizar el ejercicio del derecho fundamental de las personas humanas a la protección de sus datos personales y su
privacidad, de conformidad a lo establecido en el artículo 43, párrafo
tercero, de la CONSTITUCIÓN NACIONAL, los convenios internacionales sobre
protección de datos personales y los tratados de derechos humanos en los
que la REPÚBLICA ARGENTINA sea parte.
Esta Ley establece las reglas para el
debido tratamiento de los datos personales y la autodeterminación
informativa, así como los derechos de las personas humanas y los deberes de
quienes realizan su tratamiento.
CAPÍTULO 1 - DISPOSICIONES GENERALES
CAPÍTULO 2 - TRATAMIENTO DE DATOS PERSONALES
CAPÍTULO 3 - TRANSFERENCIAS INTERNACIONALES
CAPÍTULO 4 - DERECHOS DE LOS TITULARES DE LOS DATOS
CAPÍTULO 5 - OBLIGACIONES DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO
CAPÍTULO 6 - PROTECCIÓN DE DATOS DE INFORMACIÓN CREDITICIA
En el hackeo afirma haber robado el código fuente de GTA 5 y 6, además de
filtrar en el foro GTAForums 90 vídeos reales del juego. RockStar está
haciendo un esfuerzo tremendo borrando los vídeos subidos Youtube, Mega,
Telegram, Twitter, Instagram, etc. Aún así, los vídeos están tan compartidos
que siguen apareciendo especialmente en Telegram. El atacante parece que uso
el mismo modus operandi que con Uber, accediendo al servidor Slack (utilizando
los credenciales robados de un trabajador) y también a la Wiki de Confluence.
La cuenta de Telegram del atacante fue borrada ayer por la noche, así como
numerosos canales de Telegram donde estaban filtrando los vídeos.
Los vídeos y parte del código fuente se filtraron por primera vez en GTAForums ayer, donde un actor de amenazas llamado "teapotuberhacker" compartió
un enlace a un archivo "videos.RAR" que contiene 90 vídeos robados. El
mensaje original fue eliminado y hoy ha sido restaurado pero eliminando todo
el material, enlaces, imágenes del código fuente, de los vídeos, etc.
Los vídeos parecen haber sido creados por los desarrolladores para depurar
algunas características del juego, tales como los ángulos de la cámara, el
seguimiento de los NPC y las localizaciones de Vice City. Además, algunos de
los vídeos contienen conversaciones habladas entre el protagonista y otros
NPC.
Después de que los miembros del foro mostraran su incredulidad de que el
hackeo fuera real, el ciberdelincuente afirmó que estaba detrás del reciente
ciberataque a Uber y ha filtrado capturas de pantalla del código fuente tanto
de Grand Theft Auto V como de Grand Theft Auto 6 como prueba adicional.
Rockstar Games comprometido
El ciberdelincuente afirma haber robado
"el código fuente y los activos de GTA 5 y 6, la versión de prueba de GTA
6", pero está intentando extorsionar a Rockstar Games para evitar que se
publiquen más datos. Por ese motivo, dice que está aceptando ofertas de más de 10.000 dólares por el código fuente y los activos de GTA V, pero no está
vendiendo el código fuente de GTA 6 de momento, aunque ha hecho público que podría hacerlo.
Aunque Rockstar Games no ha emitido declaración oficial de momento, Jason
Schreier, de
Bloomberg, ha confirmado que la filtración
es válida después de hablar con fuentes de Rockstar.
Desde entonces, los vídeos filtrados han llegado a YouTube y Twitter, y
Rockstar Games ha emitido avisos de infracción de la DMCA y solicitudes de
retirada para que los vídeos sean eliminados de las distintas plataformas.
Los vídeos filtrados en los que aparece un personaje jugable femenino se
alinean con la información que hasta ahora teníamos sobre GTA VI. En julio
Bloomberg avanzó que el título iba a tener dos protagonistas y que uno de
ellos iba a ser una mujer latina llamada Lucia.
El protagonista masculino aparece con una camiseta negra o sin mangas. La
historia de ambos personajes está influenciada por Bonnie y Clyde. Por otro
lado, hay clips donde vemos Vice City Metro, lo que nos indica que GTA VI se
ambienta en una versión ficticia de Miami como GTA: Vice City.
Una falla de día cero en la última versión de un complemento premium de
WordPress conocido como WPGateway se está explotando activamente en la
naturaleza, lo que podría permitir que los actores malintencionados se
apoderen por completo de los sitios afectados.
Registrado como CVE-2022-3180 (puntaje CVSS: 9.8), el problema se está armando
para agregar un usuario administrador malicioso a los sitios que ejecutan el
complemento WPGateway, señaló la empresa de seguridad de WordPress, Wordfence.
"Parte de la funcionalidad del complemento expone una vulnerabilidad que
permite a los atacantes no autenticados insertar un administrador malicioso",
dijo Ram Gall, investigador de Wordfence, en un aviso.
WPGateway se factura como un medio para que los administradores del sitio
instalen, respalden y clonen complementos y temas de WordPress desde un
tablero unificado.
El indicador más común de que un sitio web que ejecuta el complemento se ha
visto comprometido es la presencia de un administrador con el nombre de
usuario "rangex". Además, la aparición de solicitudes a
"/wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1"
en los registros de acceso es una señal de que el sitio de WordPress ha sido
atacado utilizando la falla, aunque no implica necesariamente una violación
exitosa.
Wordfence dijo que bloqueó más de 4,6 millones de ataques que intentaron
aprovechar la vulnerabilidad contra más de 280.000 sitios en los últimos 30
días.
Se han retenido más detalles sobre la vulnerabilidad debido a la explotación
activa y para evitar que otros actores se aprovechen de la deficiencia. En
ausencia de un parche, se recomienda a los usuarios que eliminen el
complemento de sus instalaciones de WordPress hasta que haya una solución
disponible.
El desarrollo se produce días después de que Wordfence advirtiera sobre el
abuso en la naturaleza de otra falla de día cero en un complemento de
WordPress llamado BackupBuddy.
La divulgación también llega cuando Sansec reveló que los actores de amenazas
irrumpieron en el sistema de licencias de extensión de FishPig, un proveedor
de integraciones populares de Magento-WordPress, para inyectar un código
malicioso diseñado para instalar un troyano de acceso remoto llamado Rekoobe.
Según el New York Times, los atacantes hackearon la cuenta de Slack de un empleado y la usaron para
informar al personal interno que
"la empresa había sufrido una violación de datos" y proporcionaron una
lista de bases de datos internas presuntamente pirateadas.
"Anuncio que soy un hacker y Uber ha sufrido una violación de datos",
afirma el mensaje.
La empresa se vio obligada a desconectar sus sistemas internos de
comunicaciones e ingeniería para mitigar el ataque e investigar la intrusión.
Los atacantes supuestamente comprometieron varios sistemas internos y
proporcionaron imágenes de correo electrónico, almacenamiento en la nube y
repositorios de códigos a The New York Times y algunos investigadores de
seguridad cibernética.
"Prácticamente tienen acceso completo a Uber",
dijo Sam Curry, un ingeniero de seguridad de Yuga Labs que mantuvo correspondencia con la
persona que afirmó ser responsable de la violación.
"Este es un compromiso total, por lo que parece".
Los atacantes también tenían acceso al programa de recompensas de HackerOne de
la empresa, lo que significa que tenían acceso a todos los informes de errores
enviados a investigadores de seguridad y esta información es muy importante
porque los actores de amenazas podrían usarla para lanzar más ataques. En este
momento no es posible descartar que los informes incluyan detalles técnicos
sobre algunas fallas que aún no han sido reparadas por la empresa.
HackerOne ha deshabilitado inmediatamente el programa de recompensas por
errores de Uber bloqueando cualquier acceso a la lista de problemas
informados. El atacante afirma haber comprometido completamente a Uber y ha publicado
capturas de pantalla de las siguientes plataformas:
Slack
Google Workspace (admin)
Cuentas de AWS
HackerOne (admin)
SentinelOne EDR
VMware vSphere
Dashboards Financieros
"No tenemos una estimación en este momento de cuándo se restablecerá el
acceso completo a las herramientas, así que gracias por su paciencia", dijo Latha Maripuri, directora de seguridad de la información de Uber, a
NYT por correo electrónico.
Se instruyó a los empleados para que no usaran el servicio de
mensajería interna Slack
y algunos de ellos, hablando bajo condición de anonimato, dijeron al NYT que
otros sistemas internos eran inaccesibles.
El
atacante dice tener 18 años
y agregó que Uber tenía poca seguridad, en el mensaje enviado a través de
Slack también dijo que los conductores de Uber deberían recibir un pago más
alto. Esta no es la primera vez que la empresa sufre una brecha de seguridad.
En 2017, la noticia de
otra filtración de datos
que tuvo lugar en 2016 fue noticia.
En otra imagen compartida, se muestran algunas de las credenciales a
las que el atacante tuvo acceso, incluso se filtraron las credenciales de la
"Cuenta de servicio de respuesta de seguridad". Para aquellos que no saben qué
son las cuentas de este estilo, se utilizan durante emergencias críticas, como
una brecha de seguridad importante.
En noviembre de 2017, el CEO de Uber, Dara Khosrowshahi, anunció que los
delincuentes informáticos irrumpieron en la base de datos de la empresa y
accedieron a los datos personales (nombres, direcciones de correo
electrónico y números de teléfono celular) de 57 millones de sus usuarios,
la revelación desconcertante fue que la empresa encubrió el hackeo durante
más de un año.
Los atacantes accedieron también a los nombres y números de licencia de
conducir de aproximadamente 600.000 de sus conductores en los Estados
Unidos.
El hackeo ocurrió en 2016, fue fácil para los atacantes que según un
informe publicado por Bloomberg, obtuvieron credenciales de un sitio privado de GitHub utilizado por el
equipo de desarrollo de la empresa. Los delincuentes informáticos intentaron
chantajear a Uber y exigieron 100.000 dólares a la empresa a cambio de
evitar la publicación de los datos robados.
En lugar de notificar la violación de datos a los clientes y a las fuerzas
del orden, como exige la ley de notificación de violaciones de seguridad de
datos de California, el jefe de seguridad de la información, Joe Sullivan,
ordenó pagar el rescate y cubrir la historia destruyendo cualquier
evidencia. El pago
se disfrazó
como un premio de recompensa por errores completo con acuerdos de
confidencialidad firmados.
¿Datos personales comprometidos?
La empresa de viajes
ha informado
que "no hay evidencia" de que el perpetrador haya accedido a datos
confidenciales de los usuarios, como los historiales de viajes, datos
personales o de las tarjetas.
Todos los servicios funcionan correctamente y la empresa ha restablecido el
uso del software interno que eliminó al descubrir la infracción.
Google ha abusado de su posición dominante, ya que impuso restricciones
contractuales anticompetitivas a los fabricantes de dispositivos móviles y a
los operadores, que tenían como objetivo proteger y reforzar su posición en el
ámbito de los servicios de búsqueda general.
La multa llegó directamente desde la Comisión Europea por impedir a los
consumidores beneficiarse de una competencia efectiva en un ámbito tan
importante como el móvil. Esto se traduce en que Google impone a los
fabricantes que quieren hacer uso de Android de manera plena a cumplir
diferentes requisitos. De esta manera se pasa a tener una posición
completamente dominante, no dejando la libertad necesaria a los usuarios para
poder disfrutar de una competencia real.
Para poder afirmar esto, la Comisión Europea afirmó que Google obliga siempre
a los fabricantes a preinstalar Google Search y Google Chrome en los
dispositivos si se quiere tener la Play Store en los dispositivos con la
correspondiente licencia. Además, también se han demostrado diferentes pagos
de Google a los fabricantes para tener instaladas en los dispositivos de
manera exclusiva la aplicación Google.
La Comisión Europea comenzó a indagar sobre las prácticas comerciales de
Google en 2013 y cinco años más tarde anunció la sanción por el abuso de su
posición dominante. Tras un largo proceso de recursos por parte de Google a la
sanción impuesta, finalmente la justicia europea no les ha dado la razón
confirmando la sanción, aunque se ha rebajado hasta los 4.125 millones de
euros.
Google también ha impedido a los fabricantes a utilizar versiones adaptadas de
Android sin que tengan su aprobación. En el caso de hacerlo, no tendrían el
derecho a emplear los servicios y las aplicaciones de Google de manera libre.
Esto es claramente una práctica de monopolio que ata a los fabricantes a usar
la misma versión de Android base si quieren ofrecer los servicios de Google
que son muy reclamados por los usuarios.
El TGUE, así,
"estima que procede reformar la decisión impugnada a los efectos de fijar
el importe de la multa que ha de imponerse a Google por la infracción
cometida en 4.125 millones de euros. A tal fin, al igual que la Comisión, el
Tribunal considera adecuado tomar en consideración el carácter deliberado de
la aplicación de las prácticas infractoras y el valor de las ventas
pertinentes realizadas por Google en el último año de su participación
completa en la infracción. En cambio, por lo que atañe a la consideración de
la gravedad y de la duración de la infracción, el Tribunal estima adecuado,
por las razones expuestas en la sentencia, tener en cuenta la evolución en
el tiempo de los distintos aspectos de la infracción y la complementariedad
de las prácticas en cuestión para evaluar el impacto de los efectos de
expulsión constatados fundadamente por la Comisión en la decisión
impugnada".
La Comisión Europea también impuso que Google debía acabar con estas
prácticas. Se espera de esta manera que Android tenga una competencia real en
el mercado sin que existan trabas a la hora de emplear las aplicaciones de
Google. De esta manera, en un futuro se explora la necesidad de reducir la
cuota de mercado que puede llegar a tener Android en Europa con la libertad de
los fabricantes para crear nuevos sistemas operativos.
El equipo de inteligencia de amenazas de Microsoft asegura que el grupo
DEV-0270 (también conocido como
Nemesis Kitten o Phosphorus) ha estado abusando de la función BitLocker de Windows en sus ataques y la
ha usado para cifrar los datos de los discos de sus víctimas con la posterior
petición de rescate a las mismas.
Los analistas de Microsoft comentan que los atacantes aprovechan cada vez más
los LOLBINs (Living Off the Land Binaries), una técnica que se basa en aprovecharse de binarios propios del sistema
para ocasionar un importante daño en un ataque, con una tasa de detección
relativamente baja) en sus ataques.
En este caso concreto se usa BitLocker, una función de protección de datos que
proporciona cifrado de volumen completo en dispositivos que ejecutan Windows
10, Windows 11 o Windows Server 2016 y superior. Según la investigación, el
grupo utiliza DiskCryptor, un sistema de cifrado de disco de código abierto
para Windows que permite el cifrado completo del disco duro de un dispositivo.
Desde el acceso de los atacantes a los equipos hasta la aparición de la nota
de rescate de los equipos bloqueados pasaron aproximádamente dos días y en las
notas se exige el pago de la cantidad de 8.000 dólares a cambio de las claves
de desbloqueo de la información.
Para el descubrimiento de controladores de dominio, los atacantes hacen uso de
los siguientes comandos de PowerShell y WMI:
Microsoft dice que este grupo de atacantes es una división del grupo
"Phosphorus" respaldado por Irán (conocido también como Charmin Kitten y
APT35) conocios por dirigir sus ataques a víctimas de alto perfil vinculadas a
gobiernos, ONGs y organizaciones de defensa de todo el mundo.
El grupo DEV-0270 está siendo operado por una empresa iraní conocida bajo dos
alias: Secnerd (secnerd[.]ir) y Lifeweb (lifeweb[.]it).
Estas organizaciones también están vinculadas a Najee Technology Hooshmand
(ناجی تکنولوژی هوشمند), ubicada en Karaj, Irán, según las investigaciones.
El grupo suele ser oportunista en su orientación: escanean Internet para
encontrar servidores y dispositivos, lo que hace que las organizaciones con
servidores y dispositivos vulnerables y detectables sean susceptibles a estos
ataques.
Dado que muchos de los ataques de DEV-0270 han explotado vulnerabilidades
conocidas en Exchange (ProxyLogon) o Fortinet (CVE-2018-13379), se recomienda
a las empresas parchear sus servidores y equipos para bloquear los intentos de
explotación y los posteriores ataques de ransomware.
Para estos casos, herramientas como SANA (Servicio de Análisis, Notificaciones
y Alertas de seguridad), creada por Hispasec, ayudan a las empresas a
monitorizar y gestionar las potenciales vulnerabilidades de sus sistemas.
