23 sep. 2020

MFA Bypass en Microsoft 365

Los investigadores de Proofpoint han detectado que un bug en MFA de Microsoft 365 permitía (ya fue solucionado) a los delincuentes informáticos acceder a las cuentas de Office 365. Hoy en día, MFA (autenticación multifactor) se está convirtiendo en un gran objetivo para los delincuentes, ya que se está convirtiendo rápidamente en una capa de seguridad imprescindible para las aplicaciones en la nube.

Los investigadores vulnerabilidades críticas en la implementación de la autenticación multifactor (MFA) en entornos de nube donde WS-Trust está habilitado. Estas vulnerabilidades podrían permitir a los atacantes eludir la MFA y acceder a las aplicaciones en la nube que utilizan este protocolo, en particular Microsoft 365. Debido a la forma en que está diseñado el inicio de sesión de Microsoft 365, un atacante podría obtener acceso completo a la cuenta del objetivo (incluido el correo, archivos, contactos, datos y más). Además, estas vulnerabilidades también podrían usarse para obtener acceso a varios otros servicios en la nube proporcionados por Microsoft, incluidos los entornos de producción y desarrollo como Azure y Visual Studio. 


 

Las vulnerabilidades fueron el resultado del "protocolo intrínsecamente inseguro" (WS-Trust) descrito por Microsoft combinado con varios errores en su implementación por parte de los IDP. En algunos casos, un atacante podría falsificar su dirección IP para omitir MFA mediante una simple manipulación del encabezado de solicitud. En otro caso, alterar el encabezado del agente de usuario hizo que el IDP identificara erróneamente el protocolo y creyera que estaba utilizando la autenticación moderna. En todos los casos, Microsoft registra la conexión como "Autenticación moderna" debido a que el exploit pasó del protocolo heredado al moderno.

Las vulnerabilidades requieren investigación, pero una vez descubiertas, pueden explotarse de forma automatizada. Son difíciles de detectar y es posible que ni siquiera aparezcan en los registros de eventos, sin dejar rastros ni indicios de su actividad. Dado que la MFA como medida preventiva se puede eludir, es necesario aplicar medidas de seguridad adicionales en forma de detección y corrección de compromisos de cuenta.

Los atacantes están pasando por alto el MFA utilizando algunos métodos comunes, ya que son muy fáciles de aplicar:

  • Phishing en tiempo real: los delincuentes utilizan el phishing en tiempo real, ya que implica robar el factor adicional del usuario. Hay algunos casos en los que los actores de la amenaza pueden generar un "proxy" entre el sitio web objetivo y la víctima. Ya que se vuelve bastante fácil para los actores de amenazas eludir el MFA ya que el proxy se parece al sitio web original.
  • Secuestro de canales: el secuestro de canales ataca el teléfono o la computadora de la víctima, habitualmente con software malicioso. Es por eso que el malware para PC puede usar el navegador y un ataques Man-in-the-Browser o inyecciones web para obtener conocimiento, y algunos malware secuestran el MFA del teléfono.
  • Protocolos heredados: el delincuentes informático usa el protocolo heredado porque es un proceso relativamente más económico y escalable para eludir MFA aprovecha los protocolos heredados para ataques a cuentas en la nube. Muchas empresas continúan permitiendo que los protocolos heredados sean capaces de admitir dispositivos o aplicaciones heredados, como fotocopiadoras o cuentas compartidas, como salas de conferencias.
Fuente: ProofPoint

Lokibot: alerta por alta propagación

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multi-Estado (MS-ISAC) han publicado una alerta sobre la propagación del malware LokiBot.

CISA ha observado un aumento notable en el uso de LokiBot por parte de ciberdelincuentes malintencionados desde julio de 2020. A lo largo de este período, el sistema de detección de intrusiones EINSTEIN de CISA, que protege las redes del poder ejecutivo civil federal, ha detectado actividad maliciosa persistente de LokiBot.

LokiBot es un malware de robo de información y credenciales, a menudo enviado como un archivo adjunto malicioso y conocido por ser simple pero efectivo, lo que lo convierte en una herramienta atractiva para una amplia gama de actores maliciososo en una amplia variedad de casos de uso de compromiso de datos.

LokiBot, también conocido como Loki PWS y Loki-bot, emplea malware troyano para robar información confidencial como nombres de usuario, contraseñas, billeteras de criptomonedas y otras credenciales.

  • El malware roba credenciales mediante el uso de un keylogger para monitorear la actividad del navegador y el escritorio (T1555).
  • LokiBot también puede crear una puerta trasera en los sistemas infectados para permitir que un atacante instale cargas útiles adicionales (T1546.008).
  • Los actores maliciosos generalmente usan LokiBot para atacar los sistemas operativos Windows y Android y distribuir el malware a través de correo electrónico, sitios web maliciosos, texto y otros mensajes privados (T1204.002).

Desde que se informó por primera vez sobre LokiBot en 2015, los ciber actores lo han utilizado en una variedad de aplicaciones específicas, incluidas las siguientes.

  • Febrero de 2020: Trend Micro identificó a los actores cibernéticos que usaban LokiBot para hacerse pasar por un lanzador de Fortnite, un videojuego popular. [1]
  • Agosto de 2019: los investigadores de FortiGuard SE descubrieron una campaña de malspam que distribuía cargas útiles de robo de información de LokiBot en un ataque de spearphishing contra una empresa de fabricación de EE. UU. [2]
  • Agosto de 2019: los investigadores de Trend Micro informaron que el código fuente del malware LokiBot estaba oculto en archivos de imagen distribuidos como archivos adjuntos en correos electrónicos de phishing. [3]
  • Junio ​​de 2019: Netskope descubrió que LokiBot se distribuía en una campaña de malspam utilizando archivos de imagen ISO adjuntos. [4]
  • Abril de 2019: Netskope descubrió una campaña de phishing utilizando archivos adjuntos de correo electrónico maliciosos con el malware LokiBot para crear puertas traseras en los sistemas Windows infectados y robar información confidencial. [5]
  • Febrero de 2018: Trend Micro descubrió que CVE-2017-11882 estaba siendo explotado en un ataque utilizando el servicio Windows Installer para entregar malware LokiBot. [6]
  • Octubre de 2017: SfyLabs identificó a los ciber actores que usaban LokiBot como un troyano bancario de Android que se convierte en ransomware. [7]
  • Mayo de 2017: Fortinet informó que actores maliciosos usaban un archivo PDF para difundir una nueva variante de LokiBot capaz de robar credenciales de más de 100 herramientas de software diferentes. [8]
  • Marzo de 2017: Check Point descubrió el malware LokiBot preinstalado en dispositivos Android. [9]
  • iciembre de 2016: los investigadores de Dr.Web identificaron una nueva variante de LokiBot dirigida a las bibliotecas centrales de Android. [10]
  • Febrero de 2016: los investigadores descubrieron que el troyano Android LokiBot infectaba los procesos centrales del sistema operativo Android. [11]

Fuente: CISA

22 sep. 2020

Desmantelan red "dark web" con 179 detenidos en 6 países

Un vasto operativo dirigido contra delincuentes de la "dark web", condujo a la detención de 179 presuntos vendedores ilícitos en Europa y Estados Unidos, anunció este martes Europol, la agencia policial europea.

La policía estadounidense detuvo a 121 personas, en tanto otros sospechosos fueron arrestados en Alemania, el Reino Unido, Holanda, Austria y Suecia, señaló Europol en un comunicado. Esta operación sigue a la eliminación en mayo del año pasado de Wall Street Market, el segundo mercado ilegal en línea más grande del mundo en la web oscura.

De acuerdo a la agencia con sede en La Haya, los sospechosos han participado en decenas de miles de ventas de productos ilícitos en la "web oscura", repleta de actividades ilegales. El operativo, en el que participaron varias agencias gubernamentales estadounidenses, incluido el FBI, desembocó en la incautación de más de 6,5 millones de dólares (5,5 millones de euros), en efectivo y en monedas virtuales.

La policía además confiscó unos 500 kg de drogas, entre ellos fentanilo, oxicodona y heroína, así como unas 60 armas de fuego, indicó Europol, que coordinó su trabajo con la unidad de Cooperación judicial europea, Eurojust. Dirigido por la Policía Criminal Federal Alemana (Bundeskriminalamt) con el apoyo de la Policía Nacional Holandesa (Politie) Europol, Eurojust y varias agencias gubernamentales de EE.UU., proporcionó a los investigadores datos cuantitativos y materiales para identificar a los sospechosos detrás de las cuentas de la web oscura utilizadas para actividades ilegales.

Este anuncio "dirige un mensaje contundente" a los delincuentes activos en la "web dark", destacó Edvardas Šileris, director del Centro europeo de ciberdelincuencia de Europol.

"El Internet oculto ya no está escondido y su actividad anónima ya no es anónima. Las fuerzas del orden están determinadas a perseguir a los delincuentes, poco importa dónde operen, ya sea en la calle o detrás de una pantalla de ordenador", añadió Šileris en el comunicado.

Fuente: Europol

Servidor de Bing expuso queries de búsqueda en una BD ElasticSearch

Un servidor back-end asociado con Microsoft Bing expuso datos confidenciales de los usuarios de aplicaciones móviles del motor de búsqueda, incluidas consultas de búsqueda, detalles del dispositivo y coordenadas GPS, entre otros. La base de datos de registro no incluye ningún dato personal, como nombres o direcciones.

La filtración de datos, descubierta por Ata Hakcil de WizCase el 12 de septiembre, es un caché masivo de archivos de registro de 6.5TB que se dejó para que cualquiera pudiera acceder sin contraseña, lo que potencialmente permite a los ciberdelincuentes aprovechar la información para llevar a cabo estafas de extorsión y phishing.

Según WizCase, se cree que el servidor Elastic estuvo protegido con contraseña hasta el 10 de septiembre, después de lo cual la autenticación parece haber sido eliminada inadvertidamente.

Después de que los hallazgos se divulgaran de forma privada al Centro de respuesta de seguridad de Microsoft, quien abordó la configuración incorrecta el 16 de septiembre.

Los servidores mal configurados han sido una fuente constante de filtraciones de datos en los últimos años, lo que ha dado lugar a la exposición de direcciones de correo electrónico, contraseñas, números de teléfono y mensajes privados.

"Basado en la gran cantidad de datos, es seguro especular que cualquiera que haya hecho una búsqueda en Bing con la aplicación móvil mientras el servidor ha estado expuesto está en riesgo", dijo Chase Williams de WizCase en una publicación del lunes. "Vimos registros de personas que realizaron búsquedas en más de 70 países".

Algunos de los términos de búsqueda incluían depredadores que buscaban pornografía infantil y los sitios web que visitaron después de la búsqueda, así como "consultas relacionadas con armas e interés en tiroteos, con historiales de búsqueda que incluían la compra de armas y términos de búsqueda de como matar a los comunistas"

Además de los detalles del dispositivo y la ubicación, los datos también consistían en la hora exacta en que se realizó la búsqueda utilizando la aplicación móvil, una lista parcial de las URL que los usuarios visitaron a partir de los resultados de la búsqueda y tres identificadores únicos, como ADID (un ID numérico asignado por Microsoft Advertising a un anuncio), "deviceID" y "devicehash".

Además, el servidor también sufrió lo que se llama un  "meow attack" al menos dos veces, un ciberataque automatizado que ha borrado datos de más de 14.000 instancias de bases de datos no seguras desde julio sin explicación.

Aunque el servidor con fugas no reveló nombres ni otra información personal, WizCase advirtió que los datos podrían explotarse para otros propósitos nefastos, además de exponer a los usuarios a ataques físicos al permitir que los delincuentes triangularan su paradero.

Fuente: THN

Maze: ransomware que usa máquinas virtuales

Los ciberdelincuentes siempre andan buscando nuevas fórmulas, incluso observan las de sus compañeros para realizar los ataques a sus víctimas. En esta ocasión, ha sido lo segundo y se han inspirado en la banda Ragnar Locker. Así con su ransomware Maze, al igual que los anteriores, han utilizado una máquina virtual para cifrar por completo los ordenadores y pedir el típico rescate de los ransomware.

El antecedente del ransomware Ragnar Locker

En mayo de este año, Sophos alertó sobre la presencia del ransomware Ragnar Locker que cifraba a través de de máquinas virtuales VirtualBox Windows XP para eludir el software de seguridad en el host final. Esa máquina virtual monta las unidades de un host como recursos compartidos remotos, después, ejecuta el ransomware en una máquina virtual para cifrar los archivos del recurso compartido. Debido a que la máquina virtual no está ejecutando ningún software de seguridad y está montando las unidades del host, el software de seguridad del host no puede detectar el malware y bloquearlo. Este ataque se inicia creando primero una carpeta de herramientas que incluye VirtualBox, un mini disco virtual de Windows XP llamado micro.vdi y varios ejecutables y scripts para preparar el sistema. Luego también, cuenta con el archivo vrun.bat, que montará cada unidad compartida, la cifrará y luego pasará a la siguiente unidad compartida con la máquina virtual. 

Como ya hemos explicado antes, el software de seguridad que se ejecuta en el host de la víctima no detecta el ejecutable del ransomware en la máquina virtual, y seguirá ejecutándose y cifrando los archivos. En el momento que finalice, la víctima encontrará una nota de rescate personalizada que explica que su empresa ha sido atacada y sus archivos encriptados por completo.

El ransomware Maze y su uso de las máquinas virtuales

Sophos, atendiendo la incidencia de un cliente, descubrió que el ransomware Maze había intentado implementar su ransomware dos veces. La máquina virtual utilizada por Maze estaba ejecutando Windows 7, mientras que la del Ragnar Locker como mencionamos antes, era de Windows XP. La investigación también reveló los siguientes datos:
  1. Encontraron varios scripts de instalación gracias los cuales se pudo descubrir su forma de actuación.
  2. Se descubrió que los atacantes habían pasado días creando listas de direcciones IP dentro de la red del objetivo. Para ello, utilizaron uno de los servidores de controlador de dominio del objetivo, y exfiltraron datos de Mega.nz.

Los ataques con el ransomware Maze empezaron mediante el uso de archivos por lotes e hicieron varios intentos por cifrar las máquinas en la red. A continuación, como no consiguieron su objetivo, crearon tareas programadas para ejecutar el ransomware basados en:

  • Windows Update Security.
  • Windows Update Security Patches.
  • Actualización de seguridad de Google Chrome.
En el tercer ataque, Maze implementó un archivo MSI que instaló el software VirtualBox VM en el servidor junto con una máquina virtual personalizada de Windows 7. En el disco raíz de ese disco virtual tenemos tres archivos asociados con el ransomware Maze:
  1. preload.bat
  2. vrun.exe
  3. payload (sin extensión de archivo), que es la carga útil real de Maze DLL.
Luego con la máquina virtual ya iniciada, el ransomware Maze, se ejecutaría un archivo por lotes llamado startup_vrun.bat que prepara la máquina con los ejecutables de Maze.
A continuación, la máquina se apaga y, una vez que se reinicia de nuevo, ejecutará vrun.exe para cifrar los archivos del host. Debido a que el cifrado se realiza en las unidades montadas del host, el software de seguridad no pudo detectar el comportamiento y detenerlo.

Comparativa de ransomware Maze respecto a Ragnar Locker

El ransomware Maze es más costoso de implementar en términos de tamaño de disco en comparación con el de Ragnar Locker. Aquí tenemos una tabla en el que se puede apreciar esto: Ragnar Locker se implementó dentro de una máquina virtual Oracle VirtualBox Windows XP. La carga útil del ataque fue un instalador de 122 MB con una imagen virtual de 282 MB. En cambio, los atacantes del ransomware Maze adoptaron un enfoque diferente utilizando una máquina virtual con Windows 7.


Esto provocó que aumentase significativamente el tamaño del disco virtual, pero también le agregó algunas funciones nuevas. En este caso pasamos a un instalador de 733 MB y a un disco duro virtual de 1.90 GB. Para finalizar, como habréis podido apreciar, los creadores del ransomware Maze han utilizado técnicas similares a las de otros ciberdelincuentes como los de Ragnar Locker. 

Fuente: RedesZone

21 sep. 2020

FinCEN: documentos con detalles de actividades sospechosas y dinero sucio

Los documentos filtrados de la Red de Control para los Delitos Financieros de los Estados Unidos (FinCEN) implican que los esfuerzos renovados de la agencia para identificar las transacciones ilícitas y el lavado de dinero pueden no ser suficientes. Pero en esta ocasión, las instituciones descritas como culpables no son exchanges de criptomonedas, sino algunos de los bancos más conocidos del mundo.

BuzzFeed News informó el 20 de septiembre que recibió miles de documentos que detallaban "informes de actividades sospechosas", o SARs, de los bancos a la FinCEN entre 2000 y 2017. Según el medio de comunicación, los informes "ofrecen una visión sin precedentes de la corrupción financiera mundial, los bancos que la permiten, y los organismos gubernamentales que observan cómo florece".

Algunas de las informaciones más polémicas de los SARs implican que la FinCEN tomó pocas o ninguna medida para impedir que los bancos permitieran el lavado de dinero de personas e instituciones sospechosas en algunas ocasiones.

"Las leyes que estaban destinadas a detener los delitos financieros han permitido que florezcan", declaró BuzzFeed News. "Mientras un banco presente un aviso de que puede estar facilitando una actividad criminal, se inmuniza a sí mismo y a sus ejecutivos de la persecución penal. La alerta de actividad sospechosa les da efectivamente un pase libre para seguir moviendo el dinero y recolectando las cuotas".

Las nuevas leyes AML para instituciones financieras

La noticia de la filtración se produce solo una semana después de que el ente regulador financiero anunciara que introduciría cambios radicales en sus normas contra el lavado de dinero (AML) destinadas a identificar y combatir las actividades financieras ilícitas mediante el mantenimiento de registros sólidos y requisitos de evaluación de riesgos.

Los reglamentos son una cosa; la aplicación de la ley es otra. BuzzFeed News declaró que, aunque el organismo de vigilancia financiera recibió millones de SARs en un período de 17 años de muchas instituciones financieras, no siempre fue capaz de obligar a los bancos a prevenir eficazmente el lavado de dinero.

Los SARs revelan que los problemas de lavado de dinero han penetrado profundamente en las instituciones financieras, y BuzzFeed informó que muchos bancos, entre ellos JPMorgan Chase, HSBC, Standard Chartered, Deutsche Bank y Bank of New York Mellon, permiten "un sistema financiero en la sombra" a través del cual los fondos ilícitos pueden viajar libremente.

Según los expertos, "algunos bancos tratan los SARs como una especie de tarjeta para salir de la cárcel, presentando alertas sobre una enorme variedad de transacciones sin llegar a detenerlas", informó el medio de comunicación. "En algunos casos, los bancos presentaron numerosos informes sobre los mismos clientes, detallando sus presuntos delitos a lo largo de los años mientras seguían acogiendo con agrado sus negocios".

"Las redes a través de las cuales el dinero sucio atraviesa el mundo se han convertido en arterias vitales de la economía global. Permiten un sistema financiero en la sombra tan amplio y tan descontrolado que se ha vuelto inextricable de la llamada economía legítima. Los bancos con nombres conocidos han ayudado a que así sea."

La conexión de Mt. Gox

Según TrustNodes, la institución que más informes de actividades sospechosas tuvo con la FinCEN en la última filtración fue Mayzus Financial Services (MFS), supuestamente un intermediario fiat del exchange de Bitcoin BTC-e. El exchange estaba supuestamente involucrado en el movimiento de fondos del infame hackeo de Mt. Gox, en el que los ladrones robaron 850,000 Bitcoin (BTC) en 2014. Las criptomonedas robadas valdrían hoy en día unos USD 9,300 millones.

MFS y sus subsidiarias, incluida MoneyPolo, han emitido varias declaraciones sobre la naturaleza de la relación, aunque la empresa ha declarado que BTC-e "nunca ha tenido ningún vínculo directo con nuestra empresa, ni estructural ni personal".

Se informa que hay más de 2.000 documentos en los últimos archivos filtrados de la FinCEN.

Fuente: CoinTelegraph

Vulnerabilidad en Firefox for Android permite abrir URL en la víctima

Es el momento de actualizar Firefox para Android a su versión 80 porque sufre un fallo de seguridad muy fácil de explotar. Permite a un atacante en la misma red WiFi abrir arbitrariamente cualquier URL en el navegador de la víctima, sin que este deba generar ninguna acción. El exploit Evil-SSDP disponible fue desarrollado para Firefox for Android versión 68.11.0 y anteriores, la aplicación de escritorio no tiene esta vulnerabilidad.

Se puede engañar al motor SSDP en Firefox para Android (68.11.0 y versiones anteriores) para que active los URI de Android sin interacción del usuario. Este ataque puede ser aprovechado por atacantes en la misma red WiFi y se manifiesta como aplicaciones en el dispositivo objetivo que se inician repentinamente, sin el permiso de los usuarios.

El objetivo simplemente tiene que tener la aplicación Firefox ejecutándose en su teléfono. No necesitan acceder a sitios web maliciosos ni hacer clic en enlaces maliciosos. No se requiere la instalación de una aplicación maliciosa o de un atacante en el medio. Simplemente pueden estar bebiendo café mientras están en el WiFi de un café, y su dispositivo comenzará a ejecutar URI de la aplicación bajo el control del atacante.

Simple y mágicamente, se abre una web elegida por el atacante en Firefox, y la única condición es estar en la misma red y que la víctima tenga corriendo Firefox. El fallo es simple. El atacante desde la misma red WiFi engaña al navegador indicándole que hay un servidor SSDP (Simple Service Discovery Protocol) con una configuración determinada.

Firefox siempre está buscando servidores SSDP en otros dispositivos, por si pudiera proyectar algo en ellos. Así que cuando encuentra el del atacante, este le responde con un XML con las especificaciones del dispositivo UPnP que puede encontrar en la red. Y en ellas puede ir la URL maliciosa que el atacante hace visitar a la víctima sin que esta tenga que hacer absolutamente nada. La página aparecerá visitada en su dispositivo.

El investigador InitString descubrió este error probando la versión de Firefox Mobile v79 e informó el problema directamente a Mozilla. Pudieron confirmar que la funcionalidad vulnerable no estaba incluida en la versión más reciente y abrieron algunos problemas para asegurarse de que el código ofensivo no se reintrodujera en un momento posterior.

Existe Prueba de Concepto muy sencilla de ejecutar y pruebas de su funcionamiento.

También es un buen momento para conocer la herramienta EvilSSDP que mezcla el spoofing con el phishing con un objetivo: capturar credenciales mediante el spoofing de dispositivos en una red empresarial.

Fuente: CyberSecurityPulse (by ElevenPaths)

CDRThief: malware para plataformas VoIP Chinas

La empresa ESET, ha publicado un informe en el cual analizan un malware que afecta a plataformas VoIP que utilizan switches por software softswitch. Un Softswitches (software switches) es un elemento clave en una red VoIP que actúa como conmutador de software y proporciona control sobre las llamadas VoIP. El malware está orientado para afectar a los softswitches de Linknat VOS2009 y VOS3000.

El nombre del malware viene dado porque roba datos de los Call Detail Records (CDR) de los softswitches, que son los registros donde se almacenan todos los datos de las llamadas realizadas: hora de las llamadas, duraciones, IPs, etc. Estos robos se realizan a través de consultas a la base de datos interna de estos softwitch.

Para realizar esto, el malware obtiene los datos de configuración de los archivos más comunes, que suelen estar en una de estas rutas:
  • /usr/kunshi/vos2009/server/etc/server_db_config.xml
  • /usr/kunshi/vos3000/server/etc/server_db_config.xml
  • /home/kunshi/vos2009/server/etc/server_db_config.xm
  • /home/kunshi/vos3000/server/etc/server_db_config.xm
  • /home/kunshi/vos2009/etc/server_db_config.xml
  • /home/kunshi/vos3000/etc/server_db_config.xml
  • /usr/kunshi/vos2009/server/etc/serverdbconfig.xml
  • /usr/kunshi/vos3000/server/etc/serverdbconfig.xml
Se cree que los desarrolladores de este malware tienen un nivel técnico muy alto, puesto que la clave de acceso a la base de datos está cifrada y para poder descifrarla han tenido que aplicar conocimientos avanzados de ingeniería inversa.

La muestra analizada fue compilada con un compilador de Go, y aunque no modificaron los símbolos de depuración, cifraron todas las cadenas de aspecto sospechoso para dificultar su análisis. Para esto utilizaron el algoritmo de cifrado XXTEA utilizando la clave de cifrado "fhu84ygf8643" para después codificarlos en Base64.

Como dato curioso sobre el malware respecto a otros malware, es que la puerta trasera de este malware no permite la ejecución de comandos de Shell, aunque se cree que en una futura actualización este comportamiento pueda ser añadido.

También resulta curioso que este malware esté hecho para afectar a estas plataformas tan específicas sin bloquearlas, dañarlas o secuestrarlas, por lo que se sospecha que una de los principales objetivos sea el ciberespionaje o el fraude por VoIP.

Who is calling? CDRThief targets Linux VoIP softswitches
https://www.welivesecurity.com/2020/09/10/who-callin-cdrthief-linux-voip-softswitches/

New CDRThief malware steals VoIP metadata from Linux softswitches
https://www.bleepingcomputer.com/news/security/new-cdrthief-malware-steals-voip-metadata-from-linux-softswitches/

 Fuente: Hispasec

18 sep. 2020

APT41: ataques a cadena de provisión y trabajo remoto

La comunidad científica de investigación en ciberseguridad ha observado cómo el grupo chino de ciberdelincuentes está tratando de comprometer dispositivos y aplicaciones de Cisco, Citrix y Zoho valiéndose de los momentos de incertidumbre que está dejando la pandemia de coronavirus. Y, es que, en estos momentos el riesgo empresarial ha crecido sobremanera debido a que la mayor parte de las compañías se ha visto obligada a confinar a sus empleados al teletrabajo.

Así, aseguran desde FireEye (informe), el grupo ha tratado de explotar, en los dos últimos meses, vulnerabilidades en Citrix NetScaler/ADC, Cisco routers, y Zoho ManageEngine Desktop Central en más de 75 clientes. Además, la compañía asegura que se trata de la campaña más amplia de ataques realizada por un grupo de origen chino en los últimos años.

Los investigadores creen que APT41 es un grupo respaldado por su estado, que opera desde 2012 y cuyas acciones parecen estar alineadas con los planes de desarrollo económico de China para los próximos cinco años. También conocida como Bario o Winnti, esta banda ha estado involucrada no solo en la recolección de inteligencia estratégica de multinacionales de diversos sectores, sino en ataques con motivos económicos que se dirigen, fundamentalmente, a la industria del juego online. Algunos expertos creen que ya cuenta con múltiples equipos para diferentes objetivos.

En el pasado, APT41 ya se especializó en ataques a la cadena de suministro de software. Éste cortó los entornos de desarrollo de varios proveedores para inyectar código maligno en herramientas a distribuir. Un ejemplo es el ataque de 2017 contra CCleaner que dio lugar a copias con virus de su herramienta de gestión de servidor empresarial Xmanager.

"APT41 aprovecha un arsenal de más de 46 familias y herramientas de malware diferentes para llevar a cabo sus misiones. Este grupo identifica y pone en peligro los sistemas intermediarios que proporcionan herramientas a las empresas", dicen desde FireEye.

Durante el último año, APT41 ha dirigido sus ataques a empresas que abracan los sectores de banca, defensa, gobierno, salud o telecomunicaciones, entre otras, llegando a afectar a más de 20 países. Para mitigar estos ataques se recomienda instalar los parches y actualizaciones de los servicios comprometidos lo más rápido posible.

Los siete miembros incriminados (2 ya han sido arrestados) son todos antiguos o actuales empleados de Chengdu 404 Network Technology, una compañía de seguridad cibernética que realiza pruebas de intrusión para personas o empresas para comprobar la vulnerabilidad de sus ordenadores. Los documentos de la acusación dicen que los siete hombres son parte de un grupo de hacking conocido como "APT41", "Barium", "Winnti", "Wicked Panda" y "Wicked Spider". Una vez dentro de una organización objetivo, los delincuentes informáticos robaron el código fuente, los certificados de firma de código de software, los datos de la cuenta del cliente y otra información que podrían usar o revender.

Pero según documentos del Departamento de Justicia de Estados Unidos, la compañía serviría en realidad para hacer "hacking". El gobierno alega que el grupo monetizó su acceso ilícito mediante la implementación de ransomware y herramientas de "criptojacking" (utilizando sistemas comprometidos para extraer criptomonedas como Bitcoin). Además, la pandilla apuntó a las empresas de videojuegos y sus clientes en un intento por robar artículos digitales de valor que podrían revenderse, como puntos, poderes y otros artículos que podrían usarse para mejorar la experiencia de juego.

Fuente: FireEye | Krebs on Security

17 sep. 2020

Muere una paciente del hospital Universitario de Düsseldorf tras un ataque de Ransomware

Traducción de las noticias alemanas gracias a @cibernicola, el cual es un seguidor y colaborador de Security News.

Esto fue confirmado por la Ministra de Ciencia Isabel Pfeiffer-Poensgen (independiente) en el parlamento estatal el jueves. En uno de los servidores afectados se encontró una carta de chantaje dirigida a la Universidad de Heinrich Heine.

La investigación de la muerte por la oficina del fiscal de Wuppertal

El propio hospital universitario también ha confirmado en un comunicado de prensa que las investigaciones han revelado un ataque de hackers como la causa del fallo informático. Sin embargo, según el hospital universitario, no hubo ninguna demanda concreta de rescate.

Según el Ministerio de Justicia de Renania del Norte-Westfalia, la fiscalía de Wuppertal está llevando a cabo una investigación sobre la muerte. Un paciente con peligro de muerte que iba a ser llevado a la clínica universitaria la noche del 11 al 12 de septiembre. "Sin embargo, esto no fue posible porque la clínica quedó paralizada debido a un ataque de delincuentes", dice el fiscal superior de Wuppertal, Wolf-Tilman Baumert. Por lo tanto, la ambulancia fue desviada a un hospital de Wuppertal. "Lo que llevó media hora más que el transporte a Düsseldorf. Desafortunadamente, el paciente murió inmediatamente después de ser admitido en el hospital de Wuppertal", dijo Baumert. Si se pudiera probar la complicidad de los hackers y fueran capturados, también se levantaría la acusación de asesinato.

¿El hospital universitario como un blanco al azar?

Pfeiffer-Poensgen dijo al parlamento estatal que la policía se había puesto en contacto con los chantajistas en respuesta a la carta de chantaje y explicó que los servidores en cuestión eran sistemas de un hospital de emergencia. Los chantajistas emitieron entonces la clave para desencriptar los servidores. Esto apoyó la tesis de que los chantajistas querían golpear la universidad con su acción, pero no el hospital, dijo el Ministro.

Como ha informado el hospital universitario, el agujero de seguridad se encontró en un software adicional "ampliamente utilizado" y "disponible comercialmente". Hasta que los expertos del hospital universitario pudieron cerrar esta brecha, había habido una ventana de tiempo en la que los autores podían haber penetrado en el sistema. Esto también significó que muchas empresas en todo el mundo se vieron amenazadas por la misma brecha de seguridad.

La Oficina Federal de Seguridad emite una advertencia

La Oficina Federal de Seguridad de la Información de Alemania ha sido consciente de la vulnerabilidad de los programas informáticos disponibles en el mercado desde enero de 2020. El BSI advierte de los ataques cibernéticos y, según sus propias declaraciones, está en estrecho contacto con el Hospital Universitario de Düsseldorf.

No se han perdido datos

Hasta ahora no hay pruebas de que los datos hayan sido destruidos irremediablemente. Tampoco había pruebas, según la situación actual, de que se hubieran recuperado datos específicos.

Desde hace una semana, los sistemas informáticos del hospital universitario funcionan mal o sólo de forma limitada. Desde entonces, no se pueden admitir nuevos pacientes, los datos deben ser intercambiados con lápiz y papel o a través de memorias USB. Según Pfeiffer-Poensgen, probablemente pasarán varias semanas antes de que los datos encriptados puedan ser restaurados.

Más dinero para la seguridad informática en los hospitales en el futuro

El gobierno estatal CDU/FDP quiere proporcionar más dinero para la seguridad de los sistemas informáticos en el futuro. Sin embargo, el procedimiento de solicitud aún no ha comenzado. Desde 2018, el gobierno estatal ha puesto a disposición dos millones de euros para la seguridad informática de cada hospital universitario, dijo el ministro. "Eso es muy poco, trabajaremos en ello". La razón de la hora actual en el parlamento estatal fue una moción de la facción de la AfD.

Corrección: en una primera versión del texto se hablaba de investigaciones sobre homicidio involuntario. El Ministerio de Justicia de Renania del Norte-Westfalia lo negó. Todavía era una investigación de muerte. Hemos corregido esto en la versión actual.

Ciberataque al Hospital Universitario de Düsseldorf: BSI advirtió de la vulnerabilidad

En enero, la Oficina Federal de Seguridad de la Información advirtió de las debilidades. El ataque al hospital universitario de Düsseldorf no fue el primero en un hospital de Renania del Norte-Westfalia.

El ataque de los hackers al hospital universitario de Düsseldorf podría haberse evitado. Como declaró la Oficina Federal de Seguridad de la Información (BSI), ya había advertido de las debilidades de los sistemas Citrix en enero.
Por lo tanto, la autoridad pide que se instalen urgentemente las actualizaciones disponibles desde enero para cerrar la brecha de seguridad. Las empresas y las autoridades no deberían posponer esto.

El último ataque muestra lo peligrosos que pueden ser los agujeros de seguridad. La BSI es consciente de la existencia de otras redes inadecuadamente aseguradas en las instalaciones, incluso en aquellas con infraestructura crítica.

Las infraestructuras críticas necesitan una alta seguridad informática

Después del ataque de los hackers, surge la pregunta fundamental: ¿Qué tan seguros son los hospitales? ¿Y yo como paciente tengo que preocuparme por mis datos? Porque: Düsseldorf no fue el primer caso.

Ya en 2016, los hackers paralizaron el sistema informático del Hospital Lukas en Neuss durante semanas. Este fue un intento de chantaje que el hospital no aceptó, también para demostrar que es capaz de mantener sus propias operaciones de atención de la salud.

Demasiado poco personal informático cualificado en los hospitales

Los hospitales se clasifican como Infraestructuras Críticas (KRITIS). Se trata de instituciones u organizaciones de gran importancia para el estado y la población. Por eso los hospitales también necesitan estructuras especiales de seguridad informática, dice el experto en ciberseguridad Norbert Pohlmann, profesor de la Westfälische Hochschule. Le dijo a la WDR: "En teoría, un ataque de hackers a la IT del hospital siempre puede ocurrir. Pero los hospitales deben asegurarse de que su software no pueda ser atacado desde el exterior".

Otros sectores que también pertenecen a la KRITIS - como los proveedores de energía - están mucho mejor posicionados en este sentido, dijo Pohlmann. El profesor universitario se queja de que aunque los hospitales prestan atención a un buen personal en el sector médico y de enfermería, los departamentos de informática de los hospitales no tienen suficiente personal cualificado. En otras palabras, muchos hospitales se han quedado dormidos en la digitalización y deben actuar ahora como muy tarde.

Los hospitales podrían cooperar en el área de la informática

Una solución podría ser que las clínicas compren software estándar pero que luego lo sellen desde el exterior de tal manera que los atacantes no puedan acceder a él. Los hospitales también podrían unir sus fuerzas y desarrollar un software mucho más seguro que el estándar. El software especial también es considerablemente más caro, dijo Pohlmann. Hasta un 20 por ciento más tendría que ser pagado por ello.

El gobierno del estado de NRW reaccionó al último ataque de hackers y quiere proporcionar más dinero para la seguridad de los sistemas informáticos en el futuro - probablemente 900 millones de euros, 630 millones de los cuales provendrán de fondos federales.

Traducción de las noticias alemanas gracias a @cibernicola, el cual es un seguidor y colaborador de Security News.

Fuente: Security News