2 jun 2023

Parenting: NO lo hagas, respeta a tus hijos, no seas estúpido,

Un estudio de la Universitat Oberta de Catalunya (UOC) deja un aviso muy importante a los padres para que no cuelguen imágenes de sus hijos menores de edad en las redes sociales. El estudio lo deja claro: no hay que compartir en redes sociales fotografías, vídeos u otra información. El 72% del material incautado a pedófilos y agresores en operaciones policiales son imágenes de este tipo.

Es decir, que les encuentran en muchos casos, no porno, ni desnudos, sino imágenes cotidianas de menores no sexualizados que localizan en las redes.

Esto es lo que se conoce como sharenting en inglés, del verbo 'compartir' (share) y 'paternidad' (Parenting / Sharenting). Un fenómeno que se resume en compartir informaciones, vídeos y fotos (de cualquier tipo) de nuestros hijos en Internet y redes sociales.

"No respetamos la intimidad de nuestros hijos y esto afecta a su identidad digital futura, pero no solo a eso: derivado de esa sobreexposición, pueden darse suplantación de identidad, fraude en línea, victimización por grooming o cyberbullyng o que ese contenido se convierta en material de explotación sexual infantil", advierte Irene Montiel, profesora de los Estudios de Derecho y Ciencia Política de la Universitat.

En menos de 10 años, los contenidos de abuso sexual infantil en la red se han incrementado un 1.815%, pasando en 2013 de 13.343 páginas web a 255.571 enlaces en 2022, según datos recientes de la Internet Watch Foundation. Entre este material, hay fotos de violaciones e imágenes sexualizadas de menores, pero muchas otras no lo son.

La foto de la primera ecografía, la del nacimiento, la actuación de final de curso. Hay una sobreexposición de los menores en Internet. El 89% de las familias comparten una vez al mes contenidos de sus hijos en Facebook, Instagram o TikTok. Según este estudio universitario, casi una cuarta parte de los niños tiene presencia en las redes antes de nacer.

Y es que el 23% de los niños tiene presencia en internet incluso antes de nacer, porque sus padres publican imágenes de las ecografías durante el embarazo. Este porcentaje se dispara rápidamente, hasta el punto de que el 81% está en Internet antes de cumplir los 6 meses, según una encuesta elaborada por la firma  AVG en 10 países.

Los investigadores lamentan que no se respete su intimidad ni su identidad digital futura y alertan de varios peligros, entre ellos, que esas fotos y videos inocentes se conviertan en material de explotación infantil.

La seguridad total no existe al compartir imágenes de nuestros hijos en redes sociales, no hay posibilidad de hacer un buen sharenting o de aplicar medidas para que así sea. La decisión está entre publicar o no publicar imágenes de niños y niñas.

Fuente: TheObjective

1 jun 2023

Espionaje mediante nueva herramienta Graphite (similar a Pegasus)

Los programas de espionaje o más conocidos como spyware, son de uso totalmente habitual en la administración pública para obtener información clave de cara a la seguridad nacional. Todos los países del mundo los utilizan y se benefician de ellos y no hay nadie que no esté siendo espiado. Después de la controversia de Pegasus, los Estados Unidos tendrían su sucesor: Graphite.

El gobierno de EE.UU. prohibió el uso del spyware Pegasus de NSO hace 18 meses, pero un nuevo informe dice hoy que al menos una agencia gubernamental está usando un malware muy similar de una empresa rival: Paragon Graphite.

Un informe del Financial Times basado en un informe anterior del NY Times afirma que el gobierno de EE.UU. utiliza Graphite en Agencias del Gobierno. Este backdoor es capaz de atravesar subrepticiamente las protecciones de los teléfonos inteligentes modernos y evade el cifrado de las aplicaciones de mensajería como Signal o WhatsApp, a veces recolectando los datos de las copias de seguridad en la nube, como lo hace Pegasus.

Aunque el mensaje es totalmente catastrofista, realmente no nos espían a todo el mundo en tiempo real por el hecho de que no habría suficiente capacidad para pensar todos los datos que generamos todos los seres humanos del mundo y además almacenarlos punto el sobrecoste sería enorme e inviable cuanto más bien se utiliza para casos concretos. Por ejemplo espiar grupos terroristas o criminales y elementos subversivos a nivel político. Sin embargo, dichos programas son un arma de doble filo, ya que pueden caer en malas manos.

En concreto el spyware estaría siendo utilizado por la DEA, la agencia que actúa contra el tráfico de drogas en los Estados Unidos, y ha sido desarrollado por la empresa Paragon. Sus capacidades son las mismas que el polémico Pegasus que se hizo servir para espiar a varias personalidades políticas y mediáticas de nuestro país, y, que tanta polémica armo en su día. Es decir, tiene la capacidad de saltarse las protecciones de sistemas operativos como Android e iOS. Aparte de evadir por completo la encriptación de mensajes de programas de mensajería instantánea como WhatsApp y muchos otros.

Como es obvio y ocurre en estos casos, la DEA no ha dado ninguna confirmación sobre el uso Graphite para obtener información de los terminales de las personas en su lucha contra el tráfico de drogas. Sin embargo, el tema ha salido a la luz después de que el congresista Adam Schiff, el presidente del comité de inteligencia de la cámara, les enviase una carta para preguntarles sobre la compra del programa espía. Por lo que todo ello significaría que tras la prohibición de Pegasus, la administración estadounidense habría adoptado este spyware para realizar sus labores de inteligencia.

Una exigencia que tienen encima de la mesa los fabricantes de equipos informáticos, por parte de los gobiernos de sus diferentes países, es el acceso a puertas traseras del sistema. Sea cual sea, y esto les da ventaja para desarrollar programas como Graphite o Pegasus. No olvidemos qué dichas Backdoors en nuestros móviles hola u ordenadores no están descubiertas a posteriori, sino que forman parte del diseño no solo del software, puesto que muchas veces el hardware también tiene dichos accesos ocultos.

La DEA no hizo comentarios directamente, pero se ha afirmado que la agencia compró Graphite para que la usen los socios encargados de hacer cumplir la ley en México para luchar contra los cárteles de la droga. Un portavoz de la DEA solo dijo que utiliza "todas las herramientas de investigación legales disponibles para perseguir a los cárteles con base en el extranjero y a las personas que operan en todo el mundo responsables de las muertes por envenenamiento de drogas".

El FSB ruso también denuncia supuesto espionaje

El Servicio Federal de Seguridad de la Federación de Rusia, junto con el Servicio Federal de Seguridad de Rusia, descubrió una campaña de inteligencia de servicios especiales estadounidenses realizada utilizando dispositivos móviles de Apple.

Durante el estudio, se identificaron anormalidades que son características de teléfonos móviles Apple y debido al trabajo de un malware previamente desconocido y utilizando vulnerabilidades de software supuestamente proporcionadas por el fabricante.

Se descubrió que varios miles de teléfonos de esta marca estaban infectados. Al mismo tiempo, además de los suscriptores nacionales, los hechos de infección de números extranjeros y suscriptores que usan tarjetas SIM registradas en misiones diplomáticas y embajadas en Rusia, incluidos los países del bloque de la OTAN y el espacio postsoviético, así como Israel y China.

Fuente: ElChapuzas | FSB

31 may 2023

Los deepfakes de IA son cada vez mejores para verificar KYC

La tecnología deepfake utilizada por los defraudadores para eludir la verificación Know Your Customer (KYC) en los exchanges de criptomonedas y bancos sólo va a ser más avanzada, ha advertido el jefe de seguridad de Binance.

Los deepfake se realizan con herramientas de inteligencia artificial que utilizan el aprendizaje automático para crear audio, imágenes o vídeos convincentes con la imagen de una persona. Aunque esta tecnología tiene usos legítimos, también puede utilizarse para estafas y engaños.

La IA deepfake representa una grave amenaza para la humanidad, y ya no es sólo una idea descabellada. Hace poco me topé con un vídeo que muestra un deepfake de @cz_binance, y es aterradoramente convincente.

En declaraciones a Cointelegraph, el jefe de seguridad de Binance, Jimmy Su, dijo que había habido un aumento de los estafadores que utilizan la tecnología para tratar de pasar los procesos de verificación de clientes del exchange. "El delincuente busca una foto normal de la víctima en algún lugar de Internet. A partir de ahí, y utilizando herramientas de deepfake, son capaces de producir vídeos para burlar el proceso."

Su dijo que las herramientas se han vuelto tan avanzadas que incluso pueden responder correctamente a instrucciones de audio diseñadas para comprobar si el solicitante es un humano y pueden hacerlo en tiempo real. "Algunas de las verificaciones requieren que el usuario, por ejemplo, parpadee con el ojo izquierdo o mire a la izquierda o a la derecha, mire hacia arriba o hacia abajo. Los deepfakes están hoy lo suficientemente avanzados como para poder ejecutar esas órdenes", explicó.

Sin embargo, Su cree que los deepfakes aún no han alcanzado el nivel necesario para engañar a un trader humano."Cuando vemos esos vídeos, hay ciertas partes que podemos detectar con el ojo humano", por ejemplo, cuando el usuario debe girar la cabeza hacia un lado, explica Su.
"La IA las irá superando con el tiempo. Así que no es algo en lo que podamos confiar siempre."

En agosto de 2022, el jefe de comunicaciones de Binance, Patrick Hillmann, advirtió que un "sofisticado equipo de hackers estaba utilizando sus anteriores entrevistas de noticias y apariciones en televisión para crear una versión deepfake de él". La versión deepfake de Hillmann se desplegó entonces para llevar a cabo reuniones de Zoom con varios equipos de proyectos de criptomonedas, prometiendo una oportunidad para enlistar sus activos en Binance, por un precio, por supuesto.

"Ese es un problema muy difícil de resolver", dijo Su, cuando se le preguntó sobre cómo combatir este tipo de ataques. "Aunque podamos controlar nuestros propios vídeos, hay vídeos ahí fuera que no son de nuestra propiedad. Así que una cosa, de nuevo, es la educación del usuario".

En un post del blog de Binance se incluye una sección sobre ciberseguridad. Binance dijo que utiliza algoritmos de IA y aprendizaje automático para sus propios fines, incluida la detección de patrones inusuales de inicio de sesión y patrones de transacción y otra "actividad anormal en la plataforma".

Fuente: CoinTelegraph

30 may 2023

Lazarus apunta a servidores IIS para el acceso inicial y mediante DLL hijacking

Los notorios delincuentes informáticos respaldados por el estado de Corea del Norte, conocidos como Lazarus Group, ahora tienen como objetivo los servidores web vulnerables de Windows Internet Information Services (IIS) para obtener acceso inicial a las redes corporativas.

Una DLL es un archivo de biblioteca que contiene funciones que pueden ser utilizadas por más de un programa al mismo tiempo. Cuando se inicia una aplicación, en general intentan cargar las DLL requeridas para su funcionamiento. Para ello, busca en carpetas específicas de Windows la DLL y, cuando la encuentra, la carga. Sin embargo, en algunos casos las aplicaciones de Windows priorizarán las DLL en la misma carpeta que el ejecutable, cargándolas antes que todas las demás.

El secuestro de DLL es cuando un actor de amenazas crea una DLL maliciosa con el mismo nombre que una legítimo y lo coloca en la ruta de búsqueda inicial de Windows, generalmente en la misma carpeta que el ejecutable. Cuando se inicie ese ejecutable, cargará la DLL de malware en lugar de la legítima y ejecutará cualquier comando malicioso dentro de ella.

Lazarus tiene una motivación principalmente financiera, y muchos analistas creen que las actividades maliciosas de estos delincuentes ayudan a financiar los programas de desarrollo de armas de Corea del Norte. Sin embargo, el grupo también ha estado involucrado en varias operaciones de espionaje.

La última táctica de apuntar a los servidores Microsoft IIS fue descubierta por investigadores de Corea del Sur en el Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC).

Los servidores web de Internet Information Services (IIS) son utilizados por organizaciones de todos los tamaños para hospedar contenido web como sitios, aplicaciones y servicios, como Outlook en la Web de Microsoft Exchange.

Es una solución flexible que ha estado disponible desde el lanzamiento de Windows NT, compatible con los protocolos HTTP, HTTPS, FTP, FTPS, SMTP y NNTP. Sin embargo, si los servidores están mal administrados o desactualizados, pueden actuar como puntos de entrada a la red para los delincuentes informáticos.

Anteriormente, Symantec informó sobre atacantes que implementaban malware en IIS para ejecutar comandos en los sistemas violados a través de solicitudes web, evadiendo la detección de las herramientas de seguridad.

Un informe separado reveló que un grupo de hacking llamado Cranfly estaba empleando una técnica desconocida de control de malware mediante el uso de registros del servidor web IIS.

Los ataques de Lazarus a IIS

Lazarus primero obtiene acceso a los servidores IIS usando vulnerabilidades conocidas o configuraciones incorrectas que permiten a los actores de amenazas crear archivos en el servidor IIS usando el proceso w3wp.exe.

Luego, los atacantes colocan el archivo 'Wordconv.exe', un archivo legítimo que forma parte de Microsoft Office, una DLL maliciosa 'msvcr100.dll' y un archivo codificado llamado 'msvcr100.dat', en la misma carpeta.

Al iniciar 'Wordconv.exe', el código malicioso en la DLL se carga para descifrar el ejecutable cifrado con Salsa20 de msvcr100.dat y ejecutarlo en la memoria, donde las herramientas antivirus no pueden detectarlo.

ASEC ha encontrado varias similitudes de código entre 'msvcr100.dll' y otro malware que observó el año pasado, 'cylvc.dll', que fue utilizado por Lazarus para deshabilitar programas anti-malware usando la técnica de "bring your own vulnerable driver".

Por lo tanto, ASEC considera que el archivo DLL recién descubierto es una nueva variante del mismo malware. En la segunda fase del ataque, Lazarus crea un segundo malware ('diagn.dll') explotando un complemento de Notepad++.

Ese segundo malware recibe una nueva carga útil, esta vez cifrado con el algoritmo RC6, la descifra con una clave propia y la ejecuta en la memoria para evitar la detección.

ASEC no pudo determinar qué hace esta carga útil en el sistema, pero hay varios signos de descarga de LSASS que apuntan a actividades de robos de credenciales.

El paso final del ataque Lazarus fue realizar reconocimiento de red y movimiento lateral a través del puerto 3389 (Escritorio Remoto) utilizando credenciales de usuario válidas, presumiblemente robadas en el paso anterior.

Dado que Lazarus depende en gran medida de la carga lateral de DLL (DLL side-loading - T1574.002) como parte de sus ataques, ASEC recomienda que las organizaciones controlen la ejecución de procesos anormales.

"En particular, dado que el grupo de amenazas utiliza principalmente la técnica de carga lateral de DLL durante sus infiltraciones iniciales, las empresas deben monitorear de manera proactiva las relaciones de ejecución de procesos anormales y tomar medidas preventivas para evitar que el grupo de amenazas lleve a cabo actividades como la exfiltración de información y el movimiento lateral.", concluye el informe de ASEC.

DLL Hijacking en Qbot

La operación de malware QBot/Qakbot ha comenzado a abusar de una falla de secuestro de DLL en el programa WordPad de Windows 10 para infectar computadoras, utilizando el programa legítimo para evadir la detección por parte del software de seguridad.

QBot es un malware de Windows que inicialmente comenzó como un troyano bancario, pero evolucionó hasta convertirse en un dropper de otros tipos de malware. Las pandillas de ransomware, incluidas Black Basta, Egregor, y Prolock,, se han asociado con la operación de malware para obtener acceso inicial a las redes corporativas para realizar ataques de extorsión.

El investigador de seguridad y miembro de Cryptolaemus, ProxyLife, dijo que una nueva campaña de phishing de QBot comenzó a abusar de una vulnerabilidad de secuestro de DLL en el ejecutable de Windows 10 WordPad, "write.exe".

Cuando una persona hace clic en un enlace que recibe por correo, se descarga un archivo ZIP con nombre aleatorio desde un host remoto. Este archivo ZIP contiene dos archivos: document.exe (una copia renombrada del ejecutable original de Windows 10 WordPad) y un archivo DLL llamado "edputil.dll" (utilizado para el secuestro de DLL).

Cuando se inicia document.exe,  debería intentar cargar el archivo DLL legítimo llamado edputil.dll, que normalmente se encuentra en la carpeta C:\Windows\System32. Sin embargo, cuando el ejecutable intenta cargar edputil.dll, no lo busca en una carpeta específica y carga cualquier DLL del mismo nombre que se encuentre en la misma carpeta que el ejecutable document.exe.

Esto permite que los actores de amenazas realicen el secuestro de DLL creando una versión maliciosa de la DLL edputil.dll y almacenándola en la misma carpeta que document.exe para que se cargue en su lugar.

Una vez que se carga la DLL, el malware usa C:\Windows\system32\curl.exe para descargar una DLL camuflada como un archivo PNG desde un host remoto. Este archivo PNG (en realidad, una DLL) se ejecuta mediante rundll32.exe con el siguiente comando:

rundll32 c:\users\public\default.png,print

QBot ahora se ejecutará silenciosamente en segundo plano, robando correos electrónicos para usarlos en más ataques de phishing y eventualmente descargando otras cargas útiles, como Cobalt Strike.

Fuente: BC I y II

29 may 2023

Kit de phishing personalizado utilizando dominios ZIP

Un nuevo kit de phishing 'File Archivers in the Browser' abusa de los dominios ZIP al mostrar ventanas falsas de WinRAR o Windows File Explorer en el navegador para convencer a los usuarios de ejecutar archivos maliciosos.

A principios de este mes, Google comenzó a ofrecer la posibilidad de registrar dominios ZIP, para alojar sitios web o direcciones de correo electrónico. Desde el lanzamiento del TLD, ha habido bastante debate sobre si son un error y si podrían representar un riesgo de seguridad para los usuarios.

Si bien algunos expertos creen que los temores son exagerados, la principal preocupación es que algunos sitios convertirán automáticamente una cadena que termina con ".ZIP", como "setup.zip", en un enlace en el que se puede hacer clic que podría usarse para la entrega de malware o ataques de phishing.

Por ejemplo, si le envía a alguien instrucciones sobre cómo descargar un archivo llamado "setup.zip", Twitter lo convertirá automáticamente en un enlace, lo que hará que las personas piensen que deben hacer clic en él para descargar el archivo. Cuando se hace clic en ese enlace, el navegador intentará abrir el sitio https://setup[.]zip, que podría redirigirlo a otro sitio, mostrar una página HTML o solicitarle que descargue un archivo.

Sin embargo, como todas las campañas de envío de malware o phishing, primero se debe convencer a un usuario para que abra el archivo, lo que puede ser un desafío.

El investigador de seguridad mr.d0x ha desarrollado un kit de phishing inteligente que permite crear instancias falsas de WinRar en el navegador. Estas ventanas se muestran en dominios ZIP para engañar a los usuarios haciéndoles creer que están abriendo en un archivo .ZIP.

"Con este ataque de phishing, se simula un software de archivado de archivos (por ejemplo, WinRAR) en el navegador y usa un dominio .ZIP para que parezca más legítimo", explica una nueva publicación de blog del investigador.

Mr.d0x ha subido 2 muestras a GitHub para que cualquiera las pruebe. El primero emula la utilidad de archivado de archivos WinRAR y la segunda emula una ventana de Windows. El kit se puede usar para incrustar una ventana falsa de WinRar directamente en el navegador cuando se abre un dominio .ZIP, lo que hace que parezca que el usuario abrió un archivo ZIP y ahora está viendo los archivos que contiene.

Si bien se ve cuando se muestra en el navegador, aparece como una ventana emergente, ya que se puede eliminar la barra de direcciones y la barra de desplazamiento, dejando lo que parece ser una ventana de WinRar en la pantalla, como se muestra a continuación.

Para hacer que la ventana WinRar falsa sea aún más convincente, los investigadores implementaron un botón escanear de seguridad falso que, cuando se hace clic, dice que los archivos fueron escaneados y no se detectaron amenazas.

Si bien el kit aún muestra la barra de direcciones del navegador, aún es probable que engañe a algunos usuarios para que piensen que se trata de un archivo WinRar legítimo. Además, es probable que se utilicen CSS y HTML creativos para refinar aún más el conjunto de herramientas.

mr.d0x también creó otra variante que muestra un explorador de archivos de Windows falso en el navegador que finge abrir un archivo ZIP. Esta plantilla es más un trabajo en progreso, por lo que faltan algunos elementos.

Abusar del conjunto de herramientas de phishing

mr.d0x explica que este kit de herramientas de phishing se puede usar tanto para el robo de credenciales como para la entrega de malware. Por ejemplo, si un usuario hace doble clic en un PDF en la ventana falsa de WinRar, podría redirigir al visitante a otra página solicitando sus credenciales de inicio de sesión para ver correctamente el archivo.

El kit también se puede usar para entregar malware al mostrar un archivo PDF que descarga un .EXE con un nombre similar cuando se hace clic en él. Por ejemplo, la ventana de archivo falso podría mostrar un archivo "document.pdf", pero cuando se hace clic, el navegador descarga |document.pdf.exe".

Como Windows no muestra las extensiones de archivo de forma predeterminada, el usuario solo verá un archivo PDF en su carpeta de descargas y posiblemente haga doble clic en él, sin darse cuenta de que es un ejecutable.

De particular interés es cómo Windows busca archivos y, cuando no los encuentra, intenta abrir la cadena buscada en un navegador. Si esa cadena es un dominio legítimo, se abrirá el sitio web; de lo contrario, mostrará los resultados de búsqueda de Bing.

Si alguien registra un "dominio.zip" que es igual a un nombre de archivo común y alguien realiza una búsqueda en Windows, el sistema operativo abrirá automáticamente el sitio en el navegador. Si ese sitio albergara el kit de phishing mencionado, se podría engañar a un usuario haciéndole creer que WinRar muestra un archivo ZIP real.

mr.d0x es conocido por sus kits de herramientas de phishing inteligentes anteriores, como el uso de VNC para phishing para eludir MFA y la técnica Browser-in-the-Browser. Los actores de amenazas usaron este último para robar las credenciales de Steam.

Fuente: BC

Royal Ransomware ♚ activo en América Latina

Si bien es de esperar la evolución de las técnicas de ransomware, la velocidad a la que Royal Ransomware Group♚ ha podido adaptarse es impresionante. Desde que se informó por primera vez, los responsables del ransomware Royal han avanzado rápidamente durante un corto período de tiempo, aprovechando técnicas antiguas y nuevas, así como explotando nuevas vulnerabilidades a medida que se descubren. Solo en los últimos seis meses, han escalado rápidamente los ataques dirigidos a víctimas en numerosas industrias y países, incluidos América Latina.

La actividad reciente del actor de amenazas que Microsoft rastrea como DEV-0569, conocido por distribuir varias cargas útiles, ha llevado al despliegue del ransomware Royal, que surgió por primera vez en septiembre de 2022 y está siendo distribuido por múltiples actores de amenazas. Los ataques DEV-0569 observados muestran un patrón de innovación continua, con la incorporación regular de nuevas técnicas de descubrimiento, evasión de defensa y varias cargas útiles posteriores al compromiso, junto con una mayor facilitación de ransomware.

Royal ransomware ha estado involucrado en ataques de alto perfil contra infraestructura crítica, especialmente atención médica, desde que se observó por primera vez en septiembre de 2022. En contra de la tendencia popular de contratar afiliados para promover su amenaza como servicio, Royal ransomware opera como un grupo privado formado por de ex-miembros de Conti.

El equipo de la Unit 42 ha observado que este grupo compromete a las víctimas a través de una infección BATLOADER, que los actores de amenazas generalmente propagan a través del envenenamiento de optimización de motores de búsqueda (SEO). Esta infección implica dejar caer un Cobalt Strike Beacon como precursor de la ejecución del ransomware.

Royal también amplió su arsenal al desarrollar una variante ELF para afectar los entornos Linux y ESXi. La variante ELF es bastante similar a la variante de Windows y la muestra no contiene ninguna ofuscación. Todas las cadenas, incluida la clave pública RSA y la nota de rescate, se almacenan como texto sin formato.

El Royal Ransomware Group también ha aprovechado las técnicas de evasión en instancias virtuales, lo que dificultó a los defensores evitar el cifrado una vez que el actor de la amenaza obtuvo acceso al entorno objetivo. Curiosamente, algunos de los atributos recordaban una muestra anterior de 2020 del ransomware Conti. Una investigación externa realizada por Vitali Kremez de AdvIntel ha establecido una relación directa entre Conti y Royal. La comparación de una muestra reciente de Royal con la de Conti y otras variantes de Royal durante los últimos seis meses podría proporcionar información sobre la actividad futura de los actores de amenazas.

¿Qué es Royal Ransomware?

Identificado inicialmente como Zeon en enero de 2022, ha sido renombrado como "Royal" desde septiembre de 2022. Desde entonces, se han dirigido a empresas de numerosas industrias, como la fabricación, la atención médica, la alimentación y la educación. Aunque más del 60% de las empresas seleccionadas han estado en los Estados Unidos, el grupo no ha rehuido de apuntar a países de todo el mundo, incluidos Europa y América Latina.

En los últimos seis meses, Royal se ha centrado en empresas pequeñas y grandes. En diciembre de 2022, parecía haber un giro claro para apuntar a empresas más grandes y una disminución constante en la orientación a organizaciones más pequeñas. También ha habido una disminución general en el número de ataques informados en el primer trimestre de 2023.

Con cada nueva variante de Royal ransomware desde septiembre, vienen diferentes técnicas y características, antiguas y nuevas, como:

La unidad de análisis de amenazas de VMware Carbon Black investigó recientemente un ataque de Royal ransomware que aprovechaba el cifrado de archivos en SMB. El actor de amenazas pudo obtener acceso al entorno de un cliente y cifrar archivos de forma remota en cinco dispositivos.

Relación con Conti

A diferencia de lo que ha visto anteriormente en Royal, el actor de amenazas no desactivó el antivirus/EDR y no eliminó las instantáneas de volumen. Es posible que se hayan omitido estas acciones para evitar alertar a los sensores o evitar que se bloqueen, pero es importante tener en cuenta que la muestra en sí tiene la capacidad de eliminar instantáneas de volumen.

El ataque investigado reveló características previamente identificadas en el ransomware Conti. Está diseñado para ser ejecutado por un adversario que monitorea el entorno. En 2020, usó una ejecución de línea de comando similar para apuntar a unidades locales, recursos compartidos de red e incluso direcciones IP específicas. Tras un análisis más profundo, se observaron numerosas similitudes entre esta muestra de Conti de 2020 y nuestra muestra de ransomware Royal de 2023.

Cadena de infección

Hay varias cadenas de infección diferentes que conducen al ransomware Royal. En algunos casos, hemos observado casos en los que el envenenamiento de SEO y la publicidad maliciosa se utilizaron como vectores de acceso inicial. El objetivo de estos dos métodos es engañar a la víctima para que descargue y ejecute un archivo malicioso que se hace pasar por software legítimo.

Esto inicia una cadena de infección compleja con múltiples etapas, incluidos los scripts de PowerShell y los archivos MSI. En ciertos casos, esto conduce a la infección con BATLOADER.

BATLOADER luego intentará descargar más cargas útiles a la máquina infectada, como VidarStealer, Ursnif/ISFB y Redline Stealer, así como herramientas legítimas como la herramienta de administración del sistema NSudo y la herramienta de administración y monitoreo remoto Syncro (RMM). Lo que es más importante, se ha visto a BATLOADER cargando Cobalt Strike, que a menudo es un precursor de la distribución de ransomware.

Los investigadores observaron a los operadores de Royal también usan PowerTool, una pieza de software que tiene acceso al kernel y es ideal para eliminar el software de seguridad de punto final. También ejecutaron secuencias de comandos por lotes para deshabilitar los servicios relacionados con la seguridad y eliminaron las instantáneas de archivos y los registros después de una exfiltración exitosa.

Fuente: VMWare | Unit42 | Fortinet

27 may 2023

Posible fuga masiva de Tesla prueba la invasión a la privacidad de sus usuarios

Tesla no ha podido proteger adecuadamente los datos de los clientes, empleados y socios comerciales y ha recibido miles de quejas de los clientes con respecto al sistema de asistencia al conductor del fabricante de automóviles, informó el medio Handelsblatt de Alemania, citando 100 gigabytes de datos confidenciales filtrados por un denunciante.

El informe Handelsblatt dijo que los datos de los clientes se pueden encontrar "en abundancia" en un conjunto de datos etiquetado como "Tesla Fiels". Los archivos incluyen tablas que contienen más de 100.000 nombres de empleados anteriores y actuales, incluido el número de seguro social del CEO de Tesla, Elon Musk, junto con direcciones de correo electrónico privadas, números de teléfono, salarios de empleados, datos bancarios de clientes y detalles secretos de producción.

La oficina de protección de datos en Brandeburgo, que alberga la gigafábrica europea de Tesla, describió la fuga de datos como "masiva". "No recuerdo nada a tal escala", dijo la oficial de protección de datos de Brandeburgo, Dagmar Hartge. Si se prueba tal violación, Tesla podría recibir una multa de hasta el 4% de sus ventas anuales, que podrían ascender a 3.260 millones de euros (3.500 millones de dólares).

Citando los archivos filtrados, el periódico también informó sobre un gran número de quejas de los clientes con respecto a los programas de asistencia al conductor de Tesla, con alrededor de 4.000 quejas sobre aceleración repentina o frenado fantasma.

El sindicato alemán IG Metall dijo que las revelaciones eran "inquietantes" y pidió a Tesla que informe a los empleados sobre todas las violaciones de protección de datos y promueva una cultura en la que el personal pueda plantear problemas y quejas abiertamente y sin miedo.

"Estas revelaciones... encajan con la imagen que hemos obtenido en poco menos de dos años", dijo Dirk Schulze, gerente de distrito entrante de IG Metall para Berlín, Brandeburgo y Sajonia. Handelsblatt citó a un abogado de Tesla diciendo que un "exempleado descontento" había abusado de su acceso como técnico de servicio, y agregó que la compañía emprendería acciones legales contra la persona sospechosa de la fuga.

El organismo de control de protección de datos de los Países Bajos dijo el viernes que estaba al tanto de posibles violaciones de la protección de datos de Tesla. "Conocemos la historia de Handelsblatt y la estamos investigando", dijo un portavoz del organismo de control de datos de AP en los Países Bajos, donde se encuentra la sede europea de Tesla.

La agencia declinó todo comentario sobre si podría iniciar o haber iniciado una investigación, citando políticas. La agencia holandesa fue informada por su homólogo en el estado alemán de Brandeburgo.

Handelsblatt dijo que Tesla notificó a las autoridades holandesas sobre la violación, pero el portavoz de AP dijo que no sabían si la compañía había hecho alguna declaración ante la agencia. El mes pasado, un informe de Reuters mostró que grupos de empleados de Tesla compartieron de forma privada a través de un sistema de mensajería interno, a veces videos e imágenes altamente invasivos grabados por las cámaras de los automóviles de los clientes entre 2019 y 2022.

En los últimos años, el sistema de cámara de automóvil de Tesla ha generado controversia. En China, algunos recintos gubernamentales y barrios residenciales han prohibido los Teslas debido a preocupaciones sobre sus cámaras. En respuesta, Musk dijo en una charla virtual en un foro chino en 2021: "Si Tesla usa automóviles para espiar en China o en cualquier lugar, nos cerrarían".

Esta semana, Meta, matriz de Facebook, recibió una multa récord de 1.200 millones de euros por parte de su principal regulador de privacidad de la UE por su manejo de la información de los usuarios y le dio cinco meses para dejar de transferir datos de usuarios a los EE.UU.

Fuente: The Guardian

26 may 2023

Ransomware contra sistemas de virtualización y Linux cada vez más comunes

Ya sabemos que el ransomware es muy desagradable. Pero ¿cómo construir tus defensas contra él? Más bien, ¿qué debes proteger ante todo? A menudo, las estaciones de trabajo de Windows, los servidores de Active Directory y otros productos de Microsoft son los principales candidatos, una estrategia que suele estar justificada. Pero debemos tener en cuenta que las tácticas de los ciberdelincuentes están en constante evolución y que ya se están desarrollando herramientas maliciosas para servidores Linux y sistemas de virtualización.

Según el análisis de los investigadores de ciberseguridad de Trend Micro, los servidores Linux están "cada vez más bajo el fuego" de los ataques de ransomware, con un aumento del 75 % en las detecciones en el transcurso del último año 2022, ya que los ciberdelincuentes buscan expandir sus ataques más allá de los sistemas operativos Windows.

La motivación que hay detrás de estos ataques está muy clara: la popularidad del código abierto y la virtualización está en aumento, lo que significa que cada vez hay más servidores que ejecutan Linux o VMWare ESXi. Estos suelen almacenar una gran cantidad de información crítica que, si se cifra, puede paralizar al instante las operaciones de una empresa. Y, dado que la seguridad de los sistemas Windows ha sido tradicionalmente el centro de atención, el resto de los servidores están demostrando ser una presa fácil.

En febrero del 2023, muchos propietarios de servidores VMware ESXi se vieron afectados por el brote de ransomware ESXiArgs. Aprovechando la vulnerabilidad CVE-2021-21974, los atacantes deshabilitaron las máquinas virtuales y cifraron los archivos .vmxf, .vmx, .vmdk, .vmsd y .nvram.

El famoso grupo Clop, conocido por un ataque a gran escala contra los servicios vulnerables de transferencia de archivos Fortra GoAnywhere a través de la CVE-2023-0669, fue detectado en diciembre del 2022 usando, aunque con limitaciones, una versión para Linux de su ransomware. Esta se diferencia significativamente de su equivalente para Windows (carece de algunas optimizaciones y trucos defensivos), pero se adapta a los permisos y tipos de usuarios de Linux y se dirige específicamente a las carpetas de bases de datos de Oracle.

Una nueva versión del ransomware BlackBasta está diseñada especialmente para ataques a hipervisores ESXi. La estrategia de cifrado utiliza el algoritmo ChaCha20 en el modo de múltiples subprocesos que involucra múltiples procesadores. Dado que las granjas ESXi suelen ser multiprocesador, este algoritmo minimiza el tiempo necesario para cifrar todo el entorno.

Poco antes de su desintegración, el grupo de ciberdelincuentes Conti también se armó con un ransomware que tenía a ESXi como objetivo. Por desgracia, dado que gran parte del código de Conti acabó filtrado, sus desarrollos ahora están en manos de los ciberdelincuentes.
El ransomware BlackCat, escrito en Rust, también puede deshabilitar y eliminar máquinas virtuales ESXi. En otros aspectos, el código malicioso difiere ligeramente de la versión de Windows.

El ransomware Luna, que detectamos en el 2022, era originalmente una multiplataforma, capaz de ejecutarse en sistemas Windows, Linux y ESXi. Y, por supuesto, el grupo LockBit difícilmente pudo ignorar esta tendencia y también comenzó a ofrecer versiones para ESXi de su malware a los afiliados.

En cuanto a los ataques más antiguos (aunque, lamentablemente, efectivos), también estaban las campañas RansomEXX y QNAPCrypt, que afectaron en gran medida a los servidores Linux.

Las tácticas de ataque contra el servidor

Para penetrar en servidores Linux, generalmente hay que explotar vulnerabilidades. Los atacantes pueden convertir estas vulnerabilidades en armas dentro del sistema operativo, los servidores web y otras aplicaciones básicas, así como en las aplicaciones corporativas, las bases de datos y los sistemas de virtualización. Como demostró Log4Shell el año pasado, las vulnerabilidades en los componentes de código abierto requieren una atención especial. Después de una infracción inicial, muchas cepas del ransomware utilizan trucos o vulnerabilidades adicionales para elevar los privilegios y cifrar el sistema.

Medidas de seguridad prioritarias para servidores Linux.

  • Para minimizar las posibilidades de ataque que afecten a los servidores Linux, te recomendamos:Reparar las vulnerabilidades de inmediato.
  • Minimizar la cantidad de conexiones y puertos abiertos a Internet.
  • Implementar herramientas de seguridad especializadas en servidores para proteger tanto el propio sistema operativo como las máquinas virtuales y los contenedores alojados en el servidor.

Fuente: Kaspersky

25 may 2023

BrutePrint: método que simula cualquier huella dactilar para desbloquear un Android

Los patrones para desbloquear un smartphone siguen existiendo, pero hay quien apenas los usa porque prefiere utilizar su huella dactilar como "llave". En un principio, este sistema es más seguro, puesto que una clave o un patrón puede robarse, pero un dato biométrico lo normal sería pensar que no. Sin embargo, unos investigadores han demostrado que esta tecnología no es tan segura como se cree.

Los investigadores de Tencent Labs y la Universidad de Zhejiang (China) desarrollaron BrutePrint para que ejecutase ataques de fuerza bruta.

Estos consisten en realizar muchos intentos de ensayo y error para descifrar el código y tomar el control del dispositivo. Para hacerlo, los expertos señalaron que era necesario que el sistema de desbloqueo no cifrase adecuadamente los datos biométricos. Al hacer su experimento, comprobaron que la interfaz periférica en serie (SPI son las siglas en inglés) de los sensores no estaba protegida.

Las pruebas se hicieron en diez modelos populares de teléfonos inteligentes de Android, HarmonyOS e iOS. Todos se mostraron vulnerables en al menos una falla, sin embargo, los resultados apuntaban que los dispositivos de Apple eran más robustos.

¿Cómo funciona BrutePrint?

El equipo solo necesitó unos 15 dólares para fabricar la herramienta y una base de datos de huellas dactilares, que se puede obtener en datos académicos o fugas de datos biométricos.

BrutePrint está compuesto por un microcontrolador STM32F412 de STMicroelectronics, un interruptor analógico bidireccional de doble canal llamado RS2117, una tarjeta SD con 8GB de memoria interna y un conector que une la placa base del smartphone con la del sensor de huellas dactilares. Los investigadores demostraron que se puede acceder a las huellas dactilares almacenadas en los dispositivos.

Este circuito puede acumular huellas dactilares de un smartphone Android en tan solo 45 minutos. BrutePrint explota una vulnerabilidad de los smartphones Android que permite intentos ilimitados de huellas dactilares, desbloqueando el dispositivo cuando encuentra la coincidencia más cercana en la base de datos.

Los investigadores encontraron que el tiempo para desbloquear un teléfono variaba de 40 minutos a 14 horas, siendo el Galaxy S10 Plus el más rápido (0,73-2,9 horas) y el Xiaomi Mi 11 Ultra el más lento (2,78-13,89 horas). No lograron superar la seguridad de los iPhones probados, ya que iOS cifra los datos de seguridad, a diferencia de Android.

  • OnePlus 5T: November 2017
  • Samsung S10+: March 2019
  • OnePlus 7 Pro: May 2019
  • OPPO Rene Ace: October 2019
  • Huawei Mate 30 Pro 5G: October 2019
  • iPhone SE: April 2020
  • Huawei P40: April 2020
  • vivo X60 Pro: April 2021
  • Xiaomi Mi 11 Ultra: April 2021

Los sistemas que usan huellas recurren a un umbral de referencia cuyo nivel de aceptación se puede aumentar manipulando la Tasa de Falsa Aceptación (FAR). Así, resulta más sencillo crear coincidencias y el ataque de fuerza bruta no tiene que dar necesariamente "en el clavo".

Según los investigadores, el pequeño aparato se tiene que colocar entre el sensor de huellas y el TEE (entorno de ejecución confiable). Al hacer eso, pueden manipular los mecanismos de muestreo múltiple y cancelar la detección de errores de la autentificación.

Lo que hace BrutePrint exactamente es añadir un error de suma de verificación en los datos de la huella para detener el proceso de autentificación pronto. De este modo, el sistema de protección no registra los intentos fallidos, por lo que los intentos son infinitos.

Finalmente, los investigadores confían en que este exploit puede ser mitigado en el sistema operativo y esperan que sus hallazgos alienten a las personas a cifrar los datos de las huellas dactilares. Consideran que esta amenaza de seguridad puede ser abordada si los fabricantes de smartphones y sensores de huellas dactilares colaboran conjuntamente.

Fuente: Arstechnica

24 may 2023

Dos historia de "Insiders" capturados por robo de datos

Caso 1: El analista de seguridad malo

Un hombre de Reino Unido de 28 años de Fleetwood, Inglatera, ha sido declarado culpable de acceso no autorizado a una computadora con intenciones delictivas y de chantajear a su empleador.

Un comunicado de prensa publicado ayer por la Unidad Regional contra el Crimen Organizado del Sureste (SEROCU) explica que en febrero de 2018, el condenado, Ashley Liles, trabajaba como analista de seguridad informática en una empresa con sede en Oxford que sufrió un ataque de ransomware.

Al igual que muchos ataques de ransomware, los actores de la amenaza se pusieron en contacto con los ejecutivos de la empresa y exigieron el pago de un rescate. Debido a su función en la empresa, Liles participó en las investigaciones internas y en el esfuerzo de respuesta a incidentes, que también contó con el apoyo de otros miembros de la empresa y la policía.

Sin embargo, durante esta fase, se dice que Liles intentó enriquecerse con el ataque engañando a su empleador para que le pagara un rescate en lugar del atacante externo original.

Desconocido para la policía, sus colegas y su empleador, Liles inició un ataque separado y secundario contra la empresa. "Accedió a los correos electrónicos privados de un miembro de la junta más de 300 veces, además de alterar el correo electrónico de chantaje original y cambiar la dirección de pago proporcionada por el atacante original".

El plan era aprovechar la situación y desviar el pago a una billetera de criptomonedas bajo su control. "Liles también creó una dirección de correo electrónico casi idéntica a la del atacante original y comenzó a enviar correos electrónicos a su empleador para presionarlo a pagar el dinero", explicó SEROCU.

Sin embargo, el propietario de la empresa no estaba interesado en pagar a los atacantes, y las investigaciones internas que aún estaban en curso en ese momento revelaron el acceso no autorizado de Liles a correos electrónicos privados, apuntando a la dirección IP de su casa.

Aunque Liles se dio cuenta de que las investigaciones se habían acercado a él y había borrado todos los datos de sus dispositivos personales cuando el equipo de delitos cibernéticos de SEROCU irrumpió en la casa de Liles para apoderarse de su computadora, aún era posible restaurar los datos incriminatorios.

Liles inicialmente negó su participación, pero cinco años después, se declaró culpable durante una audiencia en el Tribunal.

Caso 2 - El programador con permisos

Este caso, se desarrolla desde diciembre de 2020, de la siguiente manera:

  • El atacante irrumpió en la red de la organización a través de un agujero de seguridad desconocido.
  • El atacante adquirió privilegios de administrador en la red.
  • El atacante robó gigabytes de datos confidenciales.
  • El atacante borró los logs del sistema para cubrir sus huellas.
  • El atacante exigió 50 Bitcoins (entonces con un valor aproximado de U$S 2.000.000) para silenciar las cosas.
  • El atacante realizó doxxing de la víctima cuando no pagó el chantaje.

Doxxing, si no está familiarizado con el término, es una jerga abreviada para divulgar deliberadamente documentos sobre una persona o empresa para ponerlos en riesgo de sufrir daños físicos, financieros o de otro tipo. Cuando los ciberdelincuentes "doxean" a personas que no les gustan o con las que tienen una cuenta que quieren saldar, la idea suele ser poner a la víctima en riesgo (o al menos temerla) de un ataque físico, por ejemplo, acusándola de un crimen atroz, deseándoles justicia vigilante y luego diciéndoles a todos dónde viven.

Cuando la víctima es una "compañía", la intención delictiva suele ser crear estrés operativo, reputacional, financiero o regulatorio para la víctima no solo al exponer que la empresa sufrió una infracción en primer lugar, sino también al divulgar deliberadamente información confidencial que otros delincuentes pueden abusar de inmediato.

La buena noticia en este caso es que la víctima no era tan crédula como parecía pensar el criminal. La "compañía" rápidamente sospechó de un trabajo interno.

Tres meses después del comienzo del ataque, el FBI había allanado la casa del futuro ex-programador senior Nickolas Sharp, entonces de unos 30 años, sospechando que él era el perpetrador. De hecho, Sharp, en su calidad de desarrollador en la empresa, aparentemente estaba "ayudando" (aquí usamos el término vagamente) a "remediar" (ídem) su propio ataque diario, mientras intentaba extorsionar a la empresa por la noche.

Como parte de la redada, los policías incautaron varios dispositivos informáticos, incluida la que resultó ser la computadora portátil que Sharp usó cuando atacó a su propio empleador. Varios días después de que el FBI ejecutara la orden de allanamiento en su residencia, hizo que se publicaran noticias falsas sobre el incidente, para dañar la reputación de su empleador.

Casi inmediatamente después de que se supo la noticia sobre la violación de datos, el precio de las acciones de Ubiquiti (la famosa compañía mencionada) cayó repentinamente de alrededor de $390 a alrededor de $280.

Sharp se declaró culpable en febrero de 2023; fue sentenciado esta semana a pasar seis años en prisión seguidos de tres años en libertad condicional, y se le ordenó pagar una restitución de poco más de U$S 1.500.000.

Fuentes: BC | Naked Security