24 jul 2024

Paso a paso de un ataque de ransomware #Akira

En junio de 2024, se descubrió un grupo de amenazas que utilizaba el ransomware Akira dirigido a una aerolínea latinoamericana. El actor de amenazas accedió inicialmente a la red a través del protocolo Secure Shell (SSH) y logró extraer datos críticos antes de implementar una variante del ransomware Akira al día siguiente.

A lo largo de este compromiso, se abusó de una serie de herramientas legítimas junto con Living off-the-Land Binaries and Scripts (LOLBAS). Esto permitió a los agresores realizar reconocimientos y persistir en el entorno de la víctima recientemente comprometida.

Una vez que el atacante logró su objetivo de extraer datos, se implementó el ransomware para cifrar e incapacitar los sistemas de la víctima. Akira es un ransomware como servicio (RaaS) que ha sido un arma central de Storm-1567 (también conocido como Punk Spider y GOLD SAHARA), un destacado grupo de ransomware observado por primera vez en 2023.

Debido a los indicadores que incluyen consultas DNS enviadas a un dominio asociado con Remmina (un cliente de escritorio remoto de código abierto), podemos decir con un alto grado de confianza que el actor de amenazas detrás de este compromiso probablemente sea un usuario basado en Linux.

¿Qué es el ransomware Akira?

Akira, que se detectó inicialmente en estado salvaje en marzo de 2023, es el ransomware asociado con el grupo RaaS conocido como Storm-1567. El grupo es responsable de desarrollar y mantener el ransomware Akira y los Dedicated Leak Sites (DLS) asociados a él.

El grupo suele emplear una táctica de doble extorsión en la que se filtran datos críticos antes de que el ransomware destruya los sistemas de las víctimas comprometidas. Esta estratagema ejerce presión adicional sobre las víctimas para que paguen el rescate, ya que los operadores de ransomware amenazarán con la exposición pública de los datos confidenciales robados si el pago no se realiza rápidamente.

Las Tácticas, Técnicas y Procedimientos (TTP) asociados con el ransomware Akira incluyen el abuso frecuente de software legítimo, incluidas herramientas de código abierto como diversas herramientas de pruebas de penetración. El grupo también es conocido por explotar vulnerabilidades en la infraestructura de una organización objetivo, como sistemas sin parches o desactualizados y software de VPN vulnerable.

El grupo de amenazas Akira ha atacado numerosos sectores industriales en todo el mundo en los últimos años. Hasta enero de 2024, el grupo había recibido más de 42 millones de dólares en pagos de rescate y se había dirigido a más de 250 organizaciones diferentes. Si bien el grupo se dirige principalmente a sistemas Windows, también tienen variantes de Linux de sus herramientas, incluida una variante dirigida a máquinas virtuales VMware ESXi.

Cadena de ataque de Akira

Aquí hay una descripción general de la cadena de ataques de dos días del grupo Akira a la aerolínea comprometida, como se muestra a continuación:

Vector de ataque

Durante este ataque a la aerolínea latinoamericana, obtuvimos datos de detección y respuesta de terminales (EDR) para ayudar en nuestra investigación. No existían registros del compromiso inicial, pero observamos que el primer acceso visible del atacante al "Paciente Cero" fue a través de SSH desde la dirección IP de un router. El Paciente Cero era un servidor de respaldo de Veeam sin parches. Creemos que se utilizó el CVE-2023-27532 disponible públicamente para el acceso inicial, que es una vulnerabilidad en el componente Veeam Backup & Replication.

El ataque cumple con todas las características y TTP de Akira proporcionados por el FBI y CISA en su asesoramiento conjunto de ciberseguridad de abril de 2024 sobre el ransomware Akira. Los operadores de Akira anteriormente obtuvieron acceso a objetivos utilizando CVE-2020-3259 y CVE-2023-20269.

Recopilación y exfiltración de datos

Una vez dentro de la red, el actor de amenazas creó un usuario llamado "backup" y se agregó al grupo de administradores para afianzarse en el entorno.

A continuación, el atacante procedió a instalar la herramienta legítima de administración de red Advanced IP Scanner antes de escanear las subredes locales descubiertas mediante el comando "route print". Advanced IP Scanner a menudo se considera una herramienta de doble uso; aunque su funcionamiento puede ser fundamental para los administradores de redes y los profesionales de seguridad, la presencia inesperada de la herramienta en un sistema podría ser una señal de negligencia interna o una señal de alerta para otras activaciones maliciosas.

Durante este ataque en particular, la propiedad de los datos de respaldo de Veeam se tomó a través de la carpeta de respaldo de Veeam, mientras que el actor de la amenaza comprimió y cargó datos desde otros sistemas. En esta copia de seguridad se incluyeron tipos de archivos comunes como documentos, imágenes y hojas de cálculo, con la esperanza de que el actor malintencionado pudiera recopilar y aprovechar datos confidenciales y potencialmente valiosos para su propio beneficio financiero.

Finalmente, los datos se extrajeron a través de WinSCP, un administrador de archivos gratuito para Windows.

El tiempo total desde el inicio de sesión inicial hasta la filtración de datos fue de solo 133 minutos, y el último comando se ejecutó a las 4:55 p.m. UTC.

Camino hacia el cifrado

Temprano a la mañana siguiente, a las 8:40 UTC, el trabajo del actor de amenazas comenzó de nuevo. Los registros que parecen idénticos al smbexec de Impacket muestran que el atacante realizó comprobaciones de usuario en un puñado de máquinas antes de iniciar sesión en el servidor de respaldo principal de Veeam.

Se descargó Netscan como "netscan.zip" usando Google Chrome y se usó WinRAR para descomprimirlo. Luego se identificaron las máquinas conectadas al Active Directory y se dejaron en un archivo llamado "AdComputers.csv".

Mientras NetScan se ejecutaba en el servidor de respaldo principal de Veeam, la protección antivirus (AV) se deshabilitó en el host de la máquina virtual, tanto a través de las interfaces de usuario (UI) del antivirus como a través de la línea de comandos.

De vuelta en el servidor de respaldo principal de Veeam, se descargó el archivo "win.zip" a través de Google Chrome y se descomprimió con WinRAR. Contenía "w.exe", que es el ransomware Akira. Ese archivo se copió en el host de la VM.

Los usuarios se enumeraron utilizando "net group" y posteriormente se manipularon con el siguiente comando:

Luego, se descargó el software legítimo de escritorio remoto AnyDesk y se ejecutó en cinco sistemas diferentes. AnyDesk proporciona acceso remoto a otros dispositivos que ejecutan la aplicación.

Ahora que la persistencia estaba completamente implementada, los actores de amenazas intentaron implementar ransomware en toda la red utilizando el servidor de respaldo de Veeam como punto de control. Vimos que el archivo "w.exe" (ransomware Akira) se implementaba en varios hosts desde el servidor Veeam comprometido.

Al mismo tiempo, se eliminaron las instantáneas (Shadow Copy) a través de PowerShell para hacer imposible la recuperación desde la copia de seguridad:

powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"

Esta eliminación ejerce más presión sobre la víctima para que "pague", ya que las copias de seguridad y los volúmenes a los que potencialmente se podría revertir ya no son una opción viable.

Infraestructura de red

Para este ataque en particular, los registros de los puntos finales no capturaron la dirección IP pública de la conexión SSH entrante. Sin embargo, capturó parte del tráfico saliente. Las consultas de DNS al dominio legítimo "plugins.remmina[.]org". Remmina es un cliente de escritorio remoto de código abierto que no se puede utilizar en Windows a menos que se utilice el subsistema de Windows para Linux.

Esto sugiere con un alto grado de confianza que el actor de amenazas detrás de este compromiso y ataque es probablemente un usuario de Linux.

La dirección IP 77[.]247[.]126[.]158 se utilizó para la exfiltración de datos y todavía estaba activa al momento de escribir este informe.

Conclusiones

Como la mayoría de los grupos de ransomware, Akira es una banda maliciosa motivada y con impulso financiero que vende y aprovecha su malware únicamente con fines de lucro. Como el grupo Akira opera como un RaaS, la victimología del grupo varía, siendo sus principales víctimas las pequeñas y medianas empresas (PyMES). También han atacado a algunas organizaciones más grandes con sede en América del Norte y Europa.

El incidente detallado en este informe ocurrió durante un período de dos días, pero ocurrió dentro del horario laboral UTC, y el trabajo del actor de la amenaza se detuvo justo antes de las 17:00 UTC del primer día y se reanudó a las 8:40 UTC del segundo día. Existe una confianza baja a moderada de que los actores detrás de este ataque residen actualmente en una zona horaria UTC o cerca de ella. Europa occidental ha sido sede de muchos actores de amenazas notorios este año, como lo demuestra el reciente arresto de un miembro del infame grupo de atacantes de Scattered Spider.

Dado que este ataque tuvo como objetivo una víctima en América Latina (LATAM), destaca la voluntad del grupo de apuntar a otras regiones, si alguna organización no repara las vulnerabilidades utilizadas por el actor. Vale la pena señalar que en este incidente, el software interno también estaba críticamente desactualizado, lo que dejó importantes vulnerabilidades que fueron explotadas por el actor de la amenaza una vez que se traspasó el perímetro.

Fuente: BlackBerry

23 jul 2024

Google (GTS) descarta su plan de eliminar las cookies de terceros en Chrome

Una cookie de terceros son datos almacenados en su navegador web por un sitio web distinto del sitio web que está visitando actualmente y, por lo general, son revisados mediante scripts de seguimiento y anuncios. Luego, estas cookies se pueden utilizar para rastrear al usuario en otros sitios utilizando código del mismo dominio de terceros, lo que permite a los anunciantes rastrear sus hábitos e intereses de navegación.

Las cookies de terceros son una de las tecnologías de seguimiento más extendidas y permiten a las empresas de publicidad y a los intermediarios de datos recopilar y vender información sobre las actividades en línea de los usuarios. Esto puede provocar una variedad de daños, como malos actores que compran su información confidencial y anuncios predatorios dirigidos a poblaciones vulnerables.

Como estas cookies se consideran comúnmente como un riesgo para la privacidad, la ley del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que entró en vigor en 2018, exigía que los anunciantes obtuvieran el consentimiento del usuario antes de utilizar cookies de terceros.

En 2019, Mozilla Firefox comenzó a bloquear las cookies de terceros de forma predeterminada, seguido de Apple Safari en 2020, lo que asestó un duro golpe a la industria publicitaria. Google se comprometió a hacer lo mismo en el futuro.

Google comenzó a eliminar gradualmente las cookies de terceros en el primer trimestre de 2024, y se preveía que una eliminación gradual finalice en el primer trimestre de 2025. Para reemplazar las cookies de terceros, Google introdujo su Privacy Sandbox, que se supone que es una forma más anónima de rastrear los intereses de un usuario. con fines publicitarios.

Sin embargo, las plataformas publicitarias y las empresas han tardado en cambiar a la nueva plataforma Privacy Sandbox y muchas todavía se encuentran en pruebas beta.

Google ahora dice que dado que la transición requiere un trabajo importante y afectará a los editores, anunciantes y cualquier otra empresa involucrada en la publicidad en línea, ya no eliminarán gradualmente las cookies de terceros. En cambio, planean implementar una "nueva experiencia" de Google Chrome que permita a los usuarios restringir el uso de cookies de terceros.

No está claro cuál será esta "experiencia", pero parece un sistema global de consentimiento de cookies integrado en Chrome que permite a los usuarios aceptar y rechazar cookies de terceros.

Los defensores de la privacidad, como la EFF, están descontentos con esta decisión, diciendo que demuestra cómo Google prefiere las ganancias a la privacidad:

"El anuncio de Google subraya su compromiso continuo con las ganancias por encima de la privacidad del usuario. Safari y Firefox bloquean las cookies de terceros de forma predeterminada desde 2020, cuando Google se comprometió a hacer lo mismo. La decisión de Google de seguir permitiendo cookies de terceros, a pesar de que otros navegadores importantes las bloquean durante años, es una consecuencia directa de su modelo de negocio basado en la publicidad. Dado que casi el 80% de los ingresos de Google provienen de la publicidad online, está claro por qué Chrome antepone los intereses de los anunciantes a la privacidad de los usuarios".

La EFF recomienda a los usuarios instalar sus extensiones de navegador Privacy Badger, que ayudan a bloquear cookies de terceros y otros seguimientos en línea. Los usuarios también pueden utilizar bloqueadores de anuncios como uBlock Origin para bloquear rastreadores y anuncios.

Fuente: BC

22 jul 2024

Zero-Day en Telegram permitía enviar archivos dañinos

Investigadores de ESET descubrieron un exploit Zero-Day de Telegram para Android que aprovecha una vulnerabilidad a la que han denominado EvilVideo y permitía a los atacantes enviar archivos maliciosos camuflados como vídeos.

El exploit de Zero-Day dirigido a Telegram para Android apareció a la venta en foro el 6 de junio de 2024. Utilizando el exploit, los atacantes podían compartir cargas maliciosas para Android a través de canales, grupos y chat de Telegram, y hacerlas aparecer como archivos multimedia.

Por defecto, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente. Esto significa que los usuarios con la opción activada descargarán automáticamente la carga maliciosa una vez que abran la conversación en la que se compartió. La opción se puede desactivar manualmente, en cuyo caso, la carga se puede descargar pulsando el botón de descarga situado en la esquina superior izquierda del vídeo compartido. Si el usuario intenta reproducir el vídeo, la carga se descargará automáticamente.

El exploit parece depender de que el actor de la amenaza sea capaz de generar una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un vídeo de 30 segundo.

La vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, y ha sido parcheada a partir de la versión 10.14.5.

Fuente: WeLiveSecurity

Herramienta de Microsoft para recuperar equipos dañados por CrowdStrike

Microsoft ha lanzado una herramienta de recuperación de WinPE personalizada para encontrar y eliminar la actualización defectuosa de CrowdStrike que bloqueó aproximadamente 8,5 millones de dispositivos Windows el viernes.

Para resolver la solución, los administradores debían reiniciar los dispositivos Windows afectados en Modo seguro o Entorno de recuperación y eliminar manualmente el controlador del kernel defectuoso de la carpeta C:\Windows\System32\drivers\CrowdStrike.

Sin embargo, a medida que las organizaciones enfrentan cientos, si no miles, de dispositivos Windows afectados, realizar estas correcciones manualmente puede resultar problemático, consumir mucho tiempo y ser difícil.

Para ayudar a los administradores de TI y al personal de soporte, Microsoft ha lanzado una herramienta de recuperación personalizada que automatiza la eliminación de la actualización defectuosa de CrowdStrike de los dispositivos Windows para que puedan volver a iniciarse normalmente. La herramienta de recuperación de Microsoft firmada se puede encontrar en el Centro de descarga de Microsoft: https://go.microsoft.com/fwlink/?linkid=2280386

Para utilizar la herramienta, el personal de TI necesita un cliente Windows de 64 bits con al menos 8 GB de espacio, privilegios administrativos en este dispositivo, una unidad USB con al menos 1 GB de almacenamiento y una clave de recuperación Bitlocker, si es necesario.

Cabe señalar que necesitará una unidad flash USB de 32 GB o menos; de lo contrario, no podrá formatearla con FAT32, que es necesario para iniciar la unidad.

La herramienta de recuperación se crea mediante un script de PowerShell descargado de Microsoft, que debe ejecutarse con privilegios administrativos. Cuando se ejecuta, formateará una unidad USB y luego creará una imagen WinPE personalizada, que se copia en la unidad y se puede iniciar.

Luego puede iniciar su dispositivo Windows afectado con la llave USB y automáticamente ejecutará un archivo por lotes llamado CSRemediationScript.bat. Este archivo por lotes le pedirá que ingrese las claves de recuperación de Bitlocker necesarias, que se pueden recuperar siguiendo estos pasos.

Luego, el script buscará el controlador del kernel CrowdStrike defectuoso en la carpeta C:\Windows\system32\drivers\CrowdStrike y, si lo detecta, lo eliminará automáticamente. No se creará ningún registro ni una copia de seguridad del controlador CrowdStrike. Cuando se complete el proceso, el dispositivo se reiniciará y debería volver a iniciarse en Windows y estar disponible nuevamente.

Desafortunadamente, el mayor obstáculo para los administradores de Windows es recuperar las claves de recuperación de Bitlocker necesarias. Por lo tanto, determinar si se necesita uno y recuperarlo deben ser los primeros pasos a seguir antes de intentar recuperar dispositivos.

Fuente: BC

21 jul 2024

Falsas actualizaciones de CrowdStrike propagan malware en América Latina

La empresa de ciberseguridad CrowdStrike, ahora advierte que los actores de amenazas están explotando la situación para distribuir Remcos RAT a sus clientes en América Latina con el pretexto de proporcionar una revisión.

Las cadenas de ataque implican la distribución de un archivo ZIP llamado crowdstrike-hotfix.zip, una versión del downloader de HijackLoader que, a su vez, descarga y lanza la carga útil de Remcos RAT.

Específicamente, el archivo de almacenamiento también incluye un archivo de texto ("instrucciones.txt") con instrucciones en español que insta a los objetivos a ejecutar un archivo ejecutable ("setup.exe") para recuperarse del problema.

"En particular, los nombres de archivos en español y las instrucciones dentro del archivo ZIP indican que esta campaña probablemente esté dirigida a clientes de CrowdStrike con sede en América Latina (LATAM)", dijo la compañía, atribuyendo la campaña a un presunto grupo de delitos electrónicos.

Además, SANS compartió una publicación sobre un dominio falso llamado "crowdstrikeclaim[.]com", ofreciendo un formulario para que las organizaciones afectadas soliciten una revisión gratuita de su reclamo. El formulario solicita información detallada, incluido el número de teléfono, nombre, apellido y dirección de correo electrónico. El envío de estos datos personales y organizacionales podría resultar en robo de identidad o acceso no autorizado a cuentas. Y, John Hammond, compartió otro un dominio llamado "crowdstrikebluescreen[.]com", que ofrece servicios a las organizaciones afectadas.

AnyRun, quien también tuiteó sobre la misma campaña, dijo que la revisión falsa entrega HijackLoader, que luego coloca la herramienta de acceso remoto Remcos en el sistema infectado.

El viernes, CrowdStrike reconoció que una actualización rutinaria de la configuración del sensor enviada a su plataforma Falcon para dispositivos Windows el 19 de julio a las 04:09 UTC desencadenó inadvertidamente un error lógico que resultó en una pantalla azul de la muerte (BSoD), que dejó numerosos sistemas inoperables y envió empresas en picada. El evento afectó a los clientes que ejecutaban el sensor Falcon para Windows versión 7.11 y superior, que estaban en línea entre las 04:09 y las 05:27 UTC.

Los actores maliciosos no han perdido el tiempo aprovechando el caos creado por el evento para crear dominios de typosquatting que se hacen pasar por CrowdStrike y anunciar servicios a las empresas afectadas por el problema a cambio de un pago en criptomonedas.

Se recomienda a los clientes afectados que "se aseguren de comunicarse con los representantes de CrowdStrike a través de canales oficiales y cumplan con la orientación técnica que los equipos de soporte de CrowdStrike han brindado".

Microsoft, que ha estado colaborando con CrowdStrike en esfuerzos de remediación, dijo que la crisis digital paralizó 8,5 millones de dispositivos Windows en todo el mundo, o menos del uno por ciento de todas las máquinas con Windows.

Este acontecimiento, que una vez más ha puesto de relieve los riesgos asociados con la dependencia de cadenas de suministro monoculturales, marca la primera vez que se hace público oficialmente el verdadero impacto y escala de lo que probablemente será el evento cibernético más disruptivo de la historia. Los dispositivos Mac y Linux no se vieron afectados por la interrupción.

"Este incidente demuestra la naturaleza interconectada de nuestro amplio ecosistema: proveedores globales de nube, plataformas de software, proveedores de seguridad y otros proveedores de software, y clientes", dijo el gigante tecnológico. "También es un recordatorio de lo importante que es para todos nosotros en el ecosistema tecnológico priorizar el funcionamiento con una implementación segura y recuperación ante desastres utilizando los mecanismos que existen".

Fuente: THN

19 jul 2024

Mala actualización de CrowdStrike vinculada a importantes caídas de Windows y Azure (workaround)

Organizaciones de todo el mundo están informando de importantes interrupciones debido a fallos del sistema Windows y Azure provocados por una mala actualización de CrowdStrike (aproximadamente a las 10AM BST - 6AM en Argentina).

CrowdStrike inició una investigación después de recibir informes generalizados de hosts de Windows que experimentaban una pantalla azul de la muerte (BSOD). En la última actualización proporcionada al momento de escribir este artículo, la compañía dijo que está en proceso de revertir los cambios que pueden haber causado el problema.

El BSOD parece ser causado por una actualización reciente del sensor CrowdStrike Falcon. Según se informa, los dispositivos afectados entran en bucles BSOD que los hacen inoperables.

Se recomienda una solución alternativa que implica iniciar sistemas en modo seguro y eliminar un componente de CrowdStrike.

El director ejecutivo de CrowdStrike, George Kurtz, dijo en un comunicado que los problemas se deben a un "defecto encontrado en una única actualización de contenido para los hosts de Windows. Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ciberataque. El problema ha sido identificado, aislado y se ha implementado una solución", añadió Kurtz. De todos modos se sabe que el mes pasado había habido un error similar afectando a Red Hat.

Organizaciones de todo el mundo han informado de importantes cortes de energía, incluidos aeropuertos, bancos, medios de comunicación y hospitales. Sin embargo, al menos algunos de estos incidentes parecen deberse a una interrupción del servicio en la nube de Microsoft que no está relacionada con CrowdStrike. Algunos sitios web de noticias parecen estar mezclando los dos incidentes.

Aún así, la mala actualización de CrowdStrike está causando problemas a muchos, incluidos los principales aeropuertos de todo el mundo. American Airlines le dijo a la BBC que a los vuelos no se les permitió despegar y que el incidente se atribuyó a un "problema técnico con CrowdStrike".

Incluso Google Cloud informó de un incidente que afectó a su Compute Engine y señaló que "las máquinas virtuales de Windows que utilizan csagent.sys de Crowdstrike fallan y se reinician inesperadamente".

Kevin Beaumont, un reputado experto en ciberseguridad, dijo que la actual interrupción global de TI es causada por CrowdStrike, no por Microsoft, que ha resuelto sus propios problemas. "Obtuve el controlador CrowdStrike que impulsaron mediante actualización automática. No sé cómo sucedió, pero el archivo no es un controlador formateado válidamente y hace que Windows falle cada vez".

Las acciones de CrowdStrike que cotizan en bolsa han bajado aproximadamente un 20% en las operaciones previas a la comercialización en el momento de la publicación.

Corrección

Si se ha visto afectado por el error, aquí hay un workaround (otra) que se puede aplicar de forma temporal.

  1. Arrancar Windows en Modo Seguro
  2. Buscar la carpeta de CrowdStrike (C:\Windows\System32\drivers\CrowdStrike)
  3. Buscar y borrar el archivo C-00000291*.sys
  4. Reiniciar el ordenador

Esta GPO puede servir para realizar la tarea de forma automatizada.

En los equipos con BitLocker activado, que solicitan contraseña para ingresar a Safe Mode, se puede aplicar este workaround. Microsoft también ha publicado un solución recomendada. Más información técnica y sobre la solución en este post.

Explicación del fallo técnico

El archivo C-00000291-00000000-00000032.sys (del driver csagent.sys) no pudo ser procesado de forma adecuada por el EDR porque se encontraba dañado o contenía información no válida, probablemente un puntero inválido en C++, no seguro para la memoria.

  • MD5 c2076a538892265f10a2da864dc0f8b9 - DAÑADO
  • MD5 f3e1448dcdc79d9e5759a9a09e9d5c80 - CORREGIDO

En general parte del EDR y cualquier AV funcionan a nivel de Kernel del sistema operativo, se ejecutan en el ring 0 y con privilegios máximos. El archivo/agente es un driver que es considerado seguro porque Microsoft, a través de sus (lentos) procesos de certificación así lo estableció, se encuentra firmado digitalmente y es de una empresa de confianza (Trusted-Source), lo cual brinda garantías para que se descargue, se actualice y sea procesado por el EDR y Windows.

Este driver tiene la capacidad de acceder directamente al hardware y, por lo tanto, cualquier intento de acceso indebido a memoria (por ejemplo a una dirección inválida), el sistema operativo lo detecta y bloquea (halt). Al contener datos inválidos y no poder ser procesado correctamente, el kernel del SO, falla en forma segura y produce el BSoD.

Cómo este fallo se produce en un driver, que se intenta cargar al momento del arranque de SO, el mismo simplemente no arranca "nunca más". Por eso, al eliminar/reemplazar el archivo o eliminar el registro del agente del EDR, se "soluciona" el fallo y el SO vuelve a la vida. El único problema es que este proceso se debe realizar en forma manual.

Si esto hubiera sucedido a nivel de usuario (ring 3) como en cualquier otra aplicación, la misma se hubiera cerrado y nadie hubiera sufrido las consecuencias. Pero, una herramienta de seguridad no es una aplicación cualquiera.

Es importante tener en claro que un BSoD se genera por un error en el código que se ejecuta en el kernel, que en este caso correspondía al driver de CrowdStrike, el archivo csagent.sys mencionado. Pero, si este archivo se encuentra firmado digitalmente, es confiable y había sido certificado en los procesos de control calidad de Microsoft ¿por qué falló?

Lo que sucede (luego, habrá que explicar porqué) es que, en este caso, "parte" del driver se encontraba en una dependencia, en un contenido dinámico, en el ya famoso archivo externo "C-00000291" y, al ser actualizado, saltando los controles de integridad, se produjo el error. Es decir que, para ganar velocidad o saltar controles, CrowdStrike utilizaba un truco, "un fallo de diseño", que le costó demasiado caro.

Ahora toca que Microsoft y todos los desarrolladores de herramientas de seguridad discutan dos temas: la velocidad de certificación de un driver a nivel de Kernel (que suele ser muy lento) y; los trucos que ya no se podrán aplicar para saltar dichos controles.

Actualización 20hs

Microsoft Azure publicó una actualización, afirmando que "recibió informes de recuperación exitosa de algunos clientes que intentaron múltiples operaciones de reinicio de máquinas virtuales en máquinas virtuales afectadas y que pueden ser necesarios varios reinicios (se han informado hasta 15)".

Amazon Web Services (AWS), por su parte, dijo que ha tomado medidas para mitigar el problema para las instancias de Windows, recomendando a los clientes aún afectados por el problema que "tomen medidas para restaurar la conectividad".

Este incidente debe servir para resaltar la necesidad de implementar múltiples capas de seguridad contra fallas" y diversificar la infraestructura de TI, tal como explico en este hilo.

Queda conocer la investigación en profundidad por parte de la empresa sobre el motivo del error en el archivo mencionado y, seguro Microsoft, CrowdStrike y todas las empresas de seguridad, tomarán nota para evitar futuros incidentes similares.

CrowdStrike publicó detalles técnicos del incidente. También ha ofrecido orientación sobre cómo recuperar máquinas Windows cifradas con BitLocker.

SolarWinds corrige 8 errores críticos en Access Rights Manager (ARM)

SolarWinds ha solucionado ocho vulnerabilidades críticas en su software Access Rights Manager (ARM), seis de las cuales permitieron a los atacantes obtener ejecución remota de código (RCE) en dispositivos vulnerables.

Access Rights Manager es una herramienta crítica en entornos empresariales que ayuda a los administradores a administrar y auditar los derechos de acceso en toda la infraestructura de TI de su organización para minimizar el impacto de las amenazas.

Las vulnerabilidades RCE (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 y CVE-2024-23470), todas calificadas con puntuaciones de gravedad de 9,6/10, permite que atacantes sin privilegios realicen acciones en sistemas sin parches mediante la ejecución de código o comandos, con o sin privilegios de SYSTEM, según la falla explotada.

La compañía también corrigió tres fallas críticas de recorrido de directorio (CVE-2024-23475 y CVE-2024-23472) que permiten a usuarios no autenticados realizar una eliminación arbitraria de archivos y obtener información confidencial después de acceder a archivos o carpetas fuera de directorios restringidos.

También solucionó una vulnerabilidad de omisión de autenticación de alta gravedad (CVE-2024-23465) que puede permitir que actores maliciosos no autenticados obtengan acceso de administrador de dominio dentro del entorno de Active Directory.

SolarWinds parcheó las fallas (todas reportadas a través de Trend Micro Zero Day Initiative) en Access Rights, lanzado el miércoles con correcciones de errores y seguridad.

La compañía aún tiene que revelar si existen exploits de prueba de concepto para estas fallas disponibles o si alguno de ellos ha sido explotado en ataques.

En febrero, la compañía parcheó otras cinco vulnerabilidades RCE en la solución Access Rights Manager (ARM), tres de las cuales fueron consideradas críticas porque permitían una explotación no autenticada.

Hace cuatro años, los sistemas internos de SolarWinds fueron vulnerados por el grupo de hackers ruso APT29. El grupo de amenazas inyectó código malicioso en las compilaciones de la plataforma de administración de TI de Orion descargadas por los clientes entre marzo de 2020 y junio de 2020.

Fuente: BC

18 jul 2024

Filtración de datos de empresa espía mSpy, revela tickets y correos de sus clientes

Una filtración de datos en la operación de vigilancia telefónica mSpy ha expuesto a millones de sus clientes que compraron acceso a la aplicación de software espía para teléfonos durante la última década, así como a la empresa ucraniana detrás de ella.

mSpy es una aplicación de vigilancia telefónica que se promociona como una forma de rastrear niños o monitorear a los empleados. Como la mayoría de los programas espía, también se utiliza mucho para vigilar a las personas sin su consentimiento. Este tipo de aplicaciones también se conocen como "stalkerware" porque las personas que mantienen relaciones románticas suelen utilizarlas para vigilar a su pareja sin consentimiento o permiso.

Atacantes desconocidos robaron millones de tickets de atención al cliente, incluida información personal, correos electrónicos de soporte y archivos adjuntos, incluidos documentos personales, de mSpy en mayo de 2024. Si bien los ataques a proveedores de software espía son cada vez más comunes, siguen siendo notables debido a la información personal altamente confidencial.

El ataque abarcó registros de servicio al cliente que datan desde 2014, que fueron robados del sistema de atención al cliente basado en Zendesk del fabricante de software espía.

La aplicación mSpy permite a quien haya colocado el software espía, generalmente alguien que previamente tuvo acceso físico al teléfono de la víctima, ver de forma remota el contenido del teléfono en tiempo real. Comprar software espía no es ilegal en sí mismo, pero vender o utilizar software espía para espiar a alguien sin su consentimiento sí lo es.

TechCrunch analizó el conjunto de datos filtrado (más de 100 gigabytes de registros de Zendesk) que contenía millones de tickets de servicio al cliente individuales y sus correspondientes direcciones de correo electrónico, así como el contenido de esos correos electrónicos.

Algunas de las direcciones de correo electrónico pertenecen a víctimas involuntarias que fueron atacadas por un cliente de mSpy. Los datos también muestran que algunos periodistas se comunicaron con la compañía para hacer comentarios luego de la última violación conocida de la compañía en 2018. Y, en varias ocasiones, agentes de la ley estadounidenses presentaron o intentaron presentar citaciones y demandas legales ante mSpy. En un caso, luego de un breve intercambio de correos electrónicos, un representante de mSpy proporcionó la información de facturación y dirección de un cliente de mSpy (un presunto criminal sospechoso en un caso de secuestro y homicidio) a un agente del FBI.

Como es común con el software espía para teléfonos, los registros de clientes de mSpy incluyen correos electrónicos de personas que buscan ayuda para rastrear subrepticiamente los teléfonos de sus parejas, familiares o hijos. Algunos de esos correos electrónicos y mensajes incluyen solicitudes de atención al cliente de varios militares estadounidenses de alto rango, un juez de la corte federal de apelaciones de los EE.UU., y la oficina del sheriff del condado de Arkansas que buscan una licencia gratuita para probar la aplicación.

Troy Hunt, que dirige el sitio de notificación de violaciones de datos Have I Been Pwned, obtuvo una copia del conjunto de datos filtrado completo, agregando alrededor de 2,4 millones de direcciones de correo electrónico únicas de clientes de mSpy al catálogo de violaciones de datos pasadas de su sitio.

mSpy es la última operación de software espía para teléfonos que ha sido pirateada en los últimos meses, según una lista compilada recientemente por TechCrunch. La violación en mSpy muestra una vez más que no se puede confiar en que los fabricantes de software espía mantengan seguros sus datos, ya sea los de sus clientes o sus víctimas.

La empresa detrás de mSpy

Esta es la tercera violación de datos conocida de mSpy desde que la compañía comenzó alrededor de 2010. mSpy es una de las operaciones de software espía telefónico de mayor duración, lo que en parte es la razón por la que acumuló tantos clientes.

A pesar de su tamaño y alcance, los operadores de mSpy han permanecido ocultos a la vista del público y han evadido en gran medida el escrutinio... hasta ahora. No es raro que los fabricantes de software espía oculten las identidades reales de sus empleados para proteger a la empresa de los riesgos legales y de reputación asociados con la ejecución de una operación global de vigilancia telefónica, que es ilegal en muchos países.

Pero la filtración de datos de Zendesk de mSpy expuso a su empresa matriz como una empresa de tecnología ucraniana llamada Brainstack. El sitio web de Brainstack no menciona mSpy. Al igual que sus ofertas públicas de empleo, Brainstack solo se refiere a su trabajo en una aplicación de "control parental" no especificada. Pero el volcado de datos interno de Zendesk muestra que Brainstack está amplia e íntimamente involucrado en las operaciones de mSpy.

En los datos filtrados de Zendesk, TechCrunch encontró registros que contienen información sobre docenas de empleados con direcciones de correo electrónico de Brainstack. Muchos de estos empleados participaron en la atención al cliente de mSpy, como responder a las preguntas de los clientes y solicitudes de reembolso.

Los datos filtrados de Zendesk contienen los nombres reales y, en algunos casos, los números de teléfono de los empleados de Brainstack, así como los nombres falsos que utilizaron al responder a los tickets de los clientes de mSpy para ocultar sus propias identidades.

No está claro cómo se vio comprometida la instancia Zendesk de mSpy ni por quién. La violación fue revelada por primera vez por la hacker maia arson crimew, con sede en Suiza, y posteriormente los datos se pusieron a disposición de DDoSecrets, un colectivo de transparencia sin fines de lucro que indexa conjuntos de datos filtrados en interés público.

Fuente: TechCrunch

Armas biológicas diseñadas por IA🤖

No es ningún secreto que entre todas las posibilidades que oferta la Inteligencia Artificial, existen muchos malos y peligrosos que se pueden hacer de ella. Y ya no es cosa que dicha tecnología en cosa de unos años pueda ser consciente y se vuelva contra los humanos, que también es un peligro plausible, sino el mal uso que pueden hacer y el daño que puede infringir usando la IA.

Ya la hemos visto en la creación de estafas y engaños o usada para descifrar combinaciones de contraseñas en tan solo unos segundos, pero lo que nadie esperaba es que fuera usada también como arma de guerra.

Y no se trata de teorías futurísticas, sino que estamos hablando de que hace dos años un comité de expertos sobre esta tecnología en EE.UU. publicaron un estudio [PDF] muy alarmante. En él, este grupo formado por científicos, investigadores y demás especialistas, alarmaban de que "la llegada de virus y agentes biológicos letales diseñados por IA representa una preocupación a muy corto plazo", dejando caer que es muy probable que actores maliciosos, en este caso ellos señalaban a Rusia o Corea del Norte o Al Qaeda podían estar experimentando armas de este tipo.

Esto significa que la IA tendría la llave para destrozar la salud del planeta entero al crear microorganismos o un agente letal con características muy concretas, que fuera muy contagioso y potencialmente acabar con la vida de miles de millones de seres humanos.

Lo peor de todo es que como señalaron en la revista militar Air & Space Forces, esto no es una predicción de futuro, sino que es una realidad, ya que un laboratorio financiado por la compañía farmacéutica Collaborations Pharmaceuticals, llevó a cabo toda una serie de pruebas con una IA comercial usada para detectar toxicidad en los medicamentos para ello.

Al parecer, tan solo tuvieron que entrenar a la IA y "en menos de seis horas después de comenzar [la simulación] en nuestro servidor interno, nuestro modelo generó 40.000 moléculas que obtuvieron una puntuación dentro de nuestro umbral deseado".

Todo lo que los investigadores tuvieron que hacer fue modificar su metodología para buscar, en lugar de eliminar, la toxicidad. La IA creó decenas de miles de sustancias nuevas, algunas de las cuales son similares al VX, el agente nervioso más potente jamás desarrollado. Conmocionados, publicaron sus hallazgos en la revista Nature Machine Intelligence.

Si bien esto era tan solo un experimento, los investigadores alertan que cualquier gobierno u organización con un mínimo de recursos podría replicar sistemas similares capaces de desarrollar estas peligrosísimas armas biológicas que pondrían en jaque a todo el planeta Tierra.

Fuente: El Economista

17 jul 2024

API de Trello abusada para crear una base de datos de 15 millones de emails

Un actor de amenazas ha publicado más de 15 millones de direcciones de correo electrónico asociadas con cuentas de Trello que se recopilaron mediante una API no segura en enero.

Trello es una herramienta de gestión de proyectos en línea propiedad de Atlassian. Las empresas suelen utilizarlo para organizar datos y tareas en tableros, tarjetas y listas.

En enero, BleepingComputer informó que un actor de amenazas conocido como "emo" estaba vendiendo perfiles de 15.115.516 miembros de Trello en un popular foro de hacking. Si bien casi todos los datos de estos perfiles son información pública, cada perfil también contenía una dirección de correo electrónico no pública asociada con la cuenta.

Si bien Atlassian, el propietario de Trello, no confirmó en ese momento cómo se robaron los datos, "emo" le dijo a BleepingComputer que se recopilaron utilizando una API REST no segura que permitía a los desarrolladores consultar información pública sobre un perfil según el ID de Trello y el nombre de usuario de los usuarios o la dirección de correo electrónico.

"emo" creó una lista de 500 millones de direcciones de correo electrónico y la introdujo en la API para determinar si estaban vinculadas a una cuenta de Trello. Luego, la lista se combinó con la información de la cuenta devuelta para crear perfiles de miembros para más de 15 millones de usuarios.

Hoy, emo compartió la lista completa de 15.115.516 perfiles en el foro de hacking Breached por ocho créditos del sitio (por un valor de 2,32 dólares).

"Trello tenía un end-point API abierto que permite a cualquier usuario no autenticado asignar una dirección de correo electrónico a una cuenta de Trello", explicó "emo" en la publicación del foro. Los datos filtrados incluyen direcciones de correo electrónico e información pública de la cuenta Trello, incluido el nombre completo del usuario.

Esta información se puede utilizar en ataques de phishing dirigidos para robar información más confidencial, como contraseñas. emo también dice que los datos se pueden utilizar para doxxing, permitiendo a los actores de amenazas vincular direcciones de correo electrónico a personas y sus alias.

Atlassian confirmó que la información se recopiló a través de una API REST de Trello que se cerró en enero. "Dado el uso indebido de la API descubierto en esta investigación de enero de 2024, le hicimos un cambio para que personas no autenticadas Los usuarios/servicios no pueden solicitar información pública de otro usuario por correo electrónico. Los usuarios autenticados aún pueden solicitar información que esté disponible públicamente en el perfil de otro usuario usando esta API.".

Las API no seguras se han convertido en un objetivo popular para los actores de amenazas, que abusan de ellas para combinar información no pública, como direcciones de correo electrónico y números de teléfono, con perfiles públicos.

Fuente: BC