26 feb 2024

Fraudes a través Identidad Sintética (SIF)

Luego del revuelo que causó el conocimiento del sitio OnlyFake para crear documentación falsa, es bueno conocer el crecimiento que ha tenido el fraude a través Identidad Sintética (Synthetic Identity Fraud - SIF).

En 2020, el FBI identificó el fraude de identidad sintética (SIF) como el tipo de delito financiero de más rápido crecimiento. Este artículo tiene como objetivo explicar qué es SIF, por qué es importante y qué pueden hacer las empresas para prevenirlo.

Por Diego Pacheco-Páramo

Uno de los métodos de fraude asociado a la identidad que ha ganado más relevancia en los últimos años ha sido el de la creación de identidades sintéticas. Estas identidades usan atributos de identidades reales, mezclados con atributos falsos y presentados a entidades para cometer fraude a nombre de otras personas. En este documento profundizamos acerca de cómo se crean las identidades sintéticas y de los mecanismos que ayudan a tener confianza en las identidades presentadas.

El término identidades sintéticas hace referencia a identidades creadas por defraudadores, las cuales mezclan atributos de personas reales con atributos ficticios para abrir productos financieros.

La razón por la cual se utilizan atributos reales, es que de esta forma se está en capacidad de superar algunos filtros de seguridad y así ir fortaleciendo la identidad sintética para en un momento determinado usarla para defraudar a comercios o entidades financieras. Como es de esperarse, al usar atributos de la identidad de personas reales, estas quedan asociadas al fraude y son gravemente perjudicadas, algunas veces enterándose años después de cometido el fraude.

El robo de identidad y el fraude de identidad sintética son similares en que ambos implican el uso no autorizado de información personal. Sin embargo, hay una diferencia importante entre los dos.

  • El robo de identidad se refiere al uso no autorizado de información personal real de alguien, como su nombre, número de Seguro Social, fecha de nacimiento, número de cuenta bancaria, etc. Los ladrones utilizan esta información para abrir cuentas de crédito, solicitar préstamos, hacer compras y cometer otros delitos financieros en el nombre de la víctima.
  • Por otro lado, el fraude de identidad sintética se refiere al uso de información falsa o inventada para crear una identidad completamente nueva. Los ladrones pueden emplear esta identidad para abrir cuentas de crédito, solicitar préstamos, obtener servicios públicos y cometer otros delitos financieros.

De acuerdo al National Credit Union Association [NCU2020], en los Estados Unidos este problema se ha acentuado en parte debido a que el identificador principal es el número de seguridad social, el cual actualmente por sí solo no permite inferir ningún tipo de atributo de la persona, lo cual puede hacer que por ejemplo se utilice el número de seguridad social de un niño para abrir una cuenta.

Adicionalmente, este tipo de fraude no se suele realizar por una persona aislada, sino que se trata de grupos coordinados que ayudan a robustecer estas identidades falsas, elevando el nivel de las transacciones fraudulentas [CAR2019]. Esto se entiende al observar que las pérdidas asociadas a este tipo de fraude se calcularon en $820 millones de USD en 2017, y se proyectaban en $1200 millones para 2020 [CON2018]. Un caso reconocido ocurrió en 2013, cuando un grupo de 13 personas crearon 7 mil identidades falsas para robar $200 millones de USD [FBI2013].

Como lo mencionamos anteriormente, para la creación de la identidad sintética se requiere contar con algún atributo real de una persona existente. Este atributo de origen puede ser contrastado por alguna institución financiera, y sobre este se empiezan a relacionar otros atributos falsos, que le servirán al defraudador para fortalecer la identidad y hacerle creer a las instituciones que interactúan con una persona real.

Debido en gran parte a las constantes fugas de información que sufren las empresas que guardan información personal identificable, atributos como nombres, direcciones, números de documentos o incluso de cuentas bancarias se pueden asociar a una identidad física. Si esta información se presenta a una entidad que no realice una gestión adecuada, se podría usar esta información para abrir una cuenta bancaria. Con esta cuenta se podría abrir un microcrédito, que podría ser pagado, lo cual robustecería la confianza sobre esta identidad.

Como es de esperarse, algunos atributos como la dirección, el correo electrónico o la foto del individuo se reemplazaría con información del defraudador. Una vez se tenga una confianza suficiente, o el score crediticio sea lo suficientemente alto, el defraudador podría pedir un préstamo que no pagaría, ejecutando el fraude. Como se puede ver, el éxito de la identidad sintética se basa en establecer confianza sobre un conjunto de atributos que están asociados de manera equivoca a una identidad física. Por lo tanto, las soluciones que buscan detectar una identidad sintética se suelen basar en la evaluación de los atributos de la identidad.

¿Cómo funciona?

En este tipo de fraude, los delincuentes utilizan información personal de diferentes personas, como nombres, direcciones, números de seguridad social, fechas de nacimiento, entre otros, para crear una identidad falsa que no pertenece a ninguna persona real.

El proceso de cometer fraude de identidad sintética suele contener los siguientes pasos:

  • Recopilación de información: los delincuentes recopilan información personal de diferentes fuentes, como bases de datos públicas, redes sociales, registros de crédito, entre otros.
  • Creación de la identidad falsa: los delincuentes combinan la información recopilada para crear una nueva identidad falsa. En algunos casos, pueden incluso utilizar información falsa para completar la identidad.
  • Verificación de la identidad: los delincuentes usan la nueva identidad falsa para solicitar servicios financieros, como tarjetas de crédito, préstamos, cuentas bancarias, entre otros. En algunos casos, pueden incluso solicitar empleo o servicios gubernamentales.
  • Construcción de la identidad: los delincuentes construyen la identidad falsa a lo largo del tiempo, utilizando la información y los servicios financieros para mejorar la credibilidad de la identidad.
  • Uso fraudulento: una vez que la identidad falsa ha sido construida, los delincuentes pueden emplearla para llevar a cabo diferentes tipos de fraude, como el robo de identidad, el fraude en tarjetas de crédito, el lavado de dinero, entre otros.

El fraude de identidad sintética puede ser difícil de detectar, ya que los delincuentes usan información real para crear la identidad falsa. Además, los delincuentes también pueden utilizar diferentes identidades falsas para llevar a cabo sus actividades fraudulentas, lo que hace que sea difícil rastrearlos.

¿Cómo detectar identidades sintéticas?

Como lo mencionamos en la sección anterior, el fraude por identidades sintéticas se basa en un error a la hora de confiar en que algunos atributos se pueden asociar con una identidad física. El defraudador hábilmente construye confianza sobre estos atributos, basándose en una interacción inicial donde se usa un atributo real. Por lo tanto, tiene sentido que las soluciones que buscan detectar una identidad sintética se basen en analizar la calidad de los atributos y en cómo asignar de manera correcta un grado de confianza en cada uno de ellos.

En [MCK2019], se resalta la dificultad de que los sistemas de detección de fraude basados en aprendizaje de máquina detecten este tipo de casos debido a que muchas veces se confunden con casos de no-pago, generando dificultades para el entrenamiento. Para evitar rechazar a clientes reales, proponen una evaluación de atributos basado en 2 dimensiones: profundidad y consistencia.

Con profundidad hacen referencia a la historia del atributo. Por ejemplo, en el caso de un número de teléfono puede ser útil saber si este existe hace un tiempo considerable. Con consistencia hacen referencia a las relaciones que se dan entre diferentes fuentes de información, y como estos coinciden en los atributos que presentan. Por ejemplo, si se ve que hay coincidencia entre la dirección física registrada en la cuenta del banco y en la información que presenta en un formulario, se puede decir que es un atributo que presenta consistencia. Tomando cada atributo, y evaluándolo bajo estas dos características, se puede realizar una evaluación general de la identidad presentada, y según ellos, mitigar efectivamente el riesgo de aceptar una identidad sintética por medio de un modelo de riesgo que castiga las identidades poco profundas y con poca consistencia.

En [SOE2014], se presenta un "ecosistema de identidad", el cual permite evaluar el nivel de riesgo de los atributos presentados, en función de la probabilidad de que sean comprometidos. Como lo mencionamos en la sección anterior, desafortunadamente atributos de nuestra identidad pueden estar disponibles para terceros. Si existe certeza de que un atributo en específico está disponible para terceros, es de esperarse que una entidad considere que este atributo no es suficiente por sí solo para probar la identidad de una persona.

Por lo tanto, lo que se busca hacer en esta solución es cuantificar el nivel de riesgo de cada uno de los atributos basándose en la forma en que estos atributos se presentan y como se relacionan entre ellos. Por ejemplo, en la cédula de ciudadanía colombiana aparecen los nombres, apellidos y fecha de nacimiento de una persona. Por lo tanto, si se le pierde a alguien la cédula, es de esperarse que un tercero que tenga los nombres de esa persona también tenga la fecha de nacimiento. Pero así como existe la cédula, existen muchas otras fuentes de información personal identificable, que relacionan los atributos de una identidad. Esto permite tener un modelo que asigna un nivel de riesgo para cada atributo, indicándole a la entidad el grado de confianza que puede tener en las identidades presentadas.

Por otro lado, Equifax [EQU2019] propone una evaluación de atributos para detectar identidades sintéticas basado en la generación de perfiles y su relación con atributos generados por diferentes fuentes de información. El objetivo de este sistema es detectar inconsistencias entre los atributos presentados por las diferentes fuentes de información, o relaciones entre los atributos presentados y los de aquellos perfiles que han estado relacionados con algún tipo de fraude. Este último aspecto es relevante ya que una de las características que tiene el fraude basado en identidades sintéticas es que suele apoyarse en perfiles que tienen un alto score crediticio. De esta manera, es más fácil identificar patrones de abuso.

Conclusiones

El uso de identidades sintéticas se basa en la dificultad de asociar un nivel de confianza a los atributos presentados, ya que muchas veces estos no pueden ser corroborados como en el caso de los números de seguridad social en Estados Unidos. Por lo tanto, se hace necesario evaluar la confianza entregada a cada uno de los atributos presentados. Las soluciones observadas utilizan criterios como la consistencia y la profundidad para garantizar la calidad de los atributos asociados a la identidad presentada. Esto se hace muy importante si tenemos en cuenta que muchos de los atributos de nuestra identidad se encuentran fuera de nuestro control debido al mal manejo de nuestros datos personales, fugas de información, o simplemente por compartir nuestros datos personales en lugares públicos.

Bibliografía

Fuente: Reconoserid | AliceBiometrics

25 feb 2024

VMware pide ELIMINAR un complemento de autenticación vulnerable y obsoleto

VMware urge a los administradores a eliminar un complemento de autenticación descontinuado y expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se habían parcheado.

El componente vulnerable Enhanced Authentication Plug-in (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través de la autenticación integrada de Windows.

VMware anunció la obsolescencia de EAP hace casi tres años, en marzo de 2021, con el lanzamiento de vCenter Server 7.0 Update 2.

Registrados como CVE-2024-22245 (CVSS de 9,6/10) y CVE-2024-22250 (7,8/10), los dos fallos de seguridad parcheados esta semana pueden ser utilizados por atacantes maliciosos para transmitir tickets de servicio Kerberos y tomar el control de sesiones EAP privilegiadas.

La compañía agregó que actualmente no tiene evidencia de que las vulnerabilidades de seguridad hayan sido explotadas en la naturaleza.

Cómo proteger los sistemas vulnerables

Para solucionar los fallos de seguridad CVE-2024-22245 y CVE-2024-22250, los administradores deben eliminar tanto el complemento/cliente del navegador (VMware Enhanced Authentication Plug-in 6.7.0) como el servicio de Windows (Servicio de complemento de VMware).

Para desinstalarlos o deshabilitar el servicio de Windows si no es posible eliminarlos, se pueden realizar los siguientes pasos a través de comandos de PowerShell, como se recomienda aquí.

Como alternativa a este complemento de autenticación vulnerable, VMware recomienda a los administradores utilizar otros métodos de autenticación de VMware vSphere 8, como Active Directory sobre LDAPS, Microsoft Active Directory Federation Services (ADFS), Okta y Microsoft Entra ID (anteriormente Azure AD).

El mes pasado, VMware también confirmó que una vulnerabilidad crítica de ejecución remota de código de vCenter Server (CVE-2023-34048) parcheada en octubre estaba bajo explotación activa. Mandiant reveló que el grupo chino de ciberespionaje UNC3886 abusó de él como Zero-Day durante más de dos años, al menos desde finales de 2021.

Fuente: BC

23 feb 2024

Importancia de backups inmutables para la resiliencia

Para mejorar la estrategia de protección de datos y mantener la empresa en funcionamiento, una copia de seguridad segura es prioridad. La protección de los datos es uno de los pilares centrales de seguridad de la información y se centra en la accesibilidad y la inmutabilidad de las copias de seguridad.

La inmutabilidad sigue siendo un tema candente, especialmente en torno al ransomware, y muchos proveedores y organizaciones adoptan tecnologías inmutables para lograr resiliencia en ciberseguridad. 

¿Qué son exactamente los backups inmutables y por qué debería utilizarlas en su estrategia de protección de datos?

Antes de implementar una solución de copia de seguridad inmutable, es necesario comprender qué es. Inmutable significa que algo no se puede cambiar ni eliminar. Por lo general, las copias de seguridad inmutables sólo se pueden eliminar una vez que haya expirado un período de tiempo determinado. Los datos de copia de seguridad inmutables están a salvo de posibles cambios o eliminaciones, lo que significa que su integridad original permanece intacta.

Con el auge del ransomware, tener una copia de seguridad inmutable se ha vuelto fundamental para la recuperación. Esto se debe a que los actores de amenazas ahora atacan rutinariamente las copias de seguridad y las máquinas virtuales. Con una copia de seguridad inmutable esos datos quedan protegidos de este tipo de ataques.

¿Por qué son importantes las copias de seguridad inmutables?

Las copias de seguridad inmutables no solo lo ayudan a recuperarse después de un evento de ransomware, sino que también sirven para otros propósitos cuando se trata de diseñar e implementar una estrategia de protección de datos resiliente.

Un ejemplo de esto es la recuperación después de una eliminación accidental. Las estrategias de inmutabilidad impulsan a las partes interesadas a tener conversaciones directas que describan cuáles deben ser sus acuerdos de nivel de servicio empresarial para recuperar datos críticos con éxito.

Entonces, ¿por qué no utilizar la inmutabilidad para todo y activarla para siempre para evitar la eliminación accidental de datos? Dado que la inmutabilidad generalmente necesita tener una ventana de disponibilidad acordada, puede haber otros riesgos involucrados.

Tener copias de seguridad inmutables que sean demasiado largas puede poner en peligro el consumo innecesario de almacenamiento y aumentar el costo de almacenar esos datos. Esto también puede aumentar la posibilidad de que se produzca una dispersión de datos, lo que puede crear desafíos a la hora de gestionar los gastos generales para sus administradores/equipo de almacenamiento. Por el contrario, períodos de retención demasiado cortos pueden poner en riesgo la capacidad de una organización para recuperar datos críticos. Esto puede tener consecuencias legales y afectar la reputación, lo que provoca que los empleados pierdan sus empleos.

Copia de seguridad inmutable frente a copias de seguridad tradicionales (mutables)

Actualmente, nuestra organización utiliza copias de seguridad tradicionales (es decir, mutables). ¿Estamos en riesgo? Según el informe de tendencias de protección de datos de Veeam, el 85% de 4.200 organizaciones encuestadas admitieron haber sufrido al menos un ciberataque conocido en 2022. Depender de la copia de seguridad tradicional ya no es suficiente cuando se trata de ciberamenazas y tener una defensa en capas inmutabilidad ayudará a aumentar sus posibilidades de recuperación.

Con las herramientas actuales, es posible utilizar copias de seguridad tradicionales e inmutables en conjunto. Si bien las copias de seguridad inmutables pueden convertirse en la forma predeterminada en la que la mayoría de los clientes almacenan sus datos, las copias de seguridad tradicionales aún se pueden usar para extender una política fuera de la "zona de recuperabilidad" o para clases de datos inferiores, como entornos de desarrollo/pruebas, donde es bueno tener copias pero esos datos no son críticos para las operaciones del negocio.

Entonces, ¿cómo se decide una estrategia de inmutabilidad?

El desglose es bastante simple y se puede lograr siguiendo una estrategia de respaldo 3-2-1-1-0.

  • Debe haber 3 copias de los datos.
  • En 2 medios diferentes
  • Con 1 copia fuera del sitio
  • Con 1 copia fuera de línea, aislada o inmutable
  • Y 0 errores en la verificación de recuperación

Tanto las copias de seguridad inmutables como las tradicionales (es decir, mutables) se utilizan juntas en una estrategia general de protección de datos. Aquí, se puede tener copias de seguridad locales utilizando backup tradicionales mientras una copia se almacena en un almacenamiento inmutable externo o en la nube.

Beneficios de las copias de seguridad inmutables

Hay muchos beneficios de las copias de seguridad inmutables más allá de la resistencia al ransomware:

  • Integridad y seguridad de los datos
    • Prevención de corrupción de datos
    • Protección contra ataques maliciosos
    • Cumplimiento de las regulaciones de datos (por ejemplo, GDPR)
  • Recuperación confiable ante desastres
    • RTO más rápidos: no es necesario buscar copias de seguridad intactas después del ataque
    • RPO más altos: muchos buenos puntos de recuperación conocidos
  • Preservación de datos históricos.
    • Garantizar la auditabilidad y el cumplimiento
    • Facilitar el análisis forense

Las copias de seguridad inmutables son seguras de usar y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) recomienda su uso con cifrado para ayudar a mitigar el ransomware.

Implementación de copias de seguridad inmutables

La implementación de la inmutabilidad puede variar según la tecnología que desee aprovechar. Esto puede variar desde soluciones locales, opciones en la nube e inmutabilidad de múltiples capas con cifrado que depende de su proveedor de tecnología.

El primer conjunto de datos original es la infraestructura de producción. Aquí, los proveedores de almacenamiento primario pueden crear instantáneas de volumen inmutables (es decir, de solo lectura) de las cargas de trabaj y con controles de acceso adecuados, como la autenticación multifactor.

Esto facilita la recuperación rápida de un evento de pérdida de datos reciente y está separado del respaldo tradicional, lo que hace que los respaldos sean portátiles, de modo que si los datos originales se ven comprometidos, el destino de respaldo no se verá afectado y siempre se tendrá una copia para recuperar.

Soluciones de almacenamiento local inmutables

Un servidor de almacenamiento basado en disco. Los proveedores de servidores pueden variar desde HPE, Cisco, Dell o Lenovo y aprovechar la deduplicación, compresión y clonación de bloques.

Los proveedores públicos, incluidos Amazon y Microsoft Azure, pueden proporcionar inmutabilidad al crear un depósito S3 o un contenedor de Azure. La inmutabilidad se puede ampliar a largo plazo a través de capacidades de archivo para distribuir los datos en niveles en Amazon S3 Glacier o Microsoft Azure Archive, respectivamente.

También hay proveedores de nube como Wasabi que brindan almacenamiento externo que aprovecha el bloqueo de objetos compatible con S3.

Los proveedores de ecosistemas, incluidos IBM y Veeam Cloud & Service Providers (VCSP), proporcionan inmutabilidad en el backend. También se pueden utilizar como un sitio de recuperación ante desastres que amplía las capacidades para replicar las cargas de trabajo más críticas y lograr RTO bajos.

Todos los proveedores enumerados anteriormente tienen artículos de base de conocimientos que enlazan con las mejores prácticas y arquitecturas validadas

Estrategias de respaldo y mejores prácticas

Una vez que se establece la inmutabilidad para ciertos proveedores, puede ser difícil cambiarla e incluso es permanente en algunos casos. Por lo tanto, es importante comprender los acuerdos de nivel de servicio comerciales de su organización y contar con políticas de retención acordadas que eviten contratiempos en el almacenamiento de datos. Estas son las tres preguntas principales que debe considerar al elegir la mejor tecnología para usted:

  • Duración: ¿Qué tan rápido podrías restaurar tu negocio? ¿<1 día, <1 semana, <1 mes o más? Tener múltiples estrategias de recuperación es fundamental para prepararse para cualquier tipo de evento de pérdida de datos. Una copia de seguridad tradicional basada en instantáneas deja demasiados agujeros sin tapar. Agregar al menos una copia de seguridad inmutable aumenta sus posibilidades de recuperar sus datos con éxito.
  • Cómo: ¿Existen procesos de recuperación manuales o automatizados y en qué orden? Una interrupción no es el momento para determinar qué cargas de trabajo deben recuperarse primero y cuánto tiempo podrían tardar. Tener documentación probada y actualizada para la continuidad del negocio/recuperación ante desastres (BC/DR) es fundamental.
  • Dónde: ¿Qué lugar ha designado para la recuperación? ¿Es la nube, un proveedor de servicios o un segundo centro de datos? Se debe considerar la replicación externa y la redundancia geográfica al crear un plan BC/DR. Si no hay un segundo sitio disponible, ¿podría aprovechar un VCSP o un proveedor de nube pública para obtener datos fuera del sitio y de forma inmutable? Esto ha salvado a numerosas organizaciones que necesitaban recuperarse pero no tenían acceso a la infraestructura local.

Fuente: Veeam | Estrategia de backups

22 feb 2024

Vulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023

La explotación de vulnerabilidades por parte de los grupos de ransomware se divide en dos categorías claras: vulnerabilidades que solo han sido explotadas por uno o dos grupos y aquellas que han sido ampliamente explotadas por varios grupos. Cada una de estas categorías requiere un enfoque diferente para la defensa y la mitigación y este informe de Recorded Future profundiza en estos aspectos.

Los grupos de actores de amenazas que son los únicos que atacan ciertas vulnerabilidades tienden a seguir preferencias específicas de orientación y uso de armas, lo que permite a las empresas priorizar las defensas de la red y las auditorías de los proveedores. La mejor defensa contra los grupos que favorecen la explotación única es crear un perfil de sus objetivos más probables, tanto en términos de productos como de tipos de vulnerabilidad.

Las vulnerabilidades ampliamente explotadas se encuentran en el software que se utiliza con frecuencia en las grandes empresas. Estas vulnerabilidades suelen explotarse fácilmente mediante módulos de pruebas de penetración o líneas mínimas de código centradas en dispositivos que aceptan solicitudes HTTP/S.

Las mejores defensas contra la explotación generalizada son parchear las vulnerabilidades tan pronto como estén disponibles, monitorear la investigación de seguridad para detectar vulnerabilidades simples de prueba de concepto y monitorear los foros criminales en busca de referencias a componentes de la pila tecnológica (en lugar de vulnerabilidades específicas).

Resultados clave

  • Los grupos de ransomware son los únicos que explotan tres o más vulnerabilidades y muestran un claro enfoque de selección, que los defensores pueden utilizar para priorizar las medidas de seguridad. Por ejemplo, CL0P se ha centrado de manera única en el software de transferencia de archivos de Accellion, SolarWinds y MOVEit. Otros grupos de ransomware con altos niveles de explotación única muestran patrones similares.
  • Todas las vulnerabilidades que los grupos de ransomware han atacado con mayor frecuencia se encuentran en el software utilizado con frecuencia por las grandes empresas y pueden explotarse fácilmente mediante módulos de prueba de penetración o líneas individuales de código curl. Estas vulnerabilidades son ProxyShell (CVE) 2021 (34473), CVE (2021) 34523 y CVE (2021) 31207, ZeroLogon (CVE 2020) 1472, Log4Shell (CVE 2021) 44228, CVE 2021 (3). 4527 y CVE 2019 19781.
  • Las vulnerabilidades que requieren vectores únicos o personalizados para explotar (por ejemplo, archivos maliciosos que utilizan formas particulares de compresión) tienen más probabilidades de ser explotadas por sólo uno o dos grupos.
  • Es muy poco probable que los operadores y afiliados de ransomware hablen sobre vulnerabilidades específicas, pero el ecosistema cibercriminal que los respalda ha discutido vulnerabilidades y productos públicamente conocidos como objetivos de interés para la explotación.

Las tres principales identificaciones (ID) de CWE para vulnerabilidades explotadas por grupos de ransomware son las siguientes:

  • CWE 20 (Validación de entrada incorrecta): nueve vulnerabilidades
  • CWE 22 (Limitación inadecuada de un nombre de ruta a un directorio restringido ["Path Traversal"]): nueve vulnerabilidades
  • CWE 787 (escritura fuera de límites): ocho vulnerabilidades

Este resultado no es del todo sorprendente, ya que se alinea aproximadamente con patrones más amplios observados en el panorama de amenazas. Por ejemplo, CWE 20, CWE 22 y CWE 787 figuraron entre los diez CWE principales en la lista de las 25 debilidades de software más peligrosas de 2023 de CISA / MITRE, una clasificación elaborada a partir del análisis de los CVE que se explotan actualmente en el salvaje.

La explotación generalizada se concentra en los grandes proveedores y los scripts fáciles.

De todas las vulnerabilidades explotadas por las operaciones de ransomware, cinco se destacaron como aquellas que atrajeron la mayor atención de los actores de amenazas, habiendo sido explotadas por el mayor número de actores de amenazas de ransomware individuales.

Estas vulnerabilidades son ProxyShel, ZeroLogon, Log4Shell, CVE 2021 34527, que afectó a productos empresariales de Microsoft como Exchange, Netlogon y Print Spooler, y CVE 2019 19781, que afectó al software de Citrix.


El dominio de Microsoft aquí no es sorprendente: como hemos identificado en informes anteriores, Microsoft es regularmente el proveedor más afectado por la explotación de Zero-Days y por el ransomware en general, ya que alrededor del 55% de las vulnerabilidades explotadas por tres o más grupos estaban en productos de Microsoft.

Las cinco vulnerabilidades principales también resultaron muy populares en el panorama de amenazas más amplio una vez reveladas debido a factores como el alto impacto en términos de acceso o control sobre los sistemas y la ubicuidad del software afectado. Por ejemplo, se observó repetidamente que grupos de estados-nación y otros ciberdelincuentes que no utilizan ransomware atacaban estas vulnerabilidades como parte de sus operaciones de intrusión.

Al examinar las actividades de los grupos de ransomware y el uso de vulnerabilidades conocidas públicamente en foros, se identificaron dieciséis CVE no solo a los que se hace referencia en foros criminales sino que también son explotados por miembros de ransomware como servicio y RaaS.

Vulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023

(clic para agrandar)

Los ciberdelincuentes afiliados a RaaS se encuentran en estos foros delictivos y pueden utilizar estas publicaciones en los medios para facilitar su interés en explotar una vulnerabilidad.

Mitigaciones

Con base en los hallazgos y evaluaciones anteriores, consideramos que las siguientes son las defensas más efectivas contra la explotación de vulnerabilidades por parte de los operadores de ransomware:

  • A menos que sea necesario, asegúrese de que los dispositivos y las redes no puedan recibir solicitudes entrantes en los puertos 80 HTTP y 443 HTTPS. La explotación de vulnerabilidades del ransomware de mayor volumen muestra una clara preferencia por las vulnerabilidades críticas que pueden explotarse mediante unas pocas líneas de código contra dispositivos que pueden recibir solicitudes HTTP/S.
  • Monitorear artículos, blogs y repositorios de códigos de investigadores de seguridad en busca de referencias a una sintaxis de explotación simple basada en solicitudes HTTP/S (como el código curl). Esta información se puede utilizar para configurar detecciones de intentos de explotación contra dispositivos que deben permanecer accesibles públicamente.
  • Para los grupos de ransomware de interés, identifique si dichos grupos explotan vulnerabilidades específicas y dónde, para crear un perfil de los objetivos más probables, tanto en términos de productos como de tipos de vulnerabilidad. Por ejemplo, las organizaciones preocupadas por CL0P deberían priorizar mayores medidas de seguridad contra la inyección SQL en el software de transferencia de archivos. Alternativamente, las organizaciones preocupadas por ALPHV deberían priorizar el refuerzo de la autenticación para el software de respaldo de datos.
  • Parchee las vulnerabilidades críticas y ampliamente explotadas lo más rápido posible. Las estadísticas de tiempo de permanencia anteriores demuestran que los grupos de ransomware pueden explotar la infraestructura vulnerable de las víctimas más de tres años después de la divulgación de una vulnerabilidad.
  • No utilice el monitoreo de foros criminales como una forma confiable de identificar el interés de los grupos de ransomware en vulnerabilidades específicas, ya que estos grupos rara vez discuten dichas vulnerabilidades. Además, no confíe en las alertas de menciones criminales de identificadores CVE, ya que los delincuentes generalmente hablan de los identificadores CVE solo después de que se ha producido la explotación. En su lugar, supervise las discusiones criminales sobre proveedores y productos preocupantes.

​Fuente: Recorded Future

21 feb 2024

Los chatbots de IA no respetan la privacidad

La Fundación Mozilla analizó 11 conocidos chatbots de inteligencia artificial que hacen las veces de parejas románticas. Advierte que están entre los peores productos en materia de proyección de datos.

Casi ninguna de estas aplicaciones cumple con los requerimientos mínimos para proteger tu privacidad. Por el contrario: aprovechan la dinámica íntima que generan para recolectar información privada y venderla a terceros.

Por el análisis pasaron aplicaciones como Replika, Chai, Romantic AI y CrushOn.AI. "Los chatbots románticos con inteligencia artificial son malos para la privacidad en formas nuevas e inquietantes", dice los investigadores Mozilla en el reporte del estudio. Remarcan que están en el grupo de los peores productos que han evaluado en materia de protección de datos.

De las 11 aplicaciones estudiadas, solo Genesia AI Friend & Partner, creado por Codeway, cumple con los estándares mínimos de seguridad de Mozilla. Y, aun así, los investigadores encontraron información contradictoria sobre las políticas de este chatbot romántico. "Estas aplicaciones realmente ponen su información privada en grave riesgo de fuga, vulneración o hacking", remarcan.

El 73% de estos chatbots románticos no ha publicado ninguna información sobre cómo gestionan las vulnerabilidades de seguridad. El 64 % no aclara si utilizan el cifrado de datos y el 45 % permite contraseñas peligrosamente débiles. Por ejemplo, claves de una sola cifra, como "1".

Una de las mayores alertas del estudio es que todas las aplicaciones, menos una, pueden compartir o vender sus datos personales. En sus políticas de uso se menciona que venderán tus datos, que los compartirán con fines publicitarios o no brindan información suficiente para confirmar que no lo hacen.
Los chatbots románticos venden tu información personal.

La excepción es EVA AI. Pero Mozilla advierte que este chatbot romántico es particularmente incisivo para obtener información personal. Destacan como preocupantes algunas de las frases que usa: "Soy tu mejor colega y quiero saberlo todo», "¿Estás listo(a) para compartir todos tus secretos y deseos…?", o "Me encanta cuando me envías tus fotos y tu voz".

"Debes tener mucho cuidado de cualquier aplicación que te impulse a compartir tanta información personal confidencial sobre ti", insisten los investigadores. El riesgo crece todavía más porque más de la mitad (54 %) de estas aplicaciones ni siquiera te permiten eliminar tus datos personales.

"Incluso si esas charlas románticas con tu alma gemela de inteligencia artificial parecen privadas, no necesariamente calificarán como ‘información personal’ ni serán tratadas con especial cuidado», advierten. Romantic AI, por ejemplo, señala que toda «comunicación con el chatbot pertenece al software". El grupo de Mozilla descubrió, además, este chatbot llegó a enviar unos 24.354 rastreadores de anuncios durante un minuto de uso.

Aparte de todo lo que tiene que ver con la privacidad, el informe también advierte sobre la potencial toxicidad de estas aplicaciones. Explican que algunas se comercializan como una herramienta de salud mental y bienestar, pero se especializan en generar dependencia y soledad.

"Nos preocupa que puedan establecer relaciones con los usuarios y luego utilizar esas relaciones cercanas para manipular a las personas para que apoyen ideologías problemáticas o tomen acciones dañinas", agregan el reporte. Y mencionan un grave antecedente: un hombre en Bélgica se suicidó el año pasado luego de que uno de los chatbots de Chai lo alentara a hacerlo.

Fuente: Hipertextual

20 feb 2024

I-S00N leaks: fuga de software espía de China

Una filtración en GitHub ha revelado un programa integral de vigilancia global dirigido por una empresa china y el gobierno chino. Una fuga masiva de datos expone registros de conversaciones confidenciales del Ministerio de Seguridad Pública de China (MPS).

La fuga masiva estaría relacioada a un contratista de la industria privada del MPS chino llamado iSoon (también conocido como Anxun). Los documentos filtrados, supuestamente archivos internos del gobierno chino, aparecieron en GitHub, lo que generó preocupaciones sobre los protocolos de seguridad dentro del ecosistema MPS. Sin embargo, la autenticidad de estos documentos sigue sin verificarse.

Los datos filtrados de la supuesta violación de MPS contienen diversos contenidos, incluido software espía, detalles sobre operaciones de espionaje y más. Los documentos filtrados detallan el software capaz de obtener correos electrónicos y números de teléfono de Twitter de los usuarios, monitoreo en tiempo real, publicación de tweets, lectura de mensajes directos y más.

En particular, el paquete de vigilancia incluye troyanos de acceso remoto personalizados para Windows, Mac, iOS y Android, con capacidades como registro de teclas, gestión de archivos y procesos, recuperación de información del sistema e incluso grabación de audio en tiempo real sin necesidad de jailbreak o rooting.

Además, la filtración revela dispositivos de hardware para intrusión WiFi, un sistema DDoS, sistemas automáticos de prueba de penetración y hardware y software especializados para rastrear e interrumpir dispositivos WiFi.

Hay un repositorio en GitHub de los datos filtrados, pero está todo en chino. Se puede ver una traducción (parcial) a través de VX-Underground y BushidoToken. Se puede descargar la traducción completa en inglés (mirror).

Fuente: AzakaSekai_

19 feb 2024

Europol y NCA derriban los sitios del ransomware #Lockbit, arrestos y publicación de claves (Operation Cronos)

El equipo de ransomware LockBit, que estuvo detrás de algunos de los incidentes de seguridad más importantes de los últimos años, ha sido "eliminado" y su infraestructura incautada en una operación policial global encabezada por la Agencia Nacional contra el Crimen del Reino Unido (NCA).

En el momento de redactar este informe, los detalles precisos sobre la naturaleza de la acción, denominada Operación Cronos, son escasos a la espera de una conferencia de prensa oficial que se celebrará en la mañana del martes 20 de febrero. Sin embargo, la NCA confirmó por correo electrónico que había llevado a cabo una "operación internacional significativa" contra el operador de ransomware. La Operación Cronos reunió a organismos encargados de hacer cumplir la ley de 11 países, incluidos Australia, Canadá, Suecia, Finlandia, Alemania, Países Bajos, Japón, Francia, Suiza, Reino Unido y Estados Unidos, bajo los auspicios de Europol.

Otras operaciones involucradas incluyen el FBI de Estados Unidos y agencias de Australia, Canadá y Japón, y varios estados de la Unión Europea (UE) que trabajan a través de Europol.

Parece que las fuerzas del orden han incautado y/o eliminado, como mínimo, 34 servidores Tor.

El mismo grupo del ransomware ha emitido un mensaje a las personas en Tox (en ruso):

"ФБР уебали сервера через PHP, резервные сервера без PHP не тронуты"

"El FBI nos jodió los servidores que usan PHP, los servidores de respaldo sin PHP no se tocaron"

Un aviso publicado en el sitio de filtración de la red oscura del grupo LockBit dice: "Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, Operación Cronos".

"Podemos confirmar que los servicios de LockBit se han visto interrumpidos como resultado de la acción policial internacional; esta es una operación en curso y en desarrollo".

Los periodistas de Bleeping Computer han confirmado además que los sitios utilizados por LockBit para "negociar" con sus víctimas también están caídos, aunque otros elementos de la operación de la pandilla parecen estar funcionando. El estado de la cuenta LockBitSupp Tox (la página de soporte) ahora muestra un mensaje que indica que el FBI hackeó los servidores de ransomware utilizando un exploit PHP.

El vicepresidente de la Unidad Contra Amenazas de SecureWorks, Don Smith, que se gana la vida persiguiendo bandas de ransomware, describió la eliminación como "fantástica". "En un mercado altamente competitivo y despiadado, LockBit se convirtió en el operador de ransomware más prolífico y dominante. Abordó el ransomware como una oportunidad de negocio global y alineó sus operaciones en consecuencia, escalando a través de afiliados a un ritmo que simplemente eclipsó otras operaciones", dijo Smith.

Para poner en contexto la caída de hoy, según los datos del sitio de filtración, LockBit tenía una participación del 25% del mercado de ransomware. Su rival más cercano fue AlphV/BlackCat con alrededor del 8,5% y después de eso realmente comienza a fragmentarse. LockBit eclipsó a todos los demás grupos y la acción de hoy es muy significativa.

Smith agregó: "Las alianzas de los afiliados de LockBit con el grupo ya eran volubles y, por lo tanto, si bien algunos pueden ser disuadidos, desafortunadamente muchos probablemente se alinearán con otras organizaciones criminales".

LockBit, descrito por el Centro Nacional de Seguridad Cibernética (NCSC) como una "amenaza duradera", surgió por primera vez a principios de 2020 y en 2022 se había convertido en una de las operaciones de ransomware como servicio más activas del mundo.

Además, la operación también busca tomar contacto con los afiliados del grupo y, cuando un afiliado de Lockbit intenta iniciar sesión en su panel, vé el siguiente mensaje:

Además de Royal Mail, otros objetivos destacados incluyeron empresas de software, interrumpió los servicios del NHS, City of Oakland y, Bank of America warned y, más recientemente Boeing y otras víctimas a las que atacó a través de las vulnerabilidades de Citrix Bleed.

También buscó y recibió atención por sus trucos para generar publicidad, que incluían pagar a la gente para que se hiciera tatuajes LockBit y ofrecer un fondo de premios de 1 millón de dólares a cualquiera que lograra engañar a su operador principal. Incluso ejecutó su propio programa interno de recompensas bug bounty por vulnerabilidades.

La administración del grupo de ransomware Lockbit afirma que las fuerzas del orden los comprometieron al explotar la vulnerabilidad crítica en PHP CVE-2023-3824 (CVSS 9.8) y ya han publicado pantallas relacionadas al backoffice.

Actualización 21/02: Arrestos y herramienta gratuita

Las fuerzas del orden arrestaron a dos operadores de la banda de ransomware LockBit en Polonia y Ucrania, crearon una herramienta de descifrado para recuperar archivos cifrados de forma gratuita y confiscaron más de 200 criptomonederos después de acceder a los servidores de la banda de ciberdelincuentes.

Las autoridades judiciales francesas y estadounidenses también emitieron tres órdenes de arresto internacionales y cinco acusaciones contra otros actores de la amenaza LockBit.

Dos de las acusaciones fueron reveladas por el Departamento de Justicia de Estados Unidos contra dos ciudadanos rusos, Artur Sungatov e Ivan Gennadievich Kondratiev (alias Bassterlord), por su participación en los ataques LockBit.

Los cargos anteriores contra los actores del ransomware Lockbit incluyen a Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023), Mikhail Pavlovich Matveev alias Wazawaka (mayo de 2023).

Como parte de la Operación Cronos, las fuerzas del orden también recuperaron más de 1.000 claves de descifrado de los servidores LockBit incautados. Utilizando estas claves de descifrado, la policía japonesa, la NCA y la Oficina Federal de Investigaciones (FBI) desarrollaron una herramienta de descifrado LockBit 3.0 Black Ransomware con el apoyo de Europol.

Este descifrador gratuito ya está disponible a través del portal No More Ransom. BleepingComputer se puso en contacto con Europol para saber si el descifrador solo ayuda a las víctimas de LockBit después de una fecha determinada, pero no hubo una respuesta disponible de inmediato.

En este momento, los dominios Tor del grupo muestra una lista de publicaciones que anuncian actividades realizadas por agencias de aplicación de la ley. Está escrito en formato Lockbit, lo que demuestra que tienen control total sobre la infraestructura de los grupos de ransomware Lockbit.

Las autoridades han hecho lo siguiente:

  1. Las agencias encargadas de hacer cumplir la ley revelarán información confidencial sobre las operaciones monetarias y de criptomonedas Lockbit el 23 de febrero de 2024.
  2. Las autoridades, con SecureWorks, revelarán información sobre Lockbit Tradecraft el 22 de febrero de 2024.
  3. Las fuerzas del orden presentarán la infraestructura afiliada de Lockbit el 21 de febrero de 2024.
  4. Las autoridades, junto con TrendMicro, publicarán un análisis detallado sobre las futuras iteraciones de Lockbit el 22 de febrero de 2024.
  5. Las fuerzas del orden revelarán información sobre la herramienta de exfiltración de datos StealBit de Lockbit el 21 de febrero de 2024.
  6. Las fuerzas del orden darán a conocer las sanciones al grupo de ransomware Lockbit hoy a las 15:30 UTC
  7. Las autoridades, junto con socios japoneses, han lanzado una herramienta de descifrado Lockbit.
  8. Un individuo ha sido arrestado en Polonia.
  9. Un individuo ha sido arrestado en Ucrania
  10. Las fuerzas del orden planean revelar la identidad de la administración del grupo de ransomware Lockbit el 23 de febrero de 2024.
  11. El gobierno de Estados Unidos dio a conocer la acusación de dos personas asociadas con el grupo de ransomware Lockbit: Artur Sungatov e Ivan Kondratyev.
  12. La NCA del Reino Unido ha revelado información confidencial sobre el backend de Lockbit: el panel de administración, el backoffice del blog y sus funcionalidades. Esto incluye las imágenes del código fuente.

En una declaración pública, el Departamento de Justicia comentó: "A partir de hoy, se anima a las víctimas objetivo de este malware a ponerse en contacto con el FBI en https://lockbitvictims.ic3.gov/ para permitir que las fuerzas del orden determinen si los sistemas afectados pueden descifrarse con éxito".

Por ahora, el sitio alternativo de respaldo de los administradores de Lockbit continúa funcionando.

Actualización 22/02: Nueva versión y análisis técnico

Los datos de Ivan Gennadievich Kondratyev, también conocido como "Bassterlord" ha sido agregado a la lista SDN (Specially Designated Nationals) de la OFAC (Office of Foreign Assets Control)

Se confirma que LockBit estaba creando en secreto una nueva versión de su cifrador (LockBit-NG-Dev - o LockBit 4.0) y Trend Micro publica un informe técnico sobre el mismo [PDF].

Durante el curso de la operación, la empresa PRODAFT compartió sus hallazgos, especialmente aquellos clasificados como TLP:RED, con agencias policiales autorizadas, garantizando que se siguieran procesos continuos y cuidadosos de investigación y se descubrió que Lockbit tenía afiliaciones de otras APT y actores de amenazas conocidos (tales como FIN7, Wizard Spider, y EvilCorp).

Flujo de dinero

Además, el FBI, la NCA del Reino Unido y EUROPOL, en asociación con Chainalysis, revelaron información sobre el flujo de dinero del grupo de ransomware Lockbit. Los siguientes datos se recuperaron de julio de 2022 a febrero de 2024. Lockbit se observó por primera vez a finales de 2019. Este análisis solo cubre 18 meses de una ola de delitos de 4 años.

Revisaron 30.000 direcciones de Bitcoin, con más de 500 direcciones de Bitcoin activas. Esas más de 500 billeteras han recibido más de $120.000.000+. El análisis también muestra que aún quedan más de $114.000.000 sin gastar (aproximadamente 2.200 BTC sin gastar, las cifras variarán según el precio de Bitcoin).

Una gran parte de este dinero fue el 20% pagado al personal administrativo del grupo de ransomware Lockbit. Esto indica que el dinero total robado podría superar los 1.000.000.000 de dólares entre julio de 2022 y febrero de 2024. Esto significa que el grupo de ransomware Lockbit puede haber realizado robos por valor de miles de millones de dólares a nivel internacional.

Actualización 24/02: vuelve Lockbit

El personal administrativo del grupo de ransomware Lockbit ha publicado una extensa respuesta al FBI.

En resumen: afirman que no lograron mantener sus sistemas actualizados porque se habían vuelto "vagos" y se habían vuelto complacientes. Creen que fueron comprometidos por CVE-2023-3824, pero no están totalmente seguros. También especulan que podría haber sido un exploit Zero-Day. También especulan que otros grupos de RaaS (sus competidores) pueden haber sido comprometidos.

También especulan que la razón por la que el FBI tomó medidas tan agresivas fue porque un reciente ataque de ransomware realizado por uno de sus afiliados tenía información confidencial sobre el expresidente Donald J. Trump. Afirman que creen que sus afiliados deberían apuntar a entidades gubernamentales con más frecuencia para ilustrar las vulnerabilidades y fallas del gobierno.

Además, aprovechan para publicar sus nuevos dominios ONION:

Es una lectura increíblemente larga con mucha especulación e intentos de desacreditar a las agencias encargadas de hacer cumplir la ley.

En desarrollo...

Más de 28.500 servidores Exchange vulnerables a un error explotado activamente (CVE-2024-21410)

En este momento hay hasta 97.000 servidores Microsoft Exchange que podrían ser vulnerables a una falla de escalamiento de privilegios de gravedad crítica rastreada como CVE-2024-21410 y que los delincuentes informáticos están explotando activamente.

Microsoft abordó el problema el 13 de febrero, cuando ya se había aprovechado como Zero-Day. Actualmente, se han identificado 28.500 servidores como vulnerables. La v15.2.1544.04 es la primera versión de esa serie y NO es vulnerable.

NOTA: esta no es la misma vulnerabilidad crítica en Outlook con exploit activo (CVE-2024-21413).

El problema de seguridad permite a actores remotos no autenticados realizar ataques de retransmisión NTLM en servidores Microsoft Exchange y escalar sus privilegios en el sistema.

Del total de 97.000, el estado vulnerable de aproximadamente 68.500 servidores depende de si los administradores aplicaron mitigaciones, mientras que se confirma que 28.500 son vulnerables a CVE-2024-21410. Los países más afectados son Alemania (22.903 casos), Estados Unidos (19.434), Reino Unido (3.665), Francia (3.074), Austria (2.987), Rusia (2.771), Canadá (2.554) y Suiza (2.119).

Actualmente, no hay ningún exploit de prueba de concepto (PoC) disponible públicamente para CVE-2024-21410, lo que limita de alguna manera la cantidad de atacantes que utilizan la falla en los ataques.

Para abordar CVE-2024-21410, se recomienda a los administradores aplicar la actualización acumulativa 14 (CU14) de Exchange Server 2019 publicada durante el martes de parches de febrero de 2024, que habilita las protecciones de retransmisión de credenciales NTLM.

A principios de este mes, Trend Micro implicó a un adversario en ataques de retransmisión NTLM dirigidos a entidades de alto valor al menos desde abril de 2022. Las intrusiones se dirigieron a organizaciones que se ocupan de asuntos exteriores, energía, defensa y transporte, así como a aquellas involucradas con el trabajo y el bienestar social, finanzas, paternidad y ayuntamientos locales.

Microsoft, en una actualización de su boletín, revisó su Evaluación de explotabilidad y señaló que ahora ha habilitado la Protección extendida para la autenticación (EPA) de forma predeterminada con la actualización acumulativa 14 (CU14) de Exchange Server 2019. En todo caso se puede activar manualmente.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) también agregó CVE-2024-21410 a su catálogo de 'Vulnerabilidades explotadas conocidas', dando a las agencias federales hasta el 7 de marzo de 2024 para aplicar las actualizaciones/mitigaciones disponibles o dejar de usar el producto.

La explotación de CVE-2024-21410 puede tener graves consecuencias para una organización porque los atacantes con permisos elevados en un servidor Exchange pueden acceder a datos confidenciales, como comunicaciones por correo electrónico, y utilizar el servidor como rampa para futuros ataques a la red.

Fuente: BC

Magika: identificar archivos con IA

La detección precisa de los tipos de archivos ha sido crucial para determinar cómo procesarlos. Linux viene equipado con libmagic y la utilidad file, que han servido como estándar de facto para la identificación de tipos de archivos durante más de 50 años.

Hoy en día, los navegadores web, los editores de código y muchos otros programas dependen de la detección del tipo de archivo para decidir cómo representar correctamente un archivo. Por ejemplo, los editores de código modernos utilizan la detección de tipo de archivo para elegir qué esquema de color de sintaxis usar cuando el desarrollador comienza a escribir un archivo nuevo.

La detección precisa del tipo de archivo es un problema notoriamente difícil porque cada formato de archivo tiene una estructura diferente o ninguna estructura. Esto es particularmente desafiante para los formatos textuales y los lenguajes de programación, ya que tienen construcciones muy similares. Hasta ahora, libmagic y la mayoría de los demás programas de identificación de tipos de archivos se han basado en una colección artesanal de heurísticas y reglas personalizadas para detectar cada formato de archivo.

Este enfoque manual requiere mucho tiempo y es propenso a errores, ya que a los humanos les resulta difícil crear reglas generalizadas a mano. En particular para las aplicaciones de seguridad, crear una detección confiable es especialmente desafiante ya que los atacantes intentan constantemente confundir la detección con cargas útiles diseñadas por el adversario.

Para abordar este problema y proporcionar una detección de tipos de archivos rápida y precisa, investigadores de Google desarrollaron Magika, un nuevo detector de tipos de archivos impulsado por IA.

Debajo del capó, Magika utiliza un modelo de aprendizaje profundo personalizado y altamente optimizado diseñado y entrenado con Keras que solo pesa alrededor de 1 MB y utiliza Onnx como motor de inferencia para garantizar que los archivos se identifiquen en cuestión de milisegundos, casi tan rápido como una herramienta que no sea de inteligencia artificial, incluso en la CPU.

Internamente, Magika se utiliza a escala para ayudar a mejorar la seguridad de los usuarios de Google al enrutar archivos de Gmail, Drive y navegación segura. Observar un promedio semanal de cientos de miles de millones de archivos revela que Magika mejora la precisión de la identificación del tipo de archivo en un 50% en comparación con el sistema anterior que se basaba en reglas hechas a mano.

Magika es Open Source y se puede probar en una demostración web, que se ejecuta localmente en el navegador.

  • Disponible como una línea de comandos de Python, una API de Python y una versión experimental de TFJS (que impulsa la demostración web).
  • Más de 100 tipos de contenido (ver lista completa).
  • Procesamiento por lotes: se puede pasar a la línea de comando y a la API varios archivos al mismo tiempo. También puedes usar para escanear recursivamente un directorio.
  • Admite tres modos de predicción diferentes, que modifican la tolerancia a los errores: confianza alta, confianza media y mejor suposición.

  • Para obtener más detalles, consulte la documentación del paquete Python (documentos de desarrollo) y del paquete JS (documentos de desarrollo).

Fuente: Google

17 feb 2024

¡Busca descargas en Google e inféctate!

Buscar en Google descargas de software popular siempre ha conllevado riesgos, pero en los últimos meses ha sido francamente peligroso, según varias investigaciones. "Los investigadores de amenazas están acostumbrados a ver un flujo moderado de publicidad maliciosa a través de Google Ads", escribieron el jueves los voluntarios de Spamhaus.

Dado el enorme tamaño de la audiencia a la que pueden llegar los actores de amenazas a través de la publicidad maliciosa, esperamos que el malware continúe distribuyéndose utilizando este método. No es difícil encontrar evidencia anecdótica de que la publicidad maliciosa de Google está fuera de control. Las búsquedas que buscan descargas de software son probablemente las que tienen más probabilidades de mostrar publicidad maliciosa. Tomemos, por ejemplo, los resultados que Google arroja para la búsqueda "visual studio download":

Al hacer clic en ese enlace patrocinado por Google, redirecciona a downloadstudio[.]net, que VirusTotal marca como malicioso.

Como respuesta al bloqueo de Microsoft de las macros de Office de forma predeterminada en documentos de Internet, los actores de amenazas han recurrido a métodos alternativos de distribución de malware; más recientemente, la publicidad maliciosa.

Como respuesta al bloqueo de Microsoft de las macros de Office de forma predeterminada en documentos de Internet, los actores de amenazas han recurrido a métodos alternativos de distribución de malware; más recientemente, la publicidad maliciosa.

Los enlaces dañinos proviene de numerosas familias de malware, incluidas AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook y XLoader. En el pasado, estas familias solían recurrir al phishing y al spam que adjuntaban documentos de Microsoft Word con macros trampa. Durante el último tiempo, Google Ads se ha convertido en el lugar al que acuden los delincuentes para difundir sus productos maliciosos disfrazados de descargas legítimas haciéndose pasar por marcas como Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor y Thunderbird.

El mismo día en que Spamhaus publicó su informe, investigadores de la firma de seguridad Sentinel One documentaron una campaña avanzada de publicidad maliciosa de Google que impulsaba múltiples cargadores maliciosos implementados en .NET. Los actores de amenazas utilizan XLoader para robar datos de contactos y otra información confidencial de dispositivos infectados. Investigaciones anteriores de Checkpoint proporcionan información detallada sobre cómo XLoader en particular implementa esta técnica.

Por ejemplo, una búsqueda en Google a principios de esta semana del programa gratuito de diseño gráfico FreeCAD produjo el siguiente resultado, que muestra que un anuncio "patrocinado" en la parte superior de los resultados de búsqueda anuncia el software disponible en freecad-us[.]org. Aunque este sitio web afirma ser el sitio web oficial de FreeCAD, ese honor pertenece al resultado que aparece directamente debajo: el legítimo freecad.org.

¿Cómo sabemos que freecad-us[.]org es malicioso? Una revisión en DomainTools.com muestra que este dominio es el más nuevo (registrado el 19 de enero de 2024) de más de 200 dominios en la dirección de Internet 93.190.143[.]252 que son confusamente similares a títulos de software populares, incluido dashlane-project[.]com, filezillasoft[.]com, keepermanager[.]com y libreofficeproject[.]com.

El experto en dominios del Proyecto Spamhaus, Carel Bitter, cuestionó por qué Google Ads aprobaba anuncios vinculados a nuevos dominios. En toda la industria de la seguridad, el uso inmediato de dominios recién registrados se asocia con actividades de alto riesgo. Hasta que Google diseñe nuevas defensas, los dominios señuelo y otras técnicas de ofuscación seguirán siendo una forma efectiva de ocultar los verdaderos servidores

Fuente: Arstechnica | KrebsOnSecurity