Los ataques de phishing por correo electrónico aumentaron un 28 % en el segundo trimestre de 2024 en comparación con el primer trimestre, y los atacantes desplegaron formas efectivas de superar las defensas, según un nuevo informe de Egress. Una táctica frecuente utilizada por los atacantes fue enviar correos electrónicos de phishing desde cuentas conocidas para eludir los protocolos de autenticación. En el período de abril a junio de 2024, el 44 % de los ataques se enviaron desde cuentas comprometidas internamente y el 8 % se originó en una cuenta dentro de la cadena de suministro de la organización. En una sesión informativa, Jack Chapman, vicepresidente senior de inteligencia de amenazas en Egress, explicó que la táctica mediante la cual los atacantes configuraban sus propios dominios para enviar correos electrónicos casi ha desaparecido. Otro método creciente para eludir las herramientas de seguridad es el uso de códigos QR como carga útil, que representan el 12% de los correos electrónicos de phishing. Las cargas útiles más frecuentes en todos los correos electrónicos de phishing analizados en el segundo trimestre fueron los hipervínculos, que se encontraron en el 45% de los casos, seguidos de los archivos adjuntos, que aparecieron en el 23% de los casos. El propósito de estas cargas útiles era generalmente robar credenciales, dijo Chapman. Estas credenciales pueden permitir ataques de seguimiento y son un «activo comúnmente comercializado» entre los ciberdelincuentes. La mayoría de los correos electrónicos de phishing implican suplantación de identidad El informe encontró que el 89% de los correos electrónicos de phishing enviados entre el 1 de enero y el 31 de agosto de 2024 implicaban suplantación de identidad, ya sea de una marca, departamento o individuo. Más de una cuarta parte (26%) de estos correos electrónicos se hacían pasar por marcas ajenas al destinatario. Entre ellos, el 9,7% se hizo pasar por proveedores de telefonía o videoconferencias como Zoom y el 5,3% se hizo pasar por servicios de envío como UPS o DPD. Otra técnica de suplantación popular fue hacerse pasar por la empresa para la que trabaja el objetivo, lo que representó el 16% de todos los correos electrónicos de phishing. Recursos humanos, TI y finanzas fueron los departamentos más suplantados, ya que las personas en estas áreas piden regularmente a los empleados que lleven a cabo acciones específicas relacionadas con el uso del sistema y los pagos. Los atacantes también están mejorando en la adaptación de los ataques a los empleados según sus niveles de antigüedad. Por ejemplo, los recién llegados con un mandato de dos a siete semanas eran las personas más objetivo de los correos electrónicos de phishing que se hacían pasar por «VIP», generalmente altos ejecutivos dentro de la organización, como el director ejecutivo. Chapman señaló que los nuevos empleados suelen estar ansiosos por complacer y ayudar, lo que los hace más susceptibles a esta táctica. Añadió que los atacantes suelen utilizar bots de LinkedIn para identificar nuevos integrantes en las organizaciones. Lea ahora: Cómo burlar nuevas tácticas y técnicas de phishing. Los ataques a productos básicos van en aumento. Egress observó el uso creciente de ataques de phishing a productos básicos: campañas producidas en masa diseñadas para abrumar a los empleados y administradores de ciberseguridad por su gran volumen. Durante una campaña de productos básicos, las organizaciones objetivo experimentan un aumento del 2700 % en ataques de phishing en comparación con su nivel de referencia normal. La prevalencia de tales campañas ha fluctuado. Egress observó que la popularidad de los ataques a productos básicos alcanzó su punto máximo en diciembre de 2023, representando el 13,6% de todos los correos electrónicos de phishing. La firma predice que se producirá un aumento similar en diciembre de 2024, a medida que los ciberdelincuentes exploten una mayor publicidad legítima y correos electrónicos de marcas durante el período festivo. Alrededor de las tres cuartas partes (72,3%) de los ataques a productos básicos utilizaron un hipervínculo como carga útil, seguido de códigos QR con un 14%. Chapman explicó que muchos de los correos electrónicos de phishing enviados durante las campañas de productos básicos son fáciles de detectar, pero sirven como «ruido blanco» para permitir que los intentos de phishing más sofisticados tengan éxito. «Están siendo malos a propósito para permitir un ataque real», dijo Chapman. Aparición de ataques multicanal Otra tendencia destacada en el informe Egress fue que los ataques se llevan a cabo en etapas a través de varios canales. Este enfoque suele ser empleado por grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés) que tienen la capacidad de llevar a cabo campañas sofisticadas y sostenidas contra objetivos específicos. Chapman señaló que si bien el correo electrónico suele ser el punto de inicio y fin de estas campañas, existen numerosas etapas intermedias que utilizan plataformas como MS Teams y WhatsApp. Esta táctica multicanal es un nuevo vector, en el que los atacantes evolucionan rápidamente sus enfoques. Su objetivo principal es mover las comunicaciones con los objetivos entre diferentes plataformas y dispositivos, tanto comerciales como personales. «Desde un punto de vista criminal, tiene sentido moverse entre dispositivos: se rompen los rastros de auditoría, por lo que, si se tiene éxito, la mitigación es más difícil», señaló Chapman. “El otro elemento clave es psicológico. A las personas se les ha enseñado a tener mucho cuidado al hacer clic en enlaces en el correo electrónico, pero a menudo no están capacitadas para hacer clic en enlaces en Teams o WhatsApp”, agregó. Los kits de herramientas de phishing como servicio ofrecen capacidades impulsadas por IA Egress analizó los kits de herramientas de phishing como servicio disponibles en la web oscura, que permiten a atacantes de amenazas menos capacitados lanzar ataques más sofisticados de los que sus propias habilidades habrían permitido anteriormente. De los kits de herramientas analizados, el 74,8% hizo referencia a la IA y el 82% mencionó los deepfakes para respaldar los ataques de phishing. Tanto los sitios de mercado de la web oscura como los vendedores que los utilizan habitualmente ofrecen garantía sobre la calidad de sus ataques y su propia reputación. Esto incluye garantías de capacidad de entrega contra las defensas nativas de Microsoft y los principales proveedores de puertas de enlace de correo electrónico seguras (SEG). Además, la mayoría de estos proveedores ofrecieron soporte a los clientes las 24 horas del día, los 7 días de la semana, generalmente a través de Gpg4win, Telegram, Signal y WhatsApp.
Categoría: Ciberseguridad Página 1 de 276
03 de octubre de 2024Ravie LakshmananCiberespionaje/Inteligencia de amenazas Se ha observado que actores de amenazas con vínculos con Corea del Norte entregan una puerta trasera y un troyano de acceso remoto (RAT) previamente indocumentados llamado VeilShell como parte de una campaña dirigida a Camboya y probablemente a otros países del Sudeste Asiático. Se cree que la actividad, denominada SHROUDED#SLEEP por Securonix, es obra de APT37, que también se conoce como InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet y ScarCruft. Activo desde al menos 2012, se considera que el colectivo adversario forma parte del Ministerio de Seguridad del Estado (MSS) de Corea del Norte. Al igual que otros grupos alineados con el Estado, los afiliados a Corea del Norte, incluidos el Grupo Lazarus y Kimsuky, varían en su modus operandi y probablemente tengan objetivos en constante evolución basados en los intereses estatales. Un malware clave en su caja de herramientas es RokRAT (también conocido como Goldbackdoor), aunque el grupo también ha desarrollado herramientas personalizadas para facilitar la recopilación de inteligencia encubierta. Actualmente no se sabe cómo se entrega a los objetivos la carga útil de la primera etapa, un archivo ZIP que contiene un archivo de acceso directo de Windows (LNK). Sin embargo, se sospecha que probablemente implique el envío de correos electrónicos de phishing. «El [VeilShell] El troyano de puerta trasera permite al atacante acceso completo a la máquina comprometida», dijeron los investigadores Den Iuzvyk y Tim Peck en un informe técnico compartido con The Hacker News. «Algunas características incluyen exfiltración de datos, registro y creación o manipulación de tareas programadas». , una vez iniciado, actúa como un cuentagotas en el sentido de que activa la ejecución del código PowerShell para decodificar y extraer los componentes de la siguiente etapa incrustados en él. Esto incluye un documento señuelo inofensivo, un documento de Microsoft Excel o un documento PDF, que se abre automáticamente, distrayendo al usuario. usuario mientras un archivo de configuración («d.exe.config») y un archivo DLL malicioso («DomainManager.dll») se escriben en segundo plano en la carpeta de inicio de Windows. También se copia en la misma carpeta un ejecutable legítimo llamado «dfsvc». .exe» que está asociado con la tecnología ClickOnce en Microsoft .NET Framework. El archivo se copia como «d.exe». Lo que hace que la cadena de ataque se destaque es el uso de una técnica menos conocida llamada inyección AppDomainManager para ejecutar DomainManager. .dll cuando se inicia «d.exe» al inicio y el binario lee el archivo «d.exe.config» adjunto ubicado en la misma carpeta de inicio. Vale la pena señalar que este enfoque también fue utilizado recientemente por el actor Earth Baxia, alineado con China, lo que indica que poco a poco está ganando terreno entre los actores de amenazas como una alternativa a la carga lateral de DLL. El archivo DLL, por su parte, se comporta como un simple cargador para recuperar código JavaScript de un servidor remoto, que, a su vez, llega a un servidor diferente para obtener la puerta trasera VeilShell. VeilShell es un malware basado en PowerShell que está diseñado para comunicarse con un servidor de comando y control (C2) para esperar más instrucciones que le permitan recopilar información sobre archivos, comprimir una carpeta específica en un archivo ZIP y cargarla nuevamente en el servidor C2. , descargue archivos desde una URL específica, cambie el nombre y elimine archivos, y extraiga archivos ZIP. «En general, los actores de amenazas fueron bastante pacientes y metódicos», observaron los investigadores. «Cada etapa del ataque presenta tiempos de suspensión muy prolongados en un esfuerzo por evitar las detecciones heurísticas tradicionales. Una vez que VeilShell se implementa, en realidad no se ejecuta hasta el siguiente reinicio del sistema». «La campaña SHROUDED#SLEEP representa una operación sofisticada y sigilosa dirigida al sudeste asiático que aprovecha múltiples capas de ejecución, mecanismos de persistencia y un RAT de puerta trasera versátil basado en PowerShell para lograr un control a largo plazo sobre los sistemas comprometidos». El informe de Securonix llega un día después de que Symantec, propiedad de Broadcom, revelara que el actor de amenazas norcoreano rastreó cómo Andariel atacó a tres organizaciones diferentes en los EE. UU. en agosto de 2024 como parte de una campaña con motivación financiera. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Se ha descubierto que un grupo de amenazas alineado con China recientemente identificado llamado CeranaKeeper apunta a instituciones gubernamentales en Tailandia. Este grupo, descubierto por investigadores de ESET y activo desde principios de 2022, aprovecha un conjunto de herramientas en evolución para filtrar datos confidenciales abusando de servicios legítimos en la nube como Dropbox, OneDrive y GitHub. Si bien algunas de las herramientas de CeranaKeeper se atribuían anteriormente al grupo Mustang Panda, el nuevo análisis de ESET reveló diferencias técnicas, lo que sugiere que se trata de entidades distintas. «Sin embargo, ambos grupos alineados con China podrían estar compartiendo información y un subconjunto de herramientas en un interés común o a través del mismo tercero», añadió la empresa. Técnicas innovadoras para la filtración de datos CeranaKeeper se destaca por su uso innovador de servicios populares para el robo de datos. El grupo ha desarrollado e implementado puertas traseras personalizadas y herramientas de filtración de datos, incluido malware basado en Python y C++. Los componentes notables incluyen WavyExfiller, una herramienta basada en Python que carga documentos confidenciales en Dropbox, y OneDoor, un malware C++ que abusa de OneDrive tanto para recibir comandos como para extraer archivos. Otra herramienta, BingoShell, utiliza la función de solicitud de extracción de GitHub para crear un canal sigiloso de comando y control (C2). Los hallazgos clave del informe de ESET incluyen: La actualización persistente de CeranaKeeper de sus puertas traseras para evadir la detección. Uso de servicios legítimos en la nube para la filtración masiva de datos. Implementación de una amplia variedad de malware personalizado en máquinas comprometidas. Estas herramientas permiten a CeranaKeeper recolectar grandes cantidades de datos mientras permanece bajo el control. Radar. Las operaciones del grupo se dirigen no sólo a entidades gubernamentales en Tailandia sino también a otros países de Asia, incluidos Myanmar, Japón y Taiwán. «El objetivo de este grupo es recolectar tantos archivos como sea posible y desarrolla componentes específicos para ese fin», escribió ESET. Lea más sobre el cibercrimen en el Sudeste Asiático: Nuevo malware bancario apunta a clientes en el Sudeste Asiático Además, los investigadores creen que la dependencia de CeranaKeeper de los servicios en la nube hace que sus operaciones sean difíciles de detectar. “[The group] utiliza servicios de nube y de intercambio de archivos para la exfiltración y probablemente se basa en el hecho de que el tráfico a estos servicios populares parecería en su mayoría legítimo y sería más difícil de bloquear cuando se identifique”, dijo ESET. «La campaña dirigida que investigamos nos brindó información sobre las operaciones de CeranaKeeper, y las campañas futuras probablemente revelarán más a medida que continúe la búsqueda de datos confidenciales por parte del grupo».
03 de octubre de 2024Ravie LakshmananLinux/Malware Los servidores Linux son el objetivo de una campaña en curso que ofrece un malware sigiloso denominado perfctl con el objetivo principal de ejecutar un minero de criptomonedas y un software de proxyjacking. «Perfctl es particularmente esquivo y persistente, y emplea varias técnicas sofisticadas», dijeron los investigadores de seguridad de Aqua Assaf Morag e Idan Revivo en un informe compartido con The Hacker News. «Cuando un nuevo usuario inicia sesión en el servidor, inmediatamente detiene todas las actividades ‘ruidosas’ y permanece inactiva hasta que el servidor vuelve a estar inactivo. Después de la ejecución, elimina su binario y continúa ejecutándose silenciosamente en segundo plano como un servicio». Vale la pena señalar que algunos aspectos de la campaña fueron revelados el mes pasado por Cado Security, que detalló una campaña que apunta a instancias de Selenium Grid expuestas a Internet con software de minería de criptomonedas y proxyjacking. Específicamente, se descubrió que el malware perfctl explota una falla de seguridad en Polkit (CVE-2021-4043, también conocido como PwnKit) para escalar privilegios para rootear y eliminar un minero llamado perfcc. La razón detrás del nombre «perfctl» parece ser un esfuerzo deliberado para evadir la detección y mezclar procesos legítimos del sistema, ya que «perf» se refiere a una herramienta de monitoreo del rendimiento de Linux y «ctl» significa control en varias herramientas de línea de comandos, como systemctl, timedatectl y Rabbitmqctl. La cadena de ataque, como lo observó la empresa de seguridad en la nube contra sus servidores honeypot, implica violar servidores Linux explotando una instancia vulnerable de Apache RocketMQ para entregar una carga útil llamada «httpd». Una vez ejecutado, se copia a sí mismo en una nueva ubicación en el directorio «/tmp», ejecuta el nuevo binario, finaliza el proceso original y elimina el binario inicial en un intento de cubrir sus huellas. Además de copiarse a otras ubicaciones y darse nombres aparentemente inofensivos, el malware está diseñado para lanzar un rootkit para evadir la defensa y la carga útil del minero. Algunos casos también implican la recuperación y ejecución de software de proxyjacking desde un servidor remoto. Para mitigar el riesgo que plantea perfctl, se recomienda mantener los sistemas y todo el software actualizados, restringir la ejecución de archivos, deshabilitar los servicios no utilizados, aplicar la segmentación de la red e implementar el control de acceso basado en roles (RBAC) para limitar el acceso a archivos críticos. . «Para detectar malware perfecto, se buscan picos inusuales en el uso de la CPU o ralentización del sistema si el rootkit se ha implementado en su servidor», dijeron los investigadores. «Estos pueden indicar actividades de criptominería, especialmente durante los tiempos de inactividad». ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Microsoft, en coordinación con el gobierno de EE. UU., se ha apoderado de más de 100 sitios web utilizados por el famoso actor de amenazas al estado-nación ruso Star Blizzard. Un tribunal estadounidense autorizó a la Unidad de Delitos Digitales (DCU) de Microsoft a confiscar 66 dominios únicos utilizados por Star Blizzard para atacar a los clientes de Microsoft en todo el mundo tras revelarse una acción civil interpuesta por el gigante tecnológico. El Departamento de Justicia de Estados Unidos (DoJ) confiscó simultáneamente 41 dominios adicionales atribuidos al mismo actor. Si bien es probable que Star Blizzard establezca nueva infraestructura, se espera que la incautación de estos dominios perturbe significativamente la capacidad del grupo para interferir con las elecciones estadounidenses de noviembre. “La reconstrucción de la infraestructura lleva tiempo, absorbe recursos y cuesta dinero. Al colaborar con el Departamento de Justicia, hemos podido ampliar el alcance de la disrupción y aprovechar más infraestructura, lo que nos permite ofrecer un mayor impacto contra Star Blizzard”, dijo Microsoft en un blog. Microsoft agregó que el procedimiento judicial existente que autorizó la eliminación le permitirá interrumpir rápidamente cualquier nueva infraestructura identificada como utilizada por Star Blizzard en el futuro. Además, el gigante tecnológico planea analizar los dominios incautados para recopilar más información sobre el grupo y el alcance de sus actividades. El ataque de Star Blizzard a los procesos democráticos Star Blizzard, también conocido como Coldriver, ha estado activo desde al menos 2017 y se centró en socavar los procesos democráticos de las naciones occidentales, incluidos Estados Unidos y el Reino Unido. El grupo utiliza principalmente sofisticados ataques de ingeniería social para robar las credenciales de personas involucradas en decisiones políticas y procesos democráticos, como funcionarios electos, grupos de expertos, periodistas y empleados del sector público. El actor de la amenaza normalmente se hace pasar por un experto en un campo en particular, para establecer una relación con el objetivo antes de enviar un enlace de phishing. En diciembre de 2023, el gobierno del Reino Unido y sus aliados atribuyeron formalmente Star Blizzard al Servicio Federal de Seguridad de Rusia (FSB) y destacaron las campañas cibernéticas del grupo diseñadas para interferir en la política y los procesos democráticos del Reino Unido. El grupo es experto en ocultar su identidad, lo que le permite realizar la transición a nuevos dominios para continuar con sus operaciones. Microsoft dijo que ha identificado 82 clientes objetivo del grupo desde enero de 2023, a un ritmo de aproximadamente un ataque por semana. «Esta frecuencia subraya la diligencia del grupo a la hora de identificar objetivos de alto valor, elaborar correos electrónicos de phishing personalizados y desarrollar la infraestructura necesaria para el robo de credenciales», escribió Microsoft. “Sus víctimas, a menudo inconscientes de la intención maliciosa, interactúan sin saberlo con estos mensajes que comprometen sus credenciales. Estos ataques agotan los recursos, obstaculizan las operaciones y avivan el miedo en las víctimas, todo lo cual obstaculiza la participación democrática”, añadió la empresa. Creciente capacidad para perturbar a los atacantes La acción adoptada por Microsoft y el gobierno de EE. UU. es la última de una serie de operaciones realizadas por las autoridades para perturbar la infraestructura técnica utilizada por los grupos de amenazas cibernéticas. El 1 de octubre, la Agencia Nacional contra el Crimen (NCA) del Reino Unido sancionó a 16 miembros del grupo de hackers ruso Evil Corp e identificó sus vínculos con el prolífico grupo de ransomware LockBit. Al mismo tiempo, Europol anunció que las fuerzas del orden arrestaron a cuatro presuntos actores de LockBit, mientras que se incautaron servidores críticos para la infraestructura del grupo. Esta actualización fue el resultado de la fase tres de la Operación Cronos, un esfuerzo global de aplicación de la ley que por primera vez derribó gran parte de la infraestructura de LockBit en febrero de 2024. Microsoft ha prometido continuar sus esfuerzos para interrumpir de manera proactiva la infraestructura cibercriminal en coordinación con el sector privado, civil. la sociedad, las agencias gubernamentales y las fuerzas del orden. Haber de imagen: Ralf Liebhold/Shutterstock.com
03 de octubre de 2024Ravie LakshmananSeguridad/tecnología móvil Google ha revelado las diversas barreras de seguridad que se han incorporado en sus últimos dispositivos Pixel para contrarrestar la creciente amenaza que representan los ataques de seguridad de banda base. La banda base celular (es decir, módem) se refiere a un procesador en el dispositivo que es responsable de manejar toda la conectividad, como LTE, 4G y 5G, con una torre de telefonía móvil o una estación base a través de una interfaz de radio. «Esta función implica inherentemente el procesamiento de entradas externas, que pueden provenir de fuentes no confiables», dijeron Sherk Chung y Stephan Chen del equipo Pixel, y Roger Piqueras Jover e Ivan Lozano del equipo Android de la compañía en una publicación de blog compartida con The Hacker News. «Por ejemplo, los actores maliciosos pueden emplear estaciones base falsas para inyectar paquetes de red fabricados o manipulados. En ciertos protocolos como IMS (IP Multimedia Subsystem), esto se puede ejecutar de forma remota desde cualquier ubicación global utilizando un cliente IMS». Es más, el firmware que alimenta la banda base celular también podría ser vulnerable a fallos y errores que, si se explotan con éxito, podrían socavar la seguridad del dispositivo, particularmente en escenarios en los que conducen a la ejecución remota de código. En una presentación de Black Hat USA en agosto pasado, un equipo de ingenieros de seguridad de Google describió el módem como un componente «fundamental» y «crítico» de un teléfono inteligente con acceso a datos confidenciales y accesible de forma remota con varias tecnologías de radio. Las amenazas a la banda base no son teóricas. En octubre de 2023, una investigación publicada por Amnistía Internacional encontró que la alianza Intellexa detrás de Predator había desarrollado una herramienta llamada Triton para explotar vulnerabilidades en el software de banda base Exynos utilizado en dispositivos Samsung para entregar software espía mercenario como parte de ataques altamente dirigidos. El ataque implica realizar un ataque de degradación encubierto que obliga al dispositivo objetivo a conectarse a la red 2G heredada mediante un simulador de sitio celular, tras lo cual se utiliza un transceptor de estación base (BTS) 2G para distribuir la carga útil nefasta. Desde entonces, Google ha introducido una nueva función de seguridad en Android 14 que permite a los administradores de TI desactivar la compatibilidad con redes celulares 2G en sus dispositivos administrados. También ha destacado el papel que juegan los sanitizers de Clang (IntSan y BoundSan) a la hora de reforzar la seguridad de la banda base del móvil en Android. Luego, a principios de este año, el gigante tecnológico reveló que está trabajando con socios del ecosistema para agregar nuevas formas de alertar a los usuarios de Android si su conexión de red celular no está cifrada y si una estación base celular falsa o una herramienta de vigilancia está registrando su ubicación utilizando un identificador de dispositivo. La compañía también ha descrito los pasos que está tomando para combatir el uso de simuladores de sitios celulares como Stingrays por parte de actores de amenazas para inyectar mensajes SMS directamente en teléfonos Android, también llamado fraude SMS Blaster. «Este método para inyectar mensajes evita por completo la red del operador, evitando así todos los sofisticados filtros antispam y antifraude basados en la red», señaló Google en agosto. «SMS Blasters exponen una red LTE o 5G falsa que ejecuta una única función: degradar la conexión del usuario a un protocolo 2G heredado». Algunas de las otras defensas que la compañía ha agregado a su nueva línea Pixel 9 incluyen canarios de pila, integridad de flujo de control (CFI) e inicialización automática de variables de pila a cero para evitar la fuga de datos confidenciales o actuar como una vía para obtener código. ejecución. «Los canarios de pila son como cables trampa configurados para garantizar que el código se ejecute en el orden esperado», decía. «Si un pirata informático intenta explotar una vulnerabilidad en la pila para cambiar el flujo de ejecución sin tener en cuenta el canario, el canario se «dispara» y alerta al sistema de un posible ataque». «De manera similar a los canarios de pila, CFI se asegura de que la ejecución del código esté restringida a lo largo de un número limitado de rutas. Si un atacante intenta desviarse del conjunto permitido de rutas de ejecución, CFI hace que el módem se reinicie en lugar de tomar la ruta de ejecución no permitida. Encontré esto ¿Te interesa el artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Cambie todas sus reglas en un solo lugar cuando cambie su dirección IP~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~⚙️ Consulte mi serie sobre Automatización de métricas de ciberseguridad. El código.🔒 Historias relacionadas: Seguridad de AWS | Arquitectura de seguridad en la nube | Seguridad de red💻 Contenido gratuito sobre trabajos en ciberseguridad | ✉️ Regístrese en la lista de correo electrónico~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~Pensando en esto porque me está afectando hoy y tengo que actualizar algunas direcciones IP… ¿Alguna vez has tenido un escenario en el que estás usando una dirección IP en un número? de lugares en tu red y luego esa dirección IP cambió y tuviste que cambiarla en todos esos lugares? ¿Recordaste cambiarlo en cada uno? ¿Tuvo que correr el riesgo de volver a implementar su red y cometer un error? ¿Qué pasa con el escenario en el que tuvo que determinar una lista de direcciones IP relacionadas con una entrada DNS que un proveedor le proporciona como regla? ¿Qué pasa si cambia la lista de direcciones IP asociadas con esa regla? Luego, debe actualizar su lista de direcciones IP en cualquier regla que aproveche las IP o CIDR a las que se resuelve ese nombre de dominio. Si tiene un rango de IP o una dirección que está utilizando en varias reglas de grupos de seguridad que pueden cambiar con el tiempo, considere crear un…
Se ha identificado una nueva vulnerabilidad en el complemento LiteSpeed Cache para WordPress que podría permitir a atacantes no autenticados inyectar código malicioso en sitios web. La falla, descubierta por TaiYou en el programa de recompensas por errores de Patchstack, afecta el proceso de generación de cola CSS del complemento y afecta a más de seis millones de instalaciones activas. La vulnerabilidad, identificada como CVE-2024-47374, es un problema XSS almacenado no autenticado que podría provocar una escalada de privilegios o un robo de datos. Explota la funcionalidad «Vary Group» del complemento, que controla las variaciones de caché según los roles de los usuarios. Los atacantes pueden manipular esta funcionalidad mediante encabezados HTTP especialmente diseñados, inyectando contenido dañino directamente en el panel de administración de WordPress. «Esta vulnerabilidad se produce porque el código que maneja la vista de la cola no implementa la desinfección y el escape de salida», explicó Patchstack. Para que el exploit sea efectivo, se deben habilitar dos configuraciones en el complemento LiteSpeed Cache: Combinar CSS Generar UCSS La primera combina múltiples archivos CSS en un solo archivo, lo que reduce la carga del servidor y mejora el rendimiento. Sin embargo, cuando está activo, permite que se active el código vulnerable, abriendo la puerta para que un atacante aproveche la falla. El segundo, por otro lado, genera archivos CSS únicos para cada página, adaptados al contenido que se muestra. Si bien esta característica mejora la optimización, también hace que la vulnerabilidad sea explotable, ya que expone la cola para la generación de CSS a entradas potencialmente maliciosas. Lea más sobre las vulnerabilidades del complemento de WordPress: Cuatro millones de sitios de WordPress vulnerables a la falla del complemento LiteSpeed LiteSpeed ha abordado la vulnerabilidad en la versión 6.5.1, que implementa una desinfección de entrada adecuada utilizando la función esc_html para evitar la inyección de código malicioso. Se recomienda encarecidamente a los usuarios del complemento LiteSpeed Cache que actualicen a la última versión para proteger sus sitios de posibles ataques. «Recomendamos aplicar escape y desinfección a cualquier mensaje que se mostrará como aviso de administrador», agregó Patchstack. «También recomendamos aplicar una verificación de permiso o autorización adecuada a los puntos finales de la ruta de descanso registrados».
Durante años, proteger los sistemas de una empresa era sinónimo de proteger su «perímetro». Existía lo que era seguro «dentro» y el mundo exterior inseguro. Construimos firewalls resistentes e implementamos sistemas de detección sofisticados, confiados en que mantener a los bárbaros fuera de los muros mantendría seguros nuestros datos y sistemas. El problema es que ya no operamos dentro de los límites de instalaciones físicas locales y redes controladas. Los datos y las aplicaciones ahora residen en entornos de nube distribuidos y centros de datos, a los que acceden usuarios y dispositivos que se conectan desde cualquier parte del planeta. Los muros se han derrumbado y el perímetro se ha disuelto, abriendo la puerta a un nuevo campo de batalla: la identidad. La identidad está en el centro de lo que la industria ha elogiado como el nuevo estándar de oro de la seguridad empresarial: «confianza cero». En este paradigma, la confianza explícita se vuelve obligatoria para cualquier interacción entre sistemas y no subsistirá ninguna confianza implícita. Cada solicitud de acceso, independientemente de su origen, debe ser autenticada, autorizada y validada continuamente antes de conceder el acceso. La naturaleza dual de la identidad La identidad es un concepto amplio con una realidad dual. Por un lado, las personas necesitan acceso a su correo electrónico y calendario, y algunos (en particular los ingenieros de software) acceso privilegiado a un servidor o base de datos para realizar su trabajo. La industria ha estado perfeccionando la gestión de estas identidades durante los últimos 20 años a medida que los empleados se unen, obtienen privilegios para ciertos sistemas y, finalmente, abandonan la empresa. Por otro lado, tenemos otro tipo de identidad: las identidades de máquina, también denominadas identidades no humanas (NHI), que representan la gran mayoría de todas las identidades (se estima que superan en número a las identidades humanas al menos en un factor de 45 a 45). 1). A diferencia de sus homólogos humanos, los NHI (que van desde servidores, aplicaciones o procesos) no están vinculados a individuos y, por lo tanto, plantean un problema completamente diferente: carecen de medidas de seguridad tradicionales porque, a diferencia de los usuarios humanos, no podemos simplemente aplicar MFA a un servidor. o una clave API. Cualquier persona de la empresa puede crearlos en cualquier momento (piense en Marketing conectando su CRM al cliente de correo electrónico) con poca o ninguna supervisión. Están dispersos en una diversidad de herramientas, lo que hace que gestionarlos sea increíblemente complejo. Son abrumadoramente demasiado privilegiados y muy a menudo «obsoletos»: a diferencia de las identidades humanas, es mucho más probable que los NHI permanezcan mucho tiempo después de haber sido utilizados. Esto crea una situación de alto riesgo en la que las credenciales sobreaprovisionadas con permisos amplios permanecen incluso después de que haya finalizado su uso previsto. Todo esto combinado presenta la tormenta perfecta para las grandes empresas que se enfrentan a entornos de nube en expansión y cadenas de suministro de software intrincadas. No es sorprendente que las identidades mal administradas (de las cuales la proliferación de secretos es un síntoma) sean ahora la causa fundamental de la mayoría de los incidentes de seguridad que afectan a las empresas en todo el mundo. El alto costo de la inacción: violaciones del mundo real Las consecuencias de descuidar la seguridad del NHI no son teóricas. Las noticias están repletas de ejemplos de violaciones de alto perfil en las que los NHI comprometidos sirvieron como punto de entrada para los atacantes, lo que provocó importantes pérdidas financieras, daños a la reputación y erosión de la confianza de los clientes. Dropbox, Sisense, Microsoft y The New York Times son ejemplos de empresas que admitieron haber sido afectadas por un NHI comprometido solo en 2024. Quizás lo peor es que estos incidentes tienen efectos dominó. En enero de 2024, los sistemas internos de Atlassian de Cloudflare fueron vulnerados porque los tokens y las cuentas de servicio (en otras palabras, NHI) estuvieron previamente comprometidos en Okta, una plataforma de identidad líder. Lo que es especialmente revelador aquí es que Cloudflare detectó rápidamente la intrusión y respondió rotando las credenciales sospechosas. Sin embargo, más tarde se dieron cuenta de que algunos tokens de acceso no se habían rotado correctamente, lo que les dio a los atacantes otra oportunidad de comprometer su infraestructura. Esta no es una historia aislada: el 80% de las organizaciones ha experimentado violaciones de seguridad relacionadas con la identidad, y la edición de 2024 del DBIR clasificó el «compromiso de identidad o credenciales» como el vector número uno para los ciberataques. ¿Deberías preocuparte? Si analizamos la historia de Cloudflare, aún no se conoce el impacto. Sin embargo, la empresa reveló que los esfuerzos de remediación incluyeron rotar las 5000 credenciales de producción, una evaluación forense exhaustiva y reiniciar todos los sistemas de la empresa. Considere el tiempo, los recursos y la carga financiera que un incidente de este tipo supondría para su organización. ¿Puede permitirse el lujo de correr ese riesgo? Abordar las identidades mal administradas, solucionando tanto las exposiciones actuales como los riesgos futuros, es un largo camino. Si bien no existe una solución mágica, es posible abordar uno de los mayores y más complejos riesgos de seguridad de nuestra era. Las organizaciones pueden mitigar los riesgos asociados con las identidades no humanas combinando acciones inmediatas con estrategias de mediano y largo plazo. Acompañar a los clientes de Fortune 500 en este proceso durante los últimos 7 años es lo que convirtió a GitGuardian en el líder de la industria en seguridad de secretos. Controlando los NHI, comenzando con la seguridad de los secretos Las organizaciones deben adoptar un enfoque proactivo e integral para la seguridad de los NHI, comenzando con la seguridad de los secretos. Obtener control sobre los NHI comienza con la implementación de capacidades efectivas de seguridad de secretos: 1. Establecer una visibilidad integral y continua No se puede proteger lo que no se conoce. La seguridad de Secrets comienza con el monitoreo de una amplia gama de activos a escala, desde repositorios de código fuente hasta sistemas de mensajería y almacenamiento en la nube. Es crucial ampliar su monitoreo más allá de las fuentes internas para detectar cualquier secreto relacionado con la empresa en áreas altamente expuestas como GitHub. Sólo entonces las organizaciones podrán comenzar a comprender el alcance de la exposición de su información confidencial y tomar medidas para corregir estas vulnerabilidades. GitGuardian Secret Detección cuenta con la mayor cantidad de detectores y la más amplia gama de activos monitoreados en el mercado, incluida toda la actividad pública de GitHub de los últimos 5 años. 2. Optimice la remediación La seguridad de Secrets no es una tarea única sino un proceso continuo. Debe integrarse en el desarrollo de software y otros flujos de trabajo para encontrar y corregir (revocar) secretos codificados y prevenir la causa raíz de las infracciones. Es fundamental disponer de capacidades de remediación oportunas y eficientes, limitar la fatiga de las alertas y optimizar el proceso de remediación a escala. Esto permite a las organizaciones abordar los problemas antes de que los atacantes puedan explotarlos, reduciendo el riesgo de manera efectiva y mensurable. La plataforma GitGuardian hace de la remediación la prioridad número uno. La gestión unificada de incidentes, las pautas de remediación personalizadas y la información detallada sobre incidentes permiten a las organizaciones abordar la amenaza de la proliferación de secretos a escala. 3. Integre con sistemas de identidad y secretos Analizar el contexto de un secreto filtrado es crucial para determinar su sensibilidad y el riesgo asociado. La integración con sistemas de gestión de identidad y acceso (IAM), sistemas de gestión de acceso privilegiado (PAM) y Secrets Managers proporciona una visión más completa de la huella y la actividad de los NHI. La asociación de GitGuardian con CyberArk Conjur, el líder en gestión de secretos y seguridad de identidades, es una primicia en la industria. Esta asociación trae al mercado seguridad de secretos de extremo a extremo, desbloqueando nuevos casos de uso, como la detección automatizada de exposición pública, la aplicación de políticas de gestión de secretos y la rotación automatizada después de una filtración. Cambiando la mentalidad: de la seguridad perimetral a la seguridad secreta La rápida proliferación de identidades no humanas ha creado un desafío de seguridad complejo y a menudo pasado por alto. Las medidas de seguridad tradicionales basadas en perímetros ya no son suficientes en los entornos distribuidos y centrados en la nube actuales. Los riesgos asociados con los SNS mal administrados son reales y potencialmente devastadores, como lo demuestran las violaciones de alto perfil que han resultado en importantes daños financieros y de reputación. Sin embargo, hay esperanza. Al cambiar nuestro enfoque hacia la seguridad de los secretos y adoptar un enfoque integral que incluya detección sólida, corrección automatizada e integración con sistemas de identidad, las organizaciones pueden reducir significativamente su superficie de ataque y reforzar su postura de seguridad general. Esto puede parecer desalentador, pero es una evolución necesaria en nuestro enfoque de la ciberseguridad. Ahora es el momento de actuar. La pregunta es: ¿estás preparado para tomar el control de la seguridad de tus secretos? Comience hoy con GitGuardian. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
En mi mundo de mamás de mediana edad, Instagram es, con diferencia, la plataforma de redes sociales más popular. Si bien muchos de nosotros todavía tenemos Facebook, Instagram es donde sucede todo: enviar mensajes, compartir y, sí, por supuesto, ¡comprar! Entonces, cuando una de mis amigas descubre que su cuenta de Instagram ha sido pirateada, ¡es comprensible que haya mucho pánico! ¿Qué tan popular es Instagram? Lo creas o no, Facebook todavía se mantiene en el primer lugar como la plataforma de redes sociales más popular con poco más de 3 mil millones de usuarios activos mensuales, según Statista. YouTube ocupa el segundo lugar con 2.500 millones de usuarios. Instagram y WhatsApp empatan en el tercer lugar con 2 mil millones de usuarios cada uno. Curiosamente, TikTok tiene 1.500 millones de usuarios y ocupa el cuarto lugar, ¡pero mire este espacio, digo! ¿Por qué los hackers quieren hackear mi Instagram? A pesar de que Facebook tiene la mayor cantidad de usuarios mensuales, no es donde tienen lugar las conversaciones personales y la interacción. Ese es el punto óptimo de Instagram. La mensajería de Instagram es donde se comparten enlaces y se produce una interacción personal real. De hecho, un nuevo informe muestra que las cuentas de Instagram son más atacadas que cualquier otra cuenta en línea y representan poco más de una cuarta parte de todos los ataques a las redes sociales. Entonces, tiene sentido por qué los piratas informáticos gastarían una energía considerable en intentar piratear cuentas de Instagram. Tendrán muchas más posibilidades de éxito si utilizan una plataforma donde exista apetito y confianza para compartir enlaces y conversaciones personales. Pero, ¿por qué quieren tener en sus manos su cuenta? Bueno, es posible que quieran robar tu información personal, estafar a tus seguidores leales haciéndose pasar por ti, vender tu nombre de usuario en el mercado negro o incluso exigir rescates. ¡Hackear Instagram es un gran negocio para los estafadores profesionales! Qué hacer si te han pirateado Entonces, una mañana tomas tu teléfono temprano para hacer un recorrido rápido por Instagram antes de comenzar el día, pero parece que no puedes iniciar sesión. Mmmmm. Luego verás algunos mensajes de texto de amigos que comprueban si realmente te has convertido en un experto en criptomonedas de la noche a la mañana. Bien, algo anda mal. Luego observa un correo electrónico de Instagram que le notifica que el correo electrónico vinculado a su cuenta ha sido cambiado. ¡Parece que te han pirateado! Pero, por favor, no pierda tiempo estresándose. Lo más importante es actuar lo antes posible, ya que cuanto más tiempo los piratas informáticos tengan acceso a su cuenta, mayores serán las posibilidades de que puedan infiltrarse en su vida y crear caos. La buena noticia es que si actúa rápida y estratégicamente, es posible que pueda recuperar su cuenta. Esto es lo que le sugiero que haga – ¡rápido!: 1. Cambie su contraseña y verifique su cuenta Si aún puede iniciar sesión en su cuenta, cambie su contraseña inmediatamente. Y asegúrese de que sea una contraseña que no haya utilizado en ningún otro lugar. Luego, realice una auditoría rápida de su cuenta y corrija cualquier cambio que haya realizado el hacker, por ejemplo, elimine el acceso a cualquier dispositivo que no reconozca, cualquier aplicación que no haya instalado y elimine cualquier dirección de correo electrónico que no sea suya. A continuación, active la autenticación de dos factores (2FA) para que al pirata informático le resulte más difícil volver a acceder a su cuenta. Esto le llevará menos de un minuto y es absolutamente fundamental. Instagram le dará la opción de recibir el código de inicio de sesión mediante mensaje de texto o mediante una aplicación de autenticación. Siempre recomiendo la aplicación en caso de que alguna vez pierdas el control de tu teléfono. Pero, si no puede acceder a su cuenta, continúe con el paso 2. 2. Localice el correo electrónico de Instagram Cada vez que haya un cambio en los detalles de su cuenta o alguna nueva actividad de inicio de sesión, Instagram enviará automáticamente un mensaje a la dirección de correo electrónico. vinculado con la cuenta Pero aquí hay buenas noticias. El correo electrónico de Instagram le preguntará si realmente realizó los cambios y le proporcionará un enlace para proteger su cuenta en caso de que no haya sido usted. ¡¡Haz clic en este enlace!! Si puede acceder a su cuenta de esta manera, verifique inmediatamente que la única dirección de correo electrónico y el número de teléfono de recuperación vinculados sean suyos y elimine todo lo que no sea suyo. Luego cambia tu contraseña. Pero si no ha tenido suerte con este paso, continúe con el paso 3. 3. Solicite un enlace de inicio de sesión También puede pedirle a Instagram que le envíe un correo electrónico o un mensaje de texto con un enlace de inicio de sesión. En un iPhone, solo necesita seleccionar «¿Olvidó su contraseña?» y en tu teléfono Android, toca «obtener ayuda para iniciar sesión». Deberá ingresar el nombre de usuario, la dirección de correo electrónico y el número de teléfono vinculado a su cuenta. ¿No hubo suerte? Continúe… 4. Solicite un código de seguridad Si el enlace de inicio de sesión no lo permite volver a ingresar, el siguiente paso es solicitar un código de seguridad. Simplemente ingrese el nombre de usuario, la dirección de correo electrónico o el número de teléfono asociado con su cuenta, luego toque «¿Necesita más ayuda?» Seleccione su dirección de correo electrónico o número de teléfono, luego toque «Enviar código de seguridad» y siga las instrucciones. 5. Video Selfie Si has agotado todas estas opciones y no has tenido suerte, entonces es probable que hayas encontrado el camino hacia el equipo de soporte de Instagram. Si no lo has hecho, simplemente haz clic en el enlace y te llevará allí. Ahora, si tu cuenta pirateada contenía fotos tuyas, ¡quizás tengas suerte! ¡El equipo de soporte puede pedirte que te tomes un video selfie para confirmar quién eres y que en realidad eres una persona real! Este proceso puede tardar unos días hábiles. Si pasa la prueba, se le enviará un enlace para restablecer su contraseña. ¿Cómo evitar que te pirateen? Entonces, recuperaste tu cuenta de Instagram, ¡bien hecho! ¿Pero no sería bueno volver a evitar todo ese estrés? Estos son mis principales consejos para que a esos piratas informáticos les resulte difícil tomar el control de su Insta. 1. Todo es cuestión de contraseñas. No tengo ninguna duda de que habrás escuchado esto antes, pero es esencial, ¡lo prometo! Asegurarse de tener una contraseña compleja y única para su cuenta de Instagram (y todas sus cuentas en línea) es LA mejor manera de mantener a raya a los piratas informáticos. Y si te tomas esto en serio, necesitas conseguir un administrador de contraseñas que pueda crear (y recordar) contraseñas tremendamente complejas y aleatorias que están más allá de cualquier capacidad humana de crear. Eche un vistazo a TrueKey de McAfee: ¡completamente obvio! 2. Active la autenticación multifactor (MFA). La autenticación multifactor agrega otra capa de seguridad a su cuenta, lo que hace que sea mucho más difícil para un pirata informático ingresar. Se tarda unos minutos en configurarlo y es esencial si realmente quiere protegerse. . Simplemente implica utilizar un código para iniciar sesión, además de su contraseña. Puedes elegir recibir el código a través de un mensaje de texto o una aplicación de autenticación. ¡Elige siempre la aplicación! 3. Elija cómo recibir alertas de inicio de sesión Actuar rápido es el nombre del juego aquí, así que asegúrese de que su cuenta esté configurada con sus mejores datos de contacto, para recibir alertas de inicio de sesión lo antes posible. Esta puede ser la diferencia entre recuperar su cuenta o no. ¡Asegúrese de que las alertas se envíen al lugar donde es más probable que las vea primero para que pueda tomar medidas de inmediato! 4. Audite cualquier aplicación de terceros Las aplicaciones de terceros que haya conectado a su cuenta podrían representar un riesgo para la seguridad. Por lo tanto, solo otorgue permiso a aplicaciones de terceros para acceder a su cuenta cuando sea absolutamente necesario. Sugiero tomarse unos minutos para desconectar cualquier aplicación que ya no necesite para mantener sus datos privados lo más seguros posible. Lo creas o no, ¡Instagram no es solo un campo para mamás de mediana edad! Puedo garantizar que sus hijos adolescentes también estarán allí. Entonces, la próxima vez que compartas una cena familiar, ¿por qué no les cuentas lo que estás haciendo para evitar que te pirateen? ¿Y si no estás convencido de que te estén escuchando? Quizás recordarles lo devastador que sería perder el acceso a sus fotografías y a su gente. Estoy seguro de que eso podría funcionar. Hasta la próxima ¡Manténgase seguro en línea! Alex Presentamos McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id =766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);