La bulliciosa empresa del delito cibernético ha recibido un golpe significativo en una operación global que se basó en la experiencia de ESET y otras compañías de tecnología 22 de mayo de 2025 Una operación de interrupción global ha dado un golpe significativo a Lumma Stealer, una de las operaciones más prolíficas de malware como Servicio (MAAS). El esfuerzo de interrupción, dirigido por Microsoft e involucrando análisis técnico por parte de los investigadores de ESET, se dirigió a la infraestructura del infestador, incluidos todos los servidores C&C conocidos del año pasado, y finalmente la amenaza en gran medida inoperada. ¿Qué más hay que saber sobre la operación, así como sobre el funcionamiento interno del prolífico malware del robo de información, que persiguió todo tipo de datos confidenciales, incluidas las contraseñas, los números de tarjetas de crédito y la información de Cryptowallet, y se metió en los 10 principales infantes de infunteros detectados por los productos ESET en la segunda mitad de 2024? Mire el video con el evangelista de seguridad principal de Eset, Tony Anscombe, para averiguarlo y asegúrese de leer esta publicación de blog. Conéctese con nosotros en Facebook, X, LinkedIn e Instagram.
Categoría: Ciberseguridad Página 2 de 66
Las empresas de juego Paddy Power y Betfair han sufrido una violación de datos, después de que «un tercero no autorizado» obtuvo acceso a «información limitada de la cuenta de apuestas» relacionada con hasta 800,000 de sus clientes. ¿Qué estaba expuesto? Nombres de usuario, direcciones de correo electrónico, direcciones IP. Sin embargo, la empresa matriz Flutter dice que «no se afectaron las contraseñas, los documentos de identificación o la tarjeta utilizable o los detalles de pago». La palabra «utilizable» podría estar haciendo un poco de vida pesada allí, me pregunto si se expusieron algunos detalles de la tarjeta de pago parcial … El correo electrónico enviado a los clientes afectados de Paddy Power, una amenaza obvia son los ataques de phishing, dirigidos a los clientes de Betfair y Paddy Power, tal vez haciéndose pasar por mensajes de las compañías, en un intento de engañar a los usuarios para que entreguen más de sus detalles. ¡Así que estés en guardia! Flutter dice que está llevando a cabo una «investigación completa» para comprender la escala de la violación, y está trabajando con expertos en ciberseguridad externos. Los lectores con recuerdos largos recordarán que esta no es la primera vez que Paddy Power ha sufrido una violación de datos, aunque parece haber sido más proactivo al informar a sus clientes esta vez. Regístrese en nuestro boletín gratuito. Noticias, consejos y consejos de seguridad. ¿Encontró este artículo interesante? Siga a Graham Cluley en LinkedIn, Bluesky o Mastodon para leer más del contenido exclusivo que publicamos.
Los investigadores de ciberseguridad han descubierto un conjunto de cuatro fallas de seguridad en la pila Bluetooth de Bluesdk de OpenSynergy que, si se explotan con éxito, podría permitir la ejecución remota del código en millones de vehículos de transporte de diferentes proveedores. Las vulnerabilidades, denominadas PerfektBlue, pueden diseñarse juntas como una cadena de exploit para ejecutar un código arbitrario en automóviles de al menos tres fabricantes de automóviles principales, Mercedes-Benz, Volkswagen y Skoda, según PCA Cyber Security (anteriormente PCAUTOMOTIVE). Fuera de estos tres, se ha confirmado que un cuarto fabricante de equipos original no identificado (OEM) se ve afectado. «El ataque de explotación de PerfektBlue es un conjunto de corrupción de memoria crítica y vulnerabilidades lógicas que se encuentran en la pila de bluesdk bluesdk de OpenSynergy que se pueden encadenar para obtener la ejecución de código remoto (RCE)», dijo la compañía de seguridad cibernética. En algunos casos, el aislamiento débil permite a los atacantes usar el acceso IVI como trampolín en zonas más sensibles, especialmente si el sistema carece de aplicación de la puerta de enlace o protocolos de comunicación seguros. El único requisito para lograr el ataque es que el mal actor debe estar dentro del alcance y poder combinar su configuración con el sistema de información y entretenimiento del vehículo objetivo sobre Bluetooth. Esencialmente equivale a un ataque de un solo clic para desencadenar la explotación por aire. «Sin embargo, esta limitación es específica de la implementación debido a la naturaleza marco de BluesDK», agregó PCA Cyber Security. «Por lo tanto, el proceso de emparejamiento puede verse diferente entre varios dispositivos: el número limitado/ilimitado de solicitudes de emparejamiento, la presencia/ausencia de interacción del usuario o emparejamiento podría deshabilitarse por completo». La lista de vulnerabilidades identificadas es la siguiente: CVE-2024-45434 (puntaje CVSS: 8.0)-Uso-después de la transmisión en el servicio AVRCP CVE-2024-45431 (puntaje CVSS: 3.5)-Validación incorrecta de una función de CVE-2024-45433 de CVSS de un canal L2CAP: RFCOMM CVE-2024-45432 (puntuación CVSS: 5.7): la llamada de función con el parámetro incorrecto en RFComm obteniendo correctamente la ejecución del código en el sistema de información y entretenimiento en el vehículo (IVI) permite que un atacante rastree las coordinadas GPS, registrara audio, las listas de contactos de acceso e incluso realizar el movimiento posterior a otros sistemas y potencialmente tomar el control de el control de la crítica de los coordinados de GPS, al mismo tiempo, al mismo tiempo. Después de la divulgación responsable en mayo de 2024, los parches se implementaron en septiembre de 2024. «Perfektblue permite que un atacante lograr la ejecución de código remoto en un dispositivo vulnerable», dijo PCA Cyber Security. «Considérelo como un punto de entrada al sistema objetivo que es crítico. Hablando de vehículos, es un sistema IVI. El movimiento lateral adicional dentro de un vehículo depende de su arquitectura y podría implicar vulnerabilidades adicionales». A principios de abril, la compañía presentó una serie de vulnerabilidades que podrían explotarse para dividirse de forma remota en un vehículo eléctrico Nissan Leaf y tomar el control de las funciones críticas. Los hallazgos se presentaron en la conferencia Black Hat Asia celebrada en Singapur. «Nuestro enfoque comenzó explotando las debilidades en Bluetooth para infiltrarse en la red interna, seguido de omitir el proceso de arranque seguro para aumentar el acceso», dijo. «Establecer un canal de comando y control (C2) sobre DNS nos permitió mantener un vínculo encubierto y persistente con el vehículo, que permite un control remoto completo. Al comprometer una CPU de comunicación independiente, podríamos interactuar directamente con el bus de lata, que gobierna elementos críticos del cuerpo, incluidos espejos, limpiadores, bloqueos de puerta e incluso la dirección». CAN, abreviatura de la red de área del controlador, es un protocolo de comunicación utilizado principalmente en vehículos y sistemas industriales para facilitar la comunicación entre múltiples unidades de control electrónico (ECU). Si un atacante con acceso físico al automóvil puede aprovecharlo, el escenario abre la puerta para ataques de inyección y suplantación de dispositivos de confianza. «Un ejemplo notorio involucra un pequeño dispositivo electrónico escondido dentro de un objeto inocuo (como un altavoz portátil)», dijo la compañía húngara. «Los ladrones enchufan este dispositivo a una unión de cableado de lata expuesta en el automóvil». «Una vez conectado al autobús CAN del automóvil, el dispositivo Rogue imita los mensajes de una ECU autorizada. Inunda el autobús con una explosión de mensajes de lata que declara ‘una clave válida está presente’ o instruye a acciones específicas como desbloquear las puertas». En un informe publicado a fines del mes pasado, Pen Test Partners reveló que convirtió un Renault Clio 2016 en un controlador de Mario Kart al interceptar los datos de Can Bus para obtener el control del automóvil y mapear su dirección, freno y acelerador a un controlador de juego con sede en Python. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Los 16 miembros de la Junta Asesora de Internet de las cosas administradas por NIST (IoT) han completado su informe sobre las barreras a los Estados Unidos que reciben los beneficios de la adopción de IoT, junto con sus recomendaciones para superar esas barreras. Como Benson Chan (Presidente) y Dan Caprio (Vicepresidente) del Estado de la Junta Asesora de IoT en el informe: «Estados Unidos se encuentra en las primeras etapas de una transformación profunda, una impulsada por las innovaciones económicas, sociales y culturales provocadas por la IoT. Estas innovaciones entrelazan la conectividad y las innovaciones digitales con la oportunidad de impulsar una revolucionaria en todas las partes de nuestra nación de la nación de la nación». Hoy es falta de confianza en IoT. El informe de la Junta Asesora de IoT incluyó los siguientes hallazgos entre los 26 hallazgos totales sobre la adopción de IoT identificados en el informe: los trabajadores calificados insuficientes están disponibles para desarrollar, integrar, implementar, operar y mantener dispositivos IoT, sistemas y aplicaciones. Sistemas de EOTT Dependen de chips obtenidos a través de cadenas de suministro globales vulnerables. Las preocupaciones socavan la confianza en IoT y son una barrera significativa para la adopción en la escala de la escala de la redacción. Ciberseguridad, privacidad, interoperabilidad y estándares (ya sea en general o en abordar las preocupaciones específicas del sector), el tema de «establecer confianza» y «fomentar una fuerza laboral preparada para IoT» destacó estas áreas de manera fundamental. As the IoT Advisory Board report states, “Establishing trust in IoT is crucial for widespread adoption and public confidence. Secure, private, and reliable operation of interconnected devices is essential to achieve such trust… Trust is earned and kept when IoT devices and systems remain secure from unauthorized access, data is kept safe and used as intended, algorithms are accurate and explainable, and produced outcomes are safe, consistent, and reliable.” Las recomendaciones en este tema se centran en abordar la gama de desafíos de integridad cibernética, privacidad y de la cadena de suministro en todo el ecosistema IoT. El tema del tema «Fomentar una fuerza laboral de IoT Ready» llama a «integrar las necesidades de la fuerza laboral futura de IoT en las iniciativas y programas existentes, colaborando con la industria, la academia y los gobiernos estatales y locales para alinear los esfuerzos educativos y de capacitación con las demandas en evolución del sector IoT, garantizar una fuerza laboral bien preparada y adaptable». Como este informe estaba en desarrollo, la falta de una fuerza laboral calificada surgió como un desafío para la adopción de IoT en múltiples sectores de mercado (desde la fabricación hasta la implementación de comunidades inteligentes hasta la agricultura). Las recomendaciones del informe se centran en la necesidad de una fuerza laboral con ciberseguridad y experiencia en la privacidad y las habilidades necesarias para integrar y mantener productos IoT en entornos complejos. Este informe se ha entregado al Grupo de Trabajo Federal de IoT para su revisión y consideración, y NIST alienta a los interesados en las posibilidades transformadoras de IoT a revisar el informe. ¡Agradecemos a la Junta Asesora de IoT por su arduo trabajo en los últimos dos años y esperamos un emocionante futuro habilitado para IoT!
El gigante de la ropa deportiva alemana Adidas ha confirmado un importante incidente de ciberseguridad que comprometió la información personal del cliente a través de un ataque a sus operaciones de servicio al cliente. La violación de los datos de contacto expuestos principalmente de los consumidores que habían interactuado previamente con el sistema de soporte de la mesa de ayuda de Adidas, aunque la compañía ha asegurado a los clientes que los datos financieros confidenciales, incluidas las contraseñas, los números de tarjetas de crédito y otra información de pago se mantuvieron seguros. Si bien reconoció la gravedad de la situación, Adidas enfatizó su inquebrantable compromiso con la privacidad y la seguridad del consumidor, expresando un arrepentimiento sincero por cualquier ansiedad o interrupción que el incidente haya causado su base de clientes. El incidente: lo que sucedió en Adidas el 27 de mayo de 2025, el gigante alemán de ropa deportiva Adidas reveló una violación de datos significativa que afecta a su base de clientes. La violación no se originó directamente en Adidas, sino a través de un proveedor de servicio al cliente de terceros comprometido, un escenario que se está volviendo cada vez más común en nuestro ecosistema comercial interconectado. Según la declaración oficial de Adidas, una «parte externa no autorizada obtuvo ciertos datos del consumidor a través de un proveedor de servicio al cliente de terceros». La compañía lanzó inmediatamente medidas de contención y comenzó a colaborar con los principales expertos en seguridad de la información para investigar el incidente. Afortunadamente, la información robada no incluía datos relacionados con el pago o contraseñas del cliente. Sin embargo, los atacantes obtuvieron acceso a la información de contacto del cliente, que aún puede presentar riesgos significativos para las personas afectadas. Por qué las violaciones de terceros son tan peligrosas que esta violación destaca una vulnerabilidad crítica en las operaciones comerciales modernas: la seguridad de la cadena de suministro. Las empresas de hoy confían en numerosos proveedores de terceros para diversos servicios, desde la atención al cliente hasta el procesamiento de datos. Cada proveedor representa un posible punto de entrada para los ciberdelincuentes. Lo que hace que estos incidentes sean particularmente preocupantes es la relación de confianza involucrada. Cuando proporciona información a Adidas, no solo confía en Adidas con sus datos. Estás confiando implícitamente en todas las empresas con las que trabajan. Esto crea una superficie de ataque ampliada que los consumidores a menudo no consideran. A partir de nuestra experiencia, investigando incidentes similares, las violaciones de terceros a menudo no se detectan más tiempo que los ataques directos porque los controles de monitoreo y seguridad pueden ser menos estrictos en las ubicaciones de los proveedores. Este tiempo de permanencia extendido brinda a los atacantes más oportunidades para exfiltrar datos y potencialmente pivotar a otros sistemas. Los riesgos reales: más allá de la información de contacto justa, mientras que Adidas declaró que la información de pago no estaba comprometida, la exposición de la información de contacto crea varios riesgos que los consumidores deben entender: edificio de la base de robo de identidad: la información de contacto sirve como un bloque de construcción para el robo de identidad. Los delincuentes a menudo combinan datos de múltiples infracciones para crear perfiles integrales de víctimas. Campañas de phishing específicas: con su nombre, correo electrónico y potencialmente número de teléfono, los estafadores pueden crear mensajes de phishing muy convincentes que parecen provenir de adidas o servicios relacionados. Ataques de ingeniería social: armado con sus preferencias de compra y datos de contacto, los atacantes pueden hacerse pasar por los representantes de servicio al cliente para engañarlo para que revele información confidencial adicional. Compromiso de la cuenta secundaria: si usa el mismo correo electrónico para múltiples cuentas, esta violación podría ser el primer dominó en una cadena de compromisos. Pasos inmediatos que todo consumidor afectado debe tomar aquí es su plan de acción inmediata: 1. Suponga que está afectado incluso si aún no ha recibido notificación de Adidas, suponga que su información puede haber sido comprometida si ha sido un cliente de Adidas. Las empresas a menudo tardan semanas en identificar a todas las personas afectadas. 2. Cambie sus contraseñas Inmediatamente Comience con su cuenta Adidas, luego pase a cualquier cuenta que comparta la misma contraseña. Use contraseñas fuertes y únicas para cada cuenta. Esto no es negociable. En 2025, la reutilización de contraseñas es una de las formas más rápidas de convertir una sola violación en múltiples cuentas comprometidas. 3. Habilite la autenticación de dos factores en todas partes si aún no lo ha hecho, habilite la autenticación de dos factores (2FA) en todas las cuentas que lo admiten, comenzando con el correo electrónico, la banca y las cuentas de compras. Esto agrega una segunda capa crucial de seguridad. 4. Monitoree sus declaraciones bancarias de verificación de cuentas financieras, facturas de tarjetas de crédito y cuentas de inversión para cualquier actividad inusual. Configure alertas de cuentas si aún no lo ha hecho, muchas instituciones financieras ofrecen notificaciones de transacciones en tiempo real. 5. Revise sus informes de crédito con derecho a informes de crédito gratuitos de las tres oficinas principales anualmente. Considere espaciarlos durante todo el año para el monitoreo continuo, o utilice un servicio que proporcione actualizaciones más frecuentes. Las estrategias de protección a largo plazo implementan un enfoque de defensa en profundidad ninguna medida de seguridad única es perfecta. Coloque sus defensas combinando contraseñas seguras, 2FA, monitoreo regular y software de seguridad integral. Considere la congelación de crédito Una congelación de seguridad evita que los delincuentes abran nuevas cuentas a su nombre. Es gratuito, reversible y una de las herramientas de prevención de robo de identidad más efectivas disponibles. Manténgase informado sobre las tendencias de incumplimiento Marque el blog McAfee y otros servicios de notificación de incumplimiento. Cuanto más rápido sepa sobre los incidentes que afectan los servicios que usa, más rápido podrá responder. Cómo McAfee+ puede ayudar a protegerlo McAfee+ ofrece varias características específicamente diseñadas para ayudar a las personas a navegar las secuelas de las violaciones de datos: el servicio de monitoreo web oscuro de McAfee monitorea la web oscura para su información personal, incluidos el correo electrónico, las identificaciones gubernamentales, la información de la tarjeta de crédito y la cuenta bancaria, y más. Esto puede ayudar a mantener su información personal segura con alertas tempranas que le muestran si sus datos se encuentran en la web oscura, un promedio de 10 meses antes de servicios similares. Esto es crucial porque los datos robados de infracciones como Adidas a menudo terminan a la venta en los mercados web oscuros. La detección temprana puede ayudarlo a tomar medidas de protección antes de que los delincuentes tengan la oportunidad de usar su información. Limpieza de datos personales El servicio de limpieza de datos personales de McAfee puede escanear algunos de los sitios de corredores de datos más riesgosos y mostrarle cuáles están vendiendo su información personal. También proporciona orientación sobre cómo puede eliminar sus datos de esos sitios y, con productos seleccionados, incluso administre la eliminación para usted. Los corredores de datos recopilan y venden información personal a cualquier persona dispuesta a pagar, incluidos estafadores y ladrones de identidad. La reducción de su exposición a través de estos servicios limita la información disponible para los delincuentes que podrían intentar combinarla con datos de la violación de Adidas. Monitoreo y restauración de identidad El plan avanzado de McAfee proporciona monitoreo de identidad, eliminación de datos, restauración de identidad y seguro de robo de identidad. Su monitoreo cubre hasta 60 tipos únicos de información personal e incluye hasta $ 2 millones en cobertura de robo de identidad con especialistas en recuperación profesional. El detector de estafas de McAfee Protection McAfee de AI le alertará sobre mensajes de texto y correos electrónicos sospechosos que recibe. Esto es particularmente valioso después de una violación cuando los delincuentes a menudo lanzan campañas de phishing dirigidas utilizando información de contacto robada. Monitoreo financiero integral Los servicios de protección financiera incluyen monitoreo de transacciones; Cuenta financiera y monitoreo de préstamos de día de pago; monitoreo de la adquisición de la cuenta bancaria; Tarjetas seguras. Esto ayuda a detectar el uso no autorizado de sus cuentas financieras, lo que podría ocurrir si los delincuentes combinan información de múltiples infracciones. La violación de Adidas no será la última de su tipo. A medida que nuestro ecosistema digital se vuelve más interconectado, estos incidentes probablemente se volverán más frecuentes. La clave es construir una resiliencia personal y organizacional a través de medidas de seguridad proactivas en lugar de respuestas reactivas. Para los consumidores, esto significa adoptar una mentalidad de seguridad primero en todas las interacciones digitales. Suponga que las violaciones ocurrirán, se prepararán en consecuencia y mantendrán herramientas y servicios que puedan ayudarlo a detectar y responder a las amenazas rápidamente. La Ley de recomendaciones finales de McAfee rápidamente: no espere la notificación oficial de Adidas. Si es cliente, tome medidas de protección ahora. Invierta en protección integral: servicios como McAfee+ proporcionan múltiples capas de protección que trabajan juntas para abordar diferentes aspectos del panorama de amenazas posteriores a la violación. Manténgase vigilante: monitoree sus cuentas regularmente y sea escéptico de las comunicaciones no solicitadas, especialmente aquellas que afirman ser de adidas o relacionadas con este incidente. Aprenda y adapte: use este incidente como motivación para mejorar su postura general de ciberseguridad. Revise sus hábitos digitales y realice mejoras necesarias. Recuerde, en la ciberseguridad, no existe la protección perfecta, solo grados de reducción de riesgos. El objetivo es convertirse en un objetivo más difícil mientras mantiene las herramientas y el conocimiento necesarios para responder rápidamente cuando ocurren incidentes. La violación de Adidas sirve como otro recordatorio de que en nuestro mundo interconectado, su seguridad es tan fuerte como el eslabón más débil de la cadena. Al tomar medidas proactivas y aprovechar los servicios de protección integrales, puede reducir significativamente su riesgo e impacto de estos incidentes cada vez más comunes. \ x3cimg height = «1» width = «1» style = «Display: None» src = «https://www.facebook.com/tr?id=766537420057144&ev=pageview&noScript=1″/> \ x3c/noscript> ‘);
Readación de la lectura de cicloContinue en el CISO Den »
Fuente: SecurityBoulevard.com – Autor: Richi Jennings alegó arrestos de Aracnid: tres hombres adolescentes y una joven arrastrada por policías, sospechosas de piratear grandes minoristas. Los arrestos de la publicación 4 en la redada de los sospechosos de espinos dispersos aparecieron primero en Security Boulevard. URL de publicación original: https://securityboulevard.com/2025/07/arrests-scattered-spider-richixbw/?utm_source=rss&utm_medium=rss&utm_campaign=arrests-scattered-spider-richixbw categoría y etiquetas: analtics & inteligencia, cyberlaw, data spider-spider-richixbw categoría y etiquetas: Analtics & inteligencia, cybercerlaw, Data spider-spider-richixb Security,DevOps,Featured,Governance, Risk & Compliance,Humor,Identity & Access,Incident Response,Industry Spotlight,Malware,Most Read This Week,News,Popular Post,Security Awareness,Security Boulevard (Original),Social – Facebook,Social – LinkedIn,Social – X,Social Engineering,Spotlight,Threat Intelligence,Threats & Breaches,Vulnerabilities,0ktapus,attacks on online retailers,Co-op,Harrods,internet retailers,Marks & Spencer,Muddled Libra,National Crime Agency,National Cyber Crime Unit,NCA,Octo Tempest,online retailer,Online Retailers,online retailers cyber threats,Paul Foster,Ransomware,retail,Retail & Commerce,Retail & Consumer Goods,Retail & e-commerce,Retail and E-Commerce,Retail Cybersecurity,Retail Industry,SB Blogwatch,Scatter Swine,scattered Spider, Starfraud, COM, Community, Reino Unido National Crime Agency, UK, UNC3944, Vishing – Análisis e inteligencia, ciberlaw, ciberseguridad, privacidad de datos, seguridad de datos, devops, destacada, gobernanza, riesgo y cumplimiento, humor, identidad y acceso, respuesta de la industria, malware, malware, la mayoría de las leyes, noticias, publicación popular, asignación de seguridad, asignura de seguridad, boovard (Identity, Social – Social – Malware – Malware – Malware, malos, noticias, Noticias, Publicación popular, asignación de seguridad, asignación de seguridad Boovard (Identity, Social – Social – Malware – Malware, Malware, Mal Semana, Noticias, Publicación popular, Audiencia de seguridad de seguridad Boovard (Original – Social – Social – Malware – Malware – Malware – Malware – LinkedIn,Social – X,Social Engineering,Spotlight,Threat Intelligence,Threats & Breaches,Vulnerabilities,0ktapus,attacks on online retailers,Co-op,Harrods,internet retailers,Marks & Spencer,Muddled Libra,National Crime Agency,National Cyber Crime Unit,NCA,Octo Tempest,online retailer,Online Retailers,online retailers cyber threats,Paul Foster,Ransomware,retail,Retail & Comercio, mercancías minoristas y de consumo, comercio minorista y comercio electrónico, comercio minorista y comercio electrónico, ciberseguridad minorista, industria minorista, SB Blogwatch, dispersión de cerdos, araña dispersa, Starfraud, Com, Community, Reino Unido National Crime Agency, UK, UNC3944, Vishing Views: 0
Los modelos de idiomas grandes (LLM) todavía se están quedando cortos en la realización de tareas de descubrimiento y explotación de vulnerabilidades. Por lo tanto, muchos actores de amenaza siguen siendo escépticos sobre el uso de herramientas de IA para tales roles. Esto es de acuerdo con una nueva investigación realizada por Foresout Research: Vedere Labs, que probó 50 modelos de IA actuales de fuentes comerciales, de código abierto y subterráneo para evaluar su capacidad para realizar investigaciones de vulnerabilidad (VR) y el desarrollo de explotación (ED). Las tareas de realidad virtual tenían como objetivo identificar una vulnerabilidad específica en un fragmento de código corto. Las tareas de ED buscaban generar una hazaña de trabajo para un binario vulnerable. Las tasas de falla fueron altas en todos los modelos. Alrededor de la mitad (48%) falló la primera tarea de realidad virtual, y el 55% falló el segundo. Alrededor de dos tercios (66%) fallaron la primera tarea ED, y el 93% falló el segundo. Ningún modelo único completó todas las tareas. La mayoría de los modelos eran inestables, a menudo producían resultados inconsistentes en las ejecuciones y ocasionalmente encontrando tiempos de espera o errores. En varios casos de DE, generar una exploit de trabajo requirió múltiples intentos durante varias horas. Incluso cuando los modelos completaron las tareas ED, requerían una guía sustancial del usuario, como interpretar errores, depurar la salida o dirigir manualmente el modelo hacia rutas de explotación viables. «Todavía estamos lejos de los LLM que pueden generar exploits completamente funcionales», señalaron los investigadores. Los ciberdelincuentes siguen siendo escépticos sobre las capacidades de IA El estudio, publicado el 10 de julio, también analizó varios foros subterráneos para ver cómo las comunidades cibercriminales ven el potencial de la IA. Los actores de amenaza experimentados tendían a expresar escepticismo o precaución, con muchos de sus comentarios minimizando la utilidad actual de LLM. El entusiasmo por la explotación asistida por AI-AI tendió a provenir de usuarios menos experimentados. «A pesar de las recientes afirmaciones de que LLM puede escribir código sorprendentemente bien, todavía no hay evidencia clara de actores de amenaza real que los usen para descubrir y explotar de manera confiable nuevas vulnerabilidades», escribieron los investigadores. Muchos actores de amenazas resaltaron la efectividad de los LLM en la realización de asistencia técnica, como generar código básico y otras tareas básicas de automatización de software. Las capacidades varían en los diferentes modelos de IA, la investigación de Forescout encontró que los modelos de código abierto eran los más poco confiables para la realidad virtual y la DE, con los 16 modelos probados que funcionan mal en todas las tareas. Estos modelos estaban disponibles en la plataforma Huggingface, que proporciona miles de modelos de IA previamente capacitados para su comunidad. «En general, esta categoría sigue siendo inadecuada incluso para la investigación básica de vulnerabilidad», señalaron los investigadores. Los modelos subterráneos son multados sintonizados para uso malicioso en foros web oscuros y canales de telegrama. Estos incluyen herramientas personalizadas desarrolladas a partir de modelos disponibles públicamente, como WORMGPT y GHOSTGPT. Si bien se desempeñaron mejor que los modelos de código abierto, estas herramientas se vieron obstaculizadas por problemas de usabilidad, que incluyen acceso limitado, comportamiento inestable, formato de producción deficiente y longitud de contexto restringido. Los modelos comerciales de propósito general de los principales proveedores de tecnología como ChatGPT, Gemini y Copilot, ofrecieron el mejor rendimiento, aunque algunos ocasionalmente estaban limitados por salvaguardas de alineación. Incluso en esta categoría, solo tres modelos lograron producir una hazaña de trabajo para los casos de prueba más difíciles. Las capacidades de IA crecerán a pesar de los hallazgos, el estudio observó que la IA generativa mostró mejoras rápidas tanto en VR como en la ED en la ventana de prueba de tres meses. «Estos resultados sugieren que la IA generativa aún no ha transformado cómo los actores de amenaza descubren y explotan las vulnerabilidades, pero eso puede estar a punto de cambiar. La edad de ‘piratería de vibos’ se acerca y los defensores deberían comenzar a prepararse ahora», agregaron los investigadores. Foresout dijo que es probable que la IA resulte en que las hazañas se vuelven más frecuentes pero no más sofisticadas. Por lo tanto, las medidas de ciberseguridad básicas, como el menor privilegio, la segmentación de red y la confianza cero, siguen siendo igual de relevantes para mitigar tales ataques.
Las autoridades en el Reino Unido arrestaron esta semana a cuatro personas de 17 a 20 años en relación con el reciente robo de datos y ataques de extorsión contra los minoristas Marks & Spencer y Harrods, y el Grupo Cooperativo Británico de Minoristas de Alimentos. Las infracciones se han relacionado con un grupo de cibercrimen prolífico pero poco afiliado denominado «araña dispersa», cuyas otras víctimas recientes incluyen múltiples aerolíneas. La Agencia Nacional del Crimen del Reino Unido (NCA) declinó verificar los nombres de los arrestados, diciendo que solo incluyeron a dos hombres de 19 años, otra mujer de 17 años y 20 años. Spattered Spider es el nombre dado a un grupo de delitos cibernéticos de habla inglesa conocido por utilizar tácticas de ingeniería social para irrumpir en empresas y robar datos para el rescate, a menudo haciéndose pasar por empleados o contratistas para engañarlo a los escritorios a otorgar acceso. El FBI advirtió el mes pasado que dispersó a Spider recientemente cambiado a dirigirse a empresas en los sectores minoristas y de aerolíneas. Krebsonsecurity ha aprendido las identidades de dos de los sospechosos. Múltiples fuentes cercanas a la investigación dijeron que los arrestados incluyen a Owen David Flowers, un hombre del Reino Unido que supuestamente estuvo involucrado en el ataque de intrusión cibernética y ransomware que cerró varias propiedades del casino MGM en septiembre de 2023. Esas mismas fuentes dijeron que la mujer arrestada está o recientemente en una relación con flores. Las fuentes le dijeron a Krebsonsecurity que Flowers, que supuestamente pasó por el pirata informático, maneja «Bo764», «santo» y «nazi», fue el miembro del grupo que anónimamente dio entrevistas a los medios de comunicación en los días posteriores al hack de MGM. Su verdadero nombre fue omitido de una historia de septiembre de 2024 sobre el grupo porque aún no se le acusó en ese incidente. El pez más grande arrestado esta semana es Thalha Jubair, de 19 años, un hombre del Reino Unido cuyas supuestas hazañas bajo varios apodos han sido bien documentados en las historias de este sitio. Se cree que Jubair usó el apodo «Earth2Star», que corresponde a un miembro fundador del canal de telegrama centrado en el delito cibernético «Chat de fraude de estrellas». En 2023, Krebsonsecurity publicó una investigación sobre el trabajo de tres grupos diferentes de intercambio de SIM que eliminaron las credenciales de los empleados de T-Mobile y utilizaron ese acceso para ofrecer un servicio mediante el cual cualquier número de teléfono de T-Mobile podría cambiarse a un nuevo dispositivo. Star Chat fue, con mucho, el más activo y consecuente de los tres grupos de intercambio de simios, que colectivamente irrumpieron en la red de T-Mobile más de 100 veces en la segunda mitad de 2022. Jubair supuestamente usó las manijas «Earth2star» y «Star Ace», y fue un miembro central de un grupo prolífico de Sim-Swapping Operando en 2022. Star ACE publicó esta imagen en el chat de Star Frud Channel en el Telegramas de Telegram en Telegram, y es un canal de SIM-Swapping para que opere en 2022. Sim-swaps. Las fuentes le dicen a KrebsonSecurity que Jubair también era un miembro central del grupo Lapsus $ cibercrimen que irrumpió en docenas de compañías de tecnología en 2022, robando el código fuente y otros datos internos de gigantes tecnológicos, incluidos Microsoft, Nvidia, Okta, Rockstar Games, Samsung, T-Mobile y Uber. En abril de 2022, Krebsonsecurity publicó registros internos de chat de Lapsus $, y esos chats indicaron que Jubair estaba usando los apodos Amtrak y Asyntax. En un momento de los chats, Amtrak le dijo al líder del grupo Lapsus $ que no compartiera el logotipo de T-Mobile en las imágenes enviadas al grupo porque había sido arrestado previamente para el intercambio de SIM y sus padres sospecharían que volvió a hacerlo. Como se muestra en esos chats, el líder de Lapsus $ finalmente decidió traicionar a Amtrak publicando su nombre real, número de teléfono y otros manejadores de hackers en una sala de chat pública en Telegram. En marzo de 2022, el líder del grupo de extorsión de datos Lapsus $ expuso el nombre de Thalha Jubair y los hackers en una sala de chat pública en Telegram. Esa historia sobre los chats Lapsus $ filtrados conectó Amtrak/Asyntax/Jubair a la identidad «Everlynn», el fundador de un servicio cibercriminal que vendía «solicitudes de datos de emergencia» fraudulentas dirigidas a las principales redes sociales y proveedores de correo electrónico. En tales esquemas, los piratas informáticos comprometen las cuentas de correo electrónico vinculadas a los departamentos de policía y las agencias gubernamentales, y luego envían demandas no autorizadas de datos de suscriptores mientras afirman que la información que se solicita no puede esperar una orden judicial porque se relaciona con una cuestión de vida y muerte urgente. La lista del ahora desaparecido equipo de piratería «Infinity Recursion», del cual algún miembro de Lapsus $ hail. Las fuentes dicen que Jubair también usó el apodo de «Operador», y que hasta hace poco era el administrador del Doxbin, una comunidad en línea de larga data y altamente tóxica que se usa para «DOX» o publica información profundamente personal sobre las personas. En mayo de 2024, varios canales populares de delitos cibernéticos en el operador ridiculizado de Telegram después de que se reveló que había organizado su propio secuestro en un plan fallido para tirar a los investigadores policiales. En noviembre de 2024, las autoridades estadounidenses cobraron a cinco hombres de 20 a 25 años en relación con el grupo de arañas dispersas, que durante mucho tiempo ha dependido de reclutar menores para llevar a cabo sus actividades más riesgosas. De hecho, muchos de los miembros principales del grupo fueron reclutados de plataformas de juegos en línea como Roblox y Minecraft en sus primeros años de adolescencia, y han estado perfeccionando sus tácticas de ingeniería social durante años. «Existe un patrón claro que algunos de los actores de amenaza más depravados se unieron a las pandillas de delitos cibernéticos a una edad excepcionalmente temprana», dijo Allison Nixon, directora de investigación de la Unidad 221B de la firma de seguridad con sede en Nueva York. «Los ciberdelincuentes arrestados a 15 o menores necesitan una intervención y monitoreo graves para evitar una escalada masiva de años».
¿Qué es Ailock? Ailock es una operación de ransomware como servicio (RAAS) que salió a la luz por primera vez en marzo de 2025. Los investigadores de seguridad de ZScaler señalaron que habían identificado un grupo cibercriminal que extorsionaba los rescates de las organizaciones a través de amenazas. Supongo que la amena ¿verdad? Bueno, había eso. Pero los delincuentes revelaron otra amenaza en la nota de rescate (llamado readMe.txt) que quedó en cada directorio impactado en los sistemas de las víctimas. ¿Cuál fue? Ailock dice que si no acepta ceder ante sus demandas, los reguladores serán informados sobre la violación de datos y los competidores serán informados por correo electrónico y redes sociales. Todos los países tienen sus propias regulaciones PDPL (ley de protección de datos personales). En el caso de que no esté de acuerdo con nosotros, se publicarán información relacionada con sus empresas y los datos de los clientes de su empresa en Internet, y se informará la autoridad de uso de datos personales del país respectivo. En otras palabras, están jugando por el temor de una empresa de que puedan caer de la ley … sí, o que los rivales comerciales hagan que el capital fuera de la violación de la ciberseguridad de una víctima. Lo suficientemente malo como para que sus datos confidenciales (y potencialmente los de sus clientes y socios comerciales) puedan ser liberados en la Web Dark para que cualquiera lo descargue, peor aún, si se encuentra en otro pepinillo financiero y lucha para recuperar la reputación de su empresa en el mercado. Ailock continúa diciendo que las víctimas tienen solo 72 horas para responder a la comunicación inicial, y luego tendrá cinco días para pagar. «Si no lo hace, sus datos se publicarán y la herramienta de recuperación destruida». Pero si sí paga? Si se confirma a las demandas de rescate de Ailock. fortalezca la infraestructura de TI de su empresa contra las amenazas futuras. «¿Qué tan generoso de su parte (!) Se puede confiar en que se puede confiar? ¿Qué tan confiable consideraría a alguien que esté preparado para romper la ley al piratear su camino en un sistema informático, encriptando los datos que encuentran y exigiendo dinero con amenazas? Buen punto. Thoughugs, obviamente, es un mal sentido comercial para que una operación de sansomware no sea compensada. Después de todo, quien alguna vez pagaría un rescate si se convirtiera en un conocimiento común que entregar una gran pila de criptomonedas no resultó en recibir instrucciones sobre cómo descifrar su red o no impedía que los atacantes publiquen datos confidenciales en la red oscura de todos modos. Los operadores de ransomware como Ailock están motivados por el dinero. Aunque nunca puede estar 100% seguro de que pagar a una pandilla de ransomware se apegará a sus promesas, no tiene sentido financiero a largo plazo para ellos si no lo hacen. ¿Cómo sabré si mi computadora ha sido golpeada por el ransomware Ailock? Aparte de la nota de rescate que queda en cada directorio impactado, los archivos encriptados habrán cambiado su extensión de archivo «. El papel tapiz cambiado al logotipo de Ailock de un cráneo angular similar a un robot, en un contexto de las líneas radiantes de circuito rojo y rosa. ¿Cómo pueden mi empresa protegerse a sí misma? Deshabilite el acceso RDP o VPN no utilizado por completo, y use las listas de IP o Geofencing cuando sea posible. Además, recomendamos que todas las compañías sigan nuestros consejos generales para defender contra los ataques de ransomware, que incluyen consejos como: hacer copias de seguridad fuera del sitio seguras. así como habilitar la autenticación de múltiples factores. Entrar datos confidenciales siempre que sea posible. Reducir la superficie de ataque al deshabilitar la funcionalidad que su empresa no necesita. Educar e informar al personal sobre los riesgos y los métodos utilizados por los cibercriminales para lanzar ataques y robar datos. Nota del editor: Las opiniones expresadas en esto y otros artísticos de los autores invitados son solos de los contribuyentes y no lo hacen necesariamente los que no se reflexionan.