Etiqueta: actualizaciones cibernéticas Página 5 de 7

03 de febrero de 2024Sala de prensaAgencia de Inteligencia / Seguridad Cibernética La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. anunció sanciones contra seis funcionarios asociados con la agencia de inteligencia iraní por atacar entidades de infraestructura crítica en EE.UU. y otros países. Los funcionarios incluyen a Hamid Reza Lashgarian, Mahdi Lashgarian, Hamid Homayunfal, Milad Mansuri, Mohammad Bagher Shirinkar y Reza Mohammad Amin Saberian, que forman parte del Comando Ciberelectrónico del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC-CEC). Reza Lashgarian es también el jefe del IRGC-CEC y comandante de la Fuerza IRGC-Qods. Se alega que estuvo involucrado en varias operaciones cibernéticas y de inteligencia del IRGC. El Departamento del Tesoro dijo que responsabiliza a estos individuos por llevar a cabo «operaciones cibernéticas en las que piratearon y publicaron imágenes en las pantallas de controladores lógicos programables fabricados por Unitronics, una empresa israelí». A finales de noviembre de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló que la Autoridad Municipal de Agua de Aliquippa, en el oeste de Pensilvania, fue atacada por actores de amenazas iraníes al explotar los PLC de Unitronics. El ataque se atribuyó a un personaje hacktivista iraní denominado Cyber ​​Av3ngers, que pasó a primer plano tras el conflicto entre Israel y Hamas, organizando ataques destructivos contra entidades en Israel y Estados Unidos. El grupo, que ha estado activo desde 2020, también está Se dice que está detrás de varios otros ataques cibernéticos, incluido uno dirigido al Boston Children’s Hospital en 2021 y otros en Europa e Israel. «Los dispositivos de control industrial, como los controladores lógicos programables, utilizados en sistemas de agua y otras infraestructuras críticas, son objetivos sensibles», señaló el Departamento del Tesoro. «Aunque esta operación en particular no interrumpió ningún servicio crítico, el acceso no autorizado a sistemas de infraestructura críticos puede permitir acciones que dañen al público y causen consecuencias humanitarias devastadoras». El acontecimiento se produce cuando otro «grupo de operación psicológica» proiraní conocido como Homeland Justice dijo que atacó el Instituto de Estadísticas de Albania (INSTAT) y afirmó haber robado terabytes de datos. Homeland Justice tiene un historial de atacar a Albania desde mediados de julio de 2022, y recientemente se observó que el actor de amenazas entregaba un malware de limpieza con el nombre en código No-Justice. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

03 de febrero de 2024Sala de redacciónCiberataque / Seguridad de software El fabricante de software de escritorio remoto AnyDesk reveló el viernes que sufrió un ciberataque que comprometió sus sistemas de producción. La empresa alemana dijo que el incidente, que descubrió tras una auditoría de seguridad, no es un ataque de ransomware y que ha notificado a las autoridades pertinentes. «Hemos revocado todos los certificados relacionados con la seguridad y los sistemas han sido reparados o reemplazados cuando fue necesario», dijo la compañía en un comunicado. «En breve revocaremos el certificado de firma de código anterior para nuestros binarios y ya hemos comenzado a reemplazarlo por uno nuevo». Por precaución, AnyDesk también ha revocado todas las contraseñas de su portal web, my.anydesk.[.]com, e insta a los usuarios a cambiar sus contraseñas si las mismas contraseñas se han reutilizado en otros servicios en línea. También recomienda que los usuarios descarguen la última versión del software, que viene con un nuevo certificado de firma de código. AnyDesk no reveló cuándo y cómo se violaron sus sistemas de producción. Actualmente no se sabe si se robó alguna información después del ataque. Sin embargo, enfatizó que no hay evidencia de que ningún sistema de usuario final haya sido afectado. A principios de esta semana, Günter Born de BornCity reveló que AnyDesk había estado en mantenimiento el 29 de enero. El problema se solucionó el 1 de febrero. Anteriormente, el 24 de enero, la compañía también alertó a los usuarios sobre «tiempos de espera intermitentes» y «degradación del servicio» con su Portal del Cliente. AnyDesk cuenta con más de 170.000 clientes, incluidos Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam y Thales. La divulgación se produce un día después de que Cloudflare dijera que fue violado por un presunto atacante de un estado-nación que utilizó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

2 de febrero de 2024Sala de prensaCibercrimen/Malware Una operación colaborativa dirigida por INTERPOL contra ataques de phishing, malware bancario y ransomware ha permitido identificar 1.300 direcciones IP y URL sospechosas. El esfuerzo de aplicación de la ley, cuyo nombre en código es Synergia, se llevó a cabo entre septiembre y noviembre de 2023 en un intento de frenar el «crecimiento, escalada y profesionalización del ciberdelito transnacional». En el ejercicio, en el que participaron 60 organismos encargados de hacer cumplir la ley de 55 países miembros, se allanó el camino para la detección de más de 1.300 servidores maliciosos, el 70% de los cuales ya han sido desmantelados en Europa. Las autoridades de Hong Kong y Singapur desactivaron 153 y 86 servidores, respectivamente. Los servidores, así como los dispositivos electrónicos, fueron confiscados tras más de 30 registros domiciliarios. Hasta la fecha se han identificado setenta sospechosos y se ha arrestado a 31 de Europa, Sudán del Sur y Zimbabwe. Group-IB, con sede en Singapur, que también contribuyó a la operación, dijo que identificó «más de 500 direcciones IP que alojan recursos de phishing y más de 1.900 direcciones IP asociadas con ransomware, troyanos y operaciones de malware bancario». La infraestructura fraudulenta estaba alojada en Australia, Canadá, Hong Kong y Singapur, entre otros, y los recursos se distribuían entre más de 200 proveedores de alojamiento web en todo el mundo. «Los resultados de esta operación, logrados gracias a los esfuerzos colectivos de múltiples países y socios, muestran nuestro compromiso inquebrantable con la salvaguardia del espacio digital», afirmó Bernardo Pillot, subdirector de la Dirección de Delitos Cibernéticos de INTERPOL. «Al desmantelar la infraestructura detrás de los ataques de phishing, malware bancario y ransomware, estamos un paso más cerca de proteger nuestros ecosistemas digitales y brindar una experiencia en línea más segura para todos». El acontecimiento llega más de un mes después de que otra operación policial internacional de seis meses de duración denominada HAECHI-IV haya dado lugar al arresto de casi 3.500 personas e incautaciones por valor de 300 millones de dólares en 34 países. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de febrero de 2024The Hacker NewsInteligencia sobre amenazas / Seguridad en la nube Cloudzy, un destacado proveedor de infraestructura en la nube, anuncia con orgullo una mejora significativa en su panorama de ciberseguridad. Este avance se logró gracias a una consulta reciente con Recorded Future, líder en el suministro de inteligencia sobre amenazas y análisis de ciberseguridad en tiempo real. Esta iniciativa, junto con una revisión de las estrategias de ciberseguridad de Cloudzy, representa un gran paso adelante en nuestro compromiso con la seguridad digital y la integridad de la infraestructura. Mejoras clave en ciberseguridad Inteligencia integral sobre amenazas de Recorded Future Recorded Future proporciona informes de seguridad críticos, destacando posibles violaciones de seguridad y actividades maliciosas. Esta inteligencia sofisticada nos permite actuar con prontitud contra amenazas como ransomware, APT (amenazas persistentes avanzadas), servidores C2 (comando y control), malware y más. Tras una evaluación exhaustiva de estos informes y la confirmación de que las cuentas implicadas efectivamente están realizando actividades ilegales. y no son víctimas, Cloudzy prohíbe sistemáticamente estas cuentas. Además, nuestro sistema está diseñado para reconocer y suspender cualquier intento de estas entidades de acceder a nuestra plataforma utilizando identidades falsas, para garantizar mejor un entorno seguro y confiable. Operaciones refinadas de CloudzPatrol, nuestro sistema avanzado de detección de amenazas CloudzPatrol, un componente clave del marco de seguridad de Cloudzy, se ha actualizado significativamente para mejorar sus capacidades de detección y respuesta a amenazas. Este sistema está diseñado intrincadamente para identificar patrones sospechosos dentro de nuestra infraestructura. Fundamentalmente, la mejora de CloudzPatrol se basa y enriquece con informes de seguridad integrales recibidos de Recorded Future y otros proveedores de ciberseguridad. Al analizar estos informes, CloudzPatrol perfecciona continuamente sus procesos, lo que nos permite detectar y mitigar de forma proactiva los riesgos que plantean las cuentas y máquinas maliciosas. Compromiso con la aplicación ética Al hacer cumplir nuestras medidas de seguridad, actualizamos constantemente nuestra política de uso aceptable para garantizar que nuestras acciones se alineen con los estándares legales y prioricen la seguridad del usuario. Nuestro enfoque es meticulosamente ético y protege la privacidad individual manteniendo estrictos estándares de seguridad. Mantener una plataforma segura y resistente Estos avances marcan la dedicación inquebrantable de Cloudzy para mantener una plataforma segura y resistente para nuestros clientes. Hannan Nozari, director ejecutivo de Cloudzy, enfatiza: «Nuestra implementación de Recorded Future cambia las reglas del juego en nuestra incesante búsqueda de la excelencia en ciberseguridad. Ahora estamos más equipados que nunca para defendernos contra las ciberamenazas y mantener la integridad de nuestros servicios. Fomentamos la colaboración y asociación con organizaciones e individuos que comparten preocupaciones similares sobre ciberseguridad, ya que la ciberseguridad requiere vigilancia y esfuerzo colectivos». Como proveedor de IaaS ágil y centrado en el usuario, Cloudzy ocupa una posición única en el mercado de infraestructura en la nube. Nuestros recientes avances en ciberseguridad, ejemplificados por CloudzPatrol y nuestras colaboraciones estratégicas, refuerzan nuestro compromiso de ofrecer una experiencia en la nube segura, innovadora y personalizada, especialmente en un dominio dominado por corporaciones más grandes. Para obtener más información, comuníquese con: pr@cloudzy.com Acerca de Cloudzy Cloudzy se destaca como un proveedor de infraestructura de nube dinámico y centrado en el usuario, que ofrece soluciones seguras e innovadoras a escala global. Nuestro enfoque está profundamente arraigado en un compromiso con la seguridad del usuario y la integridad de los datos. Como actor receptivo y adaptable de la industria, perfeccionamos continuamente nuestras estrategias de ciberseguridad. Esto incluye forjar colaboraciones estratégicas con expertos en ciberseguridad como Recorded Future, garantizando que nuestros usuarios se beneficien de los más altos estándares de protección digital. En Cloudzy, no nos centramos sólo en la tecnología; Nuestro objetivo es crear una experiencia en la nube más segura y personal para cada uno de nuestros usuarios. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

Los actores patrocinados por el estado ruso han organizado ataques de retransmisión de hash de NT LAN Manager (NTLM) v2 a través de varios métodos desde abril de 2022 hasta noviembre de 2023, dirigidos a objetivos de alto valor en todo el mundo. Los ataques, atribuidos a un grupo de hackers «agresivo» llamado APT28, han puesto sus ojos en organizaciones que se ocupan de asuntos exteriores, energía, defensa y transporte, así como en aquellas involucradas con el trabajo, el bienestar social, las finanzas, la paternidad y la ciudad local. concejos. La firma de ciberseguridad Trend Micro evaluó estas intrusiones como un «método rentable de automatizar los intentos de ingresar por la fuerza bruta en las redes» de sus objetivos, señalando que el adversario puede haber comprometido miles de cuentas de correo electrónico a lo largo del tiempo. APT28 también es rastreado por la comunidad de ciberseguridad en general bajo los nombres Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422. El grupo, que se cree que está activo desde al menos 2009, es operado por el servicio de inteligencia militar GRU de Rusia y tiene un historial de orquestar phishing dirigido que contiene archivos adjuntos maliciosos o compromisos web estratégicos para activar las cadenas de infección. En abril de 2023, APT28 estuvo implicado en ataques que aprovecharon fallas ahora reparadas en equipos de red de Cisco para realizar reconocimientos e implementar malware contra objetivos seleccionados. El actor del estado-nación, en diciembre, fue el centro de atención por explotar una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9,8) y WinRAR (CVE-2023-38831, puntuación CVSS: 7,8) para acceder el hash Net-NTLMv2 de un usuario y utilizarlo para organizar un ataque de retransmisión NTLM contra otro servicio para autenticarse como usuario. Se dice que un exploit para CVE-2023-23397 se utilizó para atacar a entidades ucranianas ya en abril de 2022, según un aviso de marzo de 2023 del CERT-EU. También se ha observado que aprovecha señuelos relacionados con la actual guerra entre Israel y Hamas para facilitar la entrega de una puerta trasera personalizada llamada HeadLace, junto con entidades gubernamentales ucranianas y organizaciones polacas que atacan con mensajes de phishing diseñados para desplegar puertas traseras y ladrones de información como OCEANMAP, MASEPIE y GANCHO DE ACERO. Uno de los aspectos importantes de los ataques del actor de amenazas es el intento continuo de mejorar su manual operativo, afinando y modificando sus enfoques para evadir la detección. Esto incluye la adición de capas de anonimización como servicios VPN, Tor, direcciones IP del centro de datos y enrutadores EdgeOS comprometidos para realizar actividades de escaneo y sondeo. Otra táctica consiste en enviar mensajes de phishing desde cuentas de correo electrónico comprometidas a través de Tor o VPN. «Pawn Storm también ha estado utilizando enrutadores EdgeOS para enviar correos electrónicos de phishing, realizar devoluciones de llamadas de exploits CVE-2023-23397 en Outlook y robo de credenciales de proxy en sitios web de phishing», dijeron los investigadores de seguridad Feike Hacquebord y Fernando Merces. «Parte de las actividades posteriores a la explotación del grupo implican la modificación de los permisos de carpeta dentro del buzón de la víctima, lo que lleva a una mayor persistencia», dijeron los investigadores. «Al utilizar las cuentas de correo electrónico de la víctima, es posible realizar movimientos laterales mediante el envío de mensajes de correo electrónico maliciosos adicionales desde dentro de la organización de la víctima». Actualmente no se sabe si los propios actores de la amenaza violaron estos enrutadores o si están utilizando enrutadores que ya fueron comprometidos por un tercero. Dicho esto, se estima que no menos de 100 enrutadores EdgeOS han sido infectados. Además, las recientes campañas de recolección de credenciales contra gobiernos europeos han utilizado páginas de inicio de sesión falsas que imitan a Microsoft Outlook y que están alojadas en un webhook.[.]URL del sitio, un patrón previamente atribuido al grupo. Sin embargo, una campaña de phishing de octubre de 2022 señaló a embajadas y otras entidades de alto perfil para entregar un ladrón de información «simple» a través de correos electrónicos que capturaba archivos que coincidían con extensiones específicas y los exfiltraba a un servicio gratuito para compartir archivos llamado Keep.sh. «El volumen de las campañas repetitivas, a menudo crudas y agresivas, ahoga el silencio, la sutileza y la complejidad de la intrusión inicial, así como las acciones posteriores a la explotación que podrían ocurrir una vez que Pawn Storm consiga un punto de apoyo inicial en las organizaciones víctimas». dijeron los investigadores. El desarrollo se produce cuando Recorded Future News reveló una campaña de piratería en curso llevada a cabo por el actor de amenazas ruso COLDRIVER (también conocido como Calisto, Iron Frontier o Star Blizzard) que se hace pasar por investigadores y académicos para redirigir a posibles víctimas a páginas de recolección de credenciales. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de febrero de 2024Sala de prensaCryptojacking / Malware El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió que más de 2000 computadoras en el país han sido infectadas por una cepa de malware llamada DirtyMoe. La agencia atribuyó la campaña a un actor de amenazas al que llama UAC-0027. DirtyMoe, activo desde al menos 2016, es capaz de llevar a cabo cryptojacking y ataques distribuidos de denegación de servicio (DDoS). En marzo de 2022, la empresa de ciberseguridad Avast reveló la capacidad del malware para propagarse en forma de gusano aprovechando fallas de seguridad conocidas. Se sabe que la botnet DDoS se distribuye mediante otro malware denominado Purple Fox o mediante paquetes de instalación MSI falsos para software popular como Telegram. Purple Fox también está equipado con un rootkit que permite a los actores de amenazas ocultar el malware en la máquina y dificultar su detección y eliminación. Actualmente se desconoce el vector de acceso inicial exacto utilizado en la campaña dirigida a Ucrania. CERT-UA recomienda que las organizaciones mantengan sus sistemas actualizados, apliquen la segmentación de la red y supervisen el tráfico de la red para detectar cualquier actividad anómala. La divulgación se produce cuando Securonix detalló una campaña de phishing en curso conocida como STEADY#URSA dirigida al personal militar ucraniano con el objetivo de ofrecer una puerta trasera PowerShell personalizada denominada SUBTLE-PAWS. «La cadena de explotación es relativamente simple: implica que el objetivo ejecute un archivo de acceso directo malicioso (.lnk) que carga y ejecuta un nuevo código de carga útil de puerta trasera de PowerShell (que se encuentra dentro de otro archivo contenido en el mismo archivo)», investigadores de seguridad Den Iuzvyk, Tim. Peck y Oleg Kolesnikov dijeron. Se dice que el ataque está relacionado con un actor de amenazas conocido como Shuckworm, que también se conoce como Aqua Blizzard (anteriormente Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 y Winterflounder. Activo desde al menos 2013, se considera que forma parte del Servicio Federal de Seguridad (FSB) de Rusia. SUBTLE-PAWS, además de configurar la persistencia en el host, utiliza la plataforma de blogs de Telegram llamada Telegraph para recuperar la información de comando y control (C2), una técnica previamente identificada como asociada con el adversario desde principios de 2023, y que puede propagarse a través de unidades extraíbles conectadas. La capacidad de Gamaredon para propagarse a través de unidades USB también fue documentada por Check Point en noviembre de 2023, que nombró al gusano USB basado en PowerShell LitterDrifter. «La puerta trasera SUBTLE-PAWS utiliza técnicas avanzadas para ejecutar cargas maliciosas de forma dinámica», dijeron los investigadores. «Almacenan y recuperan código PowerShell ejecutable del Registro de Windows, lo que puede ayudar a evadir los métodos tradicionales de detección basados ​​en archivos. Este enfoque también ayuda a mantener la persistencia en el sistema infectado, ya que el malware puede iniciarse nuevamente después de reinicios u otras interrupciones». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de febrero de 2024Sala de prensaSeguridad nacional/violación de datos Un ex ingeniero de software de la Agencia Central de Inteligencia (CIA) de EE. UU. ha sido condenado a 40 años de prisión por el Distrito Sur de Nueva York (SDNY) por transmitir documentos clasificados a WikiLeaks y por posesión de material pornográfico infantil. Joshua Adam Schulte, de 35 años, fue acusado originalmente en junio de 2018. Fue declarado culpable en julio de 2022. El 13 de septiembre de 2023, fue declarado culpable de recibir, poseer y transportar pornografía infantil. Además de la pena de prisión, Schulte ha sido condenado a cadena perpetua en libertad supervisada. «El robo de Schulte es la mayor violación de datos en la historia de la CIA, y su transmisión de esa información robada a WikiLeaks es una de las mayores revelaciones no autorizadas de información clasificada en la historia de Estados Unidos», dijo el Departamento de Justicia (DoJ) de Estados Unidos. dicho. La información confidencial compartida por Schulte incluía un tramo de herramientas de piratería y exploits denominados Vault 7 y Vault 8. Fue publicado por WikiLeaks a partir del 7 de marzo de 2017, durante un período de ocho meses. Schulte trabajó como desarrollador de software en el Centro de Inteligencia Cibernética (CCI) de 2012 a 2016, donde trabajó en herramientas relacionadas con operaciones cibernéticas ofensivas realizadas por la CIA, y posteriormente abusó de sus privilegios de administrador para saquear «copias de toda la herramienta CCI». archivos de desarrollo» en 2016. Esta información incluía métodos para «recopilar inteligencia extranjera contra los adversarios de Estados Unidos», incluido un arsenal de armas cibernéticas y exploits de día cero que hicieron posible comprometer automóviles, televisores inteligentes, navegadores web y computadoras de escritorio ampliamente utilizadas. y sistemas operativos móviles. La filtración, descrita como un «Pearl Harbor digital», costó a la agencia «cientos de millones de dólares» y «perjudicó gravemente la seguridad nacional de Estados Unidos y arriesgó directamente la vida del personal de la CIA», dijeron los fiscales. Schulte también fue acusado de mentir repetidamente a la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre su participación, así como de «tejer narrativas falsas» sobre cómo la información podría haberse obtenido de las computadoras de la CIA en un intento de desviar sospechas. Una búsqueda posterior en su departamento de Nueva York en marzo de 2017 descubrió una reserva de material de abuso sexual infantil (CSAM, por sus siglas en inglés) que abarca aproximadamente 3,400 imágenes y videos, algunos de los cuales fueron recopilados durante su empleo con la CIA en la web oscura y sitios web rusos. Durante su detención en espera de juicio, se descubrió que había utilizado teléfonos celulares de contrabando en la cárcel para crear cuentas anónimas y cifradas de correo electrónico y de redes sociales, e intentó transmitir materiales de descubrimiento protegidos a WikiLeaks y publicar información clasificada sobre técnicas y herramientas cibernéticas de la CIA. El objetivo de Schulte, dijo el Departamento de Justicia, citando un diario escrito por él, era «romper relaciones diplomáticas, cerrar embajadas, [and] poner fin a la ocupación estadounidense en todo el mundo». «Joshua Schulte fue justamente castigado no sólo por su traición a nuestro país, sino también por su posesión sustancial de horrible material pornográfico infantil», dijo el subdirector a cargo del FBI, James Smith. «La gravedad de sus acciones es evidente, y la sentencia impuesta refleja la magnitud de la amenaza inquietante y dañina que representa su conducta criminal». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de febrero de 2024Sala de prensaViolación de datos/Seguridad en la nube Cloudflare ha revelado que fue el objetivo de un probable ataque de estado-nación en el que el actor de amenazas aprovechó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y a una cantidad limitada. cantidad de código fuente. La intrusión, que tuvo lugar entre el 14 y el 24 de noviembre de 2023 y fue detectada el 23 de noviembre, se llevó a cabo «con el objetivo de obtener un acceso persistente y generalizado a la red global de Cloudflare», dijo la empresa de infraestructura web, describiendo al actor como » sofisticado» y alguien que «operaba de manera reflexiva y metódica». Como medida de precaución, la compañía dijo además que rotó más de 5.000 credenciales de producción, sistemas de prueba y preparación segmentados físicamente, llevó a cabo clasificaciones forenses en 4.893 sistemas, volvió a crear imágenes y reinició todas las máquinas en su red global. El incidente implicó un período de reconocimiento de cuatro días para acceder a los portales Atlassian Confluence y Jira, tras lo cual el adversario creó una cuenta de usuario maliciosa de Atlassian y estableció un acceso persistente a su servidor Atlassian para finalmente obtener acceso a su sistema de gestión de código fuente Bitbucket mediante el Marco de simulación de adversario plateado. Se visitaron hasta 120 repositorios de código, de los cuales se estima que 76 fueron extraídos por el atacante. «Los 76 repositorios de código fuente estaban casi todos relacionados con cómo funcionan las copias de seguridad, cómo se configura y administra la red global, cómo funciona la identidad en Cloudflare, el acceso remoto y nuestro uso de Terraform y Kubernetes», dijo Cloudflare. «Un pequeño número de repositorios contenían secretos cifrados que se rotaban inmediatamente a pesar de que ellos mismos estaban fuertemente cifrados». Luego se dice que el actor de amenazas intentó sin éxito «acceder a un servidor de consola que tenía acceso al centro de datos que Cloudflare aún no había puesto en producción en São Paulo, Brasil». El ataque se logró utilizando un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet que fueron robados luego del hackeo en octubre de 2023 del sistema de gestión de casos de soporte de Okta. Cloudflare reconoció que no había rotado estas credenciales, asumiendo erróneamente que no estaban en uso. La compañía también dijo que tomó medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2024. También involucró a la firma de ciberseguridad CrowdStrike para realizar una evaluación independiente del incidente. «Los únicos sistemas de producción a los que el actor de amenazas pudo acceder utilizando las credenciales robadas fue nuestro entorno Atlassian. Al analizar las páginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de código fuente, parece que estaban buscando información sobre la arquitectura, la seguridad y la gestión. de nuestra red global», afirmó Cloudflare. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

23 de enero de 2024The Hacker NewsCiberseguridad/Seguridad de servidores A medida que entramos en 2024, Gcore ha publicado su último informe Gcore Radar, una publicación semestral en la que la empresa publica análisis internos para rastrear ataques DDoS. La amplia red de centros de depuración distribuida internacionalmente de Gcore les permite seguir las tendencias de los ataques a lo largo del tiempo. Continúe leyendo para conocer las tendencias de los ataques DDoS para el tercer y cuarto trimestre de 2023 y lo que significan para desarrollar una estrategia de protección sólida en 2024. Hallazgos clave de Gcore Las tendencias de los ataques DDoS para la segunda mitad de 2023 revelan desarrollos alarmantes en la escala y la sofisticación de las ciberamenazas. . Poder de ataque sin precedentes Los últimos tres años han provocado un aumento anual >100 % en el volumen máximo de ataques DDoS (máximo registrado): en 2021, la capacidad máxima de ataques DDoS fue de 300 Gbps. En 2022, aumentó a 650 Gbps en el primer y segundo trimestre. En 2023, aumentó nuevamente a 800 Gbps. En el tercer y cuarto trimestre de 2023, aumentó a 1600 Gbps (1,6 Tbps). En particular, el salto en el segundo semestre de 2023 significa que la industria de la ciberseguridad está midiendo los ataques DDoS en una nueva unidad, los Terabits. Poder máximo de ataque en 2021-2023 en Gbps Esto ilustra una escalada significativa y continua en el daño potencial de los ataques DDoS, una tendencia que Gcore espera que continúe en 2024. Duración del ataque Gcore vio duraciones de ataques que variaron de tres minutos a nueve horas, con un promedio de aproximadamente una hora. Por lo general, los ataques cortos son más difíciles de detectar, ya que no permiten un análisis de tráfico adecuado debido a la escasez de datos y, dado que son más difíciles de reconocer, también son más difíciles de mitigar. Los ataques más prolongados requieren más recursos para combatir, lo que requiere una poderosa respuesta de mitigación; de lo contrario, el riesgo es una indisponibilidad prolongada del servidor. El ataque más largo registrado por Gcore duró nueve horas. Tipos de ataques predominantes Las inundaciones UDP siguen dominando y constituyen el 62% de los ataques DDoS. Las inundaciones TCP y los ataques ICMP también siguen siendo populares con un 16% y un 12% del total, respectivamente. Todos los demás tipos de ataques DDoS, incluidos SYN, SYN+ACK Flood y RST Flood, representaron apenas el 10% combinados. Si bien algunos atacantes pueden utilizar estos enfoques más sofisticados, la mayoría todavía se concentra en entregar un gran volumen de paquetes para derribar servidores. Tipos de ataques dominantes en el segundo semestre de 2023 La variación en los métodos de ataque requiere una estrategia de defensa multifacética que pueda proteger contra una variedad de técnicas DDoS. Fuentes de ataques globales Esta propagación global de fuentes de ataques demuestra la naturaleza sin fronteras de las amenazas cibernéticas, donde los atacantes operan a través de fronteras nacionales. Gcore identificó diversos orígenes de ataques en la segunda mitad de 2023, con Estados Unidos a la cabeza con un 24%. Indonesia (17%), Países Bajos (12%), Tailandia (10%), Colombia (8%), Rusia (8%), Ucrania (5%), México (3%), Alemania (2%), y Brasil (2%) figura entre los diez primeros, lo que ilustra una amenaza global generalizada. Distribución geográfica de las fuentes de ataque La distribución geográfica de las fuentes de ataque DDoS proporciona información importante para crear estrategias de defensa específicas y para dar forma a la formulación de políticas internacionales destinadas a combatir el delito cibernético. Sin embargo, determinar la ubicación del atacante es un desafío debido al uso de técnicas como la suplantación de IP y la participación de botnets distribuidas. Esto dificulta evaluar las motivaciones y capacidades, que pueden variar desde acciones patrocinadas por el Estado hasta piratas informáticos individuales. Industrias objetivo Las industrias más atacadas en el segundo semestre de 2023 destacan el impacto de los ataques DDoS en diversos sectores: la industria del juego sigue siendo la más afectada y sufre el 46% de los ataques. El sector financiero, incluidos los bancos y los servicios de juegos de azar, quedó en segundo lugar con un 22%. Los proveedores de telecomunicaciones (18%), infraestructura como servicio (IaaS) (7%) y empresas de software (3%) también fueron un objetivo importante. Ataques DDoS por industria afectada Desde el informe anterior de Gcore Radar, los atacantes no han cambiado su enfoque: los sectores de juegos y financiero son particularmente interesantes para los atacantes, probablemente debido a sus ganancias financieras y su impacto en los usuarios. Esto subraya la necesidad de estrategias de ciberseguridad específicas en las industrias más afectadas, como contramedidas para servidores de juegos específicos. Análisis Los datos de la segunda mitad de 2023 destacan una tendencia preocupante en el panorama de los ataques DDoS. El aumento del poder de ataque a 1,6 Tbps es particularmente alarmante y señala un nuevo nivel de amenaza para el cual las organizaciones deben prepararse. A modo de comparación, incluso un «humilde» ataque de 300 Gbps es capaz de desactivar un servidor desprotegido. Junto con la distribución geográfica de las fuentes de ataque, está claro que las amenazas DDoS son un problema grave y global, que requiere cooperación internacional e intercambio de inteligencia para mitigar ataques potencialmente devastadores de manera efectiva. La variedad en la duración de los ataques sugiere que los atacantes se están volviendo más estratégicos, adaptando sus enfoques a objetivos y objetivos específicos: en el sector de los juegos, por ejemplo, los ataques son relativamente bajos en potencia y duración, pero más frecuentes, causando repetidas interrupciones en un servidor específico con el objetivo de interrumpir la experiencia del jugador para obligarlo a cambiar al servidor de un competidor. Para los sectores financiero y de telecomunicaciones, donde el impacto económico es más inmediato, los ataques suelen ser de mayor volumen y su duración es muy variable. El ataque continuo a los sectores de juegos, finanzas, telecomunicaciones e IaaS refleja la elección estratégica de los atacantes de elegir servicios cuya interrupción tiene un impacto económico y operativo significativo. Conclusión El informe de Gcore Radar correspondiente al tercer y cuarto trimestre de 2023 sirve como un recordatorio oportuno de la naturaleza en constante evolución de las ciberamenazas. Las organizaciones de todos los sectores deben invertir en medidas de ciberseguridad integrales y adaptables. Para mantenerse a la vanguardia de las amenazas DDoS se requiere una profunda comprensión de los patrones y estrategias cambiantes de los ciberatacantes. Gcore DDoS Protection tiene un historial comprobado de repeler incluso los ataques más poderosos y sostenidos. Conecte Gcore DDoS Protection para proteger su empresa de lo que traiga el panorama DDoS de 2024. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

23 de enero de 2024Sala de prensaSe ha observado que software descifrado de malware/criptomonedas infecta a los usuarios de Apple macOS con un malware ladrón no documentado previamente capaz de recopilar información del sistema y datos de billeteras de criptomonedas. Kaspersky, que identificó los artefactos en la naturaleza, dijo que están diseñados para apuntar a máquinas que ejecutan macOS Ventura 13.6 y posteriores, lo que indica la capacidad del malware para infectar Mac con arquitecturas de procesadores de silicio Intel y Apple. Las cadenas de ataque aprovechan archivos de imagen de disco (DMG) con trampas explosivas que incluyen un programa llamado «Activador» y una versión pirateada de software legítimo como xScope. Se insta a los usuarios que terminen abriendo los archivos DMG a mover ambos archivos a la carpeta Aplicaciones y ejecutar el componente Activador para aplicar un supuesto parche y ejecutar la aplicación xScope. Sin embargo, al iniciar Activator, se muestra un mensaje que solicita a la víctima que ingrese la contraseña del administrador del sistema, lo que le permite ejecutar un binario Mach-O con permisos elevados para iniciar el ejecutable xScope modificado. «El truco era que los actores maliciosos habían tomado versiones de la aplicación previamente descifradas y habían agregado unos pocos bytes al comienzo del ejecutable, deshabilitándolo para que el usuario iniciara Activator», dijo el investigador de seguridad Sergey Puzan. La siguiente etapa implica establecer contacto con un servidor de comando y control (C2) para recuperar un script cifrado. La URL C2, por su parte, se construye combinando palabras de dos listas codificadas y agregando una secuencia aleatoria de cinco letras como un nombre de dominio de tercer nivel. Luego se envía una solicitud de DNS para este dominio para recuperar tres registros TXT de DNS, cada uno de los cuales contiene un fragmento de texto cifrado codificado en Base64 que se descifra y ensambla para construir un script de Python, que, a su vez, establece persistencia y funciona como un descargador al comunicarse con a «salud de manzana[.]org» cada 30 segundos para descargar y ejecutar la carga útil principal. «Esta era una forma bastante interesante e inusual de contactar a un servidor de comando y control y ocultar la actividad dentro del tráfico, y garantizaba la descarga de la carga útil, ya que el mensaje de respuesta provenía de el servidor DNS», explicó Puzan, describiéndolo como «realmente ingenioso». La puerta trasera, mantenida y actualizada activamente por el actor de la amenaza, está diseñada para ejecutar comandos recibidos, recopilar metadatos del sistema y verificar la presencia de billeteras Exodus y Bitcoin Core. en el host infectado. Si se encuentran, las aplicaciones se reemplazan por versiones troyanizadas descargadas del dominio «apple-analyser[.]com» que están equipados para filtrar la frase inicial, la contraseña de desbloqueo de la billetera, el nombre y el saldo a un servidor controlado por el actor. «La carga útil final fue una puerta trasera que podía ejecutar cualquier script con privilegios de administrador y reemplazar la billetera criptográfica Bitcoin Core y Exodus. aplicaciones instaladas en la máquina con versiones infectadas que robaban frases secretas de recuperación en el momento en que se desbloqueaba la billetera», dijo Puzan. El desarrollo se produce cuando el software crackeado se está convirtiendo cada vez más en un conducto para comprometer a los usuarios de macOS con una variedad de malware, incluyendo Trojan-Proxy y ZuRu. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link