Etiqueta: actualizaciones de seguridad cibernética Página 1 de 12

09 de mayo de 2024Sala de prensaCifrado/Privacidad de datos Los investigadores han detallado una técnica de derivación de la red privada virtual (VPN) denominada TunnelVision que permite a los actores de amenazas espiar el tráfico de red de la víctima simplemente estando en la misma red local. Al método de «decloaking» se le ha asignado el identificador CVE CVE-2024-3661 (puntuación CVSS: 7,6). Afecta a todos los sistemas operativos que implementan un cliente DHCP y admite rutas de la opción 121 de DHCP. En esencia, TunnelVision implica el enrutamiento del tráfico sin cifrado a través de una VPN mediante un servidor DHCP configurado por el atacante utilizando la opción de ruta estática sin clases 121 para establecer una ruta en la tabla de enrutamiento del usuario de VPN. También surge del hecho de que el protocolo DHCP, por diseño, no autentica dichos mensajes de opción, exponiéndolos así a manipulación. DHCP es un protocolo cliente/servidor que proporciona automáticamente a un host de Protocolo de Internet (IP) su dirección IP y otra información de configuración relacionada, como la máscara de subred y la puerta de enlace predeterminada, para acceder a la red y sus recursos. También ayuda a configurar de manera confiable las direcciones IP a través de un servidor que mantiene un conjunto de direcciones IP y alquila una dirección a cualquier cliente habilitado para DHCP cuando se inicia en la red. Debido a que estas direcciones IP son dinámicas (es decir, arrendadas) en lugar de estáticas (es decir, asignadas permanentemente), las direcciones que ya no están en uso se devuelven automáticamente al grupo para su reasignación. La vulnerabilidad, en pocas palabras, hace posible que un atacante con la capacidad de enviar mensajes DHCP manipule rutas para redirigir el tráfico VPN, permitiéndole así leer, interrumpir o posiblemente modificar el tráfico de red que se esperaba que estuviera protegido por la VPN. . «Debido a que esta técnica no depende de la explotación de tecnologías VPN o protocolos subyacentes, funciona completamente independientemente del proveedor o la implementación de VPN», dijeron los investigadores de Leviathan Security Group, Dani Cronce y Lizzie Moratti. «Nuestra técnica consiste en ejecutar un servidor DHCP en la misma red que un usuario VPN objetivo y también configurar nuestra configuración DHCP para que se utilice como puerta de enlace. Cuando el tráfico llega a nuestra puerta de enlace, utilizamos reglas de reenvío de tráfico en el servidor DHCP para pasar tráfico a través de una puerta de enlace legítima mientras la espiamos». En otras palabras, TunnelVision engaña al usuario de VPN haciéndole creer que sus conexiones están seguras y enrutadas a través de un túnel cifrado, cuando en realidad ha sido redirigido al servidor del atacante para que pueda ser potencialmente inspeccionado. Sin embargo, para poder desenmascarar con éxito el tráfico VPN, el cliente DHCP del host objetivo debe implementar la opción 121 de DHCP y aceptar una concesión de DHCP del servidor controlado por el atacante. El ataque también es similar a TunnelCrack, que está diseñado para filtrar tráfico fuera de un túnel VPN protegido cuando se conecta a una red Wi-Fi no confiable o a un ISP fraudulento, lo que resulta en ataques de adversario en el medio (AitM). El problema afecta a todos los principales sistemas operativos como Windows, Linux, macOS e iOS, con la excepción de Android, ya que no es compatible con la opción DHCP 121. También afecta a las herramientas VPN que dependen únicamente de reglas de enrutamiento para proteger el tráfico del host. Desde entonces, Mullvad ha confirmado que las versiones de escritorio de su software tienen reglas de firewall para bloquear cualquier tráfico a IP públicas fuera del túnel VPN, pero reconoció que la versión de iOS es vulnerable a TunnelVision. Sin embargo, aún debe integrarse y enviar una solución debido a la complejidad de la tarea, en la que, según la compañía sueca, ha estado trabajando durante «algún tiempo». «La vulnerabilidad TunnelVision (CVE-2024-3661) expone un método para que los atacantes eviten la encapsulación de VPN y redireccionen el tráfico fuera del túnel VPN», dijeron los investigadores de Zscaler, describiéndolo como una técnica que emplea un ataque de inanición de DHCP para crear un canal lateral. . «Esta técnica implica utilizar la opción 121 de DHCP para enrutar el tráfico sin cifrado a través de una VPN y, en última instancia, enviarlo a Internet a través de un canal lateral creado por el atacante». Para mitigar TunnelVision, se recomienda a las organizaciones implementar vigilancia DHCP, protecciones ARP y seguridad de puertos en los conmutadores. También se recomienda implementar espacios de nombres de red en Linux para corregir el comportamiento. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

09 de mayo de 2024Sala de prensaFirewall/Seguridad de red Se han descubierto dos vulnerabilidades de seguridad en F5 Next Central Manager que podrían ser explotadas por un actor de amenazas para tomar el control de los dispositivos y crear cuentas de administrador ocultas y fraudulentas para la persistencia. Las fallas explotables remotamente «pueden dar a los atacantes un control administrativo total del dispositivo y, posteriormente, permitirles crear cuentas en cualquier activo F5 administrado por Next Central Manager», dijo la firma de seguridad Eclypsium en un nuevo informe. Una descripción de los dos problemas es la siguiente: CVE-2024-21793 (puntuación CVSS: 7,5) – Una vulnerabilidad de inyección de OData que podría permitir a un atacante no autenticado ejecutar sentencias SQL maliciosas a través de la API de BIG-IP NEXT Central Manager CVE-2024- 26026 (puntuación CVSS: 7,5): una vulnerabilidad de inyección SQL que podría permitir a un atacante no autenticado ejecutar declaraciones SQL maliciosas a través de la API BIG-IP Next Central Manager. Ambas fallas afectan las versiones de Next Central Manager desde 20.0.1 a 20.1.0. Las deficiencias se han solucionado en la versión 20.2.0. La explotación exitosa de los errores puede resultar en un control administrativo total del dispositivo, lo que permite a los atacantes combinarlo con otras fallas para crear nuevas cuentas en cualquier activo de BIG-IP Next administrado por el Administrador Central. Es más, estas cuentas maliciosas permanecerían ocultas al propio Gestor Central. Esto es posible gracias a una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que permite invocar una API no documentada y crear las cuentas. «Esto significa que incluso si se restablece la contraseña de administrador en el Administrador Central y se parchea el sistema, el acceso del atacante aún podría permanecer», dijo la compañía de seguridad de la cadena de suministro. Eclypsium también descubrió dos debilidades más que podrían simplemente realizar ataques de fuerza bruta contra las contraseñas de administrador y permitir a un administrador restablecer sus contraseñas sin conocer la anterior. Un atacante podría utilizar este problema como arma para bloquear el acceso legítimo al dispositivo desde cada cuenta. Si bien no hay indicios de que las vulnerabilidades hayan sido explotadas activamente en la naturaleza, se recomienda que los usuarios actualicen sus instancias a la última versión para mitigar posibles amenazas. «La infraestructura de redes y aplicaciones se ha convertido en un objetivo clave de los atacantes en los últimos años», dijo Eclypsium. «La explotación de estos sistemas altamente privilegiados puede brindar a los adversarios una forma ideal de obtener acceso, difundirse y mantener la persistencia dentro de un entorno». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los permisos en plataformas SaaS como Salesforce, Workday y Microsoft 365 son notablemente precisos. Explican exactamente qué usuarios tienen acceso a qué conjuntos de datos. La terminología difiere entre aplicaciones, pero el permiso básico de cada usuario está determinado por su función, mientras que se pueden otorgar permisos adicionales según las tareas o proyectos en los que esté involucrado. Además de eso, se encuentran los permisos personalizados requeridos por un usuario individual. Por ejemplo, mire a un representante de ventas que participa en un equipo tigre que investiga la deserción y al mismo tiempo capacita a dos nuevos empleados. El rol del representante de ventas le otorgaría un conjunto de permisos para acceder a los datos de los clientes potenciales, mientras que el proyecto del equipo tigre le otorgaría acceso a los datos de los clientes existentes. Mientras tanto, se configuran permisos especiales que brindan al representante de ventas visibilidad de las cuentas de los dos nuevos empleados. Si bien estos permisos son precisos, también son muy complejos. Los administradores de aplicaciones no tienen una única pantalla dentro de estas aplicaciones que muestre cada permiso otorgado a un usuario. Agregar y eliminar permisos puede convertirse en una pesadilla, ya que pasan de una pantalla a otra revisando los permisos. De hecho, en las conversaciones con los CISO y los administradores, asociar usuarios y permisos aparece como uno de sus mayores puntos débiles. Necesitan una solución que ofrezca visibilidad de 360 ​​grados de los permisos de los usuarios, lo que les permitiría hacer cumplir la política de la empresa en toda la organización a nivel de objeto, campo y registro. Obtener todos los permisos en un solo lugar puede contribuir significativamente a una sólida estrategia de seguridad de SaaS, ofreciendo beneficios en muchas áreas para permitir a la empresa hacer cumplir las políticas en toda la organización. Descubra cómo un SSPM puede administrar sus permisos en una vista holística Reducción de la superficie de ataque de SaaS Un inventario de permisos centralizado es fundamental para permitir a las organizaciones disminuir significativamente su superficie de ataque, fortaleciendo así su postura de ciberseguridad. Al identificar y restringir sistemáticamente los permisos de usuario innecesarios, la plataforma ayuda a reducir la superficie de ataque, minimizando las vías disponibles para que los actores maliciosos las exploten. Además, permite a las organizaciones descubrir y gestionar el acceso no humano, como cuentas de servicio o procesos automatizados, garantizando que cada punto de entrada sea examinado y controlado de forma eficaz. Esta supervisión permite ajustar el equilibrio de seguridad y productividad dentro de las políticas de acceso, garantizando que se implementen medidas de seguridad estrictas sin impedir la eficiencia operativa. Además, un inventario de permisos juega un papel fundamental en la identificación y eliminación de cuentas con privilegios excesivos, que representan vulnerabilidades potenciales dentro del sistema. Al eliminar estas cuentas o ajustar sus permisos para alinearlos con los requisitos laborales reales, las organizaciones pueden mitigar el riesgo de acceso no autorizado y escalada de privilegios. Además, la plataforma ayuda a la detección proactiva de abusos de privilegios, señalando rápidamente cualquier actividad anómala que pueda indicar una infracción o una amenaza interna. A través de estas capacidades integrales, el Inventario de Permisos actúa como un mecanismo de defensa proactivo, reforzando la resiliencia organizacional contra las amenazas cibernéticas en evolución. Gestión de múltiples inquilinos Un inventario de permisos único también facilita la comparación de permisos de usuario entre diferentes inquilinos y entornos. Los equipos de seguridad pueden ver y comparar perfiles, conjuntos de permisos y permisos de usuarios individuales en paralelo desde toda la aplicación. Esto permite que la seguridad encuentre instancias de permisos excesivos, usuarios parcialmente desaprovisionados y usuarios externos de diferentes inquilinos. Mejorar el cumplimiento normativo Un inventario de permisos es una herramienta vital para ayudar a las organizaciones a lograr el cumplimiento normativo en múltiples frentes. Con capacidades de recertificación de acceso, permite a las empresas revisar y validar periódicamente los permisos de los usuarios, garantizando la alineación con los requisitos reglamentarios y las políticas internas. Al facilitar los controles de segregación de funciones (SOD), protege contra conflictos de intereses y ayuda a cumplir con los estándares de cumplimiento establecidos por regulaciones como SOX. Obtener una vista única de los permisos ayuda a controlar el acceso a datos confidenciales, como información de identificación personal (PII) y datos financieros, mitigando el riesgo de violaciones de datos y garantizando el cumplimiento de las leyes de protección de datos. Además, un inventario de permisos administrado centralmente permite a las organizaciones implementar controles de acceso basados ​​en roles (RBAC) y controles de acceso basados ​​en atributos (ABAC), agilizando los procesos de gestión de acceso y garantizando que los usuarios tengan los permisos adecuados según sus roles y atributos, mejorando así el nivel general. esfuerzos de cumplimiento normativo. Optimice la seguridad de SaaS con un inventario de permisos De cara al futuro, el desafío de administrar permisos en entornos SaaS como Salesforce, Workday y Microsoft 365 está a punto de volverse aún más crítico a medida que las organizaciones continúen adoptando soluciones SaaS. A medida que aumenta la complejidad de los permisos, también aumenta la necesidad de una solución integral que ofrezca visibilidad y control. En un futuro próximo, las organizaciones pueden esperar la aparición de herramientas para abordar el desafío de la gestión de permisos. Estas herramientas dentro de una solución de gestión de postura SaaS (SSPM) proporcionarán un panel unificado que agrega permisos de varias aplicaciones SaaS, proporcionando a los administradores de aplicaciones y a los equipos de seguridad una visión holística del acceso de los usuarios. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

08 de mayo de 2024Sala de prensaCifrado/ladrón de información Se ha observado que una versión más nueva de un cargador de malware llamado Hijack Loader incorpora un conjunto actualizado de técnicas antianálisis para pasar desapercibida. «Estas mejoras tienen como objetivo aumentar el sigilo del malware, por lo que permanece sin ser detectado durante períodos de tiempo más largos», dijo en un informe técnico el investigador de Zscaler ThreatLabz, Muhammed Irfan VA. «Hijack Loader ahora incluye módulos para agregar una exclusión para Windows Defender Antivirus, evitar el Control de cuentas de usuario (UAC), evadir el enlace de API en línea que a menudo utiliza el software de seguridad para la detección y emplear el vaciado de procesos». Hijack Loader, también llamado IDAT Loader, es un cargador de malware que la empresa de ciberseguridad documentó por primera vez en septiembre de 2023. En los meses intermedios, la herramienta se ha utilizado como conducto para distribuir varias familias de malware. Esto incluye a Amadey, Lumma Stealer (también conocido como LummaC2), Meta Stealer, Racoon Stealer V2, Remcos RAT y Rhadamanthys. Lo que hace que la última versión sea notable es el hecho de que descifra y analiza una imagen PNG para cargar la carga útil de la siguiente etapa, una técnica que Morphisec detalló por primera vez en relación con una campaña dirigida a entidades ucranianas con sede en Finlandia. El cargador, según Zscaler, viene equipado con una primera etapa, que es responsable de extraer e iniciar la segunda etapa a partir de una imagen PNG que está incrustada en ella o descargada por separado según la configuración del malware. «El objetivo principal de la segunda etapa es inyectar el módulo de instrumentación principal», explicó Irfan. «Para aumentar el sigilo, la segunda etapa del cargador emplea más técnicas anti-análisis utilizando múltiples módulos». Los artefactos de Hijack Loader detectados en marzo y abril de 2024 también incorporan hasta siete módulos nuevos para ayudar a crear nuevos procesos, realizar la omisión de UAC y agregar una exclusión de Windows Defender Antivirus mediante un comando de PowerShell. Al sigilo del malware se suma el uso de la técnica Heaven’s Gate para eludir los ganchos del modo de usuario, como lo reveló CrowdStrike en febrero de 2024. «Amadey ha sido la familia más comúnmente entregada por HijackLoader», dijo Irfan. «La carga de la segunda etapa implica el uso de una imagen PNG incrustada o una imagen PNG descargada de la web. Además, se han integrado nuevos módulos en HijackLoader, mejorando sus capacidades y haciéndolo aún más robusto». El desarrollo se produce en medio de campañas de malware que distribuyen diferentes familias de cargadores de malware como DarkGate, FakeBat (también conocido como EugenLoader) y GuLoader mediante ataques de publicidad maliciosa y phishing. También sigue la aparición de un ladrón de información llamado TesseractStealer que es distribuido por ViperSoftX y utiliza el motor de reconocimiento óptico de caracteres (OCR) Tesseract de código abierto para extraer texto de archivos de imagen. «El malware se centra en datos específicos relacionados con credenciales e información de billeteras de criptomonedas», dijo Symantec, propiedad de Broadcom. «Además de TesseractStealer, también se ha observado que algunas de las ejecuciones recientes de ViperSoftX arrojan otra carga útil de la familia de malware Quasar RAT». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El equipo de piratería respaldado por el estado iraní llamado APT42 está utilizando esquemas mejorados de ingeniería social para infiltrarse en redes objetivo y entornos de nube. Los objetivos del ataque incluyen ONG occidentales y de Medio Oriente, organizaciones de medios, académicos, servicios legales y activistas, dijo Mandiant, filial de Google Cloud, en un informe publicado la semana pasada. «Se observó a APT42 haciéndose pasar por periodistas y organizadores de eventos para generar confianza con sus víctimas a través de correspondencia continua y para entregar invitaciones a conferencias o documentos legítimos», dijo la compañía. «Estos esquemas de ingeniería social permitieron a APT42 recolectar credenciales y usarlas para obtener acceso inicial a entornos de nube. Posteriormente, el actor de amenazas exfiltró encubiertamente datos de interés estratégico para Irán, mientras confiaba en funciones integradas y herramientas de código abierto para evitar la detección. «. APT42 (también conocido como Damselfly y UNC788), documentado por primera vez por la empresa en septiembre de 2022, es un grupo de ciberespionaje patrocinado por el estado iraní encargado de realizar operaciones de vigilancia y recopilación de información contra personas y organizaciones de interés estratégico para el gobierno iraní. Se considera un subconjunto de otro grupo de amenazas infame rastreado como APT35, que también se conoce con varios nombres CALANQUE, CharmingCypress, Charming Kitten, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster, TA453 y Yellow Garuda. Ambos grupos están afiliados al Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), pero operan con un conjunto diferente de objetivos. Mientras que Charming Kitten se centra más en operaciones a largo plazo con uso intensivo de malware dirigidas a organizaciones y empresas de EE. UU. y Oriente Medio para robar datos. APT42, por el contrario, apunta a individuos y organizaciones específicas a las que el régimen tiene en mente con fines de política interna, política exterior y estabilidad del régimen. A principios de enero, Microsoft atribuyó al actor Charming Kitten a campañas de phishing dirigidas a personas de alto perfil que trabajan en asuntos de Oriente Medio en universidades y organizaciones de investigación en Bélgica, Francia, Gaza, Israel, el Reino Unido y Estados Unidos desde noviembre de 2023. Se sabe que el grupo involucra extensas operaciones de recolección de credenciales para recopilar credenciales de Microsoft, Yahoo y Google a través de correos electrónicos de phishing que contienen enlaces maliciosos para atraer documentos que redirigen a los destinatarios a una página de inicio de sesión falsa. En estas campañas, se ha observado que el adversario envía correos electrónicos desde dominios que tipifican las entidades originales y se hacen pasar por medios de comunicación; servicios legítimos como Dropbox, Google Meet, LinkedIn y YouTube; y demonios de correo y herramientas de acortamiento de URL. Los ataques de apropiación de credenciales se complementan con actividades de exfiltración de datos dirigidas a la infraestructura de nube pública de las víctimas para obtener documentos que son de interés para Irán, pero sólo después de ganarse su confianza, algo en lo que Charming Kitten está bien versado. Familias de malware conocidas asociadas con APT42 «Estas operaciones comenzaron con esquemas de ingeniería social mejorados para obtener el acceso inicial a las redes de la víctima, a menudo implicando correspondencia continua para generar confianza con la víctima», dijo Mandiant. «Sólo entonces se adquieren las credenciales deseadas y se omite la autenticación multifactor (MFA), proporcionando un sitio web clonado para capturar el token MFA (que falló) y luego enviando notificaciones push de MFA a la víctima (que tuvo éxito)». En un esfuerzo por ocultar sus huellas y mezclarse, se descubrió que el adversario dependía de herramientas disponibles públicamente, extraía archivos a una cuenta de OneDrive haciéndose pasar por la organización de la víctima y empleaba VPN e infraestructura anónima para interactuar con el entorno comprometido. APT42 también utiliza dos puertas traseras personalizadas que actúan como punto de partida para implementar malware adicional o ejecutar comandos manualmente en el dispositivo: NICECURL (también conocido como BASICSTAR): una puerta trasera escrita en VBScript que puede descargar módulos adicionales para ejecutar, incluida la minería de datos. y ejecución de comandos arbitrarios TAMECAT: un punto de apoyo de PowerShell que puede ejecutar contenido arbitrario de PowerShell o C#. Vale la pena señalar que NICECURL fue analizado previamente por la empresa de ciberseguridad Volexity en febrero de 2024 en relación con una serie de ataques cibernéticos dirigidos a expertos en políticas de Medio Oriente. «APT42 se ha mantenido relativamente centrado en la recopilación de inteligencia y en atacar victimología similar, a pesar de la guerra entre Israel y Hamas que ha llevado a otros actores del nexo con Irán a adaptarse mediante la realización de actividades disruptivas, destructivas y de piratería y filtración», concluyó Mandiant. «Los métodos implementados por APT42 dejan una huella mínima y podrían hacer que la detección y mitigación de sus actividades sea más desafiante para los defensores de la red». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

La Agencia Nacional contra el Crimen (NCA) del Reino Unido ha desenmascarado al administrador y desarrollador de la operación de ransomware LockBit, revelando que se trata de un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev. Además, Khoroshev ha sido sancionado por la Oficina de Asuntos Exteriores, Commonwealth y Desarrollo (FCD) del Reino Unido, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos y el Departamento de Asuntos Exteriores de Australia. Europol, en un comunicado de prensa, dijo que las autoridades están en posesión de más de 2.500 claves de descifrado y continúan contactando a las víctimas de LockBit para ofrecerles apoyo. Khoroshev, conocido con los apodos LockBitSupp y putinkrab, también se ha convertido en objeto de congelaciones de activos y prohibiciones de viaje, y el Departamento de Estado de Estados Unidos ofrece una recompensa de hasta 10 millones de dólares por información que conduzca a su arresto y/o condena. Anteriormente, la agencia había anunciado ofertas de recompensa de hasta 15 millones de dólares en busca de información que condujera a la identidad y ubicación de los líderes clave del grupo variante del ransomware LockBit, así como información que condujera a los arrestos y/o condenas de los miembros del grupo. Al mismo tiempo, una acusación formal revelada por el Departamento de Justicia (DoJ) ha acusado a Khoroshev de 26 cargos, incluido un cargo de conspiración para cometer fraude, extorsión y actividades relacionadas con computadoras; un cargo de conspiración para cometer fraude electrónico; ocho cargos de daño intencional a una computadora protegida; ocho cargos de extorsión en relación con información confidencial de una computadora protegida; y ocho cargos de extorsión en relación con daños a una computadora protegida. En total, los cargos conllevan una pena máxima de 185 años de prisión. Cada uno de los cargos conlleva además una pena monetaria que es mayor entre 250.000 dólares, una ganancia pecuniaria para el infractor o un daño pecuniario para la víctima. Con la última acusación, se han acusado a un total de seis miembros afiliados a la conspiración LockBit, entre ellos Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov e Ivan Kondratyev. «El anuncio de hoy pone otro gran clavo en el ataúd de LockBit y nuestra investigación continúa», dijo el director general de la NCA, Graeme Biggar. «Ahora también estamos apuntando a afiliados que han utilizado los servicios de LockBit para infligir devastadores ataques de ransomware en escuelas, hospitales y empresas importantes de todo el mundo». LockBit, que era uno de los grupos de ransomware como servicio (RaaS) más prolíficos, fue desmantelado como parte de una operación coordinada denominada Cronos a principios de febrero. Se estima que se dirigió a más de 2.500 víctimas en todo el mundo y recibió más de 500 millones de dólares en pagos de rescate. «El ransomware LockBit se ha utilizado contra empresas australianas, británicas y estadounidenses, lo que representa el 18% del total de incidentes de ransomware reportados en Australia en 2022-23 y 119 víctimas reportadas en Australia», dijo Penny Wong, Ministra de Relaciones Exteriores de Australia. Según el modelo de negocio RaaS, LockBit otorga licencias de su software de ransomware a sus afiliados a cambio de una reducción del 80% de los rescates pagados. El grupo de delitos electrónicos también es conocido por sus tácticas de doble extorsión, en las que se extraen datos confidenciales de las redes de las víctimas antes de cifrar los sistemas informáticos y exigir el pago de un rescate. Se cree que Khoroshev, que inició LockBit alrededor de septiembre de 2019, ha obtenido al menos 100 millones de dólares en desembolsos como parte del plan durante los últimos cuatro años. «El verdadero impacto de la criminalidad de LockBit se desconocía anteriormente, pero los datos obtenidos de sus sistemas mostraron que entre junio de 2022 y febrero de 2024, se crearon más de 7.000 ataques utilizando sus servicios», dijo la NCA. «Los cinco países más afectados fueron Estados Unidos, Reino Unido, Francia, Alemania y China». Los intentos de LockBit de resurgir después de la acción policial han sido, en el mejor de los casos, infructuosos, lo que lo llevó a publicar víctimas antiguas y falsas en su nuevo sitio de fuga de datos. «LockBit ha creado un nuevo sitio de filtración en el que han inflado la actividad aparente al publicar a las víctimas atacadas antes de que la NCA tomara el control de sus servicios en febrero, además de atribuirse el mérito de los ataques perpetrados utilizando otras cepas de ransomware», señaló la agencia. Se estima que el esquema RaaS abarcó a 194 afiliados hasta el 24 de febrero, de los cuales 148 realizaron ataques y 119 participaron en negociaciones de rescate con las víctimas. «De los 119 que iniciaron negociaciones, hay 39 que aparentemente nunca recibieron el pago de un rescate», señaló la NCA. «Setenta y cinco no participaron en ninguna negociación, por lo que tampoco parecen haber recibido ningún pago de rescate». Desde entonces, el número de afiliados activos de LockBit se redujo a 69, dijo la NCA, agregando que LockBit no eliminaba rutinariamente los datos robados una vez que se pagaba el rescate y que descubrió numerosos casos en los que el descifrador proporcionado a las víctimas no funcionó como se esperaba. «Como líder central del grupo LockBit y desarrollador del ransomware LockBit, Khoroshev ha desempeñado una variedad de funciones operativas y administrativas para el grupo de delitos cibernéticos y se ha beneficiado financieramente de los ataques del ransomware LockBit», dijo el Departamento del Tesoro de Estados Unidos. «Khoroshev ha facilitado la actualización de la infraestructura de LockBit, ha reclutado nuevos desarrolladores para el ransomware y ha gestionado las filiales de LockBit. También es responsable de los esfuerzos de LockBit para continuar con las operaciones después de su interrupción por parte de Estados Unidos y sus aliados a principios de este año». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

06 de mayo de 2024Sala de prensaSeguridad de red/Malware La campaña de ciberespionaje recientemente descubierta dirigida a dispositivos de red perimetral de varios proveedores, incluido Cisco, puede haber sido obra de actores vinculados a China, según nuevos hallazgos de la firma de gestión de superficies de ataque Censys. Se dice que la actividad, denominada ArcaneDoor, comenzó alrededor de julio de 2023, y el primer ataque confirmado contra una víctima anónima se detectó a principios de enero de 2024. Los ataques dirigidos, orquestados por un presunto actor sofisticado patrocinado por el estado previamente indocumentado, rastreado como UAT4356 (también conocido como Storm -1849), implicó la implementación de dos malware personalizados denominados Line Runner y Line Dancer. La vía de acceso inicial utilizada para facilitar las intrusiones aún no se ha descubierto, aunque se ha observado que el adversario aprovecha dos fallas ahora parcheadas en Cisco Adaptive Security Appliances (CVE-2024-20353 y CVE-2024-20359) para persistir en Line Runner. Los datos de telemetría recopilados como parte de la investigación han revelado el interés del actor de amenazas en los servidores Microsoft Exchange y dispositivos de red de otros proveedores, dijo Talos el mes pasado. Censys, que examinó más a fondo las direcciones IP controladas por los actores, dijo que los ataques apuntan a la posible participación de un actor de amenazas con sede en China. Esto se basa en el hecho de que cuatro de los cinco hosts en línea que presentan el certificado SSL identificado como asociado con la infraestructura de los atacantes están asociados con los sistemas autónomos (AS) de Tencent y ChinaNet. Además, entre las direcciones IP administradas por los actores de amenazas se encuentra un host con sede en París (212.193.2[.]48) con el asunto y el emisor establecidos como «Gozargah», que probablemente sea una referencia a una cuenta de GitHub que alberga una herramienta anticensura llamada Marzban. El software, a su vez, está «impulsado» por otro proyecto de código abierto llamado Xray que tiene un sitio web escrito en chino. Esto implica que «algunos de estos hosts estaban ejecutando servicios asociados con software anticensura probablemente destinado a eludir el Gran Cortafuegos», y que «un número significativo de estos hosts están basados ​​en redes chinas prominentes», lo que sugiere que ArcaneDoor podría ser el trabajo de un actor chino, teorizó Censys. En los últimos años, los actores de los estados-nación afiliados a China se han dirigido cada vez más a los dispositivos de borde, aprovechando las fallas de día cero en Barracuda Networks, Fortinet, Ivanti y VMware para infiltrarse en objetivos de interés e implementar malware para un acceso encubierto persistente. El desarrollo se produce cuando la empresa francesa de ciberseguridad Sekoia dijo que logró hundir un servidor de comando y control (C2) vinculado al troyano PlugX en septiembre de 2023 al gastar $7 para adquirir la dirección IP vinculada a una variante del malware con capacidades para propagarse en en forma de gusano a través de unidades flash comprometidas. Una vigilancia más estrecha de la dirección IP oculta (45.142.166[.]112) ha revelado la presencia del gusano en más de 170 países que abarcan 2,49 millones de direcciones IP únicas durante un período de seis meses. La mayoría de las infecciones se han detectado en Nigeria, India, China, Irán, Indonesia, el Reino Unido, Irak, Estados Unidos, Pakistán y Etiopía. «Muchas naciones, excluyendo a India, participan en la Iniciativa de la Franja y la Ruta de China y tienen, en su mayoría, costas donde las inversiones chinas en infraestructura son significativas», dijo Sekoia. «Numerosos países afectados están ubicados en regiones de importancia estratégica para la seguridad de la Iniciativa de la Franja y la Ruta». «Este gusano fue desarrollado para recopilar inteligencia en varios países sobre las preocupaciones estratégicas y de seguridad asociadas con la Iniciativa de la Franja y la Ruta, principalmente en sus aspectos marítimos y económicos». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

06 de mayo de 2024Sala de prensaVulnerabilidad/Seguridad del servidor Se ha descubierto que más del 50 % de los 90 310 hosts exponen un servicio Tinyproxy en Internet que es vulnerable a una falla de seguridad crítica sin parchear en la herramienta de proxy HTTP/HTTPS. El problema, registrado como CVE-2023-49606, tiene una puntuación CVSS de 9,8 sobre un máximo de 10, según Cisco Talos, que lo describió como un error de uso después de la liberación que afecta a las versiones 1.10.0 y 1.11.1, que es la última versión. «Un encabezado HTTP especialmente diseñado puede provocar la reutilización de la memoria previamente liberada, lo que conduce a la corrupción de la memoria y podría conducir a la ejecución remota de código», dijo Talos en un aviso la semana pasada. «Un atacante necesita realizar una solicitud HTTP no autenticada para activar esta vulnerabilidad». En otras palabras, un actor de amenazas no autenticado podría enviar un encabezado de conexión HTTP especialmente diseñado para provocar daños en la memoria que pueden resultar en la ejecución remota de código. Según los datos compartidos por la empresa de gestión de superficies de ataque Censys, de los 90.310 hosts que exponen un servicio Tinyproxy a la Internet pública al 3 de mayo de 2024, 52.000 (~57%) de ellos ejecutan una versión vulnerable de Tinyproxy. La mayoría de los hosts de acceso público se encuentran en EE. UU. (32.846), Corea del Sur (18.358), China (7.808), Francia (5.208) y Alemania (3.680). Talos, que informó del problema hasta el 22 de diciembre de 2023, también publicó una prueba de concepto (PoC) para la falla, que describe cómo el problema con el análisis de las conexiones de conexión HTTP podría usarse como arma para provocar una falla y, en algunos casos, ejecución de código. Los mantenedores de Tinyproxy, en una serie de confirmaciones realizadas durante el fin de semana, criticaron a Talos por enviar el informe a una probablemente «dirección de correo electrónico desactualizada», y agregaron que un mantenedor del paquete Debian Tinyproxy les informó el 5 de mayo de 2024. «No Se presentó un problema de GitHub y nadie mencionó una vulnerabilidad en el chat IRC mencionado», dijo rofl0r en un compromiso. «Si el problema se hubiera informado en Github o IRC, el error se habría solucionado en un día». Se recomienda a los usuarios que actualicen a la última versión cuando esté disponible. También se recomienda que el servicio Tinyproxy no esté expuesto a la Internet pública. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

06 de mayo de 2024Sala de redacciónSpyware/Malware Investigadores de ciberseguridad han descubierto un nuevo ladrón de información dirigido a sistemas Apple macOS que está diseñado para configurar la persistencia en los hosts infectados y actuar como software espía. Apodado Cuckoo por Kandji, el malware es un binario Mach-O universal que es capaz de ejecutarse en Mac tanto con Intel como con Arm. El vector de distribución exacto no está claro actualmente, aunque hay indicios de que el binario está alojado en sitios como dumpmedia.[.]com, tunesolo[.]cómo, fonedogo[.]com, tunesfun[.]com y tunefab[.]com que afirman ofrecer versiones gratuitas y de pago de aplicaciones dedicadas a extraer música de servicios de transmisión y convertirla al formato MP3. El archivo de imagen de disco descargado de los sitios web es responsable de generar un shell bash para recopilar información del host y garantizar que la máquina comprometida no esté ubicada en Armenia, Bielorrusia, Kazajstán, Rusia o Ucrania. El binario malicioso se ejecuta sólo si la verificación de configuración regional es exitosa. También establece persistencia mediante LaunchAgent, una técnica adoptada previamente por diferentes familias de malware como RustBucket, XLoader, JaskaGO y una puerta trasera de macOS que comparte superposiciones con ZuRu. Cuckoo, al igual que el malware ladrón de macOS MacStealer, también aprovecha osascript para mostrar una solicitud de contraseña falsa para engañar a los usuarios para que ingresen sus contraseñas del sistema para escalar privilegios. «Este malware busca archivos específicos asociados con aplicaciones específicas, en un intento de recopilar la mayor cantidad de información posible del sistema», dijeron los investigadores Adam Kohler y Christopher Lopez. Está equipado para ejecutar una serie de comandos para extraer información del hardware, capturar procesos actualmente en ejecución, consultar aplicaciones instaladas, tomar capturas de pantalla y recopilar datos de iCloud Keychain, Apple Notes, navegadores web, billeteras criptográficas y aplicaciones como Discord, FileZilla, Steam. y Telegrama. «Cada aplicación maliciosa contiene otro paquete de aplicaciones dentro del directorio de recursos», dijeron los investigadores. «Todos esos paquetes (excepto los alojados en fonedog[.]com) están firmados y tienen un ID de desarrollador válido de Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). » «El sitio web fonedog[.]com albergaba una herramienta de recuperación de Android, entre otras cosas; el paquete de aplicaciones adicional en este tiene una identificación de desarrollador de FoneDog Technology Limited (CUAU2GTG98)». La divulgación se produce casi un mes después de que la compañía de administración de dispositivos Apple también expusiera otro malware ladrón con nombre en código CloudChat que se hace pasar por una aplicación de mensajería orientada a la privacidad y está capaz de comprometer a los usuarios de macOS cuyas direcciones IP no están geolocalizadas en China. El malware funciona capturando claves privadas criptográficas copiadas en el portapapeles y datos asociados con las extensiones de billetera instaladas en Google Chrome. También sigue al descubrimiento de una nueva variante del notorio AdLoad. malware escrito en Go llamado Rload (también conocido como Lador) que está diseñado para evadir la lista de firmas de malware XProtect de Apple y está compilado únicamente para la arquitectura Intel x86_64. «Los binarios funcionan como goteros iniciales para la carga útil de la siguiente etapa», dijo el investigador de seguridad de SentinelOne, Phil Stokes. En un informe de la semana pasada, se agregó que los métodos de distribución específicos aún no están claros. Dicho esto, se ha observado que estos droppers generalmente están integrados en aplicaciones crackeadas o troyanizadas distribuidas por sitios web maliciosos. AdLoad, una campaña de adware generalizada que afecta a macOS desde al menos 2017, es conocida por secuestrar los resultados de los motores de búsqueda e inyectar anuncios en páginas web para obtener ganancias monetarias mediante un proxy web adversario en el medio para redirigir el tráfico web del usuario a través del atacante. infraestructura propia. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Al igual que el software antivirus, los análisis de vulnerabilidades se basan en una base de datos de debilidades conocidas. Es por eso que existen sitios web como VirusTotal, para brindarles a los profesionales cibernéticos la oportunidad de ver si múltiples motores de escaneo de virus detectan una muestra de malware, pero este concepto no ha existido en el espacio de gestión de vulnerabilidades. Los beneficios de utilizar múltiples motores de escaneo En términos generales, los escáneres de vulnerabilidades tienen como objetivo realizar comprobaciones de tantas vulnerabilidades como sea posible. Sin embargo, el número de vulnerabilidades descubiertas año tras año es ahora tan alto, llegando a casi 30.000 por año, u 80 por día, que es imposible que un solo motor de escaneo pueda mantenerse al día con todas ellas. Como resultado, incluso los mejores escáneres líderes en la industria tendrán dificultades para verificar todas las vulnerabilidades conocidas que existen y, a menudo, preferirán ciertos conjuntos de software que sus clientes saben que utilizan. Por ejemplo, el análisis de Intruder de principios de 2023 que comparó Nessus y OpenVAS de Tenable mostró diferencias significativas en la cobertura entre escáneres, siendo uno generalmente más fuerte en software comercial y el otro favoreciendo el código abierto: «Tenable verifica 12,015 CVE que OpenVAS no verifica y OpenVAS busca 6,749 CVE que Tenable no verifica». Los proveedores de motores de escaneo también toman en consideración otros factores, como si una vulnerabilidad ha sido explotada en la naturaleza o si se encuentra en productos de software que se utilizan ampliamente. Pero a pesar de que el escáner elegido puede estar tomando decisiones sensatas sobre qué vulnerabilidades emitir cheques, es posible que todavía haya lagunas en la cobertura de su patrimonio. Por lo tanto, es una dura realidad que un día descubras que has sido comprometido a través de un vector de ataque que tu escáner de vulnerabilidad simplemente no puede controlar. Esto plantea preguntas importantes para quienes buscan proteger su patrimonio digital, no solo qué escáner deberían elegir. ¿Pero si un escáner es suficiente? El enfoque del motor de escaneo múltiple Está claro que tener varios escáneres complementarios mejoraría la cobertura al encontrar más vulnerabilidades y descubrir más sobre cómo se ve su superficie de ataque. Pero operar múltiples sistemas de escaneo sería demasiado para la mayoría de las organizaciones, tanto por limitaciones de presupuesto como de tiempo. Es por eso que el equipo de Intruder, un proveedor líder de administración de superficies de ataque, decidió desde el principio incorporar múltiples motores de escaneo, ofreciendo a los clientes la más amplia variedad de controles, al mismo tiempo que optimiza las limitaciones de presupuesto y tiempo al brindarlos en una sola plataforma. Más recientemente, Intruder agregó Nuclei a su conjunto de motores de escaneo de vulnerabilidades, mejorando su capacidad para administrar y proteger superficies de ataque. Con más de 3000 comprobaciones adicionales en esta versión inicial, Intruder puede ofrecer una cobertura y capacidades de descubrimiento mucho más amplias y profundas que no se pueden igualar utilizando un solo escáner de vulnerabilidades. ¿Qué son los núcleos? Nuclei es un motor de escaneo de vulnerabilidades de código abierto, similar a OpenVAS, que es rápido, extensible y cubre una amplia gama de debilidades. Se ha vuelto cada vez más popular entre los cazarrecompensas de errores, los evaluadores de penetración y los investigadores que desean realizar comprobaciones repetibles para detectar debilidades graves. Estos expertos, que trabajan con el equipo de desarrollo de Nuclei en ProjectDiscovery, combinan sus conocimientos y opiniones sobre las debilidades de vanguardia para producir comprobaciones extremadamente rápidas, lo que permite escanear lo antes posible después de que se descubre una vulnerabilidad. Un ejemplo de check de Nuclei en la plataforma Intruder ¿Qué aporta Nuclei a Intruder? Al integrar Nuclei como motor de escaneo, Intruder mejora aún más las capacidades de su plataforma de gestión de vulnerabilidades para verificar y proteger las superficies de ataque de manera más efectiva. Esto incluye una detección ampliada de exposiciones, como paneles de inicio de sesión, que no deberían estar expuestos a Internet, y un aumento del rango de comprobaciones de vulnerabilidades conocidas en servicios comúnmente expuestos. Nuclei aumenta los motores de escaneo existentes de Intruder, como Tenable y OpenVAS, al brindar una visión más profunda y amplia de su superficie de ataque, lo que permite una mejor protección al descubrir riesgos que no serían detectados por un solo motor de escaneo. Visualice y minimice su exposición con Intruder El tamaño de su superficie de ataque y qué tan bien se administra está estrechamente relacionado con el riesgo de que atacantes oportunistas exploten sus sistemas. Cuanto menos exponga y cuanto más reforzados sean los servicios que exponga, más difícil será para un atacante explotar una debilidad. Puede reducir su superficie de ataque monitoreando continuamente los cambios con una herramienta automatizada de administración de vulnerabilidades como Intruder. Una captura de pantalla del panel de administración de la superficie de ataque de Intruder. La plataforma de Intruder le permite: Descubrir activos: cuando se activan nuevos servicios en la nube y se exponen a Internet, Intruder inicia un escaneo para encontrar vulnerabilidades para que pueda solucionarlas más rápido. Sepa lo que está expuesto: obtenga visibilidad completa del perímetro de su red, rastree objetivos activos y que no responden, identifique cambios, supervise los certificados que caducan y vea los puertos, servicios o protocolos que no deberían estar expuestos a Internet. Detecte más: Intruder utiliza múltiples escáneres para identificar vulnerabilidades y exposiciones en su superficie de ataque, brindándole la mayor visibilidad. Concéntrese en los grandes problemas: vea los resultados priorizados según el contexto, para que pueda concentrarse en los problemas más apremiantes sin perder tiempo examinando el ruido. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.