MSI acaba de sufrir un ataque masivo de ransomware, pero aún peor: ¡perdió una tonelada de datos críticos a manos de los piratas informáticos! ¡MSI afectada por un ataque de ransomware + robo de datos! El 7 de abril de 2023, MSI (Micro-Star International) sufrió un ataque de ransomware en el que los piratas informáticos supuestamente extrajeron 1,5 terabytes de códigos fuente, firmware BIOS, claves privadas y otros datos de sus servidores. En su conciso documento regulatorio ante la Bolsa de Valores de Taiwán (TWSE), MSI admitió que fue pirateado, pero no detalló las circunstancias o la naturaleza del ataque. Después de detectar algunos sistemas de información siendo atacados por piratas informáticos, el departamento de TI de MSI ha iniciado un mecanismo de defensa de seguridad de la información y procedimientos de recuperación. La Compañía también ha informado de la anomalía a las autoridades gubernamentales pertinentes. MSI afirmó que el ataque había “[no] impacto significativo en nuestro negocio en términos financieros y operativos actualmente”, pero dijo que estaba “mejorando las medidas de control de seguridad de la información de su red e infraestructura para garantizar la seguridad de los datos”. En una declaración pública, MSI también instó a los usuarios a obtener actualizaciones de firmware/BIOS únicamente de su sitio web oficial y a abstenerse de utilizar otras fuentes. Leer más: ¡Los usuarios de MSI corren el riesgo de recibir actualizaciones de BIOS/firmware no autorizadas! Los piratas informáticos exigen 4 millones de dólares a MSI para no divulgar datos robados El ataque de ransomware MSI y el robo de datos parecen ser cometidos por la banda de ransomware Money Message. Si bien aparentemente MSI ha restaurado archivos cifrados por el ransomware de Money Message, la pandilla ahora tiene acceso a aproximadamente 1,5 terabytes de datos críticos de MSI. Según BleepingComputer, las conversaciones entre Money Message y un representante de MSI muestran a la pandilla exigiendo un pago de rescate de 4 millones de dólares. De lo contrario, Money Message liberará los archivos robados. Para demostrar que efectivamente robaron esos archivos MSI, Money Message publicó capturas de pantalla de lo que describen como bases de datos de planificación de recursos empresariales (ERP) de MSI y archivos que contienen código fuente de software, claves privadas y firmware BIOS. Recomendado: ¿Puede Aprobar nuevo participante bloquear a los piratas informáticos de WhatsApp? Si Money Message divulga datos confidenciales de MSI, puede que no sólo sea vergonzoso para la empresa taiwanesa, sino que también podría permitir que otros actores de amenazas utilicen el código fuente y las claves privadas para crear malware dirigido a sus clientes. En vista de esto, los usuarios de MSI sólo deben descargar e instalar software o firmware BIOS desde el sitio web oficial de MSI. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Negocios | Programas | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
Etiqueta: Ataque cibernetico
Los usuarios de MSI corren el riesgo de recibir actualizaciones de BIOS/firmware no autorizadas, después de que los piratas informáticos se apoderaron de sus códigos fuente, claves privadas y firmware de BIOS. ¡MSI afectada por un ataque de ransomware + robo de datos! El 7 de abril de 2023, MSI (Micro-Star International) sufrió un ataque de ransomware en el que los piratas informáticos supuestamente extrajeron 1,5 terabytes de códigos fuente, firmware de BIOS, claves privadas y otros datos de sus servidores. En su conciso documento regulatorio ante la Bolsa de Valores de Taiwán (TWSE), MSI admitió que fue pirateado, pero no detalló las circunstancias o la naturaleza del ataque. Después de detectar algunos sistemas de información siendo atacados por piratas informáticos, el departamento de TI de MSI ha iniciado un mecanismo de defensa de seguridad de la información y procedimientos de recuperación. La Compañía también ha informado de la anomalía a las autoridades gubernamentales pertinentes. MSI afirmó que el ataque había “[no] impacto significativo en nuestro negocio en términos financieros y operativos actualmente”, pero dijo que estaba “mejorando las medidas de control de seguridad de la información de su red e infraestructura para garantizar la seguridad de los datos”. En una declaración pública, MSI también instó a los usuarios a obtener actualizaciones de firmware/BIOS únicamente de su sitio web oficial y a abstenerse de utilizar otras fuentes. Leer más: ¡MSI afectada por un ataque de ransomware de 4 millones de dólares + robo de datos! ¡Los datos robados exponen a los usuarios de MSI a actualizaciones de firmware y BIOS no autorizadas! El ataque de ransomware MSI y el robo de datos parecen ser cometidos por la banda de ransomware Money Message, que ha amenazado con liberar los 1,5 terabytes de datos críticos que exfiltró de los servidores de MSI. Si bien MSI aparentemente ha restaurado archivos cifrados por el ransomware, la exposición de las claves privadas y los códigos fuente probablemente permitirá que Money Message u otros actores de amenazas desarrollen BIOS o actualizaciones de firmware no autorizadas. La instalación de actualizaciones de BIOS/firmware no autorizadas le dará al malware el nivel de acceso de un rootkit de nivel súper bajo, dándole control total sobre su computadora, con la capacidad de espiar casi todo lo que hace. Este tipo de malware también será extremadamente difícil de detectar y eliminar. Después de todo, ¡se inicia antes que el sistema operativo! Hoy en día, las actualizaciones de BIOS o firmware no autorizadas son un problema mucho menor porque generalmente están firmadas digitalmente por el proveedor, MSI en este caso. Incluso si los actores de amenazas distribuyen descargas troyanizadas para usuarios de MSI, no pueden crear las firmas digitales adecuadas para esos archivos. Sin embargo, ahora que las claves privadas de MSI han sido robadas, se pueden usar para crear actualizaciones de firmware o BIOS no autorizadas con firmas digitales auténticas. Los usuarios de MSI que descarguen e instalen esas actualizaciones nunca notarán la diferencia. Recomendado: ¿Puede Aprobar nuevo participante bloquear a los piratas informáticos de WhatsApp? El mayor riesgo en este momento lo enfrentan los entusiastas del hardware de PC que disfrutan instalando actualizaciones de firmware no oficiales para obtener acceso a configuraciones especiales. Precisamente por eso MSI insta a sus usuarios a descargar archivos únicamente desde su sitio web oficial. Por supuesto, esto supone que los servidores de descarga MSI son seguros y no han sido comprometidos. Si los actores de amenazas tienen acceso a los servidores de descarga de MSI, pueden insertar descargas troyanizadas con las firmas adecuadas, ¡y es posible que los administradores del sistema MSI no se den cuenta! Esperemos que este incidente obligue a MSI a examinar mucho más de cerca sus medidas de ciberseguridad y realizar pruebas de penetración para garantizar que sus servidores de descarga sean seguros. De lo contrario, es probable que algunos actores de amenazas se queden con los usuarios de MSI. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Negocios | Computadora | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
¡Millones de placas base y portátiles Gigabyte se envían con una puerta trasera integrada en su firmware UEFI! Esto es lo que necesita saber sobre este peligro de ciberseguridad y lo que puede hacer al respecto. ¡Las placas base Gigabyte se envían con puerta trasera de firmware! El 31 de mayo de 2023, investigadores de la empresa de ciberseguridad Eclypsium revelaron que 271 modelos de placas base Gigabyte se habían visto comprometidos con firmware UEFI con una puerta trasera incorporada. Los métodos de detección heurística de Eclypsium recientemente comenzaron a detectar comportamientos sospechosos similares a puertas traseras en placas base Gigabyte. Cuando sus investigadores lo investigaron, descubrieron que el firmware de la placa base de Gigabyte estaba ejecutando un ejecutable nativo de Windows durante el proceso de inicio del sistema. Este ejecutable luego descarga y ejecuta cargas útiles adicionales de forma insegura. Según su análisis, el ejecutable parece ser un módulo legítimo de Gigabyte llamado WpbtDxe.efi: verifica si la función «Descarga e instalación del Centro de aplicaciones» está habilitada. Descarga cargas útiles ejecutables de los servidores de Gigabyte. Tiene una firma criptográfica de Gigabyte. También encontraron que las cargas útiles descargadas también tienen firmas criptográficas de Gigabyte, lo que sugiere que esta puerta trasera de firmware fue implementada por la propia Gigabyte. Sin embargo, los investigadores de Eclypsium descubrieron que la implementación de Gigabyte tenía una serie de problemas, lo que facilitaría a los actores de amenazas abusar de la puerta trasera del firmware: una de sus ubicaciones de descarga de carga útil carece de SSL (usando HTTP simple, en lugar del HTTPS más seguro), permitiendo ataques de máquina en el medio (MITM) la validación del certificado del servidor remoto no se implementó correctamente incluso cuando se usaron las otras dos ubicaciones de descarga HTTPS, lo que permite ataques MITM una de sus ubicaciones de descarga de carga útil es un almacenamiento atacado en la red local dispositivo (NAS), lo que podría permitir a un actor de amenazas falsificar la ubicación del NAS para instalar su propio malware. El firmware de Gigabyte en sí no verifica ninguna firma criptográfica ni valida los ejecutables descargados. En resumen, millones de placas base Gigabyte tienen una vulnerabilidad de ciberseguridad debido a que su firmware incluye una puerta trasera OEM insegura/vulnerable. Como lo expresó John Loucaides de Eclypsium: Si tienes una de estas máquinas, tienes que preocuparte por el hecho de que básicamente está tomando algo de Internet y ejecutándolo sin que tú estés involucrado, y no ha hecho nada de esto de forma segura. El concepto de pasar por debajo del usuario final y hacerse cargo de su máquina no le sienta bien a la mayoría de las personas. Nota: Esta vulnerabilidad afecta a todos los ordenadores que utilizan placas base Gigabyte, incluidos los portátiles. ¡Gigabyte lanza nuevo firmware para mitigar la puerta trasera! Después de que la noticia estallara de manera inconveniente durante Computex 2023, Gigabyte lanzó rápidamente nuevas actualizaciones de firmware beta para sus placas base AMD e Intel. Según Gigabyte, las nuevas actualizaciones de firmware beta tienen «mecanismos de seguridad mejorados» que «detectarán y evitarán actividades maliciosas durante el proceso de arranque». También parecía haber implementado otros cambios: mejoró el proceso de verificación de firmas para archivos descargados desde sus servidores remotos realizó controles más exhaustivos de la integridad de los archivos para evitar la introducción de código malicioso permitió la verificación criptográfica estándar de los certificados de servidores remotos El nuevo firmware acaba de ser lanzado para placas base AMD de la serie 600, así como para placas base Intel de las series 500 y 400, pero eventualmente se introducirá para placas base más antiguas. El nuevo firmware tendrá la descripción: «Aborda las vulnerabilidades del asistente de descarga informadas por Eclypsium Research». Como Gigabyte no tiene la intención de eliminar la función de puerta trasera, es posible que desee considerar los consejos de Eclypsium sobre la mejor manera de reducir el riesgo de que actores maliciosos se aprovechen: Escanee y monitoree los sistemas y las actualizaciones de firmware para detectar los sistemas Gigabyte afectados y las puertas traseras. herramientas integradas en el firmware. Actualice los sistemas al firmware y software validados más recientes para abordar problemas de seguridad como este. Inspeccione y desactive la función «Descarga e instalación del Centro de aplicaciones» en la configuración UEFI/BIOS en sistemas Gigabyte y establezca una contraseña de BIOS para impedir cambios maliciosos. Los administradores también pueden bloquear las siguientes URL:– http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4– https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4– https://software -nas/Swhttp/LiveUpdate4 Para empezar, definitivamente deberías descargar y actualizar tu placa base o computadora portátil Gigabyte con el firmware mejorado. Luego deshabilite la descarga e instalación del Centro de aplicaciones en el BIOS. Esperemos que Gigabyte pueda publicar rápidamente firmware nuevo y mejorado para mitigar, si no eliminar, la vulnerabilidad de puerta trasera para los 271 modelos de placas base afectados y sus futuras placas base y portátiles. Aun así, es posible que muchos usuarios no sean conscientes de esta vulnerabilidad o de estas actualizaciones. Parece probable que los actores de amenazas tengan acceso a esta vulnerabilidad de puerta trasera en muchas placas base y portátiles de Gigabyte en los próximos años. Incluso Loucaides de Eclypsium lo cree así: sigo pensando que esto terminará siendo un problema bastante generalizado en las placas Gigabyte en los próximos años. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Computadora | Ciberseguridad | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
¿Microsoft planea desactivar su computadora si publica o comparte noticias falsas o información errónea? ¡Eche un vistazo a la afirmación viral y descubra cuáles son realmente los hechos! Reclamo: ¡Microsoft desactivará su computadora si comparte noticias falsas! La gente está compartiendo un artículo (archivo) de The People’s Voice (anteriormente NewsPunch), que afirma que Microsoft planea desactivar su computadora si publica o comparte noticias falsas/información errónea. Microsoft deshabilitará las computadoras de los usuarios que comparten «contenido no convencional» en línea Microsoft ha anunciado planes para deshabilitar las computadoras de las personas que comparten contenido «no convencional» en línea, en un intento de combatir la llamada «desinformación» en el futuro. hasta las elecciones de 2024. Durante una entrevista con Lester Holt de NBC, se le preguntó al director ejecutivo de Microsoft, Satya Nadella, sobre cómo la IA podría ayudar o poner en peligro las futuras elecciones. Reclaimthenet.org informa: Sin embargo, la respuesta de Nadella parecía implicar una voluntad de utilizar la tecnología para censurar contenidos con el objetivo de luchar contra lo que él identificó como desinformación. Nadella afirmó: “Esta no es la primera elección en la que nos enfrentamos a campañas de desinformación o propaganda por parte de adversarios e interferencia electoral. “Estamos haciendo todo el trabajo en toda la industria tecnológica en torno a las marcas de agua, la detección de falsificaciones profundas y las identificaciones de contenido. Francamente, habrá suficiente y más tecnología para poder identificar los problemas relacionados con la desinformación y la desinformación”. Recomendado: ¿Interpol está investigando a Bill Gates por asesinato? Verdad: ¡Microsoft no desactivará su computadora si comparte noticias falsas! Este es otro ejemplo más de NOTICIAS FALSAS creadas/promovidas por The People’s Voice, y aquí están las razones por las cuales… Hecho #1: Microsoft no anunció planes para desactivar computadoras Permítanme comenzar señalando que Microsoft no anunció ningún plan para desactivar computadoras de personas que comparten contenido «no convencional» en línea, en un intento de combatir la «desinformación» en el período previo a las elecciones presidenciales de Estados Unidos de 2024. Si Microsoft realmente hubiera anunciado tales planes, habría sido una noticia importante cubierta por los medios de comunicación de todo el mundo. También se habría vuelto viral en las redes sociales, con personalidades conservadoras y de derecha criticando esos planes. Microsoft ciertamente no hizo tal anuncio, y The People’s Voice no ofreció ninguna evidencia para respaldar su afirmación de «hechos verificados». Hecho #2: Satya Nadella es el CEO de Microsoft, no Bill Gates Curiosamente, el artículo de People’s Voice utilizó una fotografía de Bill Gates, a pesar de que entregó las operaciones diarias de Microsoft hace más de 15 años. También renunció como presidente de Microsoft cuando Satya Nadella fue nombrado director ejecutivo en febrero de 2014. Si Microsoft realmente planea desactivar las computadoras para combatir las noticias falsas, esa decisión tendría que ser aprobada por su director ejecutivo y presidente, Satya Nadella. No su ex fundador, Bill Gates. ¿Cómo interviene Bill Gates en esta “historia”? Nada en el artículo sugiere ni remotamente que Bill Gates esté, de alguna manera, involucrado en los asuntos de Microsoft, o en el inexistente plan para desactivar las computadoras de las personas que comparten noticias falsas/información errónea. Recomendado: ¿Bill Gates planea matar miles de millones usando Turbo AIDS? Hecho #3: Satya Nadella nunca dijo nada sobre deshabilitar computadoras El artículo de People’s Voice utilizó un video de Lester Holt de NBC News entrevistando a Satya Nadella como evidencia de que Microsoft planea deshabilitar las computadoras de personas que comparten información errónea. Sin embargo, eso es completamente absurdo. El video de NBC News solo muestra a Satya Nadella diciendo que la industria tecnológica está utilizando soluciones tecnológicas como marcas de agua. [AI created content]detectar deep fakes e implementar identificaciones de contenido para combatir la desinformación y la desinformación. Esta no es la primera elección en la que nos enfrentamos a campañas de desinformación o propaganda por parte de adversarios e interferencia electoral. Estamos haciendo todo el trabajo en toda la industria tecnológica en torno a las marcas de agua, la detección de falsificaciones profundas y las identificaciones de contenido. Francamente, habrá suficiente y más tecnología para poder identificar los problemas relacionados con la desinformación y la desinformación. Hecho #4: Microsoft no puede desactivar computadoras de forma remota “mágicamente” ¡Incluso si Microsoft así lo desea, desactivar una computadora de forma remota no es como agitar una varita mágica o cantar “Abracadabra”! Con la posible excepción de piratear específicamente su computadora para obtener acceso o engañarlo para que instale malware, Microsoft no puede desactivar su computadora de forma remota simplemente porque compartió noticias falsas o información errónea. El artículo de People’s Voice ciertamente no ofrece ninguna explicación de cómo Microsoft podría posiblemente desactivar su computadora de forma remota… ¡como por arte de magia! Recomendado: ¿Bill Gates se enfrenta a una vida tras las rejas por violación infantil? Hecho #5: The People’s Voice es conocido por publicar noticias falsas People’s Voice es el nombre actual de NewsPunch, que posiblemente cambió su nombre porque su marca ha sido completamente desacreditada después de publicar numerosas historias impactantes pero falsas. Fundada como Your News Wire en 2014, pasó a llamarse NewsPunch en noviembre de 2018, antes de convertirse en The People’s Voice. Un informe de BuzzFeed de 2017 identificó a NewsPunch como la segunda fuente más grande de noticias falsas populares en Facebook ese año. Sus artículos han sido desacreditados periódicamente como noticias falsas, por lo que nunca debes compartir nada de NewsPunch/The People’s Voice. Estas son algunas de sus historias falsas que verifiqué anteriormente: ¡Ayúdenos a COMBATIR LAS NOTICIAS FALSAS compartiendo este artículo de verificación de hechos y APOYE nuestro trabajo! ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Verificación de hechos | Ciberseguridad | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
Microsoft dijo el viernes que el grupo ruso Nobelium, al que la compañía se refiere como Midnight Blizzard, ha estado intentando acceder a sus sistemas internos y repositorios de código fuente. «En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente exfiltrada de nuestra sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado. Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la compañía», dijo Microsoft en una publicación de blog. «Hasta la fecha no hemos encontrado evidencia de que los clientes alojados por Microsoft Los sistemas orientados se han visto comprometidos». Microsoft dijo que Midnight Blizzard estaba tratando de acceder a secretos, incluidos los compartidos entre Microsoft y sus clientes, pero que se estaba acercando y ayudando a los clientes afectados. «Midnight Blizzard ha aumentado el volumen de algunos aspectos del ataques, como la difusión de contraseñas, hasta 10 veces en febrero, en comparación con el ya gran volumen que vimos en enero de 2024», dijo. Microsoft dijo que había mejorado su inversión en seguridad y sus esfuerzos para defenderse del ataque y que había intensificado las medidas de seguimiento y control. La compañía dijo por primera vez en enero que había detectado un ciberataque de Nobelium, en el que el grupo ruso pirateó correos electrónicos de altos ejecutivos. En ese momento, Microsoft dijo que no había evidencia de que el grupo de hackers hubiera accedido a datos de clientes, sistemas de producción de código fuente propietario. Poco después del ataque a Microsoft, Hewlett Packard Enterprise dijo que su sistema de correo electrónico basado en la nube también había sido comprometido. Nobelium es considerado parte del servicio de inteligencia exterior de Rusia SVR por el gobierno de EE. UU. y también se lo conoce como Cozy Bear o APT29, junto con Midnight Blizzard. Rusia ha sido acusada varias veces de ataques cibernéticos contra países y empresas occidentales durante su guerra contra Ucrania. En diciembre de 2023, El Centro Nacional de Seguridad Cibernética de Gran Bretaña dijo que Rusia había atacado a políticos, periodistas y funcionarios públicos en una «campaña de actividad cibernética maliciosa» de varios años que tenía como objetivo socavar la democracia.
Source link
Se advierte a los clientes de una popular marca de suplementos que su información personal ha sido vulnerada después de que la empresa fuera pirateada. Elite Suplementos informó a sus clientes en un correo electrónico, visto por NCA NewsWire, que la empresa había sido atacada cibernéticamente, lo que resultó en que «una o más partes desconocidas obtuvieran acceso» a algunos datos en línea de los clientes. La empresa fue la primera en ser alertada sobre la posible violación. el 30 de enero y ha estado «tomando la violación extremadamente en serio» antes de informar a sus clientes poco después de las 6 p. m. del sábado. Sin embargo, se aseguró a los clientes que ninguna tarjeta de crédito, datos de pago confidenciales o contraseñas se vieron comprometidos en la violación. En cambio, los piratas informáticos obtuvieron acceso a los nombres, direcciones de envío, direcciones de correo electrónico y números de teléfono de los clientes en línea. “Nuestra intención ha sido verificar que se ha producido una infracción y determinar todo lo que podamos sobre a qué datos se accedió, antes de alertar a los clientes”, dijo Elite Suplementos a los clientes en su correo electrónico. “Hemos comenzado a notificar a las autoridades gubernamentales pertinentes y la empresa está cumpliendo plenamente con nuestras obligaciones de presentación de informes según las leyes de seguridad cibernética. “Elite Suplementos lamenta profundamente este incidente, que se produce a pesar de la considerable inversión que realizamos. hemos hecho en ciberseguridad. «Pedimos disculpas sinceras por cualquier inconveniente o angustia que la violación haya causado a nuestros clientes». La compañía confirmó que los datos que posee han sido protegidos después de contratar a una empresa de ciberseguridad. El correo electrónico alentó a los clientes a tener cuidado con cualquier otra cosa. Se accedió a la comunicación de Elite Suplementos dados los datos en la infracción. «Dado que se ha obtenido acceso a algunas direcciones de correo electrónico y números de teléfono de clientes, le instamos a estar más atento a las comunicaciones que parecen provenir de Elite Suplementos», decía el correo electrónico. “Tenga la seguridad de que responder a este incidente y hacer todo lo posible para proteger los intereses de nuestros clientes es nuestra máxima prioridad en este momento. “Les mantendremos informados tan pronto como tengamos nueva información para compartir”. La empresa australiana se lanzó en 2007 y ahora cuenta con más de 80 tiendas en todo el país. Se ha contactado a Elite Suplementos. Publicado originalmente como Clientes de Elite Suplementos objeto de ciberataque
Source link
La operación para confiscar criptomonedas pagadas a un grupo de hackers con sede en Rusia es la primera de su tipo llevada a cabo por un grupo de trabajo especializado en ransomware. PUBLICIDAD Se espera que el director ejecutivo del enorme oleoducto afectado por ransomware el mes pasado detalle la respuesta de su empresa al ciberataque y explique su decisión de autorizar un pago multimillonario cuando testifique ante el Congreso esta semana. El director ejecutivo de Colonial Pipeline, Joseph Blount, se enfrentará el Comité de Seguridad Nacional del Senado el martes, un día después de que el Departamento de Justicia revelara que había recuperado la mayor parte del pago de rescate de 4,4 millones de dólares (3,6 millones de euros) que la empresa realizó con la esperanza de que su sistema volviera a estar en línea. Una segunda audiencia está programada para el miércoles ante el Comité de Seguridad Nacional de la Cámara de Representantes. El testimonio de Blount marca su primera aparición ante el Congreso desde el ataque de ransomware del 7 de mayo que llevó a Colonial Pipeline, con sede en Georgia, que suministra aproximadamente la mitad del combustible consumido en la costa este, a suspender temporalmente detener las operaciones. El ataque se ha atribuido a una banda de ciberdelincuentes con sede en Rusia que utiliza la variante de ransomware DarkSide, una de las más de 100 variantes que el FBI está investigando actualmente. La compañía decidió poco después del ataque pagar un rescate de 75 bitcoins, valorados entonces en aproximadamente 4,4 millones de dólares (3,6 millones de euros). Aunque históricamente el FBI ha desalentado los pagos de ransomware por temor a fomentar ataques cibernéticos, los funcionarios de Colonial han dicho que consideraban que la transacción era necesaria para reanudar el vital negocio de transporte de combustible lo más rápido posible. ‘Disuadir y defender’ la operación para confiscar criptomonedas pagadas a Rusia El grupo de piratas informáticos es el primero de su tipo llevado a cabo por un grupo de trabajo especializado en ransomware creado por el Departamento de Justicia de la administración Biden. Refleja una inusual victoria en la lucha contra el ransomware mientras los funcionarios estadounidenses se apresuran a enfrentar una amenaza que se acelera rápidamente y que apunta a industrias críticas en todo el mundo. “Al perseguir todo el ecosistema que alimenta el ransomware y los ataques de extorsión digital, incluidos los ingresos criminales en forma de moneda: continuaremos utilizando todos nuestros recursos para aumentar el costo y las consecuencias del ransomware y otros ataques cibernéticos”, dijo la Fiscal General Adjunta Lisa Monaco en una conferencia de prensa anunciando la operación. En un comunicado el lunes, Blount dijo que estaba Agradeció los esfuerzos del FBI y dijo que responsabilizar a los piratas informáticos e interrumpir sus actividades «es la mejor manera de disuadir y defenderse contra futuros ataques de esta naturaleza». El sector privado también tiene un papel igualmente importante que desempeñar y debemos continuar enfrentando las amenazas cibernéticas. seriamente e invertir en consecuencia para reforzar nuestras defensas», añadió. Los ciberdelincuentes prefieren las criptomonedas porque permiten pagos directos en línea independientemente de la ubicación geográfica, pero en este caso, el FBI pudo identificar una billetera de moneda virtual utilizada por los piratas informáticos y la recuperó. las ganancias de allí, dijo Abbate. El Departamento de Justicia no proporcionó detalles sobre cómo el FBI había obtenido una «clave» para la dirección bitcoin específica, pero dijo que las fuerzas del orden habían podido rastrear múltiples transferencias de la criptomoneda. «Para los ciberdelincuentes, especialmente aquellos presuntamente ubicados en el extranjero, cortar el acceso a los ingresos es una de las consecuencias más impactantes que podemos imponer», dijo Abbate. El precio de Bitcoin se desplomó: ascendió al 85 por ciento del rescate total pagado, que es la cantidad exacta que la empresa de seguimiento de criptomonedas Elliptic dice que cree que se llevó el afiliado que llevó a cabo el ataque. El proveedor de software ransomware, DarkSide, se habría quedado con el otro 15 por ciento. «Los extorsionadores nunca verán este dinero», dijo Stephanie Hinds, fiscal estadounidense en funciones para el Distrito Norte de California, donde un juez autorizó el lunes la orden de incautación. Los ataques de ransomware, en los que los piratas informáticos cifran los datos de la organización víctima y exigen una suma considerable a cambio de devolver la información, han florecido en todo el mundo. El año pasado fue el más costoso registrado en ataques de este tipo. Los piratas informáticos se han dirigido a industrias vitales, así como a hospitales y departamentos de policía. Semanas después del ataque a Colonial Pipeline, un ataque de ransomware atribuido a REvil, una banda de habla rusa que ha realizado algunas de las mayores demandas de ransomware registradas en los últimos meses, interrumpió la producción. en JBS SA de Brasil, la empresa procesadora de carne más grande del mundo. El negocio del ransomware se ha convertido en un negocio altamente compartimentado, con el trabajo dividido entre el proveedor del software que bloquea los datos, los negociadores de rescates, los piratas informáticos que irrumpen en redes específicas y los piratas informáticos expertos en moverse. sin ser detectados a través de esos sistemas y exfiltrando datos confidenciales, e incluso los centros de llamadas en la India se emplearon para amenazar a las personas cuyos datos fueron robados para presionar para que pagaran extorsiones.
Source link
La confirmación se produce pocos días después de que funcionarios estadounidenses recuperaran la mayor parte del rescate pagado por Colonial Pipeline a piratas informáticos rusos. PUBLICIDADLa empresa procesadora de carne más grande del mundo dice que pagó el equivalente a 11 millones de dólares (9 millones de euros) a los piratas informáticos que irrumpieron en su sistema informático a finales del mes pasado. JBS SA, con sede en Brasil, dijo el 31 de mayo que fue víctima de un ataque de ransomware. pero el miércoles fue la primera vez que la división estadounidense de la compañía confirmó que había pagado el rescate. «Esta fue una decisión muy difícil de tomar para nuestra compañía y para mí personalmente», dijo Andre Nogueira, director ejecutivo de JBS USA. «Sin embargo, sentimos que esta decisión debía tomarse para evitar cualquier riesgo potencial para nuestros clientes». JBS dijo que la gran mayoría de sus instalaciones estaban operativas en el momento en que realizó el pago, pero decidió pagar para evitar cualquier imprevisto. problemas y garantizar que no se extraigan datos. El FBI ha atribuido el ataque a REvil, una banda de habla rusa que ha realizado algunas de las mayores demandas de ransomware registradas en los últimos meses. El FBI dijo que trabajará para llevar al grupo ante la justicia e instó a cualquier persona que sea víctima de un ciberataque a comunicarse con la oficina de inmediato. El ataque tuvo como objetivo los servidores que respaldan las operaciones de JBS en América del Norte y Australia. La producción se vio interrumpida durante varios días. Se recuperó la mayor parte del rescate de Colonial Pipeline A principios de esta semana, el Departamento de Justicia anunció que había recuperado la mayor parte de un pago de rescate multimillonario realizado por Colonial Pipeline, el operador del oleoducto de combustible más grande del país. Colonial pagó un rescate de 75 bitcoins, entonces valorados en 4,4 millones de dólares (3,6 millones de euros), a principios de mayo a un grupo de hackers con sede en Rusia. La operación para confiscar criptomonedas reflejó una rara victoria en la lucha contra el ransomware mientras los funcionarios estadounidenses se apresuran a enfrentar una amenaza que se acelera rápidamente y que apunta a industrias críticas en todo el mundo. No quedó claro de inmediato si JBS también pagó su rescate en bitcoins. JBS dijo que gasta Más de 200 millones de dólares (164 millones de euros) al año en TI y emplea a más de 850 profesionales de TI en todo el mundo. La compañía dijo que las investigaciones forenses aún están en curso, pero no cree que los datos de ninguna empresa, cliente o empleado se hayan visto comprometidos.
Source link
Un peatón pasa por una sucursal del Banco Industrial y Comercial de China (ICBC) en Fuzhou, provincia china de Fujian.VCG | Getty Images La división estadounidense de servicios financieros del banco chino ICBC sufrió un ciberataque que supuestamente interrumpió la negociación de bonos del Tesoro. El Banco Industrial y Comercial de China, el mayor prestamista del mundo por activos, dijo el jueves que su brazo de servicios financieros, llamado ICBC Financial Services, experimentó un ataque de ransomware «que resultó en la interrupción de ciertos» sistemas. Inmediatamente después de descubrir el ataque, ICBC «aisló los sistemas afectados para contener el incidente», dijo el banco. El ransomware es un tipo de ataque cibernético. Implica que los piratas informáticos tomen el control de los sistemas o la información y solo los dejen ir una vez que la víctima haya pagado un rescate. Es un tipo de ataque que ha experimentado una explosión de popularidad entre los malos actores en los últimos años. ICBC no reveló quién estaba detrás del ataque, pero dijo que ha estado «llevando a cabo una investigación exhaustiva y está avanzando en sus esfuerzos de recuperación con el apoyo de sus profesionales». equipo de expertos en seguridad de la información». El banco chino también dijo que está trabajando con las autoridades. ICBC dijo que «autorizó con éxito» las operaciones del Tesoro estadounidense ejecutadas el miércoles y las operaciones de financiación de repos realizadas el jueves. Un repo es un acuerdo de recompra, un tipo de préstamo a corto plazo para los comerciantes de bonos gubernamentales. Sin embargo, varios medios de comunicación informaron que hubo interrupciones en las operaciones del Tesoro de Estados Unidos. El Financial Times, citando a comerciantes y bancos, dijo el viernes que el ataque de ransomware impidió a la división ICBC liquidar transacciones del Tesoro en nombre de otros participantes del mercado. El Departamento del Tesoro de Estados Unidos dijo a CNBC: «Somos conscientes del problema de la ciberseguridad y estamos en contacto regular «Con participantes clave del sector financiero, además de los reguladores federales. Seguimos monitoreando la situación». ICBC dijo que los sistemas comerciales y de correo electrónico de su brazo de servicios financieros de EE. UU. operan independientemente de las operaciones de ICBC en China. Los sistemas de su oficina central, la sucursal de ICBC en Nueva York y otras instituciones afiliadas nacionales y extranjeras no se vieron afectados por el ciberataque, dijo ICBC.¿Qué dijo el gobierno chino?Wang Wenbin, portavoz del Ministerio de Asuntos Exteriores de China, dijo el viernes que ICBC se está esforzando por minimizar el impacto y las pérdidas después del ataque, según un informe de Reuters. En una conferencia de prensa habitual, Wang dijo que ICBC ha prestado mucha atención al asunto y ha manejado bien la respuesta de emergencia y la supervisión, según Reuters. .¿Qué sabemos sobre el ataque de ransomware? Nadie se ha atribuido la responsabilidad del ataque todavía y el ICBC no ha dicho quién podría estar detrás del ataque. En el mundo de la ciberseguridad, descubrir quién está detrás de un ciberataque suele ser muy difícil debido a las técnicas Los piratas informáticos utilizan para enmascarar sus ubicaciones e identidades. Pero hay pistas sobre qué tipo de software se utilizó para llevar a cabo el ataque. Marcus Murray, fundador de la firma sueca de ciberseguridad Truesec, dijo que el ransomware utilizado se llama LockBit 3.0. Murray dijo que esta información proviene de fuentes relacionadas con Truesec, pero no pudo revelar quiénes son esas fuentes por razones de confidencialidad. El Financial Times informó, citando dos fuentes, que LockBit 3.0 también era el software detrás del ataque. CNBC no pudo verificar la información de forma independiente. Este tipo de ransomware puede llegar a una organización de muchas maneras. Por ejemplo, cuando alguien hace clic en un enlace malicioso de un correo electrónico. Una vez dentro, su objetivo es extraer información confidencial sobre una empresa. El equipo de ciberseguridad de VMWare dijo en un blog el año pasado que LockBit 3.0 es un «desafío para los investigadores de seguridad porque cada instancia del malware requiere una contraseña única para ejecutarse sin la cual el análisis es extremadamente difícil o imposible.» Los investigadores agregaron que el ransomware está «fuertemente protegido» contra el análisis. La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de EE. UU. califica a LockBit 3.0 como «más modular y evasivo», lo que lo hace más difícil de detectar. LockBit es la cepa más popular de ransomware y representa alrededor de El 28% de todos los ataques de ransomware conocidos entre julio de 2022 y junio de 2023, según datos de la empresa de ciberseguridad Flashpoint. ¿Qué es LockBit? LockBit es el grupo detrás del software. Su modelo de negocio se conoce como «ransomware como servicio». De hecho, vende su software malicioso a otros piratas informáticos, conocidos como afiliados, quienes luego llevan a cabo los ataques cibernéticos. El líder del grupo se conoce en línea con el nombre de «LockBitSup» en los foros de piratería de la web oscura. «El grupo publica principalmente en ruso e inglés, pero según su sitio web, el grupo afirma estar ubicado en los Países Bajos y no tener motivaciones políticas», dijo Flashpoint en una publicación de blog. Se sabe que el malware del grupo apunta a pequeñas y medianas empresas. LockBit ha se atribuyó la responsabilidad de los ataques de ransomware a Boeing y al Reino Unido. Royal Mail. En junio, el Departamento de Justicia de EE. UU. acusó a un ciudadano ruso por su participación en «implementar numerosos ransomware LockBit y otros ataques cibernéticos» contra computadoras en EE. UU., Asia, Europa y África. «Los actores de LockBit han ejecutado más de 1.400 ataques contra víctimas en los Estados Unidos y en todo el mundo, emitiendo más de 100 millones de dólares en demandas de rescate y recibiendo al menos decenas de millones de dólares en pagos de rescate reales realizados en forma de bitcoin», dijo el Departamento de Justicia en un comunicado de prensa en junio. — Steve Kopack de CNBC contribuyó a este artículo.
Source link
Un británico fue arrestado en España por su presunto papel en el sonado hackeo de Twitter del verano pasado que tuvo como objetivo a políticos, celebridades y magnates tecnológicos estadounidenses. PUBLICIDAD Un hombre británico ha sido arrestado en España bajo sospecha de piratear las cuentas de Twitter de unas 130 celebridades el verano pasado. Joseph O’Connor fue arrestado en la ciudad turística costera española de Estepona bajo una orden de arresto internacional, dijo el miércoles el Departamento de Justicia de Estados Unidos. Ha sido acusado en Estados Unidos de presunta participación en un hackeo generalizado de Twitter que comprometió las cuentas de varios políticos, celebridades y magnates tecnológicos estadounidenses prominentes en julio de 2020. Los fiscales también han acusado a O’Connor de irrumpir en cuentas en las redes sociales. aplicaciones de medios TikTok y Snapchat, y de «acecho cibernético a un menor». Se ha presentado una denuncia penal en un tribunal federal del Distrito Norte de California. O’Connor está acusado formalmente de acoso cibernético, comunicaciones extorsivas y amenazantes y acceso intencional a una computadora sin autorización. O’Connor, conocido por el alias de Internet PlugWalkJoe, negó haber actuado mal en entrevistas policiales. Durante la violación de seguridad de alto perfil, Se enviaron tweets falsos desde varias cuentas de redes sociales de alto perfil, instando a sus seguidores a enviarles pagos en Bitcoin. «He decidido ayudar a mi comunidad. Todos los bitcoins enviados a mi dirección a continuación se duplicarán», tuitearon algunas de las cuentas. El ciberataque tuvo como objetivo, entre otros, al entonces candidato presidencial estadounidense Joe Biden, así como al expresidente Barack Obama y a otro candidato, Mike Bloomberg. El ex director ejecutivo de Amazon, Jeff Bezos, el cofundador de Microsoft, Bill Gates, y el director ejecutivo de Tesla, Elon Musk, también vieron sus cuentas. comprometido. Los mensajes fueron eliminados rápidamente, pero los investigadores estiman que la estafa habría permitido a los piratas informáticos recibir más de 100.000 dólares en criptomonedas. Twitter dijo que los piratas informáticos habían atacado a un puñado de empleados a través de una operación de phishing por teléfono para romper el doble de la plataforma. sistema de autenticación. En septiembre, la red social anunció que había reforzado la seguridad de las cuentas de los famosos. En marzo, un adolescente de Florida se declaró culpable de haber planeado la operación y fue condenado a tres años de prisión. Los documentos judiciales presentados el año pasado dijeron que el complot se originó en un foro en línea para personas que buscaban obtener nombres de usuario originales y valiosos en las redes sociales. Existe un mercado clandestino para robar e intercambiar nombres de usuario buscados en Twitter y otros sitios de redes sociales como Instagram o Instagram. los mundos de juego de Minecraft y Fortnite. A principios de este año, Twitter dijo que estaba tomando medidas enérgicas contra las cuentas vinculadas al comercio de dichos nombres de usuario.
Source link