Etiqueta: Computadora que suena Página 1 de 2

El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) advierte que los piratas informáticos ahora están utilizando tácticas de ingeniería social para atacar los servicios de asistencia de TI en todo el sector de atención médica y salud pública (HPH). La alerta sectorial emitida por el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3) esta semana dice que estas tácticas han permitido a los atacantes obtener acceso a los sistemas de las organizaciones objetivo al registrar sus propios dispositivos de autenticación multifactor (MFA). En estos ataques, los actores de amenazas utilizan un código de área local para llamar a organizaciones que se hacen pasar por empleados del departamento financiero y proporcionan detalles de verificación de identidad robada, incluidos números de identificación corporativa y de seguridad social. Utilizando esta información confidencial y afirmando que su teléfono inteligente está roto, convencen al servicio de asistencia técnica de TI para que registre un nuevo dispositivo en MFA bajo el control del atacante. Esto les da acceso a recursos corporativos y les permite redirigir transacciones bancarias en ataques de compromiso de correo electrónico empresarial. «El actor de la amenaza apuntó específicamente a la información de inicio de sesión relacionada con los sitios web de los pagadores, donde luego enviaron un formulario para realizar cambios ACH para las cuentas de los pagadores», dice HC3. [PDF]. «Una vez que se obtuvo acceso a las cuentas de correo electrónico de los empleados, enviaron instrucciones a los procesadores de pagos para desviar pagos legítimos a cuentas bancarias estadounidenses controladas por atacantes». “Los fondos fueron luego transferidos a cuentas en el extranjero. Durante la campaña maliciosa, el actor de amenazas también registró un dominio con una variación de una sola letra de la organización objetivo y creó una cuenta haciéndose pasar por el director financiero (CFO) de la organización objetivo”. En tales incidentes, los atacantes también pueden utilizar herramientas de clonación de voz de IA para engañar a los objetivos, lo que dificulta la verificación de identidades de forma remota. Esta es ahora una táctica muy popular: el 25% de las personas han experimentado una estafa de suplantación de voz mediante IA o conocen a alguien que lo ha experimentado, según un estudio global reciente. Vibraciones de Scattered Spider Las tácticas descritas en la alerta del Departamento de Salud son muy similares a las utilizadas por el grupo de amenazas Scattered Spider (también conocido como UNC3944 y 0ktapus), que también utiliza phishing, bombardeo de MFA (también conocido como fatiga de MFA) e intercambio de SIM para obtener la red inicial. acceso. Esta banda de ciberdelincuentes a menudo se hace pasar por empleados de TI para engañar al personal de servicio al cliente para que les proporcione credenciales o ejecute herramientas de acceso remoto para violar las redes de los objetivos. Los piratas informáticos Scatter Spider cifraron recientemente los sistemas de MGM Resorts utilizando el ransomware BlackCat/ALPHV. También son conocidos por la campaña 0ktapus, en la que se dirigieron a más de 130 organizaciones, incluidas Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games y Best Buy. El FBI y CISA emitieron un aviso en noviembre para resaltar las tácticas, técnicas y procedimientos (TTP) de Scattered Spider en respuesta a su robo de datos y ataques de ransomware contra una larga serie de empresas de alto perfil. Sin embargo, HC3 dice que incidentes similares en el sector de la salud reportados hasta ahora aún no se han atribuido a un grupo de amenaza específico. Para bloquear los ataques dirigidos a sus servicios de asistencia de TI, se recomienda a las organizaciones del sector de la salud: Solicitar devoluciones de llamadas para verificar a los empleados que solicitan restablecimiento de contraseñas y nuevos dispositivos MFA. Supervise cambios sospechosos en ACH. Revalidar a todos los usuarios con acceso a sitios web de pagos. Considere solicitudes en persona para asuntos delicados. Exigir a los supervisores que verifiquen las solicitudes. Capacite al personal de la mesa de ayuda para identificar e informar técnicas de ingeniería social y verificar las identidades de las personas que llaman. URL de la publicación original: https://www.bleepingcomputer.com/news/security/us-health-dept-warns-hospitals-of-hackers-targeting-it-help-desks/

Source link

Microsoft ha confirmado que algunos usuarios de Outlook.com están experimentando problemas con el bloqueo y marcado de correos electrónicos como spam cuando intentan enviar correos electrónicos a cuentas de Gmail. Este problema conocido sólo afecta a los usuarios con dominios de país de Outlook.com, según un documento de soporte publicado por Redmond el martes. A los usuarios de Outlook afectados se les informa en correos electrónicos de seguimiento desde los servidores de Gmail que sus mensajes eran sospechosos y se les ha impedido llegar a la bandeja de entrada del destinatario. “El servidor remoto devolvió un mensaje detectado como spam [..]. Gmail ha detectado que este mensaje probablemente sea sospechoso debido a la muy baja reputación del dominio de envío. Para proteger mejor a nuestros usuarios del spam, el mensaje ha sido bloqueado”, explican las respuestas del servidor de correo de Gmail (mx.google.com). El sitio web de soporte de Google dice que es muy probable que sólo un subconjunto de estos mensajes esté bloqueado porque tienen «una gran probabilidad de ser spam». Solución temporal disponible Hasta que el equipo de Outlook.com pueda abordar este problema recientemente reconocido, Microsoft recomienda a los usuarios afectados que agreguen un alias de Outlook.com a sus cuentas y envíen correos electrónicos a los contactos de Gmail usando ese alias. Los alias de Outlook son direcciones de correo electrónico adicionales asociadas con su cuenta de Outlook.com y utilizan la misma bandeja de entrada, lista de contactos y configuración de cuenta que su dirección de correo electrónico principal. Los usuarios pueden iniciar sesión en sus cuentas de Outlook.com con cualquier alias porque todos usan las mismas credenciales. Para agregar un alias nuevo, haga clic en «Agregar un alias» e inicie sesión en su cuenta de Microsoft si es necesario. Dentro de la sección «Agregar un alias», cree una nueva dirección de correo electrónico de Outlook.com y designela como alias o agregue una dirección de correo electrónico existente como alias, luego haga clic en «Agregar alias». Después de crear el nuevo alias de Outlook.com, siga estas instrucciones sobre cómo enviar correo electrónico desde una dirección de correo electrónico diferente o cambiar su alias principal. Nuevas pautas antispam de Google Si bien Microsoft no compartió la causa raíz detrás de que los correos electrónicos de Outlook.com sean etiquetados y bloqueados como spam, Google sugiere que Redmond debería revisar sus nuevas pautas para remitentes masivos para mejorar la capacidad de entrega de correo electrónico de Outlook a las cuentas de Gmail. Google ahora está bloqueando los correos electrónicos enviados por remitentes masivos que no siguen umbrales de spam más estrictos y no autentican sus mensajes como lo exigen las nuevas pautas diseñadas para fortalecer las defensas contra el spam y los ataques de phishing. “A partir de abril de 2024, comenzaremos a rechazar el tráfico que no cumpla. El rechazo será gradual y afectará únicamente al tráfico que no cumpla”, afirma la compañía en un documento de soporte actualizado recientemente. «Recomendamos encarecidamente a los remitentes que utilicen el período de aplicación de fallas temporales para realizar los cambios necesarios para cumplir». En junio, Google comenzará a aplicar estos nuevos requisitos para impedir que el spam, los intentos de phishing y el malware lleguen a las bandejas de entrada de sus usuarios. URL de la publicación original: https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-gmail-blocks-some-outlook-email-as-spam-shares-fix/

Source link

Microsoft lanzó la actualización de vista previa KB5035942 sin seguridad de marzo de 2024 para Windows 11 23H2, que habilita las funciones Moment 5 de forma predeterminada y soluciona 18 problemas conocidos. Esta actualización acumulativa opcional mensual permite a los usuarios y administradores de Windows probar mejoras y correcciones del sistema operativo que estarán disponibles de forma general con el lanzamiento del martes de parches del próximo mes. Sin embargo, a diferencia de las actualizaciones acumulativas de Patch Tuesday, la actualización de vista previa KB5035942 no incluye actualizaciones de seguridad. KB5035942 alternará nuevas funciones en la actualización ‘Moment 5’ de Windows 11 para todos los usuarios de forma predeterminada, incluidas nuevas habilidades y complementos de Windows Copilot, más contenido en la pantalla de bloqueo de Windows, funciones de Fotos y Clipchamp con tecnología de IA, sugerencias inteligentes de Snap, nuevo Windows Funciones empresariales 365 Boot y acceso de voz mejorado. La actualización de vista previa también soluciona problemas conocidos, como fallas de audio USB en algunos procesadores y la aplicación de Configuración se congela cuando se usa para eliminar dispositivos Bluetooth. Los usuarios de Windows pueden instalar esta actualización ingresando a Configuración, haciendo clic en Windows Update y haciendo clic en «Buscar actualizaciones». Como se trata de una actualización opcional, se le preguntará si desea instalarla haciendo clic en el enlace «Descargar e instalar», como se muestra en la imagen a continuación. Después de instalar la actualización KB5035942, Windows 11 23H2 se actualizará a la compilación 22631.3374. Los usuarios de Windows 11 también pueden descargar e instalar manualmente KB5035942 desde el Catálogo de actualizaciones de Microsoft. Actualización de vista previa de Windows 11 KB5035942 (BleepingComputer) Novedades de Windows 11 KB5035942 Esta versión opcional también incluye correcciones y mejoras adicionales y actualizará Windows 11 23H2 a la compilación 22631.3374. Otras correcciones destacadas y nuevas funciones en la actualización de vista previa KB5035942 incluyen: Esta actualización soluciona un problema que impide que algunas aplicaciones y funciones estén disponibles. Esto ocurre después de actualizar a Windows 11. Esta actualización agrega sugerencias a Snap Layouts. Te ayudan a unir varias ventanas de aplicaciones al instante. Cuando inicia sesión en Windows (en vista previa) usando una cuenta local, puede pedirle ayuda a Copilot diez veces. Después de eso, debe iniciar sesión con una cuenta de Microsoft (MSA) o una cuenta de Microsoft Entra ID (anteriormente Azure Active Directory (Azure AD)). Esta actualización soluciona un problema que afecta la configuración Combinar botones de la barra de tareas y ocultar etiquetas. Las etiquetas de las aplicaciones en la barra de tareas a veces no tienen la longitud correcta, lo que corta el texto de la etiqueta. Esta actualización agrega un modo dedicado para el arranque de Windows 365. Cuando inicia sesión en el dispositivo propiedad de su empresa, también inicia sesión en su PC con Windows 365 Cloud. Microsoft dijo que la actualización acumulativa de vista previa KB5035942 no se ve afectada actualmente por ningún problema conocido. La compañía también recordó a los clientes que los sistemas Windows 11 22H2 seguirán recibiendo actualizaciones preliminares no relacionadas con la seguridad hasta junio de 2025, después de que revocó su decisión de eliminarlas después de febrero de 2024. “La nueva fecha de finalización es el 24 de junio de 2025 para la versión Windows 11 Ediciones multisesión 22H2 Enterprise, Education, IoT Enterprise y Enterprise. Las ediciones Home, Pro, Pro Education y Pro for Workstations de la versión 22H2 recibirán actualizaciones preliminares no relacionadas con la seguridad hasta el 26 de junio de 2024”, dijo Redmond. «Después de estas fechas, solo continuarán las actualizaciones de seguridad mensuales acumulativas para las ediciones compatibles de Windows 11, versión 22H2». URL de la publicación original: https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5035942-update-enables-moment-5-features-for-everyone/

Source link

Un tribunal federal de EE. UU. ha emitido una multa de 9.918.000 dólares y una orden judicial contra un individuo llamado Scott Rhodes por realizar miles de llamadas automáticas «falsas» a consumidores de todo el país. Las llamadas automáticas son llamadas telefónicas automatizadas que utilizan software de marcación automática para enviar un mensaje pregrabado a muchos destinatarios. Aunque tienen usos legítimos, incluidas ventas, anuncios de servicio público, solicitudes de caridad y campañas políticas, los actores de amenazas los han explotado para difundir estafas o información errónea, lo que genera molestias y pérdidas. Después de muchos casos de abuso, como advertencias falsas de recaudación de impuestos del IRS, las autoridades de EE. UU. han promulgado leyes y regulaciones, incluida la Ley de Protección al Consumidor Telefónico (TCPA), para restringir el uso de la tecnología de llamadas automáticas sin el consentimiento del destinatario. La suplantación de identidad es una técnica que a menudo se combina con las llamadas automáticas para falsificar el identificador de llamadas que se muestra en el dispositivo del destinatario, ocultando la verdadera identidad de la persona que llama y haciendo que la llamada parezca local o proveniente de una organización gubernamental o de buena reputación. El anuncio del Departamento de Justicia de EE. UU. (DoJ) califica las acciones de Rhodes de “ilegales y maliciosas”, destacando la preferencia del hombre por lanzar campañas de llamadas automáticas contra regiones específicas con mensajes incendiarios e inquietantes. “Por ejemplo, cientos de llamadas automáticas falsificadas se dirigieron a residentes del área de Brooklyn, Iowa, después del asesinato de una mujer local”, se lee en el anuncio del Departamento de Justicia de Estados Unidos. “Del mismo modo, más de 2.000 de las llamadas automáticas falsificadas se dirigieron a residentes de Charlottesville, Virginia, durante la investigación y el procesamiento de James Alex Fields Jr. por matar a una mujer e herir a decenas durante la manifestación “Unite the Right” en agosto de 2017”. Algunas personas que recibieron estas llamadas denunciaron este acoso a la Comisión Federal de Comunicaciones (FCC) y las autoridades rastrearon la actividad hasta Rhodes, un residente de Idaho y Montana. El Departamento de Justicia de EE. UU. demandó a Rhodes en septiembre de 2021 y en octubre de 2023 se concedió una moción de sentencia sumaria. Hoy, un tribunal federal de Montana multó a Rhodes con una multa de 9,9 millones de dólares y una orden judicial contra futuras violaciones de la Ley de Verdad en el Identificador de Llamadas y Ley de Protección al Consumidor Telefónico. En los últimos años, las autoridades de EE. UU. han impuesto multas muy elevadas a los llamadores automáticos. En agosto de 2023, la FCC anunció una multa récord de 300 millones de dólares para una red internacional de empresas que habían realizado más de cinco mil millones de llamadas automáticas. En febrero de 2022, la FCC propuso multar a un autor de llamadas automáticas de seguros médicos con 45 millones de dólares por más de 500.000 llamadas automáticas ilegales. URL de la publicación original: https://www.bleepingcomputer.com/news/legal/us-fines-man-99-million-for-thousands-of-disturbing-robocalls/

Source link

CISA y el FBI instaron a los ejecutivos de las empresas de fabricación de tecnología a solicitar revisiones formales del software de sus organizaciones e implementar mitigaciones para eliminar las vulnerabilidades de seguridad de inyección SQL (SQLi) antes del envío. En los ataques de inyección SQL, los actores de amenazas «inyectan» consultas SQL diseñadas con fines malintencionados en campos de entrada o parámetros utilizados en consultas de bases de datos, explotando vulnerabilidades en la seguridad de la aplicación para ejecutar comandos SQL no deseados, como exfiltrar, manipular o eliminar datos confidenciales almacenados en la base de datos. . Esto puede conducir a un acceso no autorizado a datos confidenciales, violaciones de datos e incluso una toma completa de los sistemas objetivo debido a una validación y desinfección de entradas inadecuadas en aplicaciones web o software que interactúan con las bases de datos objetivo. CISA y el FBI recomiendan el uso de consultas parametrizadas con declaraciones preparadas para evitar vulnerabilidades de inyección SQL (SQLi). Este enfoque separa el código SQL de los datos del usuario, lo que hace imposible que la entrada maliciosa se interprete como una declaración SQL. Las consultas parametrizadas son una mejor opción para un enfoque seguro por diseño en comparación con las técnicas de desinfección de entradas porque estas últimas pueden evitarse y son difíciles de aplicar a escala. Las vulnerabilidades de SQLi ocuparon el tercer lugar entre las 25 debilidades más peligrosas del software de MITRE entre 2021 y 2022, solo superadas por las escrituras fuera de límites y las secuencias de comandos entre sitios. «Si descubren que su código tiene vulnerabilidades, los altos ejecutivos deben asegurarse de que los desarrolladores de software de sus organizaciones comiencen inmediatamente a implementar mitigaciones para eliminar toda esta clase de defecto de todos los productos de software actuales y futuros», dijeron CISA y el FBI. [PDF]. «Incorporar esta mitigación desde el principio (comenzando en la fase de diseño y continuando durante el desarrollo, el lanzamiento y las actualizaciones) reduce la carga de la ciberseguridad para los clientes y el riesgo para el público». ​CISA y el FBI emitieron esta alerta conjunta en respuesta a una ola de piratería del ransomware Clop que comenzó en mayo de 2023 y tuvo como objetivo una vulnerabilidad SQLi de día cero en la aplicación de transferencia de archivos administrada Progress MOVEit Transfer, que afectó a miles de organizaciones en todo el mundo. Varias agencias federales de EE. UU. y dos entidades del Departamento de Energía (DOE) de EE. UU. también han sido víctimas de estos ataques de robo de datos. A pesar del gran número de víctimas, las estimaciones de Coveware sugirieron que sólo un número limitado de víctimas probablemente cedería a las demandas de rescate de Clop. No obstante, es probable que la banda de ciberdelincuentes haya recaudado entre 75 y 100 millones de dólares en pagos debido a las elevadas solicitudes de rescate. «A pesar del conocimiento y la documentación generalizados de las vulnerabilidades de SQLi durante las últimas dos décadas, junto con la disponibilidad de mitigaciones efectivas, los fabricantes de software continúan desarrollando productos con este defecto, lo que pone en riesgo a muchos clientes», dijeron las dos agencias el lunes. «Vulnerabilidades como SQLi han sido consideradas por otros como una vulnerabilidad ‘imperdonable’ desde al menos 2007. A pesar de este hallazgo, las vulnerabilidades SQL (como CWE-89) siguen siendo una clase de vulnerabilidad predominante». El mes pasado, la Oficina del Director Cibernético Nacional (ONCD) de la Casa Blanca instó a las empresas de tecnología a cambiar a lenguajes de programación seguros para la memoria (como Rust) para mejorar la seguridad del software reduciendo la cantidad de vulnerabilidades de seguridad de la memoria. En enero, CISA también pidió a los fabricantes de enrutadores para pequeñas oficinas y oficinas domésticas (SOHO) que se aseguraran de que sus dispositivos estuvieran seguros contra ataques en curso, incluidos aquellos coordinados por el grupo de piratería respaldado por el estado chino Volt Typhoon. URL de la publicación original: https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-sql-injection-vulnerabilities/

Source link

Clorox ha confirmado que un ciberataque de septiembre de 2023 le ha costado hasta ahora a la empresa 49 millones de dólares en gastos relacionados con la respuesta al incidente. Clorox es un fabricante estadounidense de productos de limpieza profesionales y de consumo con 8700 empleados y casi 7500 millones de dólares en ingresos para 2023. El 11 de agosto, Clorox sufrió un ciberataque que provocó una interrupción significativa en las operaciones de la empresa, lo que provocó una reducción de la producción y una menor disponibilidad de productos de consumo. . En un informe de ganancias presentado ante la SEC el jueves, Clorox reveló que incurrió en gastos por 49 millones de dólares relacionados con el ciberataque a finales de 2023. “Los costos incurridos se relacionan principalmente con servicios de consultoría de terceros, incluidos expertos forenses y de recuperación de TI y otros servicios profesionales incurridos para investigar y remediar el ataque, así como los costos operativos incrementales incurridos por la interrupción resultante de las operaciones comerciales de la Compañía”, se lee en el informe trimestral del segundo trimestre de 2024 de Clorox. La compañía ha reconocido que todavía están trabajando para recuperarse del ataque, pero espera incurrir en menores costos relacionados con el ciberataque en el futuro. «Nuestros resultados del segundo trimestre reflejan una sólida ejecución de nuestro plan de recuperación del ciberataque de agosto», dijo la presidenta y directora ejecutiva de Clorox, Linda Rendle, en una presentación 8-K. “Estamos reconstruyendo los inventarios de los minoristas antes de lo previsto, lo que nos permitirá volver a la comercialización y restablecer la distribución. Si bien aún queda trabajo por hacer, estamos enfocados en ejecutar con excelencia en lo que sigue siendo un entorno desafiante para impulsar el crecimiento de los ingresos y reconstruir el margen”. Johnson Controls International también confirmó esta semana que un ataque de ransomware en septiembre de 2023 le costó a la empresa 27 millones de dólares en gastos, lo que provocó una filtración de datos después de que los piratas informáticos robaran datos corporativos. Ataque vinculado a Scattered Spider Si bien Clorox no ha proporcionado muchos detalles sobre su ataque, Bloomberg informó que se cree que fue realizado por el colectivo de hackers conocido como Scattered Spider. Scattered Spider es un grupo informal de actores de amenazas, muchos de ellos de habla inglesa, que se especializan en ataques de ingeniería social para violar las redes de una empresa. Lo que hace que Scattered Spider sea tan inusual es que también son afiliados de la banda de ransomware BlackCat/ALPHV, que generalmente solo trabaja con actores de amenazas de habla rusa. Scattered Spider se ha vinculado anteriormente con ataques a MGM, Caesars, DoorDash y Reddit. URL de la publicación original: https://www.bleepingcomputer.com/news/security/clorox-says-cyberattack-caused-49-million-in-expenses/

Source link

El Lurie Children’s Hospital de Chicago se vio obligado a desconectar sus sistemas de TI después de un ciberataque, lo que interrumpió las operaciones normales y retrasó la atención médica en algunos casos. Lurie Children’s es un hospital pediátrico de cuidados intensivos con sede en Chicago que cuenta con 360 camas, 1665 médicos que cubren 70 subespecialidades y 4000 empleados y personal médico. Es uno de los hospitales pediátricos más importantes del país y atiende a más de 200.000 niños al año. Ayer, el hospital anunció en su sitio web y en sus plataformas de redes sociales que está respondiendo activamente a un incidente de seguridad cibernética que, lamentablemente, provocó que los sistemas de red se desconectaran para evitar la propagación del ataque. «Lurie Children’s está respondiendo activamente a un asunto de ciberseguridad», reveló ayer Lurie Children’s Hospital. “Nos estamos tomando esto muy en serio, estamos investigando con el apoyo de destacados expertos y estamos trabajando en colaboración con las fuerzas del orden. Como parte de nuestra respuesta a este asunto, hemos desconectado los sistemas de red”. reveló ayer el Lurie Children’s Hospital. El proveedor de atención médica declaró anteriormente que el incidente afectó los servicios de Internet, correo electrónico, teléfono y capacidad de acceso a la plataforma MyChat del hospital. Se recomendó a quienes sufrieran una emergencia médica que llamaran al 911 o visitaran el departamento de emergencias más cercano. «Como proveedor líder de atención pediátrica de Illinois, nuestra prioridad general es continuar brindando atención segura y de calidad a nuestros pacientes y las comunidades a las que servimos», continúa el anuncio del hospital. «Lurie Children’s está abierto y brinda atención a los pacientes con la menor cantidad de interrupciones posible». Los medios locales informan que los procedimientos programados se han retrasado debido al ciberataque, los resultados de la ecografía y la tomografía computarizada no están disponibles y las recetas se entregan en papel. Además, el hospital ha vuelto a seguir un enfoque de orden de llegada, dando prioridad a las situaciones de emergencia. Al momento de escribir este artículo, ninguna banda importante de ransomware ha asumido la responsabilidad del ataque al Lurie Children’s Hospital. A pesar de las llamadas directrices establecidas por los operadores de ransomware, que instruyen a los afiliados a abstenerse de atacar hospitales, varias bandas de ransomware ignoran estas políticas y continúan atacando a las organizaciones de atención médica. Esto se debe a que no les importa hacer cumplir estas políticas o porque estas directrices son simplemente una fachada para enmascarar su incesante búsqueda de ganancias financieras. Dos ejemplos recientes de esto son los ataques a la red de hospitales Capital Health y al Hospital Saint Anthony en EE. UU. y a los hospitales Katholische Hospitalvereinigung Ostwestfalen (KHO) en Alemania, todos realizados por la operación de ransomware Lockbit, que afirma tener políticas estrictas que previenen ataques a hospitales. URL de la publicación original: https://www.bleepingcomputer.com/news/security/lurie-childrens-hospital-took-systems-offline-after-cyberattack/

Source link

AnyDesk confirmó hoy que sufrió un reciente ciberataque que permitió a piratas informáticos acceder a los sistemas de producción de la empresa. BleepingComputer se enteró de que durante el ataque se robaron el código fuente y las claves de firma de código privado. AnyDesk es una solución de acceso remoto que permite a los usuarios acceder de forma remota a computadoras a través de una red o Internet. El programa es muy popular entre las empresas, que lo utilizan para soporte remoto o para acceder a servidores ubicados. El software también es popular entre los actores de amenazas que lo utilizan para acceder persistentemente a dispositivos y redes vulnerados. La empresa informa tener 170.000 clientes, incluidos 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS y las Naciones Unidas. AnyDesk pirateado En un comunicado compartido con BleepingComputer el viernes por la tarde, AnyDesk dice que se enteraron del ataque por primera vez después de detectar indicios de un incidente en los servidores de sus productos. Después de realizar una auditoría de seguridad, determinaron que sus sistemas estaban comprometidos y activaron un plan de respuesta con la ayuda de la firma de ciberseguridad CrowdStrike. AnyDesk no compartió detalles sobre si se robaron datos durante el ataque. Sin embargo, BleepingComputer se enteró de que los actores de amenazas robaron el código fuente y los certificados de firma de código. La compañía también confirmó que el ataque no involucró ransomware, pero no compartió demasiada información sobre el ataque, aparte de decir que sus servidores fueron violados, y el aviso se centró principalmente en cómo respondieron al ataque. Como parte de su respuesta, AnyDesk dice que revocaron certificados relacionados con la seguridad y remediaron o reemplazaron sistemas según fue necesario. También aseguraron a los clientes que AnyDesk era seguro de usar y que no había evidencia de que los dispositivos de los usuarios finales se vieran afectados por el incidente. “Podemos confirmar que la situación está bajo control y que es seguro utilizar AnyDesk. Asegúrese de estar utilizando la última versión, con el nuevo certificado de firma de código”, dijo AnyDesk en una declaración pública. Si bien la compañía dice que no se robaron tokens de autenticación, por precaución, AnyDesk está revocando todas las contraseñas de su portal web y sugiere cambiar la contraseña si se usa en otros sitios. “AnyDesk está diseñado de manera que los tokens de autenticación de sesión no se puedan robar. Sólo existen en el dispositivo del usuario final y están asociados con la huella digital del dispositivo. Estos tokens nunca tocan nuestros sistemas”, dijo AnyDesk a BleepingComputer en respuesta a nuestras preguntas sobre el ataque. «No tenemos indicios de secuestro de sesión, hasta donde sabemos, esto no es posible». La compañía ya ha comenzado a reemplazar los certificados de firma de código robados, y Günter Born de BornCity informó por primera vez que están utilizando un nuevo certificado en la versión 8.0.8 de AnyDesk, lanzada el 29 de enero. El único cambio enumerado en la nueva versión es que la empresa cambió a un nuevo certificado de firma de código y pronto revocará el anterior. BleepingComputer analizó versiones anteriores del software y los ejecutables más antiguos estaban firmados con el nombre ‘philandro Software GmbH’ con el número de serie 0dbf152deaf0b981a8a938d53f769db8. La nueva versión ahora está firmada bajo ‘AnyDesk Software GmbH’, con un número de serie 0a8177fcd8936a91b5e0eddf995b0ba5, como se muestra a continuación. AnyDesk 8.0.6 firmado (izquierda) frente a AnyDesk 8.0.8 (derecha) Fuente: BleepingComputer Los certificados generalmente no se invalidan a menos que hayan sido comprometidos, como por ejemplo, haber sido robados en ataques o expuestos públicamente. Si bien AnyDesk no había compartido cuándo ocurrió la infracción, Born informó que AnyDesk sufrió una interrupción de cuatro días a partir del 29 de enero, durante el cual la compañía deshabilitó la capacidad de iniciar sesión en el cliente AnyDesk. «my.anydesk II se encuentra actualmente en mantenimiento, que se espera que dure las próximas 48 horas o menos», se lee en la página del mensaje de estado de AnyDesk. “Aún puedes acceder y utilizar tu cuenta normalmente. El inicio de sesión en el cliente AnyDesk se restaurará una vez que se complete el mantenimiento”. Ayer se restableció el acceso, lo que permitió a los usuarios iniciar sesión en sus cuentas, pero AnyDesk no proporcionó ningún motivo para el mantenimiento. AnyDesk confirmó a BleepingComputer que este mantenimiento está relacionado con el incidente de ciberseguridad. Se recomienda encarecidamente que todos los usuarios cambien a la nueva versión del software, ya que el antiguo certificado de firma de código pronto será revocado. Además, aunque AnyDesk dice que las contraseñas no fueron robadas en el ataque, los actores de la amenaza obtuvieron acceso a los sistemas de producción, por lo que se recomienda encarecidamente que todos los usuarios de AnyDesk cambien sus contraseñas. Además, si utilizan su contraseña de AnyDesk en otros sitios, también deberían cambiarla allí. Cada semana, parece que nos enteramos de una nueva infracción contra empresas conocidas. Anoche, Cloudflare reveló que fueron pirateados el Día de Acción de Gracias utilizando claves de autenticación robadas durante el ciberataque Okta del año pasado. La semana pasada, Microsoft también reveló que fueron pirateados por piratas informáticos patrocinados por el estado ruso llamados Midnight Blizzard, que también atacaron a HPE en mayo. URL de la publicación original: https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/

Source link

Los ataques a hospitales continuaron esta semana, con operaciones de ransomware que interrumpieron la atención al paciente y obligaron a las organizaciones a responder a los ciberataques. Si bien muchos, como LockBit, afirman tener políticas implementadas para evitar el cifrado de hospitales, seguimos viendo afiliados que apuntan a la atención médica sin tener en cuenta la interrupción que están causando a los pacientes al intentar recibir atención. LockBit dice que los afiliados sólo pueden robar datos y no cifrar hospitales, pero ignoran intencionalmente el hecho de que atacar a una organización hará que apaguen el sistema de TI para evitar la propagación del ataque. Para los hospitales, esto significa que ya no tienen acceso a los historiales médicos, no pueden recetar recetas electrónicas, responder a los pacientes a través de portales en línea o, en algunos casos, acceder a informes de diagnóstico médico. Parece que escuchamos sobre nuevos ataques a hospitales cada semana, y esta semana nos enteramos de un ataque al Lurie Children’s Hospital en Chicago y un ataque al Saint Anthony Hospital en diciembre, este último reivindicado por LockBit. A las bandas de ransomware les gusta decir: “No es personal, es un negocio. Sólo nos preocupamos por su dinero”. Sin embargo, tener que posponer la cirugía cardíaca de su hijo seguramente se siente personal. Los contribuyentes y aquellos que proporcionaron nueva información e historias sobre ransomware esta semana incluyen: @Seifreed, @malwrhunterteam, @Ionut_Ilascu, @LawrenceAbrams, @BleepinComputer, @billtoulas, @demonslay335, @serghei, @fwosar, @CyberArk, @coveware, @pcrisk, @USGAO, @Jon__DiMaggio, @ThierryBreton, @Truesec, @Analyst1, @AhnLab_SecuInfo, @RakeshKrish12, @Netenrich, @jgreigj y @AJVicens. 27 de enero de 2024 Ciberfraude con sede en Ottawa condenado a 2 años Un hombre de Ottawa condenado por cargos relacionados con un ataque de ransomware que afectó a cientos de víctimas fue sentenciado a dos años de prisión el viernes. 29 de enero de 2024 Los pagos de ransomware caen a un mínimo histórico debido a que las víctimas se niegan a pagar El número de víctimas de ransomware que pagan demandas de rescate se redujo a un mínimo histórico del 29% en el último trimestre de 2023, según la firma de negociación de ransomware Coveware. El gigante energético Schneider Electric afectado por el ataque de ransomware Cactus El gigante de automatización y gestión de energía Schneider Electric sufrió un ataque de ransomware Cactus que provocó el robo de datos corporativos, según personas familiarizadas con el asunto. Akira Ransomware y explotación de la vulnerabilidad CVE-2020-3259 de Cisco Anyconnect En varias misiones recientes de respuesta a incidentes, el equipo CSIRT de Truesec realizó observaciones forenses que indican que es probable que la antigua vulnerabilidad CVE-2020-3259 sea explotada activamente por el grupo de ransomware Akira. Presentación de Alpha Ransomware: una inmersión profunda en sus operaciones Alpha ransomware, un grupo distinto que no debe confundirse con ALPHV ransomware, surgió recientemente con el lanzamiento de su sitio dedicado/de fuga de datos (DLS) en la Dark Web y una lista inicial de seis datos de las víctimas. Como historia en desarrollo, continuaré brindando actualizaciones. Nueva variante del ransomware Phobos PCrisk encontró una nueva variante del ransomware Phobos que agrega la extensión .Ebaka. Nueva variante de ransomware Chaos PCrisk encontró una nueva variante de ransomware Chaos que agrega la extensión .NOOSE y arroja una nota de rescate llamada OPEN_ME.txt. Nuevo ransomware Secles PCrisk encontró un nuevo ransomware que agrega la extensión .secles y suelta una nota de rescate llamada ReadMe.txt. 30 de enero de 2024 El descifrador de ransomware en línea ayuda a recuperar archivos parcialmente cifrados CyberArk ha creado una versión en línea de ‘White Phoenix’, un descifrador de ransomware de código abierto dirigido a operaciones que utilizan cifrado intermitente. Protección de infraestructura crítica: las agencias necesitan mejorar la supervisión de las prácticas de ransomware y evaluar el apoyo federal La mayoría de las agencias federales que lideran y gestionan el riesgo para cuatro sectores críticos (manufactura, energía, atención médica y salud pública, y sistemas de transporte) han evaluado o planean evaluar los riesgos asociados. con ransomware. Pero las agencias no han evaluado completamente el uso de prácticas líderes en ciberseguridad o si el apoyo federal ha mitigado los riesgos de manera efectiva en los sectores. Ransomware Diaries Volumen 4: Ransomed and Exposed – La historia de RansomedVC RansomedVC se destaca como una de las operaciones de ransomware menos convencionales que he investigado. Su liderazgo emplea estratégicamente propaganda, campañas de influencia y tácticas de desinformación para ganar fama y notoriedad dentro de la comunidad criminal. Si bien puedo tener mi evaluación de RansomedVC, no puedo negar la efectividad de sus tácticas. También molestó a muchas personas, incluidos otros delincuentes. El actor de amenazas Trigona Ransomware utiliza Mimic Ransomware El Centro de inteligencia de seguridad de AhnLab (ASEC) ha identificado recientemente una nueva actividad del actor de amenazas Trigona ransomware que instala Mimic ransomware. Al igual que en casos anteriores, el ataque detectado recientemente tiene como objetivo servidores MS-SQL y se destaca por explotar la utilidad Bulk Copy Program (BCP) en servidores MS-SQL durante el proceso de instalación de malware. Ransomware JUGANDO un juego roto El grupo de ransomware Play es uno de los sindicatos de ransomware más exitosos en la actualidad. Todo lo que se necesita es un vistazo rápido con un desensamblador para saber por qué este grupo se ha vuelto infame. Esto se debe a que realizar ingeniería inversa en el malware sería una tarea de Sísifo llena de técnicas antianálisis. Dicho esto, puede resultar sorprendente que el malware se bloquee con bastante frecuencia cuando se ejecuta. En esta publicación de blog, cubriremos algunas de las técnicas antianálisis utilizadas por Play y analizaremos el proceso que utiliza el malware para cifrar unidades de red y cómo eso puede provocar que el malware falle. Nuevo ransomware Silent Anonymous PCrisk encontró un nuevo ransomware llamado Silent Anonymous que agrega la extensión .SILENTATTACK y suelta una nota de rescate llamada Silent_Anon.txt. Nueva variante de ransomware Chaos PCrisk encontró una nueva variante de ransomware Chaos que agrega la extensión .slime. 31 de enero de 2024 Johnson Controls dice que el ataque de ransomware costó 27 millones de dólares y se robaron datos Johnson Controls International ha confirmado que un ataque de ransomware de septiembre de 2023 le costó a la empresa 27 millones de dólares en gastos y provocó una filtración de datos después de que los piratas informáticos robaran datos corporativos. La UE y los Estados Unidos mejoran la cooperación en materia de ciberseguridad. Junto con nuestros socios estadounidenses, estamos actuando con rapidez y ambición para contrarrestar la creciente amenaza de los ciberactores maliciosos en todos los frentes. En primer lugar, con el Plan de Acción Conjunto para Productos Cibernéticos Seguros, ahora trabajaremos juntos de manera concreta para fomentar un mercado transatlántico para productos digitales confiables y promover nuestros altos estándares de ciberseguridad a nivel mundial. Además, asumimos el firme compromiso de que ni las instituciones, órganos y agencias de la UE ni las autoridades gubernamentales nacionales de nuestros Estados miembros pagarán rescates a estos ciberdelincuentes. El Pentágono investiga el robo de archivos confidenciales por parte de un grupo de ransomware El grupo de ransomware ALPHV amenaza con filtrar datos obtenidos de una empresa de servicios de TI de Virginia que tiene contratos con el ejército estadounidense. Ciberataque de diciembre en un hospital comunitario de Chicago reivindicado por la banda LockBit Un ciberataque anunciado recientemente en un gran hospital comunitario en Chicago fue reivindicado por la banda de ransomware LockBit. Nueva variante del ransomware Phobos PCrisk encontró una nueva variante del ransomware Phobos que agrega la extensión .dx31. 2 de febrero de 2024 El administrador del servidor BTC-e acusado de blanquear pagos de rescate y criptomonedas robadas Aliaksandr Klimenka, ciudadano bielorruso y chipriota, ha sido acusado en los EE. UU. por su participación en una operación internacional de lavado de dinero de cibercrimen. La operación Synergia de Interpol derriba 1.300 servidores utilizados para delitos cibernéticos Una operación policial internacional denominada ‘Synergia’ ha derribado más de 1.300 servidores de comando y control utilizados en campañas de ransomware, phishing y malware. Nueva variante del ransomware Dharma PCrisk encontró una nueva variante del ransomware Phobos que agrega la extensión .Mr y suelta una nota de rescate llamada info-MIRROR.txt. ¡Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana! URL de la publicación original: https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-february-2nd-2024-no-honor-among-thieves/

Source link

Blackbaud llegó a un acuerdo con la Comisión Federal de Comercio después de ser acusado de mala seguridad y prácticas imprudentes de retención de datos, lo que provocó un ataque de ransomware en mayo de 2020 y una violación de datos que afectó a millones de personas. Blackbaud es una empresa con sede en EE. UU. que cotiza en NASDAQ con operaciones en varios países y un proveedor de software de gestión de datos de donantes basado en la nube que atiende a organizaciones sin fines de lucro, como organizaciones benéficas, organizaciones educativas y agencias de atención médica. La denuncia de la FTC alega que la empresa “no supervisó los intentos de los piratas informáticos de violar sus redes, no segmentó los datos para evitar que los piratas informáticos accedieran fácilmente a sus redes y bases de datos, no se aseguró de que se eliminaran los datos que ya no eran necesarios, no implementó adecuadamente la autenticación multifactor y no probó, revisar y evaluar sus controles de seguridad” y “permitió a los empleados usar contraseñas predeterminadas, débiles o idénticas para sus cuentas”. Como parte del acuerdo, la FTC ordenó al proveedor de software que mejorara sus medidas de seguridad y se asegurara de eliminar de sus sistemas cualquier dato del cliente que ya no sea necesario. A Blackbaud también se le prohibirá retratar de manera inexacta sus protocolos de seguridad y retención de datos y se le exigirá que cree un programa de seguridad de la información diseñado para rectificar las preocupaciones descritas en la queja de la FTC. Según la orden propuesta, Blackbaud también debe establecer un cronograma de retención de datos que detalle el motivo de la retención de datos personales y especifique el cronograma para su eliminación. Blackbaud también tiene el mandato de notificar de inmediato a la FTC en caso de una violación de datos que requiera informar a las agencias locales, estatales o federales pertinentes. “Las malas prácticas de seguridad y retención de datos de Blackbaud permitieron a un pirata informático obtener datos personales confidenciales sobre millones de consumidores. Las empresas tienen la responsabilidad de proteger los datos que mantienen y eliminar los datos que ya no necesitan”, afirmó Samuel Levine, Director de la Oficina de Protección al Consumidor de la FTC. ​La FTC dice que Blackbaud pagó a la banda de ransomware que robó los datos personales de millones de personas de sus sistemas un rescate de 24 Bitcoin (por un valor de alrededor de 250.000 dólares en ese momento) después de que los atacantes amenazaran con filtrar los datos robados en línea. “Sin embargo, la compañía nunca verificó que el pirata informático realmente haya eliminado los datos robados, según la denuncia”, dijo la FTC el jueves. Blackbaud reveló la violación en julio de 2020 y luego reveló que afectó los datos pertenecientes a más de 13.000 clientes comerciales de Blackbaud y sus clientes de EE. UU., Canadá, el Reino Unido y los Países Bajos, incluida información bancaria, números de seguridad social y credenciales de texto sin formato. También presentó una presentación 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC) en septiembre de 2020, que omitió detalles cruciales sobre el alcance total de la violación y minimizó el riesgo asociado con la información confidencial robada, describiéndola como hipotética. según la SEC. En noviembre de 2020, la empresa ya era demandada en 23 demandas colectivas propuestas relacionadas con la infracción de mayo de 2020 en Estados Unidos y Canadá. Blackbaud acordó pagar 3 millones de dólares en marzo de 2023 para resolver los cargos de la SEC que destacan su falta de divulgación del «impacto total» del ataque de ransomware. En octubre, el proveedor de la nube también acordó pagar 49,5 millones de dólares para resolver una investigación conjunta de varios estados sobre la violación respaldada por fiscales generales de 49 estados de EE. UU. «El hecho de que Blackbaud no transmitiera con precisión el alcance y la gravedad de la violación mantuvo a las víctimas en la ignorancia y les retrasó la posibilidad de tomar medidas protectoras, lo que empeoró aún más la situación», dijeron la presidenta de la FTC, Lina M. Khan, la comisionada Rebecca Kelly Slaughter y el comisionado Álvaro. M. Bedoya en comunicado conjunto. URL de la publicación original: https://www.bleepingcomputer.com/news/security/ftc-orders-blackbaud-to-boost-security-after-massive-data-breach/

Source link