2 de febrero de 2024Sala de prensaCibercrimen/Malware Una operación colaborativa dirigida por INTERPOL contra ataques de phishing, malware bancario y ransomware ha permitido identificar 1.300 direcciones IP y URL sospechosas. El esfuerzo de aplicación de la ley, cuyo nombre en código es Synergia, se llevó a cabo entre septiembre y noviembre de 2023 en un intento de frenar el «crecimiento, escalada y profesionalización del ciberdelito transnacional». En el ejercicio, en el que participaron 60 organismos encargados de hacer cumplir la ley de 55 países miembros, se allanó el camino para la detección de más de 1.300 servidores maliciosos, el 70% de los cuales ya han sido desmantelados en Europa. Las autoridades de Hong Kong y Singapur desactivaron 153 y 86 servidores, respectivamente. Los servidores, así como los dispositivos electrónicos, fueron confiscados tras más de 30 registros domiciliarios. Hasta la fecha se han identificado setenta sospechosos y se ha arrestado a 31 de Europa, Sudán del Sur y Zimbabwe. Group-IB, con sede en Singapur, que también contribuyó a la operación, dijo que identificó «más de 500 direcciones IP que alojan recursos de phishing y más de 1.900 direcciones IP asociadas con ransomware, troyanos y operaciones de malware bancario». La infraestructura fraudulenta estaba alojada en Australia, Canadá, Hong Kong y Singapur, entre otros, y los recursos se distribuían entre más de 200 proveedores de alojamiento web en todo el mundo. «Los resultados de esta operación, logrados gracias a los esfuerzos colectivos de múltiples países y socios, muestran nuestro compromiso inquebrantable con la salvaguardia del espacio digital», afirmó Bernardo Pillot, subdirector de la Dirección de Delitos Cibernéticos de INTERPOL. «Al desmantelar la infraestructura detrás de los ataques de phishing, malware bancario y ransomware, estamos un paso más cerca de proteger nuestros ecosistemas digitales y brindar una experiencia en línea más segura para todos». El acontecimiento llega más de un mes después de que otra operación policial internacional de seis meses de duración denominada HAECHI-IV haya dado lugar al arresto de casi 3.500 personas e incautaciones por valor de 300 millones de dólares en 34 países. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Etiqueta: Filtración de datos Página 5 de 7
02 de febrero de 2024The Hacker NewsInteligencia sobre amenazas / Seguridad en la nube Cloudzy, un destacado proveedor de infraestructura en la nube, anuncia con orgullo una mejora significativa en su panorama de ciberseguridad. Este avance se logró gracias a una consulta reciente con Recorded Future, líder en el suministro de inteligencia sobre amenazas y análisis de ciberseguridad en tiempo real. Esta iniciativa, junto con una revisión de las estrategias de ciberseguridad de Cloudzy, representa un gran paso adelante en nuestro compromiso con la seguridad digital y la integridad de la infraestructura. Mejoras clave en ciberseguridad Inteligencia integral sobre amenazas de Recorded Future Recorded Future proporciona informes de seguridad críticos, destacando posibles violaciones de seguridad y actividades maliciosas. Esta inteligencia sofisticada nos permite actuar con prontitud contra amenazas como ransomware, APT (amenazas persistentes avanzadas), servidores C2 (comando y control), malware y más. Tras una evaluación exhaustiva de estos informes y la confirmación de que las cuentas implicadas efectivamente están realizando actividades ilegales. y no son víctimas, Cloudzy prohíbe sistemáticamente estas cuentas. Además, nuestro sistema está diseñado para reconocer y suspender cualquier intento de estas entidades de acceder a nuestra plataforma utilizando identidades falsas, para garantizar mejor un entorno seguro y confiable. Operaciones refinadas de CloudzPatrol, nuestro sistema avanzado de detección de amenazas CloudzPatrol, un componente clave del marco de seguridad de Cloudzy, se ha actualizado significativamente para mejorar sus capacidades de detección y respuesta a amenazas. Este sistema está diseñado intrincadamente para identificar patrones sospechosos dentro de nuestra infraestructura. Fundamentalmente, la mejora de CloudzPatrol se basa y enriquece con informes de seguridad integrales recibidos de Recorded Future y otros proveedores de ciberseguridad. Al analizar estos informes, CloudzPatrol perfecciona continuamente sus procesos, lo que nos permite detectar y mitigar de forma proactiva los riesgos que plantean las cuentas y máquinas maliciosas. Compromiso con la aplicación ética Al hacer cumplir nuestras medidas de seguridad, actualizamos constantemente nuestra política de uso aceptable para garantizar que nuestras acciones se alineen con los estándares legales y prioricen la seguridad del usuario. Nuestro enfoque es meticulosamente ético y protege la privacidad individual manteniendo estrictos estándares de seguridad. Mantener una plataforma segura y resistente Estos avances marcan la dedicación inquebrantable de Cloudzy para mantener una plataforma segura y resistente para nuestros clientes. Hannan Nozari, director ejecutivo de Cloudzy, enfatiza: «Nuestra implementación de Recorded Future cambia las reglas del juego en nuestra incesante búsqueda de la excelencia en ciberseguridad. Ahora estamos más equipados que nunca para defendernos contra las ciberamenazas y mantener la integridad de nuestros servicios. Fomentamos la colaboración y asociación con organizaciones e individuos que comparten preocupaciones similares sobre ciberseguridad, ya que la ciberseguridad requiere vigilancia y esfuerzo colectivos». Como proveedor de IaaS ágil y centrado en el usuario, Cloudzy ocupa una posición única en el mercado de infraestructura en la nube. Nuestros recientes avances en ciberseguridad, ejemplificados por CloudzPatrol y nuestras colaboraciones estratégicas, refuerzan nuestro compromiso de ofrecer una experiencia en la nube segura, innovadora y personalizada, especialmente en un dominio dominado por corporaciones más grandes. Para obtener más información, comuníquese con: pr@cloudzy.com Acerca de Cloudzy Cloudzy se destaca como un proveedor de infraestructura de nube dinámico y centrado en el usuario, que ofrece soluciones seguras e innovadoras a escala global. Nuestro enfoque está profundamente arraigado en un compromiso con la seguridad del usuario y la integridad de los datos. Como actor receptivo y adaptable de la industria, perfeccionamos continuamente nuestras estrategias de ciberseguridad. Esto incluye forjar colaboraciones estratégicas con expertos en ciberseguridad como Recorded Future, garantizando que nuestros usuarios se beneficien de los más altos estándares de protección digital. En Cloudzy, no nos centramos sólo en la tecnología; Nuestro objetivo es crear una experiencia en la nube más segura y personal para cada uno de nuestros usuarios. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Los actores patrocinados por el estado ruso han organizado ataques de retransmisión de hash de NT LAN Manager (NTLM) v2 a través de varios métodos desde abril de 2022 hasta noviembre de 2023, dirigidos a objetivos de alto valor en todo el mundo. Los ataques, atribuidos a un grupo de hackers «agresivo» llamado APT28, han puesto sus ojos en organizaciones que se ocupan de asuntos exteriores, energía, defensa y transporte, así como en aquellas involucradas con el trabajo, el bienestar social, las finanzas, la paternidad y la ciudad local. concejos. La firma de ciberseguridad Trend Micro evaluó estas intrusiones como un «método rentable de automatizar los intentos de ingresar por la fuerza bruta en las redes» de sus objetivos, señalando que el adversario puede haber comprometido miles de cuentas de correo electrónico a lo largo del tiempo. APT28 también es rastreado por la comunidad de ciberseguridad en general bajo los nombres Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422. El grupo, que se cree que está activo desde al menos 2009, es operado por el servicio de inteligencia militar GRU de Rusia y tiene un historial de orquestar phishing dirigido que contiene archivos adjuntos maliciosos o compromisos web estratégicos para activar las cadenas de infección. En abril de 2023, APT28 estuvo implicado en ataques que aprovecharon fallas ahora reparadas en equipos de red de Cisco para realizar reconocimientos e implementar malware contra objetivos seleccionados. El actor del estado-nación, en diciembre, fue el centro de atención por explotar una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9,8) y WinRAR (CVE-2023-38831, puntuación CVSS: 7,8) para acceder el hash Net-NTLMv2 de un usuario y utilizarlo para organizar un ataque de retransmisión NTLM contra otro servicio para autenticarse como usuario. Se dice que un exploit para CVE-2023-23397 se utilizó para atacar a entidades ucranianas ya en abril de 2022, según un aviso de marzo de 2023 del CERT-EU. También se ha observado que aprovecha señuelos relacionados con la actual guerra entre Israel y Hamas para facilitar la entrega de una puerta trasera personalizada llamada HeadLace, junto con entidades gubernamentales ucranianas y organizaciones polacas que atacan con mensajes de phishing diseñados para desplegar puertas traseras y ladrones de información como OCEANMAP, MASEPIE y GANCHO DE ACERO. Uno de los aspectos importantes de los ataques del actor de amenazas es el intento continuo de mejorar su manual operativo, afinando y modificando sus enfoques para evadir la detección. Esto incluye la adición de capas de anonimización como servicios VPN, Tor, direcciones IP del centro de datos y enrutadores EdgeOS comprometidos para realizar actividades de escaneo y sondeo. Otra táctica consiste en enviar mensajes de phishing desde cuentas de correo electrónico comprometidas a través de Tor o VPN. «Pawn Storm también ha estado utilizando enrutadores EdgeOS para enviar correos electrónicos de phishing, realizar devoluciones de llamadas de exploits CVE-2023-23397 en Outlook y robo de credenciales de proxy en sitios web de phishing», dijeron los investigadores de seguridad Feike Hacquebord y Fernando Merces. «Parte de las actividades posteriores a la explotación del grupo implican la modificación de los permisos de carpeta dentro del buzón de la víctima, lo que lleva a una mayor persistencia», dijeron los investigadores. «Al utilizar las cuentas de correo electrónico de la víctima, es posible realizar movimientos laterales mediante el envío de mensajes de correo electrónico maliciosos adicionales desde dentro de la organización de la víctima». Actualmente no se sabe si los propios actores de la amenaza violaron estos enrutadores o si están utilizando enrutadores que ya fueron comprometidos por un tercero. Dicho esto, se estima que no menos de 100 enrutadores EdgeOS han sido infectados. Además, las recientes campañas de recolección de credenciales contra gobiernos europeos han utilizado páginas de inicio de sesión falsas que imitan a Microsoft Outlook y que están alojadas en un webhook.[.]URL del sitio, un patrón previamente atribuido al grupo. Sin embargo, una campaña de phishing de octubre de 2022 señaló a embajadas y otras entidades de alto perfil para entregar un ladrón de información «simple» a través de correos electrónicos que capturaba archivos que coincidían con extensiones específicas y los exfiltraba a un servicio gratuito para compartir archivos llamado Keep.sh. «El volumen de las campañas repetitivas, a menudo crudas y agresivas, ahoga el silencio, la sutileza y la complejidad de la intrusión inicial, así como las acciones posteriores a la explotación que podrían ocurrir una vez que Pawn Storm consiga un punto de apoyo inicial en las organizaciones víctimas». dijeron los investigadores. El desarrollo se produce cuando Recorded Future News reveló una campaña de piratería en curso llevada a cabo por el actor de amenazas ruso COLDRIVER (también conocido como Calisto, Iron Frontier o Star Blizzard) que se hace pasar por investigadores y académicos para redirigir a posibles víctimas a páginas de recolección de credenciales. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
02 de febrero de 2024Sala de prensaCryptojacking / Malware El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió que más de 2000 computadoras en el país han sido infectadas por una cepa de malware llamada DirtyMoe. La agencia atribuyó la campaña a un actor de amenazas al que llama UAC-0027. DirtyMoe, activo desde al menos 2016, es capaz de llevar a cabo cryptojacking y ataques distribuidos de denegación de servicio (DDoS). En marzo de 2022, la empresa de ciberseguridad Avast reveló la capacidad del malware para propagarse en forma de gusano aprovechando fallas de seguridad conocidas. Se sabe que la botnet DDoS se distribuye mediante otro malware denominado Purple Fox o mediante paquetes de instalación MSI falsos para software popular como Telegram. Purple Fox también está equipado con un rootkit que permite a los actores de amenazas ocultar el malware en la máquina y dificultar su detección y eliminación. Actualmente se desconoce el vector de acceso inicial exacto utilizado en la campaña dirigida a Ucrania. CERT-UA recomienda que las organizaciones mantengan sus sistemas actualizados, apliquen la segmentación de la red y supervisen el tráfico de la red para detectar cualquier actividad anómala. La divulgación se produce cuando Securonix detalló una campaña de phishing en curso conocida como STEADY#URSA dirigida al personal militar ucraniano con el objetivo de ofrecer una puerta trasera PowerShell personalizada denominada SUBTLE-PAWS. «La cadena de explotación es relativamente simple: implica que el objetivo ejecute un archivo de acceso directo malicioso (.lnk) que carga y ejecuta un nuevo código de carga útil de puerta trasera de PowerShell (que se encuentra dentro de otro archivo contenido en el mismo archivo)», investigadores de seguridad Den Iuzvyk, Tim. Peck y Oleg Kolesnikov dijeron. Se dice que el ataque está relacionado con un actor de amenazas conocido como Shuckworm, que también se conoce como Aqua Blizzard (anteriormente Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 y Winterflounder. Activo desde al menos 2013, se considera que forma parte del Servicio Federal de Seguridad (FSB) de Rusia. SUBTLE-PAWS, además de configurar la persistencia en el host, utiliza la plataforma de blogs de Telegram llamada Telegraph para recuperar la información de comando y control (C2), una técnica previamente identificada como asociada con el adversario desde principios de 2023, y que puede propagarse a través de unidades extraíbles conectadas. La capacidad de Gamaredon para propagarse a través de unidades USB también fue documentada por Check Point en noviembre de 2023, que nombró al gusano USB basado en PowerShell LitterDrifter. «La puerta trasera SUBTLE-PAWS utiliza técnicas avanzadas para ejecutar cargas maliciosas de forma dinámica», dijeron los investigadores. «Almacenan y recuperan código PowerShell ejecutable del Registro de Windows, lo que puede ayudar a evadir los métodos tradicionales de detección basados en archivos. Este enfoque también ayuda a mantener la persistencia en el sistema infectado, ya que el malware puede iniciarse nuevamente después de reinicios u otras interrupciones». ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
02 de febrero de 2024Sala de prensaSeguridad nacional/violación de datos Un ex ingeniero de software de la Agencia Central de Inteligencia (CIA) de EE. UU. ha sido condenado a 40 años de prisión por el Distrito Sur de Nueva York (SDNY) por transmitir documentos clasificados a WikiLeaks y por posesión de material pornográfico infantil. Joshua Adam Schulte, de 35 años, fue acusado originalmente en junio de 2018. Fue declarado culpable en julio de 2022. El 13 de septiembre de 2023, fue declarado culpable de recibir, poseer y transportar pornografía infantil. Además de la pena de prisión, Schulte ha sido condenado a cadena perpetua en libertad supervisada. «El robo de Schulte es la mayor violación de datos en la historia de la CIA, y su transmisión de esa información robada a WikiLeaks es una de las mayores revelaciones no autorizadas de información clasificada en la historia de Estados Unidos», dijo el Departamento de Justicia (DoJ) de Estados Unidos. dicho. La información confidencial compartida por Schulte incluía un tramo de herramientas de piratería y exploits denominados Vault 7 y Vault 8. Fue publicado por WikiLeaks a partir del 7 de marzo de 2017, durante un período de ocho meses. Schulte trabajó como desarrollador de software en el Centro de Inteligencia Cibernética (CCI) de 2012 a 2016, donde trabajó en herramientas relacionadas con operaciones cibernéticas ofensivas realizadas por la CIA, y posteriormente abusó de sus privilegios de administrador para saquear «copias de toda la herramienta CCI». archivos de desarrollo» en 2016. Esta información incluía métodos para «recopilar inteligencia extranjera contra los adversarios de Estados Unidos», incluido un arsenal de armas cibernéticas y exploits de día cero que hicieron posible comprometer automóviles, televisores inteligentes, navegadores web y computadoras de escritorio ampliamente utilizadas. y sistemas operativos móviles. La filtración, descrita como un «Pearl Harbor digital», costó a la agencia «cientos de millones de dólares» y «perjudicó gravemente la seguridad nacional de Estados Unidos y arriesgó directamente la vida del personal de la CIA», dijeron los fiscales. Schulte también fue acusado de mentir repetidamente a la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre su participación, así como de «tejer narrativas falsas» sobre cómo la información podría haberse obtenido de las computadoras de la CIA en un intento de desviar sospechas. Una búsqueda posterior en su departamento de Nueva York en marzo de 2017 descubrió una reserva de material de abuso sexual infantil (CSAM, por sus siglas en inglés) que abarca aproximadamente 3,400 imágenes y videos, algunos de los cuales fueron recopilados durante su empleo con la CIA en la web oscura y sitios web rusos. Durante su detención en espera de juicio, se descubrió que había utilizado teléfonos celulares de contrabando en la cárcel para crear cuentas anónimas y cifradas de correo electrónico y de redes sociales, e intentó transmitir materiales de descubrimiento protegidos a WikiLeaks y publicar información clasificada sobre técnicas y herramientas cibernéticas de la CIA. El objetivo de Schulte, dijo el Departamento de Justicia, citando un diario escrito por él, era «romper relaciones diplomáticas, cerrar embajadas, [and] poner fin a la ocupación estadounidense en todo el mundo». «Joshua Schulte fue justamente castigado no sólo por su traición a nuestro país, sino también por su posesión sustancial de horrible material pornográfico infantil», dijo el subdirector a cargo del FBI, James Smith. «La gravedad de sus acciones es evidente, y la sentencia impuesta refleja la magnitud de la amenaza inquietante y dañina que representa su conducta criminal». ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
02 de febrero de 2024Sala de prensaViolación de datos/Seguridad en la nube Cloudflare ha revelado que fue el objetivo de un probable ataque de estado-nación en el que el actor de amenazas aprovechó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y a una cantidad limitada. cantidad de código fuente. La intrusión, que tuvo lugar entre el 14 y el 24 de noviembre de 2023 y fue detectada el 23 de noviembre, se llevó a cabo «con el objetivo de obtener un acceso persistente y generalizado a la red global de Cloudflare», dijo la empresa de infraestructura web, describiendo al actor como » sofisticado» y alguien que «operaba de manera reflexiva y metódica». Como medida de precaución, la compañía dijo además que rotó más de 5.000 credenciales de producción, sistemas de prueba y preparación segmentados físicamente, llevó a cabo clasificaciones forenses en 4.893 sistemas, volvió a crear imágenes y reinició todas las máquinas en su red global. El incidente implicó un período de reconocimiento de cuatro días para acceder a los portales Atlassian Confluence y Jira, tras lo cual el adversario creó una cuenta de usuario maliciosa de Atlassian y estableció un acceso persistente a su servidor Atlassian para finalmente obtener acceso a su sistema de gestión de código fuente Bitbucket mediante el Marco de simulación de adversario plateado. Se visitaron hasta 120 repositorios de código, de los cuales se estima que 76 fueron extraídos por el atacante. «Los 76 repositorios de código fuente estaban casi todos relacionados con cómo funcionan las copias de seguridad, cómo se configura y administra la red global, cómo funciona la identidad en Cloudflare, el acceso remoto y nuestro uso de Terraform y Kubernetes», dijo Cloudflare. «Un pequeño número de repositorios contenían secretos cifrados que se rotaban inmediatamente a pesar de que ellos mismos estaban fuertemente cifrados». Luego se dice que el actor de amenazas intentó sin éxito «acceder a un servidor de consola que tenía acceso al centro de datos que Cloudflare aún no había puesto en producción en São Paulo, Brasil». El ataque se logró utilizando un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet que fueron robados luego del hackeo en octubre de 2023 del sistema de gestión de casos de soporte de Okta. Cloudflare reconoció que no había rotado estas credenciales, asumiendo erróneamente que no estaban en uso. La compañía también dijo que tomó medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2024. También involucró a la firma de ciberseguridad CrowdStrike para realizar una evaluación independiente del incidente. «Los únicos sistemas de producción a los que el actor de amenazas pudo acceder utilizando las credenciales robadas fue nuestro entorno Atlassian. Al analizar las páginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de código fuente, parece que estaban buscando información sobre la arquitectura, la seguridad y la gestión. de nuestra red global», afirmó Cloudflare. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
23 de enero de 2024The Hacker NewsCiberseguridad/Seguridad de servidores A medida que entramos en 2024, Gcore ha publicado su último informe Gcore Radar, una publicación semestral en la que la empresa publica análisis internos para rastrear ataques DDoS. La amplia red de centros de depuración distribuida internacionalmente de Gcore les permite seguir las tendencias de los ataques a lo largo del tiempo. Continúe leyendo para conocer las tendencias de los ataques DDoS para el tercer y cuarto trimestre de 2023 y lo que significan para desarrollar una estrategia de protección sólida en 2024. Hallazgos clave de Gcore Las tendencias de los ataques DDoS para la segunda mitad de 2023 revelan desarrollos alarmantes en la escala y la sofisticación de las ciberamenazas. . Poder de ataque sin precedentes Los últimos tres años han provocado un aumento anual >100 % en el volumen máximo de ataques DDoS (máximo registrado): en 2021, la capacidad máxima de ataques DDoS fue de 300 Gbps. En 2022, aumentó a 650 Gbps en el primer y segundo trimestre. En 2023, aumentó nuevamente a 800 Gbps. En el tercer y cuarto trimestre de 2023, aumentó a 1600 Gbps (1,6 Tbps). En particular, el salto en el segundo semestre de 2023 significa que la industria de la ciberseguridad está midiendo los ataques DDoS en una nueva unidad, los Terabits. Poder máximo de ataque en 2021-2023 en Gbps Esto ilustra una escalada significativa y continua en el daño potencial de los ataques DDoS, una tendencia que Gcore espera que continúe en 2024. Duración del ataque Gcore vio duraciones de ataques que variaron de tres minutos a nueve horas, con un promedio de aproximadamente una hora. Por lo general, los ataques cortos son más difíciles de detectar, ya que no permiten un análisis de tráfico adecuado debido a la escasez de datos y, dado que son más difíciles de reconocer, también son más difíciles de mitigar. Los ataques más prolongados requieren más recursos para combatir, lo que requiere una poderosa respuesta de mitigación; de lo contrario, el riesgo es una indisponibilidad prolongada del servidor. El ataque más largo registrado por Gcore duró nueve horas. Tipos de ataques predominantes Las inundaciones UDP siguen dominando y constituyen el 62% de los ataques DDoS. Las inundaciones TCP y los ataques ICMP también siguen siendo populares con un 16% y un 12% del total, respectivamente. Todos los demás tipos de ataques DDoS, incluidos SYN, SYN+ACK Flood y RST Flood, representaron apenas el 10% combinados. Si bien algunos atacantes pueden utilizar estos enfoques más sofisticados, la mayoría todavía se concentra en entregar un gran volumen de paquetes para derribar servidores. Tipos de ataques dominantes en el segundo semestre de 2023 La variación en los métodos de ataque requiere una estrategia de defensa multifacética que pueda proteger contra una variedad de técnicas DDoS. Fuentes de ataques globales Esta propagación global de fuentes de ataques demuestra la naturaleza sin fronteras de las amenazas cibernéticas, donde los atacantes operan a través de fronteras nacionales. Gcore identificó diversos orígenes de ataques en la segunda mitad de 2023, con Estados Unidos a la cabeza con un 24%. Indonesia (17%), Países Bajos (12%), Tailandia (10%), Colombia (8%), Rusia (8%), Ucrania (5%), México (3%), Alemania (2%), y Brasil (2%) figura entre los diez primeros, lo que ilustra una amenaza global generalizada. Distribución geográfica de las fuentes de ataque La distribución geográfica de las fuentes de ataque DDoS proporciona información importante para crear estrategias de defensa específicas y para dar forma a la formulación de políticas internacionales destinadas a combatir el delito cibernético. Sin embargo, determinar la ubicación del atacante es un desafío debido al uso de técnicas como la suplantación de IP y la participación de botnets distribuidas. Esto dificulta evaluar las motivaciones y capacidades, que pueden variar desde acciones patrocinadas por el Estado hasta piratas informáticos individuales. Industrias objetivo Las industrias más atacadas en el segundo semestre de 2023 destacan el impacto de los ataques DDoS en diversos sectores: la industria del juego sigue siendo la más afectada y sufre el 46% de los ataques. El sector financiero, incluidos los bancos y los servicios de juegos de azar, quedó en segundo lugar con un 22%. Los proveedores de telecomunicaciones (18%), infraestructura como servicio (IaaS) (7%) y empresas de software (3%) también fueron un objetivo importante. Ataques DDoS por industria afectada Desde el informe anterior de Gcore Radar, los atacantes no han cambiado su enfoque: los sectores de juegos y financiero son particularmente interesantes para los atacantes, probablemente debido a sus ganancias financieras y su impacto en los usuarios. Esto subraya la necesidad de estrategias de ciberseguridad específicas en las industrias más afectadas, como contramedidas para servidores de juegos específicos. Análisis Los datos de la segunda mitad de 2023 destacan una tendencia preocupante en el panorama de los ataques DDoS. El aumento del poder de ataque a 1,6 Tbps es particularmente alarmante y señala un nuevo nivel de amenaza para el cual las organizaciones deben prepararse. A modo de comparación, incluso un «humilde» ataque de 300 Gbps es capaz de desactivar un servidor desprotegido. Junto con la distribución geográfica de las fuentes de ataque, está claro que las amenazas DDoS son un problema grave y global, que requiere cooperación internacional e intercambio de inteligencia para mitigar ataques potencialmente devastadores de manera efectiva. La variedad en la duración de los ataques sugiere que los atacantes se están volviendo más estratégicos, adaptando sus enfoques a objetivos y objetivos específicos: en el sector de los juegos, por ejemplo, los ataques son relativamente bajos en potencia y duración, pero más frecuentes, causando repetidas interrupciones en un servidor específico con el objetivo de interrumpir la experiencia del jugador para obligarlo a cambiar al servidor de un competidor. Para los sectores financiero y de telecomunicaciones, donde el impacto económico es más inmediato, los ataques suelen ser de mayor volumen y su duración es muy variable. El ataque continuo a los sectores de juegos, finanzas, telecomunicaciones e IaaS refleja la elección estratégica de los atacantes de elegir servicios cuya interrupción tiene un impacto económico y operativo significativo. Conclusión El informe de Gcore Radar correspondiente al tercer y cuarto trimestre de 2023 sirve como un recordatorio oportuno de la naturaleza en constante evolución de las ciberamenazas. Las organizaciones de todos los sectores deben invertir en medidas de ciberseguridad integrales y adaptables. Para mantenerse a la vanguardia de las amenazas DDoS se requiere una profunda comprensión de los patrones y estrategias cambiantes de los ciberatacantes. Gcore DDoS Protection tiene un historial comprobado de repeler incluso los ataques más poderosos y sostenidos. Conecte Gcore DDoS Protection para proteger su empresa de lo que traiga el panorama DDoS de 2024. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
23 de enero de 2024Sala de prensaSe ha observado que software descifrado de malware/criptomonedas infecta a los usuarios de Apple macOS con un malware ladrón no documentado previamente capaz de recopilar información del sistema y datos de billeteras de criptomonedas. Kaspersky, que identificó los artefactos en la naturaleza, dijo que están diseñados para apuntar a máquinas que ejecutan macOS Ventura 13.6 y posteriores, lo que indica la capacidad del malware para infectar Mac con arquitecturas de procesadores de silicio Intel y Apple. Las cadenas de ataque aprovechan archivos de imagen de disco (DMG) con trampas explosivas que incluyen un programa llamado «Activador» y una versión pirateada de software legítimo como xScope. Se insta a los usuarios que terminen abriendo los archivos DMG a mover ambos archivos a la carpeta Aplicaciones y ejecutar el componente Activador para aplicar un supuesto parche y ejecutar la aplicación xScope. Sin embargo, al iniciar Activator, se muestra un mensaje que solicita a la víctima que ingrese la contraseña del administrador del sistema, lo que le permite ejecutar un binario Mach-O con permisos elevados para iniciar el ejecutable xScope modificado. «El truco era que los actores maliciosos habían tomado versiones de la aplicación previamente descifradas y habían agregado unos pocos bytes al comienzo del ejecutable, deshabilitándolo para que el usuario iniciara Activator», dijo el investigador de seguridad Sergey Puzan. La siguiente etapa implica establecer contacto con un servidor de comando y control (C2) para recuperar un script cifrado. La URL C2, por su parte, se construye combinando palabras de dos listas codificadas y agregando una secuencia aleatoria de cinco letras como un nombre de dominio de tercer nivel. Luego se envía una solicitud de DNS para este dominio para recuperar tres registros TXT de DNS, cada uno de los cuales contiene un fragmento de texto cifrado codificado en Base64 que se descifra y ensambla para construir un script de Python, que, a su vez, establece persistencia y funciona como un descargador al comunicarse con a «salud de manzana[.]org» cada 30 segundos para descargar y ejecutar la carga útil principal. «Esta era una forma bastante interesante e inusual de contactar a un servidor de comando y control y ocultar la actividad dentro del tráfico, y garantizaba la descarga de la carga útil, ya que el mensaje de respuesta provenía de el servidor DNS», explicó Puzan, describiéndolo como «realmente ingenioso». La puerta trasera, mantenida y actualizada activamente por el actor de la amenaza, está diseñada para ejecutar comandos recibidos, recopilar metadatos del sistema y verificar la presencia de billeteras Exodus y Bitcoin Core. en el host infectado. Si se encuentran, las aplicaciones se reemplazan por versiones troyanizadas descargadas del dominio «apple-analyser[.]com» que están equipados para filtrar la frase inicial, la contraseña de desbloqueo de la billetera, el nombre y el saldo a un servidor controlado por el actor. «La carga útil final fue una puerta trasera que podía ejecutar cualquier script con privilegios de administrador y reemplazar la billetera criptográfica Bitcoin Core y Exodus. aplicaciones instaladas en la máquina con versiones infectadas que robaban frases secretas de recuperación en el momento en que se desbloqueaba la billetera», dijo Puzan. El desarrollo se produce cuando el software crackeado se está convirtiendo cada vez más en un conducto para comprometer a los usuarios de macOS con una variedad de malware, incluyendo Trojan-Proxy y ZuRu. ¿Te ha parecido interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
01 de febrero de 2024Sala de prensaCriptomonedas/Botnet Investigadores de ciberseguridad han detallado una versión actualizada del malware HeadCrab que se sabe que se dirige a los servidores de bases de datos de Redis en todo el mundo desde principios de septiembre de 2021. El desarrollo, que se produce exactamente un año después de que el malware se revelara públicamente por primera vez. por Aqua, es una señal de que el actor de amenazas motivado financieramente detrás de la campaña está adaptando y refinando activamente sus tácticas y técnicas para mantenerse a la vanguardia de la curva de detección. La firma de seguridad en la nube dijo que «la campaña casi ha duplicado el número de servidores Redis infectados», con 1.100 servidores comprometidos adicionales, frente a los 1.200 reportados a principios de 2023. HeadCrab está diseñado para infiltrarse en servidores Redis expuestos a Internet y disputarlos. en una botnet para extraer criptomonedas ilícitamente, al mismo tiempo que aprovecha el acceso de una manera que permite al actor de la amenaza ejecutar comandos de shell, cargar módulos del kernel sin archivos y filtrar datos a un servidor remoto. Si bien actualmente se desconocen los orígenes del actor de la amenaza, es importante señalar en un «mini blog» integrado en el malware que la actividad minera es «legal en mi país» y que lo hacen porque «casi no». No daña la vida ni los sentimientos humanos (si se hace correctamente)». El operador, sin embargo, reconoce que es una «forma parasitaria e ineficiente» de ganar dinero, añadiendo que su objetivo es ganar 15.000 dólares al año. «Un aspecto integral de la sofisticación de HeadCrab 2.0 radica en sus avanzadas técnicas de evasión», dijeron los investigadores de Aqua Asaf Eitani y Nitzan Yaakov. «A diferencia de su predecesor (llamado HeadCrab 1.0), esta nueva versión emplea un mecanismo de carga sin archivos, lo que demuestra el compromiso del atacante con el sigilo y la persistencia». Vale la pena señalar que la iteración anterior utilizó el comando SLAVEOF para descargar y guardar el archivo de malware HeadCrab en el disco, dejando así rastros de artefactos en el sistema de archivos. HeadCrab 2.0, por otro lado, recibe el contenido del malware a través del canal de comunicación Redis y lo almacena en una ubicación sin archivos en un intento por minimizar el rastro forense y hacerlo mucho más difícil de detectar. También se ha cambiado en la nueva variante el uso del comando Redis MGET para comunicaciones de comando y control (C2) para mayor ocultación. «Al conectarse a este comando estándar, el malware obtiene la capacidad de controlarlo durante solicitudes específicas iniciadas por el atacante», dijeron los investigadores. «Esas solicitudes se logran enviando una cadena especial como argumento al comando MGET. Cuando se detecta esta cadena específica, el malware reconoce que el comando se origina en el atacante, lo que desencadena la comunicación maliciosa C2». Al describir HeadCrab 2.0 como una escalada en la sofisticación del malware Redis, Aqua dijo que su capacidad para enmascarar sus actividades maliciosas bajo la apariencia de comandos legítimos plantea nuevos problemas de detección. «Esta evolución subraya la necesidad de investigación y desarrollo continuos en herramientas y prácticas de seguridad», concluyeron los investigadores. «La participación del atacante y la posterior evolución del malware resaltan la necesidad crítica de un monitoreo atento y recopilación de inteligencia». ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
¿Cómo va su programa de gestión de vulnerabilidades? ¿Es efectivo? ¿Un éxito? Seamos honestos, sin las métricas o análisis correctos, ¿cómo puedes saber qué tan bien lo estás haciendo, progresando o si estás obteniendo retorno de la inversión? Si no estás midiendo, ¿cómo sabes que está funcionando? E incluso si está midiendo, generar informes defectuosos o centrarse en métricas equivocadas puede crear puntos ciegos y dificultar la comunicación de cualquier riesgo al resto de la empresa. Entonces, ¿cómo sabes en qué concentrarte? Higiene cibernética, cobertura de escaneo, tiempo promedio de reparación, gravedad de la vulnerabilidad, tasas de remediación, exposición a la vulnerabilidad… la lista es interminable. Cada herramienta del mercado ofrece diferentes métricas, por lo que puede resultar difícil saber qué es importante. Este artículo le ayudará a identificar y definir las métricas clave que necesita para realizar un seguimiento del estado de su programa de gestión de vulnerabilidades, el progreso que ha realizado, para que pueda crear informes listos para auditoría que: Demuestren su postura de seguridad Cumplan con los SLA de corrección de vulnerabilidades y puntos de referencia Ayude a aprobar auditorías y cumplimiento Demuestre el retorno de la inversión en herramientas de seguridad Simplifique el análisis de riesgos Priorice la asignación de recursos Por qué necesita medir la gestión de vulnerabilidades Las métricas desempeñan un papel fundamental a la hora de medir la eficacia de su gestión de vulnerabilidades y superficies de ataque. Medir la rapidez con la que encuentra, prioriza y corrige fallas significa que puede monitorear y optimizar continuamente su seguridad. Con los análisis adecuados, puede ver qué problemas son más críticos, priorizar qué solucionar primero y medir el progreso de sus esfuerzos. En última instancia, las métricas correctas le permiten tomar decisiones adecuadamente informadas, de modo que esté asignando los recursos a los lugares correctos. La cantidad de vulnerabilidades encontradas es siempre un buen punto de partida, pero no dice mucho de forma aislada: sin priorización, asesoramiento y progreso, ¿por dónde empezar? Encontrar, priorizar y solucionar sus vulnerabilidades más críticas es mucho más importante para sus operaciones comerciales y la seguridad de sus datos que simplemente encontrar todas las vulnerabilidades. La priorización inteligente y el filtrado del ruido son importantes porque pasar por alto amenazas de seguridad genuinas es muy fácil cuando estás abrumado por información no esencial. Los resultados inteligentes facilitan su trabajo al priorizar los problemas que tienen un impacto real en su seguridad, sin sobrecargarlo con debilidades irrelevantes. Por ejemplo, sus sistemas conectados a Internet son los objetivos más fáciles para los piratas informáticos. Dar prioridad a los problemas que lo dejan expuesto hace que sea más fácil minimizar la superficie de ataque. Herramientas como Intruder facilitan la gestión de vulnerabilidades incluso para los no expertos, al explicar los riesgos reales y brindar consejos de solución en un lenguaje fácil de entender. Pero más allá de la priorización, ¿qué más debería o podría medir? Un ejemplo del informe de gestión de vulnerabilidades de Intruder, página 5, métricas principales para cada programa de gestión de vulnerabilidades. Cobertura de escaneo ¿Qué está rastreando y escaneando? La cobertura de escaneo incluye todos los activos que está cubriendo y análisis de todos los activos y aplicaciones críticos para el negocio, y el tipo de autenticación ofrecida (por ejemplo, basada en nombre de usuario y contraseña, o no autenticada). A medida que su superficie de ataque evoluciona, cambia y crece con el tiempo, es importante monitorear cualquier cambio en lo que está cubierto y en su entorno de TI, como los puertos y servicios abiertos recientemente. Un escáner moderno detectará implementaciones que quizás no conocía y evitará que sus datos confidenciales queden expuestos inadvertidamente. También debe monitorear sus sistemas en la nube para detectar cambios, descubrir nuevos activos y sincronizar automáticamente sus IP o nombres de host con integraciones en la nube. Tiempo promedio para corregir El tiempo que le toma a su equipo corregir sus vulnerabilidades críticas revela qué tan receptivo es su equipo al reaccionar a los resultados de cualquier vulnerabilidad reportada. Esto debería ser constantemente bajo, ya que el equipo de seguridad es responsable de resolver los problemas y transmitir el mensaje y los planes de acción para la remediación a la gerencia. También debe basarse en su SLA predefinido. La gravedad de la vulnerabilidad debe tener un período de tiempo relativo o absoluto correspondiente para la planificación y remediación. Puntuación de riesgo El escáner calcula automáticamente la gravedad de cada problema, normalmente Crítico, Alto o Medio. Si decide no parchear un grupo o un específico de vulnerabilidades dentro de un período de tiempo específico, esto es una aceptación del riesgo. Con Intruder puedes posponer un problema si estás dispuesto a aceptar el riesgo y existen factores atenuantes. Por ejemplo, cuando se está preparando para una auditoría SOC2 o ISO y puede ver un riesgo crítico, es posible que esté dispuesto a aceptarlo porque el recurso necesario para solucionarlo no está justificado por el nivel real de riesgo o el impacto potencial en el negocio. Por supuesto, cuando se trata de informes, es posible que su CTO quiera saber cuántos problemas se están posponiendo y por qué. Problemas Este es el punto desde que una vulnerabilidad se hace pública hasta haber escaneado todos los objetivos y detectar cualquier problema. Esencialmente, qué tan rápido se detectan las vulnerabilidades en su superficie de ataque, para poder corregirlas y reducir la ventana de oportunidad para un atacante. ¿Qué significa esto en la práctica? Si su superficie de ataque aumenta, es posible que le lleve más tiempo escanear todo de forma exhaustiva y que su tiempo medio de detección también pueda aumentar. Por el contrario, si su tiempo medio de detección se mantiene estable o disminuye, está utilizando sus recursos de manera efectiva. Si empiezas a ver lo contrario, deberías preguntarte ¿por qué tardas más en detectar las cosas? Y si la respuesta es que la superficie de ataque se ha disparado, tal vez necesite invertir más en sus herramientas y equipo de seguridad. Medir el progreso La priorización (o resultados inteligentes) es importante para ayudarle a decidir qué solucionar primero, debido a su posible impacto en su negocio. El intruso filtra el ruido y ayuda a reducir los falsos positivos, que es una métrica clave a seguir porque una vez que se reduce la cantidad de ruido, puede retroceder y concentrarse en la métrica más importante: el tiempo promedio para solucionarlo. ¿Porque es esto importante? Porque cuando encuentra un problema, desea poder solucionarlo lo más rápido posible. Herramientas como Intruder utilizan múltiples motores de escaneo para interpretar el resultado y priorizar los resultados según el contexto, para que pueda ahorrar tiempo y concentrarse en lo que realmente importa. Cuando se identifica una nueva vulnerabilidad que podría afectar críticamente sus sistemas, Intruder iniciará automáticamente un escaneo. Monitoreo de la superficie de ataque. Esto le ayuda a ver el porcentaje de activos que están protegidos en su superficie de ataque, descubiertos o no descubiertos. A medida que su equipo crea nuevas aplicaciones, el escáner de vulnerabilidades debe verificar cuándo está expuesto un nuevo servicio, para que pueda evitar que los datos queden expuestos sin darse cuenta. Los escáneres modernos monitorean sus sistemas en la nube en busca de cambios, encuentran nuevos activos y sincronizan sus IP o nombres de host con sus integraciones. ¿Porque es esto importante? Su superficie de ataque inevitablemente evolucionará con el tiempo, desde puertos abiertos hasta la creación de nuevas instancias en la nube; debe monitorear estos cambios para minimizar su exposición. Ahí es donde entra en juego nuestro descubrimiento de superficie de ataque. La cantidad de nuevos servicios descubiertos durante el período de tiempo especificado le ayuda a comprender si su superficie de ataque está creciendo (ya sea intencionalmente o no). Por qué son importantes estas métricas Las herramientas modernas de gestión de superficies de ataque como Intruder miden lo que más importa. Ayudan a proporcionar informes para las partes interesadas y el cumplimiento de las vulnerabilidades priorizadas e integraciones con sus herramientas de seguimiento de problemas. Puede ver qué es vulnerable y obtener las prioridades, soluciones, conocimientos y automatización exactos que necesita para gestionar su riesgo cibernético. Si quieres ver Intruder en acción puedes solicitar una demo o probarlo gratis durante 14 días. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.