Muy bien, hora de confesarse. No uso mi radioaficionado portátil para mucho más que escuchar a escondidas al despachador del metro cuando mi tren se detiene misteriosamente en un túnel oscuro. Pero ni siquiera yo pude evitar escuchar los rumores que rodean a una nueva computadora de mano, la UV-K5 de Quansheng. Me llamó la atención en parte porque durante más de una década, Baofeng ha sido el nombre de las computadoras de mano chinas. En 2012, Baofeng causó sensación con su radio UV-5R, revolucionando el adormecido mercado de los transceptores portátiles. Antes del 5R, el precio del dispositivo portátil VHF/UHF más barato era un poco superior a los 100 dólares estadounidenses. El 5R se vendió por entre un cuarto y un tercio de esa cifra. Hams se quejó del rendimiento mediocre técnico del 5R y luego compró un par de todos modos, para tener siempre una radio en su automóvil o lugar de trabajo. Ahora es Quansheng el que está causando sensación. El UV-K5, lanzado el año pasado, podría ser el dispositivo portátil más pirateable jamás creado, con un pequeño ejército de radioaficionados dedicados que añaden una serie de mejoras basadas en software y nuevas funciones. Tenía que tener uno, y después de 30 dólares lo tuve. Al igual que el 5R de Baofeng, el K5 de Quansheng como transceptor de radio está bien. (Estoy usando K5 aquí para referirme tanto al K5 original como al nuevo modelo K5(8).) La distinción técnica clave entre el 5R y el K5 es una elección de diseño aparentemente menor. Con el 5R de Baofeng, el firmware reside en la memoria de sólo lectura. Pero Quansheng almacena el firmware del K5 en la memoria flash y hace posible reescribir esa memoria con el mismo cable de programación USB utilizado para asignar frecuencias a canales preestablecidos. Esta característica ha abierto la puerta a mejoras en el K5 que van mucho más allá de lo que ofrece Quansheng. De la caja. Con suerte, este diseño inspirará a otros fabricantes de radio a ofrecer más soporte a los modders, lo que a su vez traerá más innovación a las bandas de radio VHF y UHF. Quansheng probablemente pensó en su diseño únicamente en términos de corregir errores de software o ajustarse a cambios regulatorios: ofrece una herramienta de instalación gratuita para cargar versiones de firmware oficiales a la radio. Pero la perspectiva de una radio actualizable planteaba una tentación irresistible para que la gente comenzara a realizar ingeniería inversa en el firmware y el hardware para poder intentar escribir su propio código. Las modificaciones hasta la fecha generalmente han tomado la forma de parches al firmware oficial, en lugar de reescrituras al por mayor. Dado que el firmware oficial ocupa la mayor parte de los 64 kilobytes de memoria flash de la radio, dichas modificaciones deben caber en menos de 3 KB. Y la CPU no está repleta de potencia informática: es un procesador basado en ARM de 32 bits y 48 megahercios con 8 KB de RAM. No obstante, los resultados me parecieron impresionantes. Por ejemplo, un mod instala un analizador de espectro gráfico bastante sofisticado: puede ajustar el ancho de banda, establecer un umbral para sintonizar automáticamente los picos detectados y especificar frecuencias a ignorar, entre otras cosas. Otro mod te permite intercambiar mensajes de texto entre K5. Otras modificaciones mejoran la capacidad del K5 para recibir señales AM, lo que significa que puedes, por ejemplo, escuchar bandas de aviación con mayor claridad. Y hay muchas pequeñas modificaciones divertidas que hacen cosas como cambiar las fuentes del sistema o reemplazar el mensaje de inicio con una imagen lineal de su elección. El firmware actualizable presentaba una tentación irresistible para que la gente comenzara a realizar ingeniería inversa… Instalar muchas de Estas modificaciones son ridículamente fáciles. Normalmente, en este punto de un artículo práctico que involucra piratear algunos dispositivos electrónicos de consumo, las cosas se vuelven bastante heroicas cuando juego con el hardware o desentraño un enigma de instalación de software. Pero esta vez no. Un modder conocido como whosmatt ha creado un parche/actualizador basado en la web para el K5 que le permite elegir una selección de modificaciones de un menú. Luego los combina con el firmware oficial para crear una imagen personalizada para cargar (siempre que no excedas la cantidad total de memoria). De hecho, si estás usando Chrome, Edge u Opera, no Incluso es necesario utilizar el instalador de Quansheng para cargar el firmware: puede actualizar la memoria flash de la radio directamente desde el navegador a través de la API Web Serial incorporada y el cable de programación USB. (Las instrucciones dicen que esto funcionará sólo en Linux y Windows, pero también pude hacerlo usando una Mac). Sin embargo, a Web Serial le vendría bien un mejor manejo de errores. El primer cable de programación USB que utilicé era un poco defectuoso, pero mientras el instalador de Quansheng se detenía y señalaba un error de comunicación con una carga fallida, Web Serial fallaba silenciosamente y se llevaba consigo todo el sistema operativo Windows. Hay incluso más modificaciones de K5 disponibles que las que hay en el parche en línea de Whosmatt. Si quieres jugar con ellos o empezar a escribir tus propios mods, existen cadenas de herramientas basadas en Python para ayudarte. Este diagrama de bloques del UV-K5 se basa en el trabajo de Phil McAllen. Los radioaficionados han realizado ingeniería inversa en muchos detalles del hardware y software de la radio. James Provost Por supuesto, permitir la modificación sin restricciones del transceptor del K5 plantea la posibilidad de abuso. Por ejemplo, el firmware Quansheng bloquea la transmisión en la banda de aviación para evitar interferencias ilegales y peligrosas. Pero este bloqueo se puede eliminar con un parche (aunque para ser una amenaza importante, probablemente necesitarías un amplificador para aumentar la señal de 5 vatios del K5). Sin embargo, los radioaficionados siempre han tenido la capacidad de comportarse mal, con o sin firmware. bloques. Dichos bloqueos son convenientes para protegerse contra abusos accidentales, pero la verdad es que a menos que las señales problemáticas sean lo suficientemente persistentes como para permitir que se triangule la ubicación de un transmisor, la radioafición debe seguir dependiendo de un sistema de honor, ya sea que eso signifique no interferir el televisor de un vecino o transmitir en frecuencias prohibidas. Muchos de los usos más interesantes de la radioafición hoy en día implican el procesamiento digital, y ese procesamiento normalmente se realiza utilizando una computadora conectada a un transceptor. Con controladores integrados cada vez más potentes, la escena de modificación del K5 apunta hacia un futuro en el que se realizará más procesamiento en la radio y en el que se podrán agregar nuevas funciones de la misma manera que se agregan aplicaciones a los teléfonos inteligentes. ¡Esperamos que los fabricantes adopten ese futuro!
Source link
Etiqueta: Hackear
MSI acaba de sufrir un ataque masivo de ransomware, pero aún peor: ¡perdió una tonelada de datos críticos a manos de los piratas informáticos! ¡MSI afectada por un ataque de ransomware + robo de datos! El 7 de abril de 2023, MSI (Micro-Star International) sufrió un ataque de ransomware en el que los piratas informáticos supuestamente extrajeron 1,5 terabytes de códigos fuente, firmware BIOS, claves privadas y otros datos de sus servidores. En su conciso documento regulatorio ante la Bolsa de Valores de Taiwán (TWSE), MSI admitió que fue pirateado, pero no detalló las circunstancias o la naturaleza del ataque. Después de detectar algunos sistemas de información siendo atacados por piratas informáticos, el departamento de TI de MSI ha iniciado un mecanismo de defensa de seguridad de la información y procedimientos de recuperación. La Compañía también ha informado de la anomalía a las autoridades gubernamentales pertinentes. MSI afirmó que el ataque había “[no] impacto significativo en nuestro negocio en términos financieros y operativos actualmente”, pero dijo que estaba “mejorando las medidas de control de seguridad de la información de su red e infraestructura para garantizar la seguridad de los datos”. En una declaración pública, MSI también instó a los usuarios a obtener actualizaciones de firmware/BIOS únicamente de su sitio web oficial y a abstenerse de utilizar otras fuentes. Leer más: ¡Los usuarios de MSI corren el riesgo de recibir actualizaciones de BIOS/firmware no autorizadas! Los piratas informáticos exigen 4 millones de dólares a MSI para no divulgar datos robados El ataque de ransomware MSI y el robo de datos parecen ser cometidos por la banda de ransomware Money Message. Si bien aparentemente MSI ha restaurado archivos cifrados por el ransomware de Money Message, la pandilla ahora tiene acceso a aproximadamente 1,5 terabytes de datos críticos de MSI. Según BleepingComputer, las conversaciones entre Money Message y un representante de MSI muestran a la pandilla exigiendo un pago de rescate de 4 millones de dólares. De lo contrario, Money Message liberará los archivos robados. Para demostrar que efectivamente robaron esos archivos MSI, Money Message publicó capturas de pantalla de lo que describen como bases de datos de planificación de recursos empresariales (ERP) de MSI y archivos que contienen código fuente de software, claves privadas y firmware BIOS. Recomendado: ¿Puede Aprobar nuevo participante bloquear a los piratas informáticos de WhatsApp? Si Money Message divulga datos confidenciales de MSI, puede que no sólo sea vergonzoso para la empresa taiwanesa, sino que también podría permitir que otros actores de amenazas utilicen el código fuente y las claves privadas para crear malware dirigido a sus clientes. En vista de esto, los usuarios de MSI sólo deben descargar e instalar software o firmware BIOS desde el sitio web oficial de MSI. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Negocios | Programas | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
¡Millones de placas base y portátiles Gigabyte se envían con una puerta trasera integrada en su firmware UEFI! Esto es lo que necesita saber sobre este peligro de ciberseguridad y lo que puede hacer al respecto. ¡Las placas base Gigabyte se envían con puerta trasera de firmware! El 31 de mayo de 2023, investigadores de la empresa de ciberseguridad Eclypsium revelaron que 271 modelos de placas base Gigabyte se habían visto comprometidos con firmware UEFI con una puerta trasera incorporada. Los métodos de detección heurística de Eclypsium recientemente comenzaron a detectar comportamientos sospechosos similares a puertas traseras en placas base Gigabyte. Cuando sus investigadores lo investigaron, descubrieron que el firmware de la placa base de Gigabyte estaba ejecutando un ejecutable nativo de Windows durante el proceso de inicio del sistema. Este ejecutable luego descarga y ejecuta cargas útiles adicionales de forma insegura. Según su análisis, el ejecutable parece ser un módulo legítimo de Gigabyte llamado WpbtDxe.efi: verifica si la función «Descarga e instalación del Centro de aplicaciones» está habilitada. Descarga cargas útiles ejecutables de los servidores de Gigabyte. Tiene una firma criptográfica de Gigabyte. También encontraron que las cargas útiles descargadas también tienen firmas criptográficas de Gigabyte, lo que sugiere que esta puerta trasera de firmware fue implementada por la propia Gigabyte. Sin embargo, los investigadores de Eclypsium descubrieron que la implementación de Gigabyte tenía una serie de problemas, lo que facilitaría a los actores de amenazas abusar de la puerta trasera del firmware: una de sus ubicaciones de descarga de carga útil carece de SSL (usando HTTP simple, en lugar del HTTPS más seguro), permitiendo ataques de máquina en el medio (MITM) la validación del certificado del servidor remoto no se implementó correctamente incluso cuando se usaron las otras dos ubicaciones de descarga HTTPS, lo que permite ataques MITM una de sus ubicaciones de descarga de carga útil es un almacenamiento atacado en la red local dispositivo (NAS), lo que podría permitir a un actor de amenazas falsificar la ubicación del NAS para instalar su propio malware. El firmware de Gigabyte en sí no verifica ninguna firma criptográfica ni valida los ejecutables descargados. En resumen, millones de placas base Gigabyte tienen una vulnerabilidad de ciberseguridad debido a que su firmware incluye una puerta trasera OEM insegura/vulnerable. Como lo expresó John Loucaides de Eclypsium: Si tienes una de estas máquinas, tienes que preocuparte por el hecho de que básicamente está tomando algo de Internet y ejecutándolo sin que tú estés involucrado, y no ha hecho nada de esto de forma segura. El concepto de pasar por debajo del usuario final y hacerse cargo de su máquina no le sienta bien a la mayoría de las personas. Nota: Esta vulnerabilidad afecta a todos los ordenadores que utilizan placas base Gigabyte, incluidos los portátiles. ¡Gigabyte lanza nuevo firmware para mitigar la puerta trasera! Después de que la noticia estallara de manera inconveniente durante Computex 2023, Gigabyte lanzó rápidamente nuevas actualizaciones de firmware beta para sus placas base AMD e Intel. Según Gigabyte, las nuevas actualizaciones de firmware beta tienen «mecanismos de seguridad mejorados» que «detectarán y evitarán actividades maliciosas durante el proceso de arranque». También parecía haber implementado otros cambios: mejoró el proceso de verificación de firmas para archivos descargados desde sus servidores remotos realizó controles más exhaustivos de la integridad de los archivos para evitar la introducción de código malicioso permitió la verificación criptográfica estándar de los certificados de servidores remotos El nuevo firmware acaba de ser lanzado para placas base AMD de la serie 600, así como para placas base Intel de las series 500 y 400, pero eventualmente se introducirá para placas base más antiguas. El nuevo firmware tendrá la descripción: «Aborda las vulnerabilidades del asistente de descarga informadas por Eclypsium Research». Como Gigabyte no tiene la intención de eliminar la función de puerta trasera, es posible que desee considerar los consejos de Eclypsium sobre la mejor manera de reducir el riesgo de que actores maliciosos se aprovechen: Escanee y monitoree los sistemas y las actualizaciones de firmware para detectar los sistemas Gigabyte afectados y las puertas traseras. herramientas integradas en el firmware. Actualice los sistemas al firmware y software validados más recientes para abordar problemas de seguridad como este. Inspeccione y desactive la función «Descarga e instalación del Centro de aplicaciones» en la configuración UEFI/BIOS en sistemas Gigabyte y establezca una contraseña de BIOS para impedir cambios maliciosos. Los administradores también pueden bloquear las siguientes URL:– http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4– https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4– https://software -nas/Swhttp/LiveUpdate4 Para empezar, definitivamente deberías descargar y actualizar tu placa base o computadora portátil Gigabyte con el firmware mejorado. Luego deshabilite la descarga e instalación del Centro de aplicaciones en el BIOS. Esperemos que Gigabyte pueda publicar rápidamente firmware nuevo y mejorado para mitigar, si no eliminar, la vulnerabilidad de puerta trasera para los 271 modelos de placas base afectados y sus futuras placas base y portátiles. Aun así, es posible que muchos usuarios no sean conscientes de esta vulnerabilidad o de estas actualizaciones. Parece probable que los actores de amenazas tengan acceso a esta vulnerabilidad de puerta trasera en muchas placas base y portátiles de Gigabyte en los próximos años. Incluso Loucaides de Eclypsium lo cree así: sigo pensando que esto terminará siendo un problema bastante generalizado en las placas Gigabyte en los próximos años. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Computadora | Ciberseguridad | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
Microsoft dijo el viernes que el grupo ruso Nobelium, al que la compañía se refiere como Midnight Blizzard, ha estado intentando acceder a sus sistemas internos y repositorios de código fuente. «En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente exfiltrada de nuestra sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado. Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la compañía», dijo Microsoft en una publicación de blog. «Hasta la fecha no hemos encontrado evidencia de que los clientes alojados por Microsoft Los sistemas orientados se han visto comprometidos». Microsoft dijo que Midnight Blizzard estaba tratando de acceder a secretos, incluidos los compartidos entre Microsoft y sus clientes, pero que se estaba acercando y ayudando a los clientes afectados. «Midnight Blizzard ha aumentado el volumen de algunos aspectos del ataques, como la difusión de contraseñas, hasta 10 veces en febrero, en comparación con el ya gran volumen que vimos en enero de 2024», dijo. Microsoft dijo que había mejorado su inversión en seguridad y sus esfuerzos para defenderse del ataque y que había intensificado las medidas de seguimiento y control. La compañía dijo por primera vez en enero que había detectado un ciberataque de Nobelium, en el que el grupo ruso pirateó correos electrónicos de altos ejecutivos. En ese momento, Microsoft dijo que no había evidencia de que el grupo de hackers hubiera accedido a datos de clientes, sistemas de producción de código fuente propietario. Poco después del ataque a Microsoft, Hewlett Packard Enterprise dijo que su sistema de correo electrónico basado en la nube también había sido comprometido. Nobelium es considerado parte del servicio de inteligencia exterior de Rusia SVR por el gobierno de EE. UU. y también se lo conoce como Cozy Bear o APT29, junto con Midnight Blizzard. Rusia ha sido acusada varias veces de ataques cibernéticos contra países y empresas occidentales durante su guerra contra Ucrania. En diciembre de 2023, El Centro Nacional de Seguridad Cibernética de Gran Bretaña dijo que Rusia había atacado a políticos, periodistas y funcionarios públicos en una «campaña de actividad cibernética maliciosa» de varios años que tenía como objetivo socavar la democracia.
Source link
Tres personas fueron acusadas de una conspiración de robo de identidad que supuestamente incluía el hackeo de 400 millones de dólares de FTX el mismo día de noviembre de 2022 en que el condenado intercambio de criptomonedas se declaró en quiebra, según muestran los registros judiciales. Robert Powell, el presunto cabecilla de 26 años del grupo de intercambio de tarjetas SIM que extrajo esa criptomoneda de las billeteras virtuales de FTX, se ordenó su liberación con una fianza de $10,000 después de una audiencia de detención el viernes en el tribunal federal de Chicago. El abogado de Powell, Gal Pissetzky, se negó a hacer comentarios. El residente de Illinois y los otros dos acusados, Carter Rohn, de 24 años, y Emily Hernández, de 23, están acusados de conspiración para cometer fraude electrónico y conspiración para cometer robo de identidad agravado y fraude de dispositivos de acceso. , en un plan que se desarrolló desde marzo de 2021 hasta abril pasado, e involucró a los co-conspiradores que viajaban a tiendas minoristas de teléfonos celulares en más de 15 estados. Los tres fueron arrestados la semana pasada en sus respectivos estados. La acusación emitida en el Tribunal de Distrito de Estados Unidos en Washington , DC, dice que el trío compartió la información de identificación personal de más de 50 víctimas, creó documentos de identificación falsos a nombre de las víctimas, se hizo pasar por ellas y luego accedió a las «cuentas en línea, financieras y de redes sociales de sus víctimas con el fin de robar dinero y «El plan se basó en engañar a las compañías telefónicas para que cambiaran el módulo de identidad del suscriptor de los suscriptores de teléfonos celulares por un teléfono celular controlado por miembros de la conspiración, según la acusación. Eso, a su vez, permitió a los conspiradores derrotar la protección de autenticación multifactor en las cuentas de las víctimas, dándoles acceso al dinero en esas cuentas. Se ordenó la detención de Rohn, un residente de Indianápolis, sin derecho a fianza después de su arresto. Su audiencia de detención se llevará a cabo más tarde en Washington. Hernández, que vive en Fountain, Colorado, fue liberado la semana pasada con una fianza de 10.000 dólares. Una portavoz de la Oficina del Fiscal Federal en Washington, que está procesando el caso, declinó hacer comentarios. La acusación no identifica a FTX por su nombre como la principal víctima de la conspiración, pero los detalles del hackeo descrito en ese documento de acusación se alinean con los detalles conocidos públicamente sobre el robo de FTX, que estaba colapsando en el momento del ataque. Una fuente familiar El caso confirmó que FTX era la víctima mencionada en la acusación. El exjefe de FTX, Sam Bankman-Fried, fue condenado en noviembre de 2023 por cargos de conspiración y fraude electrónico relacionados con el robo de 10.000 millones de dólares o más a los clientes. Está esperando sentencia en el tribunal federal de Manhattan el próximo mes. La nueva acusación relacionada con el hackeo dice que el 11 de noviembre de 2022, el mismo día en que FTX se declaró en quiebra, «Powell ordenó a sus cómplices que ejecutaran un intercambio de SIM». de la cuenta de teléfono celular de un empleado de Victim Company-1″, o FTX. Más tarde ese mismo día, un co-conspirador no identificado le envió a Hernández un documento de identificación fraudulento que contenía información de identificación personal sobre un empleado de FTX, «pero con la fotografía de Hernández, que Luego, Hernández solía hacerse pasar por esa persona en un proveedor de servicios móviles en Texas», alega la acusación. Después de obtener acceso a la cuenta de AT&T del empleado de FTX, los cómplices enviaron a Powell códigos de autenticación que eran necesarios para acceder a las cuentas en línea de la compañía de criptomonedas. dice la acusación. Más tarde, el 11 de noviembre y hasta el día siguiente, «los coconspiradores transfirieron más de 400 millones de dólares en moneda virtual desde [FTX’s] muros de moneda virtual a billeteras de moneda virtual controladas por los co-conspiradores. La acusación dice que varias semanas antes del hackeo de FTX, el plan saqueó $293,000 en moneda virtual de una víctima, y días después, robó más de $1 millón en criptomonedas de otra persona. Un día después del hackeo de FTX, los conspiradores robaron alrededor de $590,000 en criptomonedas de la billetera virtual de un individuo. Los arrestos se produjeron tres meses después de que la compañía de inteligencia blockchain Elliptic informara que 180,000 unidades de la criptomoneda Ether habían permanecido inactivas después de haber sido robadas en el hackeo de FTX. , pero luego se convirtió en Bitcoin a finales de septiembre. El Ether en ese momento valía $300 millones. Elliptic informó que el método de lavado de la criptomoneda robada en un esfuerzo por ocultar su origen fue que un actor vinculado a Rusia estaba detrás del hackeo de FTX. «De los activos robados que se pueden rastrear a través de ChipMixer, cantidades significativas se combinan con fondos de grupos criminales vinculados a Rusia, incluidas bandas de ransomware y mercados de la red oscura, antes de enviarse a los intercambios», dijo Elliptic en un informe en octubre. «Esto apunta a la participación de un corredor u otro intermediario con un nexo en Rusia». No te pierdas estas historias de CNBC PRO:
Source link
La operación para confiscar criptomonedas pagadas a un grupo de hackers con sede en Rusia es la primera de su tipo llevada a cabo por un grupo de trabajo especializado en ransomware. PUBLICIDAD Se espera que el director ejecutivo del enorme oleoducto afectado por ransomware el mes pasado detalle la respuesta de su empresa al ciberataque y explique su decisión de autorizar un pago multimillonario cuando testifique ante el Congreso esta semana. El director ejecutivo de Colonial Pipeline, Joseph Blount, se enfrentará el Comité de Seguridad Nacional del Senado el martes, un día después de que el Departamento de Justicia revelara que había recuperado la mayor parte del pago de rescate de 4,4 millones de dólares (3,6 millones de euros) que la empresa realizó con la esperanza de que su sistema volviera a estar en línea. Una segunda audiencia está programada para el miércoles ante el Comité de Seguridad Nacional de la Cámara de Representantes. El testimonio de Blount marca su primera aparición ante el Congreso desde el ataque de ransomware del 7 de mayo que llevó a Colonial Pipeline, con sede en Georgia, que suministra aproximadamente la mitad del combustible consumido en la costa este, a suspender temporalmente detener las operaciones. El ataque se ha atribuido a una banda de ciberdelincuentes con sede en Rusia que utiliza la variante de ransomware DarkSide, una de las más de 100 variantes que el FBI está investigando actualmente. La compañía decidió poco después del ataque pagar un rescate de 75 bitcoins, valorados entonces en aproximadamente 4,4 millones de dólares (3,6 millones de euros). Aunque históricamente el FBI ha desalentado los pagos de ransomware por temor a fomentar ataques cibernéticos, los funcionarios de Colonial han dicho que consideraban que la transacción era necesaria para reanudar el vital negocio de transporte de combustible lo más rápido posible. ‘Disuadir y defender’ la operación para confiscar criptomonedas pagadas a Rusia El grupo de piratas informáticos es el primero de su tipo llevado a cabo por un grupo de trabajo especializado en ransomware creado por el Departamento de Justicia de la administración Biden. Refleja una inusual victoria en la lucha contra el ransomware mientras los funcionarios estadounidenses se apresuran a enfrentar una amenaza que se acelera rápidamente y que apunta a industrias críticas en todo el mundo. “Al perseguir todo el ecosistema que alimenta el ransomware y los ataques de extorsión digital, incluidos los ingresos criminales en forma de moneda: continuaremos utilizando todos nuestros recursos para aumentar el costo y las consecuencias del ransomware y otros ataques cibernéticos”, dijo la Fiscal General Adjunta Lisa Monaco en una conferencia de prensa anunciando la operación. En un comunicado el lunes, Blount dijo que estaba Agradeció los esfuerzos del FBI y dijo que responsabilizar a los piratas informáticos e interrumpir sus actividades «es la mejor manera de disuadir y defenderse contra futuros ataques de esta naturaleza». El sector privado también tiene un papel igualmente importante que desempeñar y debemos continuar enfrentando las amenazas cibernéticas. seriamente e invertir en consecuencia para reforzar nuestras defensas», añadió. Los ciberdelincuentes prefieren las criptomonedas porque permiten pagos directos en línea independientemente de la ubicación geográfica, pero en este caso, el FBI pudo identificar una billetera de moneda virtual utilizada por los piratas informáticos y la recuperó. las ganancias de allí, dijo Abbate. El Departamento de Justicia no proporcionó detalles sobre cómo el FBI había obtenido una «clave» para la dirección bitcoin específica, pero dijo que las fuerzas del orden habían podido rastrear múltiples transferencias de la criptomoneda. «Para los ciberdelincuentes, especialmente aquellos presuntamente ubicados en el extranjero, cortar el acceso a los ingresos es una de las consecuencias más impactantes que podemos imponer», dijo Abbate. El precio de Bitcoin se desplomó: ascendió al 85 por ciento del rescate total pagado, que es la cantidad exacta que la empresa de seguimiento de criptomonedas Elliptic dice que cree que se llevó el afiliado que llevó a cabo el ataque. El proveedor de software ransomware, DarkSide, se habría quedado con el otro 15 por ciento. «Los extorsionadores nunca verán este dinero», dijo Stephanie Hinds, fiscal estadounidense en funciones para el Distrito Norte de California, donde un juez autorizó el lunes la orden de incautación. Los ataques de ransomware, en los que los piratas informáticos cifran los datos de la organización víctima y exigen una suma considerable a cambio de devolver la información, han florecido en todo el mundo. El año pasado fue el más costoso registrado en ataques de este tipo. Los piratas informáticos se han dirigido a industrias vitales, así como a hospitales y departamentos de policía. Semanas después del ataque a Colonial Pipeline, un ataque de ransomware atribuido a REvil, una banda de habla rusa que ha realizado algunas de las mayores demandas de ransomware registradas en los últimos meses, interrumpió la producción. en JBS SA de Brasil, la empresa procesadora de carne más grande del mundo. El negocio del ransomware se ha convertido en un negocio altamente compartimentado, con el trabajo dividido entre el proveedor del software que bloquea los datos, los negociadores de rescates, los piratas informáticos que irrumpen en redes específicas y los piratas informáticos expertos en moverse. sin ser detectados a través de esos sistemas y exfiltrando datos confidenciales, e incluso los centros de llamadas en la India se emplearon para amenazar a las personas cuyos datos fueron robados para presionar para que pagaran extorsiones.
Source link
La confirmación se produce pocos días después de que funcionarios estadounidenses recuperaran la mayor parte del rescate pagado por Colonial Pipeline a piratas informáticos rusos. PUBLICIDADLa empresa procesadora de carne más grande del mundo dice que pagó el equivalente a 11 millones de dólares (9 millones de euros) a los piratas informáticos que irrumpieron en su sistema informático a finales del mes pasado. JBS SA, con sede en Brasil, dijo el 31 de mayo que fue víctima de un ataque de ransomware. pero el miércoles fue la primera vez que la división estadounidense de la compañía confirmó que había pagado el rescate. «Esta fue una decisión muy difícil de tomar para nuestra compañía y para mí personalmente», dijo Andre Nogueira, director ejecutivo de JBS USA. «Sin embargo, sentimos que esta decisión debía tomarse para evitar cualquier riesgo potencial para nuestros clientes». JBS dijo que la gran mayoría de sus instalaciones estaban operativas en el momento en que realizó el pago, pero decidió pagar para evitar cualquier imprevisto. problemas y garantizar que no se extraigan datos. El FBI ha atribuido el ataque a REvil, una banda de habla rusa que ha realizado algunas de las mayores demandas de ransomware registradas en los últimos meses. El FBI dijo que trabajará para llevar al grupo ante la justicia e instó a cualquier persona que sea víctima de un ciberataque a comunicarse con la oficina de inmediato. El ataque tuvo como objetivo los servidores que respaldan las operaciones de JBS en América del Norte y Australia. La producción se vio interrumpida durante varios días. Se recuperó la mayor parte del rescate de Colonial Pipeline A principios de esta semana, el Departamento de Justicia anunció que había recuperado la mayor parte de un pago de rescate multimillonario realizado por Colonial Pipeline, el operador del oleoducto de combustible más grande del país. Colonial pagó un rescate de 75 bitcoins, entonces valorados en 4,4 millones de dólares (3,6 millones de euros), a principios de mayo a un grupo de hackers con sede en Rusia. La operación para confiscar criptomonedas reflejó una rara victoria en la lucha contra el ransomware mientras los funcionarios estadounidenses se apresuran a enfrentar una amenaza que se acelera rápidamente y que apunta a industrias críticas en todo el mundo. No quedó claro de inmediato si JBS también pagó su rescate en bitcoins. JBS dijo que gasta Más de 200 millones de dólares (164 millones de euros) al año en TI y emplea a más de 850 profesionales de TI en todo el mundo. La compañía dijo que las investigaciones forenses aún están en curso, pero no cree que los datos de ninguna empresa, cliente o empleado se hayan visto comprometidos.
Source link
Un peatón pasa por una sucursal del Banco Industrial y Comercial de China (ICBC) en Fuzhou, provincia china de Fujian.VCG | Getty Images La división estadounidense de servicios financieros del banco chino ICBC sufrió un ciberataque que supuestamente interrumpió la negociación de bonos del Tesoro. El Banco Industrial y Comercial de China, el mayor prestamista del mundo por activos, dijo el jueves que su brazo de servicios financieros, llamado ICBC Financial Services, experimentó un ataque de ransomware «que resultó en la interrupción de ciertos» sistemas. Inmediatamente después de descubrir el ataque, ICBC «aisló los sistemas afectados para contener el incidente», dijo el banco. El ransomware es un tipo de ataque cibernético. Implica que los piratas informáticos tomen el control de los sistemas o la información y solo los dejen ir una vez que la víctima haya pagado un rescate. Es un tipo de ataque que ha experimentado una explosión de popularidad entre los malos actores en los últimos años. ICBC no reveló quién estaba detrás del ataque, pero dijo que ha estado «llevando a cabo una investigación exhaustiva y está avanzando en sus esfuerzos de recuperación con el apoyo de sus profesionales». equipo de expertos en seguridad de la información». El banco chino también dijo que está trabajando con las autoridades. ICBC dijo que «autorizó con éxito» las operaciones del Tesoro estadounidense ejecutadas el miércoles y las operaciones de financiación de repos realizadas el jueves. Un repo es un acuerdo de recompra, un tipo de préstamo a corto plazo para los comerciantes de bonos gubernamentales. Sin embargo, varios medios de comunicación informaron que hubo interrupciones en las operaciones del Tesoro de Estados Unidos. El Financial Times, citando a comerciantes y bancos, dijo el viernes que el ataque de ransomware impidió a la división ICBC liquidar transacciones del Tesoro en nombre de otros participantes del mercado. El Departamento del Tesoro de Estados Unidos dijo a CNBC: «Somos conscientes del problema de la ciberseguridad y estamos en contacto regular «Con participantes clave del sector financiero, además de los reguladores federales. Seguimos monitoreando la situación». ICBC dijo que los sistemas comerciales y de correo electrónico de su brazo de servicios financieros de EE. UU. operan independientemente de las operaciones de ICBC en China. Los sistemas de su oficina central, la sucursal de ICBC en Nueva York y otras instituciones afiliadas nacionales y extranjeras no se vieron afectados por el ciberataque, dijo ICBC.¿Qué dijo el gobierno chino?Wang Wenbin, portavoz del Ministerio de Asuntos Exteriores de China, dijo el viernes que ICBC se está esforzando por minimizar el impacto y las pérdidas después del ataque, según un informe de Reuters. En una conferencia de prensa habitual, Wang dijo que ICBC ha prestado mucha atención al asunto y ha manejado bien la respuesta de emergencia y la supervisión, según Reuters. .¿Qué sabemos sobre el ataque de ransomware? Nadie se ha atribuido la responsabilidad del ataque todavía y el ICBC no ha dicho quién podría estar detrás del ataque. En el mundo de la ciberseguridad, descubrir quién está detrás de un ciberataque suele ser muy difícil debido a las técnicas Los piratas informáticos utilizan para enmascarar sus ubicaciones e identidades. Pero hay pistas sobre qué tipo de software se utilizó para llevar a cabo el ataque. Marcus Murray, fundador de la firma sueca de ciberseguridad Truesec, dijo que el ransomware utilizado se llama LockBit 3.0. Murray dijo que esta información proviene de fuentes relacionadas con Truesec, pero no pudo revelar quiénes son esas fuentes por razones de confidencialidad. El Financial Times informó, citando dos fuentes, que LockBit 3.0 también era el software detrás del ataque. CNBC no pudo verificar la información de forma independiente. Este tipo de ransomware puede llegar a una organización de muchas maneras. Por ejemplo, cuando alguien hace clic en un enlace malicioso de un correo electrónico. Una vez dentro, su objetivo es extraer información confidencial sobre una empresa. El equipo de ciberseguridad de VMWare dijo en un blog el año pasado que LockBit 3.0 es un «desafío para los investigadores de seguridad porque cada instancia del malware requiere una contraseña única para ejecutarse sin la cual el análisis es extremadamente difícil o imposible.» Los investigadores agregaron que el ransomware está «fuertemente protegido» contra el análisis. La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de EE. UU. califica a LockBit 3.0 como «más modular y evasivo», lo que lo hace más difícil de detectar. LockBit es la cepa más popular de ransomware y representa alrededor de El 28% de todos los ataques de ransomware conocidos entre julio de 2022 y junio de 2023, según datos de la empresa de ciberseguridad Flashpoint. ¿Qué es LockBit? LockBit es el grupo detrás del software. Su modelo de negocio se conoce como «ransomware como servicio». De hecho, vende su software malicioso a otros piratas informáticos, conocidos como afiliados, quienes luego llevan a cabo los ataques cibernéticos. El líder del grupo se conoce en línea con el nombre de «LockBitSup» en los foros de piratería de la web oscura. «El grupo publica principalmente en ruso e inglés, pero según su sitio web, el grupo afirma estar ubicado en los Países Bajos y no tener motivaciones políticas», dijo Flashpoint en una publicación de blog. Se sabe que el malware del grupo apunta a pequeñas y medianas empresas. LockBit ha se atribuyó la responsabilidad de los ataques de ransomware a Boeing y al Reino Unido. Royal Mail. En junio, el Departamento de Justicia de EE. UU. acusó a un ciudadano ruso por su participación en «implementar numerosos ransomware LockBit y otros ataques cibernéticos» contra computadoras en EE. UU., Asia, Europa y África. «Los actores de LockBit han ejecutado más de 1.400 ataques contra víctimas en los Estados Unidos y en todo el mundo, emitiendo más de 100 millones de dólares en demandas de rescate y recibiendo al menos decenas de millones de dólares en pagos de rescate reales realizados en forma de bitcoin», dijo el Departamento de Justicia en un comunicado de prensa en junio. — Steve Kopack de CNBC contribuyó a este artículo.
Source link
Un británico fue arrestado en España por su presunto papel en el sonado hackeo de Twitter del verano pasado que tuvo como objetivo a políticos, celebridades y magnates tecnológicos estadounidenses. PUBLICIDAD Un hombre británico ha sido arrestado en España bajo sospecha de piratear las cuentas de Twitter de unas 130 celebridades el verano pasado. Joseph O’Connor fue arrestado en la ciudad turística costera española de Estepona bajo una orden de arresto internacional, dijo el miércoles el Departamento de Justicia de Estados Unidos. Ha sido acusado en Estados Unidos de presunta participación en un hackeo generalizado de Twitter que comprometió las cuentas de varios políticos, celebridades y magnates tecnológicos estadounidenses prominentes en julio de 2020. Los fiscales también han acusado a O’Connor de irrumpir en cuentas en las redes sociales. aplicaciones de medios TikTok y Snapchat, y de «acecho cibernético a un menor». Se ha presentado una denuncia penal en un tribunal federal del Distrito Norte de California. O’Connor está acusado formalmente de acoso cibernético, comunicaciones extorsivas y amenazantes y acceso intencional a una computadora sin autorización. O’Connor, conocido por el alias de Internet PlugWalkJoe, negó haber actuado mal en entrevistas policiales. Durante la violación de seguridad de alto perfil, Se enviaron tweets falsos desde varias cuentas de redes sociales de alto perfil, instando a sus seguidores a enviarles pagos en Bitcoin. «He decidido ayudar a mi comunidad. Todos los bitcoins enviados a mi dirección a continuación se duplicarán», tuitearon algunas de las cuentas. El ciberataque tuvo como objetivo, entre otros, al entonces candidato presidencial estadounidense Joe Biden, así como al expresidente Barack Obama y a otro candidato, Mike Bloomberg. El ex director ejecutivo de Amazon, Jeff Bezos, el cofundador de Microsoft, Bill Gates, y el director ejecutivo de Tesla, Elon Musk, también vieron sus cuentas. comprometido. Los mensajes fueron eliminados rápidamente, pero los investigadores estiman que la estafa habría permitido a los piratas informáticos recibir más de 100.000 dólares en criptomonedas. Twitter dijo que los piratas informáticos habían atacado a un puñado de empleados a través de una operación de phishing por teléfono para romper el doble de la plataforma. sistema de autenticación. En septiembre, la red social anunció que había reforzado la seguridad de las cuentas de los famosos. En marzo, un adolescente de Florida se declaró culpable de haber planeado la operación y fue condenado a tres años de prisión. Los documentos judiciales presentados el año pasado dijeron que el complot se originó en un foro en línea para personas que buscaban obtener nombres de usuario originales y valiosos en las redes sociales. Existe un mercado clandestino para robar e intercambiar nombres de usuario buscados en Twitter y otros sitios de redes sociales como Instagram o Instagram. los mundos de juego de Minecraft y Fortnite. A principios de este año, Twitter dijo que estaba tomando medidas enérgicas contra las cuentas vinculadas al comercio de dichos nombres de usuario.
Source link
Una falla de seguridad que afectó al iMessage de Apple hizo que incluso los dispositivos más nuevos fueran vulnerables a la infección por el software espía Pegasus que afectó a decenas de miles, incluido el presidente francés Macron. PUBLICIDADApple ha publicado actualizaciones de seguridad para sus dispositivos después de que los investigadores identificaran un exploit llamado «cero clic» que afectaba a su servicio de mensajería iMessage. La vulnerabilidad no identificada previamente afecta a todos los dispositivos actuales de Apple, incluidos iPhones, iPads, Apple Watches y computadoras Mac. dijeron los investigadores, y agregaron que los usuarios de Apple deberían actualizar «inmediatamente» sus dispositivos. El exploit, denominado «FORCEDENTRY» por los investigadores del Citizen Lab de la Universidad de Toronto, aprovecha la forma en que iMessage representa imágenes para eludir los sistemas de seguridad integrados de Apple. Los últimos sistemas operativos. La falla de seguridad fue descubierta por investigadores que analizaron el teléfono de un activista saudita que había sido objetivo del software espía Pegasus vendido a los gobiernos por la firma de defensa israelí NSO Group. Se lanzaron actualizaciones de iOS y iPadOS 14.8 de Apple, así como una actualización de MacOS. el lunes, parchear la falla FORCEDENTRY, que puede haber estado en uso desde febrero, dijeron los investigadores. En julio, una base de datos filtrada reveló que el software espía Pegasus de NSO podría haberse utilizado para espiar a decenas de miles de periodistas, activistas y políticos, incluidos El presidente francés, Emmanuel Macron. Una vez instalado, Pegasus permite a los clientes de NSO tomar el control de un dispositivo, activar la cámara y el micrófono, ver datos de geolocalización y leer el contenido de los mensajes. «Altamente sofisticado». El lunes, Apple dijo que había liberado el sistema de seguridad. actualizaciones para resolver un problema en el que un «PDF creado con fines malintencionados» podría llevar a un dispositivo a ejecutar código sin el conocimiento del usuario». Después de identificar la vulnerabilidad utilizada por este exploit para iMessage, Apple desarrolló e implementó rápidamente una solución en iOS 14.8 para proteger a nuestros usuarios. «, dijo Ivan Krstić, jefe de Ingeniería y Arquitectura de Seguridad de Apple, en un comunicado. «Ataques como los descritos son muy sofisticados, cuestan millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos». Si bien eso significa que no son una amenaza para la abrumadora mayoría de nuestros usuarios, Seguimos trabajando incansablemente para defender a todos nuestros clientes y constantemente agregamos nuevas protecciones para sus dispositivos y datos», agregó. Características del software espía Pegasus. Citizen Lab dijo que el exploit se había utilizado para instalar secretamente Pegasus en el teléfono del activista saudita, y agregó que tenía «alta confianza» en que el ataque procedía de NSO Group. Citizen Lab dijo que varios detalles del malware instalado a través de FORCEDENTRY se superponían con ataques anteriores de NSO, incluidos algunos que nunca se informaron públicamente. Un proceso dentro del código del hack se denominó » setframed», el mismo nombre dado en una infección Pegasus de 2020 de un dispositivo utilizado por un periodista de Al Jazeera, encontraron los investigadores. «La seguridad de los dispositivos es cada vez más cuestionada por los atacantes», dijo el investigador de Citizen Lab, Bill Marczak. Un portavoz de Apple declinó para comentar a Reuters si la técnica de piratería provino de NSO Group. NSO no confirmó ni negó que estuviera detrás de la técnica, y solo dijo que «continuaría brindando a las agencias de inteligencia y aplicación de la ley en todo el mundo tecnologías que salvan vidas para luchar contra el terrorismo y el crimen.»‘La parte más vulnerable’Citizen Lab dijo que encontró el malware en el teléfono de un activista saudita anónimo y que el teléfono había sido infectado con software espía en febrero. Se desconoce cuántos otros usuarios pueden haber sido infectados. Los objetivos previstos no tendrían que hacer clic en nada para que el ataque funcionara. Los investigadores dijeron que no creían que hubiera ningún indicio visible de que se hubiera producido un ataque. PUBLICIDAD La vulnerabilidad radica en cómo iMessage procesa imágenes automáticamente. IMessage ha sido atacado repetidamente por NSO y otros traficantes de armas cibernéticas, lo que llevó a Apple a actualizar su arquitectura. Pero esa actualización no ha protegido completamente el sistema. «Las aplicaciones de chat populares corren el riesgo de convertirse en la parte más vulnerable de la seguridad de los dispositivos. Protegerlas debería ser la máxima prioridad», afirmó el investigador de Citizen Lab, John Scott-Railton. La agencia publicó el lunes una alerta de seguridad que aconseja a los usuarios descargar las actualizaciones de seguridad de Apple.
Source link