Etiqueta: noticias cibernéticas Página 7 de 8

02 de febrero de 2024Sala de prensaSeguridad nacional/violación de datos Un ex ingeniero de software de la Agencia Central de Inteligencia (CIA) de EE. UU. ha sido condenado a 40 años de prisión por el Distrito Sur de Nueva York (SDNY) por transmitir documentos clasificados a WikiLeaks y por posesión de material pornográfico infantil. Joshua Adam Schulte, de 35 años, fue acusado originalmente en junio de 2018. Fue declarado culpable en julio de 2022. El 13 de septiembre de 2023, fue declarado culpable de recibir, poseer y transportar pornografía infantil. Además de la pena de prisión, Schulte ha sido condenado a cadena perpetua en libertad supervisada. «El robo de Schulte es la mayor violación de datos en la historia de la CIA, y su transmisión de esa información robada a WikiLeaks es una de las mayores revelaciones no autorizadas de información clasificada en la historia de Estados Unidos», dijo el Departamento de Justicia (DoJ) de Estados Unidos. dicho. La información confidencial compartida por Schulte incluía un tramo de herramientas de piratería y exploits denominados Vault 7 y Vault 8. Fue publicado por WikiLeaks a partir del 7 de marzo de 2017, durante un período de ocho meses. Schulte trabajó como desarrollador de software en el Centro de Inteligencia Cibernética (CCI) de 2012 a 2016, donde trabajó en herramientas relacionadas con operaciones cibernéticas ofensivas realizadas por la CIA, y posteriormente abusó de sus privilegios de administrador para saquear «copias de toda la herramienta CCI». archivos de desarrollo» en 2016. Esta información incluía métodos para «recopilar inteligencia extranjera contra los adversarios de Estados Unidos», incluido un arsenal de armas cibernéticas y exploits de día cero que hicieron posible comprometer automóviles, televisores inteligentes, navegadores web y computadoras de escritorio ampliamente utilizadas. y sistemas operativos móviles. La filtración, descrita como un «Pearl Harbor digital», costó a la agencia «cientos de millones de dólares» y «perjudicó gravemente la seguridad nacional de Estados Unidos y arriesgó directamente la vida del personal de la CIA», dijeron los fiscales. Schulte también fue acusado de mentir repetidamente a la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre su participación, así como de «tejer narrativas falsas» sobre cómo la información podría haberse obtenido de las computadoras de la CIA en un intento de desviar sospechas. Una búsqueda posterior en su departamento de Nueva York en marzo de 2017 descubrió una reserva de material de abuso sexual infantil (CSAM, por sus siglas en inglés) que abarca aproximadamente 3,400 imágenes y videos, algunos de los cuales fueron recopilados durante su empleo con la CIA en la web oscura y sitios web rusos. Durante su detención en espera de juicio, se descubrió que había utilizado teléfonos celulares de contrabando en la cárcel para crear cuentas anónimas y cifradas de correo electrónico y de redes sociales, e intentó transmitir materiales de descubrimiento protegidos a WikiLeaks y publicar información clasificada sobre técnicas y herramientas cibernéticas de la CIA. El objetivo de Schulte, dijo el Departamento de Justicia, citando un diario escrito por él, era «romper relaciones diplomáticas, cerrar embajadas, [and] poner fin a la ocupación estadounidense en todo el mundo». «Joshua Schulte fue justamente castigado no sólo por su traición a nuestro país, sino también por su posesión sustancial de horrible material pornográfico infantil», dijo el subdirector a cargo del FBI, James Smith. «La gravedad de sus acciones es evidente, y la sentencia impuesta refleja la magnitud de la amenaza inquietante y dañina que representa su conducta criminal». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de febrero de 2024Sala de prensaViolación de datos/Seguridad en la nube Cloudflare ha revelado que fue el objetivo de un probable ataque de estado-nación en el que el actor de amenazas aprovechó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y a una cantidad limitada. cantidad de código fuente. La intrusión, que tuvo lugar entre el 14 y el 24 de noviembre de 2023 y fue detectada el 23 de noviembre, se llevó a cabo «con el objetivo de obtener un acceso persistente y generalizado a la red global de Cloudflare», dijo la empresa de infraestructura web, describiendo al actor como » sofisticado» y alguien que «operaba de manera reflexiva y metódica». Como medida de precaución, la compañía dijo además que rotó más de 5.000 credenciales de producción, sistemas de prueba y preparación segmentados físicamente, llevó a cabo clasificaciones forenses en 4.893 sistemas, volvió a crear imágenes y reinició todas las máquinas en su red global. El incidente implicó un período de reconocimiento de cuatro días para acceder a los portales Atlassian Confluence y Jira, tras lo cual el adversario creó una cuenta de usuario maliciosa de Atlassian y estableció un acceso persistente a su servidor Atlassian para finalmente obtener acceso a su sistema de gestión de código fuente Bitbucket mediante el Marco de simulación de adversario plateado. Se visitaron hasta 120 repositorios de código, de los cuales se estima que 76 fueron extraídos por el atacante. «Los 76 repositorios de código fuente estaban casi todos relacionados con cómo funcionan las copias de seguridad, cómo se configura y administra la red global, cómo funciona la identidad en Cloudflare, el acceso remoto y nuestro uso de Terraform y Kubernetes», dijo Cloudflare. «Un pequeño número de repositorios contenían secretos cifrados que se rotaban inmediatamente a pesar de que ellos mismos estaban fuertemente cifrados». Luego se dice que el actor de amenazas intentó sin éxito «acceder a un servidor de consola que tenía acceso al centro de datos que Cloudflare aún no había puesto en producción en São Paulo, Brasil». El ataque se logró utilizando un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet que fueron robados luego del hackeo en octubre de 2023 del sistema de gestión de casos de soporte de Okta. Cloudflare reconoció que no había rotado estas credenciales, asumiendo erróneamente que no estaban en uso. La compañía también dijo que tomó medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2024. También involucró a la firma de ciberseguridad CrowdStrike para realizar una evaluación independiente del incidente. «Los únicos sistemas de producción a los que el actor de amenazas pudo acceder utilizando las credenciales robadas fue nuestro entorno Atlassian. Al analizar las páginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de código fuente, parece que estaban buscando información sobre la arquitectura, la seguridad y la gestión. de nuestra red global», afirmó Cloudflare. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

23 de enero de 2024The Hacker NewsCiberseguridad/Seguridad de servidores A medida que entramos en 2024, Gcore ha publicado su último informe Gcore Radar, una publicación semestral en la que la empresa publica análisis internos para rastrear ataques DDoS. La amplia red de centros de depuración distribuida internacionalmente de Gcore les permite seguir las tendencias de los ataques a lo largo del tiempo. Continúe leyendo para conocer las tendencias de los ataques DDoS para el tercer y cuarto trimestre de 2023 y lo que significan para desarrollar una estrategia de protección sólida en 2024. Hallazgos clave de Gcore Las tendencias de los ataques DDoS para la segunda mitad de 2023 revelan desarrollos alarmantes en la escala y la sofisticación de las ciberamenazas. . Poder de ataque sin precedentes Los últimos tres años han provocado un aumento anual >100 % en el volumen máximo de ataques DDoS (máximo registrado): en 2021, la capacidad máxima de ataques DDoS fue de 300 Gbps. En 2022, aumentó a 650 Gbps en el primer y segundo trimestre. En 2023, aumentó nuevamente a 800 Gbps. En el tercer y cuarto trimestre de 2023, aumentó a 1600 Gbps (1,6 Tbps). En particular, el salto en el segundo semestre de 2023 significa que la industria de la ciberseguridad está midiendo los ataques DDoS en una nueva unidad, los Terabits. Poder máximo de ataque en 2021-2023 en Gbps Esto ilustra una escalada significativa y continua en el daño potencial de los ataques DDoS, una tendencia que Gcore espera que continúe en 2024. Duración del ataque Gcore vio duraciones de ataques que variaron de tres minutos a nueve horas, con un promedio de aproximadamente una hora. Por lo general, los ataques cortos son más difíciles de detectar, ya que no permiten un análisis de tráfico adecuado debido a la escasez de datos y, dado que son más difíciles de reconocer, también son más difíciles de mitigar. Los ataques más prolongados requieren más recursos para combatir, lo que requiere una poderosa respuesta de mitigación; de lo contrario, el riesgo es una indisponibilidad prolongada del servidor. El ataque más largo registrado por Gcore duró nueve horas. Tipos de ataques predominantes Las inundaciones UDP siguen dominando y constituyen el 62% de los ataques DDoS. Las inundaciones TCP y los ataques ICMP también siguen siendo populares con un 16% y un 12% del total, respectivamente. Todos los demás tipos de ataques DDoS, incluidos SYN, SYN+ACK Flood y RST Flood, representaron apenas el 10% combinados. Si bien algunos atacantes pueden utilizar estos enfoques más sofisticados, la mayoría todavía se concentra en entregar un gran volumen de paquetes para derribar servidores. Tipos de ataques dominantes en el segundo semestre de 2023 La variación en los métodos de ataque requiere una estrategia de defensa multifacética que pueda proteger contra una variedad de técnicas DDoS. Fuentes de ataques globales Esta propagación global de fuentes de ataques demuestra la naturaleza sin fronteras de las amenazas cibernéticas, donde los atacantes operan a través de fronteras nacionales. Gcore identificó diversos orígenes de ataques en la segunda mitad de 2023, con Estados Unidos a la cabeza con un 24%. Indonesia (17%), Países Bajos (12%), Tailandia (10%), Colombia (8%), Rusia (8%), Ucrania (5%), México (3%), Alemania (2%), y Brasil (2%) figura entre los diez primeros, lo que ilustra una amenaza global generalizada. Distribución geográfica de las fuentes de ataque La distribución geográfica de las fuentes de ataque DDoS proporciona información importante para crear estrategias de defensa específicas y para dar forma a la formulación de políticas internacionales destinadas a combatir el delito cibernético. Sin embargo, determinar la ubicación del atacante es un desafío debido al uso de técnicas como la suplantación de IP y la participación de botnets distribuidas. Esto dificulta evaluar las motivaciones y capacidades, que pueden variar desde acciones patrocinadas por el Estado hasta piratas informáticos individuales. Industrias objetivo Las industrias más atacadas en el segundo semestre de 2023 destacan el impacto de los ataques DDoS en diversos sectores: la industria del juego sigue siendo la más afectada y sufre el 46% de los ataques. El sector financiero, incluidos los bancos y los servicios de juegos de azar, quedó en segundo lugar con un 22%. Los proveedores de telecomunicaciones (18%), infraestructura como servicio (IaaS) (7%) y empresas de software (3%) también fueron un objetivo importante. Ataques DDoS por industria afectada Desde el informe anterior de Gcore Radar, los atacantes no han cambiado su enfoque: los sectores de juegos y financiero son particularmente interesantes para los atacantes, probablemente debido a sus ganancias financieras y su impacto en los usuarios. Esto subraya la necesidad de estrategias de ciberseguridad específicas en las industrias más afectadas, como contramedidas para servidores de juegos específicos. Análisis Los datos de la segunda mitad de 2023 destacan una tendencia preocupante en el panorama de los ataques DDoS. El aumento del poder de ataque a 1,6 Tbps es particularmente alarmante y señala un nuevo nivel de amenaza para el cual las organizaciones deben prepararse. A modo de comparación, incluso un «humilde» ataque de 300 Gbps es capaz de desactivar un servidor desprotegido. Junto con la distribución geográfica de las fuentes de ataque, está claro que las amenazas DDoS son un problema grave y global, que requiere cooperación internacional e intercambio de inteligencia para mitigar ataques potencialmente devastadores de manera efectiva. La variedad en la duración de los ataques sugiere que los atacantes se están volviendo más estratégicos, adaptando sus enfoques a objetivos y objetivos específicos: en el sector de los juegos, por ejemplo, los ataques son relativamente bajos en potencia y duración, pero más frecuentes, causando repetidas interrupciones en un servidor específico con el objetivo de interrumpir la experiencia del jugador para obligarlo a cambiar al servidor de un competidor. Para los sectores financiero y de telecomunicaciones, donde el impacto económico es más inmediato, los ataques suelen ser de mayor volumen y su duración es muy variable. El ataque continuo a los sectores de juegos, finanzas, telecomunicaciones e IaaS refleja la elección estratégica de los atacantes de elegir servicios cuya interrupción tiene un impacto económico y operativo significativo. Conclusión El informe de Gcore Radar correspondiente al tercer y cuarto trimestre de 2023 sirve como un recordatorio oportuno de la naturaleza en constante evolución de las ciberamenazas. Las organizaciones de todos los sectores deben invertir en medidas de ciberseguridad integrales y adaptables. Para mantenerse a la vanguardia de las amenazas DDoS se requiere una profunda comprensión de los patrones y estrategias cambiantes de los ciberatacantes. Gcore DDoS Protection tiene un historial comprobado de repeler incluso los ataques más poderosos y sostenidos. Conecte Gcore DDoS Protection para proteger su empresa de lo que traiga el panorama DDoS de 2024. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

23 de enero de 2024Sala de prensaSe ha observado que software descifrado de malware/criptomonedas infecta a los usuarios de Apple macOS con un malware ladrón no documentado previamente capaz de recopilar información del sistema y datos de billeteras de criptomonedas. Kaspersky, que identificó los artefactos en la naturaleza, dijo que están diseñados para apuntar a máquinas que ejecutan macOS Ventura 13.6 y posteriores, lo que indica la capacidad del malware para infectar Mac con arquitecturas de procesadores de silicio Intel y Apple. Las cadenas de ataque aprovechan archivos de imagen de disco (DMG) con trampas explosivas que incluyen un programa llamado «Activador» y una versión pirateada de software legítimo como xScope. Se insta a los usuarios que terminen abriendo los archivos DMG a mover ambos archivos a la carpeta Aplicaciones y ejecutar el componente Activador para aplicar un supuesto parche y ejecutar la aplicación xScope. Sin embargo, al iniciar Activator, se muestra un mensaje que solicita a la víctima que ingrese la contraseña del administrador del sistema, lo que le permite ejecutar un binario Mach-O con permisos elevados para iniciar el ejecutable xScope modificado. «El truco era que los actores maliciosos habían tomado versiones de la aplicación previamente descifradas y habían agregado unos pocos bytes al comienzo del ejecutable, deshabilitándolo para que el usuario iniciara Activator», dijo el investigador de seguridad Sergey Puzan. La siguiente etapa implica establecer contacto con un servidor de comando y control (C2) para recuperar un script cifrado. La URL C2, por su parte, se construye combinando palabras de dos listas codificadas y agregando una secuencia aleatoria de cinco letras como un nombre de dominio de tercer nivel. Luego se envía una solicitud de DNS para este dominio para recuperar tres registros TXT de DNS, cada uno de los cuales contiene un fragmento de texto cifrado codificado en Base64 que se descifra y ensambla para construir un script de Python, que, a su vez, establece persistencia y funciona como un descargador al comunicarse con a «salud de manzana[.]org» cada 30 segundos para descargar y ejecutar la carga útil principal. «Esta era una forma bastante interesante e inusual de contactar a un servidor de comando y control y ocultar la actividad dentro del tráfico, y garantizaba la descarga de la carga útil, ya que el mensaje de respuesta provenía de el servidor DNS», explicó Puzan, describiéndolo como «realmente ingenioso». La puerta trasera, mantenida y actualizada activamente por el actor de la amenaza, está diseñada para ejecutar comandos recibidos, recopilar metadatos del sistema y verificar la presencia de billeteras Exodus y Bitcoin Core. en el host infectado. Si se encuentran, las aplicaciones se reemplazan por versiones troyanizadas descargadas del dominio «apple-analyser[.]com» que están equipados para filtrar la frase inicial, la contraseña de desbloqueo de la billetera, el nombre y el saldo a un servidor controlado por el actor. «La carga útil final fue una puerta trasera que podía ejecutar cualquier script con privilegios de administrador y reemplazar la billetera criptográfica Bitcoin Core y Exodus. aplicaciones instaladas en la máquina con versiones infectadas que robaban frases secretas de recuperación en el momento en que se desbloqueaba la billetera», dijo Puzan. El desarrollo se produce cuando el software crackeado se está convirtiendo cada vez más en un conducto para comprometer a los usuarios de macOS con una variedad de malware, incluyendo Trojan-Proxy y ZuRu. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

01 de febrero de 2024Sala de prensaCriptomonedas/Botnet Investigadores de ciberseguridad han detallado una versión actualizada del malware HeadCrab que se sabe que se dirige a los servidores de bases de datos de Redis en todo el mundo desde principios de septiembre de 2021. El desarrollo, que se produce exactamente un año después de que el malware se revelara públicamente por primera vez. por Aqua, es una señal de que el actor de amenazas motivado financieramente detrás de la campaña está adaptando y refinando activamente sus tácticas y técnicas para mantenerse a la vanguardia de la curva de detección. La firma de seguridad en la nube dijo que «la campaña casi ha duplicado el número de servidores Redis infectados», con 1.100 servidores comprometidos adicionales, frente a los 1.200 reportados a principios de 2023. HeadCrab está diseñado para infiltrarse en servidores Redis expuestos a Internet y disputarlos. en una botnet para extraer criptomonedas ilícitamente, al mismo tiempo que aprovecha el acceso de una manera que permite al actor de la amenaza ejecutar comandos de shell, cargar módulos del kernel sin archivos y filtrar datos a un servidor remoto. Si bien actualmente se desconocen los orígenes del actor de la amenaza, es importante señalar en un «mini blog» integrado en el malware que la actividad minera es «legal en mi país» y que lo hacen porque «casi no». No daña la vida ni los sentimientos humanos (si se hace correctamente)». El operador, sin embargo, reconoce que es una «forma parasitaria e ineficiente» de ganar dinero, añadiendo que su objetivo es ganar 15.000 dólares al año. «Un aspecto integral de la sofisticación de HeadCrab 2.0 radica en sus avanzadas técnicas de evasión», dijeron los investigadores de Aqua Asaf Eitani y Nitzan Yaakov. «A diferencia de su predecesor (llamado HeadCrab 1.0), esta nueva versión emplea un mecanismo de carga sin archivos, lo que demuestra el compromiso del atacante con el sigilo y la persistencia». Vale la pena señalar que la iteración anterior utilizó el comando SLAVEOF para descargar y guardar el archivo de malware HeadCrab en el disco, dejando así rastros de artefactos en el sistema de archivos. HeadCrab 2.0, por otro lado, recibe el contenido del malware a través del canal de comunicación Redis y lo almacena en una ubicación sin archivos en un intento por minimizar el rastro forense y hacerlo mucho más difícil de detectar. También se ha cambiado en la nueva variante el uso del comando Redis MGET para comunicaciones de comando y control (C2) para mayor ocultación. «Al conectarse a este comando estándar, el malware obtiene la capacidad de controlarlo durante solicitudes específicas iniciadas por el atacante», dijeron los investigadores. «Esas solicitudes se logran enviando una cadena especial como argumento al comando MGET. Cuando se detecta esta cadena específica, el malware reconoce que el comando se origina en el atacante, lo que desencadena la comunicación maliciosa C2». Al describir HeadCrab 2.0 como una escalada en la sofisticación del malware Redis, Aqua dijo que su capacidad para enmascarar sus actividades maliciosas bajo la apariencia de comandos legítimos plantea nuevos problemas de detección. «Esta evolución subraya la necesidad de investigación y desarrollo continuos en herramientas y prácticas de seguridad», concluyeron los investigadores. «La participación del atacante y la posterior evolución del malware resaltan la necesidad crítica de un monitoreo atento y recopilación de inteligencia». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

¿Cómo va su programa de gestión de vulnerabilidades? ¿Es efectivo? ¿Un éxito? Seamos honestos, sin las métricas o análisis correctos, ¿cómo puedes saber qué tan bien lo estás haciendo, progresando o si estás obteniendo retorno de la inversión? Si no estás midiendo, ¿cómo sabes que está funcionando? E incluso si está midiendo, generar informes defectuosos o centrarse en métricas equivocadas puede crear puntos ciegos y dificultar la comunicación de cualquier riesgo al resto de la empresa. Entonces, ¿cómo sabes en qué concentrarte? Higiene cibernética, cobertura de escaneo, tiempo promedio de reparación, gravedad de la vulnerabilidad, tasas de remediación, exposición a la vulnerabilidad… la lista es interminable. Cada herramienta del mercado ofrece diferentes métricas, por lo que puede resultar difícil saber qué es importante. Este artículo le ayudará a identificar y definir las métricas clave que necesita para realizar un seguimiento del estado de su programa de gestión de vulnerabilidades, el progreso que ha realizado, para que pueda crear informes listos para auditoría que: Demuestren su postura de seguridad Cumplan con los SLA de corrección de vulnerabilidades y puntos de referencia Ayude a aprobar auditorías y cumplimiento Demuestre el retorno de la inversión en herramientas de seguridad Simplifique el análisis de riesgos Priorice la asignación de recursos Por qué necesita medir la gestión de vulnerabilidades Las métricas desempeñan un papel fundamental a la hora de medir la eficacia de su gestión de vulnerabilidades y superficies de ataque. Medir la rapidez con la que encuentra, prioriza y corrige fallas significa que puede monitorear y optimizar continuamente su seguridad. Con los análisis adecuados, puede ver qué problemas son más críticos, priorizar qué solucionar primero y medir el progreso de sus esfuerzos. En última instancia, las métricas correctas le permiten tomar decisiones adecuadamente informadas, de modo que esté asignando los recursos a los lugares correctos. La cantidad de vulnerabilidades encontradas es siempre un buen punto de partida, pero no dice mucho de forma aislada: sin priorización, asesoramiento y progreso, ¿por dónde empezar? Encontrar, priorizar y solucionar sus vulnerabilidades más críticas es mucho más importante para sus operaciones comerciales y la seguridad de sus datos que simplemente encontrar todas las vulnerabilidades. La priorización inteligente y el filtrado del ruido son importantes porque pasar por alto amenazas de seguridad genuinas es muy fácil cuando estás abrumado por información no esencial. Los resultados inteligentes facilitan su trabajo al priorizar los problemas que tienen un impacto real en su seguridad, sin sobrecargarlo con debilidades irrelevantes. Por ejemplo, sus sistemas conectados a Internet son los objetivos más fáciles para los piratas informáticos. Dar prioridad a los problemas que lo dejan expuesto hace que sea más fácil minimizar la superficie de ataque. Herramientas como Intruder facilitan la gestión de vulnerabilidades incluso para los no expertos, al explicar los riesgos reales y brindar consejos de solución en un lenguaje fácil de entender. Pero más allá de la priorización, ¿qué más debería o podría medir? Un ejemplo del informe de gestión de vulnerabilidades de Intruder, página 5, métricas principales para cada programa de gestión de vulnerabilidades. Cobertura de escaneo ¿Qué está rastreando y escaneando? La cobertura de escaneo incluye todos los activos que está cubriendo y análisis de todos los activos y aplicaciones críticos para el negocio, y el tipo de autenticación ofrecida (por ejemplo, basada en nombre de usuario y contraseña, o no autenticada). A medida que su superficie de ataque evoluciona, cambia y crece con el tiempo, es importante monitorear cualquier cambio en lo que está cubierto y en su entorno de TI, como los puertos y servicios abiertos recientemente. Un escáner moderno detectará implementaciones que quizás no conocía y evitará que sus datos confidenciales queden expuestos inadvertidamente. También debe monitorear sus sistemas en la nube para detectar cambios, descubrir nuevos activos y sincronizar automáticamente sus IP o nombres de host con integraciones en la nube. Tiempo promedio para corregir El tiempo que le toma a su equipo corregir sus vulnerabilidades críticas revela qué tan receptivo es su equipo al reaccionar a los resultados de cualquier vulnerabilidad reportada. Esto debería ser constantemente bajo, ya que el equipo de seguridad es responsable de resolver los problemas y transmitir el mensaje y los planes de acción para la remediación a la gerencia. También debe basarse en su SLA predefinido. La gravedad de la vulnerabilidad debe tener un período de tiempo relativo o absoluto correspondiente para la planificación y remediación. Puntuación de riesgo El escáner calcula automáticamente la gravedad de cada problema, normalmente Crítico, Alto o Medio. Si decide no parchear un grupo o un específico de vulnerabilidades dentro de un período de tiempo específico, esto es una aceptación del riesgo. Con Intruder puedes posponer un problema si estás dispuesto a aceptar el riesgo y existen factores atenuantes. Por ejemplo, cuando se está preparando para una auditoría SOC2 o ISO y puede ver un riesgo crítico, es posible que esté dispuesto a aceptarlo porque el recurso necesario para solucionarlo no está justificado por el nivel real de riesgo o el impacto potencial en el negocio. Por supuesto, cuando se trata de informes, es posible que su CTO quiera saber cuántos problemas se están posponiendo y por qué. Problemas Este es el punto desde que una vulnerabilidad se hace pública hasta haber escaneado todos los objetivos y detectar cualquier problema. Esencialmente, qué tan rápido se detectan las vulnerabilidades en su superficie de ataque, para poder corregirlas y reducir la ventana de oportunidad para un atacante. ¿Qué significa esto en la práctica? Si su superficie de ataque aumenta, es posible que le lleve más tiempo escanear todo de forma exhaustiva y que su tiempo medio de detección también pueda aumentar. Por el contrario, si su tiempo medio de detección se mantiene estable o disminuye, está utilizando sus recursos de manera efectiva. Si empiezas a ver lo contrario, deberías preguntarte ¿por qué tardas más en detectar las cosas? Y si la respuesta es que la superficie de ataque se ha disparado, tal vez necesite invertir más en sus herramientas y equipo de seguridad. Medir el progreso La priorización (o resultados inteligentes) es importante para ayudarle a decidir qué solucionar primero, debido a su posible impacto en su negocio. El intruso filtra el ruido y ayuda a reducir los falsos positivos, que es una métrica clave a seguir porque una vez que se reduce la cantidad de ruido, puede retroceder y concentrarse en la métrica más importante: el tiempo promedio para solucionarlo. ¿Porque es esto importante? Porque cuando encuentra un problema, desea poder solucionarlo lo más rápido posible. Herramientas como Intruder utilizan múltiples motores de escaneo para interpretar el resultado y priorizar los resultados según el contexto, para que pueda ahorrar tiempo y concentrarse en lo que realmente importa. Cuando se identifica una nueva vulnerabilidad que podría afectar críticamente sus sistemas, Intruder iniciará automáticamente un escaneo. Monitoreo de la superficie de ataque. Esto le ayuda a ver el porcentaje de activos que están protegidos en su superficie de ataque, descubiertos o no descubiertos. A medida que su equipo crea nuevas aplicaciones, el escáner de vulnerabilidades debe verificar cuándo está expuesto un nuevo servicio, para que pueda evitar que los datos queden expuestos sin darse cuenta. Los escáneres modernos monitorean sus sistemas en la nube en busca de cambios, encuentran nuevos activos y sincronizan sus IP o nombres de host con sus integraciones. ¿Porque es esto importante? Su superficie de ataque inevitablemente evolucionará con el tiempo, desde puertos abiertos hasta la creación de nuevas instancias en la nube; debe monitorear estos cambios para minimizar su exposición. Ahí es donde entra en juego nuestro descubrimiento de superficie de ataque. La cantidad de nuevos servicios descubiertos durante el período de tiempo especificado le ayuda a comprender si su superficie de ataque está creciendo (ya sea intencionalmente o no). Por qué son importantes estas métricas Las herramientas modernas de gestión de superficies de ataque como Intruder miden lo que más importa. Ayudan a proporcionar informes para las partes interesadas y el cumplimiento de las vulnerabilidades priorizadas e integraciones con sus herramientas de seguimiento de problemas. Puede ver qué es vulnerable y obtener las prioridades, soluciones, conocimientos y automatización exactos que necesita para gestionar su riesgo cibernético. Si quieres ver Intruder en acción puedes solicitar una demo o probarlo gratis durante 14 días. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

01 de febrero de 2024Sala de redacciónCyber ​​Attack/Botnet El actor de amenazas detrás de una botnet peer-to-peer (P2P) conocida como FritzFrog ha regresado con una nueva variante que aprovecha la vulnerabilidad Log4Shell para propagarse internamente dentro de una red ya comprometida. «La vulnerabilidad se explota con fuerza bruta e intenta atacar tantas aplicaciones Java vulnerables como sea posible», dijo la empresa de seguridad e infraestructura web Akamai en un informe compartido con The Hacker News. FritzFrog, documentado por primera vez por Guardicore (ahora parte de Akamai) en agosto de 2020, es un malware basado en Golang que se dirige principalmente a servidores conectados a Internet con credenciales SSH débiles. Se sabe que está activo desde enero de 2020. Desde entonces, ha evolucionado para atacar a los sectores de salud, educación y gobierno, además de mejorar sus capacidades para, en última instancia, implementar mineros de criptomonedas en hosts infectados. Lo novedoso de la última versión es el uso de la vulnerabilidad Log4Shell como vector de infección secundario para identificar específicamente los hosts internos en lugar de apuntar a activos vulnerables de acceso público. «Cuando se descubrió la vulnerabilidad por primera vez, se dio prioridad a la aplicación de parches en las aplicaciones conectadas a Internet debido a su importante riesgo de verse comprometidas», dijo el investigador de seguridad Ori David. «Por el contrario, las máquinas internas, que tenían menos probabilidades de ser explotadas, a menudo fueron descuidadas y no fueron parcheadas, una circunstancia que FritzFrog aprovecha». Esto significa que incluso si las aplicaciones conectadas a Internet han sido parcheadas, una infracción de cualquier otro punto final puede exponer a la explotación los sistemas internos sin parches y propagar el malware. El componente de fuerza bruta SSH de FritzFrog también recibió su propio lavado de cara para identificar objetivos SSH específicos enumerando varios registros del sistema en cada una de sus víctimas. Otro cambio notable en el malware es el uso de la falla PwnKit rastreada como CVE-2021-4034 para lograr una escalada de privilegios local. «FritzFrog continúa empleando tácticas para permanecer oculto y evitar ser detectado», dijo David. «En particular, se tiene especial cuidado en evitar colocar archivos en el disco cuando sea posible». Esto se logra mediante la ubicación de memoria compartida /dev/shm, que también ha sido utilizada por otro malware basado en Linux como BPFDoor y Commando Cat, y memfd_create para ejecutar cargas útiles residentes en la memoria. La divulgación se produce cuando Akamai reveló que la botnet InfectedSlurs está explotando activamente fallas de seguridad ahora parcheadas (desde CVE-2024-22768 hasta CVE-2024-22772 y CVE-2024-23842) que afectan múltiples modelos de dispositivos DVR de Hitron Systems para lanzar sistemas distribuidos. Ataques de denegación de servicio (DDoS). ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

01 de febrero de 2024Sala de prensaCryptojacking/Seguridad de Linux Los puntos finales de la API Docker expuestos en Internet están bajo el ataque de una sofisticada campaña de cryptojacking llamada Commando Cat. «La campaña despliega un contenedor benigno generado mediante el proyecto Commando», dijeron los investigadores de seguridad de Cado, Nate Bill y Matt Muir, en un nuevo informe publicado hoy. «El atacante escapa de este contenedor y ejecuta múltiples cargas útiles en el host Docker». Se cree que la campaña ha estado activa desde principios de 2024, lo que la convierte en la segunda campaña de este tipo descubierta en otros tantos meses. A mediados de enero, la empresa de seguridad en la nube también arrojó luz sobre otro grupo de actividades que apunta a hosts Docker vulnerables para implementar el minero de criptomonedas XMRig, así como el software 9Hits Viewer. Commando Cat emplea Docker como vector de acceso inicial para entregar una colección de cargas útiles interdependientes desde un servidor controlado por el actor que es responsable de registrar la persistencia, abrir puertas traseras al host, filtrar las credenciales del proveedor de servicios en la nube (CSP) y lanzar el minero. Posteriormente se abusa del punto de apoyo obtenido al violar instancias susceptibles de Docker para implementar un contenedor inofensivo utilizando la herramienta de código abierto Commando y ejecutar un comando malicioso que le permite escapar de los límites del contenedor a través del comando chroot. También ejecuta una serie de comprobaciones para determinar si los servicios denominados «sys-kernel-debugger», «gsc», «c3pool_miner» y «dockercache» están activos en el sistema comprometido y pasa a la siguiente etapa solo si este paso pasa. . «El propósito de la verificación de sys-kernel-debugger no está claro: este servicio no se utiliza en ninguna parte del malware ni forma parte de Linux», dijeron los investigadores. «Es posible que el servicio sea parte de otra campaña con la que el atacante no quiera competir». La fase siguiente implica eliminar cargas útiles adicionales del servidor de comando y control (C2), incluida una puerta trasera de script de shell (user.sh) que es capaz de agregar una clave SSH al archivo ~/.ssh/authorized_keys y crear un usuario deshonesto. llamado «juegos» con una contraseña conocida por el atacante e incluyéndola en el archivo /etc/sudoers. También se entregan de manera similar tres scripts de shell más: tshd.sh, gsc.sh, aws.sh, que están diseñados para eliminar Tiny SHell, una versión improvisada de netcat llamada gs-netcat, y filtrar credenciales y variables de entorno, respectivamente. . «En lugar de utilizar /tmp, [gsc.sh] «También usa /dev/shm en su lugar, que actúa como un almacén de archivos temporal pero con respaldo de memoria», dijeron los investigadores. «Es posible que este sea un mecanismo de evasión, ya que es mucho más común que el malware use /tmp». «Esto también da como resultado que los artefactos no toquen el disco, lo que dificulta un poco el análisis forense. Esta técnica se ha utilizado antes en BPFdoor, una campaña de Linux de alto perfil». El ataque culmina con el despliegue de otra carga útil que se entrega directamente como un script codificado en Base64 en lugar de recuperarse del servidor C2, que, a su vez, elimina el minero de criptomonedas XMRig, pero no antes de eliminar los procesos mineros competidores de la máquina infectada. Los orígenes exactos del actor de amenazas detrás de Commando Cat no están claros actualmente, aunque se ha observado que los scripts de shell y la dirección IP C2 se superponen con aquellos vinculados a grupos de cryptojacking. como TeamTNT en el pasado, lo que plantea la posibilidad de que pueda ser un grupo imitador. «El malware funciona como un ladrón de credenciales, una puerta trasera altamente sigilosa y un minero de criptomonedas, todo en uno», dijeron los investigadores. «Esto lo hace versátil y capaz de extraiga el mayor valor posible de las máquinas infectadas». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

El gobierno de EE. UU. dijo el miércoles que tomó medidas para neutralizar una botnet que comprende cientos de enrutadores de pequeñas oficinas y oficinas domésticas (SOHO) con sede en EE. UU. secuestrados por un actor de amenazas patrocinado por el estado vinculado a China llamado Volt Typhoon y mitigar el impacto que representa el pirateo. campaña. La existencia de la botnet, denominada KV-botnet, fue revelada por primera vez por el equipo de Black Lotus Labs en Lumen Technologies a mediados de diciembre de 2023. Reuters informó sobre el esfuerzo de aplicación de la ley a principios de esta semana. «La gran mayoría de los enrutadores que formaban parte de la botnet KV eran enrutadores Cisco y NetGear que eran vulnerables porque habían alcanzado el estado de ‘fin de vida’; es decir, ya no eran compatibles con los parches de seguridad de sus fabricantes u otras actualizaciones de software». dijo el Departamento de Justicia (DoJ) en un comunicado de prensa. Volt Typhoon (también conocido como DEV-0391, Bronze Silhouette o Vanguard Panda) es el apodo asignado a un colectivo adversario con sede en China que se ha atribuido a ataques cibernéticos dirigidos a sectores de infraestructura críticos en EE. UU. y Guam. «Los ciberactores chinos, incluido un grupo conocido como ‘Volt Typhoon’, están excavando profundamente en nuestra infraestructura crítica para estar preparados para lanzar ciberataques destructivos en caso de una crisis o conflicto importante con los Estados Unidos», señaló la directora de CISA, Jen Easterly. . El grupo de ciberespionaje, que se cree que está activo desde 2021, es conocido por su dependencia de herramientas legítimas y técnicas de vida de la tierra (LotL) para pasar desapercibido y persistir en los entornos de las víctimas durante largos períodos de tiempo para recopilar datos confidenciales. información. Otro aspecto importante de su modus operandi es que intenta integrarse en la actividad normal de la red enrutando el tráfico a través de equipos de red SOHO comprometidos, incluidos enrutadores, firewalls y hardware VPN, en un intento de ofuscar sus orígenes. Esto se logra mediante la botnet KV, que controla dispositivos de Cisco, DrayTek, Fortinet y NETGEAR para usarlos como una red encubierta de transferencia de datos para actores de amenazas persistentes avanzadas. Se sospecha que los operadores de botnets ofrecen sus servicios a otros grupos de hackers, incluido Volt Typhoon. En enero de 2024, un informe de SecurityScorecard de este mes reveló cómo la botnet ha sido responsable de comprometer hasta el 30 % (o 325 de 1116) de los enrutadores Cisco RV320/325 al final de su vida útil durante un período de 37 días desde el 1 de diciembre. , 2023, al 7 de enero de 2024. «Volt Typhoon es al menos un usuario de la botnet KV y […] Esta botnet abarca un subconjunto de su infraestructura operativa», dijo Lumen Black Lotus Labs, y agregó que la botnet «ha estado activa desde al menos febrero de 2022». La botnet también está diseñada para descargar un módulo de red privada virtual (VPN) a los enrutadores vulnerables. y configurar un canal de comunicación cifrado directo para controlar la botnet y utilizarlo como un nodo de retransmisión intermediario para lograr sus objetivos operativos. «Una función de la botnet KV es transmitir tráfico cifrado entre los enrutadores SOHO infectados, lo que permite a los piratas informáticos anonimizar sus actividades (es decir, los piratas informáticos parecen estar operando desde los enrutadores SOHO, en lugar de sus computadoras reales en China)», según declaraciones juradas presentadas por la Oficina Federal de Investigaciones (FBI) de EE. UU. Como parte de sus esfuerzos para interrumpir la botnet, La agencia dijo que emitió comandos de forma remota para atacar enrutadores en los EE. UU. utilizando los protocolos de comunicación del malware para eliminar la carga útil de la botnet KV y evitar que se volvieran a infectar. El FBI dijo que también notificó a cada víctima sobre la operación, ya sea directamente o a través de su proveedor de servicios de Internet si la información de contacto no estaba disponible. «La operación autorizada por el tribunal eliminó el malware KV-botnet de los enrutadores y tomó medidas adicionales para cortar su conexión a la botnet, como bloquear las comunicaciones con otros dispositivos utilizados para controlar la botnet», añadió el Departamento de Justicia. Es importante señalar aquí que las medidas de prevención no especificadas empleadas para eliminar los enrutadores de la botnet son temporales y no pueden sobrevivir a un reinicio. En otras palabras, simplemente reiniciar los dispositivos los haría susceptibles a una reinfección. «El malware Volt Typhoon permitió a China ocultar, entre otras cosas, reconocimiento preoperativo y explotación de redes contra infraestructura crítica como nuestros sectores de comunicaciones, energía, transporte y agua; en otras palabras, medidas que China estaba tomando para encontrar y prepararse para destruir o degradar la infraestructura civil crítica que nos mantiene seguros y prósperos», dijo el director del FBI, Christopher Wray. Sin embargo, el gobierno chino, en un comunicado compartido con Reuters, negó cualquier participación en los ataques, descartándolos como una «campaña de desinformación» y que «ha sido categórico al oponerse a los ataques de piratería y al abuso de la tecnología de la información». Coincidiendo con la eliminación, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó una nueva guía instando a los fabricantes de dispositivos SOHO a adoptar un enfoque seguro desde el diseño durante el desarrollo y alejar la carga de los clientes. Específicamente, recomienda que los fabricantes eliminen los defectos explotables en las interfaces de administración web de los enrutadores SOHO y modifiquen las configuraciones predeterminadas del dispositivo para admitir capacidades de actualización automática y requieran una anulación manual para eliminar las configuraciones de seguridad. El compromiso de dispositivos periféricos, como enrutadores, para su uso en ataques persistentes avanzados montados por Rusia y China pone de relieve un problema creciente que se ve agravado por el hecho de que los dispositivos heredados ya no reciben parches de seguridad y no admiten soluciones de detección y respuesta de puntos finales (EDR). «La creación de productos que carecen de controles de seguridad adecuados es inaceptable dado el actual entorno de amenazas», afirmó CISA. «Este caso ejemplifica cómo la falta de prácticas de diseño seguras puede provocar daños en el mundo real tanto a los clientes como, en este caso, a la infraestructura crítica de nuestra nación». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

23 de enero de 2024Sala de prensaSeguridad del software/Cadena de suministro Se descubrió que dos paquetes maliciosos descubiertos en el registro de paquetes npm aprovechan GitHub para almacenar claves SSH cifradas en Base64 robadas de los sistemas de desarrollador en los que se instalaron. Los módulos llamados warbeast2000 y kodiak2k se publicaron a principios de mes, atrayendo 412 y 1281 descargas antes de que los mantenedores de npm los eliminaran. Las descargas más recientes se produjeron el 21 de enero de 2024. La empresa de seguridad de la cadena de suministro de software ReversingLabs, que hizo el descubrimiento, dijo que había ocho versiones diferentes de warbeast2000 y más de 30 versiones de kodiak2k. Ambos módulos están diseñados para ejecutar un script postinstalación después de la instalación, cada uno capaz de recuperar y ejecutar un archivo JavaScript diferente. Mientras warbeast2000 intenta acceder a la clave SSH privada, kodiak2k está diseñado para buscar una clave llamada «meow», lo que plantea la posibilidad de que el actor de la amenaza haya utilizado un nombre de marcador de posición durante las primeras etapas del desarrollo. «Este script malicioso de segunda etapa lee la clave SSH privada almacenada en el archivo id_rsa ubicado en el /.ssh», dijo la investigadora de seguridad Lucija Valentić sobre warbeast2000. «Luego cargó la clave codificada en Base64 a un repositorio de GitHub controlado por el atacante». Se descubrió que las versiones posteriores de kodiak2k ejecutaban un script que se encuentra en un proyecto archivado de GitHub que aloja el «El marco de post-explotación Empire. El script es capaz de lanzar la herramienta de piratería Mimikatz para volcar las credenciales de la memoria del proceso. «La campaña es sólo el último ejemplo de cibercriminales y actores maliciosos que utilizan administradores de paquetes de código abierto e infraestructura relacionada para respaldar la cadena de suministro de software malicioso. campañas dirigidas a organizaciones de desarrollo y organizaciones de usuarios finales», dijo Valentić. ¿Le pareció interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link