Etiqueta: Noticias de ciberseguridad hoy Página 2 de 3

03 de julio de 2024The Hacker NewsOSINT / Inteligencia artificial Recientemente, la Oficina del Director de Inteligencia Nacional (ODNI) dio a conocer una nueva estrategia para la inteligencia de fuentes abiertas (OSINT) y se refirió a la OSINT como la «INT de primer recurso». Las organizaciones del sector público y privado se están dando cuenta del valor que puede proporcionar la disciplina, pero también están descubriendo que el crecimiento exponencial de los datos digitales en los últimos años ha abrumado a muchos métodos tradicionales de OSINT. Afortunadamente, la inteligencia artificial (IA) y el aprendizaje automático (ML) están comenzando a proporcionar un impacto transformador en el futuro de la recopilación y el análisis de información. ¿Qué es la inteligencia de fuentes abiertas (OSINT)? La inteligencia de fuentes abiertas se refiere a la recopilación y el análisis de información de fuentes disponibles públicamente. Estas fuentes pueden incluir medios tradicionales, plataformas de redes sociales, publicaciones académicas, informes gubernamentales y cualquier otro dato que sea de acceso abierto. La característica clave de la OSINT es que no involucra métodos encubiertos o clandestinos de recopilación de información, como la inteligencia humana o la ingeniería social. Si hubiera podido obtener datos durante mi tiempo trabajando para el gobierno de los EE. UU. pero ya no puedo como civil, eso no es OSINT. Históricamente, OSINT ha sido un proceso laborioso que involucra varios pasos clave: Identificación de fuentes: los analistas determinan qué fuentes públicas probablemente contengan información relevante. Recopilación de datos: la información se recopila de estas fuentes, a menudo a través de búsquedas manuales o herramientas de raspado web. Procesamiento de datos: la información recopilada se organiza y estructura para su análisis. Análisis: los analistas expertos examinan los datos para identificar patrones, tendencias y conocimientos. Informes: los hallazgos se compilan en informes para que los tomadores de decisiones puedan tomar decisiones más informadas. Si bien es efectivo, este enfoque enfrenta limitaciones con el gran volumen de información disponible. Los analistas humanos luchan por procesar todo manualmente y es posible que haya información valiosa oculta en patrones complejos que son difíciles de detectar para los humanos. Aquí es donde la IA/ML puede brindar un tremendo beneficio en cómo se puede recopilar, procesar y analizar la información, liberando así al analista humano para que se concentre en cosas para las que está especialmente calificado, como brindar contexto. Como beneficio adicional, este cambio a menudo mejora la moral, ya que los humanos pasan menos tiempo en tareas de procesamiento mundanas y más tiempo analizando y revisando información. Las tareas en las que la IA/ML puede proporcionar un beneficio inmediato incluyen: Manejo de volúmenes masivos de datos: los sistemas de IA pueden procesar y analizar enormes cantidades de datos a velocidades que superan con creces las capacidades humanas. Esto permite a los profesionales de OSINT lanzar una red mucho más amplia de lo que era posible antes y aún así lidiar con los resultados. Análisis en tiempo real: el volumen del flujo de información en el mundo digital actual es asombroso. Las herramientas OSINT impulsadas por IA pueden monitorear y analizar flujos de datos en tiempo real, brindando inteligencia actualizada y permitiendo una respuesta rápida a situaciones emergentes. Análisis multilingüe y multimodal: la IA puede derribar las barreras del idioma al traducir y analizar contenido en varios idiomas simultáneamente. Además, puede procesar varios tipos de datos (texto, imágenes, audio y video) de manera integrada, brindando un panorama de inteligencia más completo. Muchas de estas capacidades, como Whisper de OpenAI, se pueden utilizar sin conexión, lo que elimina cualquier preocupación sobre la seguridad operativa (OPSEC). Análisis predictivo: al analizar datos históricos y tendencias actuales, la IA puede ayudar a predecir eventos o comportamientos futuros, agregando una dimensión proactiva a OSINT. Automatización de tareas rutinarias: la IA puede ayudar a automatizar muchos aspectos de OSINT que consumen mucho tiempo, como la recopilación de datos y el filtrado inicial, lo que libera a los analistas humanos para que se concentren en el análisis y la toma de decisiones de nivel superior. Las cosas que antes eran muy difíciles, si no imposibles, de implementar, como el análisis preciso de sentimientos, ahora son triviales. En SANS Network Security, el curso SEC497 Practical OSINT y el curso SEC587 Advanced OSINT brindarán a los estudiantes experiencia práctica en el uso de estas capacidades de IA no solo para proporcionar un aumento en la productividad, sino también para descubrir nuevas posibilidades. Si bien ninguna tecnología es perfecta y debemos considerar las posibles ramificaciones que podría causar una alucinación antes de implementar la IA, las piezas clave de la tecnología que se utilizan actualmente para OSINT incluyen: Procesamiento del lenguaje natural (NLP): el NLP permite que las máquinas comprendan, interpreten y generen lenguaje humano. En OSINT, el NLP es crucial para: Análisis de sentimientos de publicaciones en redes sociales Reconocimiento de entidades para identificar personas, organizaciones y ubicaciones en el texto Modelado de temas para categorizar grandes volúmenes de datos de texto Traducción automática para recopilación de inteligencia multilingüe Visión artificial: esta tecnología permite que las máquinas interpreten y analicen información visual. En OSINT, la visión artificial se utiliza para: Reconocimiento facial en imágenes y videos Comparaciones faciales para identificar si la misma persona aparece en varias imágenes Detección de objetos en imágenes Reconocimiento óptico de caracteres (OCR) para extraer texto de las imágenes Comprensión de escenas en secuencias de video Aprendizaje automático y minería de datos: ¿Cuántas veces has escuchado «aquellos que no conocen la historia están condenados a repetirla»? El aprendizaje automático es la personificación de ese concepto, ya que permite a los sistemas aprender de los datos y mejorar su rendimiento con el tiempo. En OSINT, se utilizan para: Análisis predictivo para pronosticar tendencias o eventos Detección de anomalías para identificar patrones o comportamientos inusuales Agrupamiento y clasificación de datos para un análisis más sencillo Análisis de redes para comprender las relaciones entre entidades He estado haciendo OSINT durante casi dos décadas y este es, por lejos, el momento más dinámico y emocionante que he visto con nuevos desarrollos en el espacio que ocurren literalmente a diario. Si va a estar en Network Security en Las Vegas este septiembre, espero poder hablar sobre cómo esta capacidad puede mejorar nuestra efectividad y eficiencia hoy, así como lo que podemos esperar en el futuro. ¿Aún no se registró en SANS Network Security? ¡Consulte esta página para ver todo lo que le espera! Nota: Este artículo está escrito por expertos Matt Edmondson, instructor principal de SANS y director de Argelius Labs, con una década de experiencia profesional en OSINT. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

03 de julio de 2024Sala de prensaSpyware / Vulnerabilidad Se ha observado que actores de amenazas desconocidos explotan una falla de seguridad ahora parcheada en Microsoft MSHTML para entregar una herramienta de vigilancia llamada MerkSpy como parte de una campaña dirigida principalmente a usuarios en Canadá, India, Polonia y EE. UU. «MerkSpy está diseñado para monitorear clandestinamente las actividades de los usuarios, capturar información confidencial y establecer persistencia en sistemas comprometidos», dijo la investigadora de Fortinet FortiGuard Labs, Cara Lin, en un informe publicado la semana pasada. El punto de partida de la cadena de ataque es un documento de Microsoft Word que aparentemente contiene una descripción del trabajo para un puesto de ingeniero de software. Pero abrir el archivo desencadena la explotación de CVE-2021-40444, una falla de alta gravedad en MSHTML que podría resultar en la ejecución remota de código sin requerir ninguna interacción del usuario. Microsoft lo abordó como parte de las actualizaciones del martes de parches publicadas en septiembre de 2021. En este caso, allana el camino para la descarga de un archivo HTML («olerender.html») desde un servidor remoto que, a su vez, inicia la ejecución de un shellcode incrustado después de verificar la versión del sistema operativo. «Olerender.html» aprovecha «‘VirtualProtect’ para modificar los permisos de memoria, lo que permite que el shellcode decodificado se escriba en la memoria de forma segura», explicó Lin. «A continuación, ‘CreateThread’ ejecuta el shellcode inyectado, preparando el escenario para la descarga y ejecución de la siguiente carga útil desde el servidor del atacante. Este proceso garantiza que el código malicioso se ejecute sin problemas, lo que facilita una mayor explotación». El shellcode sirve como descargador de un archivo que se titula engañosamente «GoogleUpdate» pero que, en realidad, alberga una carga útil de inyección responsable de evadir la detección del software de seguridad y cargar MerkSpy en la memoria. El software espía establece persistencia en el host a través de cambios en el Registro de Windows, de modo que se inicia automáticamente al iniciar el sistema. También incluye capacidades para capturar clandestinamente información confidencial, monitorear las actividades de los usuarios y exfiltrar datos a servidores externos bajo el control de los actores de la amenaza. Esto incluye capturas de pantalla, pulsaciones de teclas, credenciales de inicio de sesión almacenadas en Google Chrome y datos de la extensión del navegador MetaMask. Toda esta información se transmite a la URL «45.89.53[.]46/google/actualización[.]php.» El desarrollo se produce luego de que Symantec detallara una campaña de smishing dirigida a usuarios en los EE. UU. con mensajes SMS sospechosos que pretenden ser de Apple y tienen como objetivo engañarlos para que hagan clic en páginas falsas de recolección de credenciales («signin.authen-connexion[.]info/icloud») para poder seguir utilizando los servicios. «El sitio web malicioso es accesible tanto desde navegadores de escritorio como móviles», dijo la empresa propiedad de Broadcom. «Para agregar una capa de legitimidad percibida, han implementado un CAPTCHA que los usuarios deben completar. Después de esto, los usuarios son dirigidos a una página web que imita una plantilla de inicio de sesión de iCloud obsoleta». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

03 de julio de 2024Sala de prensaMalware / Envenenamiento SEO El cargador como servicio (LaaS) conocido como FakeBat se ha convertido en una de las familias de malware de carga más extendidas distribuidas mediante la técnica de descarga automática este año, según revelan los hallazgos de Sekoia. «FakeBat tiene como objetivo principal descargar y ejecutar la carga útil de la siguiente etapa, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif», dijo la compañía en un análisis del martes. Los ataques drive-by implican el uso de métodos como envenenamiento de optimización de motores de búsqueda (SEO), publicidad maliciosa e inyecciones de código nefasto en sitios comprometidos para incitar a los usuarios a descargar instaladores de software falsos o actualizaciones del navegador. El uso de cargadores de malware en los últimos años encaja con el creciente uso de páginas de destino que se hacen pasar por sitios web de software legítimos haciéndolas pasar por instaladores legítimos. Esto se relaciona con el aspecto más amplio de que el phishing y la ingeniería social siguen siendo una de las principales formas de los actores de amenazas para obtener acceso inicial. FakeBat, también conocido como EugenLoader y PaykLoader, ha sido ofrecido a otros ciberdelincuentes bajo un modelo de suscripción LaaS en foros clandestinos por un actor de amenazas de habla rusa llamado Eugenfest (también conocido como Payk_34) desde al menos diciembre de 2022. El cargador está diseñado para eludir los mecanismos de seguridad y brinda a los clientes opciones para generar compilaciones utilizando plantillas para troyanizar software legítimo, así como monitorear las instalaciones a lo largo del tiempo a través de un panel de administración. Si bien las versiones anteriores utilizaban un formato MSI para las compilaciones de malware, las iteraciones recientes observadas desde septiembre de 2023 han cambiado a un formato MSIX y han agregado una firma digital al instalador con un certificado válido para eludir las protecciones SmartScreen de Microsoft. El malware está disponible por 1.000 dólares semanales y 2.500 dólares mensuales para el formato MSI, 1.500 dólares semanales y 4.000 dólares mensuales para el formato MSIX, y 1.800 dólares semanales y 5.000 dólares mensuales para el paquete combinado MSI y firma. Sekoia dijo que detectó diferentes grupos de actividad que difundían FakeBat mediante tres enfoques principales: suplantación de software popular a través de anuncios maliciosos de Google, actualizaciones falsas del navegador web a través de sitios comprometidos y esquemas de ingeniería social en redes sociales. Esto abarca campañas probablemente relacionadas con el grupo FIN7, Nitrogen y BATLOADER. «Además de alojar cargas útiles, FakeBat [command-and-control] «Es muy probable que los servidores filtren el tráfico en función de características como el valor User-Agent, la dirección IP y la ubicación», dijo Sekoia. «Esto permite la distribución del malware a objetivos específicos». La revelación se produce cuando el Centro de Inteligencia de Seguridad AhnLab (ASEC) detalló una campaña de malware que distribuyó otro cargador llamado DBatLoader (también conocido como ModiLoader y NatsoLoader) a través de correos electrónicos de phishing con temática de facturas. También sigue al descubrimiento de cadenas de infección que propagan Hijack Loader (también conocido como DOILoader e IDAT Loader) a través de sitios de descarga de películas pirateadas para finalmente entregar el ladrón de información Lumma. «Esta campaña IDATLOADER está utilizando una cadena de infección compleja que contiene múltiples capas de ofuscación directa basada en código junto con trucos innovadores para ocultar aún más la malicia del código», dijo el investigador de Kroll Dave Truman. «La infección giraba en torno a la utilización de mshta.exe de Microsoft para ejecutar código enterrado en lo profundo de un archivo especialmente diseñado que se hacía pasar por una clave secreta PGP. La campaña utilizó nuevas adaptaciones de técnicas comunes y una fuerte ofuscación para ocultar el código malicioso de la detección». También se han observado campañas de phishing que distribuyen Remcos RAT, con un nuevo actor de amenazas de Europa del Este llamado Unfurling Hemlock que aprovecha los cargadores y los correos electrónicos para dejar caer archivos binarios que actúan como una «bomba de racimo» para propagar diferentes cepas de malware a la vez. «El malware que se distribuye utilizando esta técnica se compone principalmente de ladrones, como RedLine, RisePro y Mystic Stealer, y cargadores como Amadey y SmokeLoader», dijo el investigador de Outpost24, Héctor García. «Se detectó que la mayoría de las primeras etapas se enviaban por correo electrónico a diferentes empresas o se descargaban desde sitios externos que fueron contactados por cargadores externos». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

03 de julio de 2024Sala de prensaMalware / Inteligencia de amenazas Se ha descubierto que el servidor de actualización de productos de un proveedor de planificación de recursos empresariales (ERP) de Corea del Sur no identificado se vio comprometido para entregar una puerta trasera basada en Go denominada Xctdoor. El Centro de Inteligencia de Seguridad AhnLab (ASEC), que identificó el ataque en mayo de 2024, no lo atribuyó a un actor o grupo de amenazas conocido, pero señaló que las tácticas se superponen con las de Andariel, un subgrupo dentro del infame Grupo Lazarus. Las similitudes se derivan del uso anterior por parte del adversario norcoreano de la solución ERP para distribuir malware como HotCroissant, que es idéntico a Rifdoor, en 2017 al insertar una rutina maliciosa en un programa de actualización de software. En el incidente reciente analizado por ASEC, se dice que el mismo ejecutable fue manipulado para ejecutar un archivo DLL desde una ruta específica utilizando el proceso regsvr32.exe en lugar de iniciar un descargador. El archivo DLL, Xctdoor, es capaz de robar información del sistema, incluidas las pulsaciones de teclas, capturas de pantalla y contenido del portapapeles, y ejecutar comandos emitidos por el actor de la amenaza. «Xctdoor se comunica con el [command-and-control] El ataque también utiliza un malware llamado XcLoader, que actúa como un malware inyector responsable de inyectar Xctdoor en procesos legítimos (por ejemplo, «explorer.exe»). El ASEC dijo que detectó además casos en los que se han comprometido servidores web mal protegidos para instalar XcLoader desde al menos marzo de 2024. El desarrollo se produce cuando se ha observado que otro actor de amenazas vinculado a Corea del Norte, conocido como Kimusky, utiliza una puerta trasera previamente no documentada con el nombre en código HappyDoor que se ha utilizado desde julio de 2021. Las cadenas de ataque que distribuyen el malware aprovechan los correos electrónicos de phishing selectivo como punto de partida para difundir un archivo comprimido, que contiene un JavaScript ofuscado o un cuentagotas que, cuando se ejecuta, crea y ejecuta HappyDoor junto con un archivo señuelo. HappyDoor, un archivo DLL ejecutado a través de regsvr32.exe, está equipado para comunicarse con un servidor remoto a través de HTTP y facilitar el robo de información, la descarga/carga de archivos, así como la actualización y finalización de sí mismo. También sigue a una campaña de distribución de malware «masiva» orquestada por el grupo de ciberespionaje Konni (también conocido como Opal Sleet, Osmium o TA406) que tiene como objetivo a Corea del Sur con señuelos de phishing que se hacen pasar por el servicio fiscal nacional para entregar malware capaz de robar información confidencial, dijo el investigador de seguridad Idan Tarab. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

03 de julio de 2024Sala de prensaAtaque cibernético / Malware Los investigadores de ciberseguridad han descubierto una campaña de ataque que tiene como objetivo a varias entidades israelíes con marcos de trabajo disponibles públicamente como Donut y Sliver. La campaña, que se cree que tiene una naturaleza muy específica, «aprovecha la infraestructura específica del objetivo y los sitios web personalizados de WordPress como mecanismo de entrega de carga útil, pero afecta a una variedad de entidades en verticales no relacionadas y se basa en malware de código abierto conocido», dijo HarfangLab en un informe la semana pasada. La empresa francesa está rastreando la actividad bajo el nombre Supposed Grasshopper. Es una referencia a un servidor controlado por el atacante («auth.economy-gov-il»).[.]El programa descargador, escrito en Nim, es rudimentario y se encarga de descargar el malware de segunda etapa desde el servidor de pruebas. Se distribuye por medio de un archivo de disco duro virtual (VHD) que se sospecha que se propaga a través de sitios personalizados de WordPress como parte de un esquema de descarga automática. La carga útil de segunda etapa recuperada del servidor es Donut, un marco de generación de shellcode, que sirve como conducto para implementar una alternativa de código abierto a Cobalt Strike llamada Sliver. «Los operadores también pusieron algunos esfuerzos notables en adquirir una infraestructura dedicada e implementar un sitio web realista de WordPress para entregar cargas útiles», dijeron los investigadores. «En general, esta campaña parece que podría ser el trabajo de un equipo pequeño». El objetivo final de la campaña es actualmente desconocido, aunque HarfangLab teorizó que también podría estar asociada con una operación legítima de prueba de penetración, una posibilidad que plantea su propio conjunto de preguntas en torno a la transparencia y la suplantación de identidad del gobierno israelí. Agencias. La revelación llega cuando el equipo de investigación de amenazas de SonicWall Capture Labs detalló una cadena de infección que emplea hojas de cálculo de Excel con trampas explosivas como punto de partida para lanzar un troyano conocido como Orcinius. «Se trata de un troyano de varias etapas que utiliza Dropbox y Google Docs para descargar cargas útiles de segunda etapa y mantenerse actualizado», dijo la compañía. «Contiene una macro VBA ofuscada que se conecta a Windows para monitorear las ventanas en ejecución y las pulsaciones de teclas y crea persistencia utilizando claves de registro». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

02 de julio de 2024Sala de prensaSeguridad de hardware / Vulnerabilidad Las CPU modernas de Intel, incluidas Raptor Lake y Alder Lake, han resultado vulnerables a un nuevo ataque de canal lateral que podría aprovecharse para filtrar información confidencial de los procesadores. El ataque, cuyo nombre en código han dado los investigadores de seguridad Luyi Li, Hosein Yavarzadeh y Dean Tullsen, aprovecha las deficiencias identificadas en el Predictor de rama indirecta (IBP) y el Buffer de destino de rama (BTB) para eludir las defensas existentes y comprometer la seguridad de las CPU. «El Predictor de rama indirecta (IBP) es un componente de hardware de las CPU modernas que predice las direcciones de destino de las ramas indirectas», señalaron los investigadores. «Las ramas indirectas son instrucciones de flujo de control cuya dirección de destino se calcula en tiempo de ejecución, lo que dificulta su predicción precisa. El IBP utiliza una combinación de historial global y dirección de rama para predecir la dirección de destino de las ramas indirectas». La idea, en esencia, es identificar vulnerabilidades en IBP para lanzar ataques precisos de inyección de objetivo de rama (BTI), también conocidos como Spectre v2 (CVE-2017-5715), que apuntan al predictor de rama indirecta de un procesador para provocar la divulgación no autorizada de información a un atacante con acceso de usuario local a través de un canal lateral. Esto se logra mediante una herramienta personalizada llamada iBranch Locator que se utiliza para localizar cualquier rama indirecta, seguida de la realización de inyecciones de IBP y BTP dirigidas con precisión para realizar una ejecución especulativa. Intel, que se enteró de los hallazgos en febrero de 2024, ha informado desde entonces a otros proveedores de hardware/software afectados sobre el problema. Como mitigaciones, se recomienda hacer un uso más agresivo de la barrera de predicción de rama indirecta (IBPB) y reforzar el diseño de la unidad de predicción de rama (BPU) incorporando etiquetas, cifrado y aleatorización más complejos. La investigación surge luego de que se descubrió que las CPU de Arm son susceptibles a un ataque de ejecución especulativa propio llamado TIKTAG que apunta a la extensión de etiquetado de memoria (MTE) para filtrar datos con una tasa de éxito de más del 95% en menos de cuatro segundos. El estudio «identifica nuevos dispositivos TikTag capaces de filtrar las etiquetas MTE de direcciones de memoria arbitrarias a través de la ejecución especulativa», dijeron los investigadores Juhee Kim, Jinbum Park, Sihyeon Roh, Jaeyoung Chung, Youngjoo Lee, Taesoo Kim y Byoungyoung Lee. «Con los dispositivos TikTag, los atacantes pueden eludir la defensa probabilística de MTE, lo que aumenta la tasa de éxito del ataque en casi un 100%». En respuesta a la revelación, Arm dijo que «MTE puede proporcionar un conjunto limitado de defensas deterministas de primera línea y un conjunto más amplio de defensas probabilísticas de primera línea contra clases específicas de exploits». «Sin embargo, las propiedades probabilísticas no están diseñadas para ser una solución completa contra un adversario interactivo que es capaz de usar la fuerza bruta, filtrar o crear etiquetas de dirección arbitrarias». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El panorama de amenazas de ciberseguridad ha sido testigo de un aumento dramático y alarmante en el pago promedio por ransomware, un aumento que supera el 500%. Sophos, líder mundial en ciberseguridad, reveló en su informe anual «State of Ransomware 2024» que el pago promedio de rescate ha aumentado un 500% en el último año y las organizaciones que pagaron un rescate informaron un pago promedio de $ 2 millones, frente a los $ 400,000 en 2023. Por otra parte, RISK & INSURANCE, una fuente de medios líder para la industria de seguros, informó recientemente que en 2023 la demanda de rescate promedio se disparó a $ 20 millones en 2023 desde $ 1.4 millones en 2022, y el pago se disparó a $ 6.5 millones en 2023 desde $ 335,000 en 2022, mucho más del 500%. Este impactante aumento es un testimonio de la creciente sofisticación de los ciberataques y las vulnerabilidades significativas inherentes a los métodos de seguridad obsoletos. El factor más importante que contribuye a esta tendencia es una amplia dependencia de la autenticación multifactor (MFA) heredada de veinte años, que está demostrando ser totalmente inadecuada contra los ciberataques modernos. Además, la adopción de la IA generativa ha permitido a los ciberdelincuentes diseñar ataques de phishing notablemente convincentes, haciéndolos casi indetectables incluso para los usuarios bien capacitados. Este artículo explora las razones detrás del rápido aumento en los pagos promedio de ransomware, las deficiencias de la MFA heredada y la necesidad de soluciones de MFA de próxima generación. Tres factores que impulsan el aumento de los pagos de ransomware Mejor focalización por parte de los ciberdelincuentes En la búsqueda de pagos de rescate cada vez mayores, los ciberdelincuentes han reorientado sus esfuerzos y tácticas para identificar y paralizar a las organizaciones donde pueden causar la mayor interrupción en las operaciones para extraer los pagos de rescate más grandes. Ejemplos de ello son la pérdida de 100 millones de dólares de MGM, la pérdida de más de mil millones de dólares de Change HealthCare y las pérdidas aún por determinar de CDK Global. Los cibercriminales son muy conscientes de este cálculo económico y lo aprovechan para exigir sumas exorbitantes, sabiendo que es probable que las víctimas accedan a minimizar las pérdidas. Es una decisión empresarial sencilla pero dolorosa para la víctima. Utilización de la IA generativa en ataques de phishing Las tecnologías de IA generativa han revolucionado la forma en que los cibercriminales crean correos electrónicos de phishing. Estas herramientas generan mensajes de phishing altamente convincentes y personalizados, libres de errores gramaticales y ortográficos que son indistinguibles de las comunicaciones legítimas. Al analizar grandes cantidades de datos, la IA generativa puede imitar estilos de escritura, crear escenarios creíbles y dirigirse a individuos con precisión. Estos ataques imitan de manera convincente los correos electrónicos de fuentes confiables, con una marca precisa e información contextualmente relevante. Las organizaciones que dependen de la capacitación de los empleados como estrategia de defensa están viendo cada vez más rendimientos decrecientes de su inversión. Proteja su organización de las crecientes pérdidas por ransomware con MFA resistente al phishing. Descargue el informe técnico «Proteja sus datos con MFA resistente al phishing» para descubrir cómo la MFA portátil de próxima generación puede proteger su información confidencial y superar las deficiencias de las soluciones heredadas. Prácticas de seguridad obsoletas La autenticación multifactor (MFA) ha sido un pilar de la seguridad perimetral durante décadas, diseñada para mejorar la protección de las redes empresariales al requerir múltiples formas de verificación. Sin embargo, los sistemas MFA heredados, incluida la autenticación basada en conocimiento (KBA), las contraseñas de un solo uso (OTP) y las aplicaciones de autenticación, desarrolladas hace veinte años, son cada vez más inadecuados contra los ciberataques modernos. La MFA heredada ha sido derrotada en la abrumadora mayoría de los ataques de ransomware exitosos. Ahora, los ciberdelincuentes comprometen rápidamente la MFA heredada de las siguientes formas. Ataques de phishing: los atacantes engañan a los usuarios para que proporcionen sus credenciales de MFA a través de páginas de inicio de sesión falsas o tácticas de ingeniería social. Intercambio de SIM: los atacantes convencen a un operador móvil para que transfiera el número de teléfono de la víctima a una tarjeta SIM que controlan, interceptando los códigos MFA basados ​​en SMS. Ataques Man-in-the-Middle (MitM): los atacantes interceptan las comunicaciones entre el usuario y el servicio en línea, capturan los tokens MFA y los usan para autenticarse. Malware: el software malicioso en el dispositivo de un usuario puede capturar tokens de autenticación, contraseñas o pulsaciones de teclas, lo que permite a los atacantes eludir la MFA. Otra ingeniería social: los atacantes pueden manipular a las personas para que revelen sus credenciales MFA o realicen acciones que eludan los controles MFA. Secuestro de sesión: los atacantes obtienen acceso a un token de sesión activo (por ejemplo, a través de ataques XSS, CSRF o fijación de sesión) y lo usan para eludir la MFA. Una vez que tienen el token de sesión, pueden hacerse pasar por el usuario sin necesidad de volver a autenticarse. Explotación del proceso de recuperación de cuenta: los atacantes explotan las debilidades en el proceso de recuperación de cuenta para restablecer la configuración MFA del usuario, a menudo eludiendo la MFA. El caso de la implementación de MFA de próxima generación Para combatir eficazmente el tsunami virtual de ataques de ransomware, las organizaciones deben considerar tecnologías MFA de próxima generación resistentes al phishing. Estas soluciones avanzadas incorporan una gama de factores de autenticación sofisticados, incluyendo biometría (como huellas dactilares y reconocimiento facial) que hace que sea significativamente más difícil para los cibercriminales replicarla o comprometerla. Esto es cada vez más relevante si se considera que el Informe de incidentes de violación de datos de Verizon informa constantemente que más de dos tercios de las violaciones son el resultado de credenciales comprometidas y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), una agencia del DHS informa que el 90% de los ataques de ransomware exitosos son el resultado de ataques de phishing. La importancia de la biometría La autenticación biométrica aprovecha los atributos físicos únicos de los usuarios autorizados, como sus huellas dactilares, características faciales y otros rasgos que son extremadamente difíciles de falsificar o robar. La biometría juega un papel crucial en la autenticación multifactor (MFA) de nueva generación debido a varios beneficios clave y características únicas: A diferencia de las contraseñas o tokens, los rasgos biométricos son únicos para cada individuo y son extremadamente difíciles de replicar o robar. Los datos biométricos están inherentemente vinculados al individuo, lo que hace imposible compartirlos o transferirlos, lo que reduce el riesgo de robo de credenciales. La biometría elimina las malas prácticas de contraseñas y ayuda a mitigar los riesgos asociados con contraseñas débiles, reutilizadas o comprometidas, que son vectores de ataque comunes. La biometría es inmune a los ataques de phishing, ya que no se puede capturar o ingresar fácilmente en sitios web falsos. La biometría ayuda a reducir el fraude al garantizar que la persona que accede al sistema sea realmente quien dice ser, lo que evita el robo de identidad y el acceso no autorizado. La conveniencia del usuario es esencial La biometría ofrece un proceso de autenticación rápido y sin problemas, que a menudo solo requiere un escaneo o un toque, lo que mejora la experiencia del usuario. No hay contraseñas que los usuarios deban memorizar ni llaves que evitar perder. Esto reduce la carga de los usuarios y minimiza los errores, los bloqueos y las llamadas al servicio de asistencia técnica. Si una solución de MFA es fácil de usar, es probable que más usuarios la adopten. Los procesos complejos o engorrosos disuaden a los usuarios de participar y respaldar las medidas de seguridad organizacionales. Es más probable que los usuarios sigan los protocolos de seguridad y usen MFA de manera constante si se integra sin problemas en sus rutinas diarias sin causar interrupciones. Los procesos de MFA simplificados reducen la probabilidad de errores de usuario, como escribir códigos mal o colocar tokens incorrectamente. Esto genera menos bloqueos y solicitudes de soporte, lo que ahorra tiempo y recursos para la organización. La MFA conveniente contribuye a un sentimiento positivo hacia las políticas de seguridad y el departamento de TI. Los empleados satisfechos tienen más probabilidades de adoptar medidas de seguridad. Los procesos de autenticación rápidos y fáciles garantizan que los empleados puedan acceder a los recursos que necesitan sin demoras innecesarias, manteniendo los niveles de productividad. En resumen, la conveniencia del usuario en las soluciones MFA es esencial para garantizar altas tasas de adopción, reducir errores y costos de soporte, mejorar la seguridad, mantener la productividad y mejorar la satisfacción general del usuario. Al equilibrar la seguridad con la facilidad de uso, las organizaciones pueden crear un entorno de seguridad eficaz que sea a la vez efectivo y fácil de usar. Elegir la solución MFA adecuada Seleccionar la solución MFA de próxima generación resistente al phishing adecuada requiere una consideración cuidadosa de los requisitos únicos de la organización. Los factores a considerar incluyen los tipos de factores de autenticación admitidos, las capacidades de integración, la facilidad de uso y la escalabilidad. Las organizaciones deben optar por soluciones que ofrezcan un equilibrio de seguridad, usabilidad y flexibilidad. La implementación de MFA de próxima generación debe abordarse en fases para minimizar las interrupciones y garantizar una transición sin problemas. Este enfoque por fases permite realizar pruebas exhaustivas y la aclimatación del usuario. El panorama de la ciberseguridad está en constante evolución, al igual que las medidas de seguridad de una organización. El monitoreo continuo y las actualizaciones regulares son cruciales para mantener la efectividad de las soluciones MFA de última generación y resistentes al phishing. Las organizaciones deben establecer un marco para evaluaciones de seguridad continuas, actualizaciones del sistema e integración de inteligencia de amenazas para mantenerse a la vanguardia de las amenazas emergentes. Conclusión El aumento dramático en los pagos de ransomware es un duro recordatorio del cambiante panorama de las amenazas cibernéticas y la necesidad urgente de mejores medidas de seguridad. Las fallas de los sistemas MFA heredados de veinte años son el principal factor que contribuye a esta alarmante tendencia. A medida que los ciberataques se vuelven más sofisticados, específicamente con el uso de IA generativa para crear mensajes de phishing altamente convincentes, las organizaciones deben dejar atrás las prácticas de seguridad obsoletas y adoptar tecnologías MFA de última generación. Al adoptar métodos de autenticación avanzados, implementar medidas de seguridad adaptativas y garantizar una integración perfecta con su infraestructura de seguridad, las organizaciones pueden mejorar significativamente su defensa contra los ataques de ransomware. La transición a MFA de última generación y resistente al phishing no es solo una actualización tecnológica; Es un imperativo estratégico para salvaguardar los datos críticos, reducir el riesgo de pérdidas financieras catastróficas y garantizar la resiliencia operativa frente a las crecientes amenazas cibernéticas. En la batalla contra el ransomware, el mensaje es claro: los sistemas MFA heredados ya no son suficientes. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

02 de julio de 2024Sala de prensaEspionaje cibernético / Vulnerabilidad Se ha observado que un grupo de espionaje cibernético con nexo con China llamado Velvet Ant explota una falla de día cero en el software Cisco NX-OS utilizado en sus conmutadores para distribuir malware. La vulnerabilidad, identificada como CVE-2024-20399 (puntuación CVSS: 6.0), se refiere a un caso de inyección de comandos que permite a un atacante local autenticado ejecutar comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado. «Al explotar esta vulnerabilidad, Velvet Ant ejecutó con éxito un malware personalizado previamente desconocido que permitió al grupo de amenazas conectarse de forma remota a dispositivos Cisco Nexus comprometidos, cargar archivos adicionales y ejecutar código en los dispositivos», dijo la firma de ciberseguridad Sygnia en una declaración compartida con The Hacker News. Cisco dijo que el problema se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI de configuración específicos, que podrían ser explotados por un adversario al incluir una entrada diseñada como argumento de un comando CLI de configuración afectado. Además, permite que un usuario con privilegios de administrador ejecute comandos sin activar mensajes de registro del sistema, lo que permite ocultar la ejecución de comandos de shell en dispositivos pirateados. A pesar de las capacidades de ejecución de código de la falla, la menor gravedad se debe al hecho de que para explotarla con éxito es necesario que el atacante ya esté en posesión de credenciales de administrador y tenga acceso a comandos de configuración específicos. Los siguientes dispositivos se ven afectados por CVE-2024-20399: conmutadores multicapa de la serie MDS 9000, conmutadores de la serie Nexus 3000, conmutadores de la plataforma Nexus 5500, conmutadores de la plataforma Nexus 5600, conmutadores de la serie Nexus 6000, conmutadores de la serie Nexus 7000 y conmutadores de la serie Nexus 9000 en modo NX-OS independiente Velvet Ant fue documentado por primera vez por la empresa de ciberseguridad israelí el mes pasado en relación con un ciberataque dirigido a una organización anónima ubicada en el este de Asia durante un período de aproximadamente tres años mediante el establecimiento de persistencia utilizando dispositivos F5 BIG-IP obsoletos para robar de forma sigilosa información financiera y de clientes. «Los dispositivos de red, en particular los conmutadores, a menudo no se monitorean y sus registros con frecuencia no se envían a un sistema de registro centralizado», dijo Sygnia. «Esta falta de monitoreo crea desafíos significativos para identificar e investigar actividades maliciosas». El desarrollo se produce cuando los actores de amenazas están explotando una vulnerabilidad crítica que afecta a los enrutadores Wi-Fi D-Link DIR-859 (CVE-2024-0769, puntuación CVSS: 9.8) -un problema de recorrido de ruta que conduce a la divulgación de información- para recopilar información de cuentas, como nombres, contraseñas, grupos y descripciones de todos los usuarios. «Las variaciones del exploit […] «El producto ya no está disponible, por lo que no se aplicarán parches, lo que plantea riesgos de explotación a largo plazo. Se pueden invocar varios archivos XML utilizando la vulnerabilidad», afirmó la firma de inteligencia de amenazas GreyNoise. «Este artículo le resultó interesante. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

02 de julio de 2024Sala de prensaRegulación digital / Noticias tecnológicas La decisión de Meta de ofrecer una suscripción sin publicidad en la Unión Europea (UE) se ha enfrentado a un nuevo revés después de que los reguladores acusaran al gigante de las redes sociales de infringir las normas de competencia del bloque al obligar a los usuarios a elegir entre ver anuncios o pagar para evitarlos. La Comisión Europea dijo que el modelo publicitario de «pago o consentimiento» de la empresa contraviene la Ley de Mercados Digitales (DMA). «Esta elección binaria obliga a los usuarios a dar su consentimiento a la combinación de sus datos personales y no les proporciona una versión menos personalizada pero equivalente de las redes sociales de Meta», dijo la Comisión. También señaló que las empresas que desempeñan funciones de guardián deben solicitar el permiso de los usuarios para combinar sus datos personales entre los servicios básicos de la plataforma designados y otros servicios (por ejemplo, publicidad) y que los usuarios que se nieguen a optar por ello deben tener acceso a una alternativa menos personalizada pero equivalente. Además, el enfoque de Meta no permite a los usuarios elegir un servicio que utilice menos datos personales, afirmando que no permite a los usuarios ejercer su derecho a consentir libremente la combinación de sus datos de sus servicios para dirigirse a ellos con anuncios personalizados en línea, dijo la Comisión. «Los usuarios que no consientan deben tener acceso a un servicio equivalente que utilice menos datos personales, en este caso para la personalización de la publicidad», agregó. Meta anunció por primera vez sus planes para una opción sin publicidad para acceder a Facebook e Instagram para los usuarios de la UE, el Espacio Económico Europeo (EEE) y Suiza en octubre de 2023 como una forma de cumplir con las estrictas leyes de privacidad de la región. Pero en los meses intermedios, el gigante tecnológico estadounidense se ha enfrentado a críticas por no ofrecer opciones reales para que los clientes opten, sino que los obliga a consentir el seguimiento con fines publicitarios o a pagar cada mes para evitar ver anuncios personalizados por completo. «Los usuarios europeos tienen ahora la ‘opción’ de consentir que se les rastree para publicidad personalizada o pagar hasta 251,88 euros al año para conservar su derecho fundamental a la protección de datos en Instagram y Facebook», dijo a finales del año pasado la organización austriaca noyb, una organización sin ánimo de lucro dedicada a la privacidad. «No sólo el coste es inaceptable, sino que las cifras del sector sugieren que sólo el 3% de las personas quieren ser rastreadas, mientras que más del 99% decide no pagar cuando se enfrenta a una ‘tarifa de privacidad'». Si se confirman los hallazgos preliminares, Meta podría ser multada con hasta el 10% de su facturación mundial total, una cifra que puede llegar hasta el 20% por infracción sistemática de las normas. «La suscripción sin anuncios sigue la dirección del tribunal más alto de Europa y cumple con la DMA», dijo Meta en un comunicado compartido con Associated Press. Además, dijo que entablará un «diálogo constructivo» con la Comisión como parte de la investigación. El anuncio se produce después de que un tribunal noruego confirmara que la aplicación de citas online Grindr violó las leyes de protección de datos GDPR en la UE al compartir datos de los usuarios con anunciantes, lo que le obliga a pagar una multa de 5,7 millones de euros (6,1 millones de dólares). ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

02 de julio de 2024Sala de prensaRobo de datos / Seguridad Wi-Fi Un hombre australiano ha sido acusado de operar un punto de acceso Wi-Fi falso durante un vuelo nacional con el objetivo de robar credenciales y datos de los usuarios. El hombre de 42 años, cuyo nombre no se dio a conocer, «supuestamente estableció puntos de acceso Wi-Fi gratuitos falsos, que imitaban redes legítimas, para capturar datos personales de víctimas desprevenidas que se conectaron a ellos por error», dijo la Policía Federal Australiana (AFP) en un comunicado de prensa la semana pasada. La agencia dijo que el sospechoso fue acusado en mayo de 2024 después de que iniciara una investigación un mes antes tras un informe de una aerolínea sobre una red Wi-Fi sospechosa identificada por sus empleados durante un vuelo nacional. Una revisión posterior de su equipaje el 19 de abril condujo a la incautación de un dispositivo de acceso inalámbrico portátil, una computadora portátil y un teléfono móvil. Fue arrestado el 8 de mayo después de que se ejecutara una orden de registro en su casa. El individuo habría organizado lo que se denomina un ataque de Wi-Fi gemelo malvado en varios lugares, incluidos vuelos nacionales y aeropuertos en Perth, Melbourne y Adelaida, para hacerse pasar por redes Wi-Fi legítimas. Los usuarios que intentaron conectarse a la red gratuita falsa fueron invitados a ingresar su dirección de correo electrónico o credenciales de redes sociales a través de una página web de portal cautivo. «Los detalles de correo electrónico y contraseña recopilados podrían usarse para acceder a más información personal, incluidas las comunicaciones en línea de la víctima, imágenes y videos almacenados o detalles bancarios», dijo la AFP. El acusado ha sido acusado de tres cargos de deterioro no autorizado de la comunicación electrónica y tres cargos de posesión o control de datos con la intención de cometer un delito grave. También ha sido acusado de un cargo de acceso no autorizado o modificación de datos restringidos, un cargo de obtención o tráfico deshonesto de información financiera personal y un cargo de posesión de información de identificación. Si es declarado culpable, se enfrenta a un máximo de 23 años de prisión. «Para conectarse a una red wifi gratuita, no debería tener que introducir ningún dato personal, como iniciar sesión a través de un correo electrónico o una cuenta de redes sociales», dijo a la AFP la inspectora de delitos cibernéticos del Comando Oeste, Andrea Coleman. «Si desea utilizar puntos de acceso wifi públicos, instale una red privada virtual (VPN) de confianza en sus dispositivos para cifrar y proteger sus datos cuando utilice Internet». ¿Le ha parecido interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.