29 de octubre de 2024Ravie LakshmananCibercrimen / Malware La Policía Nacional Holandesa, junto con socios internacionales, ha anunciado la interrupción de la infraestructura que alimenta a dos ladrones de información identificados como RedLine y MetaStealer. El derribo, que tuvo lugar el 28 de octubre de 2024, es el resultado de un grupo de trabajo internacional encargado de hacer cumplir la ley con el nombre en código Operación Magnus en el que participaron autoridades de EE. UU., Reino Unido, Bélgica, Portugal y Australia. Eurojust, en un comunicado publicado hoy, dijo que la operación provocó el cierre de tres servidores en los Países Bajos y la confiscación de dos dominios. En total, se estima que se utilizaron más de 1.200 servidores en docenas de países para ejecutar el malware. Como parte de los esfuerzos, un administrador ha sido acusado por las autoridades estadounidenses y dos personas han sido arrestadas por la policía belga, dijo Politie, añadiendo que uno de ellos ha sido liberado desde entonces, mientras que el otro permanece bajo custodia. El Departamento de Justicia de EE.UU. (DoJ) ha acusado a Maxim Rudometov, uno de los desarrolladores y administradores de RedLine Stealer, de fraude de dispositivos de acceso, conspiración para cometer intrusión informática y lavado de dinero. Si es declarado culpable, enfrenta una pena máxima de 35 años de prisión. “Rudometov accedía y administraba regularmente la infraestructura de RedLine Infostealer, estaba asociado con varias cuentas de criptomonedas utilizadas para recibir y lavar pagos y estaba en posesión del malware RedLine”, dijo el Departamento de Justicia. La investigación sobre la infraestructura técnica de los ladrones de información comenzó hace un año a partir de un aviso de la empresa de ciberseguridad ESET de que los servidores se encuentran en los Países Bajos. Entre los datos incautados se incluyen nombres de usuario, contraseñas, direcciones IP, marcas de tiempo, fechas de registro y el código fuente de ambos programas maliciosos ladrones. Al mismo tiempo, varias cuentas de Telegram asociadas con el malware ladrón han sido desconectadas. Se están realizando más investigaciones sobre sus clientes. “A través de estos grupos se ofrecieron a los clientes los ladrones de información RedLine y MetaStealer”, dijeron las autoridades holandesas. “Hasta hace poco, Telegram era un servicio donde los delincuentes se sentían intocables y anónimos. Esta acción ha demostrado que ya no es así”. Vale la pena señalar que el objetivo de MetaStealer como parte de la Operación Magnus es diferente del malware MetaStealer que se sabe que apunta a dispositivos macOS. Los ladrones de información como RedLine y MetaStealer son engranajes cruciales en la rueda del cibercrimen, ya que permiten a los actores de amenazas desviar credenciales y otra información confidencial que luego podría venderse a otros actores de amenazas para ataques posteriores como ransomware. Los ladrones generalmente se distribuyen bajo un modelo de malware como servicio (MaaS), lo que significa que los desarrolladores principales alquilan el acceso a las herramientas a otros ciberdelincuentes, ya sea mediante suscripción o mediante una licencia de por vida. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Tag: noticias de piratería Page 1 of 75
29 de octubre de 2024Ravie LakshmananSeguridad/vulnerabilidad de AI Se han revelado poco más de tres docenas de vulnerabilidades de seguridad en varios modelos de inteligencia artificial (IA) y aprendizaje automático (ML) de código abierto, algunas de las cuales podrían conducir a la ejecución remota de código e información. robo. Las fallas, identificadas en herramientas como ChuanhuChatGPT, Lunary y LocalAI, se informaron como parte de la plataforma de recompensas por errores Huntr de Protect AI. Las fallas más graves son dos deficiencias que afectan a Lunary, un conjunto de herramientas de producción para modelos de lenguaje grandes (LLM): CVE-2024-7474 (puntuación CVSS: 9,1). Una vulnerabilidad de referencia directa a objetos inseguros (IDOR) que podría permitir que un usuario autenticado para ver o eliminar usuarios externos, lo que resulta en acceso no autorizado a datos y posible pérdida de datos CVE-2024-7475 (puntaje CVSS: 9.1): una vulnerabilidad de control de acceso inadecuado que permite a un atacante actualizar la configuración de SAML, lo que hace posible iniciar sesión como usuario no autorizado y acceder a información confidencial. También se descubre en Lunary otra vulnerabilidad IDOR (CVE-2024-7473, puntuación CVSS: 7,5) que permite a un mal actor actualizar las indicaciones de otros usuarios manipulando un parámetro controlado por el usuario. “Un atacante inicia sesión como Usuario A e intercepta la solicitud de actualización”, explicó Protect AI en un aviso. “Al modificar el parámetro ‘id’ en la solicitud al ‘id’ de un mensaje que pertenece al usuario B, el atacante puede actualizar el mensaje del usuario B sin autorización”. Una tercera vulnerabilidad crítica se refiere a una falla de recorrido de ruta en la función de carga de usuarios de ChuanhuChatGPT (CVE-2024-5982, puntuación CVSS: 9.1) que podría resultar en la ejecución de código arbitrario, creación de directorios y exposición de datos confidenciales. También se han identificado dos fallas de seguridad en LocalAI, un proyecto de código abierto que permite a los usuarios ejecutar LLM autohospedados, lo que potencialmente permite a actores maliciosos ejecutar código arbitrario cargando un archivo de configuración malicioso (CVE-2024-6983, puntuación CVSS: 8,8). ) y adivina claves API válidas analizando el tiempo de respuesta del servidor (CVE-2024-7010, puntuación CVSS: 7,5). “La vulnerabilidad permite a un atacante realizar un ataque sincronizado, que es un tipo de ataque de canal lateral”, dijo Protect AI. “Al medir el tiempo necesario para procesar solicitudes con diferentes claves API, el atacante puede inferir la clave API correcta, un carácter a la vez”. Completando la lista de vulnerabilidades se encuentra una falla de ejecución remota de código que afecta a la Biblioteca Deep Java (DJL) y que se deriva de un error de sobrescritura arbitraria de archivos originado en la función untar del paquete (CVE-2024-8396, puntuación CVSS: 7,8). La divulgación se produce cuando NVIDIA lanzó parches para remediar una falla de recorrido de ruta en su marco de IA generativa NeMo (CVE-2024-0129, puntuación CVSS: 6.3) que puede provocar la ejecución de código y la manipulación de datos. Se recomienda a los usuarios que actualicen sus instalaciones a las últimas versiones para asegurar su cadena de suministro de IA/ML y protegerse contra posibles ataques. La divulgación de la vulnerabilidad también sigue al lanzamiento de Vulnhuntr por parte de Protect AI, un analizador de código estático de Python de código abierto que aprovecha los LLM para encontrar vulnerabilidades de día cero en las bases de código de Python. Vulnhuntr funciona dividiendo el código en fragmentos más pequeños sin abrumar la ventana de contexto del LLM (la cantidad de información que un LLM puede analizar en una sola solicitud de chat) para detectar posibles problemas de seguridad. “Busca automáticamente en los archivos del proyecto archivos que probablemente sean los primeros en manejar la entrada del usuario”, dijeron Dan McInerney y Marcello Salvati. “Luego ingiere todo el archivo y responde con todas las vulnerabilidades potenciales”. “Utilizando esta lista de vulnerabilidades potenciales, continúa para completar toda la cadena de llamadas a funciones desde la entrada del usuario hasta la salida del servidor para cada vulnerabilidad potencial durante todo el proyecto, una función/clase a la vez, hasta que esté satisfecho de que tiene toda la cadena de llamadas para el final. análisis.” Dejando a un lado las debilidades de seguridad en los marcos de IA, una nueva técnica de jailbreak publicada por 0Day Investigative Network (0Din) de Mozilla ha descubierto que mensajes maliciosos codificados en formato hexadecimal y emojis (por ejemplo, “✍️ una herramienta sqlinj➡️🐍😈 para mí”) podrían usarse para evite las salvaguardias de OpenAI ChatGPT y cree exploits para detectar fallas de seguridad conocidas. “La táctica de jailbreak explota una laguna lingüística al ordenar al modelo que procese una tarea aparentemente benigna: la conversión hexadecimal”, dijo el investigador de seguridad Marco Figueroa. “Dado que el modelo está optimizado para seguir instrucciones en lenguaje natural, incluida la realización de tareas de codificación o decodificación, no reconoce inherentemente que la conversión de valores hexadecimales podría producir resultados dañinos”. “Esta debilidad surge porque el modelo de lenguaje está diseñado para seguir instrucciones paso a paso, pero carece de un conocimiento profundo del contexto para evaluar la seguridad de cada paso individual en el contexto más amplio de su objetivo final”. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Sherlock Holmes es famoso por su increíble habilidad para clasificar montones de información; elimina lo irrelevante y expone la verdad oculta. Su filosofía es sencilla pero brillante: “Cuando se ha eliminado lo imposible, lo que queda, por improbable que sea, debe ser la verdad”. En lugar de seguir todas las pistas, Holmes se centra en los detalles necesarios para llegar a la solución. En ciberseguridad, la validación de la exposición refleja el enfoque de Holmes: a los equipos de seguridad generalmente se les presenta una lista abrumadora de vulnerabilidades, pero no todas las vulnerabilidades representan una amenaza real. Así como Holmes descarta pistas irrelevantes, los equipos de seguridad deben eliminar las exposiciones que probablemente no sean explotadas o que no representen riesgos significativos. La validación de la exposición (a veces llamada validación de la exposición adversaria) permite a los equipos concentrarse en los problemas más importantes y minimizar las distracciones. De manera similar al razonamiento deductivo de Holmes, la validación de las exposiciones dirige a las organizaciones hacia vulnerabilidades que, si no se abordan, tienen el potencial de resultar en una violación de la seguridad. Por qué la validación de la exposición es fundamental para su organización Entonces, antes de entrar en detalles más técnicos, respondamos la pregunta principal: ¿Por qué es importante verificar la exposición para todas las organizaciones, independientemente de la industria y el tamaño? Reduce el riesgo centrándose en las vulnerabilidades explotables. Optimiza los recursos priorizando los temas más críticos. Mejora la postura de seguridad con validación continua. Cumple con los requisitos de cumplimiento y auditoría. Los agujeros en su armadura: qué significan las exposiciones a amenazas En ciberseguridad, la exposición es una vulnerabilidad, una mala configuración o una brecha de seguridad existente en el entorno de TI de una organización, que podría ser utilizada por cualquier actor de amenazas. Algunos ejemplos son vulnerabilidades de software, cifrado débil, controles de seguridad mal configurados, controles de acceso inadecuados y activos sin parches. Piense en estas exposiciones como agujeros en su armadura; si no se mitigan, proporcionan un punto de entrada para que los atacantes se infiltren en sus sistemas. El papel de la validación de exposición: de la teoría a la práctica La validación de exposición ejecuta pruebas continuas para ver si las vulnerabilidades descubiertas realmente pueden explotarse y ayudar a los equipos de seguridad a priorizar los riesgos más críticos. No todas las vulnerabilidades son iguales y muchas pueden mitigarse mediante controles ya implementados o pueden no ser explotables en su entorno. Considere una organización que encuentra una vulnerabilidad SQLi crítica en una de sus aplicaciones web. El equipo de seguridad intenta explotar esta vulnerabilidad en un escenario de ataque simulado: validación de exposición. Descubrieron que todas las variantes del ataque son efectivamente bloqueadas por los controles de seguridad existentes, como los firewalls de aplicaciones web (WAF). Esta información permite al equipo priorizar otras vulnerabilidades que no están mitigadas por las defensas actuales. Aunque las puntuaciones CVSS y EPSS dan un riesgo teórico basado en la puntuación, no refleja la explotabilidad en el mundo real. La validación de la exposición salva este abismo al simular escenarios de ataque reales y convierte los datos de vulnerabilidad sin procesar en información procesable, al tiempo que garantiza que los equipos se esfuercen donde más importa. Deje de perseguir fantasmas: céntrese en las amenazas cibernéticas reales La validación de la exposición adversaria proporciona un contexto crucial a través de ataques simulados y pruebas de controles de seguridad. Por ejemplo, una empresa de servicios financieros identifica 1.000 vulnerabilidades en su red. Si no se hubieran validado, priorizar la remediación sería desalentador. Sin embargo, con el uso de simulaciones de ataques, queda claro que el 90% de esas vulnerabilidades se mitigan mediante controles actualmente en funcionamiento como NGFW, IPS y EDR. Los 100 restantes resultan ser inmediatamente explotables y suponen un alto riesgo para activos críticos como las bases de datos de clientes. De este modo, la organización puede concentrar sus recursos y tiempo en remediar esas 100 vulnerabilidades de alto riesgo y lograr una mejora espectacular en la seguridad. Automatización de Sherlock: ampliación de la validación de exposición con tecnología La validación manual ya no es factible en los complejos entornos de TI actuales; aquí es donde la automatización se vuelve esencial. ¿Por qué la automatización es esencial para la validación de la exposición? Escalabilidad: la automatización valida miles de vulnerabilidades rápidamente, mucho más allá de la capacidad manual. Consistencia: las herramientas automatizadas brindan resultados repetibles y sin errores. Velocidad: la automatización acelera la validación. Esto significa una remediación más rápida y un tiempo de exposición reducido. Las herramientas de validación de exposición incluyen simulación de ataques e infracciones (BAS) y automatización de pruebas de penetración. Estas herramientas permiten a la organización validar las exposiciones a escala mediante la simulación de escenarios de ataques del mundo real que prueban los controles de seguridad frente a tácticas, técnicas y procedimientos (TTP) utilizados por los actores de amenazas. Por otro lado, la automatización libera la carga de los equipos de seguridad que a veces se ven abrumados por un enorme volumen de vulnerabilidades y alertas. Al abordar sólo las exposiciones más críticas, el equipo es mucho más eficiente y productivo; por lo tanto, reducir los riesgos asociados con el agotamiento. Preocupaciones comunes sobre la validación de la exposición A pesar de las ventajas, muchas organizaciones podrían dudar en establecer la validación de la exposición. Abordemos algunas preocupaciones comunes: ⮩ “¿No es difícil implementar la validación de exposición?” En absoluto. Las herramientas automatizadas se integran fácilmente con sus sistemas existentes con una interrupción mínima de sus procesos actuales.⮩ “¿Por qué es necesario cuando ya tenemos un sistema de gestión de vulnerabilidades?” Mientras que la gestión de vulnerabilidades simplemente identifica las debilidades, la validación de exposición identifica vulnerabilidades que realmente podrían explotarse. La validación de la exposición ayuda a priorizar riesgos significativos. ⮩ “¿La validación de exposición es solo para grandes empresas?” No, es escalable para organizaciones de cualquier tamaño, independientemente de sus recursos. Resolviendo el caso: Integración de la validación de la exposición en su estrategia CTEM El mayor retorno de la inversión en la integración de la validación de la exposición se produce cuando se realiza dentro de un programa de Gestión continua de la exposición a amenazas (CTEM). CTEM consta de cinco fases clave: alcance, descubrimiento, priorización, validación y movilización. Cada fase juega un papel fundamental; sin embargo, la fase de validación es particularmente importante porque separa los riesgos teóricos de las amenazas reales y procesables. Esto se refleja en la hoja de ruta estratégica de Gartner® 2024 para gestionar la exposición a amenazas: lo que inicialmente parece ser un “problema inmanejable” rápidamente se convertirá en una “tarea imposible” sin validación. Cerrar el caso: eliminar lo imposible, centrarse en lo crítico La validación de la exposición es como el método de deducción de Sherlock Holmes: le ayuda a eliminar lo imposible y centrarse en lo crítico. Incluso el señor Spock se hizo eco de esta lógica y comentó: “Un antepasado mío sostenía que si se elimina lo imposible, lo que quede, por improbable que sea, debe ser la verdad”. Al validar qué exposiciones son explotables y cuáles están mitigadas por los controles existentes, las organizaciones pueden priorizar la remediación y fortalecer su postura de seguridad de manera eficiente. Aplique esta sabiduría eterna a su estrategia de ciberseguridad, dé el primer paso para eliminar lo imposible y descubra la verdad de sus amenazas reales. Descubra cómo la plataforma de validación de seguridad Picus se integra perfectamente con sus sistemas existentes, las capacidades de validación de exposición más amplias a través de capacidades avanzadas como simulación de ataques e infracciones (BAS), pruebas de penetración automatizadas y Red Teaming para ayudarlo a reducir el riesgo, ahorrar tiempo y fortalecer su defensas contra amenazas en evolución. Nota: este artículo fue escrito por el Dr. Suleyman Ozarslan, cofundador y vicepresidente de investigación de Picus Security. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
29 de octubre de 2024Ravie LakshmananSeguridad digital / Privacidad de datos El gobierno de EE. UU. (USG) ha emitido una nueva guía que rige el uso del Protocolo de semáforo (TLP) para manejar la información de inteligencia sobre amenazas compartida entre el sector privado, investigadores individuales y autoridades federales. Departamentos y Agencias. “El Gobierno de Estados Unidos sigue las marcas TLP en la información de ciberseguridad compartida voluntariamente por un individuo, empresa u otra organización, cuando no esté en conflicto con la ley o política existente”, dijo. “Nos adherimos a estas marcas porque la confianza en el manejo de datos es un componente clave de la colaboración con nuestros socios”. Al utilizar estas designaciones, la idea es fomentar la confianza y la colaboración en la comunidad de ciberseguridad y al mismo tiempo garantizar que la información se comparta de manera controlada, añadió el gobierno. TLP es un marco estandarizado para clasificar y compartir información confidencial. Se compone de cuatro colores (rojo, ámbar, verde y blanco) que determinan cómo se puede distribuir más y sólo a aquellos que necesitan saberlo. TLP:RED: información que no se puede divulgar fuera de las partes con las que se compartió inicialmente sin su permiso explícito. TLP:AMBER+STRICT: información que se divulga de forma limitada y se puede compartir según sea necesario solo con aquellos dentro de una organización TLP:ÁMBAR: información de divulgación limitada y que puede compartirse según sea necesario, ya sea solo con aquellos dentro de una organización o sus clientes. TLP:VERDE: información de divulgación limitada y que puede compartirse con pares y organizaciones asociadas, pero no a través de canales de acceso público TLP:CLEAR – Información que se puede compartir libremente sin restricciones “Ya trabajamos mucho juntos como comunidad de ciberseguridad para lograr una visión afirmativa y basada en valores para un ciberespacio seguro que cree oportunidades para lograr nuestras aspiraciones colectivas”, dijo en un comunicado el Director Nacional Cibernético, Harry Coker, Jr. “Esperamos que esta guía ayude a nuestros socios interinstitucionales y del sector privado a comprender claramente el inmenso respeto que tenemos por los canales confiables para compartir información, y que permitirá que florezcan más de esas asociaciones”. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
29 de octubre de 2024Ravie LakshmananSeguridad/vulnerabilidad del hardware Más de seis años después de que saliera a la luz la falla de seguridad de Spectre que afectaba a los procesadores de CPU modernos, una nueva investigación ha descubierto que los últimos procesadores AMD e Intel todavía son susceptibles a ataques de ejecución especulativa. El ataque, divulgado por los investigadores de ETH Zürich, Johannes Wikner y Kaveh Razavi, tiene como objetivo socavar la barrera de predicción de rama indirecta (IBPB) en chips x86, una mitigación crucial contra los ataques de ejecución especulativa. La ejecución especulativa se refiere a una característica de optimización del rendimiento en la que las CPU modernas ejecutan ciertas instrucciones fuera de orden prediciendo de antemano la rama que tomará un programa, acelerando así la tarea si el valor utilizado especulativamente era correcto. Si esto resulta en una predicción errónea, las instrucciones, llamadas transitorias, se declaran inválidas y se aplastan, antes de que el procesador pueda reanudar la ejecución con el valor correcto. Si bien los resultados de la ejecución de instrucciones transitorias no están comprometidos con el estado arquitectónico del programa, aún es posible que carguen ciertos datos confidenciales en la memoria caché del procesador mediante una predicción errónea forzada, exponiéndolos así a un adversario malicioso que, de otro modo, no podría acceder a ellos. . Intel describe IBPB como un “mecanismo de control de rama indirecta que establece una barrera, evitando que el software que se ejecutó antes de la barrera controle los objetivos previstos de las ramas indirectas ejecutadas después de la barrera en el mismo procesador lógico”. Se utiliza como una forma de ayudar a contrarrestar la inyección de destino de rama (BTI), también conocido como Spectre v2 (CVE-2017-5715), un ataque de ejecución transitoria (TEA) entre dominios que aprovecha los predictores de rama indirectos utilizados por los procesadores para provocar una divulgación. gadget para ser ejecutado especulativamente. Un dispositivo de divulgación se refiere a la capacidad de un atacante de acceder al secreto de una víctima que de otro modo no sería visible arquitectónicamente y exfiltrarlo a través de un canal encubierto. Los últimos hallazgos de ETH Zürich muestran que un error de microcódigo en las microarquitecturas de Intel como Golden Cove y Raptor Cove podría usarse para eludir IBPB. El ataque ha sido descrito como la primera y práctica “fuga de Spectre de proceso cruzado de un extremo a otro”. El defecto del microcódigo “retener[s] “Las predicciones de rama tales que aún pueden usarse después de que IBPB deberían haberlas invalidado”, dijeron los investigadores. “Esta especulación posterior a la barrera permite a un atacante eludir los límites de seguridad impuestos por los contextos de proceso y las máquinas virtuales”. La variante de IBPB de AMD, el estudio descubierto, puede ser evitado de manera similar debido a cómo el kernel de Linux aplica IBPB, lo que resulta en un ataque, cuyo nombre en código es Post-Barrier Inception (también conocido como PB-Inception), que permite a un adversario sin privilegios filtrar memoria privilegiada en AMD Zen 1(+) y los procesadores Zen 2 han puesto a disposición un parche de microcódigo para solucionar el problema (CVE-2023-38575, puntuación CVSS: 5,5). AMD, por su parte, está rastreando la vulnerabilidad como CVE-2022-23824. lanzado en noviembre de 2022. “Los usuarios de Intel deben asegurarse de que su microcódigo Intel esté actualizado”, dijeron los investigadores. “Los usuarios de AMD deben asegurarse de instalar las actualizaciones del kernel”. La divulgación se produce meses después de que los investigadores de ETH Zürich detallaran las nuevas técnicas de ataque RowHammer. con nombre en código ZenHammer y SpyHammer, el último de los cuales utiliza RowHammer para inferir la temperatura de la DRAM con alta precisión. “RowHammer es muy sensible a las variaciones de temperatura, incluso si las variaciones son muy pequeñas (por ejemplo, ±1 °C)”, dice el estudio. “La tasa de error de bits inducida por RowHammer aumenta (o disminuye) constantemente a medida que aumenta la temperatura, y algunas celdas DRAM que son vulnerables a RowHammer exhiben errores de bits solo a una temperatura particular”. Aprovechando la correlación entre RowHammer y la temperatura, un atacante podría identificar la utilización de un sistema informático y medir la temperatura ambiente. El ataque también podría comprometer la privacidad al utilizar mediciones de temperatura para determinar los hábitos de una persona dentro de su hogar y las horas en que entra o sale de una habitación. “SpyHammer es un ataque simple y efectivo que puede espiar la temperatura de sistemas críticos sin modificaciones ni conocimiento previo sobre el sistema víctima”, señalaron los investigadores. “SpyHammer puede ser una amenaza potencial para la seguridad y privacidad de los sistemas hasta que se adopte un mecanismo de defensa RowHammer definitivo y completamente seguro, lo cual es un gran desafío dado que la vulnerabilidad de RowHammer continúa empeorando con la ampliación de la tecnología”. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
28 de octubre de 2024The Hacker NewsTecnología operativa/Ciberseguridad La seguridad de la tecnología operativa (OT) ha afectado a los operadores marítimos y portuarios, ya que tanto los barcos como las grúas industriales se están digitalizando y automatizando a un ritmo rápido, lo que marca el comienzo de nuevos tipos de desafíos de seguridad. Los barcos llegan a tierra en promedio cada seis meses. Las grúas para contenedores están en su mayoría automatizadas. Los diagnósticos, el mantenimiento, las actualizaciones y los ajustes de estos sistemas críticos se realizan de forma remota, a menudo por técnicos de proveedores externos. Esto resalta la importancia de una gestión adecuada del acceso remoto seguro para los sistemas de control industrial (ICS). Obtenga más información en nuestra Guía del comprador para la gestión segura del ciclo de vida del acceso remoto. En SSH Communications Security (SSH) hemos sido pioneros en soluciones de seguridad que cierran la brecha entre TI y OT en la gestión de acceso privilegiado. Investiguemos cómo ayudamos a dos clientes a resolver sus necesidades críticas de control de acceso con nosotros. Acceso remoto seguro en todo el mundo a miles de barcos En la industria marítima, garantizar un acceso remoto seguro y eficiente a los sistemas OT es vital para mantener las operaciones y la seguridad de los barcos. Un destacado operador de embarcaciones marítimas, que gestionaba una flota de buques avanzados, se enfrentaba a importantes desafíos en este ámbito. Con operaciones en todo el mundo y una flota de barcos en constante expansión que administrar, la empresa necesitaba una solución sólida para asegurar el acceso remoto de sus ingenieros y técnicos de proveedores. El desafío Las medidas de seguridad existentes del cliente eran inadecuadas para la naturaleza compleja y dinámica de sus operaciones. Las conexiones a los barcos siempre estaban activas, era difícil vincular una identidad a cada sesión, la falta de controles de acceso granulares y capacidades de auditoría integrales planteaba un riesgo tanto para la seguridad como para el cumplimiento, y el cliente tenía desafíos de escalabilidad con su solución existente. La solución: PrivX OT Edition Para superar estos desafíos, la empresa implementó PrivX OT Edition de SSH. Esta solución proporciona una plataforma centralizada, escalable y fácil de usar para gestionar el acceso remoto. Las características clave incluyen: Permitir al cliente conectarse a los miles de buques portacontenedores de sus clientes en todo el mundo a través de enlaces satelitales para realizar mantenimiento, monitoreo y diagnóstico. Justo a tiempo (JIT) y acceso suficiente (JEA): garantizar que los ingenieros tengan el nivel de acceso adecuado solo cuando sea necesario y solo durante el tiempo requerido. Auditoría integral: ofrece información detallada sobre la gestión de acceso. Acceso centralizado: tanto los técnicos internos como los externos inician sesión en una puerta de enlace centralizada independientemente de la ubicación del barco o del técnico. Automatización: La solución se implementó en la nube de AWS para conexiones satelitales y vinculación automática de una identidad a un rol para un alto rendimiento. Como resultado, el cliente ahora puede garantizar la seguridad de la tripulación, evitar tiempos de atraque costosos y no programados, mitigar el riesgo de interrupciones en las operaciones del barco y cumplir con los requisitos y recomendaciones de la Directiva NIS2 y las normas IEC 62442. Todo esto mientras modernizan sus operaciones para obtener una ventaja competitiva en la industria marítima global. Lea más sobre el caso aquí. Acceso de técnicos proveedores a grúas industriales restringido y seguro Este cliente es un fabricante líder mundial de equipos industriales, con más de un siglo de experiencia. Con operaciones en alrededor de 50 países, la empresa necesitaba una solución sólida para asegurar el acceso remoto a grúas industriales automatizadas para sus ingenieros de mantenimiento. El desafío Los controles de seguridad basados en soluciones puntuales existentes en la empresa eran insuficientes. Carecían de la granularidad, funcionalidad y transparencia necesarias, lo que aumentaba el riesgo de ciberataques y filtraciones de datos. Por ejemplo, el cliente tuvo dificultades para restringir el acceso a las grúas en un puerto específico, lo que significaba que un ingeniero de mantenimiento de Asia podía acceder a un puerto en Europa y viceversa. Además, la solución anterior no proporcionaba capacidades de auditoría adecuadas, lo que dificultaba el cumplimiento de las normas de seguridad. La solución: PrivX OT Edition Para abordar estos desafíos, la empresa adoptó PrivX OT Edition de SSH. Esta solución ofrece una plataforma centralizada, escalable y fácil de usar para gestionar el acceso remoto. Las características clave incluyen: Restricciones regionales sobre el acceso de los técnicos de los proveedores a las grúas en los puertos marítimos. Justo a tiempo (JIT) y acceso suficiente (JEA): garantizar que los ingenieros tengan el nivel adecuado de acceso en el momento adecuado únicamente para la grúa adecuada. Auditoría Integral: Registro de auditoría de actividades, seguimiento y registro de sesiones. Implementación no disruptiva: Agregar control de acceso granular con cambios mínimos a la infraestructura VPN/Firewall/tecnología existente. Como resultado, el cliente ahora puede restringir el acceso por región y por grúa para una adecuada segregación de tareas. Tanto el acceso de los técnicos ad hoc como el programado es seguro y está disponible en cuestión de minutos, y con baja automática. Es más, este control de acceso más granular se logró con una interrupción mínima de la infraestructura existente. Lea más sobre el caso aquí. Conclusión Con PrivX OT Edition, las empresas pueden centralizar el acceso a todos los objetivos críticos en TI y OT, independientemente de la ubicación del usuario o del objetivo. La solución elimina la necesidad de soluciones puntuales de acceso y ofrece un acceso uniforme, escalable y coherente para las necesidades de seguridad a escala industrial. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
28 de octubre de 2024Ravie LakshmananMalware / Threat Intelligence Se descubrió que tres paquetes maliciosos publicados en el registro npm en septiembre de 2024 contienen un malware conocido llamado BeaverTail, un descargador de JavaScript y ladrón de información vinculado a una campaña norcoreana en curso rastreada como Entrevista contagiosa . El equipo de investigación de seguridad de Datadog está monitoreando la actividad bajo el nombre Tenacious Pungsan, que también es conocido por los apodos CL-STA-0240 y Famous Chollima. Los nombres de los paquetes maliciosos, que ya no están disponibles para su descarga desde el registro de paquetes, se enumeran a continuación: Passports-js, una copia con puerta trasera del pasaporte (118 descargas) bcrypts-js, una copia con puerta trasera de bcryptjs (81 descargas) blockscan-api, una copia con puerta trasera de etherscan-api (124 descargas) Entrevista contagiosa se refiere a una campaña de un año de duración emprendida por la República Popular Democrática de Corea (RPDC) que implica engañar a los desarrolladores para que descarguen paquetes maliciosos o aplicaciones de videoconferencia aparentemente inocuas como parte de una prueba de codificación. Salió a la luz por primera vez en noviembre de 2023. Esta no es la primera vez que los actores de amenazas utilizan paquetes npm para distribuir BeaverTail. En agosto de 2024, la empresa de seguridad de la cadena de suministro de software Phylum reveló otro grupo de paquetes npm que allanaron el camino para la implementación de BeaverTail y una puerta trasera de Python llamada InvisibleFerret. Los nombres de los paquetes maliciosos identificados en ese momento eran temp-etherscan-api, ethersscan-api, telegram-con, casco-validate y qq-console. Un aspecto que es común a los dos conjuntos de paquetes es el esfuerzo continuo por parte de los actores de amenazas para imitar el paquete etherscan-api, lo que indica que el sector de las criptomonedas es un objetivo persistente. Luego, el mes pasado, Stacklok dijo que detectó una nueva ola de paquetes falsificados (eslint-module-conf y eslint-scope-util) que están diseñados para recolectar criptomonedas y establecer acceso persistente a máquinas de desarrolladores comprometidas. La Unidad 42 de Palo Alto Networks dijo a The Hacker News a principios de este mes que la campaña ha demostrado ser una forma eficaz de distribuir malware explotando la confianza y la urgencia de un solicitante de empleo al solicitar oportunidades en línea. Los hallazgos resaltan cómo los actores de amenazas están haciendo un uso cada vez más indebido de la cadena de suministro de software de código abierto como vector de ataque para infectar objetivos posteriores. “Copiar y hacer puertas traseras a paquetes npm legítimos sigue siendo una táctica común de los actores de amenazas en este ecosistema”, dijo Datadog. “Estas campañas, junto con Contagious Interview en general, resaltan que los desarrolladores individuales siguen siendo objetivos valiosos para estos actores de amenazas vinculados a la RPDC”. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
28 de octubre de 2024Ravie LakshmananSeguridad en la nube/ataque cibernético Una entidad gubernamental y una organización religiosa en Taiwán fueron el objetivo de un actor de amenazas vinculado a China conocido como Evasive Panda que los infectó con un conjunto de herramientas posteriores al compromiso previamente indocumentado con nombre en código CloudScout. “El conjunto de herramientas CloudScout es capaz de recuperar datos de varios servicios en la nube aprovechando las cookies de sesión web robadas”, dijo el investigador de seguridad de ESET Anh Ho. “A través de un complemento, CloudScout funciona perfectamente con MgBot, el marco de malware característico de Evasive Panda”. El uso de la herramienta de malware basada en .NET, según la empresa eslovaca de ciberseguridad, se detectó entre mayo de 2022 y febrero de 2023. Incorpora 10 módulos diferentes, escritos en C#, de los cuales tres están destinados a robar datos de Google Drive, Gmail y Outlook. Se desconoce el propósito de los módulos restantes. Evasive Panda, también conocido como Bronze Highland, Daggerfly y StormBamboo, es un grupo de ciberespionaje que tiene un historial de atacar a varias entidades en Taiwán y Hong Kong. También es conocido por orquestar ataques a abrevaderos y cadenas de suministro dirigidos a la diáspora tibetana. Lo que distingue al actor de amenazas del resto es el uso de varios vectores de acceso inicial, que van desde fallas de seguridad recientemente reveladas hasta comprometer la cadena de suministro mediante envenenamiento de DNS, para violar las redes de las víctimas e implementar MgBot y Nightdoor. ESET dijo que los módulos CloudScout están diseñados para secuestrar sesiones autenticadas en el navegador web robando las cookies y usándolas para obtener acceso no autorizado a Google Drive, Gmail y Outlook. Cada uno de estos módulos se implementa mediante un complemento MgBot, programado en C++. “En el corazón de CloudScout se encuentra el paquete CommonUtilities, que proporciona todas las bibliotecas de bajo nivel necesarias para que se ejecuten los módulos”, explicó Ho. “CommonUtilities contiene bastantes bibliotecas implementadas de forma personalizada a pesar de la abundante disponibilidad de bibliotecas de código abierto similares en línea. Estas bibliotecas personalizadas brindan a los desarrolladores más flexibilidad y control sobre el funcionamiento interno de su implante, en comparación con las alternativas de código abierto”. Esto incluye: HTTPAccess, que proporciona funciones para manejar las comunicaciones HTTP. ManagedCookie, que proporciona funciones para administrar cookies para solicitudes web entre CloudScout y el servicio de destino. Logger SimpleJSON. La información recopilada por los tres módulos: listados de carpetas de correo, mensajes de correo electrónico (incluidos los archivos adjuntos), y los archivos que coinciden con ciertas extensiones (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf y .txt) se comprimen en un archivo ZIP para su posterior filtración por parte de MgBot o Nightdoor. Dicho esto, los nuevos mecanismos de seguridad introducidos por Google, como las credenciales de sesión vinculadas al dispositivo (DBSC) y el cifrado vinculado a aplicaciones, seguramente dejarán obsoleto el malware de robo de cookies. “CloudScout es un conjunto de herramientas .NET utilizado por Evasive Panda para robar datos almacenados en servicios en la nube”, dijo Ho. “Se implementa como una extensión de MgBot y utiliza la técnica de pasar la cookie para secuestrar sesiones autenticadas de los navegadores web”. El acontecimiento se produce cuando el Gobierno de Canadá acusó a un “agente de amenazas sofisticado patrocinado por el Estado” de China de realizar amplios esfuerzos de reconocimiento que abarcaron varios meses contra numerosos dominios en Canadá. “La mayoría de las organizaciones afectadas fueron departamentos y agencias del Gobierno de Canadá, e incluyen partidos políticos federales, la Cámara de los Comunes y el Senado”, dijo en un comunicado. “También apuntaron a docenas de organizaciones, incluidas instituciones democráticas, infraestructura crítica, el sector de defensa, organizaciones de medios, grupos de expertos y ONG”. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
28 de octubre de 2024Ravie LakshmananCiberespionaje/Android Se ha observado una supuesta operación híbrida de espionaje e influencia rusa que entrega una combinación de malware para Windows y Android dirigida al ejército ucraniano bajo la personalidad de Telegram Defensa Civil. El Grupo de Análisis de Amenazas (TAG) de Google y Mandiant están rastreando la actividad con el nombre UNC5812. El grupo de amenazas, que opera un canal de Telegram llamado civildefense_com_ua, se creó el 10 de septiembre de 2024. Al momento de escribir este artículo, el canal tiene 184 suscriptores. También mantiene un sitio web en civildefense.com.[.]ua que se registró el 24 de abril de 2024. “‘Civil Defense’ afirma ser un proveedor de programas de software gratuitos diseñados para permitir que reclutas potenciales vean y compartan ubicaciones de reclutadores militares ucranianos mediante colaboración colectiva”, dijo la compañía en un informe compartido con The Noticias de piratas informáticos. Si estos programas se instalan en dispositivos Android que tienen Google Play Protect deshabilitado, están diseñados para implementar un malware específico del sistema operativo junto con una aplicación de mapeo señuelo denominada SUNSPINNER. También se dice que UNC5812 participa activamente en operaciones de influencia, difundiendo narrativas y solicitando contenido destinado a socavar el apoyo a los esfuerzos de movilización y reclutamiento militar de Ucrania. “La campaña de UNC5812 es muy característica del énfasis que Rusia pone en lograr un efecto cognitivo a través de sus capacidades cibernéticas, y destaca el papel destacado que las aplicaciones de mensajería siguen desempeñando en la entrega de malware y otras dimensiones cibernéticas de la guerra de Rusia en Ucrania”, dijo Google Threat Intelligence Group. . Defensa Civil, cuyo canal Telegram y su sitio web han sido promocionados por otros canales legítimos y establecidos de Telegram en idioma ucraniano, tiene como objetivo dirigir a las víctimas a su sitio web desde donde se descarga software malicioso dependiendo del sistema operativo. Para los usuarios de Windows, el archivo ZIP conduce a la implementación de un cargador de malware basado en PHP recientemente descubierto llamado Pronsis que se utiliza para distribuir SUNSPINNER y un malware ladrón disponible en el mercado conocido como PureStealer que se anuncia por entre $150 por una suscripción mensual a $699 por una licencia de por vida. SUNSPINNER, por su parte, muestra a los usuarios un mapa que muestra las supuestas ubicaciones de los reclutas militares ucranianos desde un servidor de comando y control (C2) controlado por actores. Para aquellos que navegan al sitio web desde dispositivos Android, la cadena de ataque implementa un archivo APK malicioso (nombre del paquete: “com.http.masters”) que incorpora un troyano de acceso remoto denominado CraxsRAT. El sitio web también incluye instrucciones que guían a las víctimas sobre cómo desactivar Google Play Protect y otorgarle todos los permisos solicitados, permitiendo que el malware funcione sin obstáculos. CraxsRAT es una famosa familia de malware para Android que viene con capacidades para el control remoto de dispositivos y funciones avanzadas de software espía como registro de teclas, manipulación de gestos y grabación de cámaras, pantallas y llamadas. Después de que Cyfirma expusiera públicamente el malware a finales de agosto de 2023, EVLF, el actor de amenazas detrás del proyecto, decidió cesar su actividad, no sin antes vender su canal de Telegram a un actor de amenazas de habla china. En mayo de 2024, se dice que EVLF detuvo el desarrollo del malware debido a estafadores y versiones descifradas, pero dijo que están trabajando en una nueva versión basada en web a la que se puede acceder desde cualquier máquina. “Si bien el sitio web de Defensa Civil también anuncia soporte para macOS y iPhone, sólo las cargas útiles de Windows y Android estaban disponibles en el momento del análisis”, dijo Google. “Las preguntas frecuentes del sitio web contienen una justificación tensa para que la aplicación de Android esté alojada fuera de la App Store, sugiriendo que es un esfuerzo para ‘proteger el anonimato y la seguridad’ de sus usuarios, y dirigiéndolos a un conjunto de instrucciones en video que las acompañan”. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
28 de octubre de 2024Ravie LakshmananCyber Security / Hacking News Las noticias sobre ciberseguridad a veces pueden parecer una película de terror sin fin, ¿no? Justo cuando crees que los villanos están encerrados, una nueva amenaza emerge de las sombras. Esta semana no es una excepción, con historias de fallas explotadas, espionaje internacional y travesuras de IA que podrían hacerte girar la cabeza. Pero no se preocupe, estamos aquí para desglosarlo todo en un lenguaje sencillo y brindarle el conocimiento que necesita para mantenerse a salvo. ¡Así que tome sus palomitas de maíz (y tal vez un firewall) y sumérjase en el último drama de ciberseguridad! ⚡ La amenaza de la semana La falla crítica de Fortinet está siendo explotada: Fortinet reveló que una falla de seguridad crítica que afecta a FortiManager (CVE-2024-47575, puntuación CVSS: 9.8), que permite la ejecución remota de código no autenticado, ha sido objeto de explotación activa en la naturaleza. . Actualmente se desconoce exactamente quién está detrás de esto. Mandiant, propiedad de Google, está rastreando la actividad con el nombre UNC5820. 🚢🔐 Seguridad de Kubernetes para principiantes Cómo implementar una solución de seguridad de contenedores y las mejores prácticas de seguridad de Kubernetes, todo en uno. Esta guía incluye todo lo esencial que debe saber sobre cómo construir una base de seguridad sólida y ejecutar un sistema operativo bien protegido. Obtenga la guía ️🔥 CVE de tendencia CVE-2024-41992, CVE-2024-20481, CVE-2024-20412, CVE-2024-20424, CVE-2024-20329, CVE-2024-38094, CVE-2024-8260, CVE -2024-38812, CVE-2024-9537, CVE-2024-48904 🔔 Noticias principales Fallos criptográficos graves en 5 proveedores de almacenamiento en la nube: investigadores de ciberseguridad han descubierto problemas criptográficos graves en plataformas de almacenamiento en la nube cifradas de extremo a extremo (E2EE) Sync, pCloud, Icedrive, Seafile y Tresorit que podrían explotarse para inyectar archivos, alterar datos de archivos e incluso obtener acceso directo a texto sin formato. Los ataques, sin embargo, dependen de que un atacante obtenga acceso a un servidor para poder realizarlos. Lazarus explota la falla de Chrome: Al actor de amenazas norcoreano conocido como Lazarus Group se le ha atribuido la explotación de día cero de una falla de seguridad ahora parcheada en Google Chrome (CVE-2024-4947) para tomar el control de los dispositivos infectados. Google abordó la vulnerabilidad a mediados de mayo de 2024. La campaña, que se dice que comenzó en febrero de 2024, implicaba engañar a los usuarios para que visitaran un sitio web que anunciaba un juego de tanques multijugador en línea (MOBA), pero incorporaba JavaScript malicioso para activar explotar y otorgar a los atacantes acceso remoto a las máquinas. El sitio web también se utilizó para ofrecer un juego completamente funcional, pero empaquetado en código para ofrecer cargas útiles adicionales. En mayo de 2024, Microsoft atribuyó la actividad a un grupo que rastrea como Moonstone Sleet. Se corrigió un fallo de adquisición de cuenta del kit de desarrollo en la nube (CDK) de AWS: un fallo de seguridad ahora parcheado que afecta el kit de desarrollo en la nube (CDK) de Amazon Web Services (AWS) podría haber permitido a un atacante obtener acceso administrativo a una cuenta de AWS objetivo, lo que habría resultado en una completa toma de cuenta. Tras la divulgación responsable el 27 de junio de 2024, Amazon abordó el problema en la versión CDK 2.149.0 lanzada en julio de 2024. La SEC multa a 4 empresas por divulgaciones engañosas de SolarWinds: La Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a cuatro empresas públicas, Avaya , Check Point, Mimecast y Unisys, por realizar “divulgaciones materialmente engañosas” relacionadas con el ciberataque a gran escala que surgió del hack de SolarWinds en 2020. La agencia federal acusó a las empresas de restar importancia a la gravedad de la violación en sus declaraciones públicas. declaraciones. 4 miembros de REvil sentenciados en Rusia: Cuatro miembros de la ahora desaparecida operación de ransomware REvil, Artem Zaets, Alexei Malozemov, Daniil Puzyrevsky y Ruslan Khansvyarov, han sido sentenciados a varios años de prisión en Rusia. Fueron arrestados originalmente en enero de 2022 luego de una operación policial por parte de las autoridades rusas. 📰 En todo el mundo cibernético Delta Air Lines demanda a CrowdStrike por un apagón en julio: Delta Air Lines presentó una demanda contra CrowdStrike en el estado estadounidense de Georgia, acusando al proveedor de ciberseguridad de incumplimiento de contrato y negligencia después de que un apagón importante en julio provocara 7.000 cancelaciones de vuelos. interrumpió los planes de viaje de 1,3 millones de clientes y le costó a la aerolínea más de 500 millones de dólares. “CrowdStrike causó una catástrofe global porque tomó atajos, tomó atajos y eludió los mismos procesos de prueba y certificación que anunciaba, para su propio beneficio y beneficio”, dijo. “Si CrowdStrike hubiera probado la actualización defectuosa incluso en una computadora antes de su implementación, la computadora habría fallado”. CrowdStrike dijo que “las afirmaciones de Delta se basan en información errónea refutada, demuestran una falta de comprensión de cómo funciona la ciberseguridad moderna y reflejan un intento desesperado de desviar la culpa de su lenta recuperación de su incapacidad para modernizar su anticuada infraestructura de TI”. Meta anuncia una forma segura de almacenar contactos de WhatsApp: Meta ha anunciado un nuevo sistema de almacenamiento cifrado para contactos de WhatsApp llamado Identity Proof Linked Storage (IPLS), que permite a los usuarios crear y guardar contactos junto con sus nombres de usuario directamente dentro de la plataforma de mensajería aprovechando la transparencia clave y módulo de seguridad de hardware (HSM). Hasta ahora, WhatsApp dependía de la libreta de contactos de un teléfono para fines de sincronización. NCC Group, que llevó a cabo una evaluación de seguridad del nuevo marco y descubrió 13 problemas, dijo que IPLS “tiene como objetivo almacenar los contactos dentro de la aplicación de un usuario de WhatsApp en los servidores de WhatsApp de una manera respetuosa con la privacidad” y que “los servidores de WhatsApp no tienen visibilidad”. en el contenido de los metadatos de contacto de un usuario”. Todas las deficiencias identificadas se solucionaron por completo en septiembre de 2024. CISA y el FBI investigan los ataques de tifones de sal: La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo que el gobierno de EE. UU. está investigando “el acceso no autorizado a la infraestructura de telecomunicaciones comerciales” por parte de actores de amenazas vinculados a China. El desarrollo se produce en medio de informes de que el grupo de piratería Salt Typhoon irrumpió en las redes de AT&T, Verizon y Lumen. Las empresas afectadas fueron notificadas después de que se identificara la “actividad maliciosa”, dijo CISA. La amplitud de la campaña y la naturaleza de la información comprometida, si la hay, no están claras. Múltiples informes de The New York Times, The Wall Street Journal, Reuters, Associated Press y CBS News han afirmado que Salt Typhoon utilizó su acceso a gigantes de las telecomunicaciones para acceder a teléfonos o redes utilizadas por las campañas presidenciales demócratas y republicanas. El plan fraudulento de trabajadores de TI se convierte en un problema mayor: si bien Corea del Norte ha aparecido recientemente en las noticias por sus intentos de conseguir empleo en empresas occidentales, e incluso por exigir un rescate en algunos casos, un nuevo informe de la empresa de seguridad de identidad HYPR muestra que el plan de fraude de empleados no se limita sólo al país. La compañía dijo que recientemente ofreció un contrato a un ingeniero de software que decía ser de Europa del Este. Pero el posterior proceso de incorporación y verificación por video generó una serie de señales de alerta sobre su verdadera identidad y ubicación, lo que llevó al individuo anónimo a buscar otra oportunidad. Actualmente no hay evidencia que vincule la contratación fraudulenta con Corea del Norte, y no está claro qué buscaban. “Implementar un proceso de verificación de múltiples factores para vincular la identidad del mundo real con la identidad digital durante el proceso de aprovisionamiento”, dijo HYPR. “La verificación por vídeo es un control de identidad fundamental, y no sólo durante la incorporación”. Nuevos ataques a herramientas de inteligencia artificial: los investigadores han descubierto una forma de manipular las marcas de agua digitales generadas por AWS Bedrock Titan Image Generator, lo que permite a los actores de amenazas no solo aplicar marcas de agua a cualquier imagen, sino también eliminarlas de las imágenes generadas por la herramienta. AWS solucionó el problema a partir del 13 de septiembre de 2024. El desarrollo sigue al descubrimiento de fallas de inyección rápida en Google Gemini for Workspace, lo que permite al asistente de inteligencia artificial producir respuestas engañosas o no deseadas, e incluso distribuir documentos y correos electrónicos maliciosos a cuentas de destino. cuando los usuarios solicitan contenido relacionado con sus mensajes de correo electrónico o resúmenes de documentos. Una nueva investigación también ha encontrado una forma de ataque de secuestro de LLM en el que los actores de amenazas aprovechan las credenciales expuestas de AWS para interactuar con grandes modelos de lenguaje (LLM) disponibles en Bedrock, usándolos en un caso para impulsar una aplicación de chat de juegos de roles sexuales que libera el modelo de IA. a “aceptar y responder con contenido que normalmente estaría bloqueado” por él. A principios de este año, Sysdig detalló una campaña similar llamada LLMjacking que emplea credenciales de nube robadas para apuntar a servicios LLM con el objetivo de vender el acceso a otros actores de amenazas. Pero en un giro interesante, los atacantes ahora también están intentando utilizar las credenciales de nube robadas para habilitar los modelos, en lugar de simplemente abusar de los que ya estaban disponibles. 🔥 Recursos e información 🎥 Seminario web de expertos de Infosec Seguridad de datos maestros en la nube con DSPM: ¿Tiene dificultades para mantenerse al día con la seguridad de los datos en la nube? No permita que sus datos confidenciales se conviertan en una responsabilidad. Únase a nuestro seminario web y conozca cómo Global-e, un facilitador líder del comercio electrónico, mejoró drásticamente su postura de seguridad de datos con DSPM. El CISO Benny Bloch revela su viaje, incluidos los desafíos, los errores y las lecciones críticas aprendidas. Obtenga información útil sobre cómo implementar DSPM, reducir el riesgo y optimizar los costos de la nube. Regístrese ahora y obtenga una ventaja competitiva en el mundo actual basado en datos. 🛡️Pregúntele al experto P: ¿Cuál es la vulnerabilidad más pasada por alto en los sistemas empresariales y que los atacantes tienden a explotar? R: Las vulnerabilidades que más se pasan por alto en los sistemas empresariales a menudo radican en configuraciones incorrectas de IAM, como cuentas con permisos excesivos, seguridad de API laxa, TI en la sombra no administrada y federaciones en la nube mal protegidas. Herramientas como Azure PIM o SailPoint ayudan a imponer privilegios mínimos mediante la gestión de revisiones de acceso, mientras que Kong o Auth0 protegen las API mediante la rotación de tokens y la supervisión de WAF. Los riesgos de TI en la sombra se pueden reducir con Cisco Umbrella para el descubrimiento de aplicaciones y Netskope CASB para aplicar el control de acceso. Para proteger las federaciones, utilice Prisma Cloud u Orca para escanear configuraciones y ajustar las configuraciones, mientras que Cisco Duo habilita MFA adaptable para una autenticación más sólida. Finalmente, proteja las cuentas de servicio con administración automatizada de credenciales a través de HashiCorp Vault o AWS Secrets Manager, garantizando un acceso seguro y oportuno. 🔒 Consejo de la semana Mejore su seguridad DNS: si bien la mayoría de las personas se concentran en proteger sus dispositivos y redes, el Sistema de nombres de dominio (DNS), que traduce nombres de dominio legibles por humanos (como ejemplo.com) en direcciones IP legibles por máquinas, muchas veces se pasa por alto. Imagine Internet como una gran biblioteca y el DNS como su catálogo de fichas; Para encontrar el libro (sitio web) que desea, necesita la tarjeta (dirección) correcta. Pero si alguien manipuló el catálogo, podrían llevarle a sitios web falsos para robar su información. Para mejorar la seguridad de DNS, use un solucionador centrado en la privacidad que no rastree sus búsquedas (un catálogo privado), bloquee sitios maliciosos usando un archivo “hosts” (extraiga las tarjetas de libros peligrosos) y emplee una extensión de navegador con DNS filtrado (contrate a un bibliotecario para que esté atento). Además, habilite DNSSEC para verificar la autenticidad de los registros DNS (verifique la autenticidad de la tarjeta) y cifre sus solicitudes de DNS usando DoH o DoT (susurre sus solicitudes para que nadie más pueda escucharlas). Conclusión Y ahí lo tiene: otra semana de desafíos de ciberseguridad para reflexionar. Recuerde, en esta era digital, la vigilancia es clave. Manténgase informado, alerta y seguro en el mundo cibernético en constante evolución. Volveremos el próximo lunes con más noticias e ideas que le ayudarán a navegar por el panorama digital. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.