Etiqueta: noticias de seguridad cibernética hoy Página 3 de 10

Aug 15, 2025Ravie Lakshmananvulnerabilidad / Seguridad de la red Cisco ha publicado actualizaciones de seguridad para abordar una falla de seguridad de severidad máxima en el software Secure Firewall Management Center (FMC) que podría permitir a un atacante ejecutar el código arbitrario en los sistemas afectados. La vulnerabilidad, asignada el identificador CVE CVE-2025-20265 (puntaje CVSS: 10.0), afecta la implementación del subsistema RADIUS que podría permitir a un atacante no autorenticado y remoto inyectar comandos de shell arbitrarios que el dispositivo ejecuta el dispositivo. El comandante de equipos de redes de red dijo que el problema proviene de la falta de manejo adecuado de la entrada del usuario durante la fase de autenticación, como resultado del cual un atacante podría enviar una entrada especialmente elaborada al ingresar credenciales que se autentican en el servidor de radio configurado. «Una exploit exitosa podría permitir al atacante ejecutar comandos a un nivel de alto privilegio», dijo la compañía en un aviso del jueves. «Para que esta vulnerabilidad sea explotada, el software Cisco Secure FMC debe configurarse para la autenticación de radio para la interfaz de administración basada en la web, la administración de SSH o ambos». La deficiencia afecta a Cisco Secure FMC Software se lanza 7.0.7 y 7.7.0 si tienen una autenticación de radio habilitada. No hay soluciones más que aplicar los parches proporcionados por la Compañía. Brandon Sakai de Cisco ha sido acreditado por descubrir el problema durante las pruebas de seguridad interna. Besides CVE-2025-20265, Cisco has also resolved a number of high-severity bugs – CVE-2025-20217 (CVSS score: 8.6) – Cisco Secure Firewall Threat Defense Software Snort 3 Denial-of-Service Vulnerability CVE-2025-20222 (CVSS score: 8.6) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software for Firepower 2100 Series IPv6 over IPsec Denial-of-Service Vulnerability CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (CVSS scores: 8.6) – Cisco IOS, IOS XE, Secure Firewall Adaptive Security Appliance, and Secure Firewall Threat Defense Software IKEv2 Denial-of-Service Vulnerabilities CVE-2025-20133, CVE-2025-20243 (puntajes de CVSS: 8.6)-Applio de seguridad adaptativo de Firewall Cisco Secure y software de defensa de amenazas de firewall segura Acceso remoto a SSL VPN Denial de Servicio de seguridad Aplicada de seguridad Security Aplication y Secure Safet Defense CVE-20134 SSL/TLS Certificate Denial-of-Service Vulnerability CVE-2025-20136 (CVSS score: 8.6) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Network Address Translation DNS Inspection Denial-of-Service Vulnerability CVE-2025-20263 (CVSS score: 8.6) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Web Services Denial-of-Service Vulnerability CVE-2025-20148 (CVSS score: 8.5) – Cisco Secure Firewall Management Center Software HTML Injection Vulnerability CVE-2025-20251 (CVSS score: 8.5) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Server Denial-of-Service Vulnerability CVE-2025-20127 (CVSS score: 7.7) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software for Firepower 3100 and 4200 Series TLS 1.3 Cipher Denial-of-Service Vulnerability CVE-2025-20244 (CVSS score: 7.7) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Remote Access VPN Web Vulnerabilidad de denegación de servicio del servidor Si bien ninguno de los defectos ha sido objeto de una explotación activa en la naturaleza, y los dispositivos de red quedan atrapados repetidamente en la mira de los atacantes, es esencial que los usuarios se muevan rápidamente para actualizar sus instancias a la última versión.

Solíamos pensar en la privacidad como un problema perimetral: sobre paredes y cerraduras, permisos y políticas. Pero en un mundo donde los agentes artificiales se están convirtiendo en actores autónomos, interactuando con datos, sistemas y humanos sin supervisión constante, la privacidad ya no se trata de control. Se trata de confianza. Y la confianza, por definición, se trata de lo que sucede cuando no estás buscando. La IA agente, la IA que percibe, decide y actúa en nombre de los demás, ya no es teórica. Está enrutando nuestro tráfico, recomendando nuestros tratamientos, administrar nuestras carteras y negociar nuestra identidad digital en todas las plataformas. Estos agentes no solo manejan datos confidenciales, sino que lo interpretan. Hacen suposiciones, actúan sobre señales parciales y evolucionan en función de los bucles de retroalimentación. En esencia, construyen modelos internos no solo del mundo, sino de nosotros. Y eso debería darnos una pausa. Porque una vez que un agente se vuelve adaptativo y semiautónomo, la privacidad no se trata solo de quién tiene acceso a los datos; Se trata de lo que infiere el agente, lo que elige compartir, suprimir o sintetizar, y si sus objetivos permanecen alineados con los nuestros a medida que cambian los contextos. Tome un ejemplo simple: un asistente de salud de IA diseñado para optimizar el bienestar. Comienza empujándolo a beber más agua y dormir más. Pero con el tiempo, comienza a triando sus citas, analizando su tono de voz para obtener signos de depresión e incluso retener las notificaciones que predice que causará estrés. No has compartido tus datos: has cedido la autoridad narrativa. Ahí es donde se erosiona la privacidad, no a través de una violación, sino a través de una deriva sutil en el poder y el propósito. Ya no se trata solo de confidencialidad, integridad y disponibilidad, la clásica tríada de la CIA. Ahora debemos tener en cuenta la autenticidad (¿se puede verificar este agente como él mismo?) Y veracidad (¿podemos confiar en sus interpretaciones y representaciones?). Estas no son simplemente cualidades técnicas, son primitivas de confianza. Y la confianza es frágil cuando se intermedía por la inteligencia. Si confío en un terapeuta o abogado humano, hay límites asumidos: éticos, legales, psicológicos. Hemos esperado normas de comportamiento de su parte y acceso y control limitados. Pero cuando comparto con un asistente de IA, esos límites se difuminan. ¿Se puede citar? Auditado? ¿Inverso de ingeniería? ¿Qué sucede cuando un gobierno o una corporación consulta a mi agente para sus registros? Aún no tenemos un concepto establecido de privilegio de client de AI. Y si la jurisprudencia descubre que no hay una, entonces toda la confianza que ponemos en nuestros agentes se convierte en un arrepentimiento retrospectivo. Imagine un mundo donde cada momento íntimo compartido con una IA es legalmente descubierta, donde la memoria de su agente se convierte en un archivo armado, admisible en la corte. No importará cuán seguro sea el sistema si el contrato social a su alrededor está roto. Los marcos de privacidad de hoy – GDPR, CCPA – asumen sistemas transaccionales lineales. Pero la IA Agentic opera en contexto, no solo el cálculo. Recuerda lo que olvidaste. Intenta lo que no dijiste. Llena en blanco que no podrían ser de su negocio, y luego comparte esa síntesis, potencialmente útil, potencialmente imprudentemente, con sistemas y personas fuera de su control. Por lo tanto, debemos ir más allá del control de acceso y hacia los límites éticos. Eso significa construir sistemas de agente que entiendan la intención detrás de la privacidad, no solo la mecánica de la misma. Debemos diseñar para la legibilidad; AI debe poder explicar por qué actuó. Y para la intencionalidad. Debe poder actuar de una manera que refleje los valores en evolución del usuario, no solo un historial de inmediato congelado. Pero también necesitamos luchar con un nuevo tipo de fragilidad: ¿Qué pasa si mi agente me traiciona? No por malicia, sino porque alguien más elaboró mejores incentivos, o aprobó una ley que reemplazó sus lealtades? En resumen: ¿Qué pasa si el agente es mío y no mío? Es por eso que debemos comenzar a tratar la agencia de IA como una categoría moral y legal de primer orden. No como una característica de producto. No como interfaz de usuario. Pero como participante en la vida social e institucional. Porque la privacidad en un mundo de mentes, biológico y sintético, ya no es una cuestión de secreto. Es una cuestión de reciprocidad, alineación y gobernanza. Si nos equivocamos, la privacidad se vuelve performativa: una casilla de verificación en una sombra de los derechos. Si lo hacemos bien, construimos un mundo donde la autonomía, tanto humana como máquina, no se rige por vigilancia o supresión, sino por coherencia ética. La IA agente nos obliga a enfrentar los límites de la política, la falacia del control y la necesidad de un nuevo contrato social. Uno construido para entidades que piensan, y uno que tiene la fuerza para sobrevivir cuando responden. Obtenga más información sobre Zero Trust + AI. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Aug 15, 2025Ravie Lakshmananmalware / código abierto Un actor de amenaza persistente avanzada de habla china (APT) se ha observado que se dirige a entidades de infraestructura web en Taiwán utilizando versiones personalizadas de herramientas de origen abierto con el objetivo de establecer un acceso a largo plazo dentro de los entornos de víctimas de alto valor. La actividad ha sido atribuida por Cisco Talos a un clúster de actividad que rastrea como UAT-7237, que se cree que es activo desde al menos 2022. El grupo de piratería se evalúa como un subgrupo de UAT-5918, que se sabe que atacaba las entidades de infraestructura crítica en la Interructura en Taiwan más lejos de 2023 «. Dentro de Taiwán y depende en gran medida del uso de herramientas de origen abierto, personalizadas hasta cierto punto, que probablemente evaden la detección y realice actividades maliciosas dentro de la empresa comprometida «, dijo Talos. Los ataques se caracterizan por el uso de un cargador de shellcode a medida denominado Soundbill que está diseñado para decodificar y lanzar cargas útiles secundarias, como Cobalt Strike. A pesar de las superposiciones tácticas con UAT-5918, la artesanía de UAT-7237 exhibe desviaciones notables, incluida su dependencia de la huelga de cobalto como puerta trasera primaria, el despliegue selectivo de capas web después del compromiso inicial, y la incorporación de acceso directo a protocolo de escritorio (RDP) y clientes VPN para el acceso persistente. Las cadenas de ataque comienzan con la explotación de fallas de seguridad conocidas contra servidores no parpadeados expuestos a Internet, seguido de realizar un reconocimiento inicial y huellas dactilares para determinar si el objetivo es de interés para los actores de amenaza para la explotación de seguimiento. «Si bien UAT-5918 inmediatamente comienza a implementar proyectiles web para establecer canales de acceso traseros, UAT-7237 se desvía significativamente, utilizando el cliente VPN Softher (similar al Typhoon de Flax) para persistir su acceso y luego acceder a los sistemas a través de RDP», los investigadores Asheer Malhotra, Brandon White y Vitor Ventura dijeron. Una vez que este paso es exitoso, el atacante gira a otros sistemas en toda la empresa para expandir su alcance y llevar a cabo nuevas actividades, incluido el despliegue de Soundbill, un cargador de shellcode basado en Vthello, para el lanzamiento de Cobalt Strike. También se implementa en hosts comprometidos JuicyPotato, una herramienta de escalada de privilegios ampliamente utilizada por varios grupos de piratería chinos y Mimikatz para extraer credenciales. En un giro interesante, los ataques posteriores han aprovechado una versión actualizada de Soundbill que incrusta una instancia de Mimikatz para lograr los mismos objetivos. Además de usar FSCAN para identificar puertos abiertos contra subredes IP, se ha observado que UAT-7237 intenta hacer cambios en el registro de Windows para deshabilitar el control de la cuenta de usuario (UAC) y activar el almacenamiento de contraseñas de ClearText. «UAT-7237 especificó el chino simplificado como el lenguaje de visualización preferido en su [SoftEther] El archivo de configuración del idioma del cliente de VPN, lo que indica que los operadores eran competentes con el idioma «, señaló Talos. La divulgación se produce cuando Intezer dijo que descubrió una nueva variante de una puerta trasera conocida llamada Firewood asociada con un actor de amenaza alineado por China, llamado Gelsemium, aunque con baja confianza. USBDEV.KO para ocultar procesos y ejecutar varios comandos enviados por un servidor controlado por el atacante.

Aug 16, 2025Rravie Lakshmananandroid / Investigadores de ciberseguridad de malware han detallado el funcionamiento interno de un troyano de banca Android llamado Ermac 3.0, descubriendo serias deficiencias en la infraestructura de los operadores. «La versión 3.0 recientemente descubierta revela una evolución significativa del malware, ampliando sus capacidades de inyección y robo de datos para apuntar a más de 700 aplicaciones de banca, compras y criptomonedas», dijo Hunt.io en un informe. Ermac fue documentado por primera vez por Denacefabric en septiembre de 2021, detallando su capacidad para realizar ataques superpuestos contra cientos de aplicaciones bancarias y de criptomonedas en todo el mundo. Atribuido a un actor de amenaza llamado Dukeeugene, se evalúa como una evolución de Cerberus y BlackRock. Otras familias de malware comúnmente observadas, incluido Hook (ERMAC 2.0), Pegaso y botín, poseen un linaje compartido: un antepasado en forma de ERMAC a partir de la cual los componentes del código fuente se han transmitido y modificado a través de generaciones. Hunt.io dijo que logró obtener el código fuente completo asociado con la oferta de malware como servicio (MAAS) desde un directorio abierto en 141.164.62[.]236: 443, hasta su backend PHP y Laravel, Frontend basado en React, Golang Exfiltration Server y Android Builder Panel. Las funciones de cada uno de los componentes se enumeran a continuación, el servidor Backend C2, proporciona a los operadores la capacidad de administrar dispositivos de víctimas y acceder a datos comprometidos, como registros de SMS, cuentas robadas y panel de frontend de datos de dispositivos, permite a los operadores interactuar con los dispositivos conectados con los comandos emitidos, administrar superposiciones y acceder al servidor de exfiltración de datos, un servidor de Golang, un servidor de Golang, un servidor de Golang, utilizado para el exfiltrado, el servidor de la información del exfiltrateo y el control de la información de la información. compromised devices ERMAC backdoor – An Android implant written in Kotlin that offers the ability to control the compromised device and collect sensitive data based on incoming commands from the C2 server, while ensuring that the infections don’t touch devices located in the Commonwealth of Independent States (CIS) nations ERMAC builder – A tool to help customers configure and create builds for their malware campaigns by providing the application name, server URL, and other settings for the Android Backdoor, además de un conjunto ampliado de objetivos de aplicación, ERMAC 3.0 agrega nuevos métodos de inyección de formulario, un panel de comando y control (C2) revisado, una nueva puerta trasera de Android y comunicaciones encriptadas AES-CBC. «La fuga reveló debilidades críticas, como un secreto JWT codificado y un token de portador administrativo estático, credenciales raíz predeterminadas y registro de cuentas abiertas en el panel de administración», dijo la compañía. «Al correlacionar estas fallas con la infraestructura ERMAC en vivo, proporcionamos a los defensores formas concretas de rastrear, detectar e interrumpir las operaciones activas».

Aug 16, 2025Ravie Lakshmananmalware / Vulnerabilidad El actor de amenaza conocido como CiCryPTHUB continúa explotando una falla de seguridad ahora emparejada que afecta a Microsoft Windows para ofrecer cargas útiles maliciosas. Trustwave SpiderLabs dijo que recientemente observó una campaña CiCrryPTHUB que reúne la ingeniería social y la explotación de una vulnerabilidad en el marco de la consola de gestión de Microsoft (MMC) (CVE-2025-26633, también conocido como MSC Eviltwin) para activar la rutina de infección a través de un archivo de consola Microsoft (MSC) de Microsoft (MSC). «Estas actividades son parte de una ola amplia y continua de actividad maliciosa que combina la ingeniería social con la explotación técnica para evitar las defensas de seguridad y obtener control sobre los entornos internos», dijeron los investigadores de confianza Nathaniel Morales y Nikita Kazymirskyi. CiCrypThub, también rastreado como Larva-208 y Water Gamayun, es un grupo de piratería ruso que primero ganó prominencia a mediados de 2024. Operando a un alto tempo, la tripulación motivada financieramente es conocida por aprovechar varios métodos, incluidas las ofertas de trabajo falsas, la revisión de cartera e incluso comprometer los juegos de Steam, para infectar objetivos con malware del robador. El abuso del actor de la amenaza de CVE-2025-26633 fue documentado previamente por Trend Micro en marzo de 2025, descubriendo ataques que entregan dos traseros llamados Silentprism y Darkwisp. La última secuencia de ataque involucra al actor de amenaza que afirma ser del departamento de TI y enviando una solicitud de equipos de Microsoft al objetivo con el objetivo de iniciar una conexión remota e implementar cargas útiles secundarias por medio de los comandos de PowerShell. Entre los archivos retirados se encuentran dos archivos MSC con el mismo nombre, uno benigno y el otro malicioso, que se usa para activar CVE-2025-26633, lo que finalmente resulta en la ejecución del archivo MSC de Rogue cuando se lanza su contraparte inocua. El archivo MSC, por su parte, obtiene y se ejecuta desde un servidor externo, otro script de PowerShell que recopila información del sistema, establece persistencia en el host y se comunica con un servidor de comando y control de cifrado (C2) para recibir y ejecutar cargas maliciosas, incluido un robador llamado Staaler. «El script recibe comandos cifrados de AES del atacante, los descifra y ejecuta las cargas útiles directamente en la máquina infectada», dijeron los investigadores. También desplegado por el actor de amenaza en el transcurso del ataque es un cargador basado en GO, llamado SilentCrystal, que abusa de soporte valiente, una plataforma legítima asociada con el navegador web valiente, para alojar malware de la próxima etapa, un archivo zip que contiene los dos archivos MSC para armar CVE-2025-26633. Lo que hace que esto sea significativo es que cargar archivos adjuntos de archivos en la plataforma de soporte valiente está restringido para los nuevos usuarios, lo que indica que los atacantes lograron de alguna manera obtener acceso no autorizado a una cuenta con permisos de carga para extraer el esquema. Algunas de las otras herramientas implementadas incluyen una puerta trasera de Golang que funciona en modo cliente y servidor para enviar metadatos del sistema al servidor C2, así como configurar la infraestructura C2 utilizando el protocolo de túnel proxy Socks5. También hay evidencia de que los actores de amenaza continúan dependiendo de los señuelos de videoconferencia, esta vez configurando plataformas falsas como Rivatalk para engañar a las víctimas para que descarguen un instalador MSI. Ejecutar el instalador conduce a la entrega de varios archivos: el binario de instalador antimalware de lanzamiento temprano (ELAM) legítimo de Symantec que se usa para colocar un DLL malicioso que, a su vez, lanza un comando PowerShell para descargar y ejecutar otro script de PowerShell. Está diseñado para recopilar información del sistema y exfiltrarla al servidor C2, y espera las instrucciones encriptadas de PowerShell que se decodifican y ejecutan para dar a los atacantes el control total del sistema. El malware también muestra un mensaje emergente falso de «Configuración del sistema» como una artimaña, mientras se lanza un trabajo de fondo para generar tráfico de navegador falso al realizar solicitudes HTTP a sitios web populares para combinar las comunicaciones C2 con actividad de red normal. «El actor de amenaza de CiCrrypThub representa a un adversario adaptativo y bien recubierto, que combina ingeniería social, abuso de plataformas confiables y la explotación de las vulnerabilidades del sistema para mantener la persistencia y el control», dijo Trustwave. «Su uso de plataformas de videoconferencia falsas, estructuras de comando cifradas y conjuntos de herramientas de malware en evolución subraya la importancia de las estrategias de defensa en capas, la inteligencia de amenazas continua y la capacitación en conciencia del usuario».

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento de EE. UU. Renovó las sanciones contra la plataforma de intercambio de criptomonedas rusa Garantex para facilitar los actores de ransomware y otros ciberdelincuentes al procesar más de $ 100 millones en transacciones vinculadas a actividades ilícitas desde 2019. El Tesoro dijo que también imponen sanciones a los sucesores de Garantex, granja, así como tres ejecutivos de Garantex, y las compañías de Seis. Russia and the Kyrgyz Republic that have enabled these activities – Sergey Mendeleev (Co-founder) Aleksandr Mira Serda (Co-founder) Pavel Karavatsky (Co-founder) Independent Decentralized Finance Smartbank and Ecosystem (InDeFi Bank) Exved Old Vector A7 LLC A71 LLC A7 Agent LLC «Digital assets play a crucial role in global innovation and El desarrollo económico y los Estados Unidos no tolerarán el abuso de esta industria para apoyar la evasión del delito cibernético y las sanciones «, dijo bajo el Secretario del Tesoro de Terrorismo e Inteligencia Financiera, John K. Hurley. «Explotar los intercambios de criptomonedas para lavar el dinero y facilitar los ataques de ransomware no solo amenaza nuestra seguridad nacional, sino que también empaña la reputación de los proveedores legítimos de servicios de activos virtuales». Garantex fue sancionado por primera vez por los Estados Unidos en abril de 2022 para facilitar las transacciones de los mercados de Darknet y actores ilícitos como Hydra y Conti. El sitio web del intercambio de criptomonedas fue incautado como parte de una operación coordinada de aplicación de la ley en marzo de 2025, y su cofundador, Aleksej Besciokov, fue arrestado en India. D solo meses después, TRM Labs reveló que Garantex puede haber renombrado como Grinex, probablemente en un esfuerzo por evadir las sanciones, y el primero continuó procesando más de $ 100 millones en transacciones desde que se impusieron las sanciones. El ochenta y dos por ciento de su volumen total estaba vinculado a entidades sancionadas en todo el mundo. «Días después del derribo de Garantex, los canales de telegrama afiliados al intercambio comenzaron a promover Grinex, una plataforma con una interfaz casi idéntica, registrada en Kirguistán en diciembre de 2024», señaló TRM Labs en mayo. El Tesoro de los Estados Unidos dijo que los usuarios criminales usan Garantex para lavar sus fondos maltratados, procesando fondos de aquellos relacionados con las variantes de ransomware Conti, Black Basta, Lockbit, Netwalker y Phoenix Cryptolocker. También dijo que Garantex trasladó su infraestructura y depósitos de clientes a Grinex poco después de las acciones de aplicación de la ley de marzo. Además, se dice que Garantex trabajó con los clientes afectados para recuperar el acceso a sus cuentas utilizando un stablecoin respaldado por rublo llamado Token A7A5, que es emitido por una empresa kirguaja llamada Old Vector. El creador del token es A7 LLC. Según un informe de Elliptic, A7A5 se ha utilizado para transferir no menos de $ 1 mil millones por día, con el valor agregado de las transferencias A7A5 fijadas en $ 41.2 mil millones. En total, se estima que Grinex ha facilitado la transferencia de miles de millones de dólares en transacciones de criptomonedas en los pocos meses que ha estado operativo. «Garantex también ha brindado servicios de cuentas e intercambios a actores asociados con la pandilla de ransomware Ryuk», dijo la agencia. «Ekaterina Zhdanova, un prolífico lavado de dinero, intercambió más de $ 2 millones en Bitcoin por Tether (USDT) a través de Garantex». Los fondos salientes de Garantex desde septiembre de 2024 hasta mayo de 2025 Zhdanova fueron sancionados previamente por los Estados Unidos en noviembre de 2023 para lavar la moneda virtual para las élites del país y las tripulaciones cibernéticas, incluido Ryuk. «Los altos ejecutivos de Garantex han apoyado su capacidad para permitir la evasión del delito cibernético y las sanciones al adquirir infraestructura informática para Garantex, registrar sus marcas registradas y participar en los esfuerzos de desarrollo empresarial para hacer que sus actividades parezcan legítimas», agregó el Tesoro. «La red de empresas asociadas de Garantex también le ha permitido mover dinero, incluidos los fondos ilícitos, fuera de Rusia». El Departamento de Estado de los Estados Unidos ha anunciado una recompensa de $ 5 millones por información que conduce al arresto de Serda y $ 1 millón por información sobre otros líderes clave de Garantex. Vale la pena señalar que A7 fue sancionado por el Reino Unido en mayo de 2025 y por la Unión Europea el mes pasado. «El derribo multinacional de marzo de 2025 no detuvo estas actividades», dijo TRM Labs. «En cambio, el liderazgo de Garantex activó rápidamente un plan de contingencia que parece haber estado en su lugar durante meses». «La integración de A7A5 en Grinex representa solo el capítulo más reciente en el papel de larga data de Garantex en las finanzas ilícitas. Tanto antes como después de su designación por el Tesoro de los Estados Unidos, Garantex operaba como un conducto clave para el lavado de ransomware, las transacciones de mercado de Darknet, la evasión de sanciones y el movimiento de los fondos a través de redes financieras rusas de alto riesgo». La nueva ola de sanciones se produce cuando el Departamento de Justicia de los Estados Unidos (DOJ) reveló seis órdenes de selección que autorizan la incautación de más de $ 2.8 millones en criptomonedas, $ 70,000 en efectivo y un vehículo de lujo. La criptomoneda, dijo el Departamento de Justicia, fue incautada de una billetera de criptomonedas controlada por Ianis Aleksandrovich Antropenko, quien ha sido acusado en los Estados Unidos por supuestamente usar ransomware Zeppelin para atacar a personas, empresas y organizaciones de todo el mundo. «La criptomoneda y otros activos son los ingresos de (o participaron en el lavado de la actividad de ransomware», según el Departamento de Justicia. «Esos activos se lavaron de varias maneras, incluso mediante el uso del chipmixer del servicio de mezcla de criptomonedas, que se eliminó en una operación internacional coordinada en 2023. Antropenko también lavó la criptomoneda al intercambiar criptomonedas por efectivo y depositando el efectivo en depósitos de efectivo estructurados». En un desarrollo relacionado, más de $ 300 millones en activos de criptomonedas vinculados al delito cibernético y los esquemas de fraude, incluidas las estafas de cebo romántico (también conocido como Butchering), se han congelado como parte de un esfuerzo continuo para identificar e interrumpir las redes criminales.

Aug 14, 2025Rravie Lakshmananserver Security / Vulnerabilidad múltiples implementaciones HTTP / 2 se han encontrado susceptibles a una nueva técnica de ataque llamada MadeYoureset que podría explorarse para realizar poderosos ataques de negación de servicio (DOS). «MadeYoureset omite el límite típico impuesto al servidor de 100 solicitudes HTTP/2 concurrentes por conexión TCP de un cliente. Este límite está destinado a mitigar los ataques de DOS restringiendo el número de solicitudes simultáneas que un cliente puede enviar», los investigadores Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel. «Con MadeYoureset, un atacante puede enviar miles de solicitudes, creando una condición de denegación de servicio para usuarios legítimos y, en algunas implementaciones de proveedores, se convierte en bloqueos fuera de memoria». A la vulnerabilidad se le ha asignado el identificador CVE genérico, CVE-2025-8671, aunque el problema afecta a varios productos, incluidos Apache Tomcat (CVE-2025-48989), F5 Big-IP (CVE-2025-54500) y Netty (CVE-2025-55163). MadeYoureset es el último defecto en HTTP/2 después de un restablecimiento rápido (CVE-2023-444487) y la inundación de continuación HTTP/2 que puede ser potencialmente armada para organizar ataques DOS a gran escala. Al igual que los otros dos ataques aprovechan el marco RST_STREAM y los marcos de continuación, respectivamente, en el protocolo HTTP/2 para lograr el ataque, MadeYoureset se basa en un reinicio rápido y su mitigación, lo que limita el número de flujos que un cliente puede cancelar usando RST_STREAM. Específicamente, aprovecha el hecho de que el marco RST_STREAM se usa tanto para la cancelación iniciada por el cliente como para los errores de flujo de señalización. Esto se logra enviando marcos cuidadosamente elaborados que desencadenan violaciones de protocolo de manera inesperada, lo que lleva al servidor a restablecer la transmisión emitiendo un RST_STREAM. «Para que MadeYoureset funcione, la transmisión debe comenzar con una solicitud válida en la que el servidor comience a trabajar, luego activar un error de transmisión para que el servidor emita RST_STREAM mientras el backend continúa calculando la respuesta», explicó Bar Nahum. «Al elaborar ciertos marcos de control no válidos o violar la secuenciación del protocolo en el momento justo, podemos hacer que el servidor envíe rst_stream para una secuencia que ya tenía una solicitud válida». Las seis primitivas que hacen que el servidor envíe los marcos rst_stream incluyen – window_update marco con un incremento del marco de 0prioridad cuya longitud no es 5 (la única longitud válida para él) marco de prioridad que hace que un flujo dependiente de sí mismo sea un marco de secuencia de flujo en sí mismo con el marco de la ventana de la ventana que se envía en sí mismo después del cliente ha cerrado el stream (el stream de la ventana). El cliente ha cerrado la transmisión (a través del indicador End_Stream) Este ataque es notable no menos importante porque obvia la necesidad de que un atacante envíe un marco RST_STREAM, sin pasar por completo las mitigaciones de reinicio rápido, y también logra el mismo impacto que este último. En un aviso, el Centro de Coordinación CERT (CERT/CC) dijo que MadeYoureset explota un desajuste causado por los restos de flujo entre las especificaciones HTTP/2 y las arquitecturas internas de muchos servidores web del mundo real, lo que resulta en el agotamiento de los recursos, algo que un atacante puede explotar para inducir un ataque DOS. «El descubrimiento de las vulnerabilidades de reinicio rápido desencadenado por el servidor resalta la complejidad evolutiva del abuso moderno de protocolo», dijo Imperva. «Como HTTP/2 sigue siendo una base de la infraestructura web, protegiéndola contra ataques sutiles y compatibles con especificaciones como MadeYoureset es más crítico que nunca». HTTP/1.1 debe morir La divulgación de MadeYoureset viene cuando la firma de seguridad de aplicaciones Portswigger detalló novedosos ataques HTTP/1.1 Desync (también conocido como contrabando de solicitudes HTTP), incluida una variante de Cl.0 llamada 0.CL, exponiendo millones de sitios web a la adquisición hostil. Akamai (CVE-2025-32094) y Cloudflare (CVE-2025-4366) han abordado los problemas. El contrabando de solicitudes HTTP es una explotación de seguridad que afecta el protocolo de la capa de aplicación que abusa de la inconsistencia en el análisis de las solicitudes HTTP que no cumplen con RFC por los servidores front-end y de fondo, lo que permite a un atacante «pasar de contrarrestar» una solicitud y medidas de seguridad de lado. «HTTP/1.1 tiene un defecto fatal: los atacantes pueden crear una ambigüedad extrema sobre dónde termina una solicitud, y la siguiente solicitud comienza», dijo James Kettle de Portswigger. «HTTP/2+ elimina esta ambigüedad, haciendo que los ataques de desync sea prácticamente imposible. Sin embargo, simplemente habilitar HTTP/2 en su servidor Edge es insuficiente; debe usarse para la conexión aguas arriba entre su proxy inverso y servidor de origen».

Aug 14, 2025Rravie Lakshmanancryptomoneda / Crimen financiero Google dijo que está implementando una nueva política que requiere que los desarrolladores de intercambios de criptomonedas y billeteras obtengan licencias gubernamentales antes de publicar aplicaciones en 15 jurisdicciones para «garantizar un ecosistema seguro y cumplido para los usuarios». La política se aplica a mercados como Bahrein, Canadá, Hong Kong, Indonesia, Israel, Japón, Filipinas, Sudáfrica, Corea del Sur, Suiza, Tailandia, los Emiratos Árabes Unidos, el Reino Unido, los Estados Unidos y la Unión Europea. Los cambios no se aplican a las billeteras no custodiales. Esto significa que los desarrolladores que publiquen las aplicaciones de intercambio de criptomonedas y billeteras deben mantener las licencias apropiadas o estar registrados con autoridades relevantes como la Autoridad de Conducta Financiera (FCA) o la Red de Control de Delitos Financieros (FINCEN), o autorizados como un proveedor de servicios cripto-asignación (CASP) bajo los mercados en regulación de los mercados de los mercados (MICA) antes de la distribución. «Si su ubicación específica no está en la lista, puede continuar publicando intercambios de criptomonedas y billeteras de software. Sin embargo, debido al panorama regulatorio en rápida evolución en todo el mundo, se espera que los desarrolladores obtengan requisitos de licencia adicionales según las leyes locales», dijo el gigante tecnológico. Google señaló que los desarrolladores tienen que declarar en la sección de contenido de la aplicación que su aplicación es un intercambio de criptomonedas y/o una billetera de software en la declaración de características financieras. Además, la compañía dijo que puede solicitar a los desarrolladores que proporcionen más información sobre su cumplimiento en una jurisdicción dada que no está cubierta en la lista antes mencionada. Se insta a los desarrolladores que no tienen la información de registro o licencia requerida para ciertas ubicaciones a eliminar las aplicaciones de esos países/regiones dirigidos. La divulgación se produce cuando la Oficina Federal de Investigación de los Estados Unidos (FBI) emitió una advertencia de alerta actualizada sobre las estafas de criptomonedas en las que las empresas afirman falsamente para ayudar a las víctimas a recuperar sus fondos robados para defraudarlos aún más. Se han observado que los estafadores se hacen pasar por abogados que representan firmas de abogados ficticios, que se acercan a las víctimas de estafas en las redes sociales y otras plataformas de mensajería para ayudar con la recuperación de fondos, solo para engañarlos por segunda vez bajo el pretexto de recibir su información del FBI, la Oficina de Protección Financiera del Consumidor (CFPB) u otra agencia gubernamental. «Entre febrero de 2023 y febrero de 2024, las víctimas de estafadores de criptomonedas que fueron explotadas por firmas de abogados ficticios informaron que las pérdidas por un total de más de $ 9.9 millones», dijo el FBI en una alerta en junio pasado. El FBI también enumeró una serie de posibles banderas rojas que se aconseja a los usuarios que busquen que puedan indicar una estafa potencial: suplantación de entidades gubernamentales o abogados reales referencias referencias a un gobierno ficticio o entidades reguladoras que solicitan pago en criptomonedas o tarjetas de obsequios prepagos (el gobierno de los Estados Unidos no solicita el pago de los servicios de la ley que se proporcionan) que tienen conocimiento de los montos exactos y los datos de transfiers anteriores y los terceros y el tercer lugar a los victorias. Los fondos estafados que indican que la víctima estaba en una lista de víctimas de estafadores afiliadas al gobierno que remiten a las víctimas a un «bufete de abogados de recuperación de criptomonedas» que indica que los fondos de las víctimas se encuentran en una cuenta mantenida en un banco extranjero y les indican a que registren una cuenta en ese banco que coloca a las víctimas en un chat grupal en WhatsApp, o otras solicitudes de mensajería, por supuesto que la seguridad de los clientes solicita un pago de la compañía de pagos a un bancario por la compañía de operaciones de la compañía de seguridad para mantener la compañía de pago de la empresa de seguridad y otras solicitudes de seguridad. Credenciales o una licencia «Tenga cuidado con las firmas de abogados que se comunican con usted inesperadamente, especialmente si no ha informado el delito a ninguna agencia de aplicación de la ley o de protección civil», dijo el FBI, instando a los ciudadanos a ejercer la debida diligencia y adoptar un modelo de confianza cero. «Solicite verificación o documentación de video o una foto de su licencia de ley. Solicite la verificación del empleo para cualquier persona que haga trabajar para el gobierno o la aplicación de la ley de los Estados Unidos».

Aug 13, 2025Ravie Lakshmananvulnerabilidad / Software Security Zoom y Xerox han abordado fallas críticas de seguridad en los clientes de Zoom para Windows y FreeFlow Core que podrían permitir la escalada de privilegios y la ejecución de código remoto. La vulnerabilidad que afecta a los clientes de Zoom para Windows, rastreados como CVE-2025-49457 (puntaje CVSS: 9.6), se relaciona con un caso de una ruta de búsqueda no confiable que podría allanar el camino para una escalada privilegiada. «La ruta de búsqueda no confiable en ciertos clientes de Zoom para Windows puede permitir que un usuario no autenticado realice una escalada de privilegios a través del acceso a la red», dijo Zoom en un boletín de seguridad el martes. El problema, informado por su propio equipo de seguridad ofensivo, afecta los siguientes productos: Zoom Workplace para Windows antes de la versión 6.3.10 Zoom Workplace VDI para Windows antes de la versión 6.3.10 (excepto 6.1.16 y 6.2.12) Las habitaciones de zoom para Windows antes de la versión 6.3.10 Zoom Rooms Controller para Windows antes de la versión 6.3.10 Zoom se reunen con SDK para Windows antes de la versión 6.3.10 La revelación de múltiples vulnerabilidades se ha descrito vulnerabilidades vulnerneracidades se ha descrito a vulnerabilidades. el más severo de los cuales podría dar lugar a la ejecución de código remoto. Los problemas, que se han abordado en la versión 8.0.4, incluyen-CVE-2025-8355 (puntaje CVSS: 7.5)-Vulnerabilidad de inyección de entidad externa XML (xxe) que conduce a falsificaciones de solicitudes del lado del servidor (SSRF) CVE-2025-8356 (puntuación CVSS: 9.8)-Vulnerabilidad de Código Remoto Vulnerabilidades a vulnerabilidades remotas a vulnerabilidades de Código Remoto «Vulnerabilidades de vulnerabilidades de vulnerabilidades Remotas son vulnerabilidades de vulnerabilidades remotas». Explotación y si es explotada, podría permitir que un atacante ejecute comandos arbitrarios en el sistema afectado, robe datos confidenciales o intente moverse lateralmente a un entorno corporativo determinado para continuar su ataque «, dijo Horizon3.ai.

Aug 12, 2025Ravie Lakshmananmalware / Container Security New Research ha descubierto imágenes de Docker en Docker Hub que contienen la infame Backdoor de XZ, más de un año después del descubrimiento del incidente. Más preocupante es el hecho de que se han construido otras imágenes sobre estas imágenes base infectadas, propagando efectivamente la infección aún más de manera transitiva, dijo Binarly Research en un informe compartido con Hacker News. La compañía de seguridad de firmware dijo que descubrió un total de 35 imágenes que se envían con la puerta trasera. El incidente una vez más destaca los riesgos que enfrenta la cadena de suministro de software. El evento de la cadena de suministro XZ utiliza (CVE-2024-3094, puntaje CVSS: 10.0) salió a la luz a fines de marzo de 2024, cuando Andres Freund sonó la alarma en una puerta trasera incrustada dentro de las versiones de XZ Utils 5.6.0 y 5.6.1. Un análisis posterior del código malicioso y el compromiso más amplio condujeron a varios descubrimientos sorprendentes, el primero y más importante es que la puerta trasera podría conducir a un acceso remoto no autorizado y habilitar la ejecución de cargas útiles arbitrarias a través de SSH. Específicamente, la puerta trasera, colocada en la biblioteca Liblzma.so y utilizada por el servidor OpenSSH, fue diseñado de tal manera que se activó cuando un cliente interactúa con el servidor SSH infectado. Al secuestrar la función RSA_Public_Decrypt utilizando el mecanismo de IFUNC del GLIBC, el código malicioso permitió que un atacante que poseía una clave privada específica para evitar la autenticación y ejecutar comandos raíz de forma remota, «explicó binarly. Responsabilidades, señalización de la naturaleza meticulosa del ataque. de 12 imágenes de Docker de Debian que contienen una de las imágenes de XZ Utils, y otro conjunto de imágenes de segundo orden que incluyen las imágenes de Debian comprometidas. Dejar las imágenes de Docker disponibles públicamente que contienen una posible puerta trasera en red con la red conllevan un riesgo de seguridad significativo, a pesar de los criterios requeridos para la explotación exitosa de la red al dispositivo infectado con el servicio SSH en ejecución «, el incidente de la puerta trasera XZ demuestra que incluso el código malicioso de breve puede permanecer sin tener en cuenta en el contenedor oficial durante un tiempo largo. La forma en que estos artefactos pueden persistir y propagar silenciosamente a través de tuberías de CI y ecosistemas de contenedores, lo que refuerza la necesidad crítica de un monitoreo continuo a nivel binario más allá del simple seguimiento de versión «.