En ciberseguridad, la velocidad es importante, pero la confianza es crucial. La IA debe garantizar una respuesta rápida y decisiones confiables para evitar errores e interrupciones. En ciberseguridad, la velocidad importa. Pero la velocidad sin confianza puede ser igual de peligroso, si no más, como ninguna acción. Una decisión apresurada e inexacta puede interrumpir los sistemas críticos, causar tiempos de inactividad innecesarios y erosionar la confianza en sus operaciones de seguridad. Es por eso que la IA en la ciberseguridad es algo más que una detección y respuesta más rápida; Se trata de generar confianza en cada decisión que toman el sistema y los analistas. La brecha entre saber que algo está mal y hacer algo es uno de los problemas más peligrosos en la ciberseguridad. Los atacantes prosperan en esta brecha, explotando demoras, ganando un punto de apoyo más seguro y dejando a los defensores luchando para cerrarlos. AI está ayudando a cerrar esa brecha al acelerar los tiempos de respuesta y hacer que los flujos de trabajo sean más precisos, confiables y adaptados a las necesidades específicas de las organizaciones relevantes. La confianza es la métrica de seguridad cibernética más importante en la práctica, la confianza en una operación de seguridad se reduce a dos estándares clave: precisión: ¿identifica correctamente las amenazas y ejecuta la acción prevista sin una interrupción innecesaria? Confiabilidad: ¿Lo hace de manera consistente en diferentes escenarios, entornos y plazos? Para la IA en ciberseguridad, estos son requisitos operativos y medibles. Incluso con la automatización tradicional, la inexactitud puede causar daños reales. Un libro de jugadas mal configurado para el relleno de credenciales, por ejemplo, podría bloquear cientos de usuarios legítimos si la lógica de detección es defectuosa. Un flujo de trabajo de prevención de phishing demasiado celoso podría poner en cuarentena los correos electrónicos de negocios críticos. Cuando la acción incorrecta ocurre a la velocidad de la máquina, el impacto es inmediato y generalizado. Por qué la confianza es más importante en la era de agente, la IA agente agrava estos riesgos. La primera ola de IA en su mayoría aceleró los flujos de trabajo existentes. Todavía dependía de los libros de jugadas definidos por humanos, lo que significa que el mayor riesgo era un mal guión ejecutado demasiado rápido. Sin embargo, los sistemas de IA agente no solo siguen las reglas. Investigan, deciden y actúan en tiempo real, adaptándose a medida que las situaciones evolucionan. Eso significa que hay más puntos de decisión donde la precisión y confiabilidad son importantes, tanto en qué tan bien el sistema sigue un plan, como también en si elige el plan correcto en primer lugar. Por ejemplo, un sistema de IA agente que detecta el movimiento lateral malicioso en una red podría: correlacionar los registros de autenticación de Active Directory, la telemetría de punto final de las herramientas EDR y los patrones de tráfico de la red este-oeste para identificar el uso sospechoso de credenciales. Decide deshabilitar los boletos de Kerberos afectados y revocar tokens OAuth específicos asociados con las cuentas comprometidas, en lugar de bloquear a todos los usuarios fuera del dominio. Adapte la respuesta media si detecta nuevos intentos de escalada de privilegios, implementando automáticamente una política de PAM justo a tiempo para restringir el acceso a sistemas confidenciales. Activar una actualización de reglas IDS/IPS en tiempo real para bloquear más conexiones laterales de los hosts de origen identificados. En este escenario, la IA no está ejecutando un script de «Deshabilitar cuenta» previamente codificado. Está tomando decisiones de contención de múltiples capas basadas en la telemetría viva, ajustando sus acciones como aparecen un nuevo indicador y aplicando contramedidas específicas que minimizan la interrupción operativa. Ese juicio debe ser preciso, confiable y transparente. Un movimiento falso podría reducir las sesiones administrativas legítimas, interrumpir las operaciones críticas o desencadenar fallas innecesarias en los sistemas de producción. En última instancia, la confianza es el recibo de permiso para permitir que AI funcione con este nivel de autonomía. Sin una precisión y confiabilidad comprobadas, no puede entregar con confianza las decisiones que ocurren en segundos e impactan sus operaciones comerciales. Cómo operacionalizar la confianza en la IA cuando los sistemas de IA pueden actuar de forma independiente, la confianza se detiene que tiene las barandillas operativas y los bucles de retroalimentación que hacen que esa confianza se justifique. Esto significa: definir barandillas claras: establezca los límites para lo que AI puede actuar de manera autónoma versus lo que necesita intervención humana. Pruebas en escenarios del mundo real: simule incidentes en sus entornos para validar la precisión y la confiabilidad antes de la implementación. Construyendo bucles de retroalimentación continua: revisión del analista de alimentación y telemetría en el sistema para aprender y mejora con el tiempo. Medición de la confianza a lo largo del tiempo: rastree las métricas como las tasas positivas verdaderas, el tiempo medio de contener (MTTC) y la consistencia entre los tipos de incidentes. Hay plataformas que demuestran cómo funciona en la práctica. Las mejores plataformas se adaptan al entorno de cada cliente y proporcionan visibilidad en cada decisión, lo que facilita a los analistas validar las acciones y refinar las respuestas futuras. La conclusión de los sistemas de IA asume roles más autónomos en las operaciones de seguridad, el margen de error se hace más pequeño. La precisión y la confiabilidad se han convertido en requisitos previos para la implementación. Operacionalizar la confianza significa definir límites claros para la acción autónoma, validar el rendimiento en condiciones del mundo real y mantener un ciclo de retroalimentación continua entre analistas humanos y sistemas de IA. Solo entonces pueden los analistas confiar en sus flujos de trabajo. Sobre el autor: Josh Breaker-Rolfe es un escritor de contenido en Bora. Se graduó con un título en periodismo en 2021 y tiene antecedentes en ciberseguridad PR. Está escrito sobre una amplia gama de temas, desde AI hasta Zero Trust, y está particularmente interesado en los impactos de la ciberseguridad en la economía en general. Follow me on Twitter: @securityaffairs and Facebook and Mastodon Pierluigi Paganini (SecurityAffairs – hacking, Cybersecurity) Original Post URL: https://securityaffairs.com/181278/security/ai-for-cybersecurity-building-trust-in-your-workflows.htmlCategory & Tags: Breaking Noticias, seguridad, ciberseguridad, noticias de piratería, noticias de seguridad de la información, seguridad de la información de TI, Pierluigi Paganini, noticias de seguridad: noticias de última hora, seguridad, seguridad cibernética, noticias de piratería, noticias de seguridad de la información, seguridad de la información, Pierluigi Paganini, noticias de seguridad
Etiqueta: SecurityAffairs.com
Fuente: SecurityAffairs.com – Autor: Pierluigi Paganini Usamos cookies en nuestro sitio web para brindarle la experiencia más relevante al recordar sus preferencias y repetir visitas. Al hacer clic en «Aceptar todo», usted acepta el uso de todas las cookies. Sin embargo, puede visitar «Configuración de cookies» para proporcionar un consentimiento controlado. URL de publicación original: https://securityaffairs.com/181233/malware/security-affairs-malware-newsletter-round-58.html Categoría y etiquetas: noticias de última hora, malware, seguridad, cibercrímo, piratería, piratería, información de seguridad de seguridad, TI Information News, Malware, Pierluigi Paganini, Paganini, caejos de seguridad, piratería, piratería, seguimiento de seguridad, noticias de seguridad, TI de la información, malware, malware, Pierluigi Paganini. Noticias, malware, seguridad, delito cibernético, piratería, piratería, noticias de seguridad de la información, seguridad de la información de TI, malware, Pierluigi Paganini, Asuntos de Seguridad, Vistas de noticias de seguridad: 0
Investigadores de la firma de ciberseguridad Profero Cracked Darkbit Ransomware Cifryption, lo que permite a las víctimas recuperar archivos de forma gratuita. Buenas noticias para las víctimas del ransomware Darkbit, los investigadores de la firma de ciberseguridad Profero crujieron el proceso de cifrado, permitiendo a las víctimas recuperar archivos gratis sin pagar el rescate. Sin embargo, en este momento, la compañía aún no ha lanzado al descifrador. La Dirección Nacional Cibernética de Israel vinculó la operación de ransomware Darkbit con el actor de Irán-Nexus Actor Muddywater Apt Group. En 2023, Profero respondió a un ataque de ransomware Darkbit que cifra múltiples servidores VMware ESXi, sospechosos de represalia por huelgas de drones iraníes. Los atacantes no negociaron el rescate, centrándose en la interrupción operativa y una campaña de influencia para dañar la reputación de la víctima. El grupo, que se hacía pasar por los hacktivistas pro-iran, había atacado previamente instituciones israelíes. En este caso, exigieron 80 bitcoin e incluyeron mensajes anti-Israel en notas de rescate, pero ProRero rompió el cifrado, permitiendo la recuperación de archivos gratuitos. Durante el análisis del ransomware Darkbit, los investigadores de Profero encontraron que su método de generación de claves AES-128-CBC produjo claves débiles y predecibles. Utilizando marcas de tiempo de archivo y encabezados VMDK conocidos, redujeron el espacio de claves a miles de millones de posibilidades, lo que permite el force de bruto eficiente. «Hicimos uso de un arnés de ruptura de clave AES-128-CBC para probar si nuestra teoría era correcta, así como un descriptor que tomaría un VMDK cifrado y un par clave y IV como entrada para producir el archivo no entrelazado. El arnés se ejecutaba en un entorno de alto rendimiento, lo que nos permite acelerar la tarea lo más rápido posible, y después de un día de bruto force, ¡fuimos exitosos!» Lee el informe publicado por los expertos. «Habíamos demostrado que era posible y obtuvimos la clave. Luego continuamos con la fuerza bruta de otro VMDK, pero este método no era escalable por dos razones: cada archivo VMDK nos llevaría un día para descifrar el arnés se encuentra en un entorno de HPC y es limitado en la capacidad de escala. Profero creó una herramienta para probar todas las semillas posibles y generar pares clave y IV, y combinarlas con encabezados VMDK. Este proceso les permitió recuperar las claves de descifrado. También aprovecharon la escasez de archivos VMDK, donde las grandes partes de contenido permanecieron sin cifrar debido al cifrado parcial por el ransomware, para recuperar la mayoría de los archivos necesarios directamente, sin pasar por el descifrado de la fuerza bruta durante gran parte de los datos. «Los archivos VMDK son escasos, lo que significa que están en su mayoría vacíos y, por lo tanto, los fragmentos encriptados por el ransomware en cada archivo también están en su mayoría vacíos. Estadísticamente, la mayoría de los archivos contenidos en los sistemas de archivos VMDK no se encriptarán, y la mayoría de los archivos dentro de estos sistemas de archivos no eran relevantes para nosotros/ nuestra tarea/ nuestra investigación». concluye los expertos. «Entonces, nos dimos cuenta de que podíamos caminar el sistema de archivos para extraer lo que quedaba de los sistemas de archivos VMDK internos … ¡y funcionó! La mayoría de los archivos que necesitábamos simplemente podían recuperarse sin descifrado». Sígueme en Twitter: @SecurityAffairs y Facebook y Mastodon Pierluigi Paganini (SecurityAffairs-Hacking, Ransomware) Post original URL: https://securityaffairs.com/181064/malware/researchers-cracked-the-rrycrycryttttip–by-darkbit-ranso Noticias, malware, ransomware Darkbit, piratería, piratería, noticias de seguridad de la información, Irán, seguridad de la información de TI, malware, Muddywater, Pierluigi Paganini, Asuntos de Seguridad, Noticias de seguridad – APT, Breaking News, Malware, Darkbit Ransomware, Hacking, Hacking Security Security, Iran, IT Security, Malware, Muddywater, Pierluigi Paganini, Paganini, Afios de seguridad de seguridad, Security News, News Security News, News, News, News, News, News, Muddywater, Pierluigi Paganini, Paganini, Afios de seguridad de seguridad, Security News, News, News, News, News, Muddywater, Pierluigi Paganini, Paganini, Afios de seguridad de seguridad, Security
Los fallas de la cámara web de Lenovo, denominadas Badcam, dejan que los atacantes los conviertan en dispositivos Badusb para inyectar pulsaciones de teclas y lanzar ataques independientes del sistema operativo. Los investigadores de Eclypsium encontraron vulnerabilidades en algunas cámaras web de Lenovo, dobladas colectivamente Badcam, que podrían permitir que los atacantes los conviertan en dispositivos Badusb para inyectar pulsaciones de pulsaciones y lanzar ataques independientes del sistema operativo. Los principales investigadores de seguridad Jesse Michael y Mickey Shkatov demostraron los defectos en Def Con 33. Esta es probablemente la primera prueba de que un periférico USB basado en Linux comprometido ya conectado a una computadora puede ser armado con fines maliciosos. «Los investigadores de Eclypsium descubrieron que las cámaras web de modelos seleccionan de Lenovo Run Linux, no validan el firmware y pueden armarse como dispositivos BadUSB». Lee el informe publicado por Eclypsium. «Hasta donde sabemos, esta es la primera vez que se ha demostrado que los atacantes pueden armarse un dispositivo USB que ya está conectado a una computadora que inicialmente no pretendía ser maliciosa». BADUSB explota la confianza en los dispositivos USB mediante la reprogramación del firmware para imitar los HID y ejecutar comandos maliciosos, evitando las defensas del sistema operativo. Primero demostrado en Black Hat 2014 por Karsten Nohl y Jakob Lell en 2014, ahora está armado con herramientas como Rubber Ducky, Flipper Zero y cargas de código abierto. Los ataques son sigilosos, modulares y persistentes, a menudo evaden la detección y habilitan el robo de datos, la escalada de privilegios y el ransomware. Los investigadores de Eclypsium demostraron que los periféricos USB basados en Linux, como las cámaras web, pueden ser secuestradas y convertidas de forma remota en dispositivos BADUSB sin requerir acceso físico. Al reflexionar sobre el firmware, los atacantes pueden hacer que actúen como HID maliciosos, inyectar cargas útiles o reinfectar persistentemente hosts, incluso después de que los usuarios reinstalan los sistemas operativos. La función de gadget USB de Linux permite que dichos dispositivos imiten periféricos de confianza, ampliando la amenaza para muchos dispositivos USB con motor Linux. “Los investigadores del eclisio Jesse Michael y Mickey Shaktov han ampliado el panorama de amenazas BadUSB al demostrar que los periféricos USB específicos, como las cámaras web que ejecutan Linux, pueden ser secuestrados remotamente y transformados en dispositivos BADUSB sin ser físicamente desagradables o reemplazados. Esto marca una evolución notable: un atacante que gana remota se expone en un sistema de un sistema de un sistema de apuntalado de un sistema. Cámica web con alimentación de Linux, reutilizándola para que se comporte como un HID malicioso o para emular dispositivos USB adicionales «. continúa el informe. «Una vez armado, la cámara web aparentemente inocua puede inyectar pulsaciones de teclas, ofrecer cargas útiles maliciosas o servir como un punto de apoyo para una persistencia más profunda, todo mientras se mantiene la apariencia externa y la funcionalidad central de una cámara estándar». Eclypsium descubrió que las cámaras web Lenovo 510 FHD y el rendimiento FHD son vulnerables a las actualizaciones de firmware inseguras, lo que permite un compromiso completo de la cámara. Ambos usan SoCS basados en Sigmastar Bass que ejecuta Linux con soporte de gadgets USB, lo que permite que los ataques de estilo BadUSB secuestren a un anfitrión. Los ReseAarchers descubrieron que el proceso de actualización carece de salvaguardas, los comandos USB simples pueden borrar y sobrescribir el flash SPI de 8 MB, permitiendo que los atacantes reemplacen el firmware y arma la cámara mientras conservan la funcionalidad normal. A continuación se muestra un video POC del ataque: Eclypsium instó a Lenovo y Sigmastar a agregar la verificación de firmware a los SOC afectados. Lenovo respondió creando una herramienta de instalación actualizada con validación de firma para corregir la falla. Los usuarios de las cámaras web impactadas deben descargar la actualización del sitio de soporte de Lenovo para mitigar los riesgos. La compañía trabajó con Sigmastar para evaluar y abordar la vulnerabilidad de inmediato. «A medida que las cadenas de suministro de dispositivos continúan diversificando y los periféricos USB se vuelven más complejos, estos ataques subrayan la necesidad urgente de firmación de firmware, certificación del dispositivo y una visibilidad más granular de lo que está conectado a los puntos finales empresariales». concluye el informe. «Con BadUSB ahora posible no solo a través del acceso físico, sino también la manipulación remota de los periféricos cotidianos, las organizaciones deben repensar los modelos de fideicomiso de punto final y hardware». Sígueme en Twitter: @SecurityAffairs y Facebook y Mastodon Pierluigi Paganini (SecurityAffairs-Hacking, BadCam) URL original de la publicación: https://securityaffairs.com/181005/hacking/badcam-linux basado en–webcam-bugs-nable-badusb-attacks. Noticias, piratería, badcam, badusb, delito cibernético, noticias de seguridad de la información, IoT, seguridad de la información de TI, Lenovo, Linux, Pierluigi Paganini, Asuntos de Seguridad, Noticias de seguridad: noticias de última hora, piratería, Badcam, Badusb, Cybercrime, Information Security News, IoT, TI Security, Lenovo, Linux, Pierluigi Paganini, Affairs de seguridad, Asuntos de Seguridad, Asuntos de Seguridad, Asuntos de Seguridad.