Una nueva investigación del Laboratorio de Seguridad de Amnistía Internacional identifica a Indonesia como un centro emergente para proveedores y herramientas de vigilancia. La organización encontró pruebas de ventas y envíos de “software espía altamente invasivo y otras tecnologías de vigilancia” enviados a Indonesia desde países como Israel, Grecia, Singapur y Malasia desde 2017 hasta el año pasado. Según se informa, estas herramientas de vigilancia pertenecen a empresas como «Q Cyber Technologies (vinculada a NSO Group), el consorcio Intellexa, Saito Tech (también conocido como Candiru), FinFisher y su filial de propiedad absoluta Raedarius M8 Sdn Bhd, y Wintego Systems». Amnistía Internacional también detalló varios nombres de dominio e infraestructuras de red maliciosos conectados a plataformas de software espía que tienen como objetivo a personas en Indonesia. Si bien los nombres de dominio imitan a partidos políticos y medios de comunicación, no está claro a quién se dirige en realidad, según Amnistía Internacional. Históricamente, el software espía ha sido utilizado por entidades gubernamentales para atacar a la sociedad civil y a los periodistas, por lo que para Indonesia, donde los derechos civiles están siendo atacados, esto es «de especial preocupación», según el informe de Amnistía. «La investigación actual proporciona evidencia material para informar futuras investigaciones y esfuerzos de rendición de cuentas para garantizar que la sociedad civil en Indonesia pueda operar en un ambiente libre del temor a la vigilancia ilegal», dice el informe.
Etiqueta: Seguridad de lectura oscura Página 1 de 2
Qantas, la principal aerolínea australiana, está investigando una violación de la privacidad después de que sus clientes pudieran ver las tarjetas de embarque, los detalles de los vuelos y la información de los viajeros frecuentes de otras personas. Josh Withers, un cliente de Qantas, dijo que pudo ver el nombre de otro pasajero y los detalles del vuelo cuando abrió la aplicación Qantas. Cada vez que volvía a abrir el portal de vuelos, la aplicación mostraba la información del vuelo de un cliente diferente. Según se informa, otros pasajeros tenían la posibilidad de cancelar vuelos a Europa a través de la aplicación. La aerolínea informa que «no hubo indicios de un incidente de seguridad cibernética», aunque también dijo que su investigación apunta a un problema tecnológico que podría haber causado cambios en el sistema que condujeron a esta violación de la privacidad. Qantas pudo resolver el problema aproximadamente tres horas después de que se descubriera, pero insta a los clientes afectados a permanecer atentos a las estafas de ingeniería social que utilizan la información expuesta.
Docker eliminó casi 3 millones de repositorios públicos de Docker Hub después de que los investigadores descubrieron que cada uno de ellos no tenía imágenes ni contenido, además de una aparente página de descripción adjunta que contenía enlaces a contenido malicioso. Los investigadores de JFrog detectaron la amenaza en una investigación reciente e identificaron que los contenedores se utilizaban en tres campañas a gran escala para distribuir spam y malware. Desde entonces, Docker ha instituido un nuevo mecanismo que evita enlaces a recursos externos en las páginas de descripción de repositorios sin imágenes. ¿Se necesita más moderación? «A diferencia de los ataques típicos dirigidos directamente a desarrolladores y organizaciones, los atacantes en este caso intentaron aprovechar la credibilidad de la plataforma Docker Hub, lo que hace más difícil identificar los intentos de phishing y de instalación de malware», dijo JFrog en un informe del 30 de abril. «Casi 3 millones de repositorios maliciosos, algunos de ellos activos durante más de tres años, ponen de relieve el continuo uso indebido de la plataforma Docker Hub por parte de los atacantes y la necesidad de una moderación constante en dichas plataformas». JFrog descubrió que se publicaron unos 4,6 millones de repositorios sin imágenes en Docker Hub durante un período de cinco años. De ellos, casi todos tenían metadatos asociados que eran de naturaleza maliciosa. Los investigadores de JFrog contaron un total de 208.739 cuentas falsas que los atacantes utilizaron para cargar repositorios maliciosos. Según JFrog, lo que permitió a los actores de amenazas es una política de Docker que permite a los usuarios incluir descripciones de texto breves y metadatos en formato HTML, junto con cualquier imagen de contenedor que publiquen en Docker Hub. El propósito de permitir estas descripciones es permitir a los usuarios buscar y encontrar imágenes en el servicio de registro basado en la nube que puedan resultarles útiles para sus proyectos. La característica permitió a los actores de amenazas cargar contenedores sin imágenes e incluir con relativa facilidad páginas de descripción que tenían enlaces incrustados a sitios de spam, phishing y malware. Las cargas masivas se produjeron en dos oleadas distintas: una en 2021 y la otra en 2023. Los investigadores de JFrog pudieron vincular muchas de las cargas al repositorio de 2021 con una campaña para que los usuarios descargaran contenido pirateado y trucos para videojuegos. La mayoría de las URL de la campaña resolvieron sitios para descargas de archivos maliciosos. Si un servidor que albergaba archivos maliciosos se cerraba o dejaba de estar disponible, los enlaces se resolvían en un servidor activo diferente. Otra carga masiva en 2021 involucró una campaña de phishing de libros electrónicos gratuitos que parecía diseñada para robar información de tarjetas de crédito. Las cargas de 2023 a Docker Hub fueron una repetición de la campaña de 2021 que involucró contenido pirateado y trucos de videojuegos. Pero en lugar de que los repositorios apuntaran directamente a fuentes maliciosas, JFrog descubrió que apuntaban a recursos legítimos que rápidamente redirigían a las víctimas a una fuente maliciosa. Una página en blogger.com, por ejemplo, tardó 500 milisegundos en redirigir a los visitantes a la carga maliciosa. JFrog también descubrió una tercera campaña en la que un actor de amenazas subía 1.000 repositorios a Docker Hub diariamente durante tres años. Si bien el contenido de la documentación asociada parecía inofensivo, el motivo era claramente malicioso, dijo JFrog. La compañía supuso que el actor de amenazas podría haber estado realizando algún tipo de prueba de estrés antes de lanzar una campaña maliciosa. Aprovechando una laguna política Brian Moussalli, líder del equipo de investigación de malware en JFrog, dice que los actores de amenazas pudieron llevar a cabo los ataques debido a la falta de una política implementada que pudiera haberlo evitado. «Después de que revelamos los ataques a Docker Hub, implementaron un mecanismo de protección que bloquea la incorporación de enlaces a recursos externos en las páginas de descripción de repositorios sin imágenes», dice. Es difícil decir cuán efectivas fueron realmente las campañas maliciosas, dice Moussalli. Pero es probable que los atacantes hayan utilizado un sitio legítimo como Docker Hub para alojar páginas que contienen enlaces a archivos maliciosos, de modo que los usuarios que busquen contenido pirateado, trucos de videojuegos y libros electrónicos gratuitos no sospechen. «Otra opción podría ser que usaran Docker Hub para obtener legitimidad, pero difundieran los enlaces a esas páginas a través de mensajes directos a las víctimas», dice Moussalli. «Desafortunadamente, no podemos determinar exactamente cómo se manipuló a las víctimas para que hicieran clic en esos enlaces». Docker puede dificultar las cosas a los actores de amenazas al implementar restricciones a la creación masiva de cuentas, además de hacer cumplir nuevas reglas sobre la creación de repositorios, dice. Por ejemplo, podría prohibir la creación de repositorios sin imágenes o no permitir que nuevos usuarios incrusten enlaces externos durante algún tiempo después de la creación de la cuenta o el repositorio.
El Programa de las Naciones Unidas para el Desarrollo (PNUD) fue víctima de un ciberataque a finales de marzo, que también afectó la infraestructura informática de la ciudad de Copenhague, Dinamarca. El PNUD recibió noticias de que un actor de extorsión de datos había robado sus datos, algunos de ellos relacionados con recursos humanos y adquisiciones. Mientras la agencia continúa evaluando el alcance del ataque, el PNUD señaló en un comunicado que “se tomaron medidas inmediatamente para identificar una fuente potencial y contener el servidor afectado”. El PNUD determinó qué datos estuvieron expuestos y quiénes están en riesgo debido a la violación. También ha estado en contacto con quienes se han visto afectados, así como con partes interesadas, como los socios del sistema de las Naciones Unidas. Aunque el PNUD no ha confirmado quién fue el autor de la amenaza, 8Base, una banda de ransomware, actualizó su sitio web a principios de abril e incluyó al PNUD como una de sus víctimas, junto con otras tres entidades. El grupo comentó que a los servidores se subía información como datos personales, certificados, “una enorme cantidad de información confidencial”, facturas, entre otras cosas. El PNUD no hizo ningún comentario posterior y no abordó si se había exigido o pagado un rescate.
Se informa que Estados Unidos, Japón y Filipinas unirán fuerzas en defensa de la ciberseguridad con un acuerdo estratégico para compartir amenazas cibernéticas a raíz de los crecientes ataques de China, Corea del Norte y Rusia. La iniciativa se lanzará durante las conversaciones trilaterales de alto nivel entre el presidente estadounidense Joe Biden, el primer ministro japonés Fumio Kishida y el presidente filipino Ferdinand Marcos Jr. durante una cumbre trilateral en Washington esta semana, según la versión en inglés del Nihon Keizai Shimbun. . La alianza cibernética llega inmediatamente después de Volt Typhoon, un grupo de ciberatacantes vinculados al ejército de China, que apunta a redes de infraestructura crítica en Filipinas y territorios estadounidenses en la región. En los últimos tres meses, el número de intentos de ciberataques contra agencias gubernamentales nacionales en Filipinas ha aumentado un 20 % semana tras semana, según datos de Trend Micro compartidos con Dark Reading. “Los aliados tradicionales de Estados Unidos en Asia (Japón, Taiwán, Filipinas) son de gran interés para los atacantes alineados con China”, dice Robert McArdle, director de investigación de amenazas prospectivas de la firma de ciberseguridad. «Recientemente ha habido un aumento de las tensiones en la región, así como importantes acontecimientos políticos, incluidas las elecciones presidenciales, en los que China mantiene interés». Las preocupaciones sobre la ciberseguridad surgen cuando las tensiones geopolíticas han aumentado en la región. China ha ampliado su presencia militar, especialmente con sus reclamos sobre grandes secciones del Mar de China Meridional, a una distancia de hasta 1.000 kilómetros de su territorio continental e invadiendo territorio de Filipinas. La acumulación militar ha ido acompañada de aumentos en los ataques cibernéticos por parte de actores patrocinados por el Estado chino, como Mustang Panda, que comprometió a una agencia del gobierno de Filipinas el año pasado. Los ataques generalizados del Volt Typhoon se han cobrado redes de infraestructura críticas en Filipinas, Estados Unidos, Reino Unido y Australia. Filipinas en riesgo La disputa sobre el Mar de China Meridional llega en un momento en que Filipinas ha experimentado un crecimiento significativo en su desarrollo tecnológico y sectores comerciales y una mayor urbanización y acceso a Internet, dice Myla Pilao, directora de marketing técnico de Trend Micro, que trabaja en la oficina de la empresa en Manila. “Este camino de crecimiento, [however]También presenta desafíos que incluyen la confiabilidad del servicio, la escasez de habilidades en la fuerza laboral y problemas de gestión de datos/privacidad. [that] hacer del ecosistema filipino un objetivo más vulnerable”, afirma. Una mayor dependencia de Internet y la tecnología conlleva mayores amenazas cibernéticas. En mayo pasado, Microsoft advirtió que Volt Typhoon, un grupo de amenaza persistente avanzada (APT) vinculado al ejército de China, se había infiltrado en redes de infraestructura crítica, posiblemente como una forma de posicionar previamente equipos de operaciones cibernéticas en redes extranjeras antes de que estallaran las hostilidades. . Volt Typhoon es una grave amenaza para la infraestructura crítica de la región, lo que eleva la prioridad del intercambio de información, dice Lisa J. Young, analista de la Oficina de Inteligencia de APAC en el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC). «Este acuerdo trilateral denuncia específicamente las amenazas cibernéticas dirigidas a infraestructuras críticas», afirma. “A medida que evoluciona la naturaleza de la guerra, las tácticas incorporan cada vez más un elemento en línea a través de ataques cibernéticos y errores. [or]campañas de desinformación, con un conjunto de actores cada vez más fragmentado. Los gobiernos están trabajando para adaptarse incorporando capacidades cibernéticas tanto defensivas como ofensivas”. Iniciativa estadounidense “Hunt Forward” El acuerdo cibernético con Filipinas no es una estrategia nueva: Estados Unidos y Japón ya iniciaron conversaciones trilaterales con Corea del Sur en julio y agosto, cuando los tres gobiernos acordaron consultar sobre amenazas regionales y compartir datos. sobre manipulación de información extranjera. Japón y Corea del Sur también se unieron al Centro de Excelencia Cooperativa de Ciberdefensa (CCDCOE) de la OTAN en 2018 y 2022, respectivamente, donde los aliados comparten regularmente inteligencia sobre amenazas cibernéticas. Los acuerdos trilaterales con Corea del Sur y Filipinas están alineados con una parte de la estrategia estadounidense conocida como “Hunt Forward”, donde el Comando Cibernético de EE. UU. despliega especialistas militares en ciberseguridad entre sus aliados para buscar actividades cibernéticas maliciosas. Hasta ahora, más de dos docenas de aliados han acogido equipos de Hunt Forward, y su despliegue probablemente aumentará las tensiones, dijo Jason Bartlett, investigador asociado del grupo de Energía, Economía y Seguridad para una Nueva Seguridad Estadounidense del Atlantic Council, en un análisis publicado en Agosto. “La incorporación de las operaciones ‘Hunt Forward’ dentro de la estrategia cibernética de EE. UU. con aliados en el Indo-Pacífico probablemente agitará los ya sensibles lazos entre el Sudeste Asiático y China, pero Estados Unidos necesita aumentar su presencia cibernética en la región debido a su exposición constante a actividad cibernética ilícita”, dijo Bartlett. «Numerosos piratas informáticos patrocinados por el Estado, especialmente de Corea del Norte, han operado desde el sudeste asiático y otras regiones del Indo-Pacífico durante años con poca reacción punitiva por parte de los gobiernos locales y nacionales». El acuerdo trilateral aborda tanto el delito cibernético (especialmente de Corea del Norte) como los ataques cibernéticos de Estados-nación de China, Rusia y Corea del Norte, y trabaja para aislar a los malos actores en China, dice Young de FS-ISAC. «Este marco conjunto entre Estados Unidos, Japón y Filipinas es un paso hacia el fortalecimiento de las defensas cibernéticas, la mitigación de posibles ataques y el apuntalamiento de las cadenas de suministro para reducir la dependencia de China», afirma. «El intercambio de información entre los sectores público y privado sigue siendo la mejor manera de garantizar la protección colectiva de los sectores de infraestructura críticos contra el cambiante panorama de amenazas».
La banda de ransomware Medusa se atribuyó la responsabilidad a principios de esta semana de un ciberataque en marzo en el Distrito de Tasación del Condado de Tarrant y amenaza con filtrar 218 GB de datos robados con un plazo de seis días si no se paga el rescate de 100.000 dólares. El Distrito de Tasación del Condado de Tarrant determina los valores de las propiedades en Fort Worth, Texas, y publicó una actualización informando al público que la información personal de aproximadamente 300 personas se vio afectada. “El 21 de marzo de 2024, el Distrito de Tasación del Condado de Tarrant experimentó una interrupción en la red. En respuesta al descubrimiento, tomamos medidas para proteger nuestra red y estamos trabajando con destacados expertos independientes en ciberseguridad para ayudar con el proceso de investigación, respuesta y restauración”, dijo Jon Don Bobbitt, tasador jefe del Distrito de Tasación de Tarrant, en un comunicado. Se contactará a las personas afectadas para ayudarlas con la protección de su información personal, pero se recomienda informar cualquier actividad sospechosa lo antes posible. El ataque fue reportado al FBI y se está trabajando para restaurar las operaciones, aunque el condado no ofreció ninguna actualización sobre si se pagará el rescate.
A pesar de que el grupo de ransomware como servicio (RaaS) LockBit afirma haber regresado después de un derribo de alto perfil a mediados de febrero, un análisis revela una interrupción significativa y continua de las actividades del grupo, junto con efectos en cadena en todo el mundo del cibercrimen. con implicaciones para el riesgo empresarial. LockBit fue responsable del 25% al 33% de todos los ataques de ransomware en 2023, según Trend Micro, lo que lo convierte fácilmente en el mayor grupo de actores de amenazas financieras del último año. Desde que surgió en 2020, se ha cobrado miles de víctimas y millones en rescates, incluidos ataques cínicos a hospitales durante la pandemia. El esfuerzo de la Operación Cronos, que involucró a múltiples agencias policiales de todo el mundo, provocó interrupciones en las plataformas afiliadas a LockBit y la toma de control de su sitio de filtración por parte de la Agencia Nacional contra el Crimen (NCA) del Reino Unido. Luego, las autoridades utilizaron este último para realizar arrestos, imponer sanciones, incautar criptomonedas y más actividades relacionadas con el funcionamiento interno del grupo. También publicitaron el panel de administración de LockBit y expusieron los nombres de los afiliados que trabajan con el grupo. Además, señalaron que las claves de descifrado estarían disponibles y revelaron que LockBit, contrariamente a sus promesas a las víctimas, nunca eliminó los datos de las víctimas después de realizar los pagos. En general, fue una inteligente demostración de fuerza y acceso por parte de la comunidad policial, que asustó a otros en el ecosistema inmediatamente después y generó cautela cuando se trata de trabajar con cualquier versión reemergente de LockBit y su cabecilla, que se hace llamar manejar «LockBitSupp». Los investigadores de Trend Micro señalaron que, dos meses y medio después de la Operación Cronos, hay muy poca evidencia de que las cosas estén mejorando para el grupo, a pesar de las afirmaciones de LockBitSupp de que el grupo está regresando a sus operaciones normales. Un tipo diferente de desmantelamiento de delitos cibernéticos La operación Cronos fue inicialmente recibida con escepticismo por los investigadores, quienes señalaron que otros derribos recientes y de alto perfil de grupos RaaS como Black Basta, Conti, Hive y Royal (sin mencionar la infraestructura para los troyanos de acceso inicial) como Emotet, Qakbot y TrickBot), han resultado sólo en contratiempos temporales para sus operadores. Sin embargo, el ataque a LockBit es diferente: la gran cantidad de información a la que las fuerzas del orden pudieron acceder y hacer pública ha dañado permanentemente la posición del grupo en los círculos de la Dark Web. «Si bien a menudo se centran en eliminar la infraestructura de mando y control, este esfuerzo fue más allá», explicaron los investigadores de Trend Micro en un análisis publicado hoy. “Se vio a la policía lograr comprometer el panel de administración de LockBit, exponer a los afiliados y acceder a información y conversaciones entre afiliados y víctimas. Este esfuerzo acumulativo ha ayudado a empañar la reputación de LockBit entre los afiliados y la comunidad de delitos cibernéticos en general, lo que hará que sea más difícil regresar”. De hecho, las consecuencias de la comunidad de delitos cibernéticos fueron rápidas, observó Trend Micro. Por un lado, LockBitSupp ha sido prohibido en dos foros clandestinos populares, XSS y Exploit, lo que obstaculiza la capacidad del administrador para obtener soporte y reconstruir. Poco después, un usuario de X (anteriormente Twitter) llamado «Loxbit» afirmó en una publicación pública haber sido engañado por LockBitSupp, mientras que otro presunto afiliado llamado «michon» abrió un hilo de arbitraje en el foro contra LockBitSupp por falta de pago. Un corredor de acceso inicial que utilizaba el identificador «dealfixer» anunciaba sus productos, pero mencionaba específicamente que no quería trabajar con nadie de LockBit. Y otro IAB, “n30n”, abrió un reclamo en el foro ramp_v2 sobre la pérdida de pago relacionada con la interrupción. Quizás peor aún, algunos comentaristas del foro estaban extremadamente preocupados por la gran cantidad de información que la policía pudo recopilar, y algunos especularon que LockBitSupp podría incluso haber trabajado con las autoridades en la operación. LockBitSupp anunció rápidamente que una vulnerabilidad en PHP era la culpable de la capacidad de las fuerzas del orden para infiltrarse en la información de la pandilla; Los habitantes de la Dark Web simplemente señalaron que el error tiene meses y criticaron las prácticas de seguridad de LockBit y la falta de protección para los afiliados. «Los sentimientos de la comunidad de delitos cibernéticos ante la interrupción de LockBit variaron desde la satisfacción hasta la especulación sobre el futuro del grupo, insinuando el impacto significativo del incidente en la industria RaaS», según el análisis de Trend Micro, publicado hoy. El efecto paralizador de la disrupción de LockBit en la industria RaaS De hecho, la disrupción ha provocado cierta autorreflexión entre otros grupos activos de RaaS: un operador de Snatch RaaS señaló en su canal Telegram que todos estaban en riesgo. “Alterar y socavar el modelo de negocio parece haber tenido un efecto mucho más acumulativo que ejecutar una eliminación técnica”, según Trend Micro. “La reputación y la confianza son claves para atraer afiliados y, cuando se pierden, es más difícil lograr que la gente regrese. La Operación Cronos logró atacar un elemento de su negocio que era más importante: su marca”. Jon Clay, vicepresidente de inteligencia de amenazas de Trend Micro, le dice a Dark Reading que el efecto paralizador de LockBit y la disrupción en los grupos RaaS en general presentan una oportunidad para la gestión de riesgos comerciales. «Este puede ser un momento para que las empresas reevalúen sus modelos de defensa, ya que podemos ver una desaceleración en los ataques mientras estos otros grupos evalúan su propia seguridad operativa», señala. «Este también es el momento de revisar un plan de respuesta a incidentes comerciales para asegurarse de tener cubiertos todos los aspectos de una infracción, incluida la continuidad de las operaciones comerciales, el seguro cibernético y la respuesta: pagar o no pagar». Los signos de vida de LockBit son muy exagerados LockBitSupp, no obstante, está intentando recuperarse, según descubrió Trend Micro, aunque con pocos resultados positivos. Se lanzaron nuevos sitios de filtración de Tor una semana después de la operación, y LockBitSupp dijo en el foro ramp_v2 que la pandilla está buscando activamente IAB con acceso a los dominios .gov, .edu y .org, lo que indica una sed de venganza. No pasó mucho tiempo antes de que decenas de supuestas víctimas comenzaran a aparecer en el sitio de la filtración, empezando por el FBI. Sin embargo, cuando llegó y pasó la fecha límite para el pago del rescate, en lugar de que aparecieran datos confidenciales del FBI en el sitio, LockBitSupp publicó una larga declaración de que continuaría operando. Además, más de dos tercios de las víctimas consistieron en ataques recargados que ocurrieron antes de la Operación Cronos. Del resto, las víctimas pertenecían a otros grupos, como ALPHV. En total, la telemetría de Trend Micro reveló sólo un pequeño grupo de actividad LockBit real después de Cronos, de una filial en el sudeste asiático que tenía una demanda de rescate baja de 2.800 dólares. Quizás lo más preocupante es que el grupo también ha estado desarrollando una nueva versión de ransomware: Lockbit-NG-Dev. Trend Micro descubrió que tiene un nuevo núcleo .NET, que le permite ser más independiente de la plataforma; también elimina las capacidades de autopropagación y la posibilidad de imprimir notas de rescate a través de las impresoras del usuario. “La base del código es completamente nueva en relación con el cambio a este nuevo lenguaje, lo que significa que probablemente se necesitarán nuevos patrones de seguridad para detectarlo. Sigue siendo una pieza de ransomware funcional y poderosa”, advirtieron los investigadores. Aún así, estos son, en el mejor de los casos, signos anémicos de vida para LockBit, y Clay señala que no está claro hacia dónde irán él o sus afiliados a continuación. En general, advierte, los defensores deberán estar preparados para los cambios en las tácticas de las bandas de ransomware en el futuro a medida que quienes participan en el ecosistema evalúen la situación. «Es probable que los grupos RaaS estén viendo cómo las fuerzas del orden detectan sus propias debilidades», explica. “Pueden revisar a qué tipos de empresas/organizaciones se dirigen para no prestar mucha atención a sus ataques. Los afiliados pueden considerar cómo pueden pasar rápidamente de un grupo a otro en caso de que su grupo principal de RaaS sea eliminado”. Añade que “el cambio hacia la exfiltración de datos únicamente frente a las implementaciones de ransomware puede aumentar, ya que no interrumpen un negocio, pero aún pueden permitir ganancias. También podríamos ver a los grupos de RaaS cambiar completamente hacia otros tipos de ataques, como el compromiso del correo electrónico empresarial (BEC), que no parecen causar tanta interrupción, pero siguen siendo muy lucrativos para sus resultados”.
Los investigadores han descubierto una versión más peligrosa y prolífica del malware de limpieza utilizado por la inteligencia militar rusa para interrumpir el servicio de banda ancha por satélite en Ucrania justo antes de la invasión rusa del país en febrero de 2022. La nueva variante, “AcidPour”, tiene múltiples similitudes con su predecesor pero está compilado para la arquitectura X86, a diferencia de AcidRain, que apuntaba a sistemas basados en MIPS. El nuevo limpiador también incluye funciones para su uso contra una gama significativamente más amplia de objetivos que AcidRain, según los investigadores de SentinelOne que descubrieron la amenaza. Capacidades destructivas más amplias «Las capacidades destructivas ampliadas de AcidPour incluyen la lógica Linux Unsorted Block Image (UBI) y Device Mapper (DM), que afecta a los dispositivos portátiles, IoT, redes o, en algunos casos, dispositivos ICS», dice Tom Hegel, investigador senior de amenazas en Centinela uno. «Los dispositivos como las redes de área de almacenamiento (SAN), el almacenamiento conectado a la red (NAS) y las matrices RAID dedicadas ahora también están dentro del alcance de los efectos de AcidPour». Otra nueva capacidad de AcidPour es una función de autoeliminación que borra todos los rastros del malware de los sistemas que infecta, afirma Hegel. AcidPour es un limpiador relativamente más sofisticado en general que AcidRain, dice, señalando el uso excesivo de bifurcación de procesos por parte de este último y la repetición injustificada de ciertas operaciones como ejemplos de su descuido general. SentinelOne descubrió AcidRain en febrero de 2022 luego de un ciberataque que dejó fuera de línea unos 10.000 módems satelitales asociados con la red KA-SAT del proveedor de comunicaciones Viasat. El ataque interrumpió el servicio de banda ancha para miles de clientes en Ucrania y para decenas de miles de personas en Europa. SentinelOne concluyó que el malware probablemente era obra de un grupo asociado con Sandworm (también conocido como APT 28, Fancy Bear y Sofacy), una operación rusa responsable de numerosos ciberataques disruptivos en Ucrania. Los investigadores de SentinelOne detectaron por primera vez la nueva variante, AcidPour, el 16 de marzo, pero aún no han observado a nadie usándola en un ataque real. Sandworm Ties Su análisis inicial del limpiaparabrisas reveló múltiples similitudes con AcidRain, que luego confirmó una inmersión más profunda. Las superposiciones notables que SentinelOne descubrió incluyeron el uso por parte de AcidPour del mismo mecanismo de reinicio que AcidRain y una lógica idéntica para la limpieza recursiva de directorios. SentinelOne también descubrió que el mecanismo de limpieza basado en IOCTL de AcidPour es el mismo que el mecanismo de limpieza de AcidRain y VPNFilter, una plataforma de ataque modular que el Departamento de Justicia de EE. UU. ha vinculado a Sandworm. IOCTL es un mecanismo para borrar o borrar datos de dispositivos de almacenamiento de forma segura mediante el envío de comandos específicos al dispositivo. «Uno de los aspectos más interesantes de AcidPour es su estilo de codificación, que recuerda al pragmático CaddyWiper ampliamente utilizado contra objetivos ucranianos junto con malware notable como Industroyer 2», dijo SentinelOne. Tanto CaddyWiper como Industroyer 2 son malware utilizados por grupos estatales respaldados por Rusia en ataques destructivos contra organizaciones en Ucrania, incluso antes de la invasión rusa del país en febrero de 2022. El CERT de Ucrania analizó AcidPour y lo atribuyó a UAC-0165, un actor de amenazas que forma parte del grupo Sandworm, dijo SentinelOne. AcidPour y AcidRain se encuentran entre los numerosos limpiadores que los actores rusos han desplegado contra objetivos ucranianos en los últimos años, y particularmente después del inicio de la actual guerra entre los dos países. Aunque el actor de amenazas logró desconectar miles de módems en el ataque de Viasat, la empresa pudo recuperarlos y volver a implementarlos después de eliminar el malware. Sin embargo, en muchos otros casos, las organizaciones se han visto obligadas a descartar sistemas tras un ataque de limpieza. Uno de los ejemplos más notables es el ataque de Shamoon a Saudi Aramco en 2012, que paralizó unos 30.000 sistemas de la empresa. Como fue el caso de Shamoon y AcidRain, los actores de amenazas normalmente no han necesitado hacer limpiadores sofisticados para ser efectivos. Esto se debe a que la única función del malware es sobrescribir o eliminar datos de los sistemas e inutilizarlos, por lo que no son necesarias tácticas evasivas y técnicas de ofuscación asociadas con el robo de datos y los ataques de ciberespionaje. La mejor defensa contra los limpiadores (o para limitar los daños causados por ellos) es implementar el mismo tipo de defensas que contra el ransomware. Eso significa contar con copias de seguridad de los datos críticos y garantizar capacidades y planes sólidos de respuesta a incidentes. La segmentación de la red también es clave porque los limpiadores son más efectivos cuando pueden extenderse a otros sistemas, por lo que ese tipo de postura de defensa ayuda a frustrar el movimiento lateral.
A los profesionales de la ciberseguridad les resulta más atractivo llevar sus talentos a la Dark Web y ganar dinero trabajando en el lado ofensivo del cibercrimen. Esto coloca a las empresas en una situación difícil: recortar el crecimiento de las ganancias para evitar que las habilidades en ciberseguridad fluyan hacia el mejor postor, o descubrir cómo defender sus redes contra aquellos que conocen más íntimamente sus debilidades. Los despidos y la consolidación en todo el sector cibernético están aumentando la presión sobre los trabajadores restantes, mientras que al mismo tiempo el crecimiento salarial se está estancando, lo que hace que el cibercrimen sea una forma cada vez más atractiva para que los profesionales cibernéticos lleguen a fin de mes, según un nuevo estudio. del Chartered Institute of Information Security (CIISec), que analizó los anuncios de la Dark Web de servicios cibercriminales proporcionados por profesionales con trabajos diarios en ciberseguridad. El informe de CIISec encontró una serie de ofertas en sitios de la Dark Web, incluido un desarrollador profesional de Python que crearía chatbots por 30 dólares la hora para ganar dinero extra como regalo de Navidad para sus hijos. Otro desarrollador experimentado creará páginas de phishing, drenajes de criptomonedas y más, mientras que otro usará IA para ayudar con la codificación, a partir de $300 por hora, informó CIISec. Los profesionales cibernéticos recurren al delito cibernético: una nueva tendencia alarmante Esta tendencia alarmante marca una era completamente nueva en la ciberseguridad, según Devin Ertel, CISO de Menlo Security. «Me sorprende y preocupa ver a profesionales capacitados recurrir al cibercrimen en medio de despidos masivos», dice Ertel. «Esto marca un cambio significativo, que refleja la necesidad urgente de empleo y capacitación continua en este campo». Ertel señala un excedente de talento cibernético y la incertidumbre económica como posibles impulsores de esta “desafortunada tendencia”. Gartner predice que para 2025, el 25% de los líderes de ciberseguridad dejarán sus puestos debido al estrés. Y a pesar de los despidos en el sector de la ciberseguridad, que se han centrado en gran medida en funciones no técnicas en marketing, ventas y administración, todavía hay cientos de miles de puestos de trabajo disponibles sólo en el sector de la ciberseguridad de Estados Unidos. La moral de la ciberseguridad podría impulsar las amenazas internas Esto ejerce aún más presión sobre los equipos que permanecen, lo que reduce la moral en toda la industria, lo que al experto y consultor en ciberseguridad Hal Pomeranz le preocupa que también pueda conducir a un aumento en las amenazas internas. «En lugar de preocuparme por las amenazas externas, estaría atento a los ataques internos», afirma Pomeranz. “Los despidos masivos en la industria tecnológica destruyen la moral de los empleados y generan cinismo y desprecio por la dirección. Me pregunto cuántos de los empleados restantes se sentirían cómodos vendiendo a sus empleadores si el precio fuera el adecuado”. La solución para muchas empresas requiere una mejor comprensión de los roles que intentan desempeñar y conectarlos con los empleados adecuados, afirma Gareth Lindahl-Wise, CISO de Ontinue. La cibernética necesita adaptarse para resolver la brecha de habilidades “Sin duda, hay una escasez de ciberprofesionales capacitados y con experiencia”, explica Lindahl-Wise. “Sin embargo, sería tan directo como decir que hay algunas expectativas equivocadas por parte del comprador. ¿Realmente necesita a alguien con X años de experiencia en un dominio de seguridad tangencial al trabajo que desea que haga? Una vez contratado, al talento en ciberseguridad se le deben presentar oportunidades adicionales de desarrollo profesional, así como una trayectoria profesional, aconseja Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security. «Los líderes empresariales enfrentan el desafío de obtener el talento necesario en ciberseguridad para mantener seguras a sus organizaciones mientras equilibran fuerzas de trabajo remotas distribuidas y un número creciente de endpoints con un panorama de amenazas que continúa expandiéndose», explica Tiquet. «Más allá de una compensación competitiva, las organizaciones deben proporcionar trayectorias profesionales claras para quienes buscan avanzar, oportunidades de desarrollo profesional y acuerdos de trabajo flexibles que permitan el trabajo remoto cuando sea posible». Más allá de reclutar y contratar, y cerrar la brecha de habilidades en ciberseguridad, el vicepresidente de ColorTokens, Sunil Muralidhar, insta a los gerentes a centrarse en la salud mental y el manejo del estrés entre sus equipos de ciberseguridad. «Trabajar con profesionales de la seguridad en diferentes roles (desde profesionales hasta ejecutivos y socios) revela un hilo común de altos niveles de estrés entre ellos», dice Muralidhar. «Esto se debe en gran medida a la carga desproporcionada que supone la seguridad para salvaguardar la organización con recursos significativamente limitados».
Los investigadores de seguridad han hecho sonar la alarma sobre una nueva campaña de ciberataque que utiliza copias descifradas de productos de software populares para distribuir una puerta trasera a los usuarios de macOS. Lo que diferencia a la campaña de muchas otras que han empleado una táctica similar (como la que se informó a principios de este mes sobre sitios web chinos) es su gran escala y su novedosa técnica de entrega de carga útil en varias etapas. También es digno de mención el uso por parte del actor de amenazas de aplicaciones macOS descifradas con títulos que probablemente sean de interés para los usuarios empresariales, por lo que las organizaciones que no restringen lo que los usuarios descargan también pueden estar en riesgo. Kaspersky fue el primero en descubrir e informar sobre la puerta trasera Activator macOS en enero de 2024. Un análisis posterior de la actividad maliciosa realizado por SentinelOne mostró que el malware “se ejecuta a través de torrentes de aplicaciones macOS”, según el proveedor de seguridad. «Nuestros datos se basan en la cantidad y frecuencia de muestras únicas que han aparecido en VirusTotal», dice Phil Stokes, investigador de amenazas de SentinelOne. “En enero, desde que se descubrió este malware por primera vez, hemos visto más muestras únicas de este que cualquier otro malware de macOS que hayamos visto. [tracked] durante el mismo período de tiempo”. La cantidad de muestras de la puerta trasera Activator que SentinelOne ha observado es incluso mayor que el volumen de cargadores de adware y paquetes de software de macOS (piense en Adload y Pirrit) que son compatibles con grandes redes de afiliados, dice Stokes. «Si bien no tenemos datos para correlacionarlo con los dispositivos infectados, la tasa de cargas únicas a VT y la variedad de aplicaciones diferentes que se utilizan como señuelos sugieren que las infecciones en estado salvaje serán significativas». ¿Construyendo una botnet para macOS? Una posible explicación para la escala de la actividad es que el actor de amenazas está intentando ensamblar una botnet para macOS, pero eso sigue siendo sólo una hipótesis por el momento, dice Stokes. El actor de amenazas detrás de la campaña Activator está utilizando hasta 70 aplicaciones únicas de macOS crackeadas (o aplicaciones “gratuitas” sin protección contra copia) para distribuir el malware. Muchas de las aplicaciones descifradas tienen títulos centrados en los negocios que podrían ser de interés para las personas en entornos laborales. Una muestra: Snag It, Nisus Writer Express y Rhino-8, una herramienta de modelado de superficies para ingeniería, arquitectura, diseño automotriz y otros casos de uso. «Hay muchas herramientas útiles para fines laborales que macOS.Bkdr.Activator utiliza como señuelo», dice Stokes. «Los empleadores que no restringen el software que los usuarios pueden descargar podrían correr el riesgo de verse comprometidos si un usuario descarga una aplicación que está infectada con la puerta trasera». Los actores de amenazas que buscan distribuir malware a través de aplicaciones descifradas generalmente incorporan el código malicioso y las puertas traseras dentro de la propia aplicación. En el caso de Activator, el atacante ha empleado una estrategia algo diferente para abrir la puerta trasera. Método de entrega diferente A diferencia de muchas amenazas de malware para macOS, Activator en realidad no infecta el software crackeado en sí, dice Stokes. En cambio, los usuarios obtienen una versión inutilizable de la aplicación descifrada que desean descargar y una aplicación «Activadora» que contiene dos ejecutables maliciosos. Los usuarios deben copiar ambas aplicaciones a la carpeta Aplicaciones y ejecutar la aplicación Activador. Luego, la aplicación solicita al usuario la contraseña de administrador, que luego usa para deshabilitar la configuración de Gatekeeper de macOS para que las aplicaciones externas a la tienda de aplicaciones oficial de Apple ahora puedan ejecutarse en el dispositivo. Luego, el malware inicia una serie de acciones maliciosas que finalmente desactivan la configuración de notificaciones del sistema e instalan un agente de inicio en el dispositivo, entre otras cosas. La puerta trasera Activator en sí es un instalador y descargador de primera etapa para otro malware. El proceso de entrega de varias etapas «proporciona al usuario el software descifrado, pero abre puertas traseras a la víctima durante el proceso de instalación», dice Stokes. «Esto significa que incluso si el usuario decide posteriormente eliminar el software crackeado, no eliminará la infección». Sergey Puzan, analista de malware de Kaspersky, señala otro aspecto de la campaña Activator que es digno de mención. «Esta campaña utiliza una puerta trasera de Python que no aparece en el disco en absoluto y se inicia directamente desde el script del cargador», afirma Puzan. «Usar scripts de Python sin ningún ‘compilador’ como pyinstaller es un poco más complicado ya que requiere que los atacantes lleven un intérprete de Python en alguna etapa del ataque o se aseguren de que la víctima tenga instalada una versión de Python compatible». Puzan también cree que un objetivo potencial del actor de amenazas detrás de esta campaña es crear una botnet para macOS. Pero desde el informe de Kaspersky sobre la campaña Activator, la empresa no ha observado ninguna actividad adicional, añade.