Etiqueta: software malicioso ransomware

01 de febrero de 2024Sala de prensaCryptojacking/Seguridad de Linux Los puntos finales de la API Docker expuestos en Internet están bajo el ataque de una sofisticada campaña de cryptojacking llamada Commando Cat. «La campaña despliega un contenedor benigno generado mediante el proyecto Commando», dijeron los investigadores de seguridad de Cado, Nate Bill y Matt Muir, en un nuevo informe publicado hoy. «El atacante escapa de este contenedor y ejecuta múltiples cargas útiles en el host Docker». Se cree que la campaña ha estado activa desde principios de 2024, lo que la convierte en la segunda campaña de este tipo descubierta en otros tantos meses. A mediados de enero, la empresa de seguridad en la nube también arrojó luz sobre otro grupo de actividades que apunta a hosts Docker vulnerables para implementar el minero de criptomonedas XMRig, así como el software 9Hits Viewer. Commando Cat emplea Docker como vector de acceso inicial para entregar una colección de cargas útiles interdependientes desde un servidor controlado por el actor que es responsable de registrar la persistencia, abrir puertas traseras al host, filtrar las credenciales del proveedor de servicios en la nube (CSP) y lanzar el minero. Posteriormente se abusa del punto de apoyo obtenido al violar instancias susceptibles de Docker para implementar un contenedor inofensivo utilizando la herramienta de código abierto Commando y ejecutar un comando malicioso que le permite escapar de los límites del contenedor a través del comando chroot. También ejecuta una serie de comprobaciones para determinar si los servicios denominados «sys-kernel-debugger», «gsc», «c3pool_miner» y «dockercache» están activos en el sistema comprometido y pasa a la siguiente etapa solo si este paso pasa. . «El propósito de la verificación de sys-kernel-debugger no está claro: este servicio no se utiliza en ninguna parte del malware ni forma parte de Linux», dijeron los investigadores. «Es posible que el servicio sea parte de otra campaña con la que el atacante no quiera competir». La fase siguiente implica eliminar cargas útiles adicionales del servidor de comando y control (C2), incluida una puerta trasera de script de shell (user.sh) que es capaz de agregar una clave SSH al archivo ~/.ssh/authorized_keys y crear un usuario deshonesto. llamado «juegos» con una contraseña conocida por el atacante e incluyéndola en el archivo /etc/sudoers. También se entregan de manera similar tres scripts de shell más: tshd.sh, gsc.sh, aws.sh, que están diseñados para eliminar Tiny SHell, una versión improvisada de netcat llamada gs-netcat, y filtrar credenciales y variables de entorno, respectivamente. . «En lugar de utilizar /tmp, [gsc.sh] «También usa /dev/shm en su lugar, que actúa como un almacén de archivos temporal pero con respaldo de memoria», dijeron los investigadores. «Es posible que este sea un mecanismo de evasión, ya que es mucho más común que el malware use /tmp». «Esto también da como resultado que los artefactos no toquen el disco, lo que dificulta un poco el análisis forense. Esta técnica se ha utilizado antes en BPFdoor, una campaña de Linux de alto perfil». El ataque culmina con el despliegue de otra carga útil que se entrega directamente como un script codificado en Base64 en lugar de recuperarse del servidor C2, que, a su vez, elimina el minero de criptomonedas XMRig, pero no antes de eliminar los procesos mineros competidores de la máquina infectada. Los orígenes exactos del actor de amenazas detrás de Commando Cat no están claros actualmente, aunque se ha observado que los scripts de shell y la dirección IP C2 se superponen con aquellos vinculados a grupos de cryptojacking. como TeamTNT en el pasado, lo que plantea la posibilidad de que pueda ser un grupo imitador. «El malware funciona como un ladrón de credenciales, una puerta trasera altamente sigilosa y un minero de criptomonedas, todo en uno», dijeron los investigadores. «Esto lo hace versátil y capaz de extraiga el mayor valor posible de las máquinas infectadas». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

El gobierno de EE. UU. dijo el miércoles que tomó medidas para neutralizar una botnet que comprende cientos de enrutadores de pequeñas oficinas y oficinas domésticas (SOHO) con sede en EE. UU. secuestrados por un actor de amenazas patrocinado por el estado vinculado a China llamado Volt Typhoon y mitigar el impacto que representa el pirateo. campaña. La existencia de la botnet, denominada KV-botnet, fue revelada por primera vez por el equipo de Black Lotus Labs en Lumen Technologies a mediados de diciembre de 2023. Reuters informó sobre el esfuerzo de aplicación de la ley a principios de esta semana. «La gran mayoría de los enrutadores que formaban parte de la botnet KV eran enrutadores Cisco y NetGear que eran vulnerables porque habían alcanzado el estado de ‘fin de vida’; es decir, ya no eran compatibles con los parches de seguridad de sus fabricantes u otras actualizaciones de software». dijo el Departamento de Justicia (DoJ) en un comunicado de prensa. Volt Typhoon (también conocido como DEV-0391, Bronze Silhouette o Vanguard Panda) es el apodo asignado a un colectivo adversario con sede en China que se ha atribuido a ataques cibernéticos dirigidos a sectores de infraestructura críticos en EE. UU. y Guam. «Los ciberactores chinos, incluido un grupo conocido como ‘Volt Typhoon’, están excavando profundamente en nuestra infraestructura crítica para estar preparados para lanzar ciberataques destructivos en caso de una crisis o conflicto importante con los Estados Unidos», señaló la directora de CISA, Jen Easterly. . El grupo de ciberespionaje, que se cree que está activo desde 2021, es conocido por su dependencia de herramientas legítimas y técnicas de vida de la tierra (LotL) para pasar desapercibido y persistir en los entornos de las víctimas durante largos períodos de tiempo para recopilar datos confidenciales. información. Otro aspecto importante de su modus operandi es que intenta integrarse en la actividad normal de la red enrutando el tráfico a través de equipos de red SOHO comprometidos, incluidos enrutadores, firewalls y hardware VPN, en un intento de ofuscar sus orígenes. Esto se logra mediante la botnet KV, que controla dispositivos de Cisco, DrayTek, Fortinet y NETGEAR para usarlos como una red encubierta de transferencia de datos para actores de amenazas persistentes avanzadas. Se sospecha que los operadores de botnets ofrecen sus servicios a otros grupos de hackers, incluido Volt Typhoon. En enero de 2024, un informe de SecurityScorecard de este mes reveló cómo la botnet ha sido responsable de comprometer hasta el 30 % (o 325 de 1116) de los enrutadores Cisco RV320/325 al final de su vida útil durante un período de 37 días desde el 1 de diciembre. , 2023, al 7 de enero de 2024. «Volt Typhoon es al menos un usuario de la botnet KV y […] Esta botnet abarca un subconjunto de su infraestructura operativa», dijo Lumen Black Lotus Labs, y agregó que la botnet «ha estado activa desde al menos febrero de 2022». La botnet también está diseñada para descargar un módulo de red privada virtual (VPN) a los enrutadores vulnerables. y configurar un canal de comunicación cifrado directo para controlar la botnet y utilizarlo como un nodo de retransmisión intermediario para lograr sus objetivos operativos. «Una función de la botnet KV es transmitir tráfico cifrado entre los enrutadores SOHO infectados, lo que permite a los piratas informáticos anonimizar sus actividades (es decir, los piratas informáticos parecen estar operando desde los enrutadores SOHO, en lugar de sus computadoras reales en China)», según declaraciones juradas presentadas por la Oficina Federal de Investigaciones (FBI) de EE. UU. Como parte de sus esfuerzos para interrumpir la botnet, La agencia dijo que emitió comandos de forma remota para atacar enrutadores en los EE. UU. utilizando los protocolos de comunicación del malware para eliminar la carga útil de la botnet KV y evitar que se volvieran a infectar. El FBI dijo que también notificó a cada víctima sobre la operación, ya sea directamente o a través de su proveedor de servicios de Internet si la información de contacto no estaba disponible. «La operación autorizada por el tribunal eliminó el malware KV-botnet de los enrutadores y tomó medidas adicionales para cortar su conexión a la botnet, como bloquear las comunicaciones con otros dispositivos utilizados para controlar la botnet», añadió el Departamento de Justicia. Es importante señalar aquí que las medidas de prevención no especificadas empleadas para eliminar los enrutadores de la botnet son temporales y no pueden sobrevivir a un reinicio. En otras palabras, simplemente reiniciar los dispositivos los haría susceptibles a una reinfección. «El malware Volt Typhoon permitió a China ocultar, entre otras cosas, reconocimiento preoperativo y explotación de redes contra infraestructura crítica como nuestros sectores de comunicaciones, energía, transporte y agua; en otras palabras, medidas que China estaba tomando para encontrar y prepararse para destruir o degradar la infraestructura civil crítica que nos mantiene seguros y prósperos», dijo el director del FBI, Christopher Wray. Sin embargo, el gobierno chino, en un comunicado compartido con Reuters, negó cualquier participación en los ataques, descartándolos como una «campaña de desinformación» y que «ha sido categórico al oponerse a los ataques de piratería y al abuso de la tecnología de la información». Coincidiendo con la eliminación, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó una nueva guía instando a los fabricantes de dispositivos SOHO a adoptar un enfoque seguro desde el diseño durante el desarrollo y alejar la carga de los clientes. Específicamente, recomienda que los fabricantes eliminen los defectos explotables en las interfaces de administración web de los enrutadores SOHO y modifiquen las configuraciones predeterminadas del dispositivo para admitir capacidades de actualización automática y requieran una anulación manual para eliminar las configuraciones de seguridad. El compromiso de dispositivos periféricos, como enrutadores, para su uso en ataques persistentes avanzados montados por Rusia y China pone de relieve un problema creciente que se ve agravado por el hecho de que los dispositivos heredados ya no reciben parches de seguridad y no admiten soluciones de detección y respuesta de puntos finales (EDR). «La creación de productos que carecen de controles de seguridad adecuados es inaceptable dado el actual entorno de amenazas», afirmó CISA. «Este caso ejemplifica cómo la falta de prácticas de diseño seguras puede provocar daños en el mundo real tanto a los clientes como, en este caso, a la infraestructura crítica de nuestra nación». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

23 de enero de 2024Sala de prensaSeguridad del software/Cadena de suministro Se descubrió que dos paquetes maliciosos descubiertos en el registro de paquetes npm aprovechan GitHub para almacenar claves SSH cifradas en Base64 robadas de los sistemas de desarrollador en los que se instalaron. Los módulos llamados warbeast2000 y kodiak2k se publicaron a principios de mes, atrayendo 412 y 1281 descargas antes de que los mantenedores de npm los eliminaran. Las descargas más recientes se produjeron el 21 de enero de 2024. La empresa de seguridad de la cadena de suministro de software ReversingLabs, que hizo el descubrimiento, dijo que había ocho versiones diferentes de warbeast2000 y más de 30 versiones de kodiak2k. Ambos módulos están diseñados para ejecutar un script postinstalación después de la instalación, cada uno capaz de recuperar y ejecutar un archivo JavaScript diferente. Mientras warbeast2000 intenta acceder a la clave SSH privada, kodiak2k está diseñado para buscar una clave llamada «meow», lo que plantea la posibilidad de que el actor de la amenaza haya utilizado un nombre de marcador de posición durante las primeras etapas del desarrollo. «Este script malicioso de segunda etapa lee la clave SSH privada almacenada en el archivo id_rsa ubicado en el /.ssh», dijo la investigadora de seguridad Lucija Valentić sobre warbeast2000. «Luego cargó la clave codificada en Base64 a un repositorio de GitHub controlado por el atacante». Se descubrió que las versiones posteriores de kodiak2k ejecutaban un script que se encuentra en un proyecto archivado de GitHub que aloja el «El marco de post-explotación Empire. El script es capaz de lanzar la herramienta de piratería Mimikatz para volcar las credenciales de la memoria del proceso. «La campaña es sólo el último ejemplo de cibercriminales y actores maliciosos que utilizan administradores de paquetes de código abierto e infraestructura relacionada para respaldar la cadena de suministro de software malicioso. campañas dirigidas a organizaciones de desarrollo y organizaciones de usuarios finales», dijo Valentić. ¿Le pareció interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

01 de febrero de 2024Sala de prensaSeguridad de red/malware Mandiant, propiedad de Google, dijo que identificó un nuevo malware empleado por un actor de amenazas de espionaje del nexo con China conocido como UNC5221 y otros grupos de amenazas durante la actividad posterior a la explotación dirigida a dispositivos Ivanti Connect Secure VPN y Policy Secure. Esto incluye shells web personalizados como BUSHWALK, CHAINLINE, FRAMESTING y una variante de LIGHTWIRE. «CHAINLINE es una puerta trasera de shell web de Python que está integrada en un paquete Ivanti Connect Secure Python que permite la ejecución de comandos arbitrarios», dijo la compañía, atribuyéndolo a UNC5221, agregando que también detectó múltiples versiones nuevas de WARPWIRE, un ladrón de credenciales basado en JavaScript. . Las cadenas de infección implican una explotación exitosa de CVE-2023-46805 y CVE-2024-21887, que permiten a un actor de amenazas no autenticado ejecutar comandos arbitrarios en el dispositivo Ivanti con privilegios elevados. Se ha abusado de las fallas como de día cero desde principios de diciembre de 2023. La Oficina Federal de Seguridad de la Información (BSI) de Alemania dijo que tiene conocimiento de «múltiples sistemas comprometidos» en el país. BUSHWALK, escrito en Perl e implementado eludiendo las mitigaciones emitidas por Ivanti en ataques altamente dirigidos, está integrado en un archivo Connect Secure legítimo llamado «querymanifest.cgi» y ofrece la capacidad de leer o escribir archivos en un servidor. Por otro lado, FRAMESTING es un shell web de Python integrado en un paquete Ivanti Connect Secure Python (ubicado en la siguiente ruta «/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg /cav/api/resources/category.py») que permite la ejecución de comandos arbitrarios. El análisis de Mandiant de la puerta trasera pasiva ZIPLINE también ha descubierto el uso de «amplia funcionalidad para garantizar la autenticación de su protocolo personalizado utilizado para establecer comando y control (C2)». Además, los ataques se caracterizan por el uso de utilidades de código abierto como Impacket, CrackMapExec, iodine y Enum4linux para respaldar la actividad posterior a la explotación en los dispositivos Ivanti CS, incluido el reconocimiento de red, el movimiento lateral y la filtración de datos dentro de los entornos de las víctimas. Desde entonces, Ivanti ha revelado dos fallos de seguridad más, CVE-2024-21888 y CVE-2024-21893, el último de los cuales ha sido objeto de explotación activa dirigida a un «número limitado de clientes». La compañía también lanzó la primera ronda de correcciones para abordar las cuatro vulnerabilidades. Se dice que UNC5221 apunta a una amplia gama de industrias que son de interés estratégico para China, y su infraestructura y herramientas se superponen con intrusiones pasadas vinculadas a actores de espionaje con sede en China. «Las herramientas basadas en Linux identificadas en las investigaciones de respuesta a incidentes utilizan código de múltiples repositorios Github en idioma chino», dijo Mandiant. «UNC5221 ha aprovechado en gran medida los TTP asociados con la explotación de día cero de la infraestructura de borde por parte de actores sospechosos del nexo con la República Popular China». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

01 de febrero de 2024Sala de prensaVulnerabilidad/Actualización de software La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla de alta gravedad que afecta a iOS, iPadOS, macOS, tvOS y watchOS a su catálogo de vulnerabilidades explotadas conocidas (KEV), según sobre pruebas de explotación activa. La vulnerabilidad, rastreada como CVE-2022-48618 (puntuación CVSS: 7,8), se refiere a un error en el componente del kernel. «Un atacante con capacidad de lectura y escritura arbitraria puede eludir la autenticación de puntero», dijo Apple en un aviso, y agregó que el problema «puede haber sido explotado en versiones de iOS lanzadas antes de iOS 15.7.1». El fabricante del iPhone dijo que el problema se solucionó con controles mejorados. Actualmente no se sabe cómo se está utilizando la vulnerabilidad como arma en ataques del mundo real. Curiosamente, los parches para la falla se lanzaron el 13 de diciembre de 2022 con el lanzamiento de iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 y watchOS 9.2, aunque solo se reveló públicamente más de un año después, el 9 de enero de 2024. Vale la pena señalar que Apple resolvió una falla similar en el kernel (CVE-2022-32844, puntuación CVSS: 6.3) en iOS 15.6 y iPadOS 15.6, que se envió el 20 de julio de 2022. «Una aplicación con kernel arbitrario leído y La capacidad de escritura puede ser capaz de eludir la autenticación de puntero», dijo la compañía en ese momento. «Se solucionó un problema lógico con una mejor gestión estatal». A la luz de la explotación activa de CVE-2022-48618, CISA recomienda que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 21 de febrero de 2024. El desarrollo también se produce cuando Apple amplió los parches para una falla de seguridad explotada activamente en el Motor de navegador WebKit (CVE-2024-23222, puntuación CVSS: 8,8) para incluir sus auriculares Apple Vision Pro. La solución está disponible en visionOS 1.0.2. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

Los actores de amenazas detrás de ClearFake, SocGholish y docenas de otros grupos de delitos electrónicos han establecido asociaciones con otra entidad conocida como VexTrio como parte de un «programa de afiliados criminal» masivo, revelan nuevos hallazgos de Infoblox. El último desarrollo demuestra la «amplitud de sus actividades y la profundidad de sus conexiones dentro de la industria del cibercrimen», dijo la compañía, describiendo a VexTrio como el «mayor intermediario de tráfico malicioso descrito en la literatura de seguridad». VexTrio, que se cree que ha estado activo desde al menos 2017, se ha atribuido a campañas maliciosas que utilizan dominios generados por un algoritmo de generación de dominios de diccionario (DDGA) para propagar estafas, software de riesgo, software espía, software publicitario y programas potencialmente no deseados (PUP). y contenido pornográfico. Esto incluye un grupo de actividad de 2022 que distribuyó el malware Glupteba luego de un intento anterior de Google de eliminar una parte importante de su infraestructura en diciembre de 2021. En agosto de 2023, el grupo también orquestó un ataque generalizado que involucró sitios web de WordPress comprometidos que redirigen condicionalmente a los visitantes a comando y control intermediario (C2) y dominios DDGA. Lo que hizo que las infecciones fueran significativas fue el hecho de que el actor de la amenaza aprovechó el protocolo del Sistema de nombres de dominio (DNS) para recuperar las URL de redireccionamiento, actuando efectivamente como un sistema de distribución (o entrega o dirección) de tráfico (TDS) basado en DNS. Se estima que VexTrio opera una red de más de 70.000 dominios conocidos y gestiona el tráfico de hasta 60 afiliados, incluidos ClearFake, SocGholish y TikTok Refresh. Renée Burton, jefa de inteligencia de amenazas en Infoblox, dijo a The Hacker News que actualmente no se sabe cómo se reclutan los afiliados, aunque se sospecha que los actores de VexTrio pueden estar anunciando sus servicios en foros de la web oscura o al menos tener una forma para otros ciberdelincuentes. para ponerse en contacto con ellos. «VexTrio opera su programa de afiliados de una manera única, proporcionando una pequeña cantidad de servidores dedicados a cada afiliado», dijo Infoblox en un informe detallado compartido con la publicación. «Las relaciones con los afiliados de VexTrio parecen ser de larga data». Sus cadenas de ataque no solo pueden incluir múltiples actores, VexTrio también controla múltiples redes TDS para dirigir a los visitantes del sitio a contenido ilegítimo en función de sus atributos de perfil (por ejemplo, geolocalización, cookies del navegador y configuración de idioma del navegador) con el fin de maximizar las ganancias, mientras filtra. el resto. Estos ataques presentan infraestructura propiedad de diferentes partes en la que los afiliados participantes reenvían el tráfico procedente de sus propios recursos (por ejemplo, sitios web comprometidos) a servidores TDS controlados por VexTrio. En la siguiente fase, este tráfico se retransmite a otros sitios fraudulentos o redes de afiliados maliciosas. «La red de VexTrio utiliza un TDS para consumir tráfico web de otros ciberdelincuentes, así como para vender ese tráfico a sus propios clientes», dijeron los investigadores. «El TDS de VexTrio es un servidor de clúster grande y sofisticado que aprovecha decenas de miles de dominios para gestionar todo el tráfico de red que pasa a través de él». Fuente de la imagen: Unidad 42 de Palo Alto Networks El TDS operado por VexTrio viene en dos versiones, uno que se basa en HTTP que maneja consultas URL con diferentes parámetros, y otro basado en DNS, el último de los cuales comenzó a usarse por primera vez en Julio de 2023. Vale la pena señalar en esta etapa que, si bien SocGholish (también conocido como FakeUpdates) es un afiliado de VexTrio, también opera otros servidores TDS, como Keitaro y Parrot TDS, y este último actúa como un mecanismo para redirigir el tráfico web a la infraestructura de SocGholish. «No hay evidencia de que VexTrio esté usando Parrot TDS», dijo Burton. «VexTrio es significativamente más antiguo que Parrot (es el TDS más antiguo conocido) y utilizan su propio software.» «Los afiliados de VexTrio, como SocGholish, de forma análoga al mundo del marketing legítimo, pueden aprovechar diferentes plataformas para distribuir el tráfico y ganar dinero. Es más probable que Parrot TDS vaya a VexTrio TDS, pero no hemos analizado ese flujo de tráfico». Según la Unidad 42 de Palo Alto Networks, Parrot TDS ha estado activo desde octubre de 2021, aunque hay pruebas de artefactos que sugieren que puede haber existido ya en agosto de 2019. «Los sitios web con Parrot TDS tienen scripts maliciosos inyectados en el código JavaScript existente alojado en el servidor», señaló la compañía en un análisis la semana pasada. «Este script inyectado consta de dos componentes: un script de inicio que perfila a la víctima y un script de carga útil que puede dirigir el navegador de la víctima a una ubicación o contenido malicioso». Las inyecciones, a su vez, se ven facilitadas por la explotación de vulnerabilidades de seguridad conocidas en sistemas de gestión de contenidos (CMS) como WordPress y Joomla! Los vectores de ataque adoptados por la red de afiliados de VexTrio para recopilar tráfico de víctimas no son diferentes en el sentido de que principalmente seleccionan sitios web que ejecutan una versión vulnerable del software WordPress para insertar JavaScript fraudulento en sus páginas HTML. En un caso identificado por Infobox, se descubrió que un sitio web comprometido con sede en Sudáfrica tenía JavaScript inyectado de ClearFake, SocGholish y VexTrio. Eso no es todo. Además de contribuir con tráfico web a numerosas campañas cibernéticas, también se sospecha que VexTrio lleva a cabo algunas propias, ganando dinero abusando de programas de referencia y recibiendo tráfico web de un afiliado y luego revendiendo ese tráfico a un actor de amenazas. «El modelo de negocio avanzado de VexTrio facilita las asociaciones con otros actores y crea un ecosistema sostenible y resiliente que es extremadamente difícil de destruir», concluyó Infoblox. «Debido al diseño complejo y la naturaleza enredada de la red de afiliados, es difícil lograr una clasificación y atribución precisas. Esta complejidad ha permitido que VexTrio florezca mientras permanece anónimo para la industria de la seguridad durante más de seis años». Burton caracterizó además a VexTrio como el «capítulo de las afiliaciones de delitos cibernéticos», afirmando que «los delitos cibernéticos contra consumidores a nivel mundial prosperan porque estos intermediarios de tráfico pasan desapercibidos. Por el contrario, al bloquear el tráfico de VexTrio en el DNS, se bloquean todos los delitos relacionados, independientemente de lo que sean y si saber sobre esto.» (La historia se actualizó después de la publicación para incluir comentarios adicionales de Infoblox). ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

24 de enero de 2024Sala de prensaVulnerabilidad/Seguridad de endpoints Se ha revelado una falla de seguridad crítica en el software GoAnywhere Managed File Transfer (MFT) de Fortra que podría aprovecharse para crear un nuevo usuario administrador. Registrado como CVE-2024-0204, el problema tiene una puntuación CVSS de 9,8 sobre 10. «La omisión de autenticación en GoAnywhere MFT de Fortra anterior a 7.4.1 permite a un usuario no autorizado crear un usuario administrador a través del portal de administración», dijo Fortra en un aviso publicado el 22 de enero de 2024. Los usuarios que no puedan actualizar a la versión 7.4.1 pueden aplicar soluciones temporales en implementaciones que no sean de contenedores eliminando el archivo InitialAccountSetup.xhtml en el directorio de instalación y reiniciando los servicios. Para instancias implementadas en contenedores, se recomienda reemplazar el archivo con un archivo vacío y reiniciar. A Mohammed Eldeeb e Islam Elrfai, de Spark Engineering Consultants, con sede en El Cairo, se les atribuye el descubrimiento y la notificación de la falla en diciembre de 2023. La empresa de ciberseguridad Horizon3.ai, que publicó un exploit de prueba de concepto (PoC) para CVE-2024-0204, dijo que el problema es el resultado de una debilidad en el recorrido de la ruta en el punto final «/InitialAccountSetup.xhtml» que podría explotarse para crear usuarios administrativos. «El indicador más fácil de compromiso que se puede analizar es cualquier nueva incorporación al grupo Usuarios administradores en la sección Usuarios del portal de administrador de GoAnywhere -> Usuarios administradores», dijo el investigador de seguridad de Horizon3.ai, Zach Hanley. «Si el atacante ha dejado a este usuario aquí, es posible que pueda observar su última actividad de inicio de sesión aquí para calcular una fecha aproximada del compromiso». Los datos compartidos por Tenable muestran que el 96,4 % de los activos de GoAnywhere MFT utilizan una versión afectada, mientras que el 3,6 % ejecuta una versión fija al 23 de enero de 2024, lo que significa que una gran cantidad de instancias corren un mayor riesgo de verse comprometida. Si bien no hay evidencia de explotación activa de CVE-2024-0204 en la naturaleza, el grupo de ransomware Cl0p abusó de otra falla en el mismo producto (CVE-2023-0669, puntuación CVSS: 7.2) para violar a casi 130 víctimas el año pasado. . ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

24 de enero de 2024Sala de prensaCriptomonedas/Cibercrimen Los gobiernos de Australia, el Reino Unido y los EE. UU. han impuesto sanciones financieras a un ciudadano ruso por su presunto papel en el ataque de ransomware de 2022 contra el proveedor de seguros médicos Medibank. Alexander Ermakov (también conocido como blade_runner, GistaveDore, GustaveDore o JimJones), de 33 años, ha sido vinculado a la violación de la red Medibank, así como al robo y divulgación de información de identificación personal (PII) perteneciente a la empresa australiana. El ataque de ransomware, que tuvo lugar a finales de octubre de 2022 y se atribuyó al ahora desaparecido equipo de ransomware REvil, provocó el acceso no autorizado de aproximadamente 9,7 millones de sus clientes actuales y anteriores. La información robada incluía nombres, fechas de nacimiento, números de Medicare e información médica confidencial, incluidos registros sobre salud mental, salud sexual y uso de drogas. Algunos de estos registros se filtraron en la web oscura. Como parte de la acción trilateral, las sanciones tipifican como delito proporcionar activos a Ermakov, o utilizar o negociar con sus activos, incluso a través de carteras de criptomonedas o pagos de ransomware. El delito se castiga con hasta 10 años de prisión. Además, el gobierno australiano también ha impuesto una prohibición de viajar a Ermakov. El gobierno del Reino Unido dijo que la sanción es su último esfuerzo «para contrarrestar la actividad cibercriminal maliciosa que emana de Rusia y que busca socavar la integridad y la prosperidad» del país y sus aliados. Además de criticar a Rusia por brindar un refugio seguro a ciberataques maliciosos, el Departamento del Tesoro de EE. UU. criticó a la nación de Europa del Este por permitir ataques de ransomware mediante el cultivo y la cooptación de grupos criminales. Además, pidió a Rusia que adopte medidas concretas para impedir que los ciberdelincuentes operen libremente en su jurisdicción. «Los ciberactores rusos continúan lanzando disruptivos ataques de ransomware contra Estados Unidos y países aliados, dirigidos a nuestros negocios, incluida la infraestructura crítica, para robar datos confidenciales», dijo el subsecretario del Tesoro, Brian E. Nelson. «Esta acción demuestra que Estados Unidos apoya a nuestros socios para desbaratar a los actores del ransomware que victimizan la columna vertebral de nuestras economías y nuestra infraestructura crítica», señaló el Departamento del Tesoro. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link