Etiqueta: vulnerabilidad de software Página 4 de 6

24 de marzo de 2024Sala de prensaInteligencia artificial/espionaje cibernético Se ha observado que el actor de amenazas vinculado a Corea del Norte conocido como Kimsuky (también conocido como Black Banshee, Emerald Sleet o Springtail) está cambiando sus tácticas, aprovechando archivos de ayuda HTML compilada (CHM) como vectores para entregar malware para recolectar datos confidenciales. Se sabe que Kimsuky, activo desde al menos 2012, apunta a entidades ubicadas en Corea del Sur, así como en América del Norte, Asia y Europa. Según Rapid7, las cadenas de ataques han aprovechado documentos de Microsoft Office, archivos ISO y archivos de acceso directo de Windows (LNK) como armas, y el grupo también emplea archivos CHM para implementar malware en hosts comprometidos. La firma de ciberseguridad ha atribuido la actividad a Kimsuky con moderada confianza, citando maniobras similares observadas en el pasado. «Aunque originalmente fueron diseñados para documentación de ayuda, los archivos CHM también han sido explotados con fines maliciosos, como distribuir malware, porque pueden ejecutar JavaScript cuando se abren», afirmó la compañía. El archivo CHM se propaga dentro de un archivo ISO, VHD, ZIP o RAR, al abrirlo se ejecuta un script de Visual Basic (VBScript) para configurar la persistencia y comunicarse con un servidor remoto para buscar una carga útil de la siguiente etapa responsable de recopilar y filtrar. informacion delicada. Rapid7 describió los ataques como continuos y en evolución, dirigidos a organizaciones con sede en Corea del Sur. También identificó una secuencia de infección alternativa que emplea un archivo CHM como punto de partida para eliminar archivos por lotes encargados de recopilar la información y un script de PowerShell para conectarse al servidor C2 y transferir los datos. «El modus operandi y la reutilización de códigos y herramientas muestran que el actor de la amenaza está utilizando y refinando/remodelando activamente sus técnicas y tácticas para recopilar inteligencia de las víctimas», dijo. El desarrollo se produce cuando Symantec, propiedad de Broadcom, reveló que los actores de Kimsuky están distribuyendo malware que se hace pasar por una aplicación de una entidad pública coreana legítima. «Una vez comprometido, el dropper instala un malware de puerta trasera Endoor», dijo Symantec. «Esta amenaza permite a los atacantes recopilar información confidencial de la víctima o instalar malware adicional». Vale la pena señalar que Endoor, con sede en Golang, junto con Troll Stealer (también conocido como TrollAgent), se ha implementado recientemente en relación con ataques cibernéticos dirigidos a usuarios que descargan programas de seguridad del sitio web de una asociación coreana relacionada con la construcción. Los hallazgos también llegan en medio de una investigación iniciada por las Naciones Unidas sobre 58 presuntos ataques cibernéticos llevados a cabo por actores estatales de Corea del Norte entre 2017 y 2023 que generaron 3 mil millones de dólares en ingresos ilegales para ayudarlo a desarrollar aún más su programa de armas nucleares. «Según se informa, el gran volumen de ataques cibernéticos por parte de grupos de piratas informáticos subordinados a la Oficina General de Reconocimiento continuó», dice el informe. «Las tendencias incluyen apuntar a empresas de defensa y cadenas de suministro y, cada vez más, compartir infraestructura y herramientas». La Oficina General de Reconocimiento (RGB) es el principal servicio de inteligencia exterior de Corea del Norte y comprende los grupos de amenazas ampliamente rastreados como el Grupo Lazarus –y sus elementos subordinados, Andariel y BlueNoroff– y Kimsuky. «Kimsuky ha mostrado interés en utilizar inteligencia artificial generativa, incluidos modelos de lenguaje grandes, potencialmente para codificar o escribir correos electrónicos de phishing», agrega el informe. «Se ha observado que Kimsuky usa ChatGPT». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

24 de marzo de 2024Sala de prensaRansomware / Threat Intelligence Las autoridades alemanas han anunciado la eliminación de un mercado clandestino ilícito llamado Nemesis Market que vendía narcóticos, datos robados y diversos servicios de ciberdelincuencia. La Oficina Federal de Policía Criminal (también conocida como Bundeskriminalamt o BKA) dijo que se apoderó de la infraestructura digital asociada con el servicio de red oscura ubicada en Alemania y Lituania y confiscó 94.000 euros (102.107 dólares) en activos de criptomonedas. La operación, realizada en colaboración con organismos encargados de hacer cumplir la ley de Alemania, Lituania y Estados Unidos, tuvo lugar el 20 de marzo de 2024, tras una extensa investigación que comenzó en octubre de 2022. Se estima que Nemesis Market, fundado en 2021, tuvo más de 150.000 cuentas de usuario y 1.100 cuentas de vendedor de todo el mundo antes de su cierre. Casi el 20$ de las cuentas de vendedores eran de Alemania. «La gama de bienes disponibles en el mercado incluía narcóticos, datos y bienes obtenidos de manera fraudulenta, así como una selección de servicios de cibercrimen como ransomware, phishing o ataques DDoS», dijo la BKA. La agencia dijo que actualmente se están llevando a cabo más investigaciones contra vendedores y usuarios delictivos de la plataforma. Dicho esto, no se han realizado arrestos. El desarrollo se produce un mes después de que otra operación policial coordinada derribara el grupo de ransomware LockBit, tomando el control de los servidores del equipo y arrestando a tres afiliados de Polonia y Ucrania. La interrupción llevó a la pandilla a relanzar su operación de extorsión cibernética. En los últimos meses, las autoridades alemanas también han cerrado Kingdom Market y Crimemarket, que contaban con miles de usuarios y ofrecían una amplia gama de servicios de lavado de dinero y delitos cibernéticos. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

19 de marzo de 2024The Hacker NewsAPI Security / Vulnerability Las interfaces de programación de aplicaciones (API) son el tejido conectivo detrás de la modernización digital y ayudan a las aplicaciones y bases de datos a intercambiar datos de manera más efectiva. El informe sobre el estado de la seguridad de las API en 2024 de Imperva, una empresa de Thales, encontró que la mayor parte del tráfico de Internet (71%) en 2023 fueron llamadas API. Es más, un sitio empresarial típico recibió un promedio de 1,5 mil millones de llamadas API en 2023. El creciente volumen de tráfico de Internet que pasa a través de las API debería ser preocupante para todos los profesionales de la seguridad. A pesar de los mejores esfuerzos para adoptar marcos de trabajo de desplazamiento a la izquierda y procesos SDLC, las API a menudo todavía se ponen en producción antes de catalogarse, autenticarse o auditarse. En promedio, las organizaciones tienen 613 puntos finales API en producción, pero ese número se está expandiendo rápidamente a medida que crece la presión para brindar servicios digitales a los clientes de manera más rápida y eficiente. Con el tiempo, estas API pueden convertirse en puntos finales vulnerables y riesgosos. En su informe, Imperva concluye que las API son ahora un vector de ataque común para los ciberdelincuentes porque son una vía directa para acceder a datos confidenciales. De hecho, un estudio del Marsh McLennan Cyber ​​Risk Analytics Center encuentra que los incidentes de seguridad relacionados con API cuestan a las empresas globales hasta 75 mil millones de dólares al año. Más llamadas API, más problemas La banca y el comercio minorista en línea registraron los mayores volúmenes de llamadas API en comparación con cualquier otra industria en 2023. Ambas industrias dependen de grandes ecosistemas API para brindar servicios digitales a sus clientes. Por lo tanto, no sorprende que los servicios financieros, que incluyen la banca, fueran el principal objetivo de los ataques relacionados con API en 2023. Los ciberdelincuentes utilizan una variedad de métodos para atacar los puntos finales de API, pero un vector de ataque común es la adquisición de cuentas (ATO). Este ataque ocurre cuando los ciberdelincuentes aprovechan las vulnerabilidades en los procesos de autenticación de una API para obtener acceso no autorizado a las cuentas. En 2023, casi la mitad (45,8%) de todos los ataques ATO tuvieron como objetivo puntos finales API. Estos intentos a menudo los lleva a cabo la automatización en forma de robots maliciosos, agentes de software que ejecutan tareas automatizadas con intenciones maliciosas. Cuando tienen éxito, estos ataques pueden bloquear el acceso de los clientes a sus cuentas, proporcionar a los delincuentes datos confidenciales, contribuir a la pérdida de ingresos y aumentar el riesgo de incumplimiento. Teniendo en cuenta el valor de los datos que los bancos y otras instituciones financieras gestionan para sus clientes, la ATO es un riesgo empresarial preocupante. Por qué las API mal administradas son una amenaza para la seguridad Mitigar el riesgo de seguridad de las API es un desafío único que frustra incluso a los equipos de seguridad más sofisticados. El problema surge del rápido ritmo de desarrollo de software y la falta de herramientas y procesos maduros para ayudar a los desarrolladores y equipos de seguridad a trabajar de manera más colaborativa. Como resultado, casi una de cada 10 API es vulnerable a ataques porque no quedó obsoleta correctamente, no está monitoreada o carece de suficientes controles de autenticación. En su informe, Imperva identificó tres tipos comunes de puntos finales API mal administrados que crean riesgos de seguridad para las organizaciones: API ocultas, obsoletas y no autenticadas. API ocultas: también conocidas como API no documentadas o no descubiertas, son API que no están supervisadas, olvidadas y/o fuera de la visibilidad del equipo de seguridad. Imperva estima que las API ocultas representan el 4,7% de la colección de API activas de cada organización. Estos puntos finales se introducen por diversas razones, desde el propósito de probar el software hasta su uso como conector para un servicio de terceros. Surgen problemas cuando estos puntos finales de API no se catalogan o administran adecuadamente. Las empresas deberían preocuparse por las API ocultas porque normalmente tienen acceso a información confidencial, pero nadie sabe dónde existen ni a qué están conectadas. Una única API oculta puede provocar una infracción de cumplimiento y una multa reglamentaria o, peor aún, un ciberdelincuente motivado abusará de ella para acceder a los datos confidenciales de una organización. API obsoletas: desaprobar un punto final de API es una progresión natural en el ciclo de vida del software. Como resultado, la presencia de API obsoletas no es infrecuente, ya que el software se actualiza a un ritmo rápido y continuo. De hecho, Imperva estima que las API obsoletas, en promedio, representan el 2,6% de la colección de API activas de una organización. Cuando el punto final está en desuso, los servicios que soportan dichos puntos finales se actualizan y una solicitud al punto final en desuso debería fallar. Sin embargo, si los servicios no se actualizan y la API no se elimina, el punto final se vuelve vulnerable porque carece de los parches y las actualizaciones de software necesarios. API no autenticadas: a menudo, las API no autenticadas se introducen como resultado de una mala configuración, la supervisión de un proceso de lanzamiento apresurado o la relajación de un proceso de autenticación rígido para adaptarse a versiones anteriores de software. Estas API representan, en promedio, el 3,4% de la colección de API activas de una organización. La existencia de API no autenticadas plantea un riesgo importante para las organizaciones, ya que pueden exponer datos o funcionalidades confidenciales a usuarios no autorizados y provocar violaciones de datos o manipulación del sistema. Para mitigar los diversos riesgos de seguridad introducidos por las API mal administradas, se recomienda realizar auditorías periódicas para identificar puntos finales de API no supervisados ​​o no autenticados. El monitoreo continuo puede ayudar a detectar cualquier intento de explotar las vulnerabilidades asociadas con estos puntos finales. Además, los desarrolladores deben actualizar y actualizar las API periódicamente para garantizar que los puntos finales obsoletos se reemplacen con alternativas más seguras. Cómo proteger sus API Imperva ofrece varias recomendaciones para ayudar a las organizaciones a mejorar su postura de seguridad de API: Descubra, clasifique e inventaria todas las API, puntos finales, parámetros y cargas útiles. Utilice el descubrimiento continuo para mantener un inventario de API siempre actualizado y revelar la exposición de datos confidenciales. Identifique y proteja API sensibles y de alto riesgo. Realice evaluaciones de riesgos dirigidas específicamente a puntos finales de API vulnerables a autorización y autenticación rotas, así como a exposición excesiva de datos. Establezca un sistema de monitoreo sólido para los puntos finales de API para detectar y analizar comportamientos sospechosos y patrones de acceso de manera activa. Adopte un enfoque de seguridad de API que integre firewall de aplicaciones web (WAF), protección de API, prevención de denegación de servicio distribuida (DDoS) y protección contra bots. Una amplia gama de opciones de mitigación ofrece flexibilidad y protección avanzada contra amenazas API cada vez más sofisticadas, como ataques a la lógica empresarial, contra los cuales es particularmente difícil defenderse ya que son únicos para cada API. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

09 de marzo de 2024Sala de prensaCyber ​​Attack / Threat Intelligence Microsoft reveló el viernes que el actor de amenazas respaldado por el Kremlin conocido como Midnight Blizzard (también conocido como APT29 o Cozy Bear) logró obtener acceso a algunos de sus repositorios de código fuente y sistemas internos luego de un ataque eso salió a la luz en enero de 2024. «En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente extraída de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado», dijo el gigante tecnológico. «Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la compañía. Hasta la fecha no hemos encontrado evidencia de que los sistemas de cara al cliente alojados en Microsoft hayan sido comprometidos». Redmond, que continúa investigando el alcance de la violación, dijo que el actor de amenazas patrocinado por el estado ruso está intentando aprovechar los diferentes tipos de secretos que encontró, incluidos aquellos que se compartieron entre los clientes y Microsoft por correo electrónico. Sin embargo, no reveló cuáles eran estos secretos ni la escala del compromiso, aunque dijo que se había comunicado directamente con los clientes afectados. No está claro a qué código fuente se accedió. Al afirmar que ha aumentado sus inversiones en seguridad, Microsoft señaló además que el adversario incrementó sus ataques de pulverización de contraseñas hasta 10 veces en febrero, en comparación con el «volumen ya grande» observado en enero. «El ataque en curso de Midnight Blizzard se caracteriza por un compromiso sostenido y significativo de los recursos, la coordinación y el enfoque del actor de la amenaza», dijo. «Puede estar utilizando la información que ha obtenido para acumular una imagen de las áreas que atacar y mejorar su capacidad para hacerlo. Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a Estados-nación». Se dice que la infracción de Microsoft tuvo lugar en noviembre de 2023, y Midnight Blizzard empleó un ataque de pulverización de contraseñas para infiltrarse con éxito en una cuenta de inquilino de prueba heredada que no era de producción y que no tenía habilitada la autenticación multifactor (MFA). El gigante tecnológico, a finales de enero, reveló que APT29 se había dirigido a otras organizaciones aprovechando un conjunto diverso de métodos de acceso inicial que iban desde credenciales robadas hasta ataques a la cadena de suministro. Midnight Blizzard se considera parte del Servicio de Inteligencia Exterior de Rusia (SVR). Activo desde al menos 2008, el actor de amenazas es uno de los grupos de piratería más prolíficos y sofisticados, comprometiendo objetivos de alto perfil como SolarWinds. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de marzo de 2024Sala de prensaSpyware / Privacidad Un juez estadounidense ordenó a NSO Group entregar su código fuente para Pegasus y otros productos a Meta como parte del litigio en curso del gigante de las redes sociales contra el proveedor de software espía israelí. La decisión, que marca una importante victoria legal para Meta, que presentó la demanda en octubre de 2019 por utilizar su infraestructura para distribuir el software espía a aproximadamente 1.400 dispositivos móviles entre abril y mayo. Entre ellos también se encontraban dos docenas de activistas y periodistas indios. Estos ataques aprovecharon una falla de día cero en la aplicación de mensajería instantánea (CVE-2019-3568, puntuación CVSS: 9.8), un error crítico de desbordamiento del búfer en la funcionalidad de llamadas de voz, para entregar Pegasus simplemente realizando una llamada, incluso en escenarios donde las llamadas quedaron sin respuesta. Además, la cadena de ataque incluyó pasos para borrar la información de las llamadas entrantes de los registros en un intento de eludir la detección. Los documentos judiciales publicados a finales del mes pasado muestran que a NSO Group se le pidió «producir información sobre la funcionalidad completa del software espía relevante», específicamente durante un período de un año antes del presunto ataque a un año después del presunto ataque (es decir, desde abril 29 de mayo de 2018 al 10 de mayo de 2020). Dicho esto, la empresa no tiene que «proporcionar información específica sobre la arquitectura del servidor en este momento» porque WhatsApp «podría obtener la misma información de la funcionalidad completa del presunto software espía». Quizás lo más significativo es que se ha librado de compartir las identidades de su clientela. «Si bien la decisión del tribunal es un avance positivo, es decepcionante que a NSO Group se le permita seguir manteniendo en secreto la identidad de sus clientes, que son responsables de estos ataques ilegales», dijo Donncha Ó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía Internacional. NSO Group fue sancionado por Estados Unidos en 2021 por desarrollar y suministrar armas cibernéticas a gobiernos extranjeros que «utilizaron estas herramientas para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas». Meta, sin embargo, se enfrenta a un creciente escrutinio por parte de grupos de consumidores y de privacidad en la Unión Europea por su modelo de suscripción de «pagar o aceptar» (también conocido como pago o consentimiento), que según ellos es una elección de Hobson entre pagar una «tarifa de privacidad» y consentir a ser rastreado por la empresa. «Esto impone un modelo de negocio en el que la privacidad se convierte en un lujo en lugar de un derecho fundamental, reforzando directamente la exclusión discriminatoria existente del acceso al ámbito digital y el control de los datos personales», dijeron, y agregaron que la práctica socavaría las regulaciones GDPR. El desarrollo se produce cuando Recorded Future reveló una nueva infraestructura de entrega de varios niveles asociada con Predator, un software espía móvil mercenario administrado por Intellexa Alliance. Es muy probable que la red de infraestructura esté asociada con clientes de Predator, incluso en países como Angola, Armenia, Botswana, Egipto, Indonesia, Kazajstán, Mongolia, Omán, Filipinas, Arabia Saudita y Trinidad y Tobago. Vale la pena señalar que hasta ahora no se ha identificado ningún cliente de Predator en Botswana y Filipinas. «Aunque los operadores de Predator responden a los informes públicos alterando ciertos aspectos de su infraestructura, parecen persistir con alteraciones mínimas en sus modos de operación; estas incluyen temas consistentes de suplantación de identidad y se centran en tipos de organizaciones, como medios de comunicación, mientras se adhieren a las normas establecidas. instalaciones de infraestructura», dijo la compañía. Sekoia, en su propio informe sobre el ecosistema de software espía Predator, dijo que encontró tres dominios relacionados con clientes en Botswana, Mongolia y Sudán, afirmando que detectó un «aumento significativo en el número de dominios maliciosos genéricos que no dan indicaciones sobre las entidades objetivo». y posibles clientes.» ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

19 de febrero de 2024Sala de prensaCiberespionaje/Vulnerabilidad Los actores de amenazas que operan con intereses alineados con Bielorrusia y Rusia han sido vinculados a una nueva campaña de ciberespionaje que probablemente aprovechó las vulnerabilidades de secuencias de comandos entre sitios (XSS) en los servidores de correo web de Roundcube para apuntar a más de 80 organizaciones. Estas entidades están ubicadas principalmente en Georgia, Polonia y Ucrania, según Recorded Future, que atribuyó la intrusión a un actor de amenazas conocido como Winter Vivern, que también se conoce como TA473 y UAC0114. La firma de ciberseguridad está rastreando al equipo de piratería bajo el nombre de Threat Activity Group 70 (TAG-70). ESET destacó previamente la explotación de fallas de seguridad en Roundcube y el software por parte de Winter Vivern en octubre de 2023, uniéndose a otros grupos de actores de amenazas vinculados a Rusia, como APT28, APT29 y Sandworm, que se sabe que atacan el software de correo electrónico. El adversario, que ha estado activo desde al menos diciembre de 2020, también ha sido vinculado al abuso de una vulnerabilidad ahora parcheada en el software de correo electrónico Zimbra Collaboration el año pasado para infiltrarse en organizaciones en Moldavia y Túnez en julio de 2023. La campaña descubierta por Recorded Future tuvo lugar desde principios de octubre de 2023 y continuó hasta mediados de mes con el objetivo de recopilar inteligencia sobre las actividades políticas y militares europeas. Los ataques se superponen con actividad adicional de TAG-70 contra servidores de correo del gobierno de Uzbekistán que se detectaron en marzo de 2023. «TAG70 ha demostrado un alto nivel de sofisticación en sus métodos de ataque», dijo la compañía. «Los actores de amenazas aprovecharon técnicas de ingeniería social y explotaron vulnerabilidades de secuencias de comandos entre sitios en los servidores de correo web de Roundcube para obtener acceso no autorizado a servidores de correo específicos, evitando las defensas de las organizaciones gubernamentales y militares». Las cadenas de ataque implican la explotación de fallas de Roundcube para entregar cargas útiles de JavaScript diseñadas para filtrar las credenciales del usuario a un servidor de comando y control (C2). Recorded Future dijo que también encontró evidencia de que el TAG-70 apuntaba a las embajadas iraníes en Rusia y los Países Bajos, así como a la embajada de Georgia en Suecia. «El ataque a las embajadas iraníes en Rusia y Holanda sugiere un interés geopolítico más amplio en evaluar las actividades diplomáticas de Irán, especialmente en lo que respecta a su apoyo a Rusia en Ucrania», dijo. «Del mismo modo, el espionaje contra entidades gubernamentales georgianas refleja intereses en monitorear las aspiraciones de Georgia de ingresar a la Unión Europea (UE) y la OTAN». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

03 de febrero de 2024Sala de prensaVulnerabilidad / Redes sociales La red social descentralizada Mastodon ha revelado una falla de seguridad crítica que permite a actores maliciosos hacerse pasar por cualquier cuenta y apoderarse de ella. «Debido a una validación de origen insuficiente en todo Mastodon, los atacantes pueden hacerse pasar por cualquier cuenta remota y apoderarse de ella», dijeron los responsables en un escueto aviso. La vulnerabilidad, rastreada como CVE-2024-23832, tiene una calificación de gravedad de 9,4 sobre un máximo de 10. Al investigador de seguridad arcicanis se le atribuye haberla descubierto e informado. Se ha descrito como un «error de validación de origen» (CWE-346), que normalmente puede permitir a un atacante «acceder a cualquier funcionalidad a la que el origen pueda acceder inadvertidamente». Todas las versiones de Mastodon anteriores a la 3.5.17 son vulnerables, al igual que las versiones 4.0.x anteriores a la 4.0.13, las versiones 4.1.x anteriores a la 4.1.13 y las versiones 4.2.x anteriores a la 4.2.5. Mastodon dijo que retendrá detalles técnicos adicionales sobre la falla hasta el 15 de febrero de 2024, para darles a los administradores tiempo suficiente para actualizar las instancias del servidor y evitar la probabilidad de explotación. «Cualquier cantidad de detalles haría que fuera muy fácil encontrar un exploit», decía. La naturaleza federada de la plataforma significa que se ejecuta en servidores separados (también conocidos como instancias), alojados y operados de forma independiente por los respectivos administradores que crean sus propias reglas y regulaciones que se aplican localmente. Esto también significa que no solo cada instancia tiene un código de conducta, términos de servicio, política de privacidad y pautas de moderación de contenido únicos, sino que también requiere que cada administrador aplique actualizaciones de seguridad de manera oportuna para proteger las instancias contra riesgos potenciales. La divulgación llega casi siete meses después de que Mastodon abordara otras dos fallas críticas (CVE-2023-36460 y 2023-36459) que los adversarios podrían haber utilizado como arma para causar denegación de servicio (DoS) o lograr la ejecución remota de código. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

03 de febrero de 2024Sala de prensaAgencia de Inteligencia / Seguridad Cibernética La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. anunció sanciones contra seis funcionarios asociados con la agencia de inteligencia iraní por atacar entidades de infraestructura crítica en EE.UU. y otros países. Los funcionarios incluyen a Hamid Reza Lashgarian, Mahdi Lashgarian, Hamid Homayunfal, Milad Mansuri, Mohammad Bagher Shirinkar y Reza Mohammad Amin Saberian, que forman parte del Comando Ciberelectrónico del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC-CEC). Reza Lashgarian es también el jefe del IRGC-CEC y comandante de la Fuerza IRGC-Qods. Se alega que estuvo involucrado en varias operaciones cibernéticas y de inteligencia del IRGC. El Departamento del Tesoro dijo que responsabiliza a estos individuos por llevar a cabo «operaciones cibernéticas en las que piratearon y publicaron imágenes en las pantallas de controladores lógicos programables fabricados por Unitronics, una empresa israelí». A finales de noviembre de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló que la Autoridad Municipal de Agua de Aliquippa, en el oeste de Pensilvania, fue atacada por actores de amenazas iraníes al explotar los PLC de Unitronics. El ataque se atribuyó a un personaje hacktivista iraní denominado Cyber ​​Av3ngers, que pasó a primer plano tras el conflicto entre Israel y Hamas, organizando ataques destructivos contra entidades en Israel y Estados Unidos. El grupo, que ha estado activo desde 2020, también está Se dice que está detrás de varios otros ataques cibernéticos, incluido uno dirigido al Boston Children’s Hospital en 2021 y otros en Europa e Israel. «Los dispositivos de control industrial, como los controladores lógicos programables, utilizados en sistemas de agua y otras infraestructuras críticas, son objetivos sensibles», señaló el Departamento del Tesoro. «Aunque esta operación en particular no interrumpió ningún servicio crítico, el acceso no autorizado a sistemas de infraestructura críticos puede permitir acciones que dañen al público y causen consecuencias humanitarias devastadoras». El acontecimiento se produce cuando otro «grupo de operación psicológica» proiraní conocido como Homeland Justice dijo que atacó el Instituto de Estadísticas de Albania (INSTAT) y afirmó haber robado terabytes de datos. Homeland Justice tiene un historial de atacar a Albania desde mediados de julio de 2022, y recientemente se observó que el actor de amenazas entregaba un malware de limpieza con el nombre en código No-Justice. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

03 de febrero de 2024Sala de redacciónCiberataque / Seguridad de software El fabricante de software de escritorio remoto AnyDesk reveló el viernes que sufrió un ciberataque que comprometió sus sistemas de producción. La empresa alemana dijo que el incidente, que descubrió tras una auditoría de seguridad, no es un ataque de ransomware y que ha notificado a las autoridades pertinentes. «Hemos revocado todos los certificados relacionados con la seguridad y los sistemas han sido reparados o reemplazados cuando fue necesario», dijo la compañía en un comunicado. «En breve revocaremos el certificado de firma de código anterior para nuestros binarios y ya hemos comenzado a reemplazarlo por uno nuevo». Por precaución, AnyDesk también ha revocado todas las contraseñas de su portal web, my.anydesk.[.]com, e insta a los usuarios a cambiar sus contraseñas si las mismas contraseñas se han reutilizado en otros servicios en línea. También recomienda que los usuarios descarguen la última versión del software, que viene con un nuevo certificado de firma de código. AnyDesk no reveló cuándo y cómo se violaron sus sistemas de producción. Actualmente no se sabe si se robó alguna información después del ataque. Sin embargo, enfatizó que no hay evidencia de que ningún sistema de usuario final haya sido afectado. A principios de esta semana, Günter Born de BornCity reveló que AnyDesk había estado en mantenimiento el 29 de enero. El problema se solucionó el 1 de febrero. Anteriormente, el 24 de enero, la compañía también alertó a los usuarios sobre «tiempos de espera intermitentes» y «degradación del servicio» con su Portal del Cliente. AnyDesk cuenta con más de 170.000 clientes, incluidos Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam y Thales. La divulgación se produce un día después de que Cloudflare dijera que fue violado por un presunto atacante de un estado-nación que utilizó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

2 de febrero de 2024Sala de prensaCibercrimen/Malware Una operación colaborativa dirigida por INTERPOL contra ataques de phishing, malware bancario y ransomware ha permitido identificar 1.300 direcciones IP y URL sospechosas. El esfuerzo de aplicación de la ley, cuyo nombre en código es Synergia, se llevó a cabo entre septiembre y noviembre de 2023 en un intento de frenar el «crecimiento, escalada y profesionalización del ciberdelito transnacional». En el ejercicio, en el que participaron 60 organismos encargados de hacer cumplir la ley de 55 países miembros, se allanó el camino para la detección de más de 1.300 servidores maliciosos, el 70% de los cuales ya han sido desmantelados en Europa. Las autoridades de Hong Kong y Singapur desactivaron 153 y 86 servidores, respectivamente. Los servidores, así como los dispositivos electrónicos, fueron confiscados tras más de 30 registros domiciliarios. Hasta la fecha se han identificado setenta sospechosos y se ha arrestado a 31 de Europa, Sudán del Sur y Zimbabwe. Group-IB, con sede en Singapur, que también contribuyó a la operación, dijo que identificó «más de 500 direcciones IP que alojan recursos de phishing y más de 1.900 direcciones IP asociadas con ransomware, troyanos y operaciones de malware bancario». La infraestructura fraudulenta estaba alojada en Australia, Canadá, Hong Kong y Singapur, entre otros, y los recursos se distribuían entre más de 200 proveedores de alojamiento web en todo el mundo. «Los resultados de esta operación, logrados gracias a los esfuerzos colectivos de múltiples países y socios, muestran nuestro compromiso inquebrantable con la salvaguardia del espacio digital», afirmó Bernardo Pillot, subdirector de la Dirección de Delitos Cibernéticos de INTERPOL. «Al desmantelar la infraestructura detrás de los ataques de phishing, malware bancario y ransomware, estamos un paso más cerca de proteger nuestros ecosistemas digitales y brindar una experiencia en línea más segura para todos». El acontecimiento llega más de un mes después de que otra operación policial internacional de seis meses de duración denominada HAECHI-IV haya dado lugar al arresto de casi 3.500 personas e incautaciones por valor de 300 millones de dólares en 34 países. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link