Noticias de seguridad informatica

Según datos de la aseguradora Coalition, en su informe "2024 Cyber Claims Report" más de la mitad (53%) de todas los reclamos de seguros en 2023 fueron el resultado de fraude por correo electrónico. De acuerdo a datos del año 2023, la empresa reveló que el compromiso del correo electrónico empresarial (Business Email Compromise - BEC) y el fraude en transferencias de fondos (Funds Transfer Fraud - FTF) fueron los dos eventos principales que generaron reclamos de clientes en el período, representando el 28% del total. Por el contrario, el ransomware representó "solo" el 19%. El número de reclamos del FTF aumentó un 15% anualmente y el monto total reclamado aumentó un 24%, a una pérdida promedio de más de U$S 278.000. Los reclamos de BEC aumentaron un 5%, pero los montos de disminuyeron un 15% durante el período. Hubo muchos menos reclamos por ransomware, que representaron el 19% del total recibido por Coalition en 2023. Sin embargo, su frecuencia también aumentó en 2023, un 15%, y la gravedad de los reclamos aumentaron un 28% hasta una pérdida media de más de U$S 263,000. En general, en 2023, los reclamos aumentaron un 13% interanual (YoY) y las pérdidas aumentaron un 10% hasta un promedio de 100.000 dólares por reclamo. Las empresas más grandes, con ingresos de entre 25 y 100 millones de dólares, experimentaron el mayor aumento interanual en la frecuencia de siniestros (32%). El informe también reveló que las organizaciones que utilizan dispositivos de perímetro como firewalls y VPN se ven cada vez más comprometidas por la explotación de vulnerabilidades. La coalición afirmó que los asegurados con dispositivos Cisco ASA expuestos a Internet tenían casi cinco veces más probabilidades de experimentar un reclamo en 2023, y aquellos con dispositivos Fortinet expuestos tenían el doble de probabilidades de experimentar un reclamo. La empresa también ha sido inequívoca en su trato a los clientes de Ivanti, dados los propios problemas del proveedor con la explotación del dispositivo. "La explotación de los dispositivos Ivanti ha dado lugar durante mucho tiempo a numerosos reclamos en toda la industria de los seguros cibernéticos, y durante mucho tiempo nos hemos negado a ofrecer cobertura a organizaciones que utilizan dispositivos Ivanti vulnerables sin los controles de mitigación adecuados", dijo el director ejecutivo de Coalition, Josh Motta, en una publicación de LinkedIn. "También descubrimos que los asegurados que utilizaban el protocolo de escritorio remoto expuesto a Internet tenían 2,5 veces más probabilidades de experimentar un reclamo", dijo Shelley Ma, líder de respuesta a incidentes de Coalition Incident Response. "Esta nueva información surge luego del descubrimiento por parte de los investigadores de Security Labs de Coalition de un aumento del 59% en el escaneo de direcciones IP únicas en busca de protocolos de escritorio remoto abiertos durante el año pasado". Fuente: InfoSecurity

El FBI advirtió hoy que el uso de servicios de transferencia de criptomonedas sin licencia puede provocar pérdidas financieras si las fuerzas del orden eliminan estas plataformas. Este anuncio está dirigido a plataformas de transferencia de criptomonedas que no están registradas como empresas de servicios monetarios (MSB) y que no cumplen con los requisitos contra el lavado de dinero según lo exige la ley federal de los EE.UU. Estos servicios de criptomonedas suelen ser objeto de operaciones policiales, especialmente si los delincuentes los utilizan para transferir o lavar fondos adquiridos por medios ilegales. En su anuncio el FBI dijo: "El uso de un servicio que no cumple con sus obligaciones legales puede ponerlo en riesgo de perder el acceso a los fondos después de que las operaciones policiales apunten a esas empresas. El uso de un servicio que no cumple con sus obligaciones legales puede ponerlo en riesgo de perder el acceso a los fondos después de que las operaciones policiales apunten a esas empresas". Aquellos que quieran utilizar dichos servicios de transferencia para enviar criptomonedas deben protegerse contra los riesgos financieros que plantean las plataformas sin licencia mediante: Verificar aquí si están registrados como MSB en la Red de Ejecución de Delitos Financieros (FinCEN) del Departamento del Tesoro de EE.UU. Desconfíar de los servicios financieros que no solicitan información KYC, incluido el nombre, la fecha de nacimiento, la dirección y el documento de identidad, antes de permitirte enviar o recibir dinero o criptomonedas. Comprender que el hecho de que una aplicación se pueda encontrar en una tienda de aplicaciones no significa necesariamente que sea un servicio legal y que cumpla con los requisitos federales. Evitar el uso de servicios que se publiciten con fines ilegales. Ser cauteloso al utilizar servicios de criptomonedas que se sabe que utilizan los delincuentes para lavar sus fondos. Seguimiento de la eliminación del mezclador de criptomonedas Samourai La advertencia del FBI se produce tras la eliminación recientemente anunciada de Samourai, una plataforma de transferencia de criptomonedas que también proporcionaba un servicio de mezcla de criptomonedas que permitiría el lavado de fondos procedentes de actividades delictivas. Las fuerzas del orden islandesas confiscaron los dominios y servidores web de Samourai (samourai[.]io y samouraiwallet[.]com). Google Play Store también eliminó la aplicación móvil Samourai Wallet para Android (descargada más de 100.000 veces) después de que se le entregara una orden de incautación. El Departamento de Justicia de Estados Unidos también acusó a Keonne Rodríguez y William Lonergan Hill, los fundadores y operadores de la plataforma, por lavar más de 100 millones de dólares de varias empresas criminales a través de los servicios de mezcla de criptomonedas de Samourai y cobrar alrededor de 4,5 millones de dólares en tarifas. Samourai ofrecia un servicio de mezcla de criptomonedas conocido como Whirlpool para ayudar a los usuarios a ocultar el rastro de las transacciones de criptomonedas, además de incorporar un tipo de transacción exclusivo" llamado Ricochet Send que permitía agregar saltos intermedios al enviar criptomonedas de una dirección a otra.Whirlpool se anunciaba como una forma de "disociar matemáticamente la propiedad de las entradas y las salidas en una transacción bitcoin determinada", lo que, según afirmaron, aumenta la privacidad de los usuarios involucrados, protege contra la vigilancia financiera y mejora la fungibilidad de la red Bitcoin."Ricochet se defiende contra las listas negras de bitcoin agregando transacciones señuelo adicionales entre el envío inicial y el destinatario final", según la documentación oficial. "Debería considerar el uso de Ricochet al realizar envíos a intercambios de Bitcoin y a empresas que se sabe que cierran cuentas por razones endebles". Según la acusación sustitutiva, "Desde el inicio del servicio Whirlpool en 2019 o alrededor de esa fecha y del servicio Ricochet en 2017 o alrededor de esa fecha, más de 80.000 BTC (con un valor de más de 2.000 millones de dólares aplicando las tasas de conversión BTC-USD en el momento de cada transacción) ha pasado por estos dos servicios operados por Samourai". "Aunque ofrecían Samourai como un servicio de 'privacidad', los acusados ​​sabían que era un refugio para que los delincuentes se involucraran en el lavado de dinero y la evasión de sanciones a gran escala", dijo el Departamento de Justicia. Fuente: BC

Una nueva campaña de malware aprovechó dos vulnerabilidades Zero-Day en los equipos de red de Cisco Adaptive Security Appliances (ASA) para entregar malware personalizado y facilitar la recopilación encubierta de datos en entornos productivos. Cisco Talos, que denominó la actividad ArcaneDoor, atribuyéndola como obra de un sofisticado actor patrocinado por el estado no documentado previamente y al que rastrea bajo el nombre UAT4356 (también conocido como Storm-1849 de Microsoft). "UAT4356 implementó dos puertas traseras como componentes de esta campaña, 'Line Runner' y 'Line Dancer', que se usaron colectivamente para llevar a cabo acciones maliciosas en el objetivo, que incluyeron modificación de configuración, reconocimiento, captura/exfiltración de tráfico de red y potencialmente movimiento lateral", dijo Talos. CVE-2024-20353 (puntuación CVSS: 8,6): vulnerabilidad de denegación de servicio de servicios web del software Cisco Adaptive Security Appliance y Firepower Threat Defense CVE-2024-20359 (puntuación CVSS: 6,0): vulnerabilidad de ejecución persistente de código local del software Cisco Adaptive Security Appliance y Firepower Threat Defense Si bien la segunda falla permite que un atacante local ejecute código arbitrario con privilegios de nivel root, se requieren privilegios de nivel de administrador para explotarlo. Junto con CVE-2024-20353 y CVE-2024-20359, en pruebas internas se descubrió una falla de inyección de comandos en el mismo dispositivo (CVE-2024-20358, puntuación CVSS: 6,0). La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) agregó las fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que apliquen las correcciones proporcionadas por los proveedores antes del 1 de mayo de 2024. Actualmente se desconoce la vía de acceso inicial exacta utilizada para violar los dispositivos, aunque se dice que UAT4356 comenzó los preparativos para ello ya en julio de 2023. A un punto de apoyo exitoso le sigue el despliegue de dos implantes llamados Line Dancer y Line Runner, el primero de los cuales es una puerta trasera en memoria que permite a los atacantes cargar y ejecutar shellcode arbitrarias, incluida la desactivación de registros del sistema y la extracción de capturas de paquetes. Line Runner, por otro lado, es un implante LUA persistente basado en HTTP instalado en Cisco Adaptive Security Appliance (ASA) aprovechando los Zero-Days mencionados para que pueda sobrevivir a través de reinicios y actualizaciones. Se ha observado que se utiliza para obtener información presentada por Line Dancer. "Se sospecha que Line Runner puede estar presente en un dispositivo comprometido incluso si Line Dancer no lo está (por ejemplo, como una puerta trasera persistente o cuando un ASA afectado aún no ha recibido atención operativa completa por parte de los actores maliciosos)", según un aviso conjunto publicado por agencias de ciberseguridad de Australia, Canadá y el Reino Unido. En cada fase del ataque, se dice que UAT4356 demostró una atención meticulosa para ocultar sus huellas y la capacidad de emplear métodos complejos para evadir el análisis forense en memoria y reducir las posibilidades de detección, lo que contribuye a su sofisticación y naturaleza esquiva. Esto también sugiere que los actores de amenazas tienen una comprensión completa del funcionamiento interno del propio ASA y de las acciones forenses comúnmente realizadas por Cisco para la validación de la integridad de los dispositivos de red. No está claro exactamente qué país está detrás de ArcaneDoor, sin embargo, tanto los delincuentes informáticos respaldados por el estado chino como el ruso han atacado los enrutadores de Cisco con fines de ciberespionaje en el pasado. Cisco Talos tampoco especificó cuántos clientes se vieron comprometidos en estos ataques. El desarrollo destaca una vez más el aumento de los ataques a dispositivos y plataformas perimetrales, como servidores de correo electrónico, firewalls y VPN, que tradicionalmente carecen de soluciones de detección y respuesta de endpoints (EDR), como lo demuestra la reciente serie de ataques dirigidos a Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks y VMware. "Los dispositivos de red perimetral son el punto de intrusión perfecto para campañas centradas en el espionaje", afirmó Talos. Como ruta crítica para que los datos entren y salgan de la red, estos dispositivos deben ser parcheados de manera rutinaria y rápida; usar versiones y configuraciones de hardware y software actualizadas; y ser monitoreados de cerca desde una perspectiva de seguridad. Estos dispositivos permiten a un actor ingresar directamente a una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de la red. Se recomienda observar los IOCs y seguir estos pasos para detectar una posible infección y actualización de Cisco Adaptive Security Appliances (ASA). También se ha publicado una lista de IPs involucradas en estos ataques y que deberían ser buscados en los equipos. Fuente: THN

Los jefes de policía europeos dijeron que la asociación complementaria entre los organismos encargados de hacer cumplir la ley y la industria tecnológica está en riesgo debido al cifrado de extremo a extremo (E2EE). Pidieron a la industria y a los gobiernos que tomaran medidas urgentes para garantizar la seguridad pública en las plataformas de redes sociales. "Las medidas de privacidad que se están implementando actualmente, como el cifrado de extremo a extremo, impedirán que las empresas tecnológicas vean cualquier infracción que se produzca en sus plataformas", dijo Europol. "También detendrá la capacidad de las fuerzas del orden para obtener y utilizar esta evidencia en investigaciones para prevenir y procesar los delitos más graves, como el abuso sexual infantil, la trata de personas, el contrabando de drogas, los homicidios, los delitos económicos y los delitos de terrorismo". La idea de que las protecciones E2EE podrían obstaculizar la aplicación de la ley a menudo se conoce como el problema del "going dark", lo que genera preocupaciones de que crea nuevos obstáculos para recopilar pruebas de actividades ilícitas. El desarrollo se produce en el contexto de que Meta implementará E2EE en Messenger de forma predeterminada para llamadas personales y mensajes personales uno a uno a partir de diciembre de 2023. Desde entonces, la Agencia Nacional contra el Crimen (NCA) del Reino Unido ha criticado las elecciones de diseño de la compañía, que dificultaron la protección de los niños del abuso sexual en línea y socavaron su capacidad para investigar delitos y mantener al público a salvo de amenazas graves. "El cifrado puede ser enormemente beneficioso, protegiendo a los usuarios de una variedad de delitos", afirmó el director general de la NCA, Graeme Biggar. "Pero el despliegue contundente y cada vez más generalizado por parte de las principales empresas tecnológicas del cifrado de extremo a extremo, sin suficiente consideración por la seguridad pública, está poniendo a los usuarios en peligro". La directora ejecutiva de Europol, Catherine de Bolle, señaló que las empresas de tecnología tienen la responsabilidad social de desarrollar un entorno seguro sin obstaculizar la capacidad de las fuerzas del orden para recopilar pruebas. La declaración conjunta también insta a la industria tecnológica a crear productos teniendo en cuenta la ciberseguridad, pero al mismo tiempo proporcionar un mecanismo para identificar y señalar contenido dañino e ilegal. "No aceptamos que sea necesario hacer una elección binaria entre ciberseguridad o privacidad, por un lado, y seguridad pública, por el otro", dijeron las agencias. "Nuestra opinión es que las soluciones técnicas existen; simplemente requieren flexibilidad tanto de la industria como de los gobiernos. Reconocemos que las soluciones serán diferentes para cada capacidad, y también diferirán entre plataformas". Meta, por si sirve de algo, ya se basa en una variedad de señales extraídas de información no cifrada e informes de usuarios para combatir la explotación sexual infantil en WhatsApp. A principios de este mes, el gigante de las redes sociales también dijo que está probando un nuevo conjunto de funciones en Instagram para proteger a los jóvenes de la sextorsión y el abuso de imágenes íntimas mediante el escaneo del lado del cliente. "La protección contra desnudos utiliza el aprendizaje automático en el dispositivo para analizar si una imagen enviada en un DM en Instagram contiene desnudos", dijo Meta. "Debido a que las imágenes se analizan en el propio dispositivo, la protección contra desnudos funcionará en chats cifrados de extremo a extremo, donde Meta no tendrá acceso a estas imágenes, a menos que alguien decida reportarnoslas". Fuente: THN

Después de la alarma con el backdoor introducido en XZ Utils, llega esta vulnerabilidad grave de 24 años de antigüedad en GNU C Library (glibc). La vulnerabilidad afecta desde la versión 2.1.93 hasta las versiones anteriores a la 2.40. Descubierta por el investigador Charles Fol (aka cfreal), consiste en un "Buffer overflow" en la funcion iconv(), utilizada para conversión de caracteres, concretamente con la extensión ISO-2022-CN-EXT para caracteres en chino. Esta vulnerabilidad, identificada como CVE-2024-2961 (CVSS 8.8 por ahora), puede llegar a suponer una ejecución de código remoto (RCE). Además, según el mismo investigador, es posible explotar cualquier aplicación PHP con esta vulnerabilidad ya que hace uso de esta librería en todos los sistemas Linux. Según ha explicado, liberará la PoC de explotación en el congreso OffensiveCON (Alemania) en el mes de mayo. Se recomienda actualizar lo antes posible a la última versión de glibc y seguir atentos a las actualizaciones sobre la vulnerabilidad, ya que no es de extrañar que se descubran explotaciones latentes de la misma o aplicaciones que requieren mitigaciones concretas. Se puede saber la versión de glibc con los siguientes comandos (Debian): ldd --version /lib/x86_64-linux-gnu/libc.so.6 Verificar si se dispone de la versión afectada: iconv -l | grep -E 'CN-?EXT' Si la salida es vacía, está todo correcto y no hay que hacer nada más. En cambio, si dá la siguiente salida hay que tomar acciones: ISO-2022-CN-EXT// ISO2022CNEXT// Se puede actualizar u, opcionalmente, se pueden deshabilitar los caracteres afectados editando el siguiente archivo (Debian): /usr/lib/x86_64-linux-gnu/gconv/gconv-modules-extra.conf Luego de comentar las líneas del archivo gconv-modules-extra.conf, se recomienda limpiar la caché con el comando iconvconfig. Ver referencia I y II. Las principales distribuciones ya han publicado la actualización: Debian, Slackware 15.0. Se espera por la corrección de RedHat 7, 8  y 9 y Fedora. Fuente: OpenWall