Noticias de seguridad

 

Segu-Info - Noticias de Seguridad Informática Segu-Info - Noticias de Seguridad Informática

  • Proyecto OWASP Secure Headers Project
    por [email protected] (SeguInfo) el noviembre 28, 2022 a las 5:01 pm

    El OWASP Secure Headers Project (también llamado OSHP) describe los encabezados de respuesta HTTP que una aplicación web puede usar para aumentar su seguridad. Una vez configurados, estos encabezados de respuesta HTTP pueden impedir que los navegadores modernos se encuentren con vulnerabilidades fácilmente prevenibles. Los encabezados HTTP son bien conocidos y también muy "despreciados". Buscando un equilibrio entre usabilidad y seguridad, los desarrolladores implementan funcionalidades a través de las cabeceras que pueden hacer que las aplicaciones sean más versátiles o seguras. Pero en la práctica, ¿cómo se implementan los encabezados? ¿Qué sitios siguen las mejores prácticas de implementación? ¿Grandes empresas, pequeñas, todas o ninguna? El proyecto OWASP Secure Headers tiene como objetivo proporcionar elementos sobre los siguientes aspectos relacionados con los encabezados de seguridad HTTP: Orientación sobre los encabezados de seguridad HTTP recomendados que se pueden aprovechar. Orientación sobre los encabezados HTTP que deben eliminarse. Herramientas para validar una configuración de encabezado de seguridad HTTP. Bibliotecas de código que se pueden aprovechar para configurar los encabezados de seguridad HTTP recomendados. Estadísticas sobre el uso de los encabezados de seguridad HTTP recomendados. API REST que permite obtener la configuración recomendada para diferentes servidores web. ✅ Activos Strict-Transport-Security X-Frame-Options X-Content-Type-Options Content-Security-Policy X-Permitted-Cross-Domain-Policies Referrer-Policy Clear-Site-Data Cross-Origin-Embedder-Policy Cross-Origin-Opener-Policy Cross-Origin-Resource-Policy Cache-Control Permissions-Policy ❌ Obsoletos Feature-Policy Expect-CT Public-Key-Pins X-XSS-Protection Todas las herramientas proporcionadas por OSHP están reunidas en su repo de GitHub y una presentación del proyecto está disponible en Youtube. Finalmente, OWASP proporciona un conjunto de pruebas mediante la herramienta VENOM para validar la configuración de encabezados de respuesta de seguridad HTTP contra las recomendaciones brindadas. Fuente: OWASP

  • 11 millones de números de teléfono a la venta en foros
    por [email protected] (SeguInfo) el noviembre 28, 2022 a las 12:57 pm

    Un grupo de ciberdelincuentes ha puesto a la venta casi 11 millones de números de teléfono con cuenta de WhatsApp en España a través de foros de hacking para realizar ataques de smishing y vishing. Colombia 17.957.908 México 13.330.561 España 10.894.206 Perú 8.075.317 Brasil 8.064.916 Chile 6.889.083 Bolivia 2.959.209 Argentina 2.347.553 Guatemala 1.645.068 Uruguay 1.509.317 Panama 1.502.310 Costa Rica 1.464.002 Ecuador 310.259 El objetivo consiste en comprar estos números de teléfono y llevar a cabo ciberataques para suplantar la identidad de otros usuarios y cometer fraudes. CyberNews indica que la plataforma de mensajería instantánea habría sido el objetivo de los estafadores, además, uno de los actores maliciosos ha puesto a la venta los números actualizados de casi 487 millones de usuarios en todo el mundo. El pasado 16 de noviembre, el ciberdelincuente publicó un anuncio en el foro BreachForums para poner a la venta una base de datos de 2022 con 487 millones de números de teléfono. CyberNews afirma que 84 países han sido protagonistas de este ataque, como España, República Checa, Gana, Lituania, Ecuador, Hungría, Guatemala, Túnez, Serbia, Chipre, Turquía, Bulgaria, Puerto Rico y Canadá. ¿Son válidos los números de teléfono? Los actores de amenazas no revelaron de qué manera recopilaron los datos, pero afirmaron que todos los números provenían de usuarios activos de WhatsApp y se habrían obtenido a través de procesos de scrapping. Los investigadores pidieron a los actores de amenazas que probaran la calidad de su mercancía con una muestra de datos, para que pudieran verificar si el anuncio decía la verdad. El vendedor presentó una muestra de los datos que contenían, según Cybernews, números de usuario válidos 1.097 del Reino Unido y 817 de EE.UU. El medio de comunicación asegura haber contactado con el vendedor de la base de datos, quien le ha contado que vende la información de Estados Unidos por 7.000 dólares, la de Reino Unido por 2.500 dólares y los de Alemania por 2.000 dólares. Tras preguntarle acerca del origen de esta base de datos, el vendedor no quiso dar detalles sobre el modo en que recopiló los números, aunque podría haberlo hecho mediante la denominada técnica de scrapping y la violación de los términos del servicio de WhatsApp. Por otro lado, WhatsApp considera que la información sobre la filtración no tiene fundamento y entienden que no queda claro de dónde se han obtenido. Fuente: CyberNews

  • Introducción a MITRE ATT&CK versión 12 (2022)
    por [email protected] (SeguInfo) el noviembre 26, 2022 a las 9:30 pm

    Por Josh Darby MacLellan ¿Alguna vez se ha preguntado cómo crear una lista priorizada de actores de amenazas? ¿O identificar qué tácticas y técnicas maliciosas son las más relevantes? ¿O qué controles de seguridad deberían mejorarse primero? La versión 12 del framework de MITRE ATT&CK acaba de ser lanzada y este post de Josh MacLellan lo ayudará a comprender qué es Framework y qué hay de nuevo. ¿Qué es MITRE? MITRE es una organización sin fines de lucro con sede en los EE.UU. que apoya al gobierno federal en el avance de la seguridad nacional al proporcionar una variedad de servicios técnicos, cibernéticos y de ingeniería al gobierno. En 2013, MITRE lanzó un proyecto de investigación para rastrear el comportamiento de los actores de ciberamenazas, desarrollando un marco denominado Adversarial Tactics, Techniques, and Common Knowledge, o en forma abreviada: ATT&CK. ¿Qué es el framework MITRE ATT&CK? MITRE ATT&CK contiene una taxonomía del comportamiento de los actores de amenazas durante el ciclo de vida de un ataque, dividida en 14 tácticas, cada una de las cuales contiene un subconjunto de técnicas y subtécnicas más específicas (que cubren el TT en TTP). El Framework se divide en tres matrices separadas, Enterprise (ataques contra las redes de TI y la nube de la empresa), Mobile (ataques dirigidos a dispositivos móviles) y sistemas de control industrial (ataques dirigidos a ICS). El Marco contiene una gran cantidad de conocimientos basados ​​en observaciones del mundo real. La versión de octubre de 2022 de ATT&CK for Enterprise contiene 193 técnicas, 401 subtécnicas, 135 grupos de actores de amenazas, 14 campañas y 718 piezas de software/malware. Cada técnica se puede explorar para revelar subtécnicas y existe una base de conocimiento completa de MITRE que alimenta las matrices. Esta base de datos contiene una cantidad colosal de información sobre grupos de actores de amenazas, malware, campañas, descripciones de técnicas y subtécnicas, mitigaciones, estrategias de detección, referencias para recursos externos, un sistema de identificación para seguimiento y mucho más. ¿Cómo se puede utilizar MITRE ATT&CK? La forma en que usa MITRE ATT&CK Framework depende en gran medida del equipo y de sus flujos de trabajo. Los equipos de seguridad que a menudo confían en ATT&CK incluyen BLUE Teams, investigadores, respondedores de incidentes, analistas de inteligencia de amenazas cibernéticas; RED Teams, probadores de penetración, PURPLE Teams e ingenieros/evaluadores de herramientas, cada uno con sus propios casos de uso. Caso de uso Nº 1: investigar amenazas y ciclos de vida de ataques MITRE ATT&CK Framework es una herramienta de investigación fenomenal. De un vistazo, aclara las etapas del ciclo de vida de un ataque al dividir el comportamiento del adversario en 14 tácticas. La capacidad de ampliar las subtécnicas y descubrir un tesoro oculto de descripciones y ejemplos hace que la comprensión de los ciberataques sea accesible para todos. Esto beneficia a todos, desde los novatos que buscan aprender sobre los TTP hasta los veteranos curtidos en la batalla que desean actualizar su conocimiento del escenario de ataque (memorizar 401 subtécnicas requeriría una memoria sobrehumana). Si su puerta de enlace de correo electrónico ha puesto en cuarentena varios correos electrónicos maliciosos que contienen malware desconocido, consulte MITRE ATT&CK Framework y, si el malware está allí, descubrirá qué técnicas está asociado con él, con referencia a ejemplos del mundo real. Esto puede ayudarlo a determinar qué es probable que el actor de amenazas esté tratando de lograr. Con solo hacer clic en un botón, puede visualizar esos datos exportándolos a MITRE ATT&CK Navigator, una versión interactiva de MITRE ATT&CK Framework que recomendamos que explore (es gratis). Caso de uso N° 2: seguimiento de actores de amenazas y evaluación de controles El marco MITRE ATT&CK puede mapear las tácticas y técnicas más comunes utilizadas por los actores de amenazas de máxima prioridad. Puede escanear la sección "Grupos" de ATT&CK para obtener una lista de actores de amenazas comunes relevantes para su organización o sector. Luego puede exportar esa información al MITRE ATT&CK Navigator. En Navigator, puede importar varias pestañas, cada una de las cuales contiene un grupo, y superponerlas, exponiendo las técnicas más comunes que utilizan sus principales amenazas (Navigator tiene funciones de puntuación y código de colores). Esto le permite concentrarse en las técnicas más peligrosas a las que se enfrenta su organización, lo que le ayuda a evaluar su cobertura de detección frente a las amenazas más frecuentes. Armado con este conocimiento, ahora tiene datos para reforzar el o implementar nuevos controles de seguridad o herramientas para mejorar sus defensas. Caso de uso Nº 3: mapeo y respuesta a un ataque novedoso ¿Fue objetivo de un atacante con el que nunca has tratado antes? MITRE permite crear una capa personalizada de ATT&CK Framework en Navigator en función de la actividad maliciosa que ha observado en su red. Aquí hay un ejemplo de cómo puede verse: Detectas actividad sospechosa en la red. Se activan las alarmas de indicador de compromiso (IoC), se detectan malware y balizas C2. Investigas la actividad histórica y descubres evidencia de acceso inicial. Su organización recibió correos electrónicos de phishing, los empleados descargaron malware y hay IoC de movimiento lateral en la red. Cree una capa personalizada en MITRE Navigator para una visualización más clara de esta actividad. Esto marca el riesgo de exfiltración de datos como el próximo paso potencial para el atacante. Verifica e implementa métodos de detección y mitigaciones al combinar información de MITRE y sus controles internos. Estos ejemplos solo rascan la superficie de lo que es posible con ATT&CK. Si desea obtener más información, consulte la página de inicio de MITRE. ¿Qué hay de nuevo con la versión 12 de ATT&CK? Ahora que tenemos una base sólida en MITRE ATT&CK Framework, descubramos qué hay de nuevo en la última versión (12), lanzada el 25 de octubre de 2022. Como la mayoría de las versiones anteriores, v12 contiene nuevas técnicas de ataque (por ejemplo, cuentas comprometidas: cuentas en la nube), así como actualizaciones de técnicas, grupos y software existentes en todas las matrices en función de la actividad adversaria observada. A diferencia de otras versiones, v12 agregó detecciones a la matriz ICS (reflejando la matriz Enterprise) e introdujo campañas. MITRE define las campañas "como una agrupación de actividades de intrusión realizadas durante un período de tiempo específico con objetivos y objetivos comunes". Las campañas son útiles para detectar una evolución en los TTP, identificar tendencias en el cambio de tácticas y monitorear la introducción de nuevas técnicas y el uso sostenido de otras. Cada campaña presenta una descripción de la actividad de intrusión (por ejemplo, países y sectores objetivo conocidos), comandos/pasos específicos tomados por los actores (lo que ayuda a identificar oportunidades de detección y mitigación), y se ofrecen en formato de archivo STIX. Hay más para aprender sobre esta interesante función, que puede hacer usando este enlace. Fuente: Feedly

  • Los repositorios de Docker Hub ocultan contenedores maliciosos
    por [email protected] (SeguInfo) el noviembre 25, 2022 a las 11:25 am

    Más de 1.650 imágenes de Docker Hub disponibles públicamente ocultan comportamientos maliciosos, incluidos mineros de criptomonedas, secrets key incrustados que se pueden usar como puertas traseras, secuestradores de DNS y redireccionadores de sitios web. Los investigadores de Sysdig investigaron el problema, trataron de evaluar la escala del problema e informaron sobre las imágenes encontradas que presentan algún tipo de código o mecanismo malicioso. Docker Hub es una biblioteca de contenedores basada en la nube que permite a las personas buscar y descargar libremente imágenes de Docker o cargar sus creaciones en la biblioteca pública o repositorios personales. Las imágenes de Docker son plantillas para la creación rápida y sencilla de contenedores que contienen código y aplicaciones listos para usar. Por lo tanto, aquellos que buscan configurar nuevas instancias a menudo recurren a Docker Hub para encontrar rápidamente una aplicación que se implemente fácilmente. Desafortunadamente, debido al abuso del servicio por parte de los actores de amenazas, las imágenes maliciosas presentan riesgos graves para los usuarios desprevenidos que implementan contenedores alojados localmente o basados en la nube. Muchas imágenes maliciosas usan nombres que las disfrazan como proyectos populares y confiables, por lo que los actores de amenazas claramente las cargaron para engañar a los usuarios para que las descarguen. Además de las imágenes revisadas por Docker Library Project, que se verifica que son confiables, cientos de miles de imágenes con un estado desconocido están alojadas en el servicio. Sysdig usó sus escáneres automatizados para analizar 250.000 imágenes de Linux no verificadas e identificó 1652 de ellas como maliciosas. La categoría más grande fue la de cripto-mineros, que se encuentra en 608 imágenes de contenedores, apuntando a los recursos del servidor para extraer criptomonedas para los delincuentes. La segunda ocurrencia más común (281 casos) fueron las imágenes que ocultaban secretos incrustados. Los secretos incrustados en estas imágenes son claves SSH, credenciales de AWS, tokens de GitHub, tokens de NPM y otros. Muchas imágenes maliciosas descubiertas usaban typosquatting para hacerse pasar por imágenes legítimas y confiables, solo para infectar a los usuarios con criptomineros. Typosquatting también garantiza que los usuarios que escriban mal el nombre de un proyecto popular descarguen una imagen maliciosa, por lo que, si bien esto no produce un gran número de víctimas, garantiza un flujo constante de infecciones. Esta táctica sienta las bases para algunos casos de gran éxito, como los dos ejemplos que se muestran a continuación, que se han descargado casi 17.000 veces. Sysdig dice que en 2022, el 61% de todas las imágenes extraídas de Docker Hub provienen de repositorios públicos, un aumento del 15% con respecto a las estadísticas de 2021, por lo que el riesgo para los usuarios va en aumento. Desafortunadamente, el tamaño de la biblioteca pública de Docker Hub no permite a sus operadores examinar todas las cargas diariamente; por lo tanto, muchas imágenes maliciosas no se denuncian. Fuente: BC

  • Hive afectó 1.300 compañías y recaudó U$S100 millones
    por [email protected] (SeguInfo) el noviembre 24, 2022 a las 2:46 pm

    El FBI, la Agencia de Ciberseguridad Nacional de los Estados Unidos (CISA), y el Departamento de Salud y Servicios Humanos (HSS), lanzaron un informe en conjunto en el que advierten sobre el alcance del ransomware Hive y comparten recomendaciones para que las organizaciones en el mundo puedan protegerse de estos cibercriminales. El informe también revela los vectores más comunes de ataque de Hive así como los IOCs relacionados. Explican que desde sus primeras apariciones, en junio de 2021, hasta ahora, el grupo atacó a más de 1.300 compañías en distintas partes del mundo y recaudó en todo este tiempo más de 100 millones de dólares a partir del pago de las víctimas para recuperar sus archivos y evitar la publicación de la información robada. Hive es un ransomare que opera bajo el modelo de ransomware-as-a-service (RaaS). Esto quiere decir que recluta afiliados que se encargan de distribuir el código maliciosos a cambio de compartir un porcentaje de las ganancias con los desarrolladores del ransomware. En todo este tiempo el ansomware Hive ha sido utilizado en ataques a compañías de diversos industrias y sectores de infraestructuras críticas, que incluye servicios administrados por el gobierno, comunicaciones, manufactura, tecnologías de la información y en particular a entidades del sector de la salud pública. Como ocurre con los ransomware que operan bajo el modelo de RaaS, cada afiliado utiliza sus propias estrategias a la hora de distribuir el ransomware, lo que hace que el método utilizado para lograr acceso inicial no siempre sea el mismo. Dicho esto, la forma más común de lograr acceso a la red víctima es mediante ataques al servicio RDP y a servicios VPN. Además, mediante la explotación de la vulnerabilidad CVE-2020-12812 presente en FortiOS. Además de estos métodos, Hive utiliza correos de phishing para lograr comprometer a sus víctimas. Estos correos suelen incluir archivos adjuntos maliciosos que buscan explotar vulnerabilidades en Microsoft Exchange Server, como son la CVE-2021-31207, la CVE-2021-34473 y la CVE-2021-34523. Las últimas dos recibieron el nombre de ProxyShell y fueron reportadas a comienzos de 2021. Pocos días después del hallazgo estaban siendo aprovechadas por una larga lista de actores maliciosos en campañas maliciosas. Una vez que logra acceso a la máquina de la víctima ejecuta determinados procesos para evitar ser detectado, y antes de comenzar con el cifrado de los archivos deshabilita Windows Defender y otras soluciones de seguridad instaladas desde el sistema de registro. Una vez cifrado los archivos una nota de rescate se crea en el equipo de la víctima. En esta nota los atacantes advierten que para recuperar los archivos la víctima deberá pagar para acceder a un descifrador. Para ello, el grupo proporciona como contacto una dirección de un sitio en la red onion. Una vez que la víctima se contacta los cibercriminales indican el monto que deberán pagar para obtener el descifrador. Estos montos pueden ser desde varios cientos de miles de dólares hasta millones de dólares. Por último, CISA y las demás agencias advierten que se ha observado que algunas organizaciones víctimas, que no han pagado el rescate y han restaurado sus sistemas por sus propios medios, después de un tiempo fueron infectadas nuevamente, ya sea por Hive o por otro ransomware. El ransomware Hive fue uno de los grupos de ransomware (Conti fue el otro) que participó en la ola de ataques que afectaron a varios organismos gubernamentales de Costa Rica. En esta oportunidad el grupo atacó a La Caja Costarricence de Seguro Social (CCSS). Además de Costa Rica, organizaciones de Argentina y de Colombia también fueron víctimas de Hive en lo que va de 2022. Fuente: WeLiveSecurity

WeLiveSecurity News, views, and insight from the ESET security community