Noticias de seguridad

 

Segu-Info - Ciberseguridad desde 2000 Noticias de Ciberseguridad desde Segu-Info

  • NIS2, fin a la impunidad: la alta dirección es responsable de las brechas de seguridad
    por SeguInfo el diciembre 5, 2024 a las 11:48 am

    La nueva normativa europea NIS2 refuerza las obligaciones de las empresas frente a los ciberataques y responsabiliza a los directivos de las consecuencias de los ciberataques. Este ha sido el abecé de cada brecha de seguridad en la última década: Aparece la noticia en los medios de comunicación: otra gran empresa cae víctima de un ciberataque; se ha producido un robo de información personal de sus clientes; en unas horas llega un correo electrónico: es la compañía cumpliendo su "obligación legal de informar" a los afectados; la empresa aprovecha para pedir disculpas y reafirmar su "compromiso" con la seguridad de sus datos; ¿Y qué pasa después? NADA, todo sigue igualy vuelta a empezar. En lo que respecta a los afectados por la brecha, la responsabilidad de la empresa no iba más allá. Ni siquiera en agujeros graves, que obliga miles de clientes de varios países a anular de inmediato sus tarjetas de crédito o ver comprometidos sus datos personales de salud para siempre en Internet. A los afectados solo les quedaba esperar a los más que probables intentos de estafa basados en su información personal, confiando en recordar que esa persona que llama podría no ser su agente bancario o su clínica sino un ciberdelincuente que conoce todos sus datos. No había más que decir, al menos hasta ahora. Dos nuevas normas europeas han entrado en juego para modernizar la preparación y respuesta ante ciberataques y uno de sus puntos clave es que apuntan directamente a la alta dirección de las empresas a la hora de asumir responsabilidades por las brechas de seguridad. En otras palabras, prohíbe a sus altos ejecutivos escurrir el bulto de la ciberseguridad hacia los cargos técnicos de la compañía. "El problema es que, aunque sobre el papel sí que existía una responsabilidad, en la práctica nunca aparecía de forma clara", explica Marta Trabado, especialista en cumplimiento normativo de la firma española de ciberseguridad A3Sec. "Ahora de lo que se trata es que la responsabilidad recaiga directamente en la dirección en caso de un ciberataque, porque es la que debe establecer las estrategias de prevención y supervisarlas. Por tanto, pueden tener responsabilidad incluso penal sobre las consecuencias de ese incidente", asevera. Ahora, la alta dirección puede tener responsabilidad penal sobre las consecuencias de un incidente de ciberseguridad. Aunque la importancia de la ciberseguridad ha sido incluida en varias nuevas regulaciones europeas, la Directiva NIS2 (análisis) refleja la posibilidad de que la alta dirección es la responsable final. Esta crea dos categorías de empresas, las "esenciales" y las "importantes", con diferentes grados de supervisión por parte de los reguladores. Las empresas etiquetadas como "esenciales" son aquellas que ofrecen servicios o infraestructuras cruciales para el buen funcionamiento de la sociedad y la economía. Las energéticas, las de transporte (aerolíneas, trenes, logística, etc.), salud (también farmacéuticas), agua, banca y telecomunicaciones (tanto de servicios digitales como telecos) entran en esta categoría y las autoridades podrán supervisar sus medidas de seguridad tanto antes de que se produzca un ciberataque como después de haberlo sufrido. La directiva hace especial hincapié en que "cualquier persona física responsable de una entidad esencial o que actúe como representante de ella deberán considerarse responsables del cumplimiento de estas normas". Las "importantes" son las fábricas, como las de productos químicos, equipos médicos o electrónicos, las de alimentación y grandes distribuidores, los servicios postales y de mensajería y las que investigan nuevas tecnologías. Sus obligaciones de ciberseguridad son similares, pero con menos énfasis en supervisión constante, y las autoridades podrán pedirles cuentas tras sufrir una brecha. Esta capa de supervisión se añadirá a la que ya corresponde a la Agencia Española de Protección de Datos y el RGPD, los cuales pueden imponer multas si detecta que las empresas no han implementado salvaguardas adecuadas frente a los riesgos de un ciberataque. El problema, en este caso, es que España aún no ha definido cómo llevará a cabo esta nueva vigilancia más centrada en el resto de factores de la seguridad informática. En resumen, la llegada de la NIS2 marca un punto de inflexión en la forma en que las empresas deben abordar la ciberseguridad. Ya no bastará con enviar un correo de disculpas tras un ciberataque y seguir adelante; la alta dirección tendrá que asumir una responsabilidad activa y directa, tanto en la prevención como en la respuesta a estos incidentes. Fuente: El Diario | INCIBE

  • Confiscan el servicio de chat cifrado Matrix después de espiar a criminales
    por SeguInfo el diciembre 4, 2024 a las 2:06 pm

    Una operación policial internacional denominada "Operación Passionflower" ha cerrado MATRIX, una plataforma de mensajería cifrada utilizada por ciberdelincuentes para coordinar actividades ilegales mientras evaden a la policía. NO CONFUNDIR: MATRIX es una entidad diferente del protocolo de comunicaciones seguro, descentralizado (matrix.org), de código abierto y en tiempo real con el mismo nombre, cuyo uso es perfectamente legal. La operación se llevó a cabo en toda Europa, incluidos Francia, los Países Bajos, Italia, Lituania, España y Alemania, y fue coordinada por Europol y Eurojust. La policía rastreó a MATRIX después de recuperar el teléfono de un tirador que intentó asesinar al periodista Peter R. de Vries en julio de 2021. Después de analizar el teléfono, descubrieron que estaba personalizado para conectarse a un servicio de mensajería cifrada llamado Matrix. Un equipo de investigación conjunto (JIT) entre las autoridades holandesas y francesas permitió a la policía monitorear e interceptar 2,3 millones de mensajes en 33 idiomas diferentes enviados a través de los dispositivos. Sin embargo, no se proporcionaron detalles técnicos sobre cómo podrían hacerlo. "Durante tres meses, las autoridades pudieron controlar los mensajes de posibles delincuentes, que ahora se utilizarán para apoyar otras investigaciones", se lee en un comunicado de Europol. "Durante una operación coordinada con el apoyo de Eurojust y Europol, el servicio de mensajería fue desconectado por las autoridades holandesas y francesas y las acciones de seguimiento fueron ejecutadas por sus homólogos italianos, lituanos y españoles". Los 40 servidores de MATRIX repartidos por toda Europa facilitaron las comunicaciones de al menos 8.000 cuentas de usuarios, que pagaron entre 1.350 y 1.700 dólares en criptomonedas por un dispositivo basado en Google Pixel y una suscripción de seis meses al servicio instalado en el teléfono. MATRIX también se vendió bajo los nombres 'Mactrix', 'Totalsec', 'X-quantum' y 'Q-safe', pero todos utilizaban la misma infraestructura. MATRIX también ofrecía la posibilidad de realizar videollamadas cifradas, realizar un seguimiento de las transacciones y navegar por Internet de forma anónima. Las fuerzas de seguridad llevaron a cabo redadas y registros simultáneos en cuatro países, lo que dio como resultado el cierre de 40 servidores en Francia y Alemania y el arresto de cinco sospechosos en España y Francia. Se sospecha que uno de los arrestados, un lituano de 52 años, es el propietario y operador principal de MATRIX. Las autoridades también han incautado 970 teléfonos encriptados, 145.000 euros (152.500 dólares) en efectivo, 500.000 euros (525.000 dólares) en criptomonedas y cuatro vehículos. El cartel de incautación publicado en el sitio web de MATRIX advierte a los usuarios del servicio que sus comunicaciones han sido expuestas y que la investigación continuará. En un comunicado independiente, la policía holandesa señaló que todos los usuarios de MATRIX que eligieron el servicio por su privacidad y anonimato y no se involucraron en actividades delictivas deben enviar un correo electrónico a [email protected] para solicitar una exención de las investigaciones. El desmantelamiento de MATRIX se produce a pesar de la sofisticación técnica de sus operadores y la creencia de que era superior a los servicios telefónicos encriptados desmantelados anteriormente. Sin embargo, operaciones policiales anteriores que desmantelaron servicios telefónicos encriptados similares, como Ghost, EncroChat, Exclu y Sky ECC, muestran que una vez que las fuerzas del orden conocen su infraestructura, pueden reunir evidencia significativa de actos delictivos al monitorear los mensajes interceptados o a través de servidores confiscados. Esta evidencia ha llevado al arresto de miles de traficantes de drogas, traficantes de armas, delincuentes organizados, asesinos y blanqueadores de dinero. Fuente: BC

  • Ransomware FOG activo en América Latina 🫣
    por SeguInfo el diciembre 3, 2024 a las 10:23 pm

    El ransomware Fog surgió en abril de 2024 con operaciones dirigidas a sistemas Windows y Linux. Fog es una operación de extorsión de múltiples frentes que aprovecha un Dedicated Leak Sites (DLS). basado en TOR para enumerar a las víctimas y alojar datos de quienes se niegan a cumplir con sus demandas de rescate. Nos referimos a Fog como una variante de ransomware en lugar de un grupo para distinguir entre las entidades responsables de crear el software de cifrado y las que realizan los ataques prácticos contra las víctimas. Esta es una distinción fundamental porque los grupos de ransomware a veces proyectan una imagen de ser un grupo singular cuando, de hecho, están compuestos por grupos afiliados independientes. En este momento, se desconoce la estructura organizativa del grupo o grupos responsables de llevar a cabo ataques que implementan el ransomware Fog. Los ataques del ransomware Fog se han centrado principalmente en los sectores de la educación, el ocio, los viajes y la fabricación y, en Argentina a sectores farmacéutico y médico. Los ataques se dirigían principalmente a entidades de los Estados Unidos, aunque no hay duda que también han afectado a entidades fuera de los Estados Unidos y en América Latina. ¿Cómo funciona el ransomware Fog? Los actores de amenazas Fog dependen en gran medida de la explotación de aplicaciones conocidas y vulnerables. Los operadores generalmente logran el acceso inicial mediante la compra de credenciales comprometidas de un Agente de Acceso Inicial (IAB). Los operadores aprovecharán cuentas comprometidas y/o compradas en el mercado negro para establecer un punto de apoyo en el entorno y luego se mueven lateralmente de manera metódica. Existen variantes del ransomware Fog para plataformas Windows y Linux. Las variantes con sabor a Linux incluyen objetivos específicos ajustados para entornos virtuales (por ejemplo, archivos VMSD y VMDK). Las cargas útiles Fog también intentarán terminar varios procesos asociados con estos entornos virtualizados. Al realizar el cifrado, se añaden las extensiones ".fog", ".Fog" o ".FLOCKED" a los archivos afectados. Las variantes de Fog para Windows intentan eliminar las instantáneas de volumen a través de vssadmin.exe. Además, las versiones de Fog para Windows incluyen una sección de configuración basada en JSON. Los operadores pueden personalizar la extensión adjunta a los archivos cifrados junto con la configuración del nombre de la nota de rescate, la terminación del proceso o servicio y la clave pública RSA que se incorporará para el uso del cifrado. Las notas de rescate de Fog se escriben en cada ubicación que contiene archivos cifrados como "readme.txt". La nota indica a las víctimas que se comuniquen con los atacantes a través de su portal de víctimas basado en TOR. Acceso a las redes comprometidas y robo de datos La evidencia forense indica que los actores de amenazas pudieron acceder a los entornos de las víctimas aprovechando las credenciales de VPN comprometidas. En particular, el acceso remoto se produjo a través de dos proveedores de puerta de enlace de VPN independientes. En uno de los casos, se observó actividad de pass-the-hash contra cuentas de administrador que luego se usaron para establecer conexiones RDP a servidores Windows que ejecutaban Hyper-V y Veeam. En otro caso, se observó evidencia de robo de credenciales, que se pensó que facilitaba el movimiento lateral en todo el entorno. En todos los casos, PsExec se implementó en varios hosts y se utilizó RDP/SMB para acceder a los hosts objetivo. En los servidores Windows con los que interactuaron los actores de amenazas, los actores de amenazas deshabilitaron Windows Defender. Se observó que los actores de amenazas cifraban archivos VMDK en el almacenamiento de máquinas virtuales y eliminaban copias de seguridad del almacenamiento de objetos en Veeam. En muchos casos de ransomware Fog investigados, se observó que los dispositivos establecían conexiones regulares con la herramienta de acceso remoto AnyDesk. Esto se ejemplificó mediante una comunicación constante con el punto final "download[.]anydesk[.]com". En otros casos, se identificó el uso de otra herramienta de administración remota, concretamente SplashTop, en los servidores de los clientes. Reconocimiento interno En las infecciones se observa que los dispositivos afectados realizan una cantidad inusual de conexiones internas fallidas a otras ubicaciones internas a través de puertos como 80 (HTTP), 3389 (RDP), 139 (NetBIOS) y 445 (SMB). Este patrón de actividad indicaba claramente un comportamiento de escaneo de reconocimiento dentro de las redes afectadas. Una investigación más a fondo de estas conexiones HTTP reveló casos comúnmente asociados con el uso de la herramienta Nmap. Al mismo tiempo, se observó que algunos dispositivos realizaban acciones SMB dirigidas al recurso compartido IPC$. Dicha actividad se alinea con las tácticas de enumeración SMB típicas, mediante las cuales los atacantes consultan la lista de servicios que se ejecutan en un host remoto utilizando una sesión NULL, un método que se emplea a menudo para recopilar información sobre recursos de red y vulnerabilidades. Movimiento lateral Mientras los atacantes intentan moverse lateralmente a través de las redes afectadas, se observa una actividad RDP sospechosa entre los dispositivos infectados. Se establecieron múltiples conexiones RDP con nuevos clientes, utilizando los dispositivos como pivotes para propagarse más profundamente en las redes. Después de esto, los dispositivos en múltiples redes exhibieron un alto volumen de actividad de lectura y escritura SMB, con nombres de archivos de unidades compartidas internas con la extensión ".flocked" (o similar), una clara señal de cifrado de ransomware. Casi al mismo tiempo, se detectaron múltiples archivos "readme.txt" distribuidos en las redes afectadas, que luego se identificaron como notas de rescate. Exfiltración de datos En uno de los casos del ransomware Fog, se observó una posible exfiltración de datos que implicaba la transferencia de archivos internos a un punto final inusual asociado con el servicio de almacenamiento de archivos MEGA. Este intento de exfiltración sugiere el uso de tácticas de doble extorsión, donde los actores de amenazas no solo cifran los datos de la víctima, sino que también los exfiltran para amenazar con exponerlos públicamente a menos que se pague un rescate. Esto a menudo aumenta la presión sobre las organizaciones, ya que enfrentan el riesgo de pérdida de datos y daño a la reputación causado por la divulgación de información confidencial. Fuente: Artic Wolf | Dark Trace

  • Veeam advierte sobre un error crítico de RCE en la consola del proveedor de servicios
    por SeguInfo el diciembre 3, 2024 a las 6:19 pm

    Veeam lanzó hoy actualizaciones de seguridad para solucionar dos vulnerabilidades de Service Provider Console (VSPC), incluida una ejecución de código remoto (RCE) crítica descubierta durante una prueba interna. VSPC, descrita por la empresa como una plataforma BaaS (Backend como Servicio) y DRaaS (Recuperación ante Desastres como Servicio) administrada de forma remota, es utilizada por los proveedores de servicios para monitorear el estado y la seguridad de las copias de seguridad de los clientes, así como para administrar sus cargas de trabajo virtuales, de Microsoft 365 y de nube pública protegidas por Veeam. La primera falla de seguridad corregida hoy (identificada como CVE-2024-42448 y calificada con una puntuación de gravedad de 9,9/10) permite a los atacantes ejecutar código arbitrario en servidores sin parches desde la máquina del agente de administración de VSPC. Veeam también ha reparado una vulnerabilidad de alta gravedad (CVE-2024-42449) que puede permitir a los atacantes robar el hash NTLM de la cuenta de servicio del servidor VSPC y utilizar el acceso obtenido para eliminar archivos en el servidor VSPC. Sin embargo, como explicó la empresa en un aviso de seguridad publicado hoy, estas dos vulnerabilidades solo se pueden explotar con éxito si el agente de administración está autorizado en el servidor de destino. Las fallas afectan a VPSC 8.1.0.21377 y todas las versiones anteriores, incluidas las compilaciones 8 y 7, pero las versiones de productos no compatibles también se ven afectadas y "deberían considerarse vulnerables", aunque no se hayan probado. "Alentamos a los proveedores de servicios que utilizan versiones compatibles de Veeam Service Provider Console (versiones 7 y 8) a que actualicen al último parche acumulativo", dijo Veeam. "Se recomienda encarecidamente a los proveedores de servicios que utilizan versiones no compatibles que actualicen a la última versión de Veeam Service Provider Console". La reciente explotación de vulnerabilidades de Veeam ha demostrado que es crucial aplicar parches a los servidores vulnerables lo antes posible para bloquear posibles ataques. Como revelaron los responsables de la respuesta a incidentes de Sophos X-Ops el mes pasado, una falla de RCE (CVE-2024-40711) en el software de Backup & Replication (VBR) de Veeam, divulgada en septiembre, ahora se está explotando para implementar el ransomware Frag. La misma vulnerabilidad también se utiliza para obtener ejecución remota de código en servidores VBR vulnerables en ataques de ransomware Akira y Fog. Fuente: BC

  • Campaña de correo con "archivos dañados de Word" utiliza #Quishing para engañar al usuario
    por SeguInfo el diciembre 2, 2024 a las 4:30 pm

    Los actores de amenazas buscan constantemente nuevas formas de eludir el software de seguridad de correo electrónico y hacer que sus correos electrónicos de phishing lleguen a las bandejas de entrada de los objetivos. La nueva campaña de phishing descubierta por la empresa de búsqueda de malware Any.Run utiliza documentos de Word dañados intencionalmente como archivos adjuntos en correos electrónicos que simulan ser de departamentos de nóminas y recursos humanos. Estos archivos adjuntos utilizan una amplia gama de temas, todos relacionados con los beneficios y bonificaciones de los empleados. El "daño" permite eludir el software de seguridad debido a su estado dañado, pero aún así ser recuperables por la aplicación. Todos los documentos de esta campaña incluyen la cadena codificada en base64 "IyNURVhUTlVNUkFORE9NNDUjIw", que se decodifica como "##TEXTNUMRANDOM45##". Al abrir los archivos adjuntos, Word detectará que el archivo está dañado y dirá que "encontró contenido ilegible" en el archivo, preguntándole si desea recuperarlo. Al escanear el código QR, el usuario será llevado a un sitio de phishing que simula ser un inicio de sesión de Microsoft e intenta robar las credenciales del usuario. Si bien el objetivo final de este ataque de phishing no es nada nuevo, el uso de documentos de Word corruptos es una táctica novedosa que se utiliza para evadir la detección. "Aunque estos archivos funcionan correctamente dentro del sistema operativo, la mayoría de las soluciones de seguridad no los detectan debido a que no se aplican los procedimientos adecuados para sus tipos de archivos", explica Any.Run. De los archivos adjuntos compartidos con BleepingComputer y utilizados en esta campaña, casi todos tienen cero detecciones [1, 2, 3, 4] en VirusTotal, y solo algunos [1] fueron detectados por 2 proveedores. Al mismo tiempo, esto también podría deberse a que no se ha añadido ningún código malicioso a los documentos, sino que simplemente muestran un código QR. Si recibe un correo electrónico de un remitente desconocido, especialmente si contiene archivos adjuntos, debe eliminarlo inmediatamente o confirmarlo con un administrador de red antes de abrirlo. Fuente: BC

WeLiveSecurity WeLiveSecurity