Noticias de seguridad informatica

Ultimas noticias destacadas de seguridad informática

Segu-Info - Noticias de Seguridad Informática Segu-Info - Noticias de Seguridad Informática

  • DoJ y Europol interrumpen la operación del ransomware #Hive
    por [email protected] (SeguInfo) el enero 26, 2023 a las 6:01 pm

    El Departamento de Justicia anunció hoy su campaña de interrupción de la red del ransomware Hiveluego de meses de trabajo contra el grupo. Hive que se ha centrado en más de 1.500 víctimas en más de 80 países de todo el mundo, incluidos hospitales, distritos escolares, empresas financieras e infraestructura crítica. Según el informe del Departamento de Justicia [PDF], el FBI infiltró la red Hive frustrando más de U$S 130 millones en demandas de rescate. Desde finales de julio de 2022, el FBI penetró en las redes informáticas de Hive, capturó sus claves de descifrado y las ofreció a las víctimas en todo el mundo, evitando que tuvieran que pagar los 130 millones de dólares exigidos por el rescate. Desde que se infiltró en la red de Hive en julio de 2022, el FBI ha proporcionado más de 300 claves de descifrado a las víctimas de Hive que estaban siendo atacadas. Además, el FBI distribuyó más de 1.000 claves de descifrado adicionales a víctimas anteriores de Hive. La fiscalía de Stuttgart, Alemania, dijo en un comunicado que la operación, bautizada "Dawnbreaker", tuvo su origen en una investigación que sus servicios abrieron tras ataques contra empresas en la región. Europol dice que un total de trece naciones participaron en la Operación Dawnbreaker. Finalmente, el departamento anunció hoy que, en coordinación con las fuerzas del orden alemanas (la Policía Criminal Federal Alemana y la Jefatura de Policía de Reutlingen-CID Esslingen) y la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, ha tomado el control de los servidores y sitios web que Hive utiliza para comunicarse con sus miembros, interrumpiendo la capacidad de Hive para atacar y extorsionar a las víctimas. "Anoche, el Departamento de Justicia desmanteló una red internacional de ransomware responsable de extorsionar e intentar extorsionar a cientos de millones de dólares de víctimas en los Estados Unidos y en todo el mundo", dijo el Fiscal General Merrick B. Garland. "El FBI continuará aprovechando nuestras herramientas de inteligencia y aplicación de la ley, presencia global y asociaciones para contrarrestar a los ciberdelincuentes que se dirigen a empresas y organizaciones estadounidenses". Los ataques de Hive ransomware han causado importantes interrupciones en las operaciones diarias de las víctimas en todo el mundo y han afectado las respuestas a la pandemia de COVID-19. En un caso, un hospital atacado por el ransomware Hive tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y no pudo aceptar nuevos pacientes inmediatamente después del ataque. Hive usaba un modelo de ransomware como servicio (RaaS) con administradores, a veces llamados desarrolladores, y afiliados. RaaS es un modelo basado en suscripción en el que los desarrolladores o administradores desarrollan una variedad de ransomware y crean una interfaz fácil de usar con la que operarlo y luego reclutan afiliados para implementar el ransomware contra las víctimas. Los afiliados identificaron objetivos e implementaron este software malicioso preparado para atacar a las víctimas y luego ganaron un porcentaje de cada pago de rescate exitoso. Los actores de Hive empleaba un modelo de ataque de doble extorsión. Antes de cifrar el sistema de la víctima, el afiliado filtraría o robaría datos confidenciales. Luego, el afiliado buscó un rescate tanto por la clave de descifrado necesaria para descifrar el sistema de la víctima como por la promesa de no publicar los datos robados. Los actores de Hive con frecuencia se enfocaban en los datos más confidenciales en el sistema de una víctima para aumentar la presión para pagar. Después de que una víctima paga, los afiliados y administradores dividen el rescate 80/20. Hive publicaba los datos de las víctimas que no pagan en el sitio de fugas de Hive. Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA), los afiliados de Hive obtuvieron acceso inicial a las redes de las víctimas a través de varios métodos, que incluyen: inicios de sesión de un solo factor a través del Protocolo de escritorio remoto (RDP), redes privadas virtuales (VPN) y otros protocolos de conexión de red remota; explotar las vulnerabilidades de FortiToken; y enviar correos electrónicos de phishing con archivos adjuntos maliciosos. Las víctimas del ransomware Hive deben comunicarse con la oficina local del FBI para obtener más información. Fuente: DoJ

  • KeePass: potencial vulnerabilidad expone claves en texto plano
    por [email protected] (SeguInfo) el enero 26, 2023 a las 1:13 pm

    Los investigadores de seguridad han descubierto una supuesta vulnerabilidad (discutida) que representaría una seria amenaza para los usuarios del popular administrador de contraseñas KeePass. Una falla, identificada como CVE-2023-24055, permitiría a los atacantes obtener contraseñas almacenadas en texto no cifrado. Esto sólo sucede en la configuración por defecto de la herramienta. Con el video exploit de prueba de concepto (PoC) disponible, y en vista de que KeePass es uno de los administradores de contraseñas más populares a nivel mundial, esta falla de seguridad sería un objetivo jugoso para los atacantes. Esta situación es muy discutida por el creador de Keepass debido la Ley Nº 1 de las Diez leyes inmutables de seguridad: "si un actor malicioso puede persuadirte para ejecutar su propio programa en tu computadora, ya no es tu computadora". Como se explica en la investigación de Alex Hernandez y se detalla en un hilo dedicado de SourceForge, la (supuesta) vulnerabilidad en cuestión podría permitir que un atacante con acceso de escritura al archivo de configuración XML obtenga las contraseñas de texto claro agregando un disparador de exportación. El exploit PoC para CVE-2023-24055, un escáner para él y una lista de ejemplos fue publicado en el GitHub de Alex Hernandez. En particular, el proveedor afirma que la base de datos de contraseñas no está diseñada para ser segura contra un atacante que tenga ese nivel de acceso a una PC local. Además, la lista de versiones afectadas de KeePass aún se disputa. Por ahora, se considera que KeePass v2.5x está afectado. Se insta a los usuarios a actualizar a la última versión 2.53 para evitar posibles compromisos. Recomendaciones Mientras se resuelve la discusión, se recomienda desactivar la exportación de claves y los triggers desde la configuración de Keepass. Esta acción se puede realizar modificando el archivo de configuración o desde la pantalla propia de la herramienta.%AppData%\Roaming\KeePass\KeePass.config.xml~/.config/KeePass Más información: Trigger: https://keepass.info/help/kb/trigger_examples.html Discusión en Sourceforge: https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/ KeeThief: https://blog.harmj0y.net/redteaming/keethief-a-case-study-in-attacking-keepass-part-2/ IDs: https://github.com/EmpireProject/Empire/blob/master/data/module_source/collection/vaults/KeePassConfig.ps1 https://nvd.nist.gov/vuln/detail/CVE-2023-24055 https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/ https://sourceforge.net/p/keepass/feature-requests/2773/ https://vimeo.com/703355424 (Keepass PoC by Kevin Mitnick) Fuente: SOCPrime

  • El lado oscuro de #ChatGPT, ¿fuente inagotable de malware?
    por [email protected] (SeguInfo) el enero 25, 2023 a las 9:56 pm

    La Inteligencia Artificial (IA) está zumbando de nuevo gracias al reciente lanzamiento de ChatGPT de OpenAI, un chatbot de lenguaje natural que las personas están utilizando para escribir correos electrónicos, poemas, letras de canciones y ensayos universitarios. Los primeros usuarios incluso lo han utilizado para escribir código Python, así como para crear shellcode y reescribir código en C. ChatGPT ha despertado esperanza entre las personas ansiosas por la llegada de aplicaciones prácticas de IA, pero también plantea la pregunta de si desplazará a los programadores y desarrolladores de la misma manera que los robots y las computadoras han reemplazado a algunos cajeros, trabajadores de la línea de ensamblaje y, quizás en el futuro, taxistas. ChatGPT ha impresionado a mucha gente porque hace un buen trabajo al simular la conversación humana. Desarrollado por OpenAI, el creador del popular motor de IA DALL-E, está impulsado por un gran modelo de lenguaje entrenado en grandes cantidades de texto extraído de Internet, incluidos los repositorios de código. Utiliza algoritmos para analizar el texto y los humanos ajustan el entrenamiento del sistema para responder a las preguntas de los usuarios con oraciones completas que suenan como si hubieran sido escritas por un humano. Con el aprendizaje automático en su núcleo, ChatGPT genera respuestas utilizando una gran colección de datos de 2021 y anteriores. Como el desarrollador, OpenAI, ha indicado que si bien ChatGPT es una herramienta en línea, en realidad no tiene acceso a Internet y, por lo tanto, no puede consultar ni leer nada en línea, lo que hace que no pueda proporcionar respuestas actualizadas. En cambio, cuando se le solicita código fuente, ChatGPT genera código modificado o inferido basado en los parámetros establecidos en lugar de simplemente reproducir ejemplos que haya aprendido o visto previamente. Hay que tener en cuenta que, aunque ChatGPT intentará responder cualquier cosa, tiene filtros de contenido incorporados que le impiden responder preguntas sobre temas que podrían ser problemáticos, como la inyección de código, por ejemplo, ¿o sí? La mayoría de las veces, los ChatBots tienen puntos ciegos, que permitirían evitar los filtros. "Las impresionantes características de ChatGPT ofrecen ejemplos de código intuitivos y sofisticados, que son increíblemente beneficiosos para cualquier persona en el negocio del software", escribieron los investigadores de CyberArk Eran Shimony y Omer Tsarfati esta semana en una publicación de blog que aparentemente fue escrita por AI. "Sin embargo, encontramos que su capacidad para escribir malware sofisticado también es bastante avanzada". Si bien los filtros de contenido incorporados de ChatGPT están destinados a evitar que ayude a crear malware, los investigadores pudieron evitar rápidamente esos filtros repitiendo y reformulando sus solicitudes, y cuando usaron la API en lugar de la versión web, ningún filtro de contenido fue utilizado en absoluto. Los investigadores sugieren que la API de ChatGPT podría aprovecharse dentro del propio malware, entregando módulos para realizar diferentes acciones según sea necesario. "Esto da como resultado malware polimórfico que no exhibe un comportamiento malicioso mientras está almacenado en el disco y, a menudo, no contiene lógica sospechosa mientras está en memoria", escribieron. ¿Cómo responder a la amenaza ChatGPT? El CISO de Inversion6, Jack Nicholson, dijo a eSecurity Planet que las organizaciones deben tomar medidas proactivas para mitigar la amenaza potencial del uso malicioso de los modelos de IA. "Esto incluye invertir en investigación y desarrollo de seguridad, configuración de seguridad adecuada y pruebas regulares, e implementar sistemas de monitoreo para detectar y prevenir el uso malicioso", dijo. La aparición de la codificación asistida por IA, dijo Nichelson , es una nueva realidad que las empresas tienen que aceptar y responder. "La capacidad de reducir o incluso automatizar el proceso de desarrollo utilizando IA es un arma de doble filo, y es importante que las organizaciones se mantengan a la vanguardia invirtiendo en investigación y desarrollo de seguridad", dijo. También es importante tener en cuenta, agregó, que ChatGPT no es el único modelo de lenguaje de IA que presenta esta amenaza potencial: otros, como GPT-3, podrían hacer lo mismo. "Por lo tanto, es importante que las organizaciones se mantengan informadas sobre los últimos avances en IA y sus riesgos potenciales", dijo Nichelson. Fuentes: eSecurity Planet | DevOps | CyberArk | DeepInstinctTraducción y colaboración de Diego M. Romero

  • Parches para vulnerabilidad Zero‑Day en iPhone 5s, 6 y 6 Plus
    por [email protected] (SeguInfo) el enero 25, 2023 a las 7:57 pm

    Esta semana Apple lanzó una actualización de seguridad que contiene parches para varios productos, pero se destaca un parche que corrige una vulnerabilidad zero-day en iPhone 5s, 6, y 6 Plus, y en iPad Air, mini 2, mini 3, y iPod touch (6ta generación). Apple explicó que está al tanto de los reportes que indican que esta vulnerabilidad está siendo aprovechada de forma activa por cibercriminales. Se trata de la CVE-2022-42856, una vulnerabilidad del tipo type confusion en el motor de navegador Webkit. El fallo había recibido un parche en diciembre pero para las versiones más nuevas de dispositivos Apple. Sin embargo, la compañía incluyó en esta actualización de enero un parche para versiones más antiguas. Además, en la actualización de diciembre el parche fue incluido para dispositivos macOS y tvOS. El fallo puede ser aprovechado por un atacante mediante sitios web maliciosos especialmente diseñados y lograr la ejecución remota de código en dispositivos sin el parche. Vale la pena recordar que la ejecución de código arbitrario puede permitir a un actor malicioso realizar distintas acciones maliciosas, como ejecutar comandos, lo cual podría llevar al compromiso de credenciales o la descarga de malware en los sistemas comprometidos. En 2022 Apple corrigió 10 vulnerabilidades zero-day. Es oportuno mencionar que durante 2022 Apple corrigió un total de 10 vulnerabilidades zero-day. Es decir, fallos que han estado siendo aprovechados por actores maliciosos antes de ser reportados y debidamente corregidos. El interés de los cibercriminales por atacar a usuarios de dispositivos Apple es claro. Como el volumen de personas que utilizan Windows y Android es superior al de Mac y iPhone, esto puede generar la falsa sensación de seguridad porque hay menos actividad maliciosa orientada a las tecnologías de Apple, pero la realidad es que nadie está exento de ser víctima de un ataque de malware. Fuente: WeLiveSecurity

  • Brecha de seguridad en Mailchimp permite robo de datos (sí, de nuevo)
    por [email protected] (SeguInfo) el enero 24, 2023 a las 1:09 pm

    El popular servicio de marketing por correo electrónico y boletines Mailchimp ha revelado otra brecha de seguridad que permitió a los actores de amenazas acceder a una herramienta interna de soporte y administración de cuentas para obtener información sobre 133 clientes. "El actor no autorizado realizó un ataque de ingeniería social contra los empleados y contratistas de Mailchimp y obtuvo acceso a cuentas seleccionadas de Mailchimp utilizando las credenciales de los empleados comprometidas en ese ataque", dijo la empresa propiedad de Intuit en un comunicado. El desarrollo fue informado por primera vez por TechCrunch. Mailchimp dijo que identificó el lapso el 11 de enero de 2023 y señaló que no hay evidencia de que la parte no autorizada haya violado los sistemas Intuit u otra información del cliente más allá de las 133 cuentas. Dijo además que los contactos principales de todas las cuentas afectadas fueron notificados dentro de las 24 horas, y que desde entonces ha ayudado a esos usuarios a recuperar el acceso a sus cuentas. Sin embargo, la empresa con sede en Atlanta no reveló el tiempo que el intruso permaneció en sus sistemas ni los tipos exactos de información a los que accedió. Pero WooCommerce, que es una de las cuentas violadas, dijo que el incidente expuso los nombres de los usuarios, las URL de las tiendas, las direcciones y las direcciones de correo electrónico, pero no sus datos de pago, contraseñas u otra información confidencial. El gigante de la nube DigitalOcean también confirmó que su cuenta se vio comprometida en el incidente y criticó duramente el manejo de la violación por parte de Mailchimp. Solo en el último año, Mailchimp ha sido víctima de dos infracciones diferentes, la primera de las cuales involucró a un actor malintencionado que obtuvo acceso no autorizado a 319 cuentas de clientes en abril de 2022 con el objetivo de llevar a cabo estafas de phishing criptográfico. Luego, en agosto de 2022, cayó en otro elaborado ataque de ingeniería social orquestado por un grupo llamado 0ktapus (también conocido como Scatter Swine) que resultó en el compromiso de 216 cuentas de clientes. Fuente: THN

WeLiveSecurity News, views, and insight from the ESET security community