Ciberseguridad

82293_desktop_1b15085a1568b3c9ee2e1245025b0481_photo.jpg

Más de 12 mil estudiantes fueron afectados por violación de datos

La ciberdelicuencia sube constantemente de nivel con el paso del tiempo. Esto ha ocasionado que todas las empresas encargadas en ciberseguridad estén cada vez más alerta de posibles actos delictivos digitales. Sin embargo, estas no siempre consiguen evitar que ciertos hackers se salgan con la suya y terminen llevando a cabo sus planes afectando a decenas, centenas y miles de personas en todo el mundo. Y es que no es posible detenerlos a todos. Un ejemplo de esto ocurrió en una prestigiosa universidad donde más de 12 mil estudiantes fueron afectados por violación de datos. En el siguiente post te contamos como sucedió.

Violación de datos afecta a más de 12,000 estudiantes

La Universidad de Lancaster, que  actualmente ofrece un título en seguridad acreditado por el GCHQ, ha sido golpeada por un súper ataque de phishing, uno realmente sofisticado y malicioso, o al menos con el suficiente nivel para provocar la filtración de alrededor de 12,500 datos personales de estudiantes aspirantes. Todo esto se dio al descubierto en un comunicado publicado hace unos días, en donde la universidad admitió que se había accedido a los registros de postulantes de pregrado para los años 2019 y 2020, junto con los datos de algunos estudiantes actuales.

La información a la que accedieron estos piratas informáticos (de los cuales hasta el momento no se sabe nada) incluye nombres, direcciones, números de teléfono y direcciones de correo electrónico. La universidad también mencionó que incluso hubo facturas fraudulentas que se habían enviado a algunos solicitantes universitarios.

Lancaster aceptó a 3,585 solicitantes de cupos para estudiantes en el año educativo 2018. En los últimos cinco años, el número de personas aceptadas en los cursos aumentó alrededor de 100 a 200 personas por año, lo que significa que es probable que la última violación de datos haya afectado a alrededor de 3700 postulantes. De los 3,585 estudiantes aceptados por Lancaster el año pasado, 375 eran de otros países de la UE y 575 eran de naciones no pertenecientes a la UE.

Las estadísticas adicionales compiladas por UCAS muestran que 12,545 personas se presentaron a Lancaster solo en 2018, y el número se mantuvo aproximadamente estable durante los tres años anteriores. Sobre esa base, la reciente violación de datos puede haber afectado a unos 12.500 solicitantes.

Lancaster que ofrece una maestría en seguridad cibernética, acreditada por nada menos que GCHQ confía que la intrusión no fue causada por los estudiantes que pusieron a prueba sus habilidades recién aprendidas. Sin embargo, la universidad no respondió a las preguntas sobre cuántas personas se vieron afectadas, alegando que una investigación policial significa que está sujeta a algún tipo de código de oferta. Esta estrategia de «culpar a los policías» es relativamente común para desviar las malas relaciones públicas y tratar de minimizar el impacto de una violación de datos.

El daño está hecho, y de los culpables no se sabe nada, por lo que es muy posible que este delito quede impune. Solo queda esperar que no haya consecuencias negativas para ninguno de los estudiantes afectados.

leer más
Diarleth G.Más de 12 mil estudiantes fueron afectados por violación de datos
1-1.jpg

Cómo se burlan los piratas informáticos de la seguridad cibernética en Bulgaria

Hoy día nos preocupamos por la seguridad informática más que antes. Y es que al mismo ritmo en el que avanza la tecnología, así lo hacen también los delincuentes cibernéticos. De hecho, ahora mismo Bulgaria está sufriendo de graves problemas de hackeos, tanto así que se han convertido en una especie de chiste para los hackers. Actualmente dos de cada tres búlgaros son víctimas de estos ladrones digitales.

Bulgaria está sufriendo de uno de los ataques cibernéticos más fuertes de su historia, pero eso no es algo que le esté ocurriendo a las grandes empresas sino a los ciudadanos comunes y corrientes, pues los hackers han estado robando información personal de dos de cada tres búlgaros, todo esto mientras se ríen de la ciberseguridad de ese país.

Hasta ahora un grupo de hackers rusos han robado los datos personales de al menos cinco millones de personas de la Agencia de Recaudación de Bulgaria, en una posible venganza por la compra de varios aviones F-16 aviones de combate. Ante esto, Boyko Borissov, el primer ministro búlgaro, convocó una reunión de emergencia luego de que el ataque cibernético saliera a la luz y examinó la magnitud del daño con la policía búlgara.

Según el ministro de finanzas, Vladislav Goranov, los enlaces de descarga de los datos personales robados de alrededor de cinco millones de personas, habían sido enviados por correo electrónico a varios periódicos locales. Aunque ciertamente de esta declaración solo se logró confirmar que fue solo el 71 por ciento de la totalidad de las personas afectadas.

La filtración, que es la más grande en la historia del país balcánico, contiene nombres, datos personales y los ingresos financieros de individuos y empresas. Goranov dijo que el gobierno ha solicitado ayuda a la agencia de seguridad cibernética de la Unión Europea. Hablando al canal bTV, el ministro del Interior, Mladen Marinov, dijo que el ataque coincidió con la compra de aviones de combate F-16 de los Estados Unidos por parte de Bulgaria para su fuerza aérea y que eso podría haber sido el principal motivante.

El ministro de finanzas, sin embargo, rechazó un posible vínculo con la compra de los aviones, diciendo que el ataque cibernético había ocurrido antes de que se aprobara el acuerdo. Los medios búlgaros, que recibieron un correo electrónico de los piratas informáticos, dijeron que venía del proveedor de correo ruso Yandex.

El correo electrónico también solicitó la liberación del fundador de WikiLeaks, Julian Assange, quien cumple una condena de 50 semanas por no pagar una fianza en Gran Bretaña y también enfrenta una solicitud de extradición por parte de Estados Unidos por cargos de espionaje. Los medios búlgaros citaron el correo electrónico de los hackers criticando al gobierno búlgaro y diciendo que «el estado de su ciberseguridad es un total chiste».

leer más
Diarleth G.Cómo se burlan los piratas informáticos de la seguridad cibernética en Bulgaria
ghostdns.png

Brasil es el foco de un nuevo tipo de ataque de enrutador

Desde hace meses, en Brasil se ha generado un nuevo tipo de ataque de enrutador que no se ha visto en ningún otro lugar del mundo. Los ataques son casi invisibles para los usuarios finales y pueden tener consecuencias desastrosas, incluso pueden ocasionarles pérdidas financieras directas.

El caso de Brasil debería ser una señal de advertencia para los usuarios e ISPs de todo el mundo. Lo mejor es tomar precauciones antes de que el ataque que se vive en Brasil se extienda a otros países.

Ataques de enrutador: cambio de DNS

Los ataques contra enrutadores en Brasil fueron observados por primera vez por la empresa de seguridad cibernética Radware y, un mes más tarde, por investigadores de seguridad de Netlab, una unidad de búsqueda de amenazas en la red del gigante chino de seguridad cibernética Qihoo 360. Ambas investigaciones detallaron que un grupo de delincuentes cibernéticos había infectado a más de 100,000 enrutadores domésticos en Brasil y estaban modificando sus configuraciones de DNS.

Las modificaciones realizadas a estos enrutadores redirigieron a los usuarios infectados a sitios web de clones maliciosos cuando intentaban acceder a la banca electrónica de algunos bancos del país.

Luego en abril de 2019, Bad Packets analizó otra ola de ataques, pero esta vez estaba dirigida principalmente contra los enrutadores D-Link, también alojados en los ISP brasileños. Por tanto, no solo secuestraban a los usuarios que visitaban los bancos brasileños, sino que además los redirigían a las páginas de phishing de Netflix, Google y PayPal para recopilar sus credenciales, según investigadores de Ixia.

Avast publicó un informe esta semana señalando que los ataques no se han detenido. La compañía estima que en la primera mitad de 2019, los hackers infectaron y modificaron la configuración de DNS de más de 180,000 enrutadores brasileños. Asimismo, señalaron que la complejidad de los ataques ha aumentado y el número de actores involucrados también.

Cómo se produce el ataque al enrutador

Los investigadores de Avast, David Jursa y Alexej Savčin, señalan que la mayoría de asaltos al enrutador se producen mientras los usuarios en Brasil visitan sitios de transmisión de películas y deportes, o portales para adultos desde su hogar.

En estos sitios, la publicidad maliciosa ejecuta un código especial que detecta la dirección IP de un enrutador doméstico, el modelo del enrutador. Una vez realizada la detección, los anuncios maliciosos utilizan una lista de nombres de usuario y contraseñas predeterminados para iniciar sesión en los dispositivos de los usuarios, sin su conocimiento.

Los ataques, aunque toman tiempo, suceden sin que los usuarios se den cuenta, porque generalmente están ocupados viendo las transmisiones de video en los sitios web a los que acaban de acceder. Si los ataques tienen éxito, el código especial modificará la configuración de DNS predeterminada en los enrutadores de las víctimas, reemplazando las direcciones IP del servidor DNS que reciben los enrutadores de los ISP ascendentes por las direcciones IP de los servidores DNS administrados por los piratas informáticos.

De esa manera, la próxima vez que la computadora o el celular se conecte al enrutador, recibirá las direcciones IP del servidor DNS malicioso y, de esta manera, canalizará todas las solicitudes de DNS a través de los servidores del atacante. Y es así como pueden secuestrar y redirigir el tráfico a clones maliciosos.

leer más
Diarleth G.Brasil es el foco de un nuevo tipo de ataque de enrutador
3.jpg

Malware oculto ‘TrickBot’ sigue fortaleciendo y comprometiendo más cuentas electrónicas

Con mucha facilidad podemos perder la cuenta de cuántos malware están operando en la actualidad, y es que día tras día salen infinidades de estos software maliciosos intentando dañar todo lo que quede en su paso. Uno de estos malware es TrickBot, que hasta el momento ha logrado comprometer la seguridad de más de 250 millones de cuentas de correo electrónico.

Se trata de un virus muy fuerte que no ha tenido ni la menor intensión de bajar su ritmo de ataque. Una variedad del malware conocido como TrickBot ha estado infectando una gran cantidad de usuarios desde el 2016. Y hoy en día sigue siendo extremadamente fuerte, de hecho, muchos expertos en ciberseguridad lo consideran la principal amenaza para las empresas en este momento. Los expertos creen incluso que TrickBot puede haber comprometido a más de 250 millones de cuentas de correo electrónico hasta el momento.

Los investigadores en DeepInstinct han estado siguiendo la actividad de TrickBot. En los últimos años, han visto evolucionar el malware y agregar nuevas capacidades que lo han hecho aún más peligroso. Una de esas adiciones es algo a lo que DeepInstinct se refiere como TrickBooster. Su trabajo: enviar correos electrónicos no deseados desde computadoras infectadas para aumentar la propagación de infecciones TrickBot.

En esencia, TrickBot es un troyano bancario. Normalmente, el malware se distribuye a través de correos electrónicos fraudulentos, como por ejemplo, currículos falsos enviados a recursos humanos o facturas enviadas al personal de cuentas. Esos archivos normalmente se adjuntan en forma de archivos de Microsoft Word o Excel.

TrickBot puede propagarse a través de una organización de diferentes maneras. Una forma es explotar las vulnerabilidades en SMB, un protocolo que permite a las computadoras con Windows compartir y acceder fácilmente a archivos y carpetas en otros sistemas en la misma red.

El malware que se propaga a través de SMB puede propagarse rápidamente en una organización donde las configuraciones de hardware y software tienden a ser bastante homogéneas. Esa uniformidad tiende a conducir a un gran número de computadoras que cuentan con las mismas vulnerabilidades, lo que hace mucho más fácil la propagación de malware como TrickBot.

Una segunda forma altamente efectiva de propagar la infección es enviando correos electrónicos desde direcciones confiables dentro de una organización, allí TrickBot aumenta las probabilidades de que una posible víctima abra uno de sus archivos adjuntos troyanos.

DeepInstinct logró echar un vistazo a una base de datos conectada a las operaciones de TrickBot. Los investigadores de la compañía descubrieron un tesoro de casi 250 millones de direcciones de correo electrónico que habían sido recogidas por TrickBot. De manera alarmante, DeepInstinct notó que esas direcciones no parecen provenir de violaciones previamente conocidas.

En la larga lista se encontraron, más de 25 millones de cuentas Gmail, 21 millones de Yahoo, y 11 millones de Hotmail. Otros 10 millones pertenecen a usuarios de AOL y MSN. Si bien esos seis servicios enfocados en el consumidor representan aproximadamente 70 millones del total de entradas en la base de datos, DeepInstinct también detectó decenas de direcciones pertenecientes a trabajadores del gobierno. A la fecha se desconoce el alcance total que está teniendo este malware, pero lo que sé se sabe es que está resultando ser indetenible.

leer más
Diarleth G.Malware oculto ‘TrickBot’ sigue fortaleciendo y comprometiendo más cuentas electrónicas
Actualidad_337228104_96704695_1024x576.jpg

Astaroth Trojan explota a Avast para robar información

Una nueva cepa de Astaroth Trojan dirigida a Brasil y países europeos está explotando actualmente el software de seguridad y antivirus Avast desarrollado por GAS Technology para robar información y cargar módulos maliciosos.

De acuerdo con el equipo Nocturnus de Cybereason que descubrió la nueva cepa de Astaroth, al igual que las cepas anteriores, el malware utiliza procesos legítimos e integrados del sistema operativo Windows para realizar actividades maliciosas y entregar una carga útil sin ser detectado, pero también hace uso de herramientas conocidas e incluso software antivirus para ampliar sus capacidades.

El troyano de Astaroth y el ladrón de información fueron detectados previamente por Cofense como parte de una campaña de malware que afecta a Europa y especialmente a Brasil, y es conocido por abusar de binarios como la interfaz de línea de comandos de Windows Management, la consola de instrumentación (WMIC) para descargar e instalar subrepticiamente cargas útiles maliciosas en segundo plano.

La nueva variedad descubierta por los investigadores de Cybereason ahora también usa la  utilidad legítima Windows BITSAdmin (diseñada para ayudar a crear trabajos de descarga o carga y monitorear su progreso) para descargar cargas útiles de malware. Esta variante de Astaroth se distribuye a través de campañas de spam al igual que las versiones anteriores, y la infección comienza con un archivo .7zip entregado al destino en forma de un archivo adjunto de correo electrónico o hipervínculo. El archivo malicioso contiene un archivo .lnk que generará un proceso wmic.exe que inicializará un ataque de procesamiento de scripts XSL.

Posteriormente, el malware se conecta a un servidor de comando y control (C2) y filtra información sobre la computadora infectada. Después de descargar la secuencia de comandos XSL cifrada en la máquina infectada, el troyano usará BITSAdmin para capturar una carga útil de otro servidor C2, cuidadosamente oculto como imágenes o archivos sin extensiones que contengan varios módulos Astaroth.

Astaroth también inyecta un módulo malintencionado en la biblioteca de vínculos dinámicos Avast y lo utiliza para recopilar información sobre la máquina comprometida y para cargar módulos adicionales cuando sea necesario. Además, la nueva variante del troyano Astaroth también está diseñada para explotar el proceso unins000.exe de una solución de seguridad desarrollada por GAS Technology que también utilizará para rastrear y recopilar información personal del usuario sin ser detectado si Avast no está presente en la computadora infectada.

Finalmente, Cybereason encontró que, una vez que la campaña se haya infiltrado con éxito, registrará las pulsaciones de los usuarios, interceptará las llamadas de su sistema operativo y recopilará toda la información guardada en el portapapeles de forma continua. Con estos métodos, Astaroth descubre cantidades significativas de información personal de las cuentas bancarias de los usuarios y las cuentas comerciales. Además, junto con NetPass, recopila las contraseñas de inicio de sesión de los usuarios en toda la placa sin ser detectadas, incluidas las computadoras remotas en la LAN, las contraseñas de cuentas de correo, las cuentas de Messenger, las contraseñas de Internet Explorer y otras.

leer más
Diarleth G.Astaroth Trojan explota a Avast para robar información
1.jpg

Si usas Zoom en tu computadora Mac, podrían estarte espiando

El software de videoconferencia Zoom para Mac se ha visto afectado por una falla que podría permitir a los atacantes tomar el control de las cámaras web cuando los usuarios visitan un sitio web.

El experto en ciberseguridad Jonathan Leitschuh reveló el nivel de vulnerabilidad que existe dentro del software Zoom para computadoras Mac, un software para realizar video conferencias. Según Jonathan, esta falla de seguridad crítica podría desencadenar problemas muchos mayores en el futuro si no se corrige cuanto antes. De hecho, la falla podría usarse para controlar la cámara web de un usuario cuando visita cualquier página web.

Jonathan Leitschuh reveló el 26 de marzo de este año 2019 la falla al proveedor de manera responsable, pero la compañía no pudo resolver el problema, exponiendo a sus usuarios al riesgo de piratería.

“Una vulnerabilidad en Mac Zoom Client permite que cualquier sitio web malicioso habilite tu cámara sin tu permiso. La falla expone potencialmente hasta 750,000 compañías en todo el mundo que usan Zoom para realizar día a día toda clase de negocios”, afirma Leitschuh.

Zoom  es el líder en comunicaciones de video para empresas, de hecho, es una de las plataformas en la nube más populares y confiables para conferencias de video, audio, chat y seminarios web. Esta falla los pone en riesgo a todos por igual.

La falla aprovecha la función de hacer clic para unirse del software Zoom que permite activar automáticamente la aplicación instalada en el sistema para unirse a una reunión de video a través de tu navegador web con un simple clic en un enlace de invitación.

«En Mac, si alguna vez has instalado Zoom, verás que hay un servidor web en tu máquina local ejecutándose en el puerto 19421. Puedes confirmar que este servidor está presente ejecutando lsof -i: 19421 en tu terminal», explicó el experto.

«En primer lugar, permítanme comenzar diciendo que tener una aplicación instalada que ejecuta un servidor web en mi máquina local con una API totalmente no documentada se siente increíblemente incompleto para mí. En segundo lugar, el hecho de que cualquier sitio web que visite pueda interactuar con este servidor web que se ejecuta en mi máquina es una gran señal de alerta para mí como investigador de seguridad».

El experto creó una reunión personal con una cuenta diferente, analizó los parámetros utilizados en la solicitud GET utilizada para iniciar automáticamente una reunión de Zoom al hacer clic en el enlace de invitación.

“Al  configurar una reunión, descubrí que cualquier persona que se uniera a mi reunión tenía automáticamente su video conectado. Cuando regresé a mi máquina personal, probé esta misma funcionalidad y descubrí que funcionaba exactamente igual”, explicó Leitschuh.

El experto explicó que también se puede abusar de la falla para desencadenar una condición DoS enviando un gran número de solicitudes GET repetidas al servidor local.

«Zoom terminó parcheando esta vulnerabilidad, pero todo lo que hicieron fue evitar que el atacante encienda la cámara de video del usuario», dijo Jonathan. «No deshabilitaron la capacidad de un atacante para unirse a una llamada a cualquier persona que visite un sitio malicioso”. La falla afecta a la versión 4.4.4 de la aplicación Zoom para Mac.

Leitschuh también habló sobre la vulnerabilidad con los equipos de desarrollo de Chromium y Mozilla, pero estos explicaron que no pueden hacer nada porque el problema no reside en sus navegadores web. Para mitigar la falla, los usuarios pueden desactivar manualmente la configuración que permite que Zoom encienda automáticamente la cámara web al unirse a una reunión.

Actualización: Apple actualiza silenciosamente las Mac para eliminar la vulnerabilidad de la cámara web Zoom

Apple ha emitido una actualización silenciosa y automática de macOS que elimina el servidor web utilizado para agilizar el acceso a la aplicación de videoconferencia. La actualización no es completamente necesaria cuando Zoom ya ha emitido su propio parche, pero esto garantiza que las personas que ejecutan versiones anteriores de Zoom no serán vulnerables.

Se sabe que Apple ofrece actualizaciones silenciosas para bloquear malware. Sin embargo, esta es otra historia: la compañía está impulsando una actualización para solucionar un problema con un desarrollador superior que tiene más de cuatro millones de usuarios. Ni Apple ni Zoom querían arriesgarse, incluso si la amenaza práctica de alguien que utiliza el exploit es escasa.

leer más
Diarleth G.Si usas Zoom en tu computadora Mac, podrían estarte espiando
2.jpg

British Airways fue multada por una suma millonaria por violación de datos

La seguridad informática es una de las cosas que más afecta a las grandes compañías a nivel mundial. Cuando una compañía no se protege ante la más mínima amenaza, pueden ocurrir cosas malas, tan malas como la que le ocurrido recientemente a una de las líneas aéreas más prestigiosas del mundo. En el siguiente post te decimos por qué British Airways fue multada por una suma millonaria por violación de datos

La Oficina del Comisionado de Información de Gran Bretaña (ICO, por sus siglas en inglés) golpeó a British Airways con una multa récord de 183 millones de euros por no proteger la información personal de aproximadamente medio millón de sus clientes durante el sucedo de violación de seguridad ocurrido el año pasado.

British Airways, que se describe a sí misma como «la aerolínea favorita del mundo«, cometió una infracción el año pasado que expuso datos personales y números de tarjetas de crédito de hasta 380 mil clientes, una fuga de información que duró más de dos semanas.

En ese momento, la compañía confirmó que los clientes que reservaron vuelos en su sitio web oficial (ba.com) y la aplicación móvil de British Airways entre el 21 de agosto y el 5 de septiembre habían sido robados por los atacantes.

El ataque cibernético fue atribuido más tarde al grupo Magecart.actor, uno de los grupos de piratería más notorios, los cuales están especializados en robar datos de tarjetas de crédito de sitios web con poca seguridad, especialmente en las plataformas de comercio electrónico en línea.

Los hackers de Magecart han sido conocidos por usar un skimmer de tarjeta de crédito digital en el que insertan secretamente algunas líneas de código malicioso en la página de pago de un sitio web comprometido que captura los datos de pago de los clientes y luego los envía a un servidor remoto.

Por otro lado, cabe destacar que además de British Airways, los grupos de Magecart también han sido responsables de violaciones de tarjetas en sitios que pertenecen a compañías de alto perfil como TicketMaster, Newegg, así como a sitios pertenecientes a otros pequeños comerciantes en línea.

En un comunicado emitido recientemente ICO informó que su extensa investigación descubrió que una variedad de información relacionada con los clientes de British Airways se vio comprometida por «malos acuerdos de seguridad» en la compañía, incluidos sus nombres y direcciones, registros de entrada, datos de tarjetas de pago y detalles de reserva de viajes.

«Los datos personales de las personas son solo eso: personales. Cuando una organización no puede protegerlos de pérdidas, daños o robos, es más que un inconveniente. Es por eso que la ley es clara: cuando se te confían datos personales, debes cuidarlos. Aquellos que no lo hagan serán revisados ​​por mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad», dijo la comisionada de información Elizabeth Denham.

ICO también dijo que British Airways ha cooperado con su investigación y ha hecho mejoras a los acuerdos de seguridad desde que salió a la luz la violación de datos del año pasado. Desde que se produjo la violación de datos después de que la Regulación general de protección de datos (GDPR) de la UE entró en vigencia en mayo de 2018, se impuso una multa de 183 millones  de euros a British Airways, que es el equivalente al 1.5% del volumen de negocios mundial de la compañía para su cuenta financiera de 2017.

leer más
Diarleth G.British Airways fue multada por una suma millonaria por violación de datos
ransomware-is-back-featured.jpg

¿Quién está detrás del ransomware GandCrab?

Escrito originalmente por Brian Krebs.

Los delincuentes detrás de un programa de afiliados que pagó a los ciberdelincuentes por instalar la destructiva y exitosa cepa de ransomware GandCrab anunciada el 31 de mayo de 2019, terminaron el programa luego de que supuestamente obtuvieron más de $ 2 mil millones en pagos de extorsión de las víctimas. Lo que sigue es una inmersión profunda en quién puede ser responsable de reclutar nuevos miembros para ayudar a difundir el contagio.

Como la mayoría de las cepas de ransomware, el ransomware-as-a-service de GandCrab ofrece archivos retenidos como rehenes de sistemas infectados hasta que las víctimas accedan a pagar la suma exigida. Pero GandCrab eclipsó por mucho el éxito de los programas de afiliados ransomware de la competencia, en gran parte porque sus autores trabajaron asiduamente para actualizar el malware de modo que pudiera evadir el antivirus y otras defensas de seguridad.

En el lapso de 15 meses de la empresa afiliada a GandCrab a partir de enero de 2018, sus curadores enviaron cinco revisiones principales al código, cada una correspondiente a nuevas características y soluciones de errores dirigidas a frustrar los esfuerzos de las empresas de seguridad informática para frenar la expansión de la malware

«En un año, las personas que trabajaron con nosotros han ganado más de US $ 2 mil millones«, leyó la publicación de despedida de la identidad del mismo nombre de GandCrab en el foro de ciberdelincuencia Exploit[.]in, Donde el grupo reclutó a muchos de sus distribuidores. “Nuestro nombre se convirtió en un término genérico para ransomware en el inframundo. El ingreso semanal promedio del proyecto fue igual a US $ 2.5 millones ”.

El mensaje continuó:

“Nosotros mismos hemos ganado más de US $ 150 millones en un año. Este dinero se ha retirado e invertido con éxito en varios proyectos legales, tanto en línea como fuera de línea. Ha sido un placer trabajar con ustedes. Pero, como dijimos, todo termina. Estamos recibiendo una jubilación bien merecida. Somos una prueba viviente de que puedes hacer el mal y salir impune. Hemos demostrado que uno puede hacer una vida de dinero en un año. Hemos demostrado que puedes convertirte en el número uno por admisión general, no por tu propia cuenta».

Evidentemente, cuando se considera el daño infligido a tantas personas y empresas golpeadas por GandCrab, es fácilmente el malware más rapaz y depredador de 2018 y hasta 2019.

El perfil de GandCrab en Exploit[.]in publicó actualizaciones periódicas sobre el recuento de víctimas y los pagos de rescate. Por ejemplo, a fines de julio de 2018, GandCrab declaró que una sola filial del servicio de alquiler de ransomware había infectado a 27,031 víctimas solo en el mes anterior, recibiendo aproximadamente $ 125,000 en comisiones.

El mes siguiente, GandCrab se jactó de que el programa en julio de 2018 generó casi 425,000 víctimas y extorsionó más de un millón de dólares en criptomonedas, muchas de las cuales fueron para afiliados que ayudaron a diseminar las infecciones.

La firma de seguridad rusa Kaspersky Lab estimó que para cuando el programa dejó de funcionar, GandCrab representaba hasta la mitad del mercado global de ransomware.

Oneiilk2

No está claro cuántos individuos estaban activos en el equipo de desarrollo de malware de GandCrab. Pero KrebsOnSecurity localizó varias pistas que apuntan a la identidad en la vida real de un hombre ruso que parece haber sido puesto a cargo de reclutar nuevos afiliados para el programa.

En noviembre de 2018, un afiliado de GandCrab publicó una captura de pantalla en el foro de Exploit[.]in de un mensaje privado entre él y un miembro del foro conocido como «oneiilk2» y «oneillk2» que mostró que este último estaba a cargo de reclutar nuevos miembros para el programa de ganancias ransomware.

Oneiilk2 también fue un exitoso afiliado de GandCrab por derecho propio. En mayo de 2018, se lo pudo ver en múltiples hilos de Exploit[.]in que pedían ayuda urgente para obtener acceso a negocios pirateados en Corea del Sur. Estas solicitudes se prolongan durante varias semanas ese mes, con Oneiilk2 que dice que está dispuesto a pagar el mejor precio por los recursos solicitados. Al mismo tiempo, Oneiilk2 se puede ver en Exploit y pide ayuda para descubrir cómo crear un cebo de malware convincente utilizando el alfabeto coreano.

Más adelante en el mes, Oneiilk2 dice que ya no necesita ayuda con esa solicitud. Apenas unas semanas después, las empresas de seguridad comenzaron a advertir que los atacantes estaban organizando una campaña de spam para atacar a las empresas de Corea del Sur con la versión 4.3 de GandCrab.

Hottabych

Cuando Oneiilk2 se registró en Exploit[.]in en enero de 2015, usó la dirección de correo electrónico hottabych_k2@mail.ru. Esa dirección de correo electrónico y su apodo se utilizaron desde 2009 para registrar múltiples identidades en más de media docena de foros de delitos informáticos.

En 2010, la dirección hottabych_k2 se usó para registrar el nombre de dominio dedserver [.] Ru, un sitio que comercializaba servidores web dedicados a personas involucradas en varios proyectos de ciberdelito. Ese registro de registro de dominio incluyó el número de teléfono ruso + 7-951-7805896, que según la función de recuperación de contraseña de mail.ru es, de hecho, el número de teléfono utilizado para registrar la cuenta de correo electrónico hottabych_k2.

Al menos cuatro publicaciones realizadas en 2010 en el servicio de revisión de hosting makeserver.ru anuncian Dedserver e incluyen imágenes con marca de agua con el apodo «oneillk2».

Dedserver también promovió en gran medida un servicio de red privada virtual (VPN) llamado vpn-service [.] Para ayudar a los usuarios a ofuscar sus verdaderas ubicaciones en línea. No está claro cuán estrechamente conectados estaban estos negocios, aunque una copia en caché de la página de inicio de Dedserver en Archive.org desde 2010 sugiere que los propietarios del sitio lo consideraron como propio.

Vpn-service [.] Us fue registrado en la dirección de correo electrónico sec-service@mail.ru por una persona que usó el apodo (y, a veces, la contraseña) – «Metall2» – en múltiples foros de ciberdelincuencia.

Casi al mismo tiempo que el programa de afiliados de GandCrab estaba en marcha, Oneiilk2 se había convertido en uno de los miembros más confiables de Exploit y en varios otros foros. Esto fue evidente al medir el total de «puntos de reputación» que se le asignaron, que son comentarios positivos o negativos otorgados por otros miembros con los que el miembro ha realizado transacciones anteriormente.

A finales de 2018, Oneiilk2 fue uno de los 20 miembros con mejor calificación entre los miles de ciudadanos en el foro de Exploit, gracias en gran parte a su asociación con la empresa GandCrab.

La búsqueda en la dirección de correo electrónico de registro de Oneiilk2 hottabych_k2@mail.ru a través de sitios que rastrean bases de datos pirateadas o filtradas arrojó algunos resultados curiosos. Esos registros muestran que este individuo reutilizó la misma contraseña en varias cuentas: 16061991.

Por ejemplo, la dirección de correo electrónico y la contraseña aparecen en las bases de datos de contraseñas pirateadas para una cuenta «oneillk2» en zismo [.] Biz, un foro en ruso dedicado a las noticias sobre varios programas de afiliados para ganar dinero en línea.

En un post realizado en Zismo en 2017, Oneiilk2 afirma que vive en un pequeño pueblo con una población de alrededor de 400,000, y que se dedica a la fabricación de muebles.

¿Mr. Prokopenko?

La investigación adicional reveló que la dirección hottabych_k2@mail.ru también se había utilizado para registrar al menos dos cuentas en el sitio de redes sociales Vkontakte, el equivalente en ruso de Facebook.

Una de esas cuentas fue registrada por un «Igor Kashkov» de Magnitogorsk, Rusia, una ciudad industrial rica en metales en el sur de Rusia de alrededor de 410,000 residentes que alberga las mayores obras de hierro y acero del país.

La cuenta de Kashkov usó la contraseña «hottabychk2», el número de teléfono 890808981338, y en un momento dado proporcionó la dirección de correo electrónico alternativa «prokopenko_k2@bk.ru». Sin embargo, esto parece haber sido simplemente una cuenta abandonada, o al menos solo hay un par de actualizaciones dispersas al perfil.

La cuenta Vkontakte más interesante vinculada a la dirección hottabych_k2@mail.ru pertenece a un perfil con el nombre «Igor Prokopenko», quien dice que también vive en Magnitogorsk. El perfil de Igor Prokopenko dice que ha estudiado y está interesado en varios tipos de metalurgia.

También hay una cuenta de voz sobre IP de Skype vinculada a un «Igor» de Magnitogorsk cuyo cumpleaños figura en la lista el 16 de junio de 1991. Además, existe una cuenta de Youtube bastante activa que se remonta a 2015 – youtube.com/user/Oneillk2 – Eso pertenece a un Igor Prokopenko de Magnitogorsk.

Esa cuenta de Youtube incluye en su mayoría videos cortos del Sr. Prokopenko que pesca pescado en un río local y diagnostica problemas con su Lada Kalina, una línea de automóviles de fabricación rusa que es bastante común en toda Rusia. Una cuenta creada en enero de 2018 con el apodo de Oneillk2 en un foro para entusiastas de Lada dice que su dueño tiene 28 años y vive en Magnitogorsk.

Las fuentes con la capacidad de verificar los registros de ciudadanía rusa identificaron a Igor Vladimirovich Prokopenko de Magnitogorsk que nació el 16 de junio de 1991. Recuerde que «16061991» fue la contraseña utilizada por innumerables cuentas en línea vinculadas a hottabych_k2@mail.ru y Oneiilk2 / Identidades de Oneillk2.

Para completar todas las investigaciones anteriores, la página de restablecimiento de contraseña de Vkontakte muestra que el perfil de Igor Prokopenko está vinculado al número de teléfono móvil + 7-951-7805896, que es el mismo que se usa para configurar la cuenta de correo electrónico hottabych_k2 @ mail. ru hace casi 10 años.

El Sr. Prokopenko no respondió a múltiples solicitudes de comentarios.

Es completamente posible que quien sea responsable de operar el programa de afiliados de GandCrab haya desarrollado una campaña de desinformación elaborada, de un año de duración, para llevar a futuros investigadores potenciales a una parte inocente.

Al mismo tiempo, no es raro que muchos malhechores rusos hagan poco para ocultar sus verdaderas identidades, al menos al principio de sus carreras, tal vez en parte porque perciben que hay pocas probabilidades de que alguien se moleste en conectar los puntos más adelante, o porque tal vez no temen el arresto y / o la persecución mientras residen en Rusia. Cualquier persona que tenga dudas sobre esta dinámica haría bien en consultar la serie Breadcrumbs en este blog, que utilizó métodos similares a los descritos anteriormente para desenmascarar a docenas de otros proveedores importantes de malware.

Cabe señalar que el programa de afiliación de GandCrab tomó medidas para evitar la instalación de su ransomware en computadoras que residen en Rusia o en cualquiera de los países que anteriormente formaban parte de la Unión Soviética, conocida como la Comunidad de Estados Independientes e incluso Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán. Esta es una precaución típica que toman los ciberdelincuentes que ejecutan operaciones de malware en uno de esos países, ya que tratan de evitar crear problemas en sus propios patios que puedan atraer la atención de las autoridades locales.

KrebsOnSecurity agradece a domaintools.com, así como a las firmas de inteligencia cibernética Intel471, Hold Security y 4IQ por su ayuda en la investigación de esta publicación.

Esta es una transcripción de un post originalmente publicado en: http://bit.ly/2Xy83e6

leer más
Isaul Carballar¿Quién está detrás del ransomware GandCrab?
Magecart-Blog-Header.jpg

Ataque de Magecart: qué es, cómo funciona y cómo evitarlo

Aprende cómo combatir este ataque de skimming de cartas basado en web.

Todos los días escuchamos sobre una nueva amenaza o vulnerabilidad en la tecnología, y el ataque de recolección de datos conocido como «Magecart» es la última amenaza. El siguiente texto es una transcripción de un entrevista entre Scott Matteson, escritor técnico de Techrepublic y Peter Blum, vicepresidente de tecnología del proveedor de entrega de aplicaciones Instart.

¿Qué es un ataque de Magecart?

Peter Blum: Magecart es una forma de raspado de datos (data skimming), que ataca con el uso del navegador del lado del cliente como la puerta de entrada a las interacciones del consumidor. «Skimming» es un método utilizado por los atacantes para capturar información confidencial de formularios de pago en línea, como direcciones de correo electrónico, contraseñas y números de tarjetas de crédito. Específicamente para Magecart, los piratas informáticos implantan códigos maliciosos en sitios web para robar información de tarjetas de crédito a medida que las personas ingresan las credenciales en la página de pago.

¿Cómo funciona el ataque Magecart?

Stealing a credit card through a laptop concept for computer hacker, network security and electronic banking security (Stealing a credit card through a laptop concept for computer hacker, network security and electronic banking security, ASCII, 118 co

los ataques de eliminación de datos como Magecart generalmente siguen un patrón bien establecido. Deben lograr tres cosas para tener éxito.

  • Paso 1: Acceso a su sitio web. Por lo general, hay dos formas en que los atacantes obtienen acceso a su sitio web y colocan el código de skimming. Pueden entrar en su infraestructura o en su servidor y colocar el skimmer allí. O, perseguirán a uno de sus proveedores externos, especialmente si son un objetivo más fácil e infectan una etiqueta de terceros que ejecutará un script malicioso en su sitio cuando se llame en el navegador.
  • Paso 2: Inspección superficial de información en un formulario. Hay muchas maneras diferentes en que los grupos pueden capturar datos, pero el código de limpieza es siempre una especie de JavaScript que escucha la información personal y la recopila. Hemos visto un enfoque en el que monitorean todas las pulsaciones de teclas en una página confidencial o algunas que interceptan entradas en partes específicas de un formulario web como los campos de tarjeta de crédito y CVV. En general, los atacantes esconden código malicioso dentro de otro código que parece benigno para evitar la detección.
  • Paso 3: Envío de información a su servidor. Esta es la parte más simple de todo el proceso. Una vez que los piratas informáticos obtienen acceso a su sitio web y raspan los datos que desean, se termina el juego. Pueden enviar la información de los navegadores de los usuarios finales a casi cualquier ubicación en Internet.

¿Quién está detrás de Magecart?

Magecart es el nombre que recibe esta categoría de ataques, no es una organización o entidad específica. Hay docenas de diferentes grupos criminales cibernéticos que utilizan este estilo de ataque. En el último año se produjeron ataques de alto perfil contra compañías como British Airways, Ticketmaster y NewEgg.

¿Qué vulnerabilidades / entornos se aprovechan?

Hoy en día, no es raro que un solo sitio web esté formado por un código creado y operado por hasta 50 compañías diferentes. El código que se desarrolla internamente y se ejecuta en su propio sitio web se llama código de primera persona. El código que proviene de otras compañías se llama código de tercero, cuarto o incluso de terceros.

Muchos clientes no saben que cuando integras código de otras compañías, en realidad tiene el mismo nivel de privilegio que tu propio código. Eso significa que este código externo puede mostrar mensajes a sus usuarios, eliminar datos confidenciales ingresados ​​por los usuarios o almacenados en cookies, o incluso redirigir al usuario a otro sitio.

En Instart , estamos viendo más y más sitios web en los que hasta el 75% de las llamadas realizadas por el navegador provienen de fuentes distintas a su compañía. Entonces, ¿cómo sabe realmente lo que sucede cuando los sitios web se basan en el código de 50 servicios en la nube diferentes, alojados en 50 organizaciones diferentes? Esta es la trampa en la que han caído muchos minoristas, y los atacantes de Magecart se aprovechan. Una vulnerabilidad en cualquier parte es una vulnerabilidad en todas partes.

La buena noticia es que puede proteger información confidencial. La clave es que todo este código solo se une cuando se ensambla en el navegador del consumidor. Por lo tanto, debe implementar una tecnología que pueda monitorear y proteger datos confidenciales en tiempo real en el navegador.

¿Qué deben hacer los departamentos de TI para combatir Magecart?

El problema con Magecart es que hay mucha confusión cuando se trata de proteger realmente estos ataques de raspado de tarjetas basados ​​en web. Por ejemplo, la auditoría de un sitio web sobre una base regular no se pueden detener los ataques, ya que el problema proviene de etiquetas de terceros que la auditoría no detectará.

Mi consejo para los equipos de TI es que adopten un enfoque de cero confianza con JavaScript en sus sitios, comenzando con una política para bloquear el acceso de forma predeterminada a cualquier información confidencial ingresada en formularios web y cookies almacenadas. A partir de ahí, solo permite un conjunto selecto de scripts vetados (generalmente solo los suyos) para acceder a datos confidenciales. Y como resultado, si este tipo de código de skimming llega a su sitio, simplemente no puede acceder a ninguna de la información confidencial.

Desafortunadamente, los navegadores web no proporcionan este tipo de funcionalidad, por lo que los equipos de TI deben implementar sus propios enfoques de protección o incorporar tecnología de proveedores externos que se especialicen en la protección contra este tipo de ataques.

¿Qué deben hacer los usuarios finales para hacer frente a esta amenaza?

Muchos consumidores confían en las tiendas en línea y en los sitios donde compran. Es mejor evitar los sitios web más pequeños que probablemente no tengan el mismo nivel de seguridad que las organizaciones más grandes y establecidas. Los usuarios finales deben asegurarse de mantener un registro de los cargos a sus tarjetas de crédito. Muchas veces se realizarán pequeños cargos de prueba para garantizar que el número de la tarjeta de crédito aún esté activo ante un fraude más generalizado. Los usuarios finales también deben considerar el uso de sistemas de pago como Apple Pay, que generan números únicos de cada transacción, lo que garantiza que, si los atacantes obtienen un número, no podrán reutilizarlo en el futuro. Y, finalmente, estos días los sistemas de supervisión de crédito se han convertido en una necesidad para garantizar que los datos personales no se aprovechen para abrir nuevas cuentas a su nombre.

¿Cómo es probable que esta amenaza evolucione?

Hemos visto incluso en el último año que este tipo de ataque se ha vuelto más común y evoluciona a un ritmo alarmante. Si bien los enfoques iniciales eran más fáciles de detectar, los delincuentes cibernéticos ahora ocultan su código malicioso a través de la codificación y la ofuscación en el interior de un código inofensivo, lo que hace que sea casi imposible revelar estos ataques mirando el código de terceros. Y ahora vemos que los piratas informáticos codifican la información robada antes de que se envíe desde el navegador para evadir los sistemas de detección de patrones que buscan números de tarjetas de crédito. El mejor enfoque es tomar un modelo de confianza cero y solo permitir que un código vetado muy específico acceda a información confidencial.

¿Cuáles son algunos pasos proactivos recomendados para administrar los ataques de Magecart en evolución?

La mejor defensa contra los ataques de Magecart es impedir el acceso. Las compañías en línea necesitan una solución que intercepte todas las llamadas API que su sitio web realiza al navegador y bloquea el acceso a datos confidenciales que no haya autorizado previamente. Esto evita que cualquier script malicioso, o cualquier script de terceros no crítico, obtenga acceso a la información que sus clientes ingresan en su sitio web. Este mismo sistema también debe tener un componente de monitoreo para alertar a las compañías cuando un tercero intente acceder a información confidencial.

Seguimos viendo un gran aumento en los ataques contra sitios web que toman y procesan información de pago de los usuarios finales. No solo estamos viendo ataques al estilo de Magecart como este robo de información directamente de los usuarios finales, sino también ataques sofisticados de bots que aprovechan las credenciales de usuario robadas y los números de tarjetas de crédito para cometer fraude al usar datos encontrados en otros sitios.

Es fundamental que las marcas piensen más allá e implementen una protección de seguridad web de extremo a extremo que pueda mitigar los ataques de Magecart en el navegador y proteger la infraestructura de back-end, al mismo tiempo que detiene los ataques sofisticados de redes de bots. Con el aumento masivo de servicios de terceros que se están utilizando, también vemos a terceros legítimos que capturan accidentalmente información confidencial de los usuarios, lo que puede exponer a las empresas a incumplir las regulaciones de la industria y del gobierno, incluidas PCI, HIPPA, GDPR y CCPA.

La entrevista original está disponible en el siguiente link.

leer más
Isaul CarballarAtaque de Magecart: qué es, cómo funciona y cómo evitarlo
5.jpg

Se incrementan los ataques de Ransomware en los Estados Unidos

Por más de doce meses, Baltimore (Estados Unidos) ha estado sufriendo un muy costoso ataque de Ransomware. De hecho, a la fecha, el ataque ha dejado a los funcionarios incapaces de procesar los pagos e incluso responder a los correos electrónicos. Trágico, ¿no es cierto? Sin embargo, lastimosamente Baltimore no es solo un caso aislado. Se incrementan los ataques de Ransomware en los Estados Unidos.

En los últimos dos meses, ha habido ataques de ransomware en Greenville, Carolina del Norte, California, Stuart, Florida, Cleveland, Ohio, Augusta, Maine,Lynn, Massachusetts, Cartersville, Georgia entre otros, lo que ha puesto a todo el país en alerta .

Aumentan ataques de ransomware

Para los que desconocen lo que es un ransomware, este es un programa malicioso que restringe al usuario evitándole tener acceso a diferentes archivos de su sistema operativo. Dicho de otra forma un ransomware es un programa que secuestra tus datos literalmente y luego te piden el pago de un rescate para volverlos a tener. Los ransomware pueden quitarte el control por completo de tu ordenador y hacerte pasar momentos de absoluta oscuridad y en Estados Unidos esta oscuridad va creciendo rápidamente.

Los ataques con ransomware aumentaron de 38 en 2017 a 53 en 2018, según los datos recopilados por la firma Recorded Future. Sin embargo, se espera que estos números vayan en aumento y de forma acelerada en los próximos años.

A medida que las corporaciones refuerzan sus defensas contra los ataques de ransomware, los piratas informáticos han encontrado objetivos convenientes en ciudades, especialmente en los municipios locales cuyas defensas son mucho más débiles. Y a medida que las ciudades y pueblos se apresuran a digitalizar cada vez más su infraestructura, el potencial de ataques se hace más grande y desde luego mucho más devastadores.

Gary Hayslip, un experto en seguridad cibernética que anteriormente actuó como director de seguridad de la información en San Diego. Noticias VICE dijo:

«El gobierno sabe que necesita cambiar, pero se mueven lentamente en comparación con la rapidez con que las empresas privadas se preparan ante la posibilidad de quedar expuestos ante una nueva amenaza. Hasta que se ordene que las ciudades, los condados y los estados cumplan con un nivel específico de seguridad y tengan demostraciones periódicamente como se hace en el cumplimiento de las normas comerciales, las entidades gubernamentales continuarán siendo un blanco fácil para los ciberdelincuentes».

Hay que entender que un ransomware no es un fenómeno nuevo. El malware ha sido popular entre los piratas informáticos durante años, ya que les da una forma fácil de extraer millones de dólares, generalmente en bitcoins, de usuarios confiados en todo el mundo al infectar sus computadoras y mantener sus datos como rehenes hasta que pagan.

Y según los expertos el riesgo va a empeorar, y para combatir adecuadamente la creciente amenaza del ransomware contra los gobiernos locales y estatales, es necesario tener una idea clara de cuán grande es el problema y cómo los hackers están explotando estos sistemas. De hecho se cre que el número de ataques revelados es inferior al real.

leer más
Diarleth G.Se incrementan los ataques de Ransomware en los Estados Unidos