Empresas

apagon-electrico.jpg

Ciberataque a la red eléctrica de EEUU por un firewall sin parches

Una vulnerabilidad de firewall permitió a los atacantes reiniciar repetidamente los firewalls de la entidad víctima, causando interrupciones inesperadas.

La Corporación de Fiabilidad Eléctrica de América del Norte (NERC, por sus siglas en inglés) informa que un ataque cibernético a la red eléctrica de EEUU a principios de este año fue causado por una falla del firewall del perímetro de la red de la entidad objetivo.

El 5 de marzo de 2019, un incidente tuvo como objetivo un centro de control de red de “bajo impacto” y pequeños sitios de generación de energía en el oeste de los EEUU. Según una actualización de E&E News. Ninguna interrupción de la señal duró más de cinco minutos, y la interrupción no causó ningún apagón. Aún así, el ataque de 10 horas fue lo suficientemente grande como para hacer que la empresa de servicios públicos de la víctima se comunicara con el Departamento de Energía de EEUU.

La publicación “Lesson Learned” de NERC dice que los atacantes explotaron una vulnerabilidad en la interfaz web del firewall de un proveedor, permitiendo a los atacantes reiniciaran repetidamente los dispositivos y causar una condición de denegación de servicio (DDoS). Los reinicios inesperados permitieron interrupciones en la comunicación en los firewalls que controlaban la comunicación entre el centro de control y múltiples sitios de generación remota, y entre equipos en estos sitios. Todos los firewalls eran dispositivos de perímetro de red.

El análisis reveló que la utilidad objetivo no había instalado una actualización de firmware que hubiera parcheado la vulnerabilidad, y las interrupciones se detuvieron cuando se aplicó el parche. La víctima revisó su proceso para evaluar e implementar actualizaciones de firmware y ha optado por implementar una revisión más formal y frecuente de las actualizaciones de los proveedores monitoreadas por el software de seguimiento de cumplimiento interno.

leer más
Isaul CarballarCiberataque a la red eléctrica de EEUU por un firewall sin parches
The-vulnerable-script-opened-access-to-all-data-for-all-Salesforce-Pardot-users.jpg

Hackers ahora atacan a proveedores de servicios en la nube

Muchas empresas ahora están externalizando sus esfuerzos de marketing a proveedores de gestión de relaciones con el cliente (CRM por sis siglas en inglés) basados ​​en la nube. Pero cuando las cuentas de esos proveedores de CRM son pirateadas o suplantadas, los resultados pueden ser perjudiciales tanto para la marca del cliente como para sus clientes. Aquí hay un vistazo a una reciente campaña de phishing basada en CRM dirigida a clientes del proveedor de equipos de construcción Fortune 500, United Rentals.

United Rentals [ NYSE: URI ], con sede en Stamford, Ct., Es la compañía de alquiler de equipos más grande del mundo, con unos 18,000 empleados y ganancias de aproximadamente $ 4 mil millones en 2018. El 21 de agosto, varios clientes de United Rental informaron haber recibido correos electrónicos con facturas truqueadas, conteniendo enlaces que llevaron a una descarga de malware para cualquiera que haya hecho clic.

Si bien las facturas falsas son un atractivo de malware común, esta campaña en particular envió a los usuarios a una página en el sitio web de United Rentals (unitedrentals.com).

Una captura de pantalla del correo electrónico malicioso que engañó a United Rentals.

En un aviso a los clientes, la compañía dijo que United Rentals no envió mensajes no autorizados. Una fuente que tenía al menos dos empleados que cayeron en el esquema envió a KrebsOnSecurity una respuesta de la división de privacidad de UR, que culpó del incidente a un socio publicitario externo.

Según el conocimiento actual, creemos que una parte no autorizada obtuvo acceso a una plataforma de proveedores que United Rentals utiliza en relación con el diseño y la ejecución de campañas de correo electrónico“, decía la respuesta.

La parte no autorizada pudo enviar un correo electrónico de phishing que parece ser de United Rentals a través de esta plataforma“, continuó la respuesta. “El correo electrónico de phishing contenía enlaces a una supuesta factura que, si se hace clic en ella, podría enviar malware al sistema del destinatario. Mientras nuestra investigación continúa, actualmente no tenemos ninguna razón para creer que haya un acceso no autorizado a los sistemas de United Rentals utilizados por los clientes, ni a ningún sistema interno de United Rentals “.

United Rentals le dijo a KrebsOnSecurity que su investigación hasta el momento no revela ningún compromiso de sus sistemas internos.

“En este punto, creemos que se trata de un incidente de phishing por correo electrónico en el que un tercero no autorizado utilizó un sistema de terceros para generar una campaña de correo electrónico para entregar lo que creemos que es un troyano bancario”, dijo Dan Higgins , jefe de información de UR oficial.

búsquedas pasivas de DNS en el subdominio.

United Rentals no nombraría a la empresa de marketing de terceros que se cree que está involucrada, pero las búsquedas pasivas de DNS en el subdominio UR a las que se hace referencia en el correo electrónico de phishing (utilizado por UL para marketing desde 2014 y visible en la captura de pantalla anterior como “wVw.unitedrentals.com” ) señala a Pardot, una división de marketing por correo electrónico del gigante de CRM en la nube, Salesforce.

Las empresas que usan CRM basados ​​en la nube a veces dedicarán un dominio o subdominio que poseen específicamente para su uso por parte de su proveedor de CRM, permitiendo que el CRM envíe correos electrónicos que parecen provenir directamente de los propios dominios del cliente. Sin embargo, en tales configuraciones, el contenido que se promueve a través del dominio del cliente en realidad está alojado en los sistemas del proveedor de CRM en la nube.

Salesforce no respondió a múltiples solicitudes de comentarios a KrebsOnSecurity. Según Krebs, parece probable que alguien en Pardot con acceso a la cuenta de United Rental haya sido robado, hackeado o tal vez culpable de la reutilización de la contraseña.

Este ataque se produce inmediatamente después de otra campaña de phishing dirigida que aprovecha Pardot y que fue documentada a principios de este mes por Netskope , una empresa de seguridad en la nube. Ashwin Vamshi de Netskope dijo que los usuarios de plataformas CRM en la nube tienen un alto nivel de confianza en el software porque ven los datos y los enlaces asociados como internos, a pesar de que están alojados en la nube.

Un gran número de empresas proporciona a sus proveedores y socios acceso a su CRM para cargar documentos como facturas, pedidos de compra, etc. (y a menudo estos ocurren como flujos de trabajo automatizados)“, escribió Vamshi. “La empresa no tiene control sobre el dispositivo del proveedor o socio y, lo que es más importante, sobre los archivos que se cargan desde ellos. En muchos casos, los archivos cargados por el proveedor o el socio llevan consigo un alto nivel de confianza implícita “.

Los cibercriminales se dirigen cada vez más a los proveedores de CRM en la nube porque las cuentas comprometidas en estos sistemas se pueden aprovechar para realizar ataques de phishing extremadamente específicos y convincentes. De acuerdo con las estadísticas más recientes (PDF) del Grupo de trabajo contra la suplantación de identidad (phishing) , los proveedores de software como servicio (incluidos los proveedores de CRM y Webmail) fueron el sector industrial más focalizado en el primer trimestre de 2019, representando el 36 por ciento de todos los ataques de phishing.

*** Este es un blog sindicado de Krebs sobre seguridad creado por BrianKrebs. Lea la publicación original en: https://krebsonsecurity.com/2019/08/phishers-are-angling-for-your-cloud-providers/

leer más
Isaul CarballarHackers ahora atacan a proveedores de servicios en la nube
como-funciona-stockx-compressor.jpg

StockX fue hackeado exponiendo los datos de más de 6 millones de usuarios

StockX, uno de los centros más populares para compra y venta de zapatillas de deporte, fue hackeado y la información de más de 6,8 millones de usuarios en todo el mundo fue expuesta, de acuerdo con una publicación de TechCrunch.

El pasado jueves, el retail de zapatillas de deporte envió un correo electrónico general de restablecimiento de contraseña a sus usuarios citando “actualizaciones del sistema”, y aunque no dieron más detalles, era más grave de lo que informaban.

Zach Whittaker de TechCrunch reveló que un vendedor no identificado contactó a TechCrunch, alegando que la información de más de 6.8 millones de usuarios fue robada de StockX en un hackeo que ocurrió en mayo. El vendedor contactó a 1000 de estas personas y les proporcionó su información individual única que había sido expuesta (nombre, usuario, tamaño de zapatos, etc.); estos confirmaron los datos como precisos. Los datos ya se están vendiendo en la web por alrededor de US$ 300.

Por su lado, StockX reconoció que “un tercero desconocido pudo obtener acceso a ciertos datos del cliente, incluidos el nombre del cliente, la dirección de correo electrónico, la dirección de envío, el nombre de usuario, las contraseñas hash y el historial de compras”. Pero la compañía afirma que los datos financieros de los clientes no fueron vulnerados, mientras algunos usuarios ya han informado en redes que se han realizado algunas compras fraudulentas a través de sus cuentas.

A penas hace un mes la compañía StockX fue valorada en mil millones de dólares, sin embargo, a la sombra de los nuevos sucesos, es seguro que esa cifra se devaluará.

leer más
Diarleth G.StockX fue hackeado exponiendo los datos de más de 6 millones de usuarios
capital-one-san-francisco.jpg

Qué hacer si fue víctima del ataque de Capital One

Capital One dijo que notificará a los clientes y solicitantes de tarjetas de crédito cuyos datos fueron expuestos en la violación, y el Departamento de Justicia anunció que había acusado a un ingeniero de Seattle en el robo.

Aquí le mostramos cómo averiguar si se vio afectado por la violación de datos de Capital One y qué puede hacer para protegerse.

Cómo averiguar si su información fue robada

Capital One dijo que contactará por carta a las personas de EE. UU. Cuyos números de Seguro Social o números de cuentas bancarias vinculadas fueron parte del ataque. Las personas afectadas probablemente pueden esperar escuchar la semana del 5 de agosto. Por el momento, Capital One no tiene un sitio web que le permita verificarlo usted mismo, a diferencia de la herramienta Equifax lanzada para ver si usted fue parte de su violación de datos.

Esté atento a los correos electrónicos y llamadas telefónicas de estafadores que se hacen pasar por Capital One o representantes del gobierno que solicitan información de su tarjeta de crédito o cuenta, su número de Seguro Social u otra información personal.

¿Qué está haciendo Capital One sobre el hack?

Capital One dijo que ha solucionado la vulnerabilidad que el pirata informático usó para acceder a los datos y ha trabajado con la policía federal en la violación. La compañía bancaria dijo que contactará a los clientes que fueron parte del ataque y ofrecerá monitoreo de crédito gratuito y protección de identidad a aquellos clientes afectados por la violación.

Cómo monitorear su informe de crédito por fraude

No tiene que esperar a que Capital One se ponga en contacto con usted: puede seguir varios pasos ahora mismo para detectar fraude.

  1. Monitoree sus informes de crédito. Obtiene un informe de crédito gratuito al año de las tres principales agencias de crédito: Equifax, Experian y TransUnion. (Tenga en cuenta que Equifax se está recuperando de su propia violación de datos). En su informe, busque actividades inusuales o desconocidas, como la aparición de nuevas cuentas que no abrió. Y observe las cuentas de su tarjeta de crédito y los extractos bancarios en busca de cargos y pagos inesperados.
  2. Regístrese para un servicio de monitoreo de crédito. Elija un servicio de monitoreo de crédito que supervise constantemente su informe de crédito en las principales agencias de crédito y avise cuando detecte actividad inusual. Para ayudar con el monitoreo, puede configurar alertas de fraude que le notifiquen si alguien está tratando de usar su identidad para crear crédito. Un servicio de informes de crédito como LifeLock puede costar entre $ 10 y $ 30 por me