Mundialmente famoso grupo de hackers roba millones de cajeros en todo el mundo

Lazarus (Lázaro), el conocido grupo de hackers, ha sustraído decenas de millones de dólares de cajeros automáticos en Asia y África desde finales del 2016, según informa Symantec

Mano de hombre retirando dinero de cajero automático

  • Desde el 2016, hackers de Lazarus Group han llevado a cabo una operación dirigida a robar dinero de cajeros automáticos
  • Lazarus Group está directamente vinculado a Corea del Norte, y se le atribuye el más reciente ataque WannaCry
  • Operación FASTCash está diseñada para retirar dinero de cajeros automáticos en forma simultánea en decenas de países

La semana pasada, los expertos en seguridad reportaron a un grupo de hackers altamente sofisticado como el cerebro detrás de una serie de ciberataques problemáticos que han dejado a las empresas financieras en todo el mundo sacudidas desde 2016.

Al establecer vínculos entre una serie de ciberataques globales organizados por una pandilla de ciberdelincuentes, los expertos han logrado desenmascarar un ataque de malware denominado Operación FASTCash.

La operación FASTCash, que tiene como objetivo estafar a los bancos de todo su dinero, apunta a los cajeros automáticos (ATM) en varios países, eliminándolos al mismo tiempo y en una fracción de segundo.

El ataque de malware, que ha dirigido a países de Asia y África desde 2016, comenzó a extenderse a otros continentes de manera más rampante este año.

El mes pasado, las autoridades de los EEUU expresaron su preocupación por el aumento dramático en el número de ataques similares en los últimos meses y sonaron una alerta global.

El gobierno de los EEUU utilizó el nombre en clave ‘Hidden Cobra’ (Cobra Oculta) para el Grupo Lazarus, al que anteriormente se le atribuyó la “actividad cibernética maliciosa del gobierno de Corea del Norte”.

El señuelo de ‘FAST CASH’

El 2 de octubre, oficinas gubernamentales de los EEUU, incluyendo el US-CERT, el Departamento de Seguridad Nacional (DHS), el Departamento del Tesoro y el FBI, emitieron una alerta atribuyendo la serie de ataques de cajeros automáticos globales a “Cobra Oculta”.

En alerta, las agencias gubernamentales de los Estados Unidos estimaron que hasta la fecha, el grupo Lazarus ha robado decenas de millones de dólares en 30 países diferentes a través de su ‘Operación FASTCash’.

La alerta señaló que “el DHS, el Tesoro y el FBI identificaron el malware y otros indicadores de compromiso (IOC) utilizados por el gobierno de Corea del Norte en un plan de retiro de cajeros automáticos”.

La declaración también identificó casos específicos, señalando que un incidente en 2017 hizo que se retirara efectivo de forma simultánea de cajeros automáticos en más de 30 países diferentes.

También detalló otro incidente importante que tuvo lugar este año, en el que se eliminó el efectivo de los cajeros automáticos en 23 países diferentes.

Los funcionarios de los EEUU señalaron que el grupo había “explotado los sistemas específicos utilizando su conocimiento de la Organización de Normas Internacionales (ISO) 8583, el estándar para la mensajería de transacciones financieras … Lo más probable es que los actores hayan implementado bibliotecas ISO 8583 en los servidores de aplicaciones de conmutadores específicos”.

Semanas después de la emisión de la alerta estadounidense, esta semana, la firma de ciberseguridad Symantec publicó los resultados de su propia investigación sobre los ataques cibernéticos coordinados en los cajeros automáticos.

Si bien Symantec también acusa al Grupo Lazarus de llevar a cabo los ataques FASTCash, su investigación condujo a una revelación clave: que los hackers notorios infectan las redes bancarias con el troyano FASTcash.

Symantec explicó en su informe que, en un intento por realizar retiros fraudulentos, Lazarus viola las redes de los bancos seleccionados.

Luego, el grupo compromete a los servidores de aplicaciones del switch que manejan las transacciones en cajeros automáticos.

La firma de ciberseguridad señaló que una vez que se produce la violación, se implementa el malware ‘Trojan.Fastcash’, que luego intercepta las solicitudes de retiro de efectivo de Lazarus ‘fraudulentas’ y envía respuestas de aprobación falsas.

Esto, afirma Symantec, permite a los hackers deshacerse del efectivo de los cajeros automáticos.

En su informe, Symantec escribió: “Está claro que Lazarus posee un profundo conocimiento de los sistemas bancarios y los protocolos de procesamiento de transacciones y tiene la experiencia para aprovechar ese conocimiento con el fin de robar grandes sumas de dinero de bancos vulnerables”.

La firma también advirtió: “La reciente ola de ataques FASTCash demuestra que los ataques motivados financieramente no son simplemente un interés pasajero para el Grupo Lazarus y ahora pueden considerarse una de sus actividades principales”.

Desenmascarando a los delincuentes globales

Después de permanecer envueltos en el misterio durante la mayor parte de su existencia de una década, el notorio grupo de hackers que operaban como el ‘Grupo Lázaro‘ logró operar de manera discreta, hasta que un atentado ataque cibernético en 2014 los delató.

En noviembre de 2014, un grupo de hackers violaron los sistemas de la destacada empresa estadounidense Sony Pictures Entertainment con un ataque del tipo ‘file wiper’ (borra archivos), lo que dejó paralizados los sistemas de la compañía y filtró al internet terabytes de datos relacionados con la compañía para que el mundo los vea.

Los datos filtrados en línea incluyeron memos confidenciales y correos electrónicos intercambiados entre la alta gerencia de la compañía y algunos personajes y personalidades públicas de alto perfil.

Un grupo de hackers que se identificó como ‘The Guardians of Peace‘ se atribuyó la responsabilidad del ataque y dijo que el ataque se llevó a cabo para protestar por el lanzamiento de una película de Sony Pictures protagonizada por Seth Rogan y James Franco llamada “La entrevista”.

Mientras que la Oficina Federal de Investigaciones (FBI) acababa de iniciar una investigación sobre el ataque cibernético, el grupo se vinculó de inmediato con Corea del Norte.

La película que enfureció a los hackers narró una historia ficticia de dos periodistas estadounidenses que fueron reclutados por una agencia de espionaje de los Estados Unidos para asesinar a Kim Jong Un, el líder de la solitaria nación con potencia nuclear, Corea del Norte, a quien van a entrevistar.

Un año después del ataque cibernético, el FBI culpó oficialmente a Corea del Norte por la violación que fue declarada “un asunto serio de seguridad nacional” por el entonces presidente de los Estados Unidos, Barack Obama.

Sin embargo, dos años más tarde, se culpó al Grupo Lazarus por un ataque cibernético aún más grande y mucho más sorprendente, lo que le valió la infamia mundial y el título de ser uno de los grupos de ciberdelincuentes más peligrosos del mundo.

En febrero de 2016, las empresas de seguridad cibernética, al igual que el resto del mundo, expresaron indignación y conmoción cuando una pandilla de hackers reveló sus ambiciosos planes para robar la extraordinaria cantidad de 851 millones de dólares del Banco Central de Bangladesh.

Los piratas informáticos lograron transferir US$81 millones de la red desprotegida del banco.

Investigaciones de varias capas que duraron varios meses finalmente llevaron al desenmascaramiento de los ciberdelincuentes detrás del atroz asalto: el ‘Grupo Lázaro’, que los Estados Unidos denominan ‘Cobra Oculta’

Desde entonces, los notables investigadores cibernéticos de todo el mundo han culpado a esta notoria pandilla por una serie de perturbaciones, sabotajes, robos financieros o ataques de espionaje.

Si bien algunos expertos en seguridad han rastreado la actividad del grupo desde el año 2009, el Grupo Lazarus fue el culpable más reciente del ataque de ransomware WannaCry 2017, que causó un caos global.

El ataque de WannaCry ransomware infectó más de 300,000 computadoras, paralizando los sistemas en 100 países, incluyendo América, Europa, Rusia y China.

En 2013, el grupo fue acusado de atacar a los medios de comunicación y compañías financieras surcoreanas en dos operaciones separadas de ciberespionaje llamadas “Operación Troya” y “Operación DarkSeoul”.

Según los expertos, incluidas las agencias gubernamentales de Symantec y EEUU, El ataque FASTCash, el ransomware WannaCry y la violación de Sony, todos llevan el mismo conjunto de huellas dactilares que pertenecen al Grupo Lazarus.

La ‘Operación FASTCash‘ se está calificando como el robo de cajeros automáticos más grande y más dañino del mundo hasta el momento.

 

Referencias:

Escrito originalmente por Sheetal Sukhija para bignewsnetwork.com

symantec.com

hipertextual.com

leer más
Isaul CarballarMundialmente famoso grupo de hackers roba millones de cajeros en todo el mundo

Más de 50 naciones, pero no EEUU, firman pacto de ciberseguridad

EEUU, Rusia y China, naciones que no firmaron el Llamado de Paris convocado por Francia para establecer normas internacionales sobre ciberseguridad

Logo del Llamado de París

  • Nuevo pacto de paz cibernética firmado por otros 51 países, 224 empresas y 92 grupos sin fines de lucro y de defensa
  • Iniciativa diseñada para establecer normas internacionales para Internet, incluida la buena higiene digital y la divulgación coordinada de vulnerabilidades técnicas
  • El acuerdo no exige ninguna legislación específica
  • Estados Unidos, China, Rusia, Corea del Norte, Irán, Israel, Australia y Arabia Saudí entre los países que no firmaron

Estados Unidos, Rusia y China, tres de los principales ciber poderes de hoy, se encuentran entre las naciones que no han firmado un acuerdo sobre normas y principios publicado en el Foro de Paz de París por el presidente Emmanuel Macron.

El 12 de noviembre, en el Foro de Gobernanza de Internet de la UNESCO (IGF), el presidente Emmanuel Macron lanzó el Llamado de París para la confianza y la seguridad en el ciberespacio. Esta declaración de alto nivel sobre el desarrollo de principios comunes para asegurar el ciberespacio ya ha recibido el respaldo de muchos Estados, así como de empresas privadas y organizaciones de la sociedad civil.

El Llamado de París para la Confianza y la Seguridad en el Ciberespacio, como se ha denominado el acuerdo, es el esfuerzo más coordinado hasta la fecha para lograr que los países acuerden un conjunto de reglas internacionales para el ciberespacio, una llamada Convención Digital de Ginebra.

El documento describe una serie de objetivos, entre los que se incluyen cómo ayudar a garantizar que los actores extranjeros no interfieran con las elecciones y trabajen para evitar que las empresas privadas “hackeen” o tomen represalias por un delito cibernético. Cuenta con el respaldo de más de 50 países, 90 organizaciones sin fines de lucro y universidades, y 130 corporaciones y grupos privados.

Los Estados Unidos, mientras tanto, no fueron los únicos que no firmaron pase. Rusia, China, Irán e Israel tampoco firmaron. Decisión obvia, ya que algunos de los que se abstuvieron, como China e Irán, tienen iniciativas de guerra cibernética activa.

Los países hispanohablantes que firmaron incluyen: Argentina, Chile, Colombia, España, México y Panamá.

¿Qué implica el Llamado de Paris?

Los partidarios de la Convocatoria de París están comprometidos a trabajar juntos para:

  1. aumentar la prevención y la resistencia a la actividad maliciosa en línea;
  2. proteger la accesibilidad e integridad de internet;
  3. cooperar para prevenir la interferencia en los procesos electorales;
  4. trabajar juntos para combatir las violaciones de propiedad intelectual a través de Internet;
  5. evitar la proliferación de programas y técnicas maliciosos en línea;
  6. mejorar la seguridad de los productos y servicios digitales, así como la “higiene cibernética” de todos;
  7. reprimir las actividades mercenarias en línea y las acciones ofensivas de actores no estatales;
  8. trabajar juntos para fortalecer las normas internacionales pertinentes.

Críticas al Llamado de París

La lucha contra los ataques cibernéticos y el seguimiento de las elecciones fueron tareas reservadas para funcionarios del gobierno. Pero ahora gran parte de la actividad cívica del mundo se produce no solo en el ciberespacio, sino en plataformas privadas propiedad de compañías como Facebook y Microsoft. Eso significa que es de su interés comercial apoyar medidas como la llamada de París, cuyo objetivo es hacer de Internet un lugar más seguro y predecible.

El Llamado de París finalmente carece de detalles; no requiere que los gobiernos o corporaciones se adhieran legalmente a ningún principio específico. Es sobre todo un símbolo de la necesidad de diplomacia y cooperación en el ciberespacio, donde es difícil hacer cumplir las leyes de un solo país. Más notable que el propio acuerdo es quienes lo firmaron. Las principales corporaciones tecnológicas estadounidenses, como Microsoft, Facebook, Google, IBM y HP, respaldaron el acuerdo.

“El documento es imperfecto, pero llega cuando otros gobiernos, que no respaldaron el Llamado de París, mostraron una visión competitiva basada en la ciberseguridad basada en la soberanía y el control del estado”, dijo Drew Mitnick, asesor de políticas de Access Now. Mitnick dice que su organización está a la espera de la próxima iteración del Llamado de Paris, que está programada para reunirse el próximo año en Alemania.

 

Referencias:

diplomatie.gouv.fr (PDF)

wired.com

axios.com

zdnet.com

elfinanciero.com.mx

peruinforma.com

leer más
Isaul CarballarMás de 50 naciones, pero no EEUU, firman pacto de ciberseguridad

¿Google Hackeado por Rusia y China?

El tráfico de Google dirigido a China y Rusia, resultó en tiempo de inactividad para algunos servicios. El incidente podría ser el resultado de errores técnicos o actividad maliciosa

Mujer con portafolio camina frente a muro de oficinas de Google

  • Una desviación del tráfico de Internet interrumpió los servicios de Google y redirigió sus datos
  • Los principales proveedores de Internet en China y Rusia interceptaron datos de usuarios de Google
  • El ataque puede provocar más ataques a gran escala de las naciones involucradas en el futuro
  • Las interrupciones duraron casi 1.5 horas hasta las 10:30 pm GMT (5:30 pm EST)
  • Google dijo que no tenía motivos para creer que el secuestro de tráfico fuera malicioso

Un desvío de tráfico de Internet redirigió los datos a través de Rusia y China e interrumpió los servicios de Google el lunes, incluidos los servicios de búsqueda, alojamiento en la nube y su conjunto de herramientas de colaboración para empresas.

Algunos usuarios de Google el lunes por la tarde informaron que los servicios, como YouTube, eran lentos o que no se podía acceder. La causa de este problema fue que el tráfico de la compañía se dirigía mal a través de ISP en China, Nigeria y Rusia. Google está investigando el problema, pero comentó que no hay razón para creer que esto fue un ciberataque.

La mayor parte del tráfico de la red a los servicios de Google (el 94% a partir del 27 de octubre) está cifrado, lo que lo protege de miradas indiscretas, incluso si se desvía.

En un aviso publicado el lunes en su sitio web, Google dijo que había resuelto el problema a las 2:35 p.m. Hora del Pacífico, y que sus servicios estaban funcionando como se esperaba.

El problema con las plataformas en línea

Los ingenieros en redes han advertido durante años que las plataformas en línea son vulnerables a los ataques basados ​​en redes que hacen que los datos se desvíen ampliamente de su curso. Tales ataques son posibles porque los grandes proveedores de servicios de red intercambian tráfico a través de un sistema que se basa en gran medida en la confianza mutua a través de protocolos casi tan antiguos como la propia Internet.

Los fallos, como el que experimentó Google el lunes, pueden ocurrir debido a un error técnico, por ejemplo, cuando un ingeniero de red configura incorrectamente los sistemas, o también podrían representar un intento malicioso de interceptar datos, dicen los expertos en redes.

Si tienen acceso a un operador de red lo suficientemente grande, los hackers pueden alterar los mapas de red almacenados en los enrutadores centrales de Internet a través de un sistema conocido como protocolo de puerta de enlace fronteriza o BGP (por sus siglas en inglés Border Gateway Protocol).

El uso de fallas de BGP para redirigir los datos podría permitir a un hacker robar información, escuchar el tráfico o enviar información al olvido cibernético, según los investigadores de seguridad.

¿Un posible experimento de juego de guerra?

Según el profesor Alan Woodward, científico informático de la Universidad de Surrey, el secuestro podría haber sido parte de un elaborado esquema de vigilancia.

Dijo a MailOnline: “El acceso a los datos de las personas es un” activo estratégico “para la vigilancia, y Rusia y China han llevado a cabo ataques de secuestro para recopilar esos datos anteriormente.

Los expertos ahora están preocupados por la posibilidad de que las naciones involucradas obtengan acceso a los datos privados de los usuarios al monitorear el tráfico redirigido.

El presunto ataque también puede ser un signo de lo que vendrá a medida que la guerra cibernética se intensifique entre Occidente y sus competidores globales.

 

 

Referencias:

apnews.com

wsj.com

dailymail.co.uk

 

leer más
Isaul Carballar¿Google Hackeado por Rusia y China?

Atrapan a hacker Ruso buscado por EEUU en Bulgaria

Hacker Ruso acusado de fraude en línea y buscado por los Estados Unidos es arrestado en Bulgaria

Manos de hombre con chaleco rojo sobre teclado de computadora con códigoUn ciudadano ruso acusado de fraude en línea que involucra millones de dólares ha sido arrestado en Varna, Bulgaria, por una orden emitida por los Estados Unidos y está a la espera de un procedimiento de extradición, según un comunicado emitido el jueves por el Tribunal de Distrito de Varna.

Una portavoz del Departamento de Justicia de Estados Unidos se negó a comentar sobre el arresto. “Como una política de larga data, el Departamento de Justicia de los Estados Unidos generalmente no hace comentarios sobre asuntos relacionados con la extradición hasta que el acusado se encuentre en los Estados Unidos. No hay nada público en este momento”, dijo a CNN la portavoz del Departamento de Justicia de los Estados Unidos, Nicole Navas Oxman.

El ciudadano ruso, nombrado por el tribunal como Alexander Zh., De 38 años, con el apellido abreviado, ha sido acusado de fraude electrónico y conspiración para cometer fraude informático que resultó en daños de al menos $ 7 millones.

El acusado y sus cómplices están acusados ​​de engañar a los anunciantes para que realicen pagos por tráfico falso en línea a sus sitios web y anuncios, que fue generado por un software que crearon para parecerse a usuarios reales que navegan por Internet.

Las autoridades estadounidenses los acusan de haber mantenido una red informática con servidores en Dallas, Texas.

Según la orden de arresto emitida por el Tribunal de Distrito de EE. UU. Para el distrito este de Nueva York, los delitos se cometieron entre septiembre de 2014 y diciembre de 2016.

El Tribunal de Distrito de Varna encontró “la medida más apropiada de detención contra el ciudadano ruso como ‘detención provisional’ hasta el inicio del proceso de extradición real”, según una declaración del tribunal.

Las autoridades búlgaras realizaron búsquedas en la casa de Alexander Zh. para recopilar pruebas para el procesamiento en los Estados Unidos, dijo el tribunal.

Si lo encuentran culpable, enfrenta hasta 20 años de prisión en los Estados Unidos, una multa o ambos. Sus acciones también son punibles bajo la ley búlgara, dijo el tribunal.

Alexander Zh. dijo a la corte que él ha estado en Bulgaria durante 8 años y que ha estado viviendo allí permanentemente durante los últimos cuatro. Él tiene una tarjeta de identificación búlgara y su propia casa en Varna.

El consulado general de Rusia en Varna, Vladimir Klimanov, dijo el viernes a la agencia estatal rusa de noticias TASS que las autoridades rusas se enteraron de que su esposa había arrestado a Alexander Zh. “No hemos recibido ninguna información oficial. En estas circunstancias, el Consulado General tomará todas las medidas necesarias”, dijo.

 

Referencia:

Escrito originalmente por Radina Gigova para cnn.com

leer más
Isaul CarballarAtrapan a hacker Ruso buscado por EEUU en Bulgaria

EEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso

El Cyber comando de los EEUU está lanzando muestras de malware atribuidas a grupos de hackers Rusos como un esfuerzo para compartir información

Hacker frente a computadora con banderas de EEUU y Rusia atrás

  • Cibercomando de los EEUU hizo públicas muestras de códigos de hackeo (malware)
  • Razón principal es para compartir información de ciberseguridad y posiblemente fines geopolíticos y/o de estrategia militar
  • Herramientas han sido atribuidas a Rusia por diversas empresas de ciberseguridad

Por lo general, son los rusos los que vuelcan los archivos de sus enemigos. Esta semana, el Comando Cibernético de los Estados Unidos (CYBERCOM, por sus siglas en inglés), una parte del ejército encargado de las misiones centradas en hacking y la ciberseguridad, comenzó a lanzar públicamente muestras no clasificadas de malware de los adversarios que ha descubierto.

CYBERCOM dice que la drástica medida es para mejorar el intercambio de información entre la comunidad de seguridad cibernética, pero de alguna manera podría verse como una señal para aquellos que hackean los sistemas de EEUU. Una señal indicando algo así como ‘nosotros también podemos hacer públicas sus herramientas y tácticas de hacking‘.

“Esto pretende ser un esfuerzo perdurable y continuo de intercambio de información, y no está enfocado en ningún adversario en particular”, dijo Joseph R. Holstead, director interino de asuntos públicos de CYBERCOM.

El viernes, CYBERCOM subió varios archivos a VirusTotal, un motor de búsqueda y repositorio de Google para código malware. Una vez arriba, los usuarios de VirusTotal pueden descargar el malware, ver qué productos antivirus o de ciberseguridad probablemente lo detectan, y ver enlaces a otras piezas de código malicioso.

Desde Rusia con amor

Una de las dos muestras que CYBERCOM distribuyó el viernes está marcada como proveniente de APT28, un grupo de hackers vinculado al gobierno ruso, según varias firmas de ciberseguridad, según lo confirmado por VirusTotal. Entre ellos se incluyen Kaspersky Lab, Symantec y Crowdstrike, entre otros. El grupo de cibercriminales APT28 también se le conoce como Sofacy y Fancy Bear.

Adam Meyers, vicepresidente de inteligencia de CrowdStrike, dijo que la muestra parecía nueva, pero las herramientas de la compañía la detectaron como maliciosa en el primer contacto. Kurt Baumgartner, investigador principal de seguridad en Kaspersky Lab, dijo que la muestra “fue conocida por Kaspersky Lab a finales de 2017” y fue la misma que se usó en ataques en Asia Central y el sudeste de Europa en ese momento.

“Al informar sobre ello, los investigadores de Kaspersky Lab señalaron que parecía interesante que estas organizaciones compartieran la superposición como objetivos anteriores de Turla [otro grupo de hacking ruso]. En general, no es “nuevo” sino que está disponible para el público de VirusTotal “.

El malware en sí no parece estar todavía activo. Un portavoz de Symantec dijo que los servidores de comando y control, las computadoras que le dicen al malware qué comandos ejecutar o almacenar datos robados, ya no funcionan. El vocero agregó que Symantec detectó la muestra cuando la compañía actualizó sus herramientas de detección hace un par de meses.

CYBERCOM anunció su nueva iniciativa el lunes y cargó sus dos primeras muestras el mismo día.

 

Referencia:

motherboard.vice.com

leer más
Isaul CarballarEEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso

Chile: Banco Consorcio nueva víctima de ciberataque al sistema financiero

Banco reconoce haber sido víctima de hackeo que le costó casi 2 millones de dólares

Edificio corporativo del Banco Consorcio en Santiago, Chile

  • Banco Consorcio de Chile fue víctima de un hackeo esta semana
  • El costo del ataque asciende a casi 2 millones de dólares
  • No hay afectaciones en cuentas de clientes del banco

El banco chileno Consorcio dijo ayer que ha perdido casi 2 millones de dólares en un ciberataque a principios de esta semana.

En un comunicado publicado en Twitter, el banco dijo que los delincuentes habían manipulado sus transferencias internacionales el martes, creando cargos falsos en una cuenta mantenida por Consorcio en un banco corresponsal en el extranjero.

El banco dijo que su pérdida estaba asegurada y que los datos del cliente y los sistemas operativos no se vieron afectados por el ataque.

La Superintendencia de Bancos e Instituciones Financieras (SBIF) decidió colocar al sistema bancario completo “en contingencia”, a fin de asegurarse que el incidente se haya mantenido contenido en la institución afectada.

La distribución de troyanos bancarios más importante del mundo

Emotet es un programa bancario de malware de troyanos que obtiene información financiera al inyectar un código de computadora en las redes de una computadora infectada, lo que permite el robo de datos confidenciales a través de la transmisión.

Como muchos otros ataques phishing, el ataque radica en hacer creer a la víctima que el documento o correo es un documento oficial.

Correo apócrifo con virus EmotetEn el caso del Banco Consorcio, los hackers aparentemente fueron capaces de violar los sistemas de seguridad del banco mediante la conocida táctica de phishing. Donde un aparentemente inocente documento de Word contenía un código que fue capaz de desatar un virus troyano de la familia Emotet.

Se tienen identificadas muchas variantes parecidas a Emotet, incluyendo: Adwind, Pony, TrickBot y otros. Aunque su modus operandi varía un poco.

Algunos se especializan en rastreo, otros en minería de criptomonedas, conexiones a redes de bots, etc. Sin embargo, todos esos virus son muy dañinos y representan una amenaza directa a la privacidad y navegación web.

En el caso de Emotet, una particular amenaza para el sector financiero.

Un sector en ciber riesgo

A principios de este año, el sector bancario chileno sufrió importantes ataques. Dichos ataques involucraron al Banco de Chile, uno de los cuatro bancos más grandes del país, así como a varias filtraciones significativas de datos de tarjetas de crédito.

Los ataques cibernéticos de este año en sistemas financieros relativamente sofisticados, como los de Chile y México, han demostrado ser una “llamada de atención” para la industria latinoamericana, según los expertos.

Según el informe reciente de la Organización de Estados Americanos, al menos el 37% de todos los bancos en América Latina y el Caribe fueron atacados con éxito el año pasado. El informe muestra que el costo para los bancos en términos de recuperación y respuesta a incidentes de seguridad digital alcanzó los 809 millones de dólares.

Banco Consorcio es un banco más pequeño que forma parte de uno de los grupos de seguros y servicios financieros más grandes de Chile, el Consorcio Financiero.

leer más
Isaul CarballarChile: Banco Consorcio nueva víctima de ciberataque al sistema financiero

Detectan nueva vulnerabilidad en sitios de comercio electrónico

Nueva vulnerabilidad en el plugin WooCommerce permite que vándalos tomen control total de tu tienda web

Ciberseguridad para comercio electrónico en WordPress

  • Nueva vulnerabilidad en plugin WooCommerce permite control total de tienda en línea
  • Requiere acceso de administrador de tienda para borrar archivos
  • Atacantes podrían ser empleados insatisfechos o inconformes

Una vulnerabilidad en la plataforma de tiendas en línea WooCommerce, utilizada por más de cuatro millones de sitios web, puede ser explotada para secuestrar las instalaciones de WordPress que usen el popular plugin.

Los investigadores de RIPSTech descubrieron e informaron la falla directamente a los desarrolladores de WooCommerce, quienes solucionaron el error en la versión 3.4.6, así que asegúrate de estar ejecutando ésta.

Si se explota, el error les permite a los usuarios con una cuenta de administrador de tienda en WooCommerce la capacidad de eliminar archivos en el servidor, y posiblemente hacerse cargo de las cuentas de administrador. Eso significa que los empleados deshonestos, o alguien con acceso a sus cuentas, podrían vandalizar o alterar el sitio web del host, y así sucesivamente.

 

Riesgo basado en roles

“La forma en que WordPress maneja los privilegios es mediante la asignación de ciertas capacidades a diferentes roles”, explicó el investigador de RIPSTech Simon Scannell

“Cuando se define el rol de administrador de la tienda, se le asigna la capacidad de ‘editar usuarios’ para que puedan editar cuentas de clientes de la tienda. Esto sucede durante el proceso de instalación del plugin”.

Luego, el plugin o complemento intentará limitar estos administradores de tiendas para que solo puedan alterar las cuentas de los clientes y no editar las cuentas de administrador.

Sin embargo, los investigadores descubrieron que había una falla en el diseño: el rol de administrador de la tienda con su capacidad de ‘editar usuarios’ se define directamente en WordPress, mientras que los controles de acceso que limitan a los administradores son administrados por WooCommerce.

Esto significa que si una cuenta de administrador de la tienda puede cerrar el complemento WooCommerce, el usuario tendrá capacidad de edición completa en todas las cuentas de WordPress.

leer más
Isaul CarballarDetectan nueva vulnerabilidad en sitios de comercio electrónico

Nueva variante de virus Stuxnet ataca a Irán mientras Israel permanece callado

Un malware similar en naturaleza a Stuxnet, pero más agresivo y sofisticado supuestamente afectó la infraestructura y las redes estratégicas en Irán

Virus StuxnetUn virus informático malicioso similar a Stuxnet, pero “más violento, más avanzado y más sofisticado” ha provocado agitación en la infraestructura interna de Irán, dijo el miércoles un informe de la televisión israelí.

El informe de televisión se emitió después de que se reveló públicamente que la agencia de inteligencia Mossad había frustrado un complot de asesinato iraní en Dinamarca. 48 horas antes de eso, Irán reconoció que el teléfono móvil del presidente Hassan Rouhani había sido interceptado.

También sigue una serie de golpes de inteligencia israelíes contra Irán, incluida la extracción de Teherán en enero por el Mossad, del contenido de un vasto archivo que documenta el programa de armas nucleares de Irán y los detalles del Primer Ministro Benjamin Netanyahu en la ONU en septiembre de otros presuntos activos nucleares y de misiles iraníes dentro de Irán, en Siria y en el Líbano.

Calificándolo como uno de los “mayores logros” de la inteligencia israelí, el primer ministro israelí, Benjamain Netanyahu, dijo que los documentos, cuadros, videos y planos “incriminatorios” fueron compartidos con los Estados Unidos, y que “pueden responder por su autenticidad”.

Los funcionarios israelíes están mudos ante cualquier posibilidad de que hayan contribuido a la infiltración cibernética.

Los detalles sobre el supuesto nuevo ataque son superficiales en este momento, ya que no hay detalles sobre el supuesto ataque, el daño que causó o sus objetivos.

“¿Recuerdan a Stuxnet, el virus que penetró en las computadoras de la industria nuclear iraní?”, Se preguntó en el informe sobre las noticias israelíes Hadashot. Irán “ha admitido en los últimos días que nuevamente enfrenta un ataque similar, de un virus más violento, más avanzado y más sofisticado que antes, que ha afectado a la infraestructura y las redes estratégicas”.

Al referirse a la última versión de un nuevo virus informático, The Times of Israel dice que el informe de la televisión del miércoles señaló que “en el pasado, Estados Unidos e Israel habían trabajado juntos en operaciones”. Tratando de establecer si Israel tenía algún rol en el último ataque cibernético, el informe de la televisión decía: “Hemos intentado aclararlo. Se niegan a comentar “.

¿Por qué es tan peligroso Stuxnet?

Stuxnet es un virus informático malicioso que se inició por primera vez hace ocho años y se cree que fue la creación de las agencias de inteligencia en los EEUU e Israel.

Stuxnet es un conjunto de herramientas avanzadas específicamente diseñadas para afectar a equipos de sistemas de control industriales de la marca Siemens. Más específicamente, Stuxnet puede reprogramar los PLC (por sus siglas en inglés Controlador Lógico Programable) para centrífugas de enriquecimiento de uranio en varias instalaciones en Irán.

Construido para propósitos de sabotaje, el malware fue sigiloso en sus acciones y diseñado para parecer como si el daño que causó a las centrífugas fuera de hecho el resultado de un mal funcionamiento accidental del equipo. Llegando a pasar desapercibido por meses.

El virus informático Stuxnex destruyó miles de centrifugadoras involucradas en el controvertido programa nuclear de Irán en las centrales eléctricas de Natanz y Bushehr al infectar las centrifugadoras y obligarlas a operar a velocidades superiores, lo que fue perjudicial para el proceso de enriquecimiento.

Irán se movió para aumentar sus capacidades cibernéticas en 2011 luego de que el virus informático Stuxnet destruyó miles de centrifugadoras involucradas en su programa nuclear en disputa. Se cree que Stuxnet es una creación estadounidense e israelí.

La guerra cibernética se sigue gestando

Eyal Wachsman, director ejecutivo de la compañía de seguridad cibernética israelí Cymulate, dijo a The Media Line que “Irán ha atacado físicamente a objetivos civiles y militares de todo el mundo con bombas y armas, y en los últimos años, ha llevado la lucha al ciberespacio.

“Se cree que los Estados Unidos e Israel, maestros de la guerra cibernética, han estado detrás de contraataques contra Irán en el pasado, incluido el virus Stuxnet en 2010”, dijo Wachsman. Ese virus saboteaba los esfuerzos de enriquecimiento nuclear de Irán al acelerar y dañar sus centrifugadoras.

“En 2012, el virus Flame se implementó en las redes informáticas de Irán que recopilan información, y Duqu 2.0 se utilizó en 2015 durante las conversaciones nucleares. Probablemente hubo ataques adicionales que han recibido poca o ninguna atención “, continuó Wachsman.

Después de que las sanciones de los Estados Unidos contra Irán lleguen a plena vigencia el 5 de noviembre, “Irán podría sentirse acorralado y, por lo tanto, podría desencadenar un ataque cibernético muy grave, lo que obligará a los Estados Unidos e Israel a tomar represalias al mismo nivel o posiblemente a un nivel superior”.

Los servicios de inteligencia israelíes ayudarán a Estados Unidos a restablecer las sanciones contra Irán, dijo el lunes el ministro de Seguridad Pública, Gilad Erdan, mientras Teherán, la Unión Europea y China rechazan las acciones económicas.

“Israel debe continuar actuando para que Irán sienta toda la fuerza de las sanciones estadounidenses, y para que los países europeos cambien su posición hipócrita, apoyen el acuerdo nuclear equivocado y se unan al régimen de sanciones”, dijo Erdan.

 

Referencias:

https://www.timesofisrael.com/tv-report-israel-silent-as-iran-hit-by-computer-virus-more-violent-than-stuxnet/

http://www.themedialine.org/news/iran-admits-to-being-hit-by-potent-cyber-attack/

https://www.bleepingcomputer.com/news/security/new-stuxnet-variant-allegedly-struck-iran/

https://apnews.com/75f84b91a7c94fdd94e57707a5d77ccc

 

leer más
Isaul CarballarNueva variante de virus Stuxnet ataca a Irán mientras Israel permanece callado

Anuncian nueva herramienta de descifrado para víctimas de GandCrab

La solución permite que las víctimas del GandCrab pueden descifrar los archivos de forma gratuita y segura

Gandcrab - Malware como servicioLas empresas y los usuarios domésticos afectados por las últimas versiones del ransomware GandCrab ahora pueden recuperar sus archivos bloqueados de forma gratuita, gracias a una nueva herramienta de descifrado.

Es la herramienta de descifrado más completa disponible hasta la fecha para esta familia de ransomware en particular: funciona para todas las versiones de malware excepto las dos existentes (v.1,4 y 5), independientemente de la ubicación geográfica de la víctima. Esta herramienta se lanzó una semana después de que el grupo criminal detrás de GandCrab hiciera claves de descifrado públicas que permitieran que solo un grupo limitado de víctimas ubicadas en Siria recuperaran sus archivos.

El GandCrab 5.0.5 Ransomware continúa siendo distribuido a través de archivos corruptos de Microsoft Word, archivos PDF, páginas de phishing y actualizaciones falsas de las fuentes utilizadas en Mozilla Firefox y Google Chrome. Como se mencionó anteriormente, el GandCrab Ransomware se opera como una plataforma de Ransomware-as-a-Service, y la amenaza se propaga de varias formas. Se recomienda a los usuarios de PC que eviten archivos de ubicaciones no verificadas y remitentes de correo electrónico y se abstengan de usar software pirateado.

¿Qué es GandCrab?

El ransomware GandCrab se descubrió a fines de enero de 2018 cuando se ofrecía com Ransomware como servicio (RaaS por sus siglas en Inglés Ransomware-as-a-Service) y pronto se convirtió en el ransomware más popular y extendido del año.

El ransomware es un tipo de malware que encripta todos los datos en una máquina, red y nube, y exige un rescate en criptomoneda para regresar la clave de descifrado. Las víctimas generalmente solo tienen unos pocos días para pagar o nunca volverán a ver su información.

¿Cómo funciona GandCrab?

GandCrab se distribuye a través de múltiples vectores de difusión, que incluyen correos electrónicos no deseados (también conocidos como spam), kits de explotación y otras campañas de programas maliciosos afiliados. Estos correos electrónicos no deseados engañan a los usuarios para que abran el archivo contenido en el archivo ZIP adjunto, que generalmente es un script que descarga el ransomware de GandCrab y lo ejecuta.

El archivo JavaScript está muy oculto. Tras la ejecución, decodifica una URL donde se aloja GandCrab. El script luego descarga el malware a un archivo en el disco y lo ejecuta.

Una vez que GandCrab se apodera de la computadora de la víctima y encripta sus archivos, exige un rescate que oscila entre los US$300 y los US$6000. El rescate se debe pagar a través de monedas virtuales DASH que hacen que las transacciones en línea sean menos rastreables.

¿Porqué es tan peligroso GandCrab?

GandCrab está disponible para todos los cibercriminales basados ​​en un modelo de malware como servicio, lo que lo convierte en una de las amenazas de ransomware más agresivas que existen actualmente. Los ciberdelincuentes sin experiencia pueden usar el kit de herramientas de GandCrab para lanzar sus propios ataques si aceptan pagar un recorte del 30 por ciento a los creadores del ransomware.

En febrero, la policía rumana puso a disposición una primera herramienta de descifrado en No More Ransom, con el apoyo de la compañía de seguridad de Internet Bitdefender y Europol. Una segunda versión del ransomware GandCrab fue posteriormente lanzada por los delincuentes, esta vez con una codificación mejorada que incluía comentarios para provocar la aplicación de la ley, compañías de seguridad y No More Ransom. Una tercera versión siguió un día después.

Ahora en su quinta versión, este malware de bloqueo de archivos continúa actualizándose a un ritmo agresivo. Sus desarrolladores están lanzando constantemente nuevas versiones, con nuevas y más sofisticadas muestras disponibles para evitar las contramedidas de los proveedores de ciberseguridad.

Incluso con la nueva herramienta de descifrado disponible, es probable que GandCrab evolucione y continúe atacando a los usuarios, al menos hasta que sus autores sean identificados y arrestados.

¿Cómo descifrar archivos infectados por GandCrab?

Las víctimas del ransomware GandCrab pueden recuperar sus archivos sin ceder a las demandas de los delincuentes gracias a una nueva herramienta de descifrado publicada gratuitamente en https://www.nomoreransom.org/es/decryption-tools.html

La herramienta de descifrado, dice Bitdefender, se ha desarrollado en estrecha colaboración con Europol y la policía rumana, con el apoyo del FBI y “otras agencias de aplicación de la ley”.

“El lanzamiento de esta herramienta de descifrado es un avance espectacular que destaca la efectividad de la colaboración entre los proveedores de seguridad y las agencias de aplicación de la ley”, dijo un portavoz de Bitdefender.

“Hemos pasado meses investigando criptografía y desplegando una infraestructura considerable para hacer esto posible y ayudar a las víctimas a recuperar el control de sus vidas digitales sin costo alguno”.

Los expertos en seguridad cibernética están advirtiendo a todos, empresas y personas, que se mantengan seguros, tengan cuidado al abrir enlaces y archivos adjuntos en los correos electrónicos, que guarden una copia de seguridad de los archivos importantes en un disco fuera de línea y que instalen una solución antivirus.

 

Referencias:

GandCrab Ransomware decryption tool

https://www.itproportal.com/news/gandcrab-ransomware-toppled-by-bitdefender/

https://www.acronis.com/en-us/articles/gandcrab/

Most GandCrab Ransomware Victims Can Now Recover Their Files for Free

https://www.nomoreransom.org/es/decryption-tools.html

leer más
Isaul CarballarAnuncian nueva herramienta de descifrado para víctimas de GandCrab

FIFA se prepara para divulgación de información privada después de segundo hackeo

La FIFA se está preparando para el lanzamiento de una gran cantidad de información obtenida por piratas informáticos luego de confirmar que sus sistemas informáticos fueron sometidos a un segundo ataque cibernético.

Presidente de FIFA Gianni Infantino

La FIFA reconoció esta semana que sus sistemas informáticos fueron hackeados a principios de este año por segunda vez, y los funcionarios del organismo rector del fútbol europeo temen que también puedan haber sufrido una violación de datos.

El ataque a la FIFA, el organismo rector del fútbol mundial, ocurrió en marzo y no se cree que esté conectado a un ataque cibernético orquestado por un grupo vinculado a la agencia de inteligencia de Rusia en 2017. Ese incidente llevó a la publicación de una lista de pruebas de drogas fallidas en el fútbol.

La información que se vio comprometida en el segundo ataque cibernético a la FIFA aún no está clara, pero un consorcio de organizaciones de medios de comunicación europeas planea publicar una serie de historias basadas en parte en los documentos internos tan pronto como el viernes. El grupo Football Leaks originalmente obtuvo los documentos.

Los oficiales de la UEFA fueron objeto de una llamada operación de suplantación de identidad (phishing) en la que terceros engañan a sus objetivos para que renuncien a los datos de inicio de sesión protegidos por contraseña, aunque la organización no ha podido encontrar rastros de un hack en sus sistemas informáticos.

Preocupación de Infantino

El jefe de la FIFA ha expresado su preocupación por los informes de los medios potencialmente dañinos luego de que, según informes, los piratas informáticos atacaron al organismo rector del fútbol mundial.

De acuerdo con la FIFA, la organización se ha enfrentado a preguntas relacionadas con la información interna y contenidas en ellas, de ahí la preocupación de Infantino.

“Después de un hackeo en marzo de 2018, la FIFA tomó una serie de medidas para mejorar la seguridad de TI con el fin de proteger a los empleados, y nos preocupa el hecho de que se haya obtenido información de manera ilegal”, dijo la FIFA en un comunicado.

“La FIFA condena cualquier intento de comprometer la confidencialidad, integridad y disponibilidad de los datos en cualquier organización utilizando prácticas ilegales”.

La FIFA, cuyas computadoras en su sede de Zurich fueron objeto del ataque, no ha comentado sobre la magnitud de la violación, pero dijo que estaba “preocupada de que se haya obtenido información de manera ilegal”.

Infantino y otros jefes de la FIFA asisten actualmente al congreso de la Confederación Asiática de Fútbol (AFC) en Kuala Lumpur, donde Infantino se ha pronunciado a favor de aumentar el número de equipos participantes en la Copa Mundial 2022 en Qatar de 32 a 48. “Si es posible, ¿por qué no? le dijo al congreso.

Desde septiembre de 2015, Football Leaks ha estado publicando información confidencial sobre los asuntos fiscales de varios de los mejores futbolistas, incluidos Cristiano Ronaldo y Lionel Messi. La fuente, supuestamente con sede en Portugal, ha transmitido desde entonces enormes volúmenes de información a Der Spiegel y otras organizaciones de medios.

leer más
Isaul CarballarFIFA se prepara para divulgación de información privada después de segundo hackeo