Noticias

Red de comunicaciones de El Chapo es crackeada por agentes federales de EUA

En el juicio del Chapo: Un colombiano experto en TI ayudó a las autoridades de EEUU a “Hackear” al capo

Los fiscales que participaron en el juicio de “El Chapo” Joaquín Guzmán, el pasado martes 8 de Enero, presentaron extractos de lo que dijeron que eran llamadas telefónicas incriminatorias hechas por el acusado narcotraficante mexicano e interceptadas por el FBI “después de que se infiltraron en su sistema de mensajería cifrada” con la ayuda del colombiano y ex ingeniero de sistemas de cárteles Christian Rodríguez.

Como lo informó anteriormente el medio Vice, el narcotraficante colombiano Jorge Cifuentes declaró que Christian Rodríguez había olvidado renovar una clave de licencia crítica para la red de comunicaciones del Cartel de Sinaloa de Guzmán en septiembre de 2010, lo que obligó a los líderes de los carteles a confiar temporalmente en los teléfonos celulares convencionales. Cifuentes dijo a la corte que él consideraba a Rodríguez “una persona irresponsable” que había comprometido su seguridad, con una breve llamada telefónica de los fiscales que mostraba que Cifuentes advirtió al subordinado que estaba a cargo de que el “sistema siempre funcionara“.

En febrero de 2010, un agente encubierto del F.B.I. se reunió en un hotel de Manhattan con Christian Rodriguez, el experto en TI, que había sido objeto de una investigación delicada. Christian Rodríguez, había desarrollado recientemente un producto extraordinario: un sistema de comunicaciones encriptado para Joaquín Guzmán Loera, el narcotraficante mexicano conocido como El Chapo.

Haciéndose pasar por un mafioso ruso, el agente encubierto le dijo al Sr. Rodríguez que estaba interesado en adquirir un sistema similar. Quería una manera, o eso decía, de hablar con sus asociados sin que la policía los escuchara.

Más tarde, engañaron a Rodríguez, haciéndole transferir servidores de Canadá a los Países Bajos en un movimiento enmascarado como una actualización de sistemas. Durante ese proceso, Rodríguez transfirió a los investigadores las claves de cifrado de la red.

La existencia del esquema, y ​​varias de las llamadas telefónicas, se revelaron por primera vez el martes cuando Stephen Marston, un agente del F.B.I. que ayudó a dirigir la operación apareció como testigo en el juicio del Sr. Guzmán. En un día de testimonios, el Sr. Marston dijo a los jurados que el paso crucial en la investigación era reclutar al Sr. Rodríguez para trabajar con las autoridades estadounidenses.

Llamadas devastadoras e incriminatorias

Los extractos de las llamadas telefónicas que llegaron a la sala del tribunal de Brooklyn el martes incluyeron discusiones sobre los tratos con funcionarios locales, incluido uno en el que Guzmán parece advertir a un asociado que tenga cuidado al tratar con la policía.

Bueno, nos enseñaste a ser un lobo, actuar como un lobo“, respondió el asociado.

En otras partes de las grabaciones de Guzmán, el reportero del NYTimes Alan Feuer twiteó:

En una llamada de Abril/2011, el Chapo está hablando con su guardaespaldas y un pistolero, Cholo Ivan, que ha estado luchando con la policía. Chapo le dice a Ivan que amague a los policías en lugar de pelear con ellos para asegurarse de “no ejecutar a personas inocentes“.

A esos policías, ya no los machaques“, le dice Chapo a Iván. “Ellos son los que ayudan“. Un poco más tarde, Iván se queja de que los policías deben respetarlo y comportarse. “Escucha“, dice Chapo, “ya los golpeaste una vez. Deben escuchar ahora“.

En otra serie de llamadas de Julio/2011, Chapo está hablando con un agente del cártel llamado Gato, que informa sobre su soborno a un nuevo comandante de la Policía Federal Ministerial. “¿Está recibiendo el pago mensual?” Chapo pregunta. ““, responde Gato. “Está recibiendo el pago mensual“.

Luego, sorprendentemente, Gato pone el comandante de la Policía Federal EN EL TELÉFONO. El Chapo le dice al comandante que Gato es de “la compañía” y le pide al “comandante que lo cuide“. “Cualquier cosa que podamos hacer por usted“, dice Chapo, “puede contar con ello“. El comandante dice: “Tienes un amigo aquí“.

Montañas de evidencia

Hasta el momento, se han presentado toneladas de pruebas en el juicio, incluido el testimonio de antiguos compinches de Guzmán “sobre los envíos de drogas de varias toneladas, las guerras mortales entre señores de la droga rivales y la corrupción de funcionarios públicos mexicanos”.

Sin embargo, las grabaciones presentadas el martes son algunas de las pruebas más condenatorias que los fiscales han presentado al momento. The Times escribió que la infiltración del sistema de comunicaciones por parte del FBI es “una de las escuchas telefónicas más extensas de un acusado criminal desde que el jefe de la Mafia, John Gotti, fue registrado en secreto en el Club Social Ravenita“.

leer más
Isaul CarballarRed de comunicaciones de El Chapo es crackeada por agentes federales de EUA

‘Hackean’ casi medio millón de routers para minar criptodivisas

Según un investigador, se han secuestrado más de 400,000 enrutadores para extraer criptomoneda en secreto

Investigadores han encontrado más de 415,000 ruteadores (routers) en todo el mundo que han sido secuestrados para minar criptomonedas de forma secreta. Los enrutadores se han infectado con malware para poder robar la capacidad de cómputo y poder generar las criptomonedas.

Un nuevo informe sugiere que más de 415,000 enrutadores a nivel mundial podrían verse afectados por un malware que permite a los hackers robar el poder de cómputo de las PC conectadas para explotar la criptomoneda en un esquema conocido como cryptojacking. El número de enrutadores afectados se ha más que duplicado desde que el malware se descubrió inicialmente en agosto. En ese momento, se informó que alrededor de 200,000 enrutadores fueron afectados.

“No me sorprendería si la cantidad real de enrutadores infectados en total fuera aproximadamente de 350,000 a 400,000”

Dijo el investigador de seguridad VriesHD a The Next Web.

Aunque la amenaza de malware se está expandiendo, solo afecta a los usuarios que usan enrutadores MikroTik. “Vale la pena señalar que el número de dispositivos violados podría estar ligeramente fuera, ya que los datos reflejan las direcciones IP que se sabe que se han infectado con scripts de cryptojacking”, informó The Next Web. “Aún así, la cantidad total de enrutadores comprometidos sigue siendo bastante alta”.

Los atacantes supuestamente favorecían a CoinHive, un software de minería para Monero (XMR), una criptomoneda orientada inicialmente a la privacidad. Sin embargo, el investigador reveló que también se han cambiado a otro software de minería. “CoinHive, Omine y CoinImp son los servicios más grandes utilizados”, reveló VriesHD. “Solía ​​ser como un 80-90 por ciento de CoinHive, pero un gran actor ha cambiado a usar Omine en los últimos meses”.

Además, VriesHD señaló que los proveedores de servicios de Internet (ISP) pueden ayudar a combatir la propagación del malware. Se puede hacer simplemente forzando actualizaciones a los enrutadores. Según el investigador, los usuarios deben actualizar sus enrutadores, pero el problema es que la mayoría de ellos están distribuidos por los ISP a los usuarios.

Y, a menudo, no saben cómo actualizar el enrutador y, a menudo, los enrutadores distribuidos tienen derechos limitados donde los usuarios no pueden actualizar los enrutadores por sí mismos.

“El parche para este problema específico se ha publicado hace meses y he visto ISPs con miles de infecciones desaparecer de la lista “

Agregó VriesHd

Un parche está disponible

Sin embargo, la buena noticia es que un parche se preparó un día después del descubrimiento para eliminar a los enrutadores afectados del malware cryptojacking. Los expertos en seguridad recomiendan que los usuarios de los enrutadores MikroTik descarguen el último firmware del sitio web de la compañía para mantenerse a la vanguardia del malware.

Aunque la burbuja de la criptomoneda ha explotado, lo que ha provocado un exceso de tarjetas gráficas que se almacenaron durante el apogeo del auge de las criptografías, el cryptojacking sigue siendo una seria amenaza para la seguridad.

En un incidente separado el mes pasado, la Universidad St. Francis Xavier de Canadá en Nueva Escocia se vio obligada a cerrar toda su red luego de consultar con expertos en seguridad cibernética al descubrir que un hacker había pirateado el sistema de la universidad para robar recursos informáticos para Bitcoin.

Afortunadamente para los ataques de cryptojacking, la información personal en o transmitida a través de la red generalmente no se ve comprometida, a diferencia de la historia del malware Wi-Fi vinculado a Rusia de principios de este año. Con el cryptojacking, los atacantes están interesados ​​principalmente en la potencia de cómputo que está conectada a la red Wi-Fi con el fin de aprovechar la criptomoneda.

leer más
Isaul Carballar‘Hackean’ casi medio millón de routers para minar criptodivisas

Descubren “hackeo” que permite instalarle juegos a la nueva console PlayStation Classic

La PlayStation Classic acaba de lanzar, pero los gamers ya han descubierto una forma de “hackearla” y entrar al modo de emulador

Los fabricantes de consolas odian a los emuladores por la forma en que permiten que las personas jueguen juegos sin comprar su hardware o incluso sus juegos.

Sin embargo, dos de las tres mayores compañías de consolas de juegos han recurrido al uso de esos para uno de los juguetes más vendidos.

Por supuesto, hacen un gran esfuerzo para bloquear el acceso a ellos, pero parece que Sony se ha equivocado un poco, al permitir el acceso al menú del emulador instalado utilizando solo los teclados USB.

Ya no es un secreto que Sony usó el emulador PCSX de código abierto, específicamente la versión ReARMed, para la mini consola retro PlayStation Classic.

Ese solo hecho le ha dado algo de esperanza a los modders y los hackers, pero la mayoría de los usuarios habituales se quedan fuera de la diversión. Pero si tiene ciertas marcas y modelos de teclados, cualquiera puede modificar su experiencia PS1 Classic. A su propio riesgo, por supuesto.

La gente del canal de Retro Gaming Arts afirma que solo se encontraron con esta “hazaña” por accidente. Simplemente conectaron un teclado USB y presionaron la tecla Escape en uno de los juegos. Esto trajo un “Menú PCSX” que les permite cambiar algunas configuraciones del emulador, incluida la velocidad de cuadros, líneas de escaneo CRT emuladas, etc.

“Básicamente, todo lo que hice fue tomar un teclado USB y enchufarlo, y luego entré en uno de los juegos y pulsé Escape, y luego eso me dio todo el acceso al emulador”, dijo Matt en la sección anterior.

El truco, sin embargo, está en el teclado. No se ha comprobado que todos los teclados funcionen y no todas las teclas funcionan como se podría esperar. Los videojugadores teorizan que existe una lista negra de USB menos que perfecta en la consola Classic, lo que hace posible que algunos teclados pasen por alto el cheque y otros no.

Este descubrimiento, aunque no es completamente útil, sigue siendo significativo. Podría alentar a los piratas informáticos a profundizar en otras puertas abiertas que Sony pudo haber dejado abiertas accidentalmente. Teniendo en cuenta que la PlayStation Classic se está convirtiendo en algo decepcionante, la motivación para sacar el máximo provecho de la caja pequeña es aún mayor.

Juegos Disponibles en PlayStation Classic

En cuanto a qué juegos vienen en la última mini consola:

PlayStation Classic

PlayStation Classic

  • Battle Arena Toshinden
  • Cool Boarders 2
  • Destruction Derby
  • Final Fantasy VII
  • Grand Theft Auto
  • Intelligent Qube
  • Jumping Flash!
  • Metal Gear Solid
  • Mr Driller
  • Oddworld: Abe’s Oddysee
  • Rayman
  • Resident Evil Director’s Cut
  • Revelations: Persona
  • R4 Ridge Racer Type 4
  • Super Puzzle Fighter II Turbo
  • Syphon Filter
  • Tekken 3
  • Tom Clancy’s Rainbow Six
  • Twisted Metal
  • Wild Arms

Muchos fanáticos de la PlayStation estaban entusiasmados con el Clásico, se burlaron por primera vez, aunque esa exageración se desvaneció rápidamente cuando revelaron la línea completa del juego. Limitando a solo 20 juegos, muchos sintieron que más títulos merecedores no lograron el corte. Aún así, el último mini ya está disponible para todos y es una idea de regalo sólida para quienes se encuentran en medio de las compras navideñas.

leer más
Isaul CarballarDescubren “hackeo” que permite instalarle juegos a la nueva console PlayStation Classic

Lo que tienes que saber sobre el hackeo de Quora

El sitio web de preguntas y respuestas Quora ha sido hackeado, con los nombres y direcciones de correo electrónico de 100 millones de usuarios comprometidos

Logo de Quora sobre pantalla estilo matrixQuora es uno de esos éxitos silenciosos de internet. No siempre aparece en los titulares, pero se ha convertido en una de las fuentes de información más importantes en la Web.

Junto a Wikipedia, por supuesto, el servicio ahora ha llegado a los titulares, pero, desafortunadamente, no de una buena manera. Sus datos de usuario fueron comprometidos, en otras palabras, fue hackeado. Esto es lo que la compañía dice que se tomó y lo que debe hacer, tal vez incluso si no fue afectado en absoluto.

Quora hackeado

En una publicación del blog, el CEO de Quora, Adam D’Angelo, explicó que la compañía notó por primera vez la violación de datos el viernes y desde entonces se ha alistado con investigadores de seguridad independientes para ayudar a investigar lo que sucedió y mitigar el daño.

Recientemente descubrimos que algunos datos de los usuarios se vieron comprometidos como resultado de un acceso no autorizado a uno de nuestros sistemas por parte de un tercero malintencionado. Estamos trabajando rápidamente para investigar más a fondo la situación y tomar las medidas adecuadas para prevenir este tipo de incidentes en el futuro.

También queremos ser lo más transparentes posible sin comprometer nuestros sistemas de seguridad o los pasos que estamos dando, y en esta publicación compartiremos lo que sucedió, la información involucrada, lo que estamos haciendo y lo que puede hacer.

Lamentamos cualquier inquietud o inconveniente que esto pueda causar.

Quora informa que en el momento en que se enteró del acceso no autorizado el 30 de noviembre, se puso en marcha de inmediato, lo que implicó investigar el caso internamente, contratar a una “firma forense y de seguridad digital líder” y notificar a los usuarios que fueron pirateados. No entra en detalles, naturalmente, pero sí apunta con el dedo a un tercero malicioso.

¿Qué datos se robaron?

La cantidad de datos obtenidos de Quora es motivo suficiente para preocuparse. Aunque no incluyen información personal confidencial, sigue siendo un tesoro para los piratas informáticos. Se recolectaron:

  • Información de la cuenta, por ejemplo, nombre, dirección de correo electrónico, contraseña encriptada (con un hash que varía para cada usuario)
  • Datos importados de redes vinculadas cuando son autorizados por los usuarios
  • Contenido público y acciones (por ejemplo, preguntas, respuestas, comentarios, upvotes)
  • Contenidos y acciones no públicos (por ejemplo, solicitudes de respuesta, votos negativos, mensajes directos)

Los datos de usuario comprometidos incluyen contraseñas de hash / cifrado. Sin embargo, las posibilidades de que los hackers las descifren son escasas. Pero no te arriesgues. Quora está notificando a los usuarios afectados de forma privada e invalida sus contraseñas, lo que les obliga a crear otras nuevas.

El servicio también está desconectando a todos y puede ser un buen momento para que cualquier persona con una cuenta de Quora cambie sus contraseñas. Aún más importante, deben verificar que no estén utilizando la contraseña comprometida en ninguna otra cuenta asociada con su correo electrónico.

¿Qué hacer si fuiste una de las víctimas?

Mas allá del posible robo de tun información, es muy poco el impacto a nivel usuario. Definitivamente puedes descartar un robo de identidad, ya que Quora no recopila información personal confidencial como números de tarjeta de crédito o de seguridad social.

Sin embargo, los hackers efectivamente podrían hacer uso de tu información para construir un mejor perfil de tu persona, en lo que se conoce como ingeniería social.

Las personas hacen preguntas personales que podrían ayudar a dibujar un perfil de personalidad y otros dan respuestas que podrían hacer lo mismo. A principios de este año, cuando Facebook admitió que había perdido el control de los datos de 87 millones de usuarios, se le recordó al público en general que las violaciones de datos no son solo sobre el robo de identidad. En ese caso, una empresa que trabaja para la campaña presidencial de Trump de 2016 obtuvo acceso a los datos, lo que generó la preocupación de que se usó para mensajes políticos específicos. La firma ha disputado el número de datos de usuarios que obtuvo y mantiene que ninguno de los datos se empleó directamente durante las elecciones de 2016.

Quora es solo uno de los últimos casos de piratería de alto perfil que llegan a las noticias. A decir verdad, los intentos de piratería nunca se detienen, pero algunos son más exitosos que otros. Y, sin embargo, a pesar de la frecuencia con que suceden estas cosas, todavía estamos en deuda con medidas de seguridad débiles e incluso prácticas de seguridad más débiles.

 

leer más
Isaul CarballarLo que tienes que saber sobre el hackeo de Quora

6.500 páginas de la dark web son borradas en hackeo

Daniel’s Hosting, uno de los mayores proveedores de servicios de alojamiento de Dark Web, fue hackeado esta semana

Hombre camina sobre pasillo de noche, red de telaraña encimaEl proveedor de servicios de alojamiento en la llamada dark web, Daniel´s Hosting, ha sido hackeado, eliminando 6.500 sitios del servidor, confirmó el servicio mediante un mensaje en el sitio.

El desarrollador de software, Daniel Winzen, que opera Daniel´s Hosting, dijo que el atacante obtuvo y eliminó todas las cuentas, incluido el servidor raíz.

Winzen dijo que tampoco se realizó una copia de seguridad de todos los archivos de datos guardados en la página.

“No hay manera de recuperarse de esta violación, todos los datos se han ido”, escribió Winzen en un mensaje en el portal principal del sitio web.

El mensaje de Daniel Hosting

El 15 de noviembre, alrededor de las 10:06 PM UTC, el servidor de alojamiento inició sesión a través de phpmyadmin y adminer con la contraseña de administración de alojamiento correcta y eliminó todas las cuentas. Cabe destacar que también se eliminó la cuenta “raíz”, que se inyectó en la base de datos a las 10:53 PM UTC y se eliminó a las 12:50 AM, poco después de que quedaran eliminadas las bases de datos restantes del chat, la lista de enlaces y el contador de visitas. Desafortunadamente, no es posible encontrar la causa raíz mediante el análisis de registros, ya que el 14 a las 5:33 ya se había accedido a la base de datos con este usuario y se desconoce por cuánto tiempo los hackers pueden haber tenido acceso a la base de datos debido a los registros rotativos con frecuencia. Sin embargo, la contraseña de la base de datos se actualizó por última vez el 20 de octubre, lo que indica que el hackeo debe haber ocurrido en el último mes. Hasta la fecha, alrededor de 6500 Servicios Ocultos estaban alojados en el servidor. No hay manera de recuperarse de esta violación, todos los datos se han ido. Volveré a habilitar el servicio una vez que se haya encontrado la vulnerabilidad, pero ahora mismo primero necesito encontrarla. Lo más probable es que en diciembre el servicio esté de vuelta.

https://danwin1210.me/

Alojamiento en la dark web

Daniel Hosting ofrecía una amplia gama de sitios web de Onion, que se ejecutan en la red Tor o The Onion Router.

Tor está diseñado para proteger la identidad de los usuarios web, y los servicios en su página varían de fan fiction a malware, sitios web de mercado y sitios de entrega para denunciantes, entre otros.

Winzen dijo que su investigación muestra que el intruso solo pudo obtener derechos administrativos sobre la base de datos, en lugar de tener acceso completo al sistema.

Hasta el momento, Winzen dijo que aún está tratando de averiguar la causa del ataque o cómo se llevó a cabo el ataque.

Actualmente, identificó una falla, una vulnerabilidad PHP de las llamadas día cero. Los detalles sobre esta vulnerabilidad sin parches se conocieron durante aproximadamente un mes en los círculos rusos de programación de PHP, pero el fallo ganó mucha atención entre las comunidades de programación e infosec más amplias, el 14 de noviembre, un día antes del ataque. Winzen, sin embargo, dijo a ZDNet que no cree que éste sea el punto de entrada real del hacker.

En su mensaje, dijo que espera que el sitio vuelva a funcionar en diciembre.

 

Referencias:

bbc.com

fayerwayer.com

zdnet.com

danwin1210.me

siliconangle.com

leer más
Isaul Carballar6.500 páginas de la dark web son borradas en hackeo

Mundialmente famoso grupo de hackers roba millones de cajeros en todo el mundo

Lazarus (Lázaro), el conocido grupo de hackers, ha sustraído decenas de millones de dólares de cajeros automáticos en Asia y África desde finales del 2016, según informa Symantec

Mano de hombre retirando dinero de cajero automático

  • Desde el 2016, hackers de Lazarus Group han llevado a cabo una operación dirigida a robar dinero de cajeros automáticos
  • Lazarus Group está directamente vinculado a Corea del Norte, y se le atribuye el más reciente ataque WannaCry
  • Operación FASTCash está diseñada para retirar dinero de cajeros automáticos en forma simultánea en decenas de países

La semana pasada, los expertos en seguridad reportaron a un grupo de hackers altamente sofisticado como el cerebro detrás de una serie de ciberataques problemáticos que han dejado a las empresas financieras en todo el mundo sacudidas desde 2016.

Al establecer vínculos entre una serie de ciberataques globales organizados por una pandilla de ciberdelincuentes, los expertos han logrado desenmascarar un ataque de malware denominado Operación FASTCash.

La operación FASTCash, que tiene como objetivo estafar a los bancos de todo su dinero, apunta a los cajeros automáticos (ATM) en varios países, eliminándolos al mismo tiempo y en una fracción de segundo.

El ataque de malware, que ha dirigido a países de Asia y África desde 2016, comenzó a extenderse a otros continentes de manera más rampante este año.

El mes pasado, las autoridades de los EEUU expresaron su preocupación por el aumento dramático en el número de ataques similares en los últimos meses y sonaron una alerta global.

El gobierno de los EEUU utilizó el nombre en clave ‘Hidden Cobra’ (Cobra Oculta) para el Grupo Lazarus, al que anteriormente se le atribuyó la “actividad cibernética maliciosa del gobierno de Corea del Norte”.

El señuelo de ‘FAST CASH’

El 2 de octubre, oficinas gubernamentales de los EEUU, incluyendo el US-CERT, el Departamento de Seguridad Nacional (DHS), el Departamento del Tesoro y el FBI, emitieron una alerta atribuyendo la serie de ataques de cajeros automáticos globales a “Cobra Oculta”.

En alerta, las agencias gubernamentales de los Estados Unidos estimaron que hasta la fecha, el grupo Lazarus ha robado decenas de millones de dólares en 30 países diferentes a través de su ‘Operación FASTCash’.

La alerta señaló que “el DHS, el Tesoro y el FBI identificaron el malware y otros indicadores de compromiso (IOC) utilizados por el gobierno de Corea del Norte en un plan de retiro de cajeros automáticos”.

La declaración también identificó casos específicos, señalando que un incidente en 2017 hizo que se retirara efectivo de forma simultánea de cajeros automáticos en más de 30 países diferentes.

También detalló otro incidente importante que tuvo lugar este año, en el que se eliminó el efectivo de los cajeros automáticos en 23 países diferentes.

Los funcionarios de los EEUU señalaron que el grupo había “explotado los sistemas específicos utilizando su conocimiento de la Organización de Normas Internacionales (ISO) 8583, el estándar para la mensajería de transacciones financieras … Lo más probable es que los actores hayan implementado bibliotecas ISO 8583 en los servidores de aplicaciones de conmutadores específicos”.

Semanas después de la emisión de la alerta estadounidense, esta semana, la firma de ciberseguridad Symantec publicó los resultados de su propia investigación sobre los ataques cibernéticos coordinados en los cajeros automáticos.

Si bien Symantec también acusa al Grupo Lazarus de llevar a cabo los ataques FASTCash, su investigación condujo a una revelación clave: que los hackers notorios infectan las redes bancarias con el troyano FASTcash.

Symantec explicó en su informe que, en un intento por realizar retiros fraudulentos, Lazarus viola las redes de los bancos seleccionados.

Luego, el grupo compromete a los servidores de aplicaciones del switch que manejan las transacciones en cajeros automáticos.

La firma de ciberseguridad señaló que una vez que se produce la violación, se implementa el malware ‘Trojan.Fastcash’, que luego intercepta las solicitudes de retiro de efectivo de Lazarus ‘fraudulentas’ y envía respuestas de aprobación falsas.

Esto, afirma Symantec, permite a los hackers deshacerse del efectivo de los cajeros automáticos.

En su informe, Symantec escribió: “Está claro que Lazarus posee un profundo conocimiento de los sistemas bancarios y los protocolos de procesamiento de transacciones y tiene la experiencia para aprovechar ese conocimiento con el fin de robar grandes sumas de dinero de bancos vulnerables”.

La firma también advirtió: “La reciente ola de ataques FASTCash demuestra que los ataques motivados financieramente no son simplemente un interés pasajero para el Grupo Lazarus y ahora pueden considerarse una de sus actividades principales”.

Desenmascarando a los delincuentes globales

Después de permanecer envueltos en el misterio durante la mayor parte de su existencia de una década, el notorio grupo de hackers que operaban como el ‘Grupo Lázaro‘ logró operar de manera discreta, hasta que un atentado ataque cibernético en 2014 los delató.

En noviembre de 2014, un grupo de hackers violaron los sistemas de la destacada empresa estadounidense Sony Pictures Entertainment con un ataque del tipo ‘file wiper’ (borra archivos), lo que dejó paralizados los sistemas de la compañía y filtró al internet terabytes de datos relacionados con la compañía para que el mundo los vea.

Los datos filtrados en línea incluyeron memos confidenciales y correos electrónicos intercambiados entre la alta gerencia de la compañía y algunos personajes y personalidades públicas de alto perfil.

Un grupo de hackers que se identificó como ‘The Guardians of Peace‘ se atribuyó la responsabilidad del ataque y dijo que el ataque se llevó a cabo para protestar por el lanzamiento de una película de Sony Pictures protagonizada por Seth Rogan y James Franco llamada “La entrevista”.

Mientras que la Oficina Federal de Investigaciones (FBI) acababa de iniciar una investigación sobre el ataque cibernético, el grupo se vinculó de inmediato con Corea del Norte.

La película que enfureció a los hackers narró una historia ficticia de dos periodistas estadounidenses que fueron reclutados por una agencia de espionaje de los Estados Unidos para asesinar a Kim Jong Un, el líder de la solitaria nación con potencia nuclear, Corea del Norte, a quien van a entrevistar.

Un año después del ataque cibernético, el FBI culpó oficialmente a Corea del Norte por la violación que fue declarada “un asunto serio de seguridad nacional” por el entonces presidente de los Estados Unidos, Barack Obama.

Sin embargo, dos años más tarde, se culpó al Grupo Lazarus por un ataque cibernético aún más grande y mucho más sorprendente, lo que le valió la infamia mundial y el título de ser uno de los grupos de ciberdelincuentes más peligrosos del mundo.

En febrero de 2016, las empresas de seguridad cibernética, al igual que el resto del mundo, expresaron indignación y conmoción cuando una pandilla de hackers reveló sus ambiciosos planes para robar la extraordinaria cantidad de 851 millones de dólares del Banco Central de Bangladesh.

Los piratas informáticos lograron transferir US$81 millones de la red desprotegida del banco.

Investigaciones de varias capas que duraron varios meses finalmente llevaron al desenmascaramiento de los ciberdelincuentes detrás del atroz asalto: el ‘Grupo Lázaro’, que los Estados Unidos denominan ‘Cobra Oculta’

Desde entonces, los notables investigadores cibernéticos de todo el mundo han culpado a esta notoria pandilla por una serie de perturbaciones, sabotajes, robos financieros o ataques de espionaje.

Si bien algunos expertos en seguridad han rastreado la actividad del grupo desde el año 2009, el Grupo Lazarus fue el culpable más reciente del ataque de ransomware WannaCry 2017, que causó un caos global.

El ataque de WannaCry ransomware infectó más de 300,000 computadoras, paralizando los sistemas en 100 países, incluyendo América, Europa, Rusia y China.

En 2013, el grupo fue acusado de atacar a los medios de comunicación y compañías financieras surcoreanas en dos operaciones separadas de ciberespionaje llamadas “Operación Troya” y “Operación DarkSeoul”.

Según los expertos, incluidas las agencias gubernamentales de Symantec y EEUU, El ataque FASTCash, el ransomware WannaCry y la violación de Sony, todos llevan el mismo conjunto de huellas dactilares que pertenecen al Grupo Lazarus.

La ‘Operación FASTCash‘ se está calificando como el robo de cajeros automáticos más grande y más dañino del mundo hasta el momento.

 

Referencias:

Escrito originalmente por Sheetal Sukhija para bignewsnetwork.com

symantec.com

hipertextual.com

leer más
Isaul CarballarMundialmente famoso grupo de hackers roba millones de cajeros en todo el mundo

Más de 50 naciones, pero no EEUU, firman pacto de ciberseguridad

EEUU, Rusia y China, naciones que no firmaron el Llamado de Paris convocado por Francia para establecer normas internacionales sobre ciberseguridad

Logo del Llamado de París

  • Nuevo pacto de paz cibernética firmado por otros 51 países, 224 empresas y 92 grupos sin fines de lucro y de defensa
  • Iniciativa diseñada para establecer normas internacionales para Internet, incluida la buena higiene digital y la divulgación coordinada de vulnerabilidades técnicas
  • El acuerdo no exige ninguna legislación específica
  • Estados Unidos, China, Rusia, Corea del Norte, Irán, Israel, Australia y Arabia Saudí entre los países que no firmaron

Estados Unidos, Rusia y China, tres de los principales ciber poderes de hoy, se encuentran entre las naciones que no han firmado un acuerdo sobre normas y principios publicado en el Foro de Paz de París por el presidente Emmanuel Macron.

El 12 de noviembre, en el Foro de Gobernanza de Internet de la UNESCO (IGF), el presidente Emmanuel Macron lanzó el Llamado de París para la confianza y la seguridad en el ciberespacio. Esta declaración de alto nivel sobre el desarrollo de principios comunes para asegurar el ciberespacio ya ha recibido el respaldo de muchos Estados, así como de empresas privadas y organizaciones de la sociedad civil.

El Llamado de París para la Confianza y la Seguridad en el Ciberespacio, como se ha denominado el acuerdo, es el esfuerzo más coordinado hasta la fecha para lograr que los países acuerden un conjunto de reglas internacionales para el ciberespacio, una llamada Convención Digital de Ginebra.

El documento describe una serie de objetivos, entre los que se incluyen cómo ayudar a garantizar que los actores extranjeros no interfieran con las elecciones y trabajen para evitar que las empresas privadas “hackeen” o tomen represalias por un delito cibernético. Cuenta con el respaldo de más de 50 países, 90 organizaciones sin fines de lucro y universidades, y 130 corporaciones y grupos privados.

Los Estados Unidos, mientras tanto, no fueron los únicos que no firmaron pase. Rusia, China, Irán e Israel tampoco firmaron. Decisión obvia, ya que algunos de los que se abstuvieron, como China e Irán, tienen iniciativas de guerra cibernética activa.

Los países hispanohablantes que firmaron incluyen: Argentina, Chile, Colombia, España, México y Panamá.

¿Qué implica el Llamado de Paris?

Los partidarios de la Convocatoria de París están comprometidos a trabajar juntos para:

  1. aumentar la prevención y la resistencia a la actividad maliciosa en línea;
  2. proteger la accesibilidad e integridad de internet;
  3. cooperar para prevenir la interferencia en los procesos electorales;
  4. trabajar juntos para combatir las violaciones de propiedad intelectual a través de Internet;
  5. evitar la proliferación de programas y técnicas maliciosos en línea;
  6. mejorar la seguridad de los productos y servicios digitales, así como la “higiene cibernética” de todos;
  7. reprimir las actividades mercenarias en línea y las acciones ofensivas de actores no estatales;
  8. trabajar juntos para fortalecer las normas internacionales pertinentes.

Críticas al Llamado de París

La lucha contra los ataques cibernéticos y el seguimiento de las elecciones fueron tareas reservadas para funcionarios del gobierno. Pero ahora gran parte de la actividad cívica del mundo se produce no solo en el ciberespacio, sino en plataformas privadas propiedad de compañías como Facebook y Microsoft. Eso significa que es de su interés comercial apoyar medidas como la llamada de París, cuyo objetivo es hacer de Internet un lugar más seguro y predecible.

El Llamado de París finalmente carece de detalles; no requiere que los gobiernos o corporaciones se adhieran legalmente a ningún principio específico. Es sobre todo un símbolo de la necesidad de diplomacia y cooperación en el ciberespacio, donde es difícil hacer cumplir las leyes de un solo país. Más notable que el propio acuerdo es quienes lo firmaron. Las principales corporaciones tecnológicas estadounidenses, como Microsoft, Facebook, Google, IBM y HP, respaldaron el acuerdo.

“El documento es imperfecto, pero llega cuando otros gobiernos, que no respaldaron el Llamado de París, mostraron una visión competitiva basada en la ciberseguridad basada en la soberanía y el control del estado”, dijo Drew Mitnick, asesor de políticas de Access Now. Mitnick dice que su organización está a la espera de la próxima iteración del Llamado de Paris, que está programada para reunirse el próximo año en Alemania.

 

Referencias:

diplomatie.gouv.fr (PDF)

wired.com

axios.com

zdnet.com

elfinanciero.com.mx

peruinforma.com

leer más
Isaul CarballarMás de 50 naciones, pero no EEUU, firman pacto de ciberseguridad

¿Google Hackeado por Rusia y China?

El tráfico de Google dirigido a China y Rusia, resultó en tiempo de inactividad para algunos servicios. El incidente podría ser el resultado de errores técnicos o actividad maliciosa

Mujer con portafolio camina frente a muro de oficinas de Google

  • Una desviación del tráfico de Internet interrumpió los servicios de Google y redirigió sus datos
  • Los principales proveedores de Internet en China y Rusia interceptaron datos de usuarios de Google
  • El ataque puede provocar más ataques a gran escala de las naciones involucradas en el futuro
  • Las interrupciones duraron casi 1.5 horas hasta las 10:30 pm GMT (5:30 pm EST)
  • Google dijo que no tenía motivos para creer que el secuestro de tráfico fuera malicioso

Un desvío de tráfico de Internet redirigió los datos a través de Rusia y China e interrumpió los servicios de Google el lunes, incluidos los servicios de búsqueda, alojamiento en la nube y su conjunto de herramientas de colaboración para empresas.

Algunos usuarios de Google el lunes por la tarde informaron que los servicios, como YouTube, eran lentos o que no se podía acceder. La causa de este problema fue que el tráfico de la compañía se dirigía mal a través de ISP en China, Nigeria y Rusia. Google está investigando el problema, pero comentó que no hay razón para creer que esto fue un ciberataque.

La mayor parte del tráfico de la red a los servicios de Google (el 94% a partir del 27 de octubre) está cifrado, lo que lo protege de miradas indiscretas, incluso si se desvía.

En un aviso publicado el lunes en su sitio web, Google dijo que había resuelto el problema a las 2:35 p.m. Hora del Pacífico, y que sus servicios estaban funcionando como se esperaba.

El problema con las plataformas en línea

Los ingenieros en redes han advertido durante años que las plataformas en línea son vulnerables a los ataques basados ​​en redes que hacen que los datos se desvíen ampliamente de su curso. Tales ataques son posibles porque los grandes proveedores de servicios de red intercambian tráfico a través de un sistema que se basa en gran medida en la confianza mutua a través de protocolos casi tan antiguos como la propia Internet.

Los fallos, como el que experimentó Google el lunes, pueden ocurrir debido a un error técnico, por ejemplo, cuando un ingeniero de red configura incorrectamente los sistemas, o también podrían representar un intento malicioso de interceptar datos, dicen los expertos en redes.

Si tienen acceso a un operador de red lo suficientemente grande, los hackers pueden alterar los mapas de red almacenados en los enrutadores centrales de Internet a través de un sistema conocido como protocolo de puerta de enlace fronteriza o BGP (por sus siglas en inglés Border Gateway Protocol).

El uso de fallas de BGP para redirigir los datos podría permitir a un hacker robar información, escuchar el tráfico o enviar información al olvido cibernético, según los investigadores de seguridad.

¿Un posible experimento de juego de guerra?

Según el profesor Alan Woodward, científico informático de la Universidad de Surrey, el secuestro podría haber sido parte de un elaborado esquema de vigilancia.

Dijo a MailOnline: “El acceso a los datos de las personas es un” activo estratégico “para la vigilancia, y Rusia y China han llevado a cabo ataques de secuestro para recopilar esos datos anteriormente.

Los expertos ahora están preocupados por la posibilidad de que las naciones involucradas obtengan acceso a los datos privados de los usuarios al monitorear el tráfico redirigido.

El presunto ataque también puede ser un signo de lo que vendrá a medida que la guerra cibernética se intensifique entre Occidente y sus competidores globales.

 

 

Referencias:

apnews.com

wsj.com

dailymail.co.uk

bles.com

leer más
Isaul Carballar¿Google Hackeado por Rusia y China?

Atrapan a hacker Ruso buscado por EEUU en Bulgaria

Hacker Ruso acusado de fraude en línea y buscado por los Estados Unidos es arrestado en Bulgaria

Manos de hombre con chaleco rojo sobre teclado de computadora con códigoUn ciudadano ruso acusado de fraude en línea que involucra millones de dólares ha sido arrestado en Varna, Bulgaria, por una orden emitida por los Estados Unidos y está a la espera de un procedimiento de extradición, según un comunicado emitido el jueves por el Tribunal de Distrito de Varna.

Una portavoz del Departamento de Justicia de Estados Unidos se negó a comentar sobre el arresto. “Como una política de larga data, el Departamento de Justicia de los Estados Unidos generalmente no hace comentarios sobre asuntos relacionados con la extradición hasta que el acusado se encuentre en los Estados Unidos. No hay nada público en este momento”, dijo a CNN la portavoz del Departamento de Justicia de los Estados Unidos, Nicole Navas Oxman.

El ciudadano ruso, nombrado por el tribunal como Alexander Zh., De 38 años, con el apellido abreviado, ha sido acusado de fraude electrónico y conspiración para cometer fraude informático que resultó en daños de al menos $ 7 millones.

El acusado y sus cómplices están acusados ​​de engañar a los anunciantes para que realicen pagos por tráfico falso en línea a sus sitios web y anuncios, que fue generado por un software que crearon para parecerse a usuarios reales que navegan por Internet.

Las autoridades estadounidenses los acusan de haber mantenido una red informática con servidores en Dallas, Texas.

Según la orden de arresto emitida por el Tribunal de Distrito de EE. UU. Para el distrito este de Nueva York, los delitos se cometieron entre septiembre de 2014 y diciembre de 2016.

El Tribunal de Distrito de Varna encontró “la medida más apropiada de detención contra el ciudadano ruso como ‘detención provisional’ hasta el inicio del proceso de extradición real”, según una declaración del tribunal.

Las autoridades búlgaras realizaron búsquedas en la casa de Alexander Zh. para recopilar pruebas para el procesamiento en los Estados Unidos, dijo el tribunal.

Si lo encuentran culpable, enfrenta hasta 20 años de prisión en los Estados Unidos, una multa o ambos. Sus acciones también son punibles bajo la ley búlgara, dijo el tribunal.

Alexander Zh. dijo a la corte que él ha estado en Bulgaria durante 8 años y que ha estado viviendo allí permanentemente durante los últimos cuatro. Él tiene una tarjeta de identificación búlgara y su propia casa en Varna.

El consulado general de Rusia en Varna, Vladimir Klimanov, dijo el viernes a la agencia estatal rusa de noticias TASS que las autoridades rusas se enteraron de que su esposa había arrestado a Alexander Zh. “No hemos recibido ninguna información oficial. En estas circunstancias, el Consulado General tomará todas las medidas necesarias”, dijo.

 

Referencia:

Escrito originalmente por Radina Gigova para cnn.com

leer más
Isaul CarballarAtrapan a hacker Ruso buscado por EEUU en Bulgaria

EEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso

El Cyber comando de los EEUU está lanzando muestras de malware atribuidas a grupos de hackers Rusos como un esfuerzo para compartir información

Hacker frente a computadora con banderas de EEUU y Rusia atrás

  • Cibercomando de los EEUU hizo públicas muestras de códigos de hackeo (malware)
  • Razón principal es para compartir información de ciberseguridad y posiblemente fines geopolíticos y/o de estrategia militar
  • Herramientas han sido atribuidas a Rusia por diversas empresas de ciberseguridad

Por lo general, son los rusos los que vuelcan los archivos de sus enemigos. Esta semana, el Comando Cibernético de los Estados Unidos (CYBERCOM, por sus siglas en inglés), una parte del ejército encargado de las misiones centradas en hacking y la ciberseguridad, comenzó a lanzar públicamente muestras no clasificadas de malware de los adversarios que ha descubierto.

CYBERCOM dice que la drástica medida es para mejorar el intercambio de información entre la comunidad de seguridad cibernética, pero de alguna manera podría verse como una señal para aquellos que hackean los sistemas de EEUU. Una señal indicando algo así como ‘nosotros también podemos hacer públicas sus herramientas y tácticas de hacking‘.

“Esto pretende ser un esfuerzo perdurable y continuo de intercambio de información, y no está enfocado en ningún adversario en particular”, dijo Joseph R. Holstead, director interino de asuntos públicos de CYBERCOM.

El viernes, CYBERCOM subió varios archivos a VirusTotal, un motor de búsqueda y repositorio de Google para código malware. Una vez arriba, los usuarios de VirusTotal pueden descargar el malware, ver qué productos antivirus o de ciberseguridad probablemente lo detectan, y ver enlaces a otras piezas de código malicioso.

Desde Rusia con amor

Una de las dos muestras que CYBERCOM distribuyó el viernes está marcada como proveniente de APT28, un grupo de hackers vinculado al gobierno ruso, según varias firmas de ciberseguridad, según lo confirmado por VirusTotal. Entre ellos se incluyen Kaspersky Lab, Symantec y Crowdstrike, entre otros. El grupo de cibercriminales APT28 también se le conoce como Sofacy y Fancy Bear.

Adam Meyers, vicepresidente de inteligencia de CrowdStrike, dijo que la muestra parecía nueva, pero las herramientas de la compañía la detectaron como maliciosa en el primer contacto. Kurt Baumgartner, investigador principal de seguridad en Kaspersky Lab, dijo que la muestra “fue conocida por Kaspersky Lab a finales de 2017” y fue la misma que se usó en ataques en Asia Central y el sudeste de Europa en ese momento.

“Al informar sobre ello, los investigadores de Kaspersky Lab señalaron que parecía interesante que estas organizaciones compartieran la superposición como objetivos anteriores de Turla [otro grupo de hacking ruso]. En general, no es “nuevo” sino que está disponible para el público de VirusTotal “.

El malware en sí no parece estar todavía activo. Un portavoz de Symantec dijo que los servidores de comando y control, las computadoras que le dicen al malware qué comandos ejecutar o almacenar datos robados, ya no funcionan. El vocero agregó que Symantec detectó la muestra cuando la compañía actualizó sus herramientas de detección hace un par de meses.

CYBERCOM anunció su nueva iniciativa el lunes y cargó sus dos primeras muestras el mismo día.

 

Referencia:

motherboard.vice.com

leer más
Isaul CarballarEEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso