Hackeados

All posts tagged Hackeados

ghostdns.png

Brasil es el foco de un nuevo tipo de ataque de enrutador

Desde hace meses, en Brasil se ha generado un nuevo tipo de ataque de enrutador que no se ha visto en ningún otro lugar del mundo. Los ataques son casi invisibles para los usuarios finales y pueden tener consecuencias desastrosas, incluso pueden ocasionarles pérdidas financieras directas.

El caso de Brasil debería ser una señal de advertencia para los usuarios e ISPs de todo el mundo. Lo mejor es tomar precauciones antes de que el ataque que se vive en Brasil se extienda a otros países.

Ataques de enrutador: cambio de DNS

Los ataques contra enrutadores en Brasil fueron observados por primera vez por la empresa de seguridad cibernética Radware y, un mes más tarde, por investigadores de seguridad de Netlab, una unidad de búsqueda de amenazas en la red del gigante chino de seguridad cibernética Qihoo 360. Ambas investigaciones detallaron que un grupo de delincuentes cibernéticos había infectado a más de 100,000 enrutadores domésticos en Brasil y estaban modificando sus configuraciones de DNS.

Las modificaciones realizadas a estos enrutadores redirigieron a los usuarios infectados a sitios web de clones maliciosos cuando intentaban acceder a la banca electrónica de algunos bancos del país.

Luego en abril de 2019, Bad Packets analizó otra ola de ataques, pero esta vez estaba dirigida principalmente contra los enrutadores D-Link, también alojados en los ISP brasileños. Por tanto, no solo secuestraban a los usuarios que visitaban los bancos brasileños, sino que además los redirigían a las páginas de phishing de Netflix, Google y PayPal para recopilar sus credenciales, según investigadores de Ixia.

Avast publicó un informe esta semana señalando que los ataques no se han detenido. La compañía estima que en la primera mitad de 2019, los hackers infectaron y modificaron la configuración de DNS de más de 180,000 enrutadores brasileños. Asimismo, señalaron que la complejidad de los ataques ha aumentado y el número de actores involucrados también.

Cómo se produce el ataque al enrutador

Los investigadores de Avast, David Jursa y Alexej Savčin, señalan que la mayoría de asaltos al enrutador se producen mientras los usuarios en Brasil visitan sitios de transmisión de películas y deportes, o portales para adultos desde su hogar.

En estos sitios, la publicidad maliciosa ejecuta un código especial que detecta la dirección IP de un enrutador doméstico, el modelo del enrutador. Una vez realizada la detección, los anuncios maliciosos utilizan una lista de nombres de usuario y contraseñas predeterminados para iniciar sesión en los dispositivos de los usuarios, sin su conocimiento.

Los ataques, aunque toman tiempo, suceden sin que los usuarios se den cuenta, porque generalmente están ocupados viendo las transmisiones de video en los sitios web a los que acaban de acceder. Si los ataques tienen éxito, el código especial modificará la configuración de DNS predeterminada en los enrutadores de las víctimas, reemplazando las direcciones IP del servidor DNS que reciben los enrutadores de los ISP ascendentes por las direcciones IP de los servidores DNS administrados por los piratas informáticos.

De esa manera, la próxima vez que la computadora o el celular se conecte al enrutador, recibirá las direcciones IP del servidor DNS malicioso y, de esta manera, canalizará todas las solicitudes de DNS a través de los servidores del atacante. Y es así como pueden secuestrar y redirigir el tráfico a clones maliciosos.

leer más
Diarleth G.Brasil es el foco de un nuevo tipo de ataque de enrutador
3.jpg

Malware oculto ‘TrickBot’ sigue fortaleciendo y comprometiendo más cuentas electrónicas

Con mucha facilidad podemos perder la cuenta de cuántos malware están operando en la actualidad, y es que día tras día salen infinidades de estos software maliciosos intentando dañar todo lo que quede en su paso. Uno de estos malware es TrickBot, que hasta el momento ha logrado comprometer la seguridad de más de 250 millones de cuentas de correo electrónico.

Se trata de un virus muy fuerte que no ha tenido ni la menor intensión de bajar su ritmo de ataque. Una variedad del malware conocido como TrickBot ha estado infectando una gran cantidad de usuarios desde el 2016. Y hoy en día sigue siendo extremadamente fuerte, de hecho, muchos expertos en ciberseguridad lo consideran la principal amenaza para las empresas en este momento. Los expertos creen incluso que TrickBot puede haber comprometido a más de 250 millones de cuentas de correo electrónico hasta el momento.

Los investigadores en DeepInstinct han estado siguiendo la actividad de TrickBot. En los últimos años, han visto evolucionar el malware y agregar nuevas capacidades que lo han hecho aún más peligroso. Una de esas adiciones es algo a lo que DeepInstinct se refiere como TrickBooster. Su trabajo: enviar correos electrónicos no deseados desde computadoras infectadas para aumentar la propagación de infecciones TrickBot.

En esencia, TrickBot es un troyano bancario. Normalmente, el malware se distribuye a través de correos electrónicos fraudulentos, como por ejemplo, currículos falsos enviados a recursos humanos o facturas enviadas al personal de cuentas. Esos archivos normalmente se adjuntan en forma de archivos de Microsoft Word o Excel.

TrickBot puede propagarse a través de una organización de diferentes maneras. Una forma es explotar las vulnerabilidades en SMB, un protocolo que permite a las computadoras con Windows compartir y acceder fácilmente a archivos y carpetas en otros sistemas en la misma red.

El malware que se propaga a través de SMB puede propagarse rápidamente en una organización donde las configuraciones de hardware y software tienden a ser bastante homogéneas. Esa uniformidad tiende a conducir a un gran número de computadoras que cuentan con las mismas vulnerabilidades, lo que hace mucho más fácil la propagación de malware como TrickBot.

Una segunda forma altamente efectiva de propagar la infección es enviando correos electrónicos desde direcciones confiables dentro de una organización, allí TrickBot aumenta las probabilidades de que una posible víctima abra uno de sus archivos adjuntos troyanos.

DeepInstinct logró echar un vistazo a una base de datos conectada a las operaciones de TrickBot. Los investigadores de la compañía descubrieron un tesoro de casi 250 millones de direcciones de correo electrónico que habían sido recogidas por TrickBot. De manera alarmante, DeepInstinct notó que esas direcciones no parecen provenir de violaciones previamente conocidas.

En la larga lista se encontraron, más de 25 millones de cuentas Gmail, 21 millones de Yahoo, y 11 millones de Hotmail. Otros 10 millones pertenecen a usuarios de AOL y MSN. Si bien esos seis servicios enfocados en el consumidor representan aproximadamente 70 millones del total de entradas en la base de datos, DeepInstinct también detectó decenas de direcciones pertenecientes a trabajadores del gobierno. A la fecha se desconoce el alcance total que está teniendo este malware, pero lo que sé se sabe es que está resultando ser indetenible.

leer más
Diarleth G.Malware oculto ‘TrickBot’ sigue fortaleciendo y comprometiendo más cuentas electrónicas
0.jpg

Hackeo «masivo» a redes de operadores móviles expone años de registros telefónicos

¿Te imaginas estar en la mira de un pirata informático? Uno podría pensar cosas como, ¿para que querrían hackearme? Pero la verdad es que los hackers pueden causarle dolores de cabeza a cualquiera sin que tenga que existir una razón muy importante. Sin embargo, es cierto que cuando suelen atacar buscan objetivos más claros.

En el siguiente post, por ejemplo, te hablaremos de cómo un atacante sofisticado se infiltró exitosamente dentro de diversos proveedores de celulares para recopilar información sobre usuarios muy específicos. Se cree que al menos 20 personas estuvieron en la mira de un astuto hacker, pero no te preocupes, seguramente tú no estás en esa pequeña lista.

Roban años de registros de llamadas de redes celulares hackeadas

Los piratas informáticos han interrumpido sistemáticamente a más de 10 redes celulares en todo el mundo en los últimos siete años para obtener cantidades masivas de registros de llamadas, incluidas las fechas y los tiempos de las llamadas, así como también sus ubicaciones pero todo esto solo en un grupo muy selecto de personas,  hablamos de no más de 20 víctimas.

Ante esto, investigadores de Cybereason dijeron que detectaron estos ataques por primera vez hace aproximadamente un año. Los investigadores creen que el objetivo de  estos piratas informáticos era obtener y descargar registros de la base de datos del proveedor de los celulares sin tener que desplegar algún malware en el dispositivo de cada objetivo.

Adicionalmente los investigadores descubrieron que los piratas informáticos entraron en una de las redes celulares al explotar una vulnerabilidad en un servidor web conectado a Internet para obtener un punto de apoyo en la red interna del proveedor. Desde allí, los hackers continuaron explotando cada máquina que encontraron robando credenciales para obtener un acceso mucho más profundo.

¿Quiénes son los culpables?

Cybereason afirma con una «muy alta probabilidad» que los hackers estuvieron respaldados por un estado-nación. Los investigadores se mostraron reacios a hacer cualquier tipo de acusación formal.

El reporte indica: «Las herramientas y las técnicas, como el malware utilizado por los piratas informáticos, parecían ser el ‘libro de texto APT10’, en referencia a un grupo de hackers que se cree que está respaldado por China» también dijeron que era APT10, «o alguien que quiere digamos que es [APT10] «.

Los informes indican lo siguiente:

El ataque tenía como objetivo obtener registros CDR de un gran proveedor de telecomunicaciones.

El actor de las amenazas intentaba robar todos los datos almacenados en el directorio activo, comprometiendo cada nombre de usuario y contraseña en la organización, junto con otra información personal identificable, como datos de facturación, registros de detalles de llamadas, credenciales, servidores de correo electrónico, ubicación geográfica de los usuarios, y más.

Las herramientas, así como sus TTP (Tácticas, Técnicas y Procedimientos) utilizados se asocian comúnmente con los actores de amenazas chinos. Durante el ataque persistente, los atacantes trabajaron en oleadas, abandonando un hilo de ataque cuando fue detectado y detenido, solo para regresar meses después con nuevas herramientas y técnicas. Pero, las herramientas y las técnicas, así como el malware utilizado por los piratas informáticos, indicaba que estos ataques habían sido realizados por APT10, un grupo de piratas informáticos que se cree que está respaldado por China.

leer más
Diarleth G.Hackeo «masivo» a redes de operadores móviles expone años de registros telefónicos
amor-por-internet.jpg

Estafadores se aprovechan de los corazones solitarios chinos

Hace poco The Beijing News reportó cómo un grupo de ciber estafadores se aprovechaba de los corazones solitarios chinos. Se trata de una red sofisticada de fraude que usa las redes sociales para pedir dinero a centenares de hombres haciéndose pasar por bellas mujeres. Lo más curioso es que lo hacen por medio de notas de audio que son cuidadosamente elaboradas por un software inteligente. En el siguiente post te contamos a detalle el caso.

Dispositivos para manipulación de voz.

Estafadores se aprovechan de los corazones solitarios chinos

Los hombres solitarios que buscan el amor de su vida en internet en China están siendo engañados por estafadores que buscan convencer a sus víctimas de que están conversando con chicas bonitas de voz dulce que necesitan un poco de ayuda financiera.

Las estafas en Internet dirigidas a los corazones solitarios no son nada nuevo. Pero ha surgido un sofisticado mercado negro que hace que atrapar a los desprevenidos sea un asunto más fácil y más lucrativo.

Una persona familiarizada con esta nueva forma de estafa dijo a The Beijing News que los mensajes de audio grabados estaban siendo utilizados para contrarrestar la creciente conciencia de un posible fraude en Internet.

«La conciencia antifraude de la gente está aumentando, cada vez es más difícil engañarlos, pero a través de los mensajes de voz es mucho más sencillo porque las personas piensan que son mensajes más auténticos y por tanto se preocupan mucho menos. La gente no lo sabe, pero aunque lo que escuchas es una voz femenina, la persona que chatea contigo en Internet puede ser muy bien un hombre como cualquiera».

Según The Beijing News, los paquetes de cuentas de redes sociales falsas, fotos y mensajes de audio están disponibles por tan solo 20 yuanes (el equivalente a 3 dólares). Uno de estos paquetes, comprado en una tienda en línea en China, incluía 1,500 mensajes de audio con voces femeninas, muchos de ellos pidiendo «paquetes rojos», una forma tradicional de dar dinero o enviar dinero a través de Internet en las redes sociales usando aplicaciones como por ejemplo WeChat.

Una víctima de este tipo de estafa, de apellido Wu, fue estafada por 20,000 yuanes (casi tres mil dólares) en dos meses, según el diario económico Jinjiang. Wu, de Jinjiang, en la provincia sudeste de Fujian, dijo a la policía que había conocido a una mujer en línea y que pronto comenzó a referirse a ella como su novia, creyendo que ella era la mujer que había estado buscando.

Después de ganarse la confianza de Wu, su “compañera” de conversación, a quien nunca conoció en persona, le solicitó dinero 15 veces, dando razones que iban desde la necesidad de pagar deudas hasta pagar las cuentas médicas de su madre. Solo se dio cuenta de que estaba siendo estafado cuando su «novia» lo bloqueó después de enviarle todo el dinero que ella le había pedido.

El sospechoso, quien más tarde fue detenido por la policía, resultó ser un hombre que vive en la provincia central de Henan. Confesó que se escondió detrás del relato femenino y lo usó para estafar a tres hombres en Fujian y cinco que viven en otras provincias chinas, según el periódico Jinjiang.

Esta clase de estafa lleva varios años produciéndose no solo en China sino en distintos países del mundo. Por esta razón, debemos tener mucho cuidado cuando conocemos a alguien en línea y nunca acceder a darles dinero a personas que no sabemos si en verdad son quienes dicen ser.

Fuente: https://www.scmp.com/news/china/society/article/3011184/scammers-target-chinese-lonely-hearts-cheap-sweet-talk-which

leer más
Diarleth G.Estafadores se aprovechan de los corazones solitarios chinos
1.jpg

WhatsApp ha dejado de ser una app segura

No estamos seguros si alguna vez lo fue, pero sin duda las últimas noticias y escándalos de WhatsApp han dado mucho de qué hablar. Al parecer con solo hecho de tener descargada la aplicación de WhatsApp en tu celular, los atacantes informáticos pueden acceder a todo lo que tengas guardado, desde fotografías y correos electrónico, hasta mensajes de texto y directorio telefónico. Se trata de una verdadera tragedia para una app que es usada a nivel global. Acompáñanos y descubre más de por qué WhatsApp ha dejado de ser una app segura.

La razón por la que WhatsApp ha dejado de ser una app segura

Para muchos esta noticia no resulta en nada sorprendente. El año pasado, por ejemplo, WhatsApp tuvo que admitir que tenían un problema muy similar. Para aquel momento una única video llamada a través de WhatsApp era todo lo que un hacker necesitaba para acceder a todos los datos de tu teléfono.

Cada vez que WhatsApp tiene que corregir una vulnerabilidad crítica en su aplicación, una nueva aparece para tomar su lugar. Todos los problemas de seguridad son convenientemente adecuados para la vigilancia, algo que termina siendo muy sospechoso.

A diferencia de Telegram, WhatsApp no ​​es de código abierto, por lo que lo que los medios de seguridad no tienen forma de verificar fácilmente si hay puertas traseras en su código. WhatsApp no ​​solo no publica su código, sino que hace exactamente lo contrario, WhatsApp confunde deliberadamente los binarios de sus aplicaciones para que nadie pueda estudiarlos a fondo.

WhatsApp y su empresa matriz Facebook pueden incluso tener que implementar puertas traseras, a través de procesos secretos simplemente por órdenes directas del FBI. No es fácil ejecutar una aplicación de comunicación segura desde los Estados Unidos. Las agencias de seguridad utilizan los esfuerzos antiterroristas para justificar la siembra de puertas traseras. El problema es que estas puertas también se pueden utilizar por criminales y reguladores.

Hace tres años, WhatsApp anunció que se había implementado el cifrado de extremo a extremo para que «ningún tercero pudiera acceder a los mensajes«. Esto coincide con un impulso agresivo para que todos los usuarios respaldaran sus conversaciones en la nube. Al hacer este empuje, WhatsApp no ​​les dijo a sus usuarios que al realizar una copia de seguridad, los mensajes ya no estarían protegidos por el cifrado de extremo a extremo y los piratas informáticos y la policía podían por tanto acceder a ellos.

Sin embargo, los usuarios de WhatsApp son lo suficientemente buenos como para no caer en las ventanas constantes que les piden que realicen una copia de seguridad de sus chats. Pero de igual modo se pueden rastrear mediante una serie de otros trucos, desde el acceso a las copias de seguridad de tus Contactos, hasta los cambios de encriptación invisible. Los metadatos generados por los usuarios de WhatsApp se filtran a todo tipo de agencias lo que nos convierte en presa fácil para cualquiera.

Todo esto nos hace dudar de qué lado se encuentra la empresa matriz de WhatsApp. Tal pareciera que su misión fuera la de proporcionar información general de quién la pida. 🤷🏻‍♂

Este artículo es una adaptación de:

https://telegra.ph/Why-WhatsApp-Will-Never-Be-Secure-05-15

leer más
Diarleth G.WhatsApp ha dejado de ser una app segura
Canva_cabecera-1.png

Canva sufre un hackeo que afecta a 139 millones de usuarios

Canva, la startup con sede en Sydney que está detrás del servicio de diseño gráfico del mismo nombre, sufrió un hackeo en el que fueron robados los datos de 139 millones de usuarios, según la información publicada por ZDNet.

¿Qué es Canva?

Canva es una herramienta web para diseño gráfico fácil. Utiliza un formato de arrastrar y soltar elementos para facilitar el diseño y proporciona acceso a más de un millón de fotografías, gráficos y fuentes de stock. Está pensado para ser utilizado por no diseñadores, así como profesionales. Las herramientas se pueden utilizar tanto para el diseño web como para los medios de impresión y gráficos.

Fundado en 2012, Canva es uno de los sitios más populares del Internet. El sitio se ha disparado en el ranking de medición de tráfico de Alexa, y recientemente ha ingresado en el Top 200, actualmente ocupando el puesto #170.

El pirata informático que llevó a cabo el hackeo se registró en línea como GnosticPlayers. Deliberadamente, este hacker ha vendido en internet los datos de 932 millones de usuarios en el pasado, y asimismo ha robado a 44 empresas de todo el mundo. De manera que tiene un prontuario considerable y se siente orgulloso de ello. Pues fue el mismo hacker quien se puso en contacto con ZDNet para dar parte de su último truco.

«Se descargo todo hasta el 17 de mayo», dijo el hacker. «Ellos detectaron mi violación y cerraron su servidor de base de datos».

Los datos robados incluyeron detalles como nombres de usuarios, nombres reales, direcciones de correo electrónico e información de la ciudad y el país, donde esté disponible. La información robada incluía tokens de Google, que los usuarios habían utilizado para registrarse en el sitio sin establecer una contraseña. Y de los 139 millones de usuarios, 78 millones de usuarios se habían registrado a través de la asociación de una cuenta Gmail.

ZDNet solicitó una muestra de los datos pirateados, y como respuesta recibió una muestra con los datos de 18,816 cuentas, incluidos los detalles de las cuenta de algunos de los empleados y administradores del sitio. Más tarde, Canva confirmó al sitio que se trataba de un robo de datos de su plataforma. Un portavoz del sitio señaló:

«Almacenamos de forma segura todas nuestras contraseñas utilizando los estándares más altos (con sal y hash individualmente con bcrypt) y no tenemos evidencia de que ninguna de las credenciales de nuestros usuarios haya sido comprometida. Como salvaguarda, alentamos a nuestra comunidad a cambiar sus contraseñas como un precaución», dijo la empresa. «Seguiremos comunicándonos con nuestra comunidad a medida que aprendamos más sobre la situación».

Canva es una de las compañías tecnológicas más grandes de Australia y uno de los sitios más grandes de Internet. Te aconsejamos que tomes en serio las palabras de la empresa, revises tu cuenta y cambies tu contraseña.

leer más
Diarleth G.Canva sufre un hackeo que afecta a 139 millones de usuarios
hackers-malware_hi.jpg

Los grupos de hackers más avanzados están en la búsqueda de ataques más ambiciosos

A medida que la tecnología crece los grupos de ciberdelincuentes también lo hacen y a un ritmo muy acelerado. Cada vez resulta más difícil enfrentarse a ellos ya que con el tiempo logran penetrar los sistemas de defensas más poderosos ofrecidos por las distintas empresas de ciberseguridad. Es un hecho de que se trata de una amenaza real y ahora se sienten listos para ir por más. Los grupos de hackers más avanzados están en la búsqueda de ataques más ambiciosos lo que hace que muchas grandes empresas muevan sus piezas para saber cómo protegerse.

Hackers más preparados y desafiantes

Aunque no lo crean los grupos de piratería más avanzados se están volviendo más audaces no solo con el paso del tiempo sino con la realización de campañas. Y hoy día la cantidad de organizaciones a las que apuntan las campañas más grandes aumenta en casi un tercio.

Una combinación de nuevos grupos emergentes dedicados a la piratería que desarrollan estrategias exitosas para dividirse en redes, ha hecho que la cantidad promedio de organizaciones a las que apuntan los grupos de piratería más activos aumente de 42 entre el año 2015 y el año 2017 a un promedio de 55 en  el año 2018.

Las cifras detalladas en el Informe anual sobre amenazas a la seguridad en Internet de Symantec sugieren que los 20 grupos de piratería más prolíficos se dirigen a más organizaciones a medida que los atacantes adquieren más confianza en sus actividades. Grupos como  Chafer, DragonFly, Gallmake entre otros están llevando a cabo campañas de piratería altamente específicas mientras buscan reunir información de inteligencia contra empresas de las cuales se cree que contienen información valiosa.

En el pasado, los hackers solo se enfocaban en el acceso a las redes corporativas, un delito en el que siguen incurriendo sin embargo ahora son los correos electrónicos de phishing con contenido malicioso que tienen más probabilidades de proporcionar a los atacantes la entrada inicial que necesitan. Y debido a que estos grupos de espionaje son tan competentes en lo que hacen, tienen medios probados para realizar actividades una vez que están dentro de una red.

Esto fue lo que dijo Orla Cox, quien ejerce como directora de la unidad de respuesta de seguridad de Symantec:

«Estos Hackers han evolucionado de tal manera que imitan los mismos pasos que realizan los sistemas de seguridad dentro de las empresas al momento de conectarse a una red. Estos movimientos tan audaces les permiten conseguir lo que quieren. Simplemente se han hecho más eficientes y esto los hace más difíciles de detectar porque gran parte de la actividad se parece a la actividad empresarial tradicional».

Orla Cox, Symantec

En muchos de los casos que se detallan en el informe se explica que los atacantes están implementando lo que Symantec denomina tácticas especiales donde usan herramientas empresariales diarias para ayudarlos a viajar a través de redes corporativas y robar datos, lo que hace que las campañas sean más difícil de descubrir.

Referencia:

https://www.zdnet.com/article/cyber-espionage-warning-the-most-advanced-hacking-groups-are-getting-more-ambitious/

leer más
Diarleth G.Los grupos de hackers más avanzados están en la búsqueda de ataques más ambiciosos
1-1.png

6TB de datos fueron plagiados de la red interna de Citrix

Los hackers causan miles de dolores de cabeza al año al igual que cientos de millones de dólares en pérdidas gracias a sus acciones delictivas. Aunque las empresas de seguridad informática se esfuerzan para crear softwares fuertes para evitar intromisiones ilegales a los sistemas, los hackers terminan encontrando siempre el modo de penetrar y hacer mucho daño.

Recientemente 6TB de datos fueron plagiados de la red interna de Citrix. Pero lo que más sorprende a los investigadores a cargo del caso es que se ha descubierto que quienes que realizaron este trabajo son hackers extranjeros.

6TB de datos fueron plagiados de la red interna de Citrix

La empresa Citrix System es una gran cooperación encargada de suministrar tecnología de punta en virtualización de servidores, así como proveer conexiones de red y servicios informáticos en la nube. Entre estos servicios se encuentran productos de código abierto que fomenta el aprendizaje y el desarrollo de software avanzado por parte de diferentes desarrolladores.

Su cede central se encuentra en la ciudad de la Florida, Estados Unidos, así como sucursales en otros lugares del país como Massachusetts y Californias. Al mismo tiempo, a nivel internacional cuenta con sedes en la India, Reino Unido y Australia. Sin duda, es una empresa multimillonaria muy importante y esto la hace estar en la mira de los delincuentes informáticos.

Hace unos días, con exactitud el 6 de marzo de 2019, el FBI se contactó con Citrix para informarles que tenían motivos suficientes para sospechar que un grupo de hackers internacionales tenían acceso a la red interna de Citrix. Citrix, al recibir esta noticia, se movilizó rápidamente para tomar medidas para contener este incidente. Asimismo abrió una investigación forense; contratando una empresa líder de seguridad cibernética para que los respaldara y tomó medidas para asegurar su red interna al mismo tiempo que siguió cooperando con el FBI.

Las palabras de Citrix Systems fueron:

“Estamos cooperando con la Oficina Federal de Investigaciones para investigar una violación importante de datos por parte de ciberdelincuentes internacionales en la red interna de nuestra compañía”.

Hasta el momento lo que se conoce es que los piratas informáticos pudieron no solo haber accedido sino también descargado documentos comerciales, aunque aún no se conoce la magnitud del robo.

En el mismo comunicado de Citrix se puede leer:

«En las investigaciones de incidentes cibernéticos, los detalles son importantes y estamos comprometidos a comunicar de manera apropiada cuando tenemos lo que creemos que es información creíble y procesable».

Pero este problema viene de más tiempo atrás. Resecurity, un proveedor de soluciones de ciberseguridad e inteligencia, alertó al FBI en diciembre de la violación de datos en Citrix. Según Resecurity, un grupo vinculado a Irán conocido como IRIDIUM es el responsable. Se cree que el grupo afectó a más de 200 agencias gubernamentales, compañías de petróleo y gas y empresas de tecnología, siendo Citrix una de ellas.

En la declaración de Resecurity podemos encontrar lo siguiente:

«Basados ​​en nuestro análisis reciente, los hackers aprovecharon una combinación de herramientas, técnicas y procedimientos (TTP por sus siglas en inglés) que les permitió llevar a cabo intrusiones en la red para acceder al menos a 6 terabytes de datos confidenciales almacenados en la red empresarial de Citrix, donde se incluyen las cuentas de los correo electrónico, recursos compartidos de red y otros servicios utilizados para la gestión de proyectos y adquisiciones»

Citrix de alguna manera refuta la extensión total del daño según lo informado por Resecurity, diciendo que hasta el momento no han encontrado indicios de que la seguridad de ningún producto o servicio de Citrix haya sido comprometido.

¿Porqué es importante este incidente?

En su blog, Resecurity reportó el incidente se ha identificado como parte de una campaña sofisticada de ciberespionaje apoyada por un estado-nación debido a los fuertes ataques contra el gobierno, el complejo militar-industrial, las compañías de energía, las instituciones financieras y las grandes empresas involucradas en áreas críticas de la economía.

Actualmente, la información detallada no está disponible, pero, por supuesto, el incidente podría ser bastante grave: Citrix proporciona credenciales y acceso a redes privadas virtuales a 400,000 compañías y otras organizaciones en todo el mundo y al 98% de Fortune 500. Entre sus principales productos se encuentra GoToMyPC, un software similar a Bomgar, LogMeIn, y VMware Workstation que permite acceso remoto para poderse comunicar con los trabajadores remotos para proporcionar soporte informático, actualizaciones, etc.

leer más
Diarleth G.6TB de datos fueron plagiados de la red interna de Citrix
Hackers-México.png

Cómo los hackers robaron US$20 millones a bancos mexicanos

Tras el intento de robo de $ 110 millones del banco comercial mexicano Bancomext que fracasó, una serie de ataques más pequeños pero aún más elaborados permitió a los hackers robar entre 300 y 400 millones de pesos, o aproximadamente entre $ 15 y $ 20 millones de dólares de bancos mexicanos. A menos de 24 horas de la caída del Sistema de Pagos Electrónicos Interbancarios de México, te explicamos el famoso robo de 2018.

Cómo los hackers robaron $300-$400 millones de pesos a bancos mexicanos

En la conferencia de seguridad RSA celebrada en San Francisco, el evaluador de penetración y asesor de seguridad Josu Loza, quien estuvo a cargo de la investigación del robo del pasado abril, dio detalles sobre cómo operaron los hackers para robar la suma de dinero que asciende a US$20 millones, tomados de los bancos mexicanos.

Presentación de Josu Loza:

A estas alturas aún no se ha podido esclarecer la afiliación de los hackers. Loza señala que si bien es un ataque que requirió meses o años de planificación, fueron habilitados una arquitectura de red poco segura dentro del sistema financiero mexicano y la supervisión de seguridad en SPEI, la plataforma nacional de transferencia de dinero de México dirigida por el banco central Banco de México (Banxico).

Agujeros en los sistemas de seguridad

Los hackers no necesitaron sistemas demasiado sofisticados para robar a los bancos mexicanos. Pudieron acceder desde la internet pública o lanzar ataques de phishing para comprometer a los ejecutivos, o incluso a los empleados regulares, para obtener un punto de apoyo para sus ataques.

Muchas de estas redes no tienen un control de acceso sólido. Por eso, muchos atacantes pudieron sacar provecho de las credenciales de los empleados comprometidos. Y dado que las redes tampoco estaban bien segmentadas, es probable que los atacantes se valieran del acceso inicial para profundizar en las conexiones de los bancos a SPEI y, eventualmente, a los servidores de transacciones del sistema SPEI (equivalente al SWIFT), o incluso a su base de código subyacente.

Tampoco había una protección de datos de transacciones dentro de las redes bancarias internas sólida. Así que los atacantes podían rastrear y manipular esos datos. Loza también sugiere que la aplicación SPEI en sí tenía errores y carecía de controles de validación adecuados, así que el sistema no detectó las transacciones falsas.

Todos estos factores en conjunto, le dieron la delantera a los atacantes y una vez que estuvieron dentro de la red, se movieron rápidamente.

¿Cómo lo hicieron?

Los hackers explotarían fallas en los procesos de SPEI para validar las cuentas del remitente para iniciar una transferencia de dinero de una fuente inexistente como «Juan Pérez, Número de cuenta: 12345678». Luego, dirigirían los fondos fantasmas a una cuenta real, pero con un seudónimo de control y envío. Es decir, allí entraría en juego una llamada «mula de efectivo», para retirar el dinero antes de que el banco se diera cuenta de lo que había sucedido.

Las transacciones eran relativamente pequeñas, y dado que «SPEI envía y recibe millones y millones de pesos diariamente, esto habría sido un porcentaje muy pequeño de esa operación», dice Loza. Es probable, que el grupo de atacantes contara con cientos de mulas de efectivo.

Billetes de pesos mexicanos.
Mexican Pesos, bank notes, currency bills, money background

La Amenaza Fantasma

Banxico dijo en un comunicado publicado a fines de agosto que los ataques no eran un ataque directo a los sistemas centrales de Banxico, sino que estaban dirigidos a interconexiones que ya sea estaban pasadas por alto, o que en general eran débiles.

«El enfoque de los atacantes requería un profundo conocimiento de la infraestructura tecnológica y los procesos de las instituciones victimizadas, así como el acceso a ellas«. escribió Banxico. «El ataque no tenía la intención de hacer que el SPEI fuera inoperable o penetrar las defensas del Banco Central«.

El experto en seguridad mencionó además la serie de ataques cibernéticos que han impactado al sistema financiero Mexicano los últimos años.

Ciberataques recientes al sistema financiero Mexicano.

«Los mexicanos necesitan comenzar a trabajar juntos. Todas las instituciones necesitan cooperar más. El principal problema de la ciberseguridad es que no compartimos el conocimiento y la información ni hablamos sobre los ataques lo suficiente. La gente no quiere hacer públicos los detalles de los incidentes»

Josu Loza
leer más
Diarleth G.Cómo los hackers robaron US$20 millones a bancos mexicanos
site_197_Portuguese_516563.jpg

Partidos políticos de Australia hackeados meses antes de las elecciones

Un «actor estatal sofisticado» se encargó de hackear a los tres partidos políticos más grandes de Australia, según informó el primer ministro del país, Scott Morrison. El diario The Guardian publicó que los partidos Laborista, Liberal y Nacionales, recibieron ciberataques en sus redes, a tan solo meses de las próximas elecciones parlamentarias.

Este tipo de ciberataques tienen su precedente en el hackeo de elecciones de EEUU en 2016 y en Francia en 2017. Esta artimaña fue descubierta por el Centro Australiano de Seguridad Cibernética (ACSC) mientras investigaba un intento previo de violación del Parlamento. Pero ante el ataque, el ministro Morrison se tomó el tiempo para aclarar:

«El sistema político [de Australia] y nuestra democracia siguen siendo fuertes, vibrantes y están protegidos».

Según el jefe de la ACSC, Alastair MacGibbon no se ha podido confirmar si algún dato electoral ha sido robado durante el hackeo. Pero el líder del Partido Laborista, Bill Shorten, dijo que los partidos políticos se encontraban actualmente en el proceso de recopilar “grandes cantidades de información sobre votantes y comunidades”, antes de que lleguen las elecciones.

Por otro lado, Morrison se negó a confirmar la identidad detrás del ciberataque, pero The Sydney Morning Herald informa que los ataques llevan las huellas digitales de los agentes chinos. Sin embargo, es información no confirmada oficialmente.

leer más
Diarleth G.Partidos políticos de Australia hackeados meses antes de las elecciones