Krebs on Security

All posts tagged Krebs on Security

The-vulnerable-script-opened-access-to-all-data-for-all-Salesforce-Pardot-users.jpg

Hackers ahora atacan a proveedores de servicios en la nube

Muchas empresas ahora están externalizando sus esfuerzos de marketing a proveedores de gestión de relaciones con el cliente (CRM por sis siglas en inglés) basados ​​en la nube. Pero cuando las cuentas de esos proveedores de CRM son pirateadas o suplantadas, los resultados pueden ser perjudiciales tanto para la marca del cliente como para sus clientes. Aquí hay un vistazo a una reciente campaña de phishing basada en CRM dirigida a clientes del proveedor de equipos de construcción Fortune 500, United Rentals.

United Rentals [ NYSE: URI ], con sede en Stamford, Ct., Es la compañía de alquiler de equipos más grande del mundo, con unos 18,000 empleados y ganancias de aproximadamente $ 4 mil millones en 2018. El 21 de agosto, varios clientes de United Rental informaron haber recibido correos electrónicos con facturas truqueadas, conteniendo enlaces que llevaron a una descarga de malware para cualquiera que haya hecho clic.

Si bien las facturas falsas son un atractivo de malware común, esta campaña en particular envió a los usuarios a una página en el sitio web de United Rentals (unitedrentals.com).

Una captura de pantalla del correo electrónico malicioso que engañó a United Rentals.

En un aviso a los clientes, la compañía dijo que United Rentals no envió mensajes no autorizados. Una fuente que tenía al menos dos empleados que cayeron en el esquema envió a KrebsOnSecurity una respuesta de la división de privacidad de UR, que culpó del incidente a un socio publicitario externo.

Según el conocimiento actual, creemos que una parte no autorizada obtuvo acceso a una plataforma de proveedores que United Rentals utiliza en relación con el diseño y la ejecución de campañas de correo electrónico“, decía la respuesta.

La parte no autorizada pudo enviar un correo electrónico de phishing que parece ser de United Rentals a través de esta plataforma“, continuó la respuesta. “El correo electrónico de phishing contenía enlaces a una supuesta factura que, si se hace clic en ella, podría enviar malware al sistema del destinatario. Mientras nuestra investigación continúa, actualmente no tenemos ninguna razón para creer que haya un acceso no autorizado a los sistemas de United Rentals utilizados por los clientes, ni a ningún sistema interno de United Rentals “.

United Rentals le dijo a KrebsOnSecurity que su investigación hasta el momento no revela ningún compromiso de sus sistemas internos.

“En este punto, creemos que se trata de un incidente de phishing por correo electrónico en el que un tercero no autorizado utilizó un sistema de terceros para generar una campaña de correo electrónico para entregar lo que creemos que es un troyano bancario”, dijo Dan Higgins , jefe de información de UR oficial.

búsquedas pasivas de DNS en el subdominio.

United Rentals no nombraría a la empresa de marketing de terceros que se cree que está involucrada, pero las búsquedas pasivas de DNS en el subdominio UR a las que se hace referencia en el correo electrónico de phishing (utilizado por UL para marketing desde 2014 y visible en la captura de pantalla anterior como “wVw.unitedrentals.com” ) señala a Pardot, una división de marketing por correo electrónico del gigante de CRM en la nube, Salesforce.

Las empresas que usan CRM basados ​​en la nube a veces dedicarán un dominio o subdominio que poseen específicamente para su uso por parte de su proveedor de CRM, permitiendo que el CRM envíe correos electrónicos que parecen provenir directamente de los propios dominios del cliente. Sin embargo, en tales configuraciones, el contenido que se promueve a través del dominio del cliente en realidad está alojado en los sistemas del proveedor de CRM en la nube.

Salesforce no respondió a múltiples solicitudes de comentarios a KrebsOnSecurity. Según Krebs, parece probable que alguien en Pardot con acceso a la cuenta de United Rental haya sido robado, hackeado o tal vez culpable de la reutilización de la contraseña.

Este ataque se produce inmediatamente después de otra campaña de phishing dirigida que aprovecha Pardot y que fue documentada a principios de este mes por Netskope , una empresa de seguridad en la nube. Ashwin Vamshi de Netskope dijo que los usuarios de plataformas CRM en la nube tienen un alto nivel de confianza en el software porque ven los datos y los enlaces asociados como internos, a pesar de que están alojados en la nube.

Un gran número de empresas proporciona a sus proveedores y socios acceso a su CRM para cargar documentos como facturas, pedidos de compra, etc. (y a menudo estos ocurren como flujos de trabajo automatizados)“, escribió Vamshi. “La empresa no tiene control sobre el dispositivo del proveedor o socio y, lo que es más importante, sobre los archivos que se cargan desde ellos. En muchos casos, los archivos cargados por el proveedor o el socio llevan consigo un alto nivel de confianza implícita “.

Los cibercriminales se dirigen cada vez más a los proveedores de CRM en la nube porque las cuentas comprometidas en estos sistemas se pueden aprovechar para realizar ataques de phishing extremadamente específicos y convincentes. De acuerdo con las estadísticas más recientes (PDF) del Grupo de trabajo contra la suplantación de identidad (phishing) , los proveedores de software como servicio (incluidos los proveedores de CRM y Webmail) fueron el sector industrial más focalizado en el primer trimestre de 2019, representando el 36 por ciento de todos los ataques de phishing.

*** Este es un blog sindicado de Krebs sobre seguridad creado por BrianKrebs. Lea la publicación original en: https://krebsonsecurity.com/2019/08/phishers-are-angling-for-your-cloud-providers/

leer más
Isaul CarballarHackers ahora atacan a proveedores de servicios en la nube
ransomware-is-back-featured.jpg

¿Quién está detrás del ransomware GandCrab?

Escrito originalmente por Brian Krebs.

Los delincuentes detrás de un programa de afiliados que pagó a los ciberdelincuentes por instalar la destructiva y exitosa cepa de ransomware GandCrab anunciada el 31 de mayo de 2019, terminaron el programa luego de que supuestamente obtuvieron más de $ 2 mil millones en pagos de extorsión de las víctimas. Lo que sigue es una inmersión profunda en quién puede ser responsable de reclutar nuevos miembros para ayudar a difundir el contagio.

Como la mayoría de las cepas de ransomware, el ransomware-as-a-service de GandCrab ofrece archivos retenidos como rehenes de sistemas infectados hasta que las víctimas accedan a pagar la suma exigida. Pero GandCrab eclipsó por mucho el éxito de los programas de afiliados ransomware de la competencia, en gran parte porque sus autores trabajaron asiduamente para actualizar el malware de modo que pudiera evadir el antivirus y otras defensas de seguridad.

En el lapso de 15 meses de la empresa afiliada a GandCrab a partir de enero de 2018, sus curadores enviaron cinco revisiones principales al código, cada una correspondiente a nuevas características y soluciones de errores dirigidas a frustrar los esfuerzos de las empresas de seguridad informática para frenar la expansión de la malware

En un año, las personas que trabajaron con nosotros han ganado más de US $ 2 mil millones“, leyó la publicación de despedida de la identidad del mismo nombre de GandCrab en el foro de ciberdelincuencia Exploit[.]in, Donde el grupo reclutó a muchos de sus distribuidores. “Nuestro nombre se convirtió en un término genérico para ransomware en el inframundo. El ingreso semanal promedio del proyecto fue igual a US $ 2.5 millones ”.

El mensaje continuó:

“Nosotros mismos hemos ganado más de US $ 150 millones en un año. Este dinero se ha retirado e invertido con éxito en varios proyectos legales, tanto en línea como fuera de línea. Ha sido un placer trabajar con ustedes. Pero, como dijimos, todo termina. Estamos recibiendo una jubilación bien merecida. Somos una prueba viviente de que puedes hacer el mal y salir impune. Hemos demostrado que uno puede hacer una vida de dinero en un año. Hemos demostrado que puedes convertirte en el número uno por admisión general, no por tu propia cuenta”.

Evidentemente, cuando se considera el daño infligido a tantas personas y empresas golpeadas por GandCrab, es fácilmente el malware más rapaz y depredador de 2018 y hasta 2019.

El perfil de GandCrab en Exploit[.]in publicó actualizaciones periódicas sobre el recuento de víctimas y los pagos de rescate. Por ejemplo, a fines de julio de 2018, GandCrab declaró que una sola filial del servicio de alquiler de ransomware había infectado a 27,031 víctimas solo en el mes anterior, recibiendo aproximadamente $ 125,000 en comisiones.

El mes siguiente, GandCrab se jactó de que el programa en julio de 2018 generó casi 425,000 víctimas y extorsionó más de un millón de dólares en criptomonedas, muchas de las cuales fueron para afiliados que ayudaron a diseminar las infecciones.

La firma de seguridad rusa Kaspersky Lab estimó que para cuando el programa dejó de funcionar, GandCrab representaba hasta la mitad del mercado global de ransomware.

Oneiilk2

No está claro cuántos individuos estaban activos en el equipo de desarrollo de malware de GandCrab. Pero KrebsOnSecurity localizó varias pistas que apuntan a la identidad en la vida real de un hombre ruso que parece haber sido puesto a cargo de reclutar nuevos afiliados para el programa.

En noviembre de 2018, un afiliado de GandCrab publicó una captura de pantalla en el foro de Exploit[.]in de un mensaje privado entre él y un miembro del foro conocido como “oneiilk2” y “oneillk2” que mostró que este último estaba a cargo de reclutar nuevos miembros para el programa de ganancias ransomware.

Oneiilk2 también fue un exitoso afiliado de GandCrab por derecho propio. En mayo de 2018, se lo pudo ver en múltiples hilos de Exploit[.]in que pedían ayuda urgente para obtener acceso a negocios pirateados en Corea del Sur. Estas solicitudes se prolongan durante varias semanas ese mes, con Oneiilk2 que dice que está dispuesto a pagar el mejor precio por los recursos solicitados. Al mismo tiempo, Oneiilk2 se puede ver en Exploit y pide ayuda para descubrir cómo crear un cebo de malware convincente utilizando el alfabeto coreano.

Más adelante en el mes, Oneiilk2 dice que ya no necesita ayuda con esa solicitud. Apenas unas semanas después, las empresas de seguridad comenzaron a advertir que los atacantes estaban organizando una campaña de spam para atacar a las empresas de Corea del Sur con la versión 4.3 de GandCrab.

Hottabych

Cuando Oneiilk2 se registró en Exploit[.]in en enero de 2015, usó la dirección de correo electrónico hottabych_k2@mail.ru. Esa dirección de correo electrónico y su apodo se utilizaron desde 2009 para registrar múltiples identidades en más de media docena de foros de delitos informáticos.

En 2010, la dirección hottabych_k2 se usó para registrar el nombre de dominio dedserver [.] Ru, un sitio que comercializaba servidores web dedicados a personas involucradas en varios proyectos de ciberdelito. Ese registro de registro de dominio incluyó el número de teléfono ruso + 7-951-7805896, que según la función de recuperación de contraseña de mail.ru es, de hecho, el número de teléfono utilizado para registrar la cuenta de correo electrónico hottabych_k2.

Al menos cuatro publicaciones realizadas en 2010 en el servicio de revisión de hosting makeserver.ru anuncian Dedserver e incluyen imágenes con marca de agua con el apodo “oneillk2”.

Dedserver también promovió en gran medida un servicio de red privada virtual (VPN) llamado vpn-service [.] Para ayudar a los usuarios a ofuscar sus verdaderas ubicaciones en línea. No está claro cuán estrechamente conectados estaban estos negocios, aunque una copia en caché de la página de inicio de Dedserver en Archive.org desde 2010 sugiere que los propietarios del sitio lo consideraron como propio.

Vpn-service [.] Us fue registrado en la dirección de correo electrónico sec-service@mail.ru por una persona que usó el apodo (y, a veces, la contraseña) – “Metall2” – en múltiples foros de ciberdelincuencia.

Casi al mismo tiempo que el programa de afiliados de GandCrab estaba en marcha, Oneiilk2 se había convertido en uno de los miembros más confiables de Exploit y en varios otros foros. Esto fue evidente al medir el total de “puntos de reputación” que se le asignaron, que son comentarios positivos o negativos otorgados por otros miembros con los que el miembro ha realizado transacciones anteriormente.

A finales de 2018, Oneiilk2 fue uno de los 20 miembros con mejor calificación entre los miles de ciudadanos en el foro de Exploit, gracias en gran parte a su asociación con la empresa GandCrab.

La búsqueda en la dirección de correo electrónico de registro de Oneiilk2 hottabych_k2@mail.ru a través de sitios que rastrean bases de datos pirateadas o filtradas arrojó algunos resultados curiosos. Esos registros muestran que este individuo reutilizó la misma contraseña en varias cuentas: 16061991.

Por ejemplo, la dirección de correo electrónico y la contraseña aparecen en las bases de datos de contraseñas pirateadas para una cuenta “oneillk2” en zismo [.] Biz, un foro en ruso dedicado a las noticias sobre varios programas de afiliados para ganar dinero en línea.

En un post realizado en Zismo en 2017, Oneiilk2 afirma que vive en un pequeño pueblo con una población de alrededor de 400,000, y que se dedica a la fabricación de muebles.

¿Mr. Prokopenko?

La investigación adicional reveló que la dirección hottabych_k2@mail.ru también se había utilizado para registrar al menos dos cuentas en el sitio de redes sociales Vkontakte, el equivalente en ruso de Facebook.

Una de esas cuentas fue registrada por un “Igor Kashkov” de Magnitogorsk, Rusia, una ciudad industrial rica en metales en el sur de Rusia de alrededor de 410,000 residentes que alberga las mayores obras de hierro y acero del país.

La cuenta de Kashkov usó la contraseña “hottabychk2”, el número de teléfono 890808981338, y en un momento dado proporcionó la dirección de correo electrónico alternativa “prokopenko_k2@bk.ru”. Sin embargo, esto parece haber sido simplemente una cuenta abandonada, o al menos solo hay un par de actualizaciones dispersas al perfil.

La cuenta Vkontakte más interesante vinculada a la dirección hottabych_k2@mail.ru pertenece a un perfil con el nombre “Igor Prokopenko”, quien dice que también vive en Magnitogorsk. El perfil de Igor Prokopenko dice que ha estudiado y está interesado en varios tipos de metalurgia.

También hay una cuenta de voz sobre IP de Skype vinculada a un “Igor” de Magnitogorsk cuyo cumpleaños figura en la lista el 16 de junio de 1991. Además, existe una cuenta de Youtube bastante activa que se remonta a 2015 – youtube.com/user/Oneillk2 – Eso pertenece a un Igor Prokopenko de Magnitogorsk.

Esa cuenta de Youtube incluye en su mayoría videos cortos del Sr. Prokopenko que pesca pescado en un río local y diagnostica problemas con su Lada Kalina, una línea de automóviles de fabricación rusa que es bastante común en toda Rusia. Una cuenta creada en enero de 2018 con el apodo de Oneillk2 en un foro para entusiastas de Lada dice que su dueño tiene 28 años y vive en Magnitogorsk.

Las fuentes con la capacidad de verificar los registros de ciudadanía rusa identificaron a Igor Vladimirovich Prokopenko de Magnitogorsk que nació el 16 de junio de 1991. Recuerde que “16061991” fue la contraseña utilizada por innumerables cuentas en línea vinculadas a hottabych_k2@mail.ru y Oneiilk2 / Identidades de Oneillk2.

Para completar todas las investigaciones anteriores, la página de restablecimiento de contraseña de Vkontakte muestra que el perfil de Igor Prokopenko está vinculado al número de teléfono móvil + 7-951-7805896, que es el mismo que se usa para configurar la cuenta de correo electrónico hottabych_k2 @ mail. ru hace casi 10 años.

El Sr. Prokopenko no respondió a múltiples solicitudes de comentarios.

Es completamente posible que quien sea responsable de operar el programa de afiliados de GandCrab haya desarrollado una campaña de desinformación elaborada, de un año de duración, para llevar a futuros investigadores potenciales a una parte inocente.

Al mismo tiempo, no es raro que muchos malhechores rusos hagan poco para ocultar sus verdaderas identidades, al menos al principio de sus carreras, tal vez en parte porque perciben que hay pocas probabilidades de que alguien se moleste en conectar los puntos más adelante, o porque tal vez no temen el arresto y / o la persecución mientras residen en Rusia. Cualquier persona que tenga dudas sobre esta dinámica haría bien en consultar la serie Breadcrumbs en este blog, que utilizó métodos similares a los descritos anteriormente para desenmascarar a docenas de otros proveedores importantes de malware.

Cabe señalar que el programa de afiliación de GandCrab tomó medidas para evitar la instalación de su ransomware en computadoras que residen en Rusia o en cualquiera de los países que anteriormente formaban parte de la Unión Soviética, conocida como la Comunidad de Estados Independientes e incluso Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán. Esta es una precaución típica que toman los ciberdelincuentes que ejecutan operaciones de malware en uno de esos países, ya que tratan de evitar crear problemas en sus propios patios que puedan atraer la atención de las autoridades locales.

KrebsOnSecurity agradece a domaintools.com, así como a las firmas de inteligencia cibernética Intel471, Hold Security y 4IQ por su ayuda en la investigación de esta publicación.

Esta es una transcripción de un post originalmente publicado en: http://bit.ly/2Xy83e6

leer más
Isaul Carballar¿Quién está detrás del ransomware GandCrab?
shutterstock_347742512-compressor.jpg

Hackean foro de hackers de Instagram, PS y otros

Un foro en línea utilizado por aquellos involucrados en el secuestro de cuentas en línea ha sido violado, según reportó el periodista de ciberseguridad Brian Krebs.

Un ataque en OGUsers.com filtró la información personal de casi 113,000 personas. Al parecer, Krebs recibió una copia de la base de datos, que incluía nombres de usuario, direcciones de correo electrónico, contraseñas de hash, mensajes privados y direcciones IP.

El administrador del foro lo anunció en una publicación en el foro el jueves.

Otras noticias desafortunadas“, escribió el administrador, conocido como Ace. “Parece que alguien pudo violar el servidor a través de un plugin personalizado en el software del foro y pudo obtener acceso a una copia de seguridad antigua que data del 26 de diciembre de 2018“.

OGUsers ha estado en línea cerca de 3 años y esta es la primera vez que se produce una infracción. Entiendo la frustración de todos y lamento profundamente que todo esto haya sucedido recientemente. Deben darse cuenta que otros sitios y foros como Twitter, Facebook, Dropbox, que han usado en el pasado y muchos más han sido violados al menos una vez. La gente ataca al sitio los 365 días del año “, escribió Ace. “Una vez más, lamento profundamente que esto haya ocurrido y haré todo lo posible para asegurarme de que nunca vuelva a suceder“.

Hombre con capucha frente el teclado

OGUSERS, también conocido como OGU dentro de sus miembros, es un foro aparentemente lanzado para intercambiar nombres de usuario “OG”, como en: nombres de usuario únicos, cortos y raros. Además de las cuentas de redes sociales, OGUSERS también realizó transacciones en PlayStation Network, Steam, Domino´s Pizza y otras cuentas en línea. El foro se convirtió en un foco para los piratas informáticos que se especializaban en irrumpir en las cuentas de otras personas, tomar el control de ellas y luego venderlas al mejor postor.

Varios miembros de OGUSERS utilizaron una técnica llamada intercambio de SIM para secuestrar los números de teléfono de las personas. Una vez en control de su número de teléfono, lo usarían para restablecer las contraseñas y lograr hackeos de Instagram, por ejemplo, y luego venderían el nombre de usuario en el foro.

Otro hacker, conocido como Omnipotente, anunció el hackeo en otro foro llamado Raidforums.

Hola Comunidad RaidForums,

Hoy he subido la base de datos del Foro OGUsers para que la descargue de forma gratuita, ¡gracias por leer y disfrutar!

El 12 de mayo de 2019, el foro ogusers.com se vio afectado por 112,988 usuarios afectados. He cargado los datos de esta violación de la base de datos junto con los archivos de origen de su sitio web. Su algoritmo de hash fue el MD5 con sal por defecto que me sorprendió, de todas formas, el propietario del sitio web ha reconocido la corrupción de los datos, pero no una infracción, por lo que creo que soy el primero en decirles la verdad. Según su declaración, no tenía ninguna copia de seguridad reciente, así que supongo que proporcionaré una en este hilo lmfao.

Datos comprometidos: actividad del sitio web, nombres de usuario, correos electrónicos, direcciones IP, contraseñas (MD5 en formato salado), código fuente, datos del sitio web, mensajes privados del usuario.

Mientras que los usuarios en el foro OGUsers.com expresaron su preocupación por el hecho de que sus identidades fueron reveladas como resultado del ataque, Krebs dijo: “Es difícil no admitir sentir un poco de schadenfreude (placer por la desgracia del otro) en respuesta a este evento. Es gratificante ver semejante castigo para una comunidad que se ha especializado en gran medida en castigar a otros. Además, es probable que los investigadores federales y estatales encargados de hacer cumplir la ley que persiguen a los swappers de SIM tengan un día de campo con esta base de datos, y supongo que esta fuga provocará aún más arrestos y cargos de los involucrados”.

leer más
Isaul CarballarHackean foro de hackers de Instagram, PS y otros