Yaakov's Group | Ciberseguridad

Estafadores suplantan otra vez la identidad de 10 entidades financieras

ethical-hacker

Para prevenir ataques en tu organización Yaakov´s Group te puede asesorar ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops.

De acuerdo con la Condusef, esta vez se detectó que ocho sociedades financieras de objeto múltiple, así como dos sociedades cooperativas de ahorro y préstamo, fueron objeto de robo de identidad.

En lo que ha sido una constante en este 2020, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) nuevamente alertó sobre la suplantación de identidad de 10 instituciones financieras con la finalidad de cometer fraudes a nombre de dichas organizaciones.

De acuerdo con la Condusef, esta vez se detectó que ocho sociedades financieras de objeto múltiple (sofomes), así como dos sociedades cooperativas de ahorro y préstamo, fueron objeto de robo de identidad. Aquí el listado de las entidades afectadas:

  • Bioenova, S.A.P.I. de C.V., SOFOM, E.N.R.
  • Quality Financial Services, S.A.P.I. de C.V., SOFOM, E.N.R.
  • Crédito y Logística de Capital, S.A. de C.V., SOFOM, E.N.R.
  • Crediavance, S.A. de C.V., SOFOM, ENR
  • Soluciones Patrimoniales Cufrisa, S.A. de C.V., SOFOM, E.N.R
  • Centerfin, S.A. de C.V. S.O.F.O.M, E.N.R
  • Vision F México, S.A. de C.V., SOFOM, E.N.R.
  • Metafinanciera México, S.A. de C.V., SOFOM, E.N.R.
  • Cooperativa de Ahorro y Préstamo Caja Popular Atemajac, S.C. de A.P. de R.L. de C.V.
  • Caja Fama, S.C. de A.P. de R.L. de C.V.

La Condusef detalló que los estafadores buscan contactarse con sus víctimas vía telefónica o por redes sociales con la promesa de entregar créditos inmediatos y con mensualidades de montos pequeños.

“Utilizan información como razón social, direcciones, teléfonos e imagen corporativa (logotipos) de las entidades financieras debidamente autorizadas y registradas, para hacerse pasar por ellas”, dijo la Condusef.

Asimismo, solicitan información personal a sus víctimas y, además, piden anticipos de dinero en efectivo o mediante depósito a una cuenta bancaria con la supuesta finalidad de apartar el crédito, gestionarlo, adelantar mensualidades o pagar gastos de apertura como fianza en garantía, generalmente por el equivalente a 10% del monto total del crédito.

“Cuando las víctimas realizan los depósitos a la cuenta señalada, no reciben el crédito y es imposible localizar a los promotores. Es cuando descubren que han sido engañados”, detalló la Condusef en un comunicado.

Esta autoridad hizo un llamado para que las personas verifiquen la información de la persona y la entidad con quien tratan si buscan adquirir un crédito.

Fuente: EL ECONOMISTA

 

Cisco advierte sobre ataques dirigidos a la vulnerabilidad del enrutador de alta gravedad

Cisco advirtió hoy sobre ataques dirigidos activamente a la vulnerabilidad de alta gravedad CVE-2020-3118 que afecta a varios enrutadores de nivel de operador que ejecutan el software Cisco IOS XR de la compañía.

El SO de red IOS XR se implementa en varias plataformas de enrutadores de Cisco, incluidos los enrutadores de las series NCS 540 y 560, NCS 5500, 8000 y ASR 9000.

La vulnerabilidad afecta a los routers de caja blanca de terceros y a los siguientes productos de Cisco si ejecutan versiones vulnerables del software Cisco IOS XR y tienen el protocolo de descubrimiento de Cisco habilitado tanto en al menos una interfaz como a nivel mundial:

Enrutadores de servicios de agregación de la serie ASR 9000
Carrier Routing System (CRS)
Enrutador IOS XRv 9000
Enrutadores de la serie 540 del sistema de convergencia de red (NCS)
Enrutadores de la serie 560 del sistema de convergencia de red (NCS)
Enrutadores de la serie 1000 del sistema de convergencia de red (NCS)
Enrutadores de la serie 5000 del sistema de convergencia de red (NCS)
Enrutadores de la serie 5500 del sistema de convergencia de red (NCS)
Enrutadores de la serie 6000 del sistema de convergencia de red (NCS)

Los ataques comenzaron en octubre

«En octubre de 2020, el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) recibió informes de intentos de explotación de esta vulnerabilidad en la naturaleza», se lee en el aviso actualizado.

«Cisco recomienda que los clientes actualicen a una versión fija del software Cisco IOS XR para remediar esta vulnerabilidad».

Hoy, la Agencia de Seguridad Nacional de los Estados Unidos (NSA) también incluyó CVE-2020-3118 entre las 25 vulnerabilidades de seguridad actualmente atacadas o explotadas por los actores de amenazas patrocinados por el estado chino.

Los atacantes podrían aprovechar la vulnerabilidad enviando un paquete de Cisco Discovery Protocol malicioso a los dispositivos que ejecutan una versión vulnerable de IOS XR.

La explotación exitosa podría permitir a los atacantes desencadenar un desbordamiento de pila que podría conducir a la ejecución de código arbitrario con privilegios administrativos en el dispositivo objetivo.

Afortunadamente, aunque esta vulnerabilidad de cadena de formato de protocolo de descubrimiento de Cisco podría llevar a la ejecución remota de código, solo puede ser explotada por atacantes adyacentes no autenticados (capa 2 adyacente) en el mismo dominio de transmisión que los dispositivos vulnerables.

Actualizaciones de seguridad disponibles
Cisco solucionó la falla de seguridad CVE-2020-3118 en febrero de 2020, junto con otras cuatro vulnerabilidades graves descubiertas por la compañía de seguridad de IoT Armis y denominadas colectivamente CDPwn.

«Los hallazgos de esta investigación son importantes, ya que los protocolos de Capa 2 son la base de todas las redes y, como superficie de ataque, son un área poco investigada y, sin embargo, son la base para la práctica de la segmentación de redes», dijo el vicepresidente de investigación de Armis Ben Seri. dijo cuando se revelaron las vulnerabilidades de CDPwn.

«La segmentación de la red se utiliza a menudo como un medio para proporcionar seguridad. Desafortunadamente, como destaca esta investigación, la infraestructura de la red en sí está en riesgo y es explotada por un atacante, por lo que la segmentación de la red ya no es una estrategia de seguridad garantizada».

La NSA publica una lista de las principales vulnerabilidades actualmente atacadas por los piratas informáticos chinos

La NSA insta al sector público y privado de EE. UU. A aplicar parches o mitigaciones para prevenir ataques.

La Agencia de Seguridad Nacional de EE. UU. Ha publicado hoy un informe en profundidad que detalla las 25 principales vulnerabilidades que actualmente están siendo escaneadas, atacadas y explotadas constantemente por grupos de piratería informática patrocinados por el estado chino.

Los 25 errores de seguridad son bien conocidos y tienen parches disponibles de sus proveedores, listos para ser instalados.

Los exploits para muchas vulnerabilidades también están disponibles públicamente. Algunos han sido explotados por más que hackers chinos, y también se han incorporado al arsenal de bandas de ransomware, grupos de malware de bajo nivel y actores estatales de otros países (es decir, Rusia e Irán).

«La mayoría de las vulnerabilidades enumeradas a continuación pueden explotarse para obtener acceso inicial a las redes de las víctimas utilizando productos a los que se puede acceder directamente desde Internet y actúan como puertas de enlace a las redes internas», dijo hoy la NSA.

La agencia de ciberseguridad de EE. UU. Insta a las organizaciones del sector público y privado de EE. UU. A parchear los sistemas para las vulnerabilidades que se enumeran a continuación.

Éstos incluyen:

1) CVE-2019-11510: en los servidores Pulse Secure VPN, un atacante remoto no autenticado puede enviar un URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria. Esto puede provocar la exposición de claves o contraseñas.

2) CVE-2020-5902: en proxies F5 BIG-IP y balanceador de carga, la interfaz de usuario de gestión de tráfico (TMUI), también conocida como la utilidad de configuración, es vulnerable a una vulnerabilidad de ejecución remota de código (RCE) que puede permitir atacantes para apoderarse de todo el dispositivo BIG-IP.

3) CVE-2019-19781: los sistemas Citrix Application Delivery Controller (ADC) y Gateway son vulnerables a un error de recorrido de directorio, que puede llevar a la ejecución remota de código sin que el atacante tenga que poseer credenciales válidas para el dispositivo. Estos dos problemas se pueden encadenar para hacerse cargo de los sistemas Citrix.

4 + 5 + 6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196: otro conjunto de errores de Citrix ADC y Gateway. Estos también afectan a los sistemas SDWAN WAN-OP. Los tres errores permiten el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios.

7) CVE-2019-0708 (también conocido como BlueKeep): existe una vulnerabilidad de ejecución remota de código dentro de los Servicios de escritorio remoto en los sistemas operativos Windows.

8) CVE-2020-15505: una vulnerabilidad de ejecución remota de código en el software de administración de dispositivos móviles (MDM) MobileIron que permite a atacantes remotos ejecutar código arbitrario y hacerse cargo de los servidores remotos de la empresa.

9) CVE-2020-1350 (también conocido como SIGRed): existe una vulnerabilidad de ejecución remota de código en los servidores del Sistema de nombres de dominio de Windows cuando no pueden manejar adecuadamente las solicitudes.

10) CVE-2020-1472 (también conocido como Netlogon): existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro Netlogon vulnerable a un controlador de dominio mediante el protocolo remoto Netlogon (MS-NRPC).

11) CVE-2019-1040: existe una vulnerabilidad de manipulación en Microsoft Windows cuando un atacante de intermediario puede eludir con éxito la protección NTLM MIC (verificación de integridad de mensajes).

12) CVE-2018-6789: enviar un mensaje hecho a mano a un agente de transferencia de correo de Exim puede provocar un desbordamiento del búfer. Esto se puede utilizar para ejecutar código de forma remota y hacerse cargo de los servidores de correo electrónico.

13) CVE-2020-0688: existe una vulnerabilidad de ejecución remota de código en el software Microsoft Exchange cuando el software no puede manejar correctamente los objetos en la memoria.

14) CVE-2018-4939: ciertas versiones de Adobe ColdFusion tienen una vulnerabilidad explotable de deserialización de datos no confiables. La explotación exitosa podría conducir a la ejecución de código arbitrario.

15) CVE-2015-4852: el componente de seguridad WLS en Oracle WebLogic 15 Server permite a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java serializado diseñado

16) CVE-2020-2555: existe una vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware. Esta vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de T3 comprometer los sistemas Oracle Coherence.

17) CVE-2019-3396: la macro Widget Connector en Atlassian Confluence 17 Server permite a los atacantes remotos lograr un recorrido de ruta y una ejecución remota de código en una instancia de Confluence Server o Data Center a través de la inyección de plantilla del lado del servidor.

18) CVE-2019-11580: los atacantes que pueden enviar solicitudes a una instancia de Atlassian Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, lo que permite la ejecución remota de código.

19) CVE-2020-10189: Zoho ManageEngine Desktop Central permite la ejecución remota de código debido a la deserialización de datos que no son de confianza.

20) CVE-2019-18935 – Progress Telerik UI para ASP.NET AJAX contiene una vulnerabilidad de deserialización de .NET. La explotación puede resultar en la ejecución remota de código.

21) CVE-2020-0601 (también conocido como CurveBall): existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC). Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente legítima y confiable.

22) CVE-2019-0803: existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar correctamente los objetos en la memoria.

23) CVE-2017-6327: Symantec Messaging Gateway puede encontrar un problema de ejecución remota de código.

24) CVE-2020-3118: una vulnerabilidad en la implementación del Protocolo de descubrimiento de Cisco para el software Cisco IOS XR podría permitir que un atacante adyacente no autenticado ejecute código arbitrario o provoque la recarga de un dispositivo afectado.

25) CVE-2020-8515 – Los dispositivos DrayTek Vigor permiten la ejecución remota de código como root (sin autenticación) a través de metacaracteres de shell.

Fuente: ZDNET

Ciberataques son cada vez más intensos

El presidente de la Asociación de Bancos de México, Luis Niño de Rivera, explicó que el confinamiento por la pandemia de Covid-19 ha provocado que los ciberataques tengan cada vez mayor fuerza.

Ante el incremento de reportes de usuarios en redes sociales sobre supuestos fraudes en cuentas bancarias, el presidente de la Asociación de Bancos de México, (ABM) Luis Niño de Rivera, reconoció que hay problemas de fraude en el país que hasta el momento es una cifra reducida comparada con las operaciones totales de la banca.

“La banca hace diariamente 144 millones de transacciones. Todos los días. ¿Hay problemas de fraudes? Sí, sí los hay, por supuesto, pero no llegan ni siquiera al 1%. Andan más o menos en el 0.7%. Es una cifra muy pequeña que no justifica que al que le hacen un fraude, pues ni modo, eres estadística y ahí la dejamos”, dijo.

Al participar en el Décimo Congreso Internacional de Investigación Financiera, el directivo explicó que el confinamiento por la pandemia de Covid-19 ha provocado que los ciberataques tengan cada vez mayor fuerza, situación que se está presentando en todo el mundo ante un mayor uso de tecnología para operaciones financieras.

“La banca invierte todos los años, cerca de 25 mil millones de pesos en tecnología y una parte sustancial de eso es para la ciberseguridad. ¿Qué es lo que está pasando? Cómo transitamos al mundo digital y ha incrementado su uso considerablemente, más aún en el confinamiento, evidentemente los ciberataques están más intensos, que no son problemas locales, son problemas mundiales. Hay redes de delincuentes muy bien organizados que permanente están tratando vulnerar bases de datos, procesos operativos y controles de todo el sistema operativo en todo el mundo”, explicó.

Ante dicho escenario, el directivo comentó que el sistema bancario debe incrementar sus inversiones y colaboración ante un inevitable incremento de los fraudes.

“En la banca estamos elevando nuestra capacidad para proteger bases de datos, operaciones y el patrimonio de los de los clientes y de los bancos. ¿Van a aumentar los fraudes cibernéticos? Sí, sí van a aumentar. Tenemos que seguir invirtiendo mucho más y tenemos que compartir información”, explicó.

Niño de Rivera comentó que la operación de ciberdelitos, operados principalmente por bandas internacionales organizadas han sofisticado sus ataques y que se necesita una respuesta mucho más rápida del sistema financiero para prevenir los delitos. “Estas redes internacionales son rapidísimos para desarrollar nuevas formas de ataque y compartir la información tecnológica para ayudarse unos a otros en su red internacional. Nosotros no hemos reaccionado de la misma manera como industria a nivel internacional. Entre más compartamos problemas y soluciones, niveles de protección y situaciones difíciles, más rápido nos vamos a proteger de todo lo que está creciendo en el mundo que es la ciberdelincuencia”, dijo.

Fuente: El Universal

CRYPTOJACKING, LA NUEVA TÉCNICA DE CIBERDELINCUENCIA

El término cryptojacking deriva de la conjunción de CRYPTOJACKING (Criptomonedas) y Hijacking (Secuestro). Como se puede deducir, se refiere al secuestro de un dispositivo electrónico sin el consentimiento o conocimiento del usuario, aprovechando la capacidad de procesamiento y de cálculo de la tarjeta gráfica, de la memoria y del procesador se utiliza para el minado de criptomonedas.

El minado consiste en calcular una serie de algoritmos para verificar las transacciones realizadas hasta ese momento. El que primero encuentra la solución a estos cálculos recibe el premio (en criptomonedas) por realizar dicha comprobación.

Este tipo de ataques surgió por primera vez en 2011, aunque su auge se ha producido al calor del alza de las cotizaciones de las monedas virtuales, a finales de 2017. El éxito de este tipo de ataque se debe a que es fácil de efectuar y automatizar, además de la dificultad de detectar su presencia en el dispositivo infectado.

Según la empresa de software de seguridad McAfee, el cryptojacking o criptosecuestro ha afectado a más de 3 millones de dispositivos en el primer trimestre de este año con un crecimiento exponencial desde finales de 2017, preferentemente ordenadores y servidores de todo el mundo, además de páginas web como por ejemplo, administraciones públicas, tiendas online o foros, entre otros.

El objetivo de estos ataques actualmente se está redirigiendo de los ordenadores y servidores a los dispositivos móviles, dispositivos inteligentes y dispositivos IoT, aprovechándose de fallos de seguridad y vulnerabilidades, como por ejemplo, la falta de actualizaciones, cifrados inseguros, etc.

¿Cómo se infecta un dispositivo?

Cualquier dispositivo puede ser objetivo de este tipo de secuestro, principalmente mediante alguno de los siguientes métodos de infección:

  1. Cuando un usuario hace clic en un enlace o en un anuncio sin saber su procedencia, puede que éste le redirija a un página web que previamente haya sido manipulada e infectarse mediante inyección de código malicioso en el navegador. Una vez que el usuario cierra el navegador o el proceso afectado, el dispositivo dejaría de realizar acciones de minado.
  2. Malware contenido en archivos adjuntos en correos electrónicos o plugins modificados, que inyectan código o instalan complementos infectados en el dispositivo. En este tipo de infección, si se cierra el navegador o se finaliza el proceso, el dispositivo sigue minando, y si se trata de forzar el cierre, el dispositivo se bloquea y se reinicia, por lo que es más difícil eliminar el malware.

¿Cómo detectar si tu dispositivo ha sido víctima del cryptojacking?

Debido a que el proceso de minado requiere de un alto grado de uso del procesador, se verá repercutido en el uso habitual de los dispositivos infectados. Los principales síntomas son que funcionan lento, se quedan colgados constantemente o que la velocidad de conexión a Internet se ralentiza.

Además, el uso de los dispositivos al máximo rendimiento provoca otra serie de indicadores físicos, como sobrecalentamiento de los componentes y un alto consumo de energía eléctrica. Una solución para comprobar si un equipo está minando mientras se navega por Internet es utilizar un complemento o plugin en el navegador que avisa al usuario en caso de detectar código oculto.

Consejos para evitar el uso indebido de tus dispositivos

Para evitar el criptosecuestro en los dispositivos, es recomendable que se siga las siguientes recomendaciones:

  1. Utilizar un bloqueador de publicidad en el navegador del ordenador. En el caso de los móviles, existen disponibles varias apps tanto en Android como iPhone.
  2. Mantener actualizado el software de los dispositivos, siempre que sea posible.
  3. Para evitar infectar el dispositivo, no se debe instalar ningún complemento, software o aplicación, si éste no proviene de una fuente segura y confiable o de la página oficial.
  4. Si tienes ciertos conocimientos técnicos, puedes utilizar un bloqueador de ejecución de código de JavaScript en tu navegador, por ejemplo en Firefox o Chrome.
  5. Además de tener un antivirus actualizado, realizar análisis periódicos en busca de infecciones, vulnerabilidades o cualquier otra amenaza.
  6. Utilizar firewall o cortafuegos para bloquear las conexiones sospechosas que observes.

Fuente: SCIRT 

Precauciones de Ciberseguridad Cibernética

Desde Yaakov´s Group nos preocupamos por tener ambientes de trabajo más seguros y por eso estamos aliados con los mejores. Te tenemos algunas recomendaciones de seguridad emitidas por Interpol para que ser puestas en práctica. Yaakov´s Group tiene la solución ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

audio Deep Fake suplanta voz de CEO para realizar estafas

Es el primer caso conocido de estafa financiera exitosa a través de audio DeepFake, los ciberdelincuentes pudieron crear una suplantación casi perfecta de la voz de un director ejecutivo, y luego usaron el audio para engañar a su empresa para transferir U$S 243.000 a su cuenta bancaria.

Una DeepFake es una suplantación plausible de video o audio de alguien, impulsada por inteligencia artificial (IA). Los expertos en seguridad dicen que el incidente, reportado por primera vez por el Wall Street Journal , sienta un precedente peligroso.

«En la industria de verificación de identidad, estamos viendo más y más fraude de identidad basado en inteligencia artificial que nunca antes», dijo a Threatpost David Thomas, CEO de la compañía de verificación de identidad Evident. Como empresa, ya no es suficiente confiar en que alguien es quien dice ser. Las personas y las empresas recién ahora comienzan a comprender la importancia de la verificación de identidad. Especialmente en la nueva era de las falsificaciones profundas, ya no es suficiente confiar en una llamada telefónica o un archivo de video.

El informe del WSJ, que se publicó durante el fin de semana, se atribuyó a la compañía de seguros de la compañía víctima, Euler Hermes Group SA, que declinó nombrar a la compañía afectada pero describió el incidente en detalle.

El incidente comenzó en marzo, cuando el CEO de una compañía de energía pensó que estaba hablando por teléfono con su jefe, el director ejecutivo de la empresa matriz alemana de la firma. La persona que llamó por teléfono le pidió al CEO que enviara los fondos, por un total de € 220.000 (U$S 243.000), a un proveedor húngaro en una solicitud «urgente», con la promesa de que se reembolsaría.

La víctima, engañada al pensar que la voz era la de su jefe, particularmente porque tenía un ligero acento alemán y un patrón de voz similar, hizo la transferencia. Sin embargo, una vez que se realizó la transacción, los estafadores volvieron a llamar y solicitaron otra transferencia urgente de dinero. En ese momento, el CEO comenzó a sospechar y se negó a hacer el pago.

Según los informes, los fondos fueron de Hungría a México antes de ser transferidos a otros lugares. Euler Hermes Group SA pudo reembolsar a la empresa afectada, según el informe.

El incidente apunta a cómo el fraude de voz, impulsado por inteligencia artificial, es una amenaza creciente de ciberseguridad para empresas y consumidores por igual. Un informe de Pindrop de 2018 descubrió que el fraude de voz había aumentado un 350 por ciento entre 2013 y 2017, con una de cada 638 llamadas creadas sintéticamente.

Si bien la industria de la ciberseguridad ha promocionado la inteligencia artificial como una forma para que los desarrolladores automaticen funciones y para que las empresas detecten anomolias , este incidente también muestra cómo la tecnología podría usarse fácilmente de manera maliciosa.

De hecho, después de crear una réplica de la popular voz del podcaster Joe Rogan (que genera un discurso realista usando solo entradas de texto), Dessa, una compañía que ofrece herramientas de nivel empresarial para la ingeniería de aprendizaje automático, advirtió que cualquiera podría utilizar la inteligencia artificial para hacerse pasar por personas. . Eso significa que las personas que llaman spam podrían hacerse pasar por los familiares de las víctimas para obtener información personal; los delincuentes podrían ingresar a las zonas de alta seguridad mediante la suplantación de un funcionario del gobierno; o deepfake de los políticos podrían usarse para manipular los resultados electorales, dijo Dessa en una publicación de mayo.

«En este momento, se requieren experiencia técnica, ingenio, potencia informática y datos para que modelos como [estos] funcionen bien. Así que no cualquiera puede salir y hacerlo. Pero en los próximos años (o incluso antes), veremos que la tecnología avanza hasta el punto en que solo se necesitan unos segundos de audio para crear una réplica realista de la voz de cualquier persona en el planeta. Es bastante aterrador».

Los expertos en seguridad han advertido que la IA también es una bendición para los ciberdelincuentes que pueden usar la herramienta para automatizar el phishing, usar aplicaciones de IA de autenticación de voz para ataques de suplantación de identidad o para rastrear paquetes escalables. Afortunadamente, existen técnicas de verificación que podrían ayudar a señalar tales intentos de fraude, dijo Thomas de evidencia.

«Las empresas deben estar atentas y emplear técnicas de verificación adecuadas, como identificación de múltiples factores, reconocimiento facial y pruebas integrales de identidad, para frustrar las amenazas actuales de IA».

Fuente: Según Info

Es probable que los hackers de Fancy Bear de Rusia hayan penetrado en una agencia federal de EE. UU.

Nuevas pistas indican que APT28 puede estar detrás de una misteriosa intrusión que los funcionarios estadounidenses revelaron la semana pasada.

Una advertencia de que piratas informáticos no identificados irrumpieron en una agencia del gobierno federal de los EE. UU. Y robaron sus datos es suficientemente preocupante. Pero se vuelve aún más perturbador cuando se identifica a esos intrusos no identificados, y parece probable que formen parte de un notorio equipo de ciberespías que trabajan al servicio de la agencia de inteligencia militar de Rusia, la GRU.

La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad publicó un aviso de que piratas informáticos habían penetrado en una agencia federal de EE. UU. No identificó ni a los atacantes ni a la agencia, pero detalló los métodos de los piratas informáticos y su uso de una forma nueva y única de malware en una operación que robó con éxito los datos del objetivo. Ahora, las pistas descubiertas por un investigador de la firma de ciberseguridad Dragos y una notificación del FBI a las víctimas de piratería obtenida por WIRED en julio sugieren una respuesta probable al misterio de quién estaba detrás de la intrusión: parecen ser Fancy Bear, un equipo de piratas informáticos que trabaja para GRU de Rusia. También conocido como APT28, el grupo ha sido responsable de todo, desde operaciones de piratería y filtración dirigidas a las elecciones presidenciales estadounidenses de 2016 hasta una amplia campaña de intentos de intrusión dirigida a partidos políticos, consultorías y campañas este año.

«Son un actor formidable y aún son capaces de acceder a áreas sensibles».

JOHN HULTQUIST, FIREEYE

Las pistas que apuntan a APT28 se basan en parte en una notificación que el FBI envió a los objetivos de una campaña de piratería en mayo de este año, que WIRED obtuvo. La notificación advirtió que APT28 estaba apuntando ampliamente a redes estadounidenses, incluidas agencias gubernamentales e instituciones educativas, y enumeró varias direcciones IP que estaban utilizando en sus operaciones. El investigador de Dragos, Joe Slowik, notó que una dirección IP que identificaba un servidor en Hungría que se utilizó en esa campaña APT28 coincidía con una dirección IP que figura en el aviso de CISA. Eso sugeriría que APT28 utilizó el mismo servidor húngaro en la intrusión descrita por CISA y que al menos uno de los intentos de intrusión descritos por el FBI tuvo éxito.

«Según la superposición de infraestructura, la serie de comportamientos asociados con el evento y el calendario general y la orientación del gobierno de EE. UU., Esto parece ser algo muy similar, si no es parte de, la campaña vinculada a APT28 a principios de este año. «, dice Slowik, ex director del Equipo de Respuesta a Emergencias Informáticas de Los Alamos National Labs.

Aparte de esa notificación del FBI, Slowik también encontró una segunda conexión de infraestructura. Un informe del año pasado del Departamento de Energía advirtió que APT28 había sondeado la red de una organización del gobierno de Estados Unidos desde un servidor en Letonia, enumerando la dirección IP de ese servidor. Y esa dirección IP de Letonia también reapareció en la operación de piratería descrita en el aviso de CISA. Juntos, esas IP coincidentes crean una red de infraestructura compartida que une las operaciones. «Hay superposiciones uno a uno en los dos casos», dice Slowik.

De manera confusa, algunas de las direcciones IP enumeradas en los documentos del FBI, DOE y CISA también parecen superponerse con operaciones ciberdelincuentes conocidas, señala Slowik, como los foros de fraude rusos y los servidores utilizados por los troyanos bancarios. Pero sugiere que eso significa que los piratas informáticos patrocinados por el estado de Rusia probablemente estén reutilizando la infraestructura de los ciberdelincuentes, tal vez para crear negación. WIRED se comunicó con CISA, así como con el FBI y el DOE, pero ninguno respondió a nuestra solicitud de comentarios.

Aunque no nombra APT28, el aviso de CISA detalla paso a paso cómo los piratas informáticos llevaron a cabo su intrusión dentro de una agencia federal no identificada. De alguna manera, los piratas informáticos habían obtenido nombres de usuario y contraseñas funcionales para varios empleados, que utilizaron para ingresar a la red. CISA admite que no sabe cómo se obtuvieron esas credenciales, pero el informe especula que los atacantes pueden haber utilizado una vulnerabilidad conocida en Pulse Secure VPN que, según CISA, ha sido ampliamente explotada en todo el gobierno federal.

Luego, los intrusos utilizaron herramientas de línea de comandos para moverse entre las máquinas de la agencia, antes de descargar un malware personalizado. Luego usaron ese malware para acceder al servidor de archivos de la agencia y mover colecciones de archivos a las máquinas que controlaban los piratas informáticos, comprimiéndolos en archivos .zip que podrían robar más fácilmente.

Si bien CISA no puso a disposición de los investigadores una muestra del troyano personalizado de los piratas informáticos, el investigador de seguridad Costin Raiu dice que los atributos del malware coincidieron con otra muestra cargada en el repositorio de investigación de malware VirusTotal desde algún lugar de los Emiratos Árabes Unidos. Al analizar esa muestra, Raiu descubrió que parece ser una creación única construida a partir de una combinación de las herramientas de piratería comunes Meterpreter y Cobalt Strike, pero sin vínculos obvios con piratas informáticos conocidos y ofuscada con múltiples capas de cifrado. «Ese envoltorio lo hace algo interesante», dice Raiu, director del equipo de análisis e investigación global de Kaspersky. «Es algo inusual y raro en el sentido de que no pudimos encontrar conexiones con nada más».

Incluso aparte de sus violaciones en 2016 del Comité Nacional Demócrata y la campaña de Clinton, los piratas informáticos APT28 de Rusia se ciernen sobre las elecciones de 2020. A principios de este mes, Microsoft advirtió que el grupo ha estado aplicando técnicas relativamente simples a gran escala para violar las organizaciones y campañas relacionadas con las elecciones en ambos lados del pasillo político. Según Microsoft, el grupo ha utilizado una combinación de rociado de contraseñas que intenta contraseñas comunes en las cuentas de muchos usuarios y la fuerza bruta de contraseñas que prueba muchas contraseñas en una sola cuenta.

Pero si APT28 es de hecho el grupo de piratas informáticos descrito en el aviso de CISA, es un recordatorio de que también son capaces de realizar operaciones de espionaje más sofisticadas y específicas, dice John Hultquist, director de inteligencia de la firma de seguridad FireEye, que no confirmó de forma independiente Los hallazgos de Slowik vinculan el informe CISA con APT28. «Son un actor formidable y todavía son capaces de acceder a áreas sensibles», dice Hultquist.

APT28, antes de sus operaciones más recientes de pirateo y fuga de los últimos años, tiene una larga historia de operaciones de espionaje que se han dirigido a objetivos militares y gubernamentales de EE. UU., La OTAN y Europa del Este. El aviso de CISA, junto con los hallazgos del DOE y el FBI que rastrean las campañas de piratería APT28 relacionadas, sugieren que esas operaciones de espionaje continúan hoy.

«Ciertamente no es sorprendente que la inteligencia rusa esté tratando de penetrar en el gobierno de Estados Unidos. Eso es lo que hacen», dice Slowik. «Pero vale la pena identificar que esa actividad no solo continúa, sino que ha tenido éxito».

Para evitar ataques externos Yaakov´s Group te puede asesorar ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops.

Fuente: wired

Las víctimas de ransomware que paguen podrían incurrir en fuertes multas del Tío Sam

Las empresas víctimas de ransomware y las empresas que facilitan las negociaciones con extorsionadores de ransomware podrían enfrentar fuertes multas del gobierno federal de EE. UU. Si los delincuentes que se benefician del ataque ya están sujetos a sanciones económicas, advirtió hoy el Departamento del Tesoro.

En su aviso (PDF), la Oficina de Control de Activos Extranjeros (OFAC) de la Tesorería dijo que “las empresas que facilitan los pagos de ransomware a los ciber actores en nombre de las víctimas, incluidas las instituciones financieras, las empresas de seguros cibernéticos y las empresas involucradas en el análisis forense digital y la respuesta a incidentes, no solo fomenta las futuras demandas de pago de ransomware, sino que también puede correr el riesgo de violar las regulaciones de la OFAC «.

Dado que las pérdidas financieras derivadas de la actividad del ciberdelito y los ataques de ransomware en particular se han disparado en los últimos años, el Departamento del Tesoro ha impuesto sanciones económicas a varios ciberdelincuentes y grupos de ciberdelincuentes, congelando efectivamente todos los bienes e intereses de estas personas (sujetos a la jurisdicción de los EE. UU.) Y convirtiéndolo en un delito para realizar transacciones con ellos.

Varios de los sancionados han estado estrechamente relacionados con ataques de ransomware y malware, incluido el Grupo Lazarus de Corea del Norte; se cree que dos iraníes están vinculados a los ataques de ransomware SamSam; Evgeniy Bogachev, el desarrollador de Cryptolocker; y Evil Corp, un sindicato de ciberdelincuentes ruso que ha utilizado malware para extraer más de 100 millones de dólares de las empresas víctimas.

Aquellos que incumplan las sanciones de la OFAC sin una dispensa especial o «licencia» del Tesoro pueden enfrentar varias repercusiones legales, incluidas multas de hasta $ 20 millones.

La Oficina Federal de Investigaciones (FBI) y otras agencias de aplicación de la ley han tratado de disuadir a las empresas afectadas por el ransomware de que paguen a sus extorsionadores, señalando que hacerlo solo ayuda a financiar más ataques.

Pero en la práctica, un buen número de víctimas considera que pagar es la forma más rápida de reanudar las actividades como de costumbre. Además, los proveedores de seguros a menudo ayudan a facilitar los pagos porque el monto exigido termina siendo menor que lo que la aseguradora podría tener que pagar para cubrir el costo de la actividad comercial afectada que se encuentra fuera de servicio durante días o semanas seguidas.

Si bien puede parecer poco probable que las empresas víctimas de ransomware de alguna manera puedan saber si sus extorsionadores están siendo sancionados actualmente por el gobierno de EE. UU., Aún pueden ser multados de cualquier manera, dijo Ginger Faulk, socio de la oficina de Washington, DC bufete de abogados Eversheds Sutherland.

Faulk dijo que la OFAC puede imponer sanciones civiles por infracciones de sanciones basadas en la «responsabilidad estricta», lo que significa que una persona sujeta a la jurisdicción de los EE. UU. Puede ser considerada civilmente responsable incluso si no sabía o tenía razones para saber que estaba participando en una transacción con una persona. que está prohibido por las leyes y reglamentos de sanciones administrados por la OFAC.

“En mi experiencia, la OFAC y los seguros cibernéticos con sus negociadores contratados están en constante comunicación”, dijo. «A menudo, incluso existen procesos de compensación para determinar el riesgo de que ciertos pagos infrinjan la OFAC».

En ese sentido, la OFAC dijo que el grado de conocimiento de una persona / empresa sobre la conducta en cuestión es un factor que la agencia puede considerar al evaluar las sanciones civiles. La OFAC dijo que consideraría que «el informe autoiniciado, oportuno y completo de una empresa sobre un ataque de ransomware a las fuerzas del orden público es un factor atenuante significativo para determinar un resultado de aplicación apropiado si se determina que la situación tiene un nexo de sanciones».

Contactanos! En Yaakov´s Group te podemos asesorar. #Laexperienciaentecnología #cybersecurity #digitaltransformation #Appsec #devops #devsecops

Fuente: krebsonsecurity

Visa comparte detalles de dos ataques a comerciantes hoteleros de América del Norte

Visa reveló que dos comerciantes de hotelería norteamericanos no identificados han sido infectados con algunas cepas de malware de punto de venta (POS).

El procesador de pagos de EE. UU. Visa reveló que dos comerciantes de hotelería de América del Norte han sido pirateados, los actores de amenazas infectaron los sistemas de las dos organizaciones anónimas con algunas cepas de malware de punto de venta (POS).

Según una alerta de seguridad publicada la semana pasada, los ataques tuvieron lugar en mayo y junio de 2020, respectivamente.

«En mayo y junio de 2020, respectivamente, Visa Payment Fraud Disruption (PFD) analizó muestras de malware recuperadas de los compromisos independientes de dos comerciantes norteamericanos». lee la alerta de seguridad de VISA ”. En estos incidentes, los delincuentes atacaron las terminales de los puntos de venta (POS) de los comerciantes en un esfuerzo por recolectar y extraer los datos de las tarjetas de pago. Después del análisis, el primer ataque se atribuyó a la variante de malware TinyPOS y el segundo a una combinación de familias de malware de POS que incluyen RtPOS, MMon (también conocido como Kaptoxa, BlackPOS) y PwnPOS «.

El procesador de pagos de EE. UU. Investigó la violación de seguridad y proporcionó detalles técnicos sobre el malware empleado en los ataques para permitir que otras empresas del sector hotelero verifiquen la presencia de los mismos actores de amenazas en sus redes.

En el incidente de mayo, los atacantes comprometieron la red de un comerciante hotelero norteamericano con el malware TinyPOS POS. Los atacantes apuntaron a los empleados del comerciante con una campaña de phishing para obtener credenciales para cuentas de usuario y pudieron hacerse cargo de una cuenta de administrador. Luego, los actores de la amenaza utilizaron herramientas administrativas legítimas para acceder al entorno de datos del titular de la tarjeta (CDE).
“Una vez que se estableció el acceso al CDE, los actores implementaron un raspador de memoria para recolectar los datos de las cuentas de pago de las pistas 1 y 2, y luego usaron un script por lotes para implementar masivamente el malware en la red del comerciante para apuntar a varias ubicaciones y sus respectivos entornos POS. . El raspador de memoria recopiló los datos de la tarjeta de pago y los envió a un archivo de registro «. continúa el informe. “En el momento del análisis, no había funciones de red o exfiltración dentro de la muestra. Por lo tanto, los actores probablemente eliminarían el archivo de registro de salida de la red utilizando otros medios «.

En el segundo compromiso, que tuvo lugar en junio, los actores de amenazas emplearon tres tipos diferentes de malware POS. Los expertos encontraron muestras de RtPOS, MMon y PwnPOS en la red de la víctima.

“Si bien se sabe menos acerca de las tácticas utilizadas por los actores de amenazas en este ataque, hay evidencia que sugiere que los actores emplearon varias herramientas de acceso remoto y volcadores de credenciales para obtener acceso inicial, moverse lateralmente e implementar el malware en el entorno POS. » continúa el informe.

Los ataques recientes demuestran que los actores de amenazas continúan apuntando a los sistemas POS de comerciantes para recolectar datos de cuentas de pago actuales de tarjetas.

El informe incluye los indicadores de compromiso asociados con ambos ataques, es fundamental compartir el informe para evitar otros compromisos.

Para que esto no le suceda a tu empresa Yaakov´s Group tiene la solución ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Fuente: securityaffairs