Yaakov's Group | Ciberseguridad

COMB: la mayor violación de todos los tiempos filtrada en línea con 3.200 millones de registros

 

fondo-mobile-hacker

COMB: la mayor violación de todos los tiempos filtrada en línea con 3.200 millones de registros Para prevenir ataques en tu organización Yaakov´s Group te puede asesorar ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Se la considera la infracción más grande de todos los tiempos y la madre de todas las infracciones: COMB, o la compilación de muchas infracciones, contiene más de 3.200 millones de pares únicos de contraseñas y correos electrónicos de texto sin cifrar. Si bien muchas violaciones y filtraciones de datos han plagado Internet en el pasado, esta es excepcional por su tamaño. Es decir, la población total del planeta es de aproximadamente 7,8 mil millones, y esto es aproximadamente el 40% de eso.

Sin embargo, si se considera que solo hay alrededor de 4.700 millones de personas en línea, COMB incluiría los datos de casi el 70% de los usuarios de Internet a nivel mundial (si cada registro fuera una persona única). Por esa razón, se recomienda a los usuarios que verifiquen inmediatamente si sus datos se incluyeron en la filtración. Puede dirigirse al verificador de fugas de datos personales en este enlace.

CyberNews fue la primera base de datos de filtraciones que incluyó los datos de COMB. Desde que se lanzó COMB por primera vez, casi 1 millón de usuarios han revisado este verificador de fugas de datos personales para ver si sus datos se incluyeron en la compilación de violaciones más grande de todos los tiempos.

Entonces, ¿cómo ocurrió la fuga de datos de COMB?

El martes 2 de febrero, COMB se filtró en un foro de piratería popular. Contiene miles de millones de credenciales de usuario de filtraciones pasadas de Netflix, LinkedIn, Exploit.in, Bitcoin y más. Esta filtración es comparable a la Compilación de Breach de 2017, en la que se filtraron 1.400 millones de credenciales.

Sin embargo, la infracción actual, conocida como «Compilación de muchas infracciones» (COMB), contiene más del doble de pares únicos de correo electrónico y contraseña. Actualmente, los datos se archivan y se guardan en un contenedor cifrado y protegido con contraseña.

La base de datos filtrada incluye un script llamado count_total.sh, que también se incluyó en la compilación de violaciones de 2017. Esta infracción también incluye otros dos scripts: query.sh, para consultar correos electrónicos, y sorter.sh para clasificar los datos.

Después de ejecutar el script count_total.sh, que es un script bash simple para contar el total de líneas en cada uno de los archivos y sumarlos, podemos ver que hay más de 327 mil millones de pares de correo electrónfico y contraseña:

Ésta no parece ser una nueva infracción, sino la mayor recopilación de infracciones múltiples. Al igual que la compilación de brechas de 2017, los datos de COMB están organizados por orden alfabético en una estructura en forma de árbol y contienen los mismos scripts para consultar correos electrónicos y contraseñas.

En este momento, no está claro qué bases de datos previamente filtradas se recopilan en esta violación. Las muestras vistas por CyberNews contenían correos electrónicos y contraseñas de dominios de todo el mundo.

Netflix, Gmail, inicios de sesión de Hotmail incluidos en COMB
Debido a que COMB es una base de datos rápida, de búsqueda y bien organizada de las principales filtraciones pasadas, naturalmente contiene filtraciones pasadas. Esto incluye importantes filtraciones de servicios populares como Netflix, Gmail, Hotmail, Yahoo y más.

En 2015, The Independent informó sobre un aparente «hackeo de Netflix» en el que los ciberdelincuentes pudieron iniciar sesión en las cuentas de los usuarios de Netflix en todo el mundo. Sin embargo, Netflix nunca ha admitido haber sido pirateado, y es más probable que esto sea una consecuencia del hecho de que los usuarios a menudo usan las mismas contraseñas para diferentes cuentas. Por eso es importante utilizar una contraseña única para cada cuenta que cree.

Del mismo modo, Gmail nunca tuvo una violación de datos propia. En cambio, esto probablemente esté relacionado con personas que usan sus direcciones de correo electrónico de Gmail en otros sitios web o servicios violados.

Por otro lado, Microsoft confirmó que entre enero y marzo de 2019, los piratas informáticos pudieron acceder a varias cuentas de correo electrónico de consumidores de Outlook.com, Hotmail y MSN Mail.

Pero quizás la mayor violación de datos de renombre le sucedió a Yahoo. Si bien se informó en 2016, la infracción ocurrió a finales de 2014. En esa infracción de Yahoo, la empresa confirmó que las 3 mil millones de cuentas de sus usuarios se habían visto afectadas.

Parece que no todos los datos de violaciones pasadas de Yahoo y Hotmail / Microsoft se han incluido en COMB. No obstante, es posible que la lista se haya limpiado de credenciales muertas, por lo que es crucial que los usuarios verifiquen si sus datos se han filtrado.

Similar a Compilación de violaciones
Esta actual base de datos filtrada parece basarse en la compilación de violaciones de 2017. En esa filtración, los analistas de inteligencia de 4iQ descubrieron una base de datos de un solo archivo con 1.400 millones de pares de correo electrónico y contraseña, todo en texto plano.

En ese momento, esto se consideró la mayor exposición a la violación de credenciales, casi dos veces mayor que la mayor exposición de credenciales anterior de Exploit.in, que tenía casi 800 millones de registros.

La compilación de brechas de 2017 contenía 252 brechas anteriores, incluidas las agregadas de los vertederos Anti Public y Exploit.in anteriores, así como LinkedIn, Netflix, Minecraft, Badoo, Bitcoin y Pastebin. Sin embargo, cuando analizaron los datos, encontraron que «el 14% de los pares de nombre de usuario / contraseñas expuestos no habían sido previamente descifrados por la comunidad y ahora están disponibles en texto sin cifrar».

Cuando 4iQ descubrió la compilación Breach, probaron un pequeño subconjunto de las contraseñas para su verificación, y la mayoría de las contraseñas probadas funcionaron. Los analistas de inteligencia afirman que encontraron el volcado de 41GB el 5 de diciembre de 2017, con los últimos datos actualizados el 29 de noviembre de 2017.

También remarcaron que la filtración no era solo una lista, sino más bien una “base de datos interactiva” que permitía “búsquedas rápidas (respuesta de un segundo) y nuevas importaciones de violaciones. Dado el hecho de que las personas reutilizan contraseñas en sus cuentas de correo electrónico, redes sociales, comercio electrónico, banca y trabajo, los piratas informáticos pueden automatizar el secuestro de cuentas o la toma de control de cuentas «.

Posible impacto
El impacto para los consumidores y las empresas de esta nueva infracción puede no tener precedentes. Debido a que la mayoría de las personas reutilizan sus contraseñas y nombres de usuario en varias cuentas, los ataques de relleno de credenciales son la mayor amenaza.

Si los usuarios utilizan las mismas contraseñas para LinkedIn o Netflix que utilizan para sus cuentas de Gmail, los atacantes pueden cambiar a otras cuentas más importantes.

Más allá de eso, los usuarios cuyos datos se han incluido en la Compilación de muchas infracciones pueden convertirse en víctimas de ataques de spear-phishing o pueden recibir altos niveles de correos electrónicos no deseados.

En cualquier caso, normalmente se recomienda a los usuarios que cambien sus contraseñas de forma regular y que utilicen contraseñas únicas para cada cuenta. Hacerlo, crear y recordar contraseñas únicas, puede ser bastante desafiante, y recomendamos a los usuarios que obtengan administradores de contraseñas para ayudarlos a crear contraseñas seguras.

Y, por supuesto, los usuarios deben agregar autenticación multifactor, como Google Authenticator, en sus cuentas más confidenciales. De esa manera, incluso si un atacante tiene su nombre de usuario y contraseña, no podrá ingresar a sus cuentas.

Fuente: Cybernews

Hacker trató de envenenar con lejía a la población de una ciudad de Florida

Alguien trató de envenenar con lejía a la población de una ciudad de Florida hackeando el sistema de tratamiento de agua, dice el sheriff. Para prevenir ataques en tu organización Yaakov´s Group te puede asesorar ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Un pirata informático obtuvo acceso al sistema de tratamiento de agua de Oldsmar, Florida, el viernes e intentó aumentar los niveles de hidróxido de sodio, comúnmente conocido como lejía, en el agua de la ciudad, dijeron las autoridades, poniendo a miles de personas en riesgo de envenenamiento.

El incidente tuvo lugar el viernes cuando un operador notó la intrusión y observó al pirata informático acceder al sistema de forma remota. El hacker ajustó el nivel de hidróxido de sodio a más de 100 veces sus niveles normales, según el alguacil del condado de Pinellas, Bob Gualtieri.

El operador del sistema redujo inmediatamente el nivel. En ningún momento hubo un efecto adverso significativo en el suministro de agua de la ciudad y el público nunca estuvo en peligro, dijo Gualtieri. Se desconoce si la infracción ocurrió por parte de alguien a nivel local, nacional o incluso fuera de Estados Unidos.

«Este es alguien que está tratando, como parece en la superficie, de hacer algo malo. Es un acto malvado. Es un actor malvado», dijo Gualtieri. «Esto no es solo ‘Oh, estamos poniendo un poco de cloro, o un poco de fluoruro, o un poco de algo’, básicamente estamos hablando de lejía que uno tomaría de 100 partes por millón a 11.100 partes por millón».

La intervención temprana evitó que el ataque tuviera consecuencias más graves, dijo Robert M. Lee, director ejecutivo de Dragos Inc., una empresa de ciberseguridad industrial. Pero, dijo, este tipo de ataque es precisamente lo que mantiene despiertos a los expertos de la industria por la noche.

«No fue particularmente sofisticado, pero es exactamente lo que preocupa a la gente y, como uno de los pocos ejemplos de alguien que intenta lastimar a la gente, es un gran problema por esa razón», dijo Lee.

Gualtieri dijo que el agua habría tardado entre 24 y 36 horas en llegar al sistema y que hay varias anuncios que habrían alertado de que los niveles eran demasiado altos antes de que eso sucediera. La ciudad ha tomado medidas para evitar un mayor acceso al sistema.

La oficina del sheriff del condado de Pinellas, el FBI y el Servicio Secreto están investigando el ataque, dijo Gualtieri. El FBI Tampa está trabajando con la ciudad de Oldsmar y la Oficina del Sheriff del Condado de Pinellas, ofreciendo recursos y asistencia en la investigación de este incidente.

El hidróxido de sodio, también conocido como lejía, es el ingrediente principal del limpiador de drenaje líquido, dijo Gualtieri.

Los síntomas de la intoxicación por hidróxido de sodio incluyen dificultad para respirar, inflamación de los pulmones, inflamación de la garganta, ardor del esófago y del estómago, dolor abdominal severo, pérdida de la visión y presión arterial baja, según el Sistema de Salud de la Universidad de Florida.

Los efectos a largo plazo del envenenamiento dependen de qué tan rápido se diluye o neutraliza el veneno en el sistema. El daño al esófago y al estómago puede continuar ocurriendo durante varias semanas después de la ingestión del veneno. La muerte puede ocurrir hasta un mes después.

Se desconoce si el aumento de los niveles en Oldsmar habría provocado alguno de estos síntomas.

Oldsmar, una ciudad compuesta por unas 15.000 personas en el condado de Pinellas, se encuentra a unos 27 km al oeste de Tampa.

Fuente: CNN

Una empresa española ha expuesto 24GB de datos personales de millones de clientes de Booking, Expedia y otros portales de reserva.

Prestige Software, una compañía española (con sedes en Madrid y Barcelona) que ofrece una plataforma para hoteles, llamada Cloud Hospitality, que automatiza la disponibilidad de sus reservas en portales como Booking.com, Expedia, Amadeus u Hotels.com, acaba de verse señalada como culpable de una grave brecha de datos que afecta a clientes de todo el mundo. Prestige Software no incluye a sus clientes en su sitio web. Sin embargo, el depósito de S3 contenía datos que parecían provenir de muchas fuentes conocidas que figuran como clientes de Cloud Hospitality, que incluyen, entre otros:

  • Agoda
  • Amadeo
  • Booking.com
  • Expedia
  • Hoteles.com
  • Hotelbeds
  • Omnibees
  • Sable
  • muchos otros

Investigadores de WebSite Planet detectaron la existencia de un bucket de AWS que, a causa de una mala configuración, permitía el acceso público a los 34,6 GB de datos que contenía sin exigir ninguna autenticación de seguridad.

Y entre esos datos se encontraban más de 10 millones de registros de reservas hoteleras creados durante los últimos 7 años.

Dichos registros contenían a su vez datos tanto personales como financieros: nombres completos, direcciones de correo electrónico, DNIs, números de teléfono y, en muchos casos, también los datos de tarjetas de crédito.

En palabras de Mark Holden, investigador de Website Planet:

«Millones de personas han quedado potencialmente expuestas por esta brecha de datos, en todo el mundo. No podemos garantizar que alguien no haya accedido al bucket de AWS S3 y robado los datos antes de encontrarlo nosotros». Hasta ahora, no hay evidencia de que esto haya sucedido. Pero, si llegarla a haberlas, habría enormes implicaciones para la privacidad, la seguridad y el bienestar financiero de las personas cuyas datos quedaron expuestos».

Efectivamente, estas personas quedarían expuestas a cambios maliciosos de sus reservas, a ataques de phising y a fraudes de identidad.

De igual modo, Prestige Software (que, según Website Planet, reconoció ser la propietaria del bucket y solventó la mala configuración al día siguiente de recibir el aviso) queda ahora expuesto a demandas por parte tanto de los afectados como de las instituciones europeas, y a fortísimas multas por incumplimiento de la GDPR.

Impacto para los huéspedes

Millones de personas de todo el mundo estuvieron potencialmente expuestas a la violación de datos. No podemos garantizar que alguien no haya accedido al depósito S3 y no haya robado los datos antes de que los encontráramos. Hasta ahora, no hay evidencia de que esto suceda.

Sin embargo, si lo hiciera, habría enormes implicaciones para la privacidad, la seguridad y el bienestar financiero de los expuestos.

Los ciberdelincuentes podrían usar los datos PII expuestos y la información de la tarjeta de crédito para cometer fraude con tarjetas de crédito y robar a las personas comprometidas en la infracción. Además, los mismos datos podrían usarse en otras formas de fraude financiero o robo de identidad.

Estafas, phishing y malware

Los ciberdelincuentes podrían usar la información de contacto expuesta en la infracción para atacar a los huéspedes del hotel con estafas, campañas de phishing y ataques de malware.

Con los datos de PII de la filtración, sería fácil establecer confianza y alentar a las personas a hacer clic en enlaces incrustados con malware o proporcionar datos privados valiosos. Los ciberdelincuentes podrían utilizar los detalles de las estancias en hoteles para crear estafas convincentes y apuntar a personas adineradas que se han alojado en hoteles caros para obtener la máxima recompensa por sus planes.

Finalmente, si alguna estadía en un hotel revelaba información vergonzosa o comprometedora sobre la vida de una persona, solía chantajearla y extorsionarla.

Adquisición de reservas

Con información detallada sobre la reserva de hotel de una persona, un delincuente informático con acceso a los archivos expuestos podría tomar estos datos, ponerse en contacto con el hotel y cambiar las fechas y los nombres de la reserva. Luego, podrían hacerse cargo de las vacaciones de alguien sin pagar, o hacerse pasar por un agente de viajes y vender las reservas a clientes desprevenidos. Por supuesto, podrían hacer esto más de una vez.

Para prevenir ataques en tu organización Yaakov´s Group te puede asesorar ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Fuente: Según Info

La NSA publica una lista de las principales vulnerabilidades actualmente atacadas por los piratas informáticos chinos

La NSA insta al sector público y privado de EE. UU. A aplicar parches o mitigaciones para prevenir ataques.

La Agencia de Seguridad Nacional de EE. UU. Ha publicado hoy un informe en profundidad que detalla las 25 principales vulnerabilidades que actualmente están siendo escaneadas, atacadas y explotadas constantemente por grupos de piratería informática patrocinados por el estado chino.

Los 25 errores de seguridad son bien conocidos y tienen parches disponibles de sus proveedores, listos para ser instalados.

Los exploits para muchas vulnerabilidades también están disponibles públicamente. Algunos han sido explotados por más que hackers chinos, y también se han incorporado al arsenal de bandas de ransomware, grupos de malware de bajo nivel y actores estatales de otros países (es decir, Rusia e Irán).

«La mayoría de las vulnerabilidades enumeradas a continuación pueden explotarse para obtener acceso inicial a las redes de las víctimas utilizando productos a los que se puede acceder directamente desde Internet y actúan como puertas de enlace a las redes internas», dijo hoy la NSA.

La agencia de ciberseguridad de EE. UU. Insta a las organizaciones del sector público y privado de EE. UU. A parchear los sistemas para las vulnerabilidades que se enumeran a continuación.

Éstos incluyen:

1) CVE-2019-11510: en los servidores Pulse Secure VPN, un atacante remoto no autenticado puede enviar un URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria. Esto puede provocar la exposición de claves o contraseñas.

2) CVE-2020-5902: en proxies F5 BIG-IP y balanceador de carga, la interfaz de usuario de gestión de tráfico (TMUI), también conocida como la utilidad de configuración, es vulnerable a una vulnerabilidad de ejecución remota de código (RCE) que puede permitir atacantes para apoderarse de todo el dispositivo BIG-IP.

3) CVE-2019-19781: los sistemas Citrix Application Delivery Controller (ADC) y Gateway son vulnerables a un error de recorrido de directorio, que puede llevar a la ejecución remota de código sin que el atacante tenga que poseer credenciales válidas para el dispositivo. Estos dos problemas se pueden encadenar para hacerse cargo de los sistemas Citrix.

4 + 5 + 6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196: otro conjunto de errores de Citrix ADC y Gateway. Estos también afectan a los sistemas SDWAN WAN-OP. Los tres errores permiten el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios.

7) CVE-2019-0708 (también conocido como BlueKeep): existe una vulnerabilidad de ejecución remota de código dentro de los Servicios de escritorio remoto en los sistemas operativos Windows.

8) CVE-2020-15505: una vulnerabilidad de ejecución remota de código en el software de administración de dispositivos móviles (MDM) MobileIron que permite a atacantes remotos ejecutar código arbitrario y hacerse cargo de los servidores remotos de la empresa.

9) CVE-2020-1350 (también conocido como SIGRed): existe una vulnerabilidad de ejecución remota de código en los servidores del Sistema de nombres de dominio de Windows cuando no pueden manejar adecuadamente las solicitudes.

10) CVE-2020-1472 (también conocido como Netlogon): existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro Netlogon vulnerable a un controlador de dominio mediante el protocolo remoto Netlogon (MS-NRPC).

11) CVE-2019-1040: existe una vulnerabilidad de manipulación en Microsoft Windows cuando un atacante de intermediario puede eludir con éxito la protección NTLM MIC (verificación de integridad de mensajes).

12) CVE-2018-6789: enviar un mensaje hecho a mano a un agente de transferencia de correo de Exim puede provocar un desbordamiento del búfer. Esto se puede utilizar para ejecutar código de forma remota y hacerse cargo de los servidores de correo electrónico.

13) CVE-2020-0688: existe una vulnerabilidad de ejecución remota de código en el software Microsoft Exchange cuando el software no puede manejar correctamente los objetos en la memoria.

14) CVE-2018-4939: ciertas versiones de Adobe ColdFusion tienen una vulnerabilidad explotable de deserialización de datos no confiables. La explotación exitosa podría conducir a la ejecución de código arbitrario.

15) CVE-2015-4852: el componente de seguridad WLS en Oracle WebLogic 15 Server permite a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java serializado diseñado

16) CVE-2020-2555: existe una vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware. Esta vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de T3 comprometer los sistemas Oracle Coherence.

17) CVE-2019-3396: la macro Widget Connector en Atlassian Confluence 17 Server permite a los atacantes remotos lograr un recorrido de ruta y una ejecución remota de código en una instancia de Confluence Server o Data Center a través de la inyección de plantilla del lado del servidor.

18) CVE-2019-11580: los atacantes que pueden enviar solicitudes a una instancia de Atlassian Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, lo que permite la ejecución remota de código.

19) CVE-2020-10189: Zoho ManageEngine Desktop Central permite la ejecución remota de código debido a la deserialización de datos que no son de confianza.

20) CVE-2019-18935 – Progress Telerik UI para ASP.NET AJAX contiene una vulnerabilidad de deserialización de .NET. La explotación puede resultar en la ejecución remota de código.

21) CVE-2020-0601 (también conocido como CurveBall): existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC). Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente legítima y confiable.

22) CVE-2019-0803: existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar correctamente los objetos en la memoria.

23) CVE-2017-6327: Symantec Messaging Gateway puede encontrar un problema de ejecución remota de código.

24) CVE-2020-3118: una vulnerabilidad en la implementación del Protocolo de descubrimiento de Cisco para el software Cisco IOS XR podría permitir que un atacante adyacente no autenticado ejecute código arbitrario o provoque la recarga de un dispositivo afectado.

25) CVE-2020-8515 – Los dispositivos DrayTek Vigor permiten la ejecución remota de código como root (sin autenticación) a través de metacaracteres de shell.

Fuente: ZDNET

Ciberataques son cada vez más intensos

El presidente de la Asociación de Bancos de México, Luis Niño de Rivera, explicó que el confinamiento por la pandemia de Covid-19 ha provocado que los ciberataques tengan cada vez mayor fuerza.

Ante el incremento de reportes de usuarios en redes sociales sobre supuestos fraudes en cuentas bancarias, el presidente de la Asociación de Bancos de México, (ABM) Luis Niño de Rivera, reconoció que hay problemas de fraude en el país que hasta el momento es una cifra reducida comparada con las operaciones totales de la banca.

“La banca hace diariamente 144 millones de transacciones. Todos los días. ¿Hay problemas de fraudes? Sí, sí los hay, por supuesto, pero no llegan ni siquiera al 1%. Andan más o menos en el 0.7%. Es una cifra muy pequeña que no justifica que al que le hacen un fraude, pues ni modo, eres estadística y ahí la dejamos”, dijo.

Al participar en el Décimo Congreso Internacional de Investigación Financiera, el directivo explicó que el confinamiento por la pandemia de Covid-19 ha provocado que los ciberataques tengan cada vez mayor fuerza, situación que se está presentando en todo el mundo ante un mayor uso de tecnología para operaciones financieras.

“La banca invierte todos los años, cerca de 25 mil millones de pesos en tecnología y una parte sustancial de eso es para la ciberseguridad. ¿Qué es lo que está pasando? Cómo transitamos al mundo digital y ha incrementado su uso considerablemente, más aún en el confinamiento, evidentemente los ciberataques están más intensos, que no son problemas locales, son problemas mundiales. Hay redes de delincuentes muy bien organizados que permanente están tratando vulnerar bases de datos, procesos operativos y controles de todo el sistema operativo en todo el mundo”, explicó.

Ante dicho escenario, el directivo comentó que el sistema bancario debe incrementar sus inversiones y colaboración ante un inevitable incremento de los fraudes.

“En la banca estamos elevando nuestra capacidad para proteger bases de datos, operaciones y el patrimonio de los de los clientes y de los bancos. ¿Van a aumentar los fraudes cibernéticos? Sí, sí van a aumentar. Tenemos que seguir invirtiendo mucho más y tenemos que compartir información”, explicó.

Niño de Rivera comentó que la operación de ciberdelitos, operados principalmente por bandas internacionales organizadas han sofisticado sus ataques y que se necesita una respuesta mucho más rápida del sistema financiero para prevenir los delitos. “Estas redes internacionales son rapidísimos para desarrollar nuevas formas de ataque y compartir la información tecnológica para ayudarse unos a otros en su red internacional. Nosotros no hemos reaccionado de la misma manera como industria a nivel internacional. Entre más compartamos problemas y soluciones, niveles de protección y situaciones difíciles, más rápido nos vamos a proteger de todo lo que está creciendo en el mundo que es la ciberdelincuencia”, dijo.

Fuente: El Universal

Precauciones de Ciberseguridad Cibernética

Desde Yaakov´s Group nos preocupamos por tener ambientes de trabajo más seguros y por eso estamos aliados con los mejores. Te tenemos algunas recomendaciones de seguridad emitidas por Interpol para que ser puestas en práctica. Yaakov´s Group tiene la solución ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Las víctimas de ransomware que paguen podrían incurrir en fuertes multas del Tío Sam

Las empresas víctimas de ransomware y las empresas que facilitan las negociaciones con extorsionadores de ransomware podrían enfrentar fuertes multas del gobierno federal de EE. UU. Si los delincuentes que se benefician del ataque ya están sujetos a sanciones económicas, advirtió hoy el Departamento del Tesoro.

En su aviso (PDF), la Oficina de Control de Activos Extranjeros (OFAC) de la Tesorería dijo que “las empresas que facilitan los pagos de ransomware a los ciber actores en nombre de las víctimas, incluidas las instituciones financieras, las empresas de seguros cibernéticos y las empresas involucradas en el análisis forense digital y la respuesta a incidentes, no solo fomenta las futuras demandas de pago de ransomware, sino que también puede correr el riesgo de violar las regulaciones de la OFAC «.

Dado que las pérdidas financieras derivadas de la actividad del ciberdelito y los ataques de ransomware en particular se han disparado en los últimos años, el Departamento del Tesoro ha impuesto sanciones económicas a varios ciberdelincuentes y grupos de ciberdelincuentes, congelando efectivamente todos los bienes e intereses de estas personas (sujetos a la jurisdicción de los EE. UU.) Y convirtiéndolo en un delito para realizar transacciones con ellos.

Varios de los sancionados han estado estrechamente relacionados con ataques de ransomware y malware, incluido el Grupo Lazarus de Corea del Norte; se cree que dos iraníes están vinculados a los ataques de ransomware SamSam; Evgeniy Bogachev, el desarrollador de Cryptolocker; y Evil Corp, un sindicato de ciberdelincuentes ruso que ha utilizado malware para extraer más de 100 millones de dólares de las empresas víctimas.

Aquellos que incumplan las sanciones de la OFAC sin una dispensa especial o «licencia» del Tesoro pueden enfrentar varias repercusiones legales, incluidas multas de hasta $ 20 millones.

La Oficina Federal de Investigaciones (FBI) y otras agencias de aplicación de la ley han tratado de disuadir a las empresas afectadas por el ransomware de que paguen a sus extorsionadores, señalando que hacerlo solo ayuda a financiar más ataques.

Pero en la práctica, un buen número de víctimas considera que pagar es la forma más rápida de reanudar las actividades como de costumbre. Además, los proveedores de seguros a menudo ayudan a facilitar los pagos porque el monto exigido termina siendo menor que lo que la aseguradora podría tener que pagar para cubrir el costo de la actividad comercial afectada que se encuentra fuera de servicio durante días o semanas seguidas.

Si bien puede parecer poco probable que las empresas víctimas de ransomware de alguna manera puedan saber si sus extorsionadores están siendo sancionados actualmente por el gobierno de EE. UU., Aún pueden ser multados de cualquier manera, dijo Ginger Faulk, socio de la oficina de Washington, DC bufete de abogados Eversheds Sutherland.

Faulk dijo que la OFAC puede imponer sanciones civiles por infracciones de sanciones basadas en la «responsabilidad estricta», lo que significa que una persona sujeta a la jurisdicción de los EE. UU. Puede ser considerada civilmente responsable incluso si no sabía o tenía razones para saber que estaba participando en una transacción con una persona. que está prohibido por las leyes y reglamentos de sanciones administrados por la OFAC.

“En mi experiencia, la OFAC y los seguros cibernéticos con sus negociadores contratados están en constante comunicación”, dijo. «A menudo, incluso existen procesos de compensación para determinar el riesgo de que ciertos pagos infrinjan la OFAC».

En ese sentido, la OFAC dijo que el grado de conocimiento de una persona / empresa sobre la conducta en cuestión es un factor que la agencia puede considerar al evaluar las sanciones civiles. La OFAC dijo que consideraría que «el informe autoiniciado, oportuno y completo de una empresa sobre un ataque de ransomware a las fuerzas del orden público es un factor atenuante significativo para determinar un resultado de aplicación apropiado si se determina que la situación tiene un nexo de sanciones».

Contactanos! En Yaakov´s Group te podemos asesorar. #Laexperienciaentecnología #cybersecurity #digitaltransformation #Appsec #devops #devsecops

Fuente: krebsonsecurity

Primera muerte reportada luego de un ataque de ransomware en un hospital alemán

La muerte ocurrió después de que un paciente fuera desviado a un hospital cercano después de que el Hospital de la Universidad de Duesseldorf sufriera un ataque de ransomware.

 

Las autoridades alemanas están investigando la muerte de un paciente tras un ataque de ransomware en un hospital de Duesseldorf.

La paciente, identificada solo como una mujer que necesitaba atención médica urgente, murió después de ser trasladada a un hospital en la ciudad de Wuppertal, a más de 30 km de su destino inicial previsto, el Hospital Universitario de Duesseldorf.

El hospital de Duesseldorf no pudo recibirla porque estaba en medio de un ataque de ransomware que afectó su red e infectó a más de 30 servidores internos el 10 de septiembre de la semana pasada.

El incidente marca la primera muerte humana reportada causada indirectamente por un ataque de ransomware.

La muerte del paciente está siendo investigada actualmente por las autoridades alemanas. Si se descubre que el ataque de ransomware y el tiempo de inactividad del hospital fueron directamente culpables de la muerte de la mujer, la policía alemana dijo que planea convertir su investigación en un caso de asesinato.

Según el medio de comunicación alemán RTL, la banda de ransomware retiró su demanda de rescate después de que la policía alemana se acercó. Desde entonces, el hospital ha recibido un descifrado y está restaurando sus sistemas.

En un tweet el día de hoy, los funcionarios del hospital culparon a la infección del ransomware a una vulnerabilidad en un software comercial ampliamente utilizado.

En un tuit posterior, los mismos funcionarios dijeron que notificaron a las autoridades alemanas, como la agencia alemana de ciberseguridad BSI, que son responsables de emitir las advertencias de seguridad adecuadas.

Un día antes, la BSI había emitido una advertencia, de la nada, pidiendo a las empresas alemanas que actualizaran sus puertas de enlace de red Citrix para la vulnerabilidad CVE-2019-19871, un punto de entrada conocido para bandas de ransomware.

The Associated Press también informó hoy que todo el ataque de ransomware en la red del hospital parece haber sido un accidente, con la nota de rescate dirigida a la universidad local (Duesseldorf Heinrich Heine University), y no al hospital, que era solo una parte de la red más grande.

Fuente: ZDNET

Man-in-the-Middle Attack Makes PINs Useless for VISA Cards

El protocolo EMV es vulnerable a un ataque man-in-the-middle
Todas las tarjetas de crédito VISA se ven afectadas
VISA tiene que emitir actualización para terminales POS

Los investigadores de seguridad suizos han descubierto una forma de evitar la autenticación con PIN para las transacciones sin contacto de Visa. Un error en los protocolos de comunicación permite a los atacantes montar un ataque man-in-the-middle sin ingresar el código PIN.

EMV es el protocolo utilizado por los principales bancos e instituciones financieras del mundo. Europay, Mastercard y Visa desarrollaron el estándar y existe desde hace más de 20 años. Es lógico que EMV sea uno de los protocolos de comunicación más examinados, pero la investigación suiza muestra que cualquier software o hardware puede tener vulnerabilidades.

La razón más importante para la adopción generalizada del protocolo EMV tiene que ver con el «cambio de responsabilidad», un procedimiento que garantiza que, siempre que el cliente apruebe la transacción con un PIN o una firma, la institución financiera no es responsable.

Los investigadores utilizaron una aplicación llamada Tamarin, desarrollada explícitamente para probar la seguridad de los protocolos de comunicación. Crearon un modelo de trabajo que cubre todos los roles en una sesión EMV regular: el banco, la tarjeta y el terminal.

“Utilizando nuestro modelo, identificamos una violación crítica de las propiedades de autenticación por el protocolo sin contacto de Visa: el método de verificación del titular de la tarjeta utilizado en una transacción, si lo hay, no está autenticado ni protegido criptográficamente contra modificaciones”, dicen los investigadores en su artículo.

«Desarrollamos una aplicación de Android de prueba de concepto que aprovecha esto para eludir la verificación del PIN mediante el montaje de un ataque de intermediario que indica al terminal que la verificación del PIN no es necesaria porque la verificación del titular de la tarjeta se realizó en el dispositivo del consumidor, » ellos continuaron.

Los delincuentes pueden usar una tarjeta VISA robada y pagar bienes sin acceso al PIN, lo que hace que el PIN sea completamente inútil. Un escenario del mundo real probó las tarjetas Visa Credit, Visa Electron y VPay, y tuvo éxito. Por supuesto, el ataque utilizó una billetera virtual en lugar de una tarjeta, ya que el terminal no puede distinguir entre una tarjeta de crédito real y un teléfono inteligente.

Los investigadores descubrieron otro problema que afectaba a VISA y algunos modelos más antiguos de tarjetas Martercard, además del problema inicial.

“La tarjeta no autentica en el terminal el criptograma de aplicación (AC), que es una prueba criptográfica de la transacción producida por la tarjeta que el terminal no puede verificar (solo el emisor de la tarjeta puede hacerlo)”, dicen los investigadores. «Esto permite a los delincuentes engañar al terminal para que acepte una transacción fuera de línea no auténtica».

La única buena noticia entregada por los investigadores es que la solución no requiere una actualización para el estándar EMV, solo actualizaciones para el terminal. Dado que hay alrededor de 161 millones de terminales POS en todo el mundo, el proceso de actualización será largo.

Fuente: Hot For Security

Las 25 debilidades de software más peligrosas de CWE 2020

El Instituto de Ingeniería y Desarrollo de Sistemas de Seguridad Nacional, patrocinado por el Departamento de Seguridad Nacional y operado por MITRE, ha publicado la lista de las 25 debilidades de software más peligrosas de la enumeración de debilidades comunes (CWE) de 2020. El Top 25 utiliza datos de la Base de datos nacional de vulnerabilidades (NVD) para compilar los errores más frecuentes y críticos que pueden provocar vulnerabilidades graves en el software. Un atacante a menudo puede aprovechar estas vulnerabilidades para tomar el control de un sistema afectado, obtener información confidencial o causar una condición de denegación de servicio.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alienta a los usuarios y administradores a revisar la lista de los 25 principales y evaluar las mitigaciones recomendadas para determinar cuáles son las más adecuadas para adoptar.

Fuente: CISA