Archivo mensual noviembre 2023

Pormalwarebytes

La oferta de 19 dólares de la Copa Stanley es una estafa del Black Friday

La oferta de 19 dólares de la Copa Stanley es una estafa del Black Friday

Los estafadores nunca pierden la oportunidad de ganar dinero rápido y les encanta aprovechar las últimas tendencias. Entonces, ¿qué mejor manera de iniciar la temporada de estafas que ofreciendo ofertas de Black Friday en uno de los productos más populares que existen: una taza Stanley?

Encontramos un anuncio en Facebook que ofrecía un Stanley Quencher por el módico precio de 19 dólares:

Anuncio en Facebook de Stanley Quenchers

Anuncio de Facebook para Stanley Quenchers

Normalmente, estas tazas Stanley se venden por 45 dólares en Amazon. Son muy populares ya que, según se informa, mantienen las bebidas frías durante 11 horas y calientes durante siete horas. Incluso si tu auto se quema .

Al hacer clic en el anuncio, accederá a un sitio web turbio en el mejor de los casos donde podrá elegir entre Stanley.

sitio web falso para artículos deportivos de Dick's

Sitio web en el dominio d-sportinggoodsus[.]com

Sugerencia: mire el nombre de dominio. A Malwarebytes tampoco le gusta.

Malwarebytes bloquea d-sportinggoodsus.com

Los clientes de Malwarebytes están protegidos

Tanto el sitio como el procesador de pagos están registrados en Hong Kong y estarán felices de quedarse con su dinero sin hacer nada a cambio.

Para ganarse la confianza del comprador, los comentarios de Facebook están poblados por bots y/o cuentas comprometidas.

Comentarios de Facebook de personas que afirman haber recibido los productos.

Como siempre, utilice sus mejores sentidos arácnidos para detectar estafas como estas. Con esta estafa en particular, es probable que solo pierda el dinero que pagó a los estafadores, pero otras estafas pueden terminar en pérdidas mucho mayores .

¿Cómo se evitan los malos anuncios?

  • Probablemente tengas la URL que necesitas . A veces es más fácil buscar una marca que ingresar la URL completa, pero si va directamente allí, no verá ningún anuncio malo que se esconda en los resultados de su búsqueda.
  • Búsqueda cuidadosa . Si  necesita  buscar, haga una referencia cruzada de las URL que ve en los motores de búsqueda con una búsqueda propia. Si es legítimo, debería ver una gran cantidad de personas y empresas haciendo referencia a él.
  • Reportar anuncios malos . Si un anuncio patrocinado no sirve para nada, debería haber una manera de informarlo desde el motor de búsqueda o la plataforma de redes sociales en la que lo encontró. ¡Estás haciendo tu parte para ayudar a la próxima persona que venga a mantenerse a salvo!
  • La espinosa cuestión del bloqueo . Si elige bloquear anuncios, tenga en cuenta que la forma en que los bloquee puede afectar la funcionalidad del sitio en el que se encuentra. Algunos sitios insistirán en que desactive su bloqueador de anuncios. Es posible que otros simplemente ya no funcionen si utiliza el bloqueo de secuencias de comandos o desactiva JavaScript. No se trata tanto de “trabajo hecho”, sino de “trabajo que recién comienza”.
  • Recuerde, si es demasiado bueno para ser verdad, probablemente no lo sea y podría significar que alguien está tratando de engañarlo para que pague por algo que nunca obtendrá.

 

Pormalwarebytes

Una semana en Ciberseguridad (13 noviembre – 19 noviembre)

Detalle de una página de calendario con fechas.

Una semana en seguridad (13 noviembre – 19 noviembre)

La semana pasada, le dimos algunos consejos para el inevitable caos en línea que es el Cyber ​​Monday , le explicamos cómo los certificados raíz «confiables» a veces pueden ser todo lo contrario y exploramos el extraño mundo del catphishing . También separamos algunos programas maliciosos encontrados en Google Play y presentamos los detalles específicos de la nube en términos simples.

Otras noticias

  • La Policía Metropolitana de Londres no está muy interesada en la tecnología de reconocimiento facial. (fuente: El Registro)
  • Las noticias falsas son un problema mayor que sólo en el ámbito político. (fuente: Sombras digitales)
  • Los troyanos bancarios no desaparecerán pronto: ¡ aquí hay otro ! (fuente: Inteligencia de Seguridad)
  • ¿Por qué los cazarrecompensas de errores cazan recompensas de errores? Estudio disponible aquí . (fuente: Ayuda a la seguridad de la red)
  • Esa cámara de tu casa puede tener una vulnerabilidad al acecho . (fuente: Seguridad Talos)
  • Un correo electrónico legítimo parece ser una diversión de phishing con Punisher. (fuente: io9)
  • Oculte su Facebook y Twitter de este malware . (fuente: CNet)
Pormalwarebytes

Una banda de ransomware presenta una queja ante la SEC sobre la víctima

gato negro mostrando sus dientes

Una banda de ransomware presenta una queja ante la SEC sobre la víctima

En lo que parece ser un nuevo giro en el tema del ransomware, el notorio grupo de ransomware ALPHV/BlackCat ha presentado una queja ante la Comisión de Bolsa y Valores de EE. UU. (SEC) sobre la empresa de software MeridianLink.

ALPHV es uno de los operadores de ransomware como servicio (RaaS) más activos y aparece periódicamente en nuestras revisiones mensuales de ransomware . MeridianLink ofrece “soluciones de préstamos digitales” a bancos, cooperativas de crédito, fintechs y otras instituciones financieras.

Desde el 5 de septiembre de 2023, la SEC ha exigido a las empresas públicas que revelen en un plazo de cuatro días todas las violaciones de ciberseguridad que podrían afectar sus resultados. Aparentemente ALPHV está al tanto de las nuevas reglas y en esta captura de pantalla del formulario de queja de la SEC escribió:

captura de pantalla del formulario SEC

“Queremos llamar su atención sobre un tema preocupante relacionado con el cumplimiento por parte de MeridianLink de las reglas de divulgación de incidentes de ciberseguridad adoptadas recientemente.

Nos ha llamado la atención que MeridianLink, a la luz de una violación significativa que compromete los datos del cliente y la información operativa, no ha presentado la divulgación requerida según el Artículo 1.05 del Formulario 8-K dentro de los cuatro días hábiles estipulados, según lo dispuesto por la nueva SEC. normas.»

El artículo al que se hace referencia (Formulario 8-K, artículo 1.05) establece:

“Los solicitantes de registro deben revelar cualquier incidente de ciberseguridad que experimenten y que se determine que es material, y describir los aspectos materiales de su:

– Naturaleza, alcance y oportunidad; y

– Impacto o impacto razonablemente probable.

Se debe presentar un Formulario 8-K del Artículo 1.05 dentro de los cuatro días hábiles posteriores a la determinación de que un incidente fue importante. Un solicitante de registro puede retrasar la presentación como se describe a continuación, si el Fiscal General de los Estados Unidos (“Fiscal General”) determina que la divulgación inmediata representaría un riesgo sustancial para la seguridad nacional o pública.

Los registrantes deben modificar un Formulario 8-K del Artículo 1.05 anterior para revelar cualquier información solicitada en el Artículo 1.05(a) que no se determinó o no estaba disponible en el momento de la presentación inicial del Formulario 8-K. “

Como puede ver, existen posibles excepciones y, por lo que sabemos, la investigación sobre la naturaleza y la gravedad de la violación de datos aún está en curso. O lejos de ser tan material como ALPHV quiere hacernos creer.

En una declaración a databreaches.net MeridianLink dijo:

“Salvaguardar la información de nuestros clientes y socios es algo que nos tomamos en serio. MeridianLink identificó recientemente un incidente de ciberseguridad que tuvo lugar el 10 de noviembre. Al descubrirlo ese mismo día, actuamos de inmediato para contener la amenaza y contratamos a un equipo de expertos externos para investigar el incidente. Según nuestra investigación hasta la fecha, no hemos identificado evidencia de acceso no autorizado a nuestras plataformas de producción y el incidente ha causado una interrupción mínima del negocio.

No tenemos más detalles que ofrecer actualmente, ya que nuestra investigación está en curso”.

Al parecer, a los operadores de ransomware les gusta fingir que lo que están haciendo es su deber cívico. Este mosaico está publicado en la página de inicio del sitio de filtraciones de la pandilla.

ALPHV anuncia que ha presentado una denuncia ante la SEC
ALPHV anuncia que ha presentado una denuncia ante la SEC

Al hacer clic, encontramos la captura de pantalla del formulario y una declaración no explicativa de por qué completaron el formulario.

“A pesar de este requisito, MeridianLink no ha cumplido con esta obligación respecto al incumplimiento que experimentó hace una semana. Por lo tanto, hemos informado este incumplimiento por parte de MeridianLink, quien estuvo involucrado en una violación material que afectó los datos del cliente y la información operativa, por no presentar la divulgación requerida ante la Comisión de Bolsa y Valores (SEC). Parece que MeridianLink se comunicó, pero aún no hemos recibido un mensaje de su parte. Quizás fue su DFIR, Mandiant, quien lo hizo sin autorización de su cliente. Cualquiera que sea el motivo… le damos 24 horas antes de publicar los datos en su totalidad”.

segunda captura de pantalla del sitio de fuga de BlackCat

Cualquiera que sea la razón detrás de la aparente decisión de MeridianLink de no reportar el ciberincidente (todavía), la acción tomada por ALPHV ciertamente es algo que no hemos visto antes. Puede ser una advertencia o un intento de obtener una influencia adicional. Sabiendo lo difícil que puede ser determinar el alcance de un ciberataque en tan solo unos días, podemos esperar que esto suceda con más frecuencia.

Cómo evitar el ransomware

  • Bloquear formas comunes de entrada.  Cree un plan para  reparar  rápidamente las vulnerabilidades en los sistemas conectados a Internet; y deshabilite o  refuerce el acceso remoto  como RDP y VPN.
  • Prevenir intrusiones.  Detenga las amenazas temprano, antes de que puedan infiltrarse o infectar sus puntos finales. Utilice  software de seguridad para endpoints  que pueda prevenir exploits y malware utilizados para distribuir ransomware.
  • Detectar intrusiones.  Haga más difícil para los intrusos operar dentro de su organización segmentando las redes y asignando derechos de acceso con prudencia. Utilice  EDR  o  MDR  para detectar actividad inusual antes de que ocurra un ataque.
  • Detenga el cifrado malicioso.  Implemente software de detección y respuesta de endpoints como  Malwarebytes EDR  , que utiliza múltiples técnicas de detección diferentes para identificar ransomware y reversión de ransomware para restaurar archivos del sistema dañados.
  • Cree copias de seguridad fuera del sitio y fuera de línea.  Mantenga las copias de seguridad fuera del sitio y fuera del alcance de los atacantes. Pruébelos periódicamente para asegurarse de que puede restaurar rápidamente las funciones comerciales esenciales.
  • No te dejes atacar dos veces.  Una vez que haya aislado el brote y haya detenido el primer ataque, debe eliminar todo rastro de los atacantes, su malware, sus herramientas y sus métodos de entrada, para evitar ser atacado nuevamente.
Pormalwarebytes

Revisión de ransomware: noviembre de 2023

Revisión de ransomware: noviembre de 2023

Este artículo se basa en una investigación de Marcelo Rivero, especialista en ransomware de Malwarebytes, que monitorea la información publicada por bandas de ransomware en sus sitios Dark Web. En este informe, los “ataques conocidos” son aquellos en los que la víctima  no  pagó un rescate. Esto proporciona la mejor imagen general de la actividad del ransomware, pero el número real de ataques es mucho mayor.

En octubre, se publicaron 318 nuevas víctimas en sitios de fuga de ransomware. Las principales pandillas activas fueron LockBit (64), NoEscape (40) y PLAY (36). Las principales historias del mes incluyeron el desmantelamiento de varios grupos de alto perfil, incluido el presunto atacante de Sony Systems, RansomedVC, nuevos datos que arrojan luz sobre el sesgo de Cl0p en el sector educativo y una inmersión profunda que revela el peligro del grupo detrás de los infames ataques a casinos de septiembre.

El mes pasado, tres importantes grupos de ransomware (RansomedVC, Ragnar y Trigona) fueron clausurados, los dos primeros por las fuerzas del orden y el tercero por hacktivistas ucranianos. Profundicemos en RansomedVC, un grupo que irrumpió en escena en agosto y rápidamente ganó notoriedad por supuestamente violar varias empresas conocidas. A finales de octubre, se vio en Telegram al principal hacker detrás del grupo intentando vender la operación. Apenas unos días después, la cuenta anunció que estaba “poniendo fin” al grupo después de enterarse de que seis de sus afiliados podrían haber sido arrestados. El grupo había publicado 42 víctimas en su sitio de filtración en el momento de su eliminación.

Si bien las autoridades aún no han confirmado los arrestos de RansomedVC, no ocurre lo mismo con el grupo RagnarLocker, que Europol y Eurojust anunciaron que habían desmantelado el mes pasado. RagnarLocker comenzó en 2019 y fue responsable de numerosos ataques de alto perfil contra municipios e infraestructuras críticas en todo el mundo. En el momento de la acción de eliminación, el grupo había publicado un total de 42 víctimas en su sitio de filtración.

La desaparición de Trigona, por otro lado, no fue a manos de investigadores sino de activistas, lo que destaca el impacto que las luchas geopolíticas más amplias pueden tener en el panorama del ransomware. A mediados de octubre, la Alianza Cibernética Ucraniana (UCA) violó el servidor de Trigona Confluence y eliminó y desfiguró por completo sus sitios. Formada alrededor de 2016 para defender el ciberespacio de Ucrania contra la interferencia rusa, la UCA utilizó un exploit público para CVE-2023-22515 para obtener acceso a la infraestructura de Trigona. Trigona es responsable de al menos 30 ataques en varios sectores desde que surgió por primera vez en octubre de 2022.

Ataques de ransomware conocidos por grupo de ransomware, octubre de 2023
Ataques de ransomware conocidos por grupo de ransomware, octubre de 2023
Ataques de ransomware conocidos por país, octubre de 2023
Ataques de ransomware conocidos por sector industrial, octubre de 2023

En otras noticias de octubre, Resilience, una compañía de seguros cibernéticos, informó que el 48% de todas las víctimas de ciberataques de MOVEit en su base de clientes durante el primer semestre de 2023 pertenecían al sector educativo. Esto sugiere una posible preferencia de orientación de la campaña Cl0p hacia las instituciones educativas. Sin embargo, es posible que esta cifra no represente plenamente la situación.

Por ejemplo, si Resilience tiene una mayor proporción de clientes en el sector educativo, podría sesgar los datos hacia ese sector. Por otro lado, los datos de Malwarebytes indican que, si bien el sector educativo comprende sólo el 3% de todos los hosts de MOVEit, representa el 6% de las víctimas. Sin embargo, es probable que esta tendencia no se deba a un enfoque deliberado por parte de Cl0p, cuyos ataques fueron de alcance más oportunista, sino más bien a que los sectores educativos a menudo tienen menos recursos para abordar rápidamente vulnerabilidades como las de MOVEit. Por tanto, el sesgo observado es más circunstancial que intencional. En cualquier caso, dado que el sector educativo depende con frecuencia de aplicaciones de terceros como MOVEit, el impacto de las actividades de Cl0p sirve como un claro recordatorio para que estas instituciones adopten las mejores prácticas sólidas de seguridad de terceros.

La profunda inmersión de Microsoft en Scattered Spider el mes pasado arrojó nueva luz sobre la banda de ransomware relativamente nueva, aunque peligrosa, que apareció en los titulares en septiembre por atacar a MGM Resorts y Caesar Entertainment . Para los equipos de seguridad pequeños, uno de los hallazgos más importantes sobre el grupo es el uso de técnicas Living Of The Land (LOTL) para evitar la detección : Scattered Spider emplea herramientas cotidianas como PowerShell para el reconocimiento y altera sigilosamente la configuración de la red para eludir las medidas de seguridad. También explotan a los proveedores de identidad y modifican los sistemas de seguridad, combinando sus actividades maliciosas con las operaciones normales de la red.

Con el éxito de grupos como Scattered Spider que dependen cada vez más de los ataques LOTL, es vital que los defensores se concentren en detectar actividades anómalas dentro de herramientas y configuraciones de red legítimas. Fortalecer las capacidades de monitoreo y análisis puede ayudar a identificar y contrarrestar las técnicas sutiles y sofisticadas empleadas por estas bandas de ransomware.